認證伺服器mac地址
⑴ 如何配置基於MAC地址的802.1x認證
基於MAC方式時,對一個埠下掛的所有用戶,每一個用戶都必須通過認證才能上網,基於埠方式時,對一個埠下掛的所有用戶,只要有一個用戶通過認證,其他用戶不必通過認證即可上網.mac方式:埠啟動dot1X,第一步,用戶未認證前,把該埠設成Mac max-mac-count 0,禁止地址學習;第二步,用戶認證通過後,在這個埠上配置一條mac地址,如:
MAC ADDR VLAN ID STATE PORT INDEX AGING TI
0005.5da4.6b2d 1 system Ethernet0/10 5
只有在LanSwitch上存在mac地址表項的用戶才可以上網。
⑵ 路由器的MAC克隆是什麼原理
MAC地址是固化在網卡上串列EEPROM中的物理地址,通常有48位長。乙太網交換機根據某條信息包頭中的MAC源地址和MAC目的地址實現包的交換和傳遞。您即可把當前管理PC的MAC地址填入到「MAC地址」欄內。注意:只有區域網中的計算機能使用「克隆MAC地址」功能。
MAC地址是網卡的物理地址。每塊網卡都有一個唯一的MAC地址。雖然此地址沒法改變,但是可以通過軟體的方法欺騙系統。克隆之後路由器各個口的地址一樣,它就會當作只有一台機器了。
(2)認證伺服器mac地址擴展閱讀:
有些寬頻提供商為了限制接入用戶的數量,在認證伺服器上對MAC地址進行了綁定。此時,可先將被綁定MAC地址的計算機連接至路由器LAN埠(但路由器不要連接Modem或ISP提供的接線),然後,採用路由器的MAC地址克隆功能,將該網卡的MAC地址復制到寬頻路由器的WAN埠。
⑶ 如何查看伺服器MAC地址
1、按Windows鍵+R鍵呼出「運行」對話框,在對話框中輸入「cmd」然後按「確定」。
⑷ 伺服器驗證客戶端IP 或者MAC地址
如果你 使用IIS HTTP協議下載 那麼在 你新建的網站屬性中 目錄安全性欄 裡面有個 IP地址和域限制,配置一下就OK了 如果使用 IIS FTP協議 那麼新建的FTP站下面 屬性 目錄安全性 裡面也有TCP/IP地址訪問限制
如果使用 serv-u 新建域下面 用戶添加登錄用戶後 配置該用戶 IP訪問 編輯規則裡面選擇允許 添加 允許訪問的IP即可
⑸ 路由器中的MAC地址克隆,怎麼克隆。
方法一:先確定申請上網的電腦單機狀態下已經能夠上網。就說明該電腦網卡的MAC地址是合法的MAC地址。使用ipconfig/all命令,就可以查找到該電腦網卡的MAC地址。例如:00-50-8D-D1-71-A7。將外來的引線從單機電腦的網卡上拔下,插入寬頻路由器的WAN埠;將多台客戶機的網卡與寬頻路由器的LAN埠相連。
打開寬頻路由器的的電源。在連接寬頻路由器的任何一台客戶機上啟動IE瀏覽器在IE瀏覽器的地址欄中鍵入這台寬頻路由器IP的地址[url]http://192.168.1.1[/url]。進入路由器的Web設置頁面。單擊配置頁面左窗口中「網路參數」按鈕,選擇其中的「MAC地址克隆」按鈕。出現「MAC地址克隆」的窗口。在「當前管理PC的MAC地址」的窗口中填入上面找到的「合法的MAC地址」:00-50-8D-D1-71-A7。
再單擊「MAC地址克隆」按鈕,這個MAC地址就會填入「MAC地址」的窗口中。最後,重新啟動路由器使設置生效。
方法二:有些寬頻提供商為了限制接入用戶的數量,在認證伺服器上對MAC地址進行了綁定。此時,可先將被綁定MAC地址的計算機連接至路由器LAN埠(但路由器不要連接Modem或ISP提供的接線),然後,採用路由器的MAC地址克隆功能,將該網卡的MAC地址復制到寬頻路由器的WAN埠。
方法三:利用寬頻路由器的「MAC地址克隆」功能,突破寬頻提供商的地址綁定,實現多台計算機共享上網。以TP-Link TL-R400+小型路由器為例。從被綁定MAC地址的計算機上進入路由器的Web設置頁面後,在主菜單的「基本設置」下選擇「初步設置」,在「廣域網介面類型」欄中點擊「修改」按鈕,接著選擇「動態IP」保存之後,返回「初步設置」頁面,在「廣域網MAC地址」欄的選項之後有一個文本框,其中的內容便是本機的MAC地址,用戶可以直接在文本框中修改此MAC地址,把被綁定的網卡MAC地址填入此處。如果你不清楚網卡的MAC地址,可以選擇「Clone MAC(MAC地址克隆)」按鈕直接將當前計算機的網卡MAC地址克隆到TL-R400+的廣域網埠。保存後重新啟動路由器就可以生效了。
注意:在「廣域網介面類型」中一定要選擇「動態IP」,否則不會出現修改廣域網介面的MAC地址和克隆MAC地址選項。如果你使用的是其他接入方式,如靜態IP、PPPoE等,則可以在以上設置完成後,再重新進入設置界面進行廣域網類型的修改。
⑹ 網卡MAC地址是什麼有什麼用啊
MAC地址是網卡的物理地址,它由48位二進制數表示。其中前面24位表示網路廠商標識符,後24位表示序號。每個不同的網路廠商會有不同的廠商標識符,而每個廠商所生產出來的網卡都是依序號不斷變化的,所以每塊網卡的MAC地址是世界上獨一無二的(特殊情況除外:如要通過修改MAC地址來通過認證時)。一般我們採用六個十六進制數來表示一個完整的MAC地址,如00:e0:4c:01:02:85。在win98/2000下均可以通過在MS-DOS方式下執行IPCONFIG/ALL命令得到相應的網卡的MAC地址。mac地址是網卡的物理地址。每塊網卡都有一個唯一的mac地址。雖然此地址沒法改變,但是可以通過軟體的方法欺騙系統。nbsp;克隆就是再生成一個一模一樣的啦nbsp;主要的用途是為了共享上網。nbsp;有的運營商不是禁止使用路由,只讓一台機器上網嗎?nbsp;克隆之後路由器各個口的地址一樣,它就會當作只有一台機器了。