巧用設(shè)備物理地址管理網(wǎng)絡(luò)

對于任何接入網(wǎng)絡(luò)的設(shè)備，一般都要擁有自己的IP地址。其實(shí)，除了IP地址之外，它們還有物理地址，這種地址不僅是網(wǎng)絡(luò)設(shè)備固有的，也是全球唯一的，在很多人僅關(guān)注IP地址的時候，物理地址在悄無聲息地發(fā)揮著越來越重要的作用。現(xiàn)在，本文就對網(wǎng)絡(luò)設(shè)備物理地址的使用進(jìn)行一些總結(jié)，希望與大家共享交流！

認(rèn)識物理地址

對于不少對網(wǎng)絡(luò)知識了解很少的朋友來說，他們對網(wǎng)絡(luò)設(shè)備物理地址的認(rèn)識，基本是一片空白。其實(shí)，網(wǎng)絡(luò)設(shè)備在各種網(wǎng)絡(luò)應(yīng)用中，經(jīng)常會用到兩種類型的地址，一類是盡人皆知的IP地址，另一類就是躲在暗處的物理地址。對于某個網(wǎng)絡(luò)設(shè)備來說，IP地址可以變換、調(diào)整，而物理地址卻是固定、不變的，它的作用有點(diǎn)類似公民的身份證。網(wǎng)絡(luò)設(shè)備的物理地址，一般由12位16進(jìn)制數(shù)組成，相互之間通過“：”或“-”字符分隔開來，其中前6位數(shù)字由IEEE授權(quán)分配，表示網(wǎng)絡(luò)設(shè)備生產(chǎn)商的編號，后6位數(shù)字由生產(chǎn)商在具體制造設(shè)備時授予，例如，筆者隨身攜帶的筆記本電腦自帶網(wǎng)卡物理地址為“00-16-17-3D-43-EB”。

由于設(shè)備相互之間進(jìn)行通信時，主要是通過物理地址來識別的，因此接入到網(wǎng)絡(luò)中的每個設(shè)備擁有的物理地址在全球范圍內(nèi)都是唯一的。一些對網(wǎng)絡(luò)知識了解不深的朋友，往往會簡單認(rèn)為只有網(wǎng)卡設(shè)備才有物理地址，其實(shí)這種認(rèn)識是片面的，所有的網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、防火墻、網(wǎng)卡等，都有屬于自己的唯一物理地址。

普通用戶接觸到的網(wǎng)絡(luò)設(shè)備，主要是有線網(wǎng)卡或無線網(wǎng)卡，在查看這類設(shè)備的物理地址時，可從先將系統(tǒng)切換到DOS命令行工作窗口，輸入字符串命令“ipconfig /all”，從返回的如圖1所示結(jié)果界面中，就能看到具體的地址內(nèi)容了。當(dāng)然，在一些版本比較舊的操作系統(tǒng)環(huán)境中，也能使用“winipcfg”命令，獲取本地網(wǎng)卡的物理地址。

此外，如果網(wǎng)卡設(shè)備沒有安裝原版驅(qū)動程序，那么通過上述命令有時無法查看到網(wǎng)卡物理地址，這時可以從系統(tǒng)注冊表中尋找網(wǎng)卡設(shè)備的物理地址。在進(jìn)行這種查看操作時，依次點(diǎn)選“開始”|“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行對話框，執(zhí)行“regedit”命令，切換到系統(tǒng)注冊表編輯窗口，定位到“HKEY_LOCAL_MACHINE\\ SYSTEM\\CurrentControlSet\\ Control\\Class”分支上，從該分支下找到與本地網(wǎng)卡對應(yīng)的注冊表子項(xiàng)，假設(shè)這里找到的“{4D36E970-E325-11CEBFC1-08002BE10318}”注冊表子項(xiàng)與網(wǎng)卡對應(yīng)，在該子項(xiàng)下面雙擊“NetworkAddress”鍵值，彈出數(shù)值數(shù)據(jù)編輯對話框，其中的數(shù)值就是本地網(wǎng)卡的物理地址了，不過這種方法僅對Win2000或WinXP系統(tǒng)有效，對于其他系統(tǒng)無效。

