【文章內容簡介】 15 指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給 RADIUS 服務器。 [Sysnameradiusradius1] usernameformat withoutdomain [Sysnameradiusradius1] quit 創(chuàng)建域 并進入其視圖。 [Sysname] domain 指定 radius1 為該域用戶的 RADIUS 方案，若 RADIUS 服務器無效，則使用本地認證方案。 [] scheme radiusscheme radius1 local 設置該域最多可容納 30 個用戶。 [] accesslimit enable 30 24 啟動閑置切斷功能并設置相關參數。 [] idlecut enable 20 2023 [] quit 配置域 為缺省用戶域。 [Sysname] domain default enable 添加本地接入用戶。 [Sysname] localuser localuser [Sysnameluserlocaluser] servicetype lanaccess [Sysnameluserlocaluser] password simple localpass 25 ? 第一節(jié) ? 第二節(jié) MAC地址認證基本原理及配置 ? 第三節(jié) 端口隔離技術及配置 ? 第四節(jié) 端口綁定技術及配置 ? 第五節(jié) ARP防攻擊相關技術及配置 目錄 26 MAC地址認證概述 27 兩種認證方式的的工作流程 28 MAC地址認證的配置命令 29 MAC認證的典型配置案例 開啟指定端口 Ether 1/0/2 的 MAC 地址認證特性。 Sysname systemview [Sysname] macauthentication interface Ether 1/0/2 配置采用 MAC 地址用戶名進行認證，并指定使用帶有分隔符的小寫形式的 MAC 地址作為驗證的 用戶名和密碼。 [Sysname] macauthentication authmode usernameasmacaddress usernameformat withhyphen lowercase 30 MAC認證的典型配置案例 添加本地接入用戶。 配置本地用戶的用戶名和密碼： [Sysname] localuser 000d88f644c1 [Sysnameluser000d88f644c1] password simple 000d88f644c1 設置本地用戶服務類型為 lanaccess： [Sysnameluser000d88f644c1] servicetype lanaccess [Sysnameluser000d88f644c1] quit 創(chuàng)建 MAC 地址認證用戶所使用的域 。 [Sysname] domain New Domain added. 配置域 采用本地認證方式。 [] scheme local [] quit 31 MAC認證的典型配置案例 配置 MAC 地址認證用戶所使用的域名為 。 [Sysname] macauthentication domain 開啟全局 MAC 地址認證特性（接入控制相關特性一般將全局配置開啟放在最后，否則相關參數未配置完成，會造成合法用戶無法訪問網絡）。 [Sysname] macauthentication 32 ? 第一節(jié) ? 第二節(jié) MAC地址認證基本原理及配置 ? 第三節(jié) 端口隔離技術及配置 ? 第四節(jié) 端口綁定技術及配置 ? 第五節(jié) ARP防攻擊相關技術及配置 目錄 33 端口隔離簡介 34 端口隔離基本配置 35 端口隔離配置舉例 36 ? 第一節(jié) ? 第二節(jié) MAC地址認證基本原理及配置 ? 第三節(jié) 端口隔離技術及配置 ? 第四節(jié) 端口綁定技術及配置 ? 第五節(jié) ARP防攻擊相關技術及配置 目錄 37 端口綁定技術簡介 38 端口綁定基本配置 39 端口綁定典型配置舉例 40 ? 第一節(jié) ? 第二節(jié) MAC地址認證基本原理及配置 ? 第三節(jié) 端口隔離技術及配置 ? 第四節(jié) 端口綁定技術及配置 ? 第五節(jié) ARP防攻擊相關技術及配置 目錄 41 ARP攻擊原理介紹 ? ARP—— Address Resolution Protocol地址解釋協議 幀 類型 — 0x0806 協 議 地 址 長 度幀 類型目 的 M A C 源 M A C硬 件類 型協 議類 型操 作字 段發(fā) 送 端 M A C 發(fā) 送 端 I P 目 的 M A C 目 的 I P硬 件 地 址 長 度ARP欺騙都是通過填寫錯誤的源 MACIP對應關系來實現的 ?通過偽造虛假源 IPMAC對應的 ARP報文，導致網關或主機無法找到正確的通信對象 ?利用 ARP協議本身的缺陷來實現 可以利用幀類型來識別 ARP報文 42 ARP攻擊來源分析 ? 一、病毒和木馬 ?瑞星 2023上半年電腦病毒排名 ?帕蟲（ ；金山： AV終結者；江民： U盤寄生蟲） 威金蠕蟲（ ） 熊貓燒香（ ；又稱尼姆亞） 網絡游戲木馬（ ） 通行證（ ） ARP病毒（具有 ARP攻擊行為的多個病毒） 二、黑客攻擊軟件 網絡執(zhí)法官等 據瑞星統(tǒng)計：上半年全國約有 3500多萬臺電腦曾經被病毒感染 43 常見 ARP攻擊類型 ? 仿冒網關 ARP病毒通過發(fā)送錯誤的網關 MAC對應關系給其他受害者，導致其他終端用戶不能正常訪問網關 ? 仿冒終端用戶 /服務器 ? 欺騙網關 發(fā)送錯誤的終端用戶的 IP＋ MAC的對應關系給網關，導致網關無法和合法終端用戶正常通信 ? 欺騙終端用戶 發(fā)送錯誤的終端用戶 /服務器的 IP＋ MAC的對應關系給受害的終端用戶，導致兩個終端用戶之間無法正常通信 ? 其他 ?ARP FLOODING 攻擊 44 攻擊實驗環(huán)境介紹 正常用戶 A 網關 攻擊者 B 接入交換機 正常用戶 C 網絡執(zhí)法官 我是攻擊者 我是受害者 典型局域網，利用網絡執(zhí)法官來實現常見 ARP攻擊 45 ARP欺騙攻擊 1—— 仿冒網關 ? 攻擊者發(fā)送偽造的網關 ARP報文，欺騙同網段內的其它主機。 ? 主機訪問網關的流量，被重定向到一個錯誤