時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
MAC地址通知特性是思科網(wǎng)絡(luò)設(shè)備中非常重要的一個(gè)應(yīng)用。簡(jiǎn)單的來(lái)說(shuō),網(wǎng)絡(luò)管理員可以通過(guò)這個(gè)特性來(lái)監(jiān)測(cè)連接到網(wǎng)絡(luò)中的新設(shè)備。不過(guò)在實(shí)際工作中,不同的應(yīng)用場(chǎng)景往往能夠起到不同的作用。筆者在這篇文章中就結(jié)合實(shí)際的案例,談?wù)勥@個(gè)MAC地址通知特性的應(yīng)用。并對(duì)其典型配置作一些講解。
一、在收費(fèi)環(huán)境中的應(yīng)用
現(xiàn)在不少家庭或者企業(yè)都是通過(guò)電信等互聯(lián)網(wǎng)運(yùn)營(yíng)商來(lái)進(jìn)行網(wǎng)絡(luò)的互聯(lián)。在申請(qǐng)帳號(hào)的時(shí)候,這些運(yùn)行商往往會(huì)給用戶一個(gè)貓之類的設(shè)備。作為企業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)進(jìn)行連接的一個(gè)中間媒介。那么作為互聯(lián)網(wǎng)運(yùn)營(yíng)商,他們是如何來(lái)控制只有付費(fèi)的用戶才能夠上網(wǎng)呢?如果用戶只要有一個(gè)貓,就可以上網(wǎng),那么就要亂套了。因?yàn)楦鶕?jù)現(xiàn)有的技術(shù),要盜版一個(gè)貓難度并不是很大。
其實(shí)在這個(gè)場(chǎng)景中,MAC地址通知特性就起到了很大的作用。在這個(gè)貓中,有一個(gè)MAC地址。而在運(yùn)營(yíng)商的后臺(tái)數(shù)據(jù)庫(kù)中,就存在著各種合法的貓的MAC地址。當(dāng)有新的設(shè)備要連接到互聯(lián)網(wǎng)的時(shí)候,運(yùn)營(yíng)商的交換機(jī)等設(shè)備就會(huì)將新接入的貓的MAC地址通知給運(yùn)營(yíng)商。然后運(yùn)營(yíng)商就可以跟后臺(tái)的MAC地址表進(jìn)行匹配,判斷這個(gè)貓是否是合法的。如果不是合法的或者在運(yùn)營(yíng)商那邊沒(méi)有登記過(guò),那么就會(huì)直接被拒絕。而一些控制的比較嚴(yán)格的運(yùn)營(yíng)商,用戶會(huì)發(fā)現(xiàn)即時(shí)貓是合法的,但是換一個(gè)帳號(hào)就不能夠用。這主要是運(yùn)營(yíng)商將這個(gè)MAC地址與電話號(hào)碼綁定。如此的話,這個(gè)貓只能夠在特定的地方使用。因?yàn)殡娫捥?hào)碼是固定的。如果用戶需要移動(dòng)位置,就需要辦理移機(jī)等手續(xù)。運(yùn)營(yíng)商還可以從中賺一筆。
總而言之,在付費(fèi)環(huán)境中,MAC地址通知特性是一項(xiàng)必不可少的應(yīng)用。
二、MAC地址通知與DHCP服務(wù)器結(jié)合使用
在現(xiàn)實(shí)工作中,很多網(wǎng)絡(luò)管理員喜歡將MAC地址通知特性與DCHP服務(wù)器結(jié)合使用。因?yàn)檫@兩個(gè)技術(shù)結(jié)合,可以起到1+1大于2的效果。在很大程度上提高網(wǎng)絡(luò)的靈活性。如當(dāng)DHCP服務(wù)器接收到新的IP地址請(qǐng)求的時(shí)候,服務(wù)器就會(huì)將MAC地址(MAC地址通知特性會(huì)將這個(gè)申請(qǐng)者的MAC地址發(fā)送給DCHP服務(wù)器)和數(shù)據(jù)庫(kù)中的交換機(jī)以及端口信息進(jìn)行驗(yàn)證。來(lái)自東判斷用戶的MAC地址或者端口信息是否是合法的或者是否收到某些限制。如判斷這種請(qǐng)求是否來(lái)自貴賓用戶或者付費(fèi)用戶。