防欺騙綁定物理地址

為了預(yù)防一些沒有授權(quán)的

客戶端系統(tǒng)隨意訪問局域網(wǎng)，將IP地址和網(wǎng)卡物理地址綁定在一起是個好辦法，其工作原理主要是利用ARP協(xié)議來實(shí)現(xiàn)，該協(xié)議可以將客戶機(jī)的IP地址解析為網(wǎng)卡的物理地址，如果發(fā)現(xiàn)它們的對應(yīng)關(guān)系不正確，就會限制客戶機(jī)的網(wǎng)絡(luò)接入。目前，主要的網(wǎng)絡(luò)設(shè)備都支持IP地址與MAC地址綁定功能，通過該功能用戶能很輕松地將客戶機(jī)的IP地址與網(wǎng)卡的物理地址綁定在一起，從而有效預(yù)防ARP病毒的欺騙攻擊。例如，網(wǎng)管員可以在局域網(wǎng)的路由器后臺系統(tǒng)，通過手工添加靜態(tài)ARP綁定記錄，來管理局域網(wǎng)用戶的上網(wǎng)訪問安全。當(dāng)客戶機(jī)向局域網(wǎng)路由器設(shè)備發(fā)出ARP申請時，路由器就能依照客戶機(jī)的IP地址來自動查詢ARP靜態(tài)綁定表，要是列表中記錄的網(wǎng)卡物理地址與客戶機(jī)的網(wǎng)卡物理地址一樣時，那么路由器將會對客戶機(jī)的ARP請求進(jìn)行響應(yīng)，不然的話將不會進(jìn)行響應(yīng)。假設(shè)，筆者隨身攜帶的筆記本電腦，使用的IP地址為10.176.34.121，通過“ipconfig/all”命令查詢獲得網(wǎng)卡物理地址為00-16-17-3D-43-EB，現(xiàn)在要將它們綁定在一起時，只要找到路由器后臺系統(tǒng)的地址綁定選項(xiàng)，在對應(yīng)選項(xiàng)設(shè)置頁面中，輸入IP地址和網(wǎng)卡物理地址，再執(zhí)行設(shè)置保存操作即可。

當(dāng)然，地址綁定操作也能在客戶端系統(tǒng)中進(jìn)行，例如，要將上面的地址綁定在一起時，可以依次點(diǎn)選“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行工作窗口；在該窗口的命令行提示符下，輸入字符串命令“ARP-s10.176.34.121 00-16-17-3D-43-EB”，返回如圖2所示的結(jié)果界面，就能完成I P地址和網(wǎng)卡物理地址綁定任務(wù)，從而避免其他客戶機(jī)搶用自己的IP地址進(jìn)行上網(wǎng)訪問。

為安全過濾物理地址

在進(jìn)行無線上網(wǎng)時，常常會發(fā)生鄰居用戶偷偷蹭網(wǎng)的現(xiàn)象，為了避免這種現(xiàn)象的發(fā)生，現(xiàn)在很多重要的網(wǎng)絡(luò)設(shè)備都已支持物理地址過濾功能，善于利用這項(xiàng)功能，我們可以很輕松地拒絕、限制鄰居用戶或其他用戶接入到本地網(wǎng)絡(luò)或單位局域網(wǎng)網(wǎng)絡(luò)，從而有效控制無線上網(wǎng)或有線上網(wǎng)的接入安全。

市面上許多主流的無線路由器或?qū)拵酚善鞫甲詭в形锢淼刂钒踩^濾功能，啟用這項(xiàng)功能的操作也很簡單。比方說，如果我們僅想讓MAC地址為00-16-17-3D-43-EB的客戶機(jī)接入局域網(wǎng)進(jìn)行上網(wǎng)訪問是，可以利用系統(tǒng)管理員權(quán)限登錄進(jìn)入局域網(wǎng)路由器后臺系統(tǒng)，打開物理地址啟用過濾功能頁面，將其中的“禁止列表中生效規(guī)則之外的MAC地址訪問本網(wǎng)絡(luò)”選項(xiàng)選中，同時單擊“添加新條目”按鈕，打開如圖3所示的設(shè)置頁面，在這里將目標(biāo)MAC地址00-16-17-3D-43-E B添加進(jìn)來，并設(shè)置為“生效”，再執(zhí)行設(shè)置保存操作。同樣地，要想禁止MAC地址為00-16-17-3D-43-EB的客戶機(jī)上網(wǎng)訪問時，只要在對應(yīng)功能設(shè)置頁面，將“允許列表中生效規(guī)則之外的MAC地址訪問本網(wǎng)絡(luò)”選項(xiàng)選中即可。

