活用“身份證” 玩轉MAC功能
一直以來,IP和MAC地址等問題都是困擾新手快速步入LAN之門的障礙。與IP地址不同,網絡設備的MAC地址是其固有的地址,并且由于MAC地址的唯一性,讓其在各種網絡應用中扮演著越來越重要的作用。但對于很多初接觸網絡的讀者來說,他們還是不禁會問——究竟什么是MAC地址呢?該如何玩轉與MAC地址相關的功能呢?
一、什么是MAC地址
在網絡設備的應用中,常會用到兩種地址,一種是大家耳熟能詳的IP地址,另一種就是MAC地址。
與“零時工”IP地址不同,MAC(MediaAccessControl,介質訪問控制)地址是網絡設備固有的物理地址,是識別LAN(局域網)電腦的“身份證”。其長度為48位二進制數,由12個00~0FFH的16進制數組成,如某網卡的MAC地址“00-19-7E-29-14-55”。
每個網絡設備都具備一個MAC地址
每個16進制數之間用“-”或“:”隔開,前6位16進制數00-19-7E代表網絡硬件制造商的編號,它由IEEE(電氣與電子工程師協會)分配(根據MAC地址查詢部分網絡設備生產廠商http://www.wenzk.net/mac/)。而后6位16進制數29-14-55代表該制造商所制造的某個網絡產品(如網卡)的編號,叫做組織唯一標志符,是識別LAN(局域網)節點的標識,廠家在具體生產時逐個將唯一地址賦予網絡設備。
在網絡底層的物理傳輸過程中,是通過MAC物理地址來識別主機,所以每個網絡設備的MAC地址在全球是唯一的,其就好比網絡設備的“身份證”一樣。一些初接觸網絡的讀者認為只有有線網卡產品才具有MAC地址,這種認識肯定是錯誤的,無論是有線網卡、無線網卡、交換機、路由器,幾乎所有的網絡設備都具備完整的獨立MAC地址。
讀者要想獲知本機網卡的MAC地址,可從以下途徑來查看——在Windows98/Me系統中中,點擊“開始→運行”,輸入“winipcfg”回車,即可看到網卡的MAC地址;在Windows2000/XP/Vista系統中,依次打開“開始→所有程序→附件→命令提示符”,輸入“ipconfig/all”,回車即可。#p#
二、MAC地址克隆
正是由于MAC地址就如同我們的身份證一樣是網卡的唯一標識,所以ISP寬帶接入商可以根據MAC地址而判斷出局域網電腦的接入數量,從而可封殺多機共享上網。其基本原理是,在進行寬帶安裝時,將單臺接入電腦的網卡的MAC地址列入服務器端網管設備的MAC地址允許通過列表中,而其它地址則設為禁止通過,這樣其它電腦則不能同時接入寬帶。
對于想上網的其它電腦可通過修改網卡的MAC地址的方法來實現,方法是打開網卡“屬性”,選擇“配置”,在網卡的屬性對話框中找到類似“NetworkAddress”選項,在右邊框中輸入獲得授權的網卡MAC地址即可。
MAC地址克隆是多機共享上網的必備功能
當然,這并非萬全的解決辦法,通過寬帶路由器都具備的“克隆MAC地址”功能進行破解更方便。該功能的原理就是只將ISP認證的那一臺電腦的網卡MAC地址“暴露”給服務器端網管設備,讓其只“看到”只有一臺電腦在上網,從而讓局域網多臺電腦能順利共享上網。
在具體應用時,在ISP通過認證的那臺電腦上,將ISP提供的那個有效的MAC地址給輸入到“MAC地址”欄。然后,單擊“克隆MAC地址”按鈕,便可將當前管理電腦的MAC地址克隆到“MAC地址”欄內,從而能讓多機共享上網。 #p#
三、MAC地址過濾
ISP是如何進行MAC地址限制的呢?那就是使用網絡設備具備的MAC地址過濾功能。其實,很多時候,在我們的LAN應用中,也需要用到類似的功能,這樣可限制或杜絕本網內的一些電腦或其它非本網內的電腦接入該網絡或訪問廣域網,從而有效的控制有線或無線網絡內用戶的接入權限。
MAC地址過濾對無線安全很有用
目前主流的寬帶路由器或無線路由器都具備該設置選項。其設置使用并不復雜,比如你只想讓“00-19-7E-29-14-55”等MAC地址的電腦訪問有線或無線網絡及Internet,可在“啟用過濾”中選擇“禁止列表中生效規則之外的MAC地址訪問本網絡”,然后“添加新條目”將“00-19-7E-29-14-55”的MAC地址設為“生效”,“保存”即可;而如果想禁止“00-19-7E-29-14-55”等MAC地址的電腦訪問網絡及Internet,則可在“啟用過濾”中選擇“允許列表中生效規則之外的MAC地址訪問本網絡”。#p#
