我希望有一个设置,一旦我为网络插孔配置了一个 MAC 地址,只有该计算机可以连接到它。此外,我想确保没有人可以注册路由器的 MAC 地址并在 NAT 中将多台 PC 连接到路由器后面,或者至少它应该是可发现的。
我知道这是有可能的,因为我的大学就做过这个。有人知道怎么做吗?
答案1
您需要在接入层交换机上使用 Cisco Port Security。它允许您设置某个端口上的最大 MAC 地址数量,以及可选地设置该端口上允许的特定 MAC 地址(尽管管理起来可能难以控制)。一旦检测到更多 MAC 地址,或者交换了不同的 MAC 地址,就可以将端口配置为自行关闭。
我不知道如何阻止人们连接支持 NAT 的路由器,因为在这种情况下,只有一个 MAC 地址暴露给接入层交换机。端口安全无法提供帮助(除非您依赖这样一个事实:将工作站换成路由器会导致 MAC 地址更改,从而阻塞端口,但这并不完美,因为如果第一个插入交换机的设备是路由器,它将成为允许的 MAC 地址)
更多信息https://web.archive.org/web/1/http://articles.techrepublic%2ecom%2ecom/5100-10878_11-6123047.html
答案2
这是不可能做到的。
我拿一台有注册 MAC 的机器,用一个 NAT 路由器替换它,并告诉它使用注册机器的 MAC。许多消费级(远低于 100 美元)路由器都可以默认这样做。
如果不分析 TCP 序列号,就不可能知道是否有人这样做了。
但是任何管理型交换机都应该能够将端口锁定到 MAC 地址(好的,我猜)。
答案3
您需要一个足够智能的交换机来配置此限制。这样的交换机有很多,但都不是最便宜的。
更新:
有几种价格低于思科的交换机,并且带有端口安全选项。我发现 HP Procurve 2520 及更高版本、Dell Powerconnect 5300 及更高版本,甚至更便宜,例如 Linksys SRW2024、D-Link DES-3252 等。
寻找“端口安全”、“基于 MAC”。
答案4
我可能错了,但我听说过 ISP 监控 TTL 值来确定直接连接的设备是否发起流量或者是否来自其后面的设备。
并不完美,因为 TTL 可以像其他任何东西一样被欺骗,但可能值得检查。