当前位置：首页 > 实用文档 > 其他范文> 网管技巧：基于MAC地址来管控流量网络技巧

网管技巧：基于MAC地址来管控流量网络技巧

时间：2022-04-30 00:58:47 其他范文收藏本文下载本文

“散仙儿”为你分享8篇“网管技巧：基于MAC地址来管控流量网络技巧”，经本站小编整理后发布，但愿对你的工作、学习、生活带来方便。

篇1：网管技巧：基于MAC地址来管控流量网络技巧

现在的企业网络中，到达桌面的网速越来越快，这虽然给用户带来了很好的应用体验，但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意，那么就有可能使得企业的网络发生拥塞或者DOS网络中断等等故障。为此网络管理员在快速以太网时代，更加应该重视桌面访问的安全。最简单地一条安全原则就是只允许授权的用户或者合法的用户可以访问企业的网络，而拒绝其他任何未经授权的访问。在不少的网络设备中，都可以通过MAC地址来管控流量，从而保证企业网络的安全。

一、通过控制交换机学习MAC地址的数量来管控流量

在思科的交换机中，有一个很重要的安全特性，即可以基于主机MAC地址而允许流量。通过这种方式，可以在很大程度上提高交换机等网络设备的端口安全。什么叫做基于主机MAC地址允许流量功能呢?简单的说，就是允许单个端口能够允许多少个特定树木的MAC地址。也就是说，在端口的MAC地址表中，允许记录多少个主机MAC地址。如果超过的话，那么交换机就会拒绝转换。通过这种机制就可以有效的保障端口的安全。

如企业现在有会议室、员工办公室等场所。如果按照普通部署的话，每个交换机的接口都可以学习到很多的MAC地址。如果在以前，各个客户段的网络速度不怎么快，那么也没什么问题。但是如果大多数桌面都实现了快速以太网或者吉比特以太网连接的话，情况就不同了。就算不是员工故意，客户端仍然可能在用户不知情的情况下，被当作肉鸡来使用。此时就可能会给企业网络带来很大的安全隐患。此时笔者建议网络管理员，可以通过“基于主机MAC地址允许流量”的功能来提高端口的安全性。如可以将普通用户端口衔知道1个学到的MAC地址，而将会议室端口限制到20个MAC地址(可以根据参与会议的人员数量来进行适当的调整)。这么设置根本的目的只有一个，就是只允许授权访问的用户采用能够使用企业的网络，拒绝任何未经过授权的用户。

二、启用规则以及违反规则的处理

要在思科交换机上启用“基于主机MAC地址允许流量”的功能，相对来说比较简单。如通过命令set port security就可以实现。这个命令可以用来配置每个端口所允许的最大MAC地址数。具体的配置相对来说比较简单，笔者不做过多的阐述。笔者要重点讲解的内容是如果后续用户的流量违背了这个规则，交换机该如何来处理这些流量。笔者再次强调一遍，这个非常的重要。这对企业安全网络的组建、对后续故障的解决，都有很重要的价值。

首先我们来看看，在什么情况下流量会违背这两个安全原则?通常情况下，存在两种原因。一是未经许可的访问，也就是说安全端口接收到的数据帧是未经管理员授权的;二是当交换机端口已经学习到所允许的最大数目的MAC地址之后，交换机系统又受到了新的数据帧。无论以上任何一种原因，其最终都是触犯了端口的安全规则。最后都会受到一定的“惩罚”。交换机会自动检测。当检测到任何违规的数据帧时，都会及时采取措施以确保企业网络的安全。

其次我们来分析一下交换机会采取的行为。在任何时刻，交换机检测到以上的违规行为，都可能会采取以下的任何一种措施。一是关闭，即将这个端口永久的或者在某个周期内设置为ERR-DISABLE状态，关闭其数据通信的能力。二是限制，即这个端口仍然将正常的工作，只是将来自未经授权的主机的数据流量丢弃。三是保护，即当交换机端口已经超过所允许学习MAC地址数量的时候，交换机仍然将正常转发数据，而只是将来自新主机的数据帧丢弃。网络管理员选择任何的处理措施。但是选择哪个方式好呢?这也没有统一的答案。通常情况下，需要根据交换机所处的位置来进行选择，

