文章总结： 本文解析了企业内网NAC与802.1X机制，指出仅基于DHCP的控制易被静态IP绕过，并阐述了802.1X的认证流程及组件。针对老旧设备，常用MAC认证（MAB）但存在MAC伪造风险，文中提供了Linux下的修改指令。此外，探讨了全802.1X环境下的物理层中间人攻击思路，强调需关注配置差异与现实妥协以评估内网安全性。 综合评分： 91 文章分类： 内网渗透,红队,网络安全

本地网络中的网络接入控制（NAC）与 802.1X 实战解析（二）

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年1月30日 10:01 安徽

在企业网络安全体系中，网络接入控制（Network Access Control，NAC） 与 IEEE 802.1X 是本地网络防御的重要组成部分。它们的目标很明确：

仅允许“合法的用户与设备”接入内部网络。

但从安全评估或攻防视角来看，理解 NAC 与 802.1X 的工作机制和适用边界，同样重要。

本文将承接“物理接入已发生”的前提，探讨在本地网络接入后，NAC 与 802.1X 是如何发挥作用的，以及它们在实际部署中可能暴露的风险点。

一、NAC 的基本目标与常见实现方案

NAC 的核心能力在于： 限制非公司设备访问内部网络资源。

具体的判断依据和控制动作，取决于厂商实现和部署策略，常见的 NAC 解决方案包括：

• Cisco Network Admission Control
• Microsoft Network Access Protection（NAP）
• TCG（Trusted Computing Group）提出的 Trusted Network Connect（TNC）

在不同场景下，NAC 可能基于以下条件做出决策：

• 设备是否被识别为“已注册资产”
• 是否完成身份认证
• 是否满足安全基线（补丁、杀毒状态等）
• 是否属于受信任网络接口

二、只基于 DHCP 的访问控制：风险与绕过思路

在一些配置较为简单的网络环境中，NAC 的实现方式可能只是：

只向“已授权设备”分配 DHCP 地址

如果是这种情况，那么从攻击视角来看，限制是相对脆弱的。

绕过思路（原理层面）

• 内部网络本质仍然是一个二层广播域
• DHCP 失败 ≠ 网络不可达
• 只要手动配置一个合法网段内的静态 IP，并正确设置路由，即可能实现通信

信息获取方式：ARP 扫描

在 Kali Linux 中，可以使用 arp-scan 快速了解当前网段中哪些 IP 地址正在使用：

arp-scan -I eth0 192.168.1.0/24

参数说明：

• -I eth0：指定使用的网络接口
• 192.168.1.0/24：需要扫描的本地 IP 范围

通过该方式，可以判断：

• 当前网段常用 IP 地址
• 哪些地址可能尚未被占用
• 网关或关键主机的大致位置

三、802.1X：真正意义上的网络接入控制

在大多数企业环境中，提到 NAC，实际上指的就是 802.1X。

802.1X 的核心组件

IEEE 802.1X 标准定义了基于 EAP（Extensible Authentication Protocol） 的认证流程，适用于：

• 有线网络（IEEE 802.3）
• 无线网络（IEEE 802.11）

在标准的 802.1X 架构中，存在三个关键角色：

• Supplicant（申请者） 新接入网络的客户端设备
• Authenticator（认证者） 通常是交换机或无线控制器
• Authentication Server（认证服务器） 通常是 RADIUS 服务器

简化的认证流程如下：

1. 交换机向新接入设备请求身份信息
2. 客户端通过 EAP 响应身份
3. 交换机将认证请求转发给 RADIUS 服务器
4. 认证服务器完成校验并返回结果
5. 交换机根据结果决定是否放行端口流量

四、802.1X 的现实妥协：基于 MAC 地址的认证

理论上，802.1X 可以做到“设备 + 用户”双因素认证。 但现实中，仍然存在一个绕不开的问题：

并非所有设备都支持 802.1X

典型例子包括：

• 老旧型号的打印机
• 扫描仪、工控设备
• 某些嵌入式终端

为了解决兼容性问题，很多企业会采用基于 MAC 地址的认证（MAB，MAC Authentication Bypass）。

但这也同时引入了新的风险。

五、MAC 地址伪装：一个经典但有效的切入点

MAC 地址在硬件层面通常是唯一的，但在软件层面是可以伪造的。

如果网络中存在“基于 MAC 地址放行”的策略，那么从攻击视角来看，只需要：

复制一个已授权设备的 MAC 地址

即可获得与该设备相同的网络访问权限。

Linux 下修改 MAC 地址示例

在 Linux 系统中，可以通过命令行完成 MAC 地址的修改：

ifconfig eth0 down
ifconfig eth0 hw ether 11:de:ad:be:ef:11
ifconfig eth0 up

操作流程说明：

1. 关闭网络接口
2. 设置新的 MAC 地址
3. 重新启用接口

使用时需要注意的问题

• 桌面环境的网络管理器可能会自动恢复原始 MAC

• 虚拟机（VMware / VirtualBox）环境下需确认：

• 修改是否在虚拟交换层被覆盖

• 实际发出的数据帧 MAC 是否正确

最佳实践建议：

• 使用 Wireshark 在宿主机侧确认真实发出的 MAC 地址
• 或直接使用 USB 有线网卡直通虚拟机

此外，还要明确 MAC 放行策略的作用范围：

• 只对某个交换机端口生效？
• 还是全网通用？

六、当网络全面启用 802.1X 时会发生什么？

当网络中不再存在任何“非 802.1X 设备”时，攻击者只能寻找其它路径。

一种典型思路是：

在 supplicant（合法客户端）与 authenticator（交换机）之间“物理插入”

在认证阶段：

• 转发认证所需的所有数据包
• 确保合法设备能顺利完成 802.1X 认证

在认证完成后：

• 使用合法设备的 MAC 和 IP 地址发送数据
• 不转发属于“自己”的回应流量
• 不干扰原设备与交换机的正常通信

从网络角度看：

• 认证是成功的
• 通信是合法的
• 但流量已经被“代表发送”

七、进入内网之后：风险陡增

一旦成功获得内部网络访问权限，攻击面会发生质变：

• 可以直接触达内部服务
• 可以绕过外围防火墙与 WAF
• 内部系统的软件漏洞暴露概率远高于互联网侧

正如许多实际事件所验证的那样：

从内网发起的攻击，比从互联网成功率高出数倍。

结语

NAC 与 802.1X 为企业提供了极为重要的网络接入控制能力，但任何防御机制都存在实现差异与现实妥协。

从防守角度看：

• 是否仍在使用 MAC 放行？
• 是否存在仅依赖 DHCP 的控制策略？
• 802.1X 是否覆盖了所有接入端口？

从评估角度看：

• 控制是否真正在“该控制的位置”生效？
• 是否存在配置不一致或历史遗留问题？

理解这些细节，才能真正判断： 你的本地网络，是“看起来安全”，还是“真的安全”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《本地网络中的网络接入控制（NAC）与 802.1X 实战解析（二）》