在實(shí)際工作中,這些用戶往往具有比較高的優(yōu)先級(jí)。如果系統(tǒng)檢查通過(guò)了,那么DCHP服務(wù)器就會(huì)為主機(jī)分配一個(gè)IP地址。往往可以根據(jù)用戶請(qǐng)求的類型分配不同段的IP地址。而在后臺(tái)不同的IP地址又對(duì)應(yīng)著不同的網(wǎng)絡(luò)規(guī)則。如資源訪問(wèn)的限制、網(wǎng)絡(luò)帶寬的限制等等。并且相關(guān)的IP地址、MAC地址、用戶帳戶等信息都會(huì)被保存在數(shù)據(jù)庫(kù)中,以便后續(xù)的查詢、追蹤與分析等等。
可見(jiàn),如果MAC地址與DHCP服務(wù)器結(jié)合使用,可以提高網(wǎng)絡(luò)管理的靈活性。特別是可以提高M(jìn)AC地址匹配的效率。
三、MAC地址通知特性的主要用途
在以上的敘述中,筆者闡述了MAC地址通知特性的兩個(gè)典型應(yīng)用。那么讀者或許會(huì)問(wèn),MAC地址特性到底有哪些用途呢?這是一個(gè)比較大的話題,很難用一兩句話說(shuō)明白。筆者結(jié)合自己的工作經(jīng)驗(yàn),總結(jié)了以下幾點(diǎn),供大家參考。
簡(jiǎn)單的說(shuō),MAC地址通知特性有兩方面的用途。一是控制,二是記錄。典型的接入層交換機(jī)能夠根據(jù)交換機(jī)的端口連接到不同的用戶,進(jìn)而為其提供網(wǎng)絡(luò)接入。所以說(shuō),通過(guò)使用MAC地址通知特性,不僅能夠控制接入的狀態(tài),而且還可以記錄用戶網(wǎng)絡(luò)接入的情況。萬(wàn)一網(wǎng)絡(luò)出現(xiàn)故障,可以通過(guò)查詢這些信息來(lái)迅速進(jìn)行排錯(cuò)。
筆者以前就遇到過(guò)這種情況。企業(yè)的網(wǎng)絡(luò)用的好好的,突然用戶反映網(wǎng)絡(luò)的速度變得非常的緩慢。企業(yè)中有比較好的防火墻。為此筆者認(rèn)為很可能是內(nèi)部出現(xiàn)了問(wèn)題。如有些員工將病毒帶入到了企業(yè)內(nèi)部,從而破壞企業(yè)網(wǎng)絡(luò)。筆者先查詢了最近接入到網(wǎng)絡(luò)中設(shè)備。筆者已經(jīng)在交換機(jī)上啟用了MAC地址通知特性。每當(dāng)接入端口上增加一個(gè)新的MAC地址的時(shí)候,系統(tǒng)就可以通過(guò)交換機(jī)管理系統(tǒng)發(fā)送SNMP信息。在這個(gè)信息中,會(huì)告訴網(wǎng)絡(luò)管理員用戶所采用的端口號(hào)以及MAC地址信息。為此從這個(gè)信息中筆者可以輕易的查詢到最近加入的設(shè)備,如終端等等。通過(guò)查詢筆者發(fā)現(xiàn)就在20分鐘之前,會(huì)議室多了一臺(tái)電腦。很有可能因?yàn)檫@臺(tái)電腦帶有病毒,從而影響到了企業(yè)的網(wǎng)絡(luò)。筆者果斷的切斷了這跟線,將連接這臺(tái)可以電腦的交換機(jī)端口暫時(shí)禁用掉。果然,沒(méi)過(guò)多久,網(wǎng)絡(luò)就恢復(fù)正常了。所以,MAC地址通知特性有時(shí)候還是一個(gè)很好的排錯(cuò)工具。如果沒(méi)有這個(gè)工具的幫助,筆者可能還需要一個(gè)個(gè)端口去排錯(cuò)。而有了這個(gè)工具之后,筆者可以在最短時(shí)間內(nèi)找到可疑的故障點(diǎn),從而盡快的恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。
