理论上:每个NIC厂家的MAC都必须严格遵守IEEE组织的规定,保证世界上任何NIC的MAC都是独一无二的。MAC固化在每个NIC中,不可更改。
实际上:在很多网络中都存在IP欺骗盗用或MAC盗用,如果对Windows98或Windows2000有点了解的人知道,在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中,用户可以随意修改主机的MAC地址。对于不支持直接更改MAC地址的网卡可以通过修改注册表或是采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。这意味着用户可以同时盗用合法用户的IP及MAC地址。
对于MAC地址盗用的问题初级的解决办法:是通过MAC+IP绑定,但是如果有人用的IP和MAC都同合法用户一样,在合法用户未开机是,就可以以合法拥护的身份存在了,如果两台主机都同时存在,肯定要报IP冲突,造成合法拥护无法正常连网,如果仅仅是MAC地址相同,虽然系统不会报错,但肯定会出现丢包情况.
解决的办法:
1,通过硬件端口隔离
我们可以借助交换机的端口-MAC地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问将被拒绝
2,MAC + 用户名 + 密码 的方法
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,IP地址的使用可以是无偿的,即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP,也没有用户名和密码,不能使用外部网络。
3,基于WEB平台的认证服务
就是所有的要上网的用户都必须首先打开认证服务器的WEB界面,输入帐号,密码,验证过后才能上网。