盜用MAC地址是一直局域網管理里一個比較棘手的問題,而且總是沒有簡單的方法能夠避免這些現象,說起來真的是一個很讓網絡管理員頭痛的問題。
交換機端口綁定MAC地址是一個很徹底的好辦法,但只有智能交換機才有端口綁定MAC地址功能,如果全部換智能交換機的話我想是一筆不小的投資,一般的企業也不會為避免盜用MAC現象而投入資金更換網絡設備,而且綁定端口后還會給網管帶來很大的不便,如果電腦位置動一下,就要跟著修改端口綁定記錄,無形中給管理員增加了很大的工作量。
寬帶提供商在接入設備上會做這樣的投資和設置,我們當地的網通LAN就是采用這種方式,把每個端口劃分成一個單獨的VLAN,并把端口綁定MAC。這樣的安全性確實很高。因為作為他們來說,每被盜用一個MAC地址,他們就會有直接的經濟損失,而作為一般的企業,網絡只是用來輔助工作的,而并不是一種公司的產業。所以按他們的做法去做是不現實的。
現在通過寬帶路由器去控制網基本上是采用IP過濾和MAC過濾,有些人認為把IP和MAC地址綁定起來可以解決盜用IP或MAC問題,但如果有人把IP和MAC一起改的話,那就束手無策了,路由器根本無法判別哪個是真的哪個是假的,就象是“真假悟空”一樣,難以分辨。
我公司原來使用寬帶路由器,但盜用MAC地址的現象很頻繁,MAC地址沖突后,會出現網絡時斷時通,PING后丟包很嚴重,表面上很象線路問題。雖然可以通過公司規章制度去約束這種行為,但往往要網絡管理員上報這些違歸行為,這樣做會惡化同事關系,在同一個公司里工作,同事關系搞不好也是一大忌,到時候萬一要去麻煩別人的時候你就會發現做什么事情都不順,因此給自己留條后路也是必要的,無奈中的無奈,只能通過技術辦法去解決這個技術問題啦。
現在我在公司改用CCPROXY代理上網,其實用代理服務器上網很早就用過了,以前路由器價格昂貴,所以寬帶共享很多都是使用代理服務器,自從寬帶路由器普及后,就不再使用代理服務器了,因為總是有人說寬帶路由器有什么樣什么樣的好處,真想不到今天又會回過來使用代理服務器,現在采用賬戶名+密碼+MAC綁定的方式認證上網權限,這樣做在原來通過MAC地址控制上網的基礎上,多了一個用戶名密碼環節,這樣會大大增加非法上網者的難度。
單單盜用MAC地址是沒用的,如果密碼被盜,那么管理員可以在代理服務器上修改密碼,這樣主動權還是掌握在管理員手里,象以前那樣只通過MAC控制上網權限,有時候處理起來是很被動的。雖然通過端口代理上網比直接使用路由器設置復雜些,因為有些軟件根本不支持代理方式,但裝了permeo-Driver-combo-win_4_2_2.zip這個軟件后,不需要在客戶機上設置煩瑣的代理服務器,基本能做到和使用路由器那樣的方便。CCPROXY還有一個好處是針對不同的機器可以做不同的設置,如控制連接數,控制帶寬,控制上網時間,控制過濾網站等等,而一般的寬帶路由器只能做到批量控制,不能對不同的電腦分配不同的權限。
歡迎轉載:http://www.kanwencang.com/bangong/20161102/33500.html
文章列表
留言列表
