巧用設備物理地址管理網絡

對于任何接入網絡的設備，一般都要擁有自己的IP地址。其實，除了IP地址之外，它們還有物理地址，這種地址不僅是網絡設備固有的，也是全球唯一的，在很多人僅關注IP地址的時候，物理地址在悄無聲息地發揮著越來越重要的作用。現在，本文就對網絡設備物理地址的使用進行一些總結，希望與大家共享交流！

認識物理地址

對于不少對網絡知識了解很少的朋友來說，他們對網絡設備物理地址的認識，基本是一片空白。其實，網絡設備在各種網絡應用中，經常會用到兩種類型的地址，一類是盡人皆知的IP地址，另一類就是躲在暗處的物理地址。對于某個網絡設備來說，IP地址可以變換、調整，而物理地址卻是固定、不變的，它的作用有點類似公民的身份證。網絡設備的物理地址，一般由12位16進制數組成，相互之間通過“：”或“-”字符分隔開來，其中前6位數字由IEEE授權分配，表示網絡設備生產商的編號，后6位數字由生產商在具體制造設備時授予，例如，筆者隨身攜帶的筆記本電腦自帶網卡物理地址為“00-16-17-3D-43-EB”。

由于設備相互之間進行通信時，主要是通過物理地址來識別的，因此接入到網絡中的每個設備擁有的物理地址在全球范圍內都是唯一的。一些對網絡知識了解不深的朋友，往往會簡單認為只有網卡設備才有物理地址，其實這種認識是片面的，所有的網絡設備，包括路由器、交換機、防火墻、網卡等，都有屬于自己的唯一物理地址。

普通用戶接觸到的網絡設備，主要是有線網卡或無線網卡，在查看這類設備的物理地址時，可從先將系統切換到DOS命令行工作窗口，輸入字符串命令“ipconfig /all”，從返回的如圖1所示結果界面中，就能看到具體的地址內容了。當然，在一些版本比較舊的操作系統環境中，也能使用“winipcfg”命令，獲取本地網卡的物理地址。

此外，如果網卡設備沒有安裝原版驅動程序，那么通過上述命令有時無法查看到網卡物理地址，這時可以從系統注冊表中尋找網卡設備的物理地址。在進行這種查看操作時，依次點選“開始”|“運行”選項，彈出系統運行對話框，執行“regedit”命令，切換到系統注冊表編輯窗口，定位到“HKEY_LOCAL_MACHINE\\ SYSTEM\\CurrentControlSet\\ Control\\Class”分支上，從該分支下找到與本地網卡對應的注冊表子項，假設這里找到的“{4D36E970-E325-11CEBFC1-08002BE10318}”注冊表子項與網卡對應，在該子項下面雙擊“NetworkAddress”鍵值，彈出數值數據編輯對話框，其中的數值就是本地網卡的物理地址了，不過這種方法僅對Win2000或WinXP系統有效，對于其他系統無效。

防欺騙綁定物理地址

為了預防一些沒有授權的

客戶端系統隨意訪問局域網，將IP地址和網卡物理地址綁定在一起是個好辦法，其工作原理主要是利用ARP協議來實現，該協議可以將客戶機的IP地址解析為網卡的物理地址，如果發現它們的對應關系不正確，就會限制客戶機的網絡接入。目前，主要的網絡設備都支持IP地址與MAC地址綁定功能，通過該功能用戶能很輕松地將客戶機的IP地址與網卡的物理地址綁定在一起，從而有效預防ARP病毒的欺騙攻擊。例如，網管員可以在局域網的路由器后臺系統，通過手工添加靜態ARP綁定記錄，來管理局域網用戶的上網訪問安全。當客戶機向局域網路由器設備發出ARP申請時，路由器就能依照客戶機的IP地址來自動查詢ARP靜態綁定表，要是列表中記錄的網卡物理地址與客戶機的網卡物理地址一樣時，那么路由器將會對客戶機的ARP請求進行響應，不然的話將不會進行響應。假設，筆者隨身攜帶的筆記本電腦，使用的IP地址為10.176.34.121，通過“ipconfig/all”命令查詢獲得網卡物理地址為00-16-17-3D-43-EB，現在要將它們綁定在一起時，只要找到路由器后臺系統的地址綁定選項，在對應選項設置頁面中，輸入IP地址和網卡物理地址，再執行設置保存操作即可。

當然，地址綁定操作也能在客戶端系統中進行，例如，要將上面的地址綁定在一起時，可以依次點選“開始”|“運行”命令，彈出系統運行對話框，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行工作窗口；在該窗口的命令行提示符下，輸入字符串命令“ARP-s10.176.34.121 00-16-17-3D-43-EB”，返回如圖2所示的結果界面，就能完成I P地址和網卡物理地址綁定任務，從而避免其他客戶機搶用自己的IP地址進行上網訪問。