nbsp;夠通俗不?nbsp;解決寬頻客戶端限制路由器共享上網的方法-mac地址克隆nbsp;方法一:nbsp;先確定申請上網的電腦單機狀態下已經能夠上網。就說明該電腦網卡的mac地址是合法的mac地址。nbsp;進入系統的msdos方式,發布ipconfig/all命令,就可以查找到該電腦網卡的mac地址。例如:00-50-8d-d1-71-a7。nbsp;在查找合法的mac地址nbsp;將外來的引線從單機電腦的網卡上拔下,插入寬頻路由器的wan埠;將多台客戶機的網卡與寬頻路由器的lan埠相連。nbsp;打開寬頻路由器的的電源。在連接寬頻路由器的任何一台客戶機上啟動ie瀏覽器。nbsp;在ie瀏覽器的地址欄中鍵入這台寬頻路由器ip的地址http://192.168.1.1。nbsp;進入路由器的web設置頁面。nbsp;單擊配置頁面左窗口中「網路參數」按鈕,選擇其中的「mac地址克隆」按鈕。nbsp;出現「mac地址克隆」的窗口。nbsp;在「當前管理pc的mac地址」的窗口中填入上面找到的「合法的mac地址」:nbsp;00-50-8d-d1-71-a7。nbsp;再單擊「mac地址克隆」按鈕,這個mac地址就會填入「mac地址」的窗口中。最後,重新啟動路由器使設置生效。nbsp;這樣路由器就獲得了一個合法的被isp綁定了的mac地址。就可以實現多台電腦共享上網了。nbsp;註:有一些路由器的「克隆mac地址」按鈕英文為「clonenbsp;mac」。nbsp;附:修改網卡的mac地址。nbsp;經驗證明,將區域網內所有電腦網卡的mac地址進行修改也可以共享上網。nbsp;方法二:nbsp;有些寬頻提供商為了限制接入用戶的數量,在認證伺服器上對mac地址進行了綁定。此時,可先將被綁定mac地址的計算機連接至路由器lan埠(但路由器不要連接modem或isp提供的接線),然後,採用路由器的mac地址克隆功能,將該網卡的mac地址復制到寬頻路由器的wan埠。nbsp;方法三:nbsp;利用寬頻路由器的「mac地址克隆」功能,突破寬頻提供商的地址綁定,實現多台計算機共享上網。nbsp;以tp-linknbsp;tl-r400+小型路由器為例。從被綁定mac地址的計算機上進入路由器的web設置頁面後,在主菜單的「基本設置」下選擇「初步設置」,在「廣域網介面類型」欄中點擊「修改」按鈕,接著選擇「動態ip」。nbsp;保存之後,返回「初步設置」頁面,在「廣域網mac地址」欄的選項之後有一個文本框,其中的內容便是本機的mac地址,用戶可以直接在文本框中修改此mac地址,把被綁定的網卡mac地址填入此處。如果你不清楚網卡的mac地址,可以選擇「clonenbsp;mac(mac地址克隆)」按鈕直接將當前計算機的網卡mac地址克隆到tl-r400+的廣域網埠。保存後重新啟動路由器就可以生效了。nbsp;注意:在「廣域網介面類型」中一定要選擇「動態ip」,否則不會出現修改廣域網介面的mac地址和克隆mac地址選項。如果你使用的是其他接入方式,如靜態ip、pppoe等,則可以在以上設置完成後,再重新進入設置界面進行廣域網類型的修改。nbsp;在Windowsnbsp;98操作系統下,可以在「運行」里輸入「winipcfg」打開「IP配置」窗口,在窗口的「適配器地址」項內,有諸如「00-E0-4C-39-93-2D」的16進制地址就是網卡的Mac地址了。但在Windowsnbsp;XP、Windowsnbsp;2000、Windowsnbsp;Servernbsp;20
⑺ 關於MAC地址的問題
ARP攻擊的原理與解決方法(第三版)含如何在區域網內查找病毒主機
【故障原因】
區域網內有人使用ARP欺騙的木馬程序(比如:魔獸世界,天堂,勁舞團等盜號的軟體,某些外掛中也被惡意載入了此程序)。
【故障原理】
要了解故障原理,我們先來了解一下ARP協議。
在區域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網路安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞。
ARP協議是「Address Resolution Protocol」(地址解析協議)的縮寫。在區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的MAC地址的。在乙太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的,如下所示。
主機 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.16.2的MAC地址是什麼?」網路上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb」。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裡查找就可以了。ARP緩存表採用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協議的基礎就是信任區域網內所有的人,那麼就很容易實現在乙太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了么,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。
做「man in the middle」,進行ARP重定向。打開D的IP轉發功能,A發送過來的數據包,轉發給C,好比一個路由器一樣。不過,假如D發送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉發,捕獲到A發送給C的數據包,全部進行修改後再轉發給C,而C接收到的數據包完全認為是從A發送來的。不過,C發送的數據包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對於A和C之間的通訊就可以了如指掌了。
