IP與MAC綁定技術(shù)

IP與MAC綁定技術(shù)，通過在核心交換機(jī)或路由器上將IP與MAC地址做ARP靜態(tài)綁定實(shí)現(xiàn)。這種技術(shù)適用于靜態(tài)分配地址的網(wǎng)絡(luò)環(huán)境，只要將局域網(wǎng)內(nèi)的合法終端設(shè)備的IP和MAC地址綁定，則外來電腦、無線路由器等設(shè)備由于沒有加入到公司的IPMAC綁定列表中，自然也就無法接入公司局域網(wǎng)了。同時，采用這種技術(shù)也可以防止員工私自修改IP和MAC地址而引發(fā)局域網(wǎng)IP地址沖突的情況發(fā)生。

但是這種技術(shù)有比較大的局限性，主要有如下幾點(diǎn)。

1.該技術(shù)只能應(yīng)用于靜態(tài)分配地址的網(wǎng)絡(luò)環(huán)境，對于使用DHCP動態(tài)分配地址的環(huán)境，由于終端獲取的IP是變化的，也就無法做這種靜態(tài)綁定，這也決定了該項(xiàng)技術(shù)在大型網(wǎng)絡(luò)中難以得到應(yīng)用。

2.使用該技術(shù)會使網(wǎng)絡(luò)管理人員的工作量倍增，工作效率低下。任意需要接入局域網(wǎng)的終端，都需要向網(wǎng)絡(luò)管理人員申請加入IP與MAC綁定列表，這對于訪客較多的企業(yè)來說是不現(xiàn)實(shí)的。

3.該技術(shù)存在一定的安全漏洞，很容易被一些稍微懂網(wǎng)絡(luò)技術(shù)的員工繞過。比如將無線路由器的IP地址和MAC地址改為已被授權(quán)的電腦的IP和MAC地址，這樣就能繞過公司的IP和MAC地址綁定列表而重新啟用無線路由器。

無線管控網(wǎng)關(guān)

隨著企業(yè)內(nèi)部私接無線路由器的現(xiàn)象日益增多，不少安全設(shè)備廠商也推出了能夠識別和管控?zé)o線終端的上網(wǎng)行為管理設(shè)備。這種設(shè)備部署在Internet網(wǎng)絡(luò)出口處，以透明模式或者網(wǎng)關(guān)模式進(jìn)行部署，主要目的是管控“一拖N”的無線路由器和手機(jī)、PAD等無線終端的上網(wǎng)行為。工作原理是將流經(jīng)設(shè)備的數(shù)據(jù)包進(jìn)行拆包分析，結(jié)合特征資源庫，根據(jù)端口以及Android、IOS系統(tǒng)上APP應(yīng)用流量的特征碼,來識別無線路由器及智能無線終端，然后針對IP或者應(yīng)用類型對相應(yīng)的終端進(jìn)行管控。

這種設(shè)備主要能夠?qū)崿F(xiàn)的功能如下。

1.識別“一拖N”的無線路由器，并且能夠控制無線路由器接入的終端數(shù)量，超出允許接入數(shù)量限制的無線終端，將被禁止上網(wǎng)。

2.識別接入的無線智能終端類型（Android或IOS等），并能夠基于IP或者應(yīng)用類型進(jìn)行管控。

3.提供比較直觀的報(bào)表系統(tǒng)，能夠以圖表的方式顯示歷史記錄和未來的趨勢。

當(dāng)前一些主流網(wǎng)絡(luò)設(shè)備廠商，都已經(jīng)正式推出支持無線管控的上網(wǎng)行為管理產(chǎn)品，但是由于無線管控屬于企業(yè)比較新的需求，各廠家仍在不斷開發(fā)新的功能，相信在不久后會推出更加完善的產(chǎn)品。

旁路的自動檢測軟件

當(dāng)前市場上也出現(xiàn)了一些能夠檢測無線路由器的軟件，這類軟件基本都是旁路部署方式，安裝在局域網(wǎng)內(nèi)一臺服務(wù)器上，然后通過端口鏡像的方式將核心交換機(jī)的流量引導(dǎo)至該服務(wù)器上進(jìn)行分析，工作原理比較類似于著名的抓包工具Sniffer。這類軟件通過分析鏡像流量，可以識別出無線路由器，但是無法對其進(jìn)行有效管控；即使有些軟件號稱能夠管控?zé)o線路由器，但也要求所有終端必須在同一IP網(wǎng)段內(nèi)，而且管控的手段也很單一，即通過ARP阻斷方式直接封禁對應(yīng)的無線路由器，這對于網(wǎng)內(nèi)有多個VLAN或者網(wǎng)段的企業(yè)來說，根本沒有意義。所以，這種軟件注定難以得到廣泛應(yīng)用。