现在有许多学校以及小区都安上了宽带了,但是大部分的ISP都作了限制。也就是只能让登记的计算机上网,而其他没有登记的计算机不能上网。其实这种限制措施大部分都是通过MAC地址与ip地址绑定的方式实现的。要实现MAC与IP绑定主要有两种方法:
利用交换机来实现
Cisco的交换机经过相应的设置后就可以自动将首次与它的端口连接的计算机的MAC纪录并保存下来。以后若是有计算机的网卡端口与这个端口(交换机的)连接,他先看看是不是原来纪录的MAC。若不是原来纪录的MAC值的话,该交换机端口就自动关闭。这样就防止非法用户对网络的使用。
利用操作系统实现
一般都是利用linux系统来实现的,通过设置修改/etc/ethers文件来将登记来的网卡的MAC地址与分配的IP进行对应。通常学校都用这种方法来实现上网的限制。
如何利用绑定MAC地址
计算机MAC地址的唯一给网络治理带来了福音,我们可以充分利用这一特性在局域网的治理中,下面举一例,希望能对大家有所启发。
单位实施了网络版的防病毒应用软件,网络治理员可以通过防病毒控制中心对客户端进行集中统一治理。为了对客户端的维护方便,采用了动态分配IP地址的方法。所以在防病毒控制中心进行客户端定位时,要根据客户端的计算机名字,为此当初也对客户端的计算机命名规则做了要求,以达到通过计算机名可以确定使用该计算机的用户。
但是在日常的治理维护中,发现有些客户端并没有按照规则进行命名,在进行故障定位时,使治理员的工作变的相对被动,那么我们就可以通过利用客户端计算机的MAC地址,使网络治理员的工作变的主动。
确定用户计算机的MAC地址
前面对如何获取局域网远端计算机的MAC地址做了介绍,我们可以采用该方法确定违反命名规则用户计算机的MAC地址,因为本例环境是用户动态获取IP地址,所以还可以使用DHCP治理工具来获取客户端MAC地址。其中唯一ID一项就是用户计算机的MAC地址(如图1)。
图1
为用户计算机建立保留IP地址在DHCP治理工具中,为第一步确定的用户计算机的MAC地址建立保留IP地址,使该客户端每次动态获取的都是同一个IP地址(如图2)。
图2
在防火墙为用户计算机建立包过滤策略在防火墙中,使用在第二步中建立的保留IP地址,定义一条使用该IP地址的计算机不能访问互联网的策略(如图3)。
图3
通过以上几步可以暂时中断用户计算机和外界的联系,当然结果是被中断的用户往往会主动和网络治理员联系,配合治理员的工作了!