如这个交换机所处的位置比较关键，如实一个关键的服务器群组交换机，则最好使用限制选贤，使得服务器操作不受到任何违反规则的影响。相反，如果交换机处在交换层，既是所谓的接入层交换机的话，则最好通过关闭的处理方式，不过需要结合计时器来使用。如此的话，如果用户终端发生意味的非授权移动的时候，交换机会自动进行调整，而不需要稳拿滚落管理员重新建立连接来进行手工干预。如果在那些仅仅基于IOS软件的交换机上，则建议使用保护这种处理策略。

总之，当用户的数据帧违背了既定的规则之后，还采取什么处理措施呢?这往往没有统一的答案。这主要要根据网络管理员的经验来判断。如果选择的好的话，可以起到事半功倍的效果。相反，如果选择的不合适的话，有可能使搬起石头砸自己的脚。一般来说，网络管理员需要从交换机位置、网络环境、企业对于安全的需要来进行抉择。

三、启用这个功能的注意事项

如果需要在基于思科设备的交换网络中，启用“基于主机MAC地址允许流量”安全措施时，需要注意如下内容。

首先需要注意，思科交换机的型号不同，接口所允许的最大MAC地址数量也有所不同。如对于常见的6500系列的交换机，其就支持多达1025个MAC地址(其中1个默认的MAC地址和1024个常规的MAC地址)。由于交换机型号不同，其所支持的MAC地址数量由比较大的差异。为此在选购交换机的时候，如果需要这个功能，那么就需要考虑这个参数。

其实需要注意的是，交换机端口所支持的MAC数量不同，其MAC地址分配的方式也有很大的不同。如对于6500系列交换机来说，一般情况下有两种常见的分配方式。一种方式是为其中一个端口分配1025个MAC地址，然后给其他的端口分配一个MAC地址。另一种方式是为某个端口分配201个MAC地址，而为第二个端口分配701个MAC地址，为第三个端口分配125个MAC地址，剩余端口都分配一个MAC地址。至于采取那种分配方式更加合理，这里没有统一的标准答案。通常情况下，都需要网络管理员根据企业网络应用于企业对于安全的需求来确定。

四、启用“基于主机MAC地址允许流量功能”的最佳步骤

如何才能够更加有效的使用这个功能呢?根据笔者的管理经验，认为需要如下五个步骤。

一是评估需要启用端口安全的端口。在实际工作中，并不是需要为所有的端口都启用基于主机MAC地址允许流量功能。如对于一些经常用来做维护工作的端口，则往往不需要启用这个功能。为此在确定需要启用类似端口安全机制之前，需要网络管理员先进行评估。以确定需要以用端口安全技术的端口。

二是为需要启用端口安全的端口配置动态学习主机MAC地址。在必要的时候还可以配置动态学习MAC地址所持续的时间。通常情况下，可以通过set port security age名来来实现。

三是制定违背安全的行为。即根据企业的实际情况，如交换机的位置、对于安全的需求等因素，来考虑到底是采取“禁止”措施，还是采取“保护”或者“限制”措施。默认的设置是“永久性关闭”。这是一个比较极端的选项。通常情况下，笔者都建议对其进行更改。

四是一个可选项，不过是笔者推荐的一个可选项。即如果网络管理员选择“关闭”措施时，那么最好能够同时启用计时器功能。也就是说，设置这个端口关闭多长时间。因为有时候可能用户是无意冒犯这个规则的。所以这个端口不能够永远关闭下去。只要能够保证不会影响到网络的正常使用的前提下，那么仍然可以开放。

五是追踪。当出现任何一个违背行为时，交换机都会在系统日志中留下踪迹。网络管理员还必须经常的查看日志。如果发现有异常情况时，如有台主机经常违背某个原则时，那么就需要追查这台主机的原因。到底是用户恶意为止还是成为了别人的肉鸡。

篇2：网管技巧：如何跟踪IP地址

作为网管员，在我们解决Windows 操作系统的DHCP故障时，有时要找出某个地址范围内有哪些地址没有被使用，本人以前介绍过一种方法：打开命令提示窗口，在For…in…Do循环中调用ping命令。

例如，为了找出在地址范围192.168.1.1 到 192.168.1.100有哪些地址没有被使用，可以使用这个命令：For /L %f in (1,1,100) Do Ping.exe -n 2 192.168.1.%f

该命令会报告指定范围内的所有IP地址，不管是在用的还是未用的，用户都不得不在认证系统命令行窗口中翻看大量的内容。其实，我们完全可以避免这些麻烦，只需建立一个批处理文件，要求它只返回那些未用的IP地址，然后再将命令的

结果输入到一个文本文件中。Windows系统如何跟踪IP地址，下面介绍方法：

打开记事本，在窗口中输入如下的命令：

@Echo off

date /t > IPList.txt

time /t >> IPList.txt

echo =========== >> IPList.txt

For /L %%f in (1,1,100) Do Ping.exe -n 2 192.168.1.%%f Find

“Request timed out.” && echo 192.168.1.%%f Timed Out >>

IPList.txt && echo off

cls

Echo Finished!