四、IP和MAC綁定
為了更好的阻止非授權電腦訪問網絡,將IP地址和MAC地址進行綁定是個好辦法。其原理是通過ARP(AddressResolutionProtocol:地址解析協議)功能來是實現,ARP是在僅知道主機的IP地址時確定其物理地址的一種協議。因IPv4和以太網的廣泛應用,其主要用作將IP地址翻譯為以太網的MAC地址。從IP地址到MAC物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網絡層(IP層,也就是相當于OSI的第三層)地址解析為數據連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。
在相關軟件應用時,要想限制某臺機器上網,只要選擇網卡“權限”設為禁止,即可阻止所有未知的網卡上線。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
捆綁是獲得局網安全的好辦法之一
而目前主流的寬帶路由器或無線路由器都具備IP與MAC綁定(ARP綁定)功能,其可將主機的IP地址與相應的MAC地址進行綁定,是防止ARP欺騙的有效方法。在路由器中設置靜態ARP綁定條目,可以維護內網用戶的上網安全。當主機向路由器發送ARP請求時,路由器會根據主機的IP地址去查看ARP靜態綁定列表,若列表中的MAC地址與主機的MAC地址相同,則路由器會允許該ARP請求,否則將不允許該請求。例如你希望將某臺主機的IP地址和MAC地址進行綁定,其IP地址為192.168.1.168,MAC地址為00-11-22-44-33-55,你只需將這兩項地址填入,然后“保存”即可。
此外,也可通過ARP命令來實現IP和MAC地址綁定,方法是依次點開“開始”→“運行”→輸入“CMD”→回車。在“命令提示符”窗口中輸入命令:ARP-s192.168.1.16800-11-22-44-33-55,即可實現IP和MAC地址綁定,從而讓采用其它MAC地址的網絡設備不能接入網絡。#p#
五、實現無線橋接
通過AP或無線路由器的無線橋接,可擴大無線網絡覆蓋面積。無線橋接的使用并不復雜,只需將無線橋接設備設為同一信道(Channel),SSID也設為一樣,在WDS設置中互寫入MAC地址,就可完成設置。而在這之中,MAC地址是無線設備間必不可少的識別地址。
當然,說起簡單,在具體應用時,要實現無線橋接乃至中繼功能,其具體設置仍需注意:
① 首先,橋接或中繼設備間的IP地址需設為同一網段,且每臺設備間的IP地址需不同,不可沖突。
MAC實現橋接
② 要實現“點對點橋接”,可打開AP或無線路由器的相應設置選項,選擇“點對點橋接(WirelessPoint-to-PointBridge)”,在“對方的MAC地址(RemoteMACaddress)”選項中填入要連接的對端的AP的MAC地址,同樣,對端的AP也需需依法填寫本端AP的MAC地址。這樣,兩臺具備無線橋接功能的設備間就能實現“點對點橋接”。當然,在設置時一般還會有打開無線客戶端的選項,區別是開啟該選項在實現橋接的同時可允許無線網卡接入,反之則不行。
③ 要實現“點對多點橋接(好比一個無線橋接星型網絡)”,打開主AP“點對多點橋接(WirelessPointtoMulti-PointBridge)”選項,在主AP上依次填寫上各分AP的MAC地址,而各分AP還是選擇“點對點橋接”,填寫好主AP的MAC地址即可。
④ 要實現“無線中繼(Repeater,最多中繼點為4個)”,延長無線網絡的傳輸距離。需按以下方法進行設置——第一款AP的“起始MAC地址(ParentAPMACAddress)”為本機的MAC地址,“子MAC地址(ChildAPMACAddress)”為第二款AP的MAC地址;第二款AP的“起始MAC地址”為第一款AP的MAC地址,“子MAC地址”為第三款AP的MAC地址;第三款AP的“起始MAC地址”為第二款AP的MAC地址,“子MAC地址”為第四款AP的MAC地址;第四款AP的“起始MAC地址”為第三款AP的MAC地址,“子MAC地址”為自身的MAC地址。
【編輯推薦】