【故障現象】
當區域網內某台主機運行ARP欺騙的木馬程序時,會欺騙區域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網後,如果用戶已經登陸了伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄伺服器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致區域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
【HiPER用戶快速發現ARP欺騙木馬】
在路由器的「系統歷史記錄」中看到大量如下的信息(440以後的路由器軟體版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,區域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的「用戶統計」中看到所有用戶的MAC地址信息都一樣。
如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致,則說明區域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址)。
【在區域網內查找病毒主機】
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那麼我們就可以使用NBTSCAN工具來快速查找它。
NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有」ARP攻擊」在做怪,可以找到裝有ARP攻擊的PC的IP/和MAC地址。
命令:「nbtscan -r 192.168.16.0/24」(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最後一列是MAC地址。
NBTSCAN的使用範例:
假設查找一台MAC地址為「000d870d585f」的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入「command」),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。
3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP地址為「192.168.16.223」。
【解決思路】
1、不要把你的網路安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上。
2、設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP伺服器不被黑。
5、使用"proxy"代理IP的傳輸。
6、使用硬體屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的IP包中獲得一個rarp請求,然後檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火牆連續監控網路。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。
【HiPER用戶的解決方案】
建議用戶採用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC地址:
1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。
將這個批處理軟體拖到「windows--開始--程序--啟動」中。
3)如果是網吧,可以利用收費軟體服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為「C:\Documents and SettingsAll Users「開始」菜單程序啟動」。
2、在路由器上綁定用戶主機的IP和MAC地址(440以後的路由器軟體版本支持):
在HiPER管理界面--高級配置--用戶管理中將區域網每台主機均作綁定
⑻ 如何在伺服器綁定ip和mac地址
通過綁定MAC地址設置允許訪問,通過路由器來進行設置,在一定程度上是能夠實現的。因為這依賴於路由器是否支持安全設置選項有關。如果路由器不支持的話,則做不到這一點。
綁定MAC地址允許訪問的方法如下(以下均是在路由器管理界面中操作):
(1)設置頁面—>DHCP伺服器—>靜態地址分配—>將全部有效的IP地址與MAC地址綁定,輸入並保存即可
(2)設置頁面—>安全設置—>防火牆設置—>選擇開啟防火牆,開啟IP地址過濾,開啟MAC地址過濾三項—>選擇凡是不符合已設IP地址過濾規則的數據包,禁止通過本路由器和僅允許已設MAC地址列表中已啟用的MAC地址訪問Internet。
(3)設置頁面—>安全設置—>IP地址過濾—>添加新條目—>把有效的IP地址填進去,並選擇使所有條目生效。
(4)設置頁面—>安全設置—>MAC地址過濾—>添加新條目—>把有效的MAC地址填進去,並選擇使所有條目生效。
這樣設置後,除了已經設置的IP和MAC地址外,其它都是被禁止的。
但區域網內部之間可以正常訪問。
⑼ 為什麼MAC地址不可以實體認證
是問為什麼不能實名認證嗎?
可能是身份證或者姓名的某個字輸入錯誤。
繞過App Store安裝應用的行為就會提示無法驗證伺服器身份。