為共享復(fù)制物理地址

在家庭或辦公室共享上網(wǎng)環(huán)境中，經(jīng)常會遇到客戶機(jī)無法共享上網(wǎng)的現(xiàn)象，這種現(xiàn)象是由ISP寬帶接入服務(wù)商通過物理地址來判斷客戶機(jī)的接入是否合法而引起的，其主要工作原理是，在安裝上網(wǎng)寬帶設(shè)備時，將單臺接入客戶機(jī)的網(wǎng)卡物理地址寫到ISP端網(wǎng)管設(shè)備的物理地址允許訪問列表中，而其它沒有寫入的物理地址會被設(shè)置為禁止上網(wǎng)，如此一來其它客戶機(jī)將無法同時通過寬帶線路上網(wǎng)訪問。

為了實(shí)現(xiàn)共享上網(wǎng)訪問目的，我們可以修改其他客戶機(jī)的網(wǎng)卡物理地址，讓它與ISP寬帶接入服務(wù)商允許上網(wǎng)的物理地址相同，這樣ISP端網(wǎng)管設(shè)備就會誤認(rèn)為其他客戶機(jī)的上網(wǎng)訪問也是合法的。在復(fù)制網(wǎng)卡物理地址時，可以依次單擊“開始”|“設(shè)置”|“網(wǎng)絡(luò)連接”命令，彈出網(wǎng)絡(luò)連接列表界面，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，切換到目標(biāo)網(wǎng)絡(luò)連接屬性對話框；選擇“常規(guī)”標(biāo)簽，單擊對應(yīng)標(biāo)簽頁面中的“配置”按鈕，打開網(wǎng)卡設(shè)備的屬性配置對話框，點(diǎn)擊“高級”標(biāo)簽，進(jìn)入如圖4所示的標(biāo)簽設(shè)置頁面，從“屬性”列表中選擇“NetworkAddress”選項(xiàng)，在對應(yīng)該選項(xiàng)的右邊框中輸入能正常上網(wǎng)的網(wǎng)卡物理地址，再單擊“確定”按鈕保存設(shè)置即可。

當(dāng)然，在規(guī)模稍微大一些的網(wǎng)絡(luò)環(huán)境中，寬帶路由器自身可能已經(jīng)自帶了“克隆MAC地址”功能，通過該功能可以將ISP服務(wù)商允許的那一臺客戶機(jī)網(wǎng)卡物理地址暴露給ISP端網(wǎng)管設(shè)備，讓其誤認(rèn)為只有一臺客戶機(jī)接入網(wǎng)絡(luò)，從而實(shí)現(xiàn)讓局域網(wǎng)中若干臺客戶機(jī)成功共享上網(wǎng)的目的。 在進(jìn)行這種復(fù)制操作時，只要在ISP允許上網(wǎng)的那臺客戶機(jī)中，將可以上網(wǎng)的物理地址填寫到“MAC地址”處，再按下“克隆MAC地址”按鈕，實(shí)現(xiàn)物理地址復(fù)制目的，從而完成多機(jī)共享上網(wǎng)目的。

為擴(kuò)展橋接物理地址

有的時候，為了讓無線上網(wǎng)信號覆蓋范圍更大一些，我們需要對幾個無線路由器或無線AP設(shè)備進(jìn)行無線橋接，而無線橋接的主要工作原理是，通過將相互橋接設(shè)備的SSID名稱、信道設(shè)置為相同，同時相互寫入各自設(shè)備的物理地址，來實(shí)現(xiàn)識別目的的。

無線橋接的方式有多種，不同的方式需要進(jìn)行不同的配置操作。首先要做到的是，參與無線橋接的網(wǎng)絡(luò)設(shè)備使用的IP地址必須處于相同的工作網(wǎng)段，而且它們使用的IP地址不能相同、不能沖突。其次根據(jù)不同橋接方式，配置好物理地址；例如，要通過“點(diǎn)對點(diǎn)橋接”方式上網(wǎng)時，只要在橋接設(shè)備的后臺系統(tǒng)找到有關(guān)功能選項(xiàng)，選中“點(diǎn)對點(diǎn)橋接”選項(xiàng)，同時在“對方的MAC地址”位置處正確輸入對方的物理地址，同樣對端設(shè)備也要進(jìn)行相同的MAC地址寫入操作。如果希望通過“點(diǎn)對多點(diǎn)橋接”方式上網(wǎng)時（如圖5所示），可以在橋接設(shè)備的后臺系統(tǒng)相關(guān)頁面中，選中“點(diǎn)對多點(diǎn)橋接”功能選項(xiàng)，之后在主橋接設(shè)備上逐一輸入其他橋接設(shè)備的物理地址，而其他橋接設(shè)備必須選中“點(diǎn)對點(diǎn)橋接”方式，同時寫入主橋接設(shè)備的物理地址即可。