所以說(shuō),MAC地址通知特性不僅僅在一些互聯(lián)網(wǎng)的運(yùn)營(yíng)商那里可以使用。而且對(duì)于普通企業(yè)來(lái)說(shuō),也有不可替代的作用。如可以幫助網(wǎng)絡(luò)管理員來(lái)控制一些臨時(shí)終端的使用等等。一般來(lái)說(shuō),只要企業(yè)配置有比較完善的防火墻,那么病毒、木馬等等很難從企業(yè)的外面找到突破口。恰恰相反,很多攻擊都是從企業(yè)的內(nèi)部下手。如用戶或者業(yè)務(wù)伙伴使用自帶的筆記本等終端設(shè)備。由于這些設(shè)備很可能本身就帶有病毒。從而從內(nèi)部破壞企業(yè)網(wǎng)絡(luò)的穩(wěn)定性。如果能夠?qū)@些外來(lái)的臨時(shí)終端進(jìn)行嚴(yán)格的管理控制,那么必然可以在很大程度上提高企業(yè)網(wǎng)絡(luò)的安全與穩(wěn)定。在這方面,MAC地址通知特性顯然能夠幫助網(wǎng)絡(luò)管理員實(shí)現(xiàn)這個(gè)目標(biāo)。
四、在思科交換機(jī)上的典型配置
目前市場(chǎng)上的產(chǎn)品,并不是所有的企業(yè)或者所有的產(chǎn)品線都支持這個(gè)特性。從思科的交換機(jī)來(lái)說(shuō),其也并不是所有的交換機(jī)都支持這個(gè)特性。如在基于ios軟件的交換機(jī)中都沒(méi)有得到普遍的支持。有些規(guī)格的交換機(jī)沒(méi)有這個(gè)特性。如果企業(yè)需要這個(gè)特性的話,在選購(gòu)交換機(jī)的時(shí)候,一定要確認(rèn)清楚。筆者認(rèn)為,至少要在一些關(guān)鍵的交換機(jī)或者關(guān)鍵的位置選購(gòu)具有這個(gè)MAC地址特性的交換機(jī)。如在會(huì)議室、會(huì)客室等比較開(kāi)放的地方,可能外來(lái)的人用的比較多。此時(shí)需要一個(gè)帶有MAC地址特性的交換機(jī)。當(dāng)有外來(lái)終端連接到企業(yè)網(wǎng)絡(luò)的時(shí)候,管理員可以及時(shí)的了解這個(gè)信息。以便后續(xù)的追蹤與排錯(cuò)。
作為網(wǎng)絡(luò)管理員,如何判斷是否需要使用這個(gè)特性的交換機(jī)上?綜上所述,網(wǎng)絡(luò)管理員或許也有一些直觀的印象。如果一定要有一個(gè)判斷標(biāo)準(zhǔn)的話,那么以下這條規(guī)則或許有用。通常情況下,如果管理員需要知道MAC地址變更的通知(如增加了新的終端等等), 則就需要這個(gè)MAC地址通知特性。否則的話,這個(gè)特性對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō),就沒(méi)有實(shí)際的利用價(jià)值。
在思科的交換機(jī)上要啟用這個(gè)特性也比較簡(jiǎn)單。一般來(lái)說(shuō)通過(guò)四個(gè)步驟就可以實(shí)現(xiàn)。
一是全局啟用MAC地址通知特性。這個(gè)配置主要用到如下命令:set cam notification enable。
二是如果需要追蹤特定端口的,則根據(jù)實(shí)際情況來(lái)增減MAC地址通知。如果不需要追蹤特定的端口,則可以忽略這一步。如果有需要的話,可以通過(guò)如下命令來(lái)配置:set cam notification。
三是指定MAC地址通知的時(shí)間間隔。這個(gè)步驟主要用來(lái)設(shè)置發(fā)送的頻率。一般來(lái)說(shuō),這個(gè)頻率并不是越高越好。太高的話,會(huì)占用比較大的帶寬。如果沒(méi)有特殊的需要,采用默認(rèn)值即可。確實(shí)需要調(diào)整的話,可以通過(guò)如下命令調(diào)整。Set cam notification interval.
四十啟用交換機(jī)發(fā)送MAC地址變更消息。這是一個(gè)非常重要的步驟。如果漏掉了這一步,那么管理員就不能夠在第一時(shí)間內(nèi)收到MAC地址變更的情況。在這個(gè)步驟中,主要用到如下命令:set snmp enable macnotification。
關(guān)鍵詞標(biāo)簽:MAC地址
相關(guān)閱讀
熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量