為安全過濾物理地址

在進行無線上網時，常常會發生鄰居用戶偷偷蹭網的現象，為了避免這種現象的發生，現在很多重要的網絡設備都已支持物理地址過濾功能，善于利用這項功能，我們可以很輕松地拒絕、限制鄰居用戶或其他用戶接入到本地網絡或單位局域網網絡，從而有效控制無線上網或有線上網的接入安全。

市面上許多主流的無線路由器或寬帶路由器都自帶有物理地址安全過濾功能，啟用這項功能的操作也很簡單。比方說，如果我們僅想讓MAC地址為00-16-17-3D-43-EB的客戶機接入局域網進行上網訪問是，可以利用系統管理員權限登錄進入局域網路由器后臺系統，打開物理地址啟用過濾功能頁面，將其中的“禁止列表中生效規則之外的MAC地址訪問本網絡”選項選中，同時單擊“添加新條目”按鈕，打開如圖3所示的設置頁面，在這里將目標MAC地址00-16-17-3D-43-E B添加進來，并設置為“生效”，再執行設置保存操作。同樣地，要想禁止MAC地址為00-16-17-3D-43-EB的客戶機上網訪問時，只要在對應功能設置頁面，將“允許列表中生效規則之外的MAC地址訪問本網絡”選項選中即可。

為共享復制物理地址

在家庭或辦公室共享上網環境中，經常會遇到客戶機無法共享上網的現象，這種現象是由ISP寬帶接入服務商通過物理地址來判斷客戶機的接入是否合法而引起的，其主要工作原理是，在安裝上網寬帶設備時，將單臺接入客戶機的網卡物理地址寫到ISP端網管設備的物理地址允許訪問列表中，而其它沒有寫入的物理地址會被設置為禁止上網，如此一來其它客戶機將無法同時通過寬帶線路上網訪問。

為了實現共享上網訪問目的，我們可以修改其他客戶機的網卡物理地址，讓它與ISP寬帶接入服務商允許上網的物理地址相同，這樣ISP端網管設備就會誤認為其他客戶機的上網訪問也是合法的。在復制網卡物理地址時，可以依次單擊“開始”|“設置”|“網絡連接”命令，彈出網絡連接列表界面，用鼠標右鍵單擊本地連接圖標，執行右鍵菜單中的“屬性”命令，切換到目標網絡連接屬性對話框；選擇“常規”標簽，單擊對應標簽頁面中的“配置”按鈕，打開網卡設備的屬性配置對話框，點擊“高級”標簽，進入如圖4所示的標簽設置頁面，從“屬性”列表中選擇“NetworkAddress”選項，在對應該選項的右邊框中輸入能正常上網的網卡物理地址，再單擊“確定”按鈕保存設置即可。

當然，在規模稍微大一些的網絡環境中，寬帶路由器自身可能已經自帶了“克隆MAC地址”功能，通過該功能可以將ISP服務商允許的那一臺客戶機網卡物理地址暴露給ISP端網管設備，讓其誤認為只有一臺客戶機接入網絡，從而實現讓局域網中若干臺客戶機成功共享上網的目的。 在進行這種復制操作時，只要在ISP允許上網的那臺客戶機中，將可以上網的物理地址填寫到“MAC地址”處，再按下“克隆MAC地址”按鈕，實現物理地址復制目的，從而完成多機共享上網目的。

為擴展橋接物理地址

有的時候，為了讓無線上網信號覆蓋范圍更大一些，我們需要對幾個無線路由器或無線AP設備進行無線橋接，而無線橋接的主要工作原理是，通過將相互橋接設備的SSID名稱、信道設置為相同，同時相互寫入各自設備的物理地址，來實現識別目的的。

無線橋接的方式有多種，不同的方式需要進行不同的配置操作。首先要做到的是，參與無線橋接的網絡設備使用的IP地址必須處于相同的工作網段，而且它們使用的IP地址不能相同、不能沖突。其次根據不同橋接方式，配置好物理地址；例如，要通過“點對點橋接”方式上網時，只要在橋接設備的后臺系統找到有關功能選項，選中“點對點橋接”選項，同時在“對方的MAC地址”位置處正確輸入對方的物理地址，同樣對端設備也要進行相同的MAC地址寫入操作。如果希望通過“點對多點橋接”方式上網時（如圖5所示），可以在橋接設備的后臺系統相關頁面中，選中“點對多點橋接”功能選項，之后在主橋接設備上逐一輸入其他橋接設備的物理地址，而其他橋接設備必須選中“點對點橋接”方式，同時寫入主橋接設備的物理地址即可。