@Echo on

Notepad.exe IPList.txt

将此文件存为IPTracker.bat，关闭记事本程序，

需要注意的是，在这个批处理文件中，整个的For…In…Do命令由几个被“&&”连接起来的命令组成。该命令以“For”开始，以“Off”结尾，而且整个命令必须在一行上。当然，如果用户要使用此方法的话，需要使用用户自己的IP

地址来替换示例中的IP地址。

以后，如果用户要解决DHCP问题，可以在浏览器窗口中定位并双击IPTracker.bat文件，然后启动一个IP地址跟踪工具，这个批处理只查找那些未用的IP地址，并将结果存到记事本文件中。(在此例中，这个保存的批处理文件成为一

个IP地址跟踪工具，它可以一次创建，反复使用。

篇3：网吧网管高级网络布线技巧

不论是网吧技术员还是普通网管，掌握布线的方法和技巧都是必须的，从某种程度上说，网络布线技巧是衡量一个网吧网管技术高低的重要方面。很多时候，大家都觉得只要能把网线连上，让网络可以用就行了。

如果仅仅是把线连上，让网络连通，这只能说是你做到了最基本应该做到的。事实上，网络布线还有许多需要我们掌握的技巧和方法。今天我们就从严格、完整的绘制“布线图”、实施布线以及后期维护三方面讲述如何实现更好的布线。

一、设备兼容问题

网吧局域网网络建后时常出现网络不稳定的情况，具体表现为掉线、丢包。这个时候有经验的网管首先应该想到硬件设备(多台交换机更容易出现此类问题)是否兼容。

假如网吧有三层交换机，并划分了9个VLAN，其中有三个端口分别给三个区域的网吧，每个区域约有50台计算机，都连接到交换机上。然而在实际使用中，却出现了某个区域无法上网的故障。

但在检查过程中发现，网络连接、系统设置都没有问题，该区域的机器口网线也都正常。后来使用“替换法”(就是换用同型号的交换机)，发现异常现象消失了。

小提示：网吧在采购网络设备时，最好购置同一家网络设备，这是避免不同类型的硬件设备不兼容的最好，也是最简单的方法。此外，即是是同一厂商的网络设备，在高端与低端的不同设备间也容易出现兼容问题。 www.2cto.com

二、插线不当引起广播风暴

网吧内所有计算机无法上网，而汇聚层交换机上的指示灯狂闪。经过排查确定该问题是由于广播风暴造成的，一条插在交换机上原本多余的网线被公司员工使用后把另一头也插在了交换机上，两端RJ45接口都接到同一台交换机的端口后造成了全网的广播风暴。将该网线拔下后问题得到解决。

这类布线故障的产生主要是因为管理混乱造成的，当我们完成结构化布线工作后就应该把多余的线材、设备拿走，防止普通用户乱接这些线材，

此外，布线后不要遗留任何部件，因为使用者一般对网络不太熟悉，出现问题时很有可能病急乱投医，看到多余设备就会随便使用，使问题更加严重。

小提示：有的网管喜欢私自使用一拖二分线头这样的设备，这样的做法也会造成网络中出现广播风暴。

三、电磁造成的干扰

网吧某区域的机器无法连接网络，前后替换过网卡、主板、甚至更换了主板都无济于事。后怀疑是连接该区域的交换机有问题，可是在替换交换机后，问题依然存在。

后来，网吧技术员使用测线器测试后发现，网络其实是通的，只是传输速度很不稳定。会不会受到干扰了呢?大家将目光放在了门口的冰箱上。

原来网吧为了方便顾客消费，将原本放在距离网吧营业区很远的冰箱移到了另外一侧，而网线刚好就在冰箱的下方。挪开冰箱后，该区域的机器又能正常上网了。

小提示：一般的，大功率的电器附近会产生磁场，这个磁场又会对附近的网线起作用，生成新电场，自然会出现信号减弱或丢失的情况。 www.2cto.com

四、网络接入点要“多余”

在网吧扩容或者替换端口时，时常会遇到没有“多余”的接口可用。对于网吧扩容来说，实在不行可以另行购买设备，可如果仅仅是了查找网络中的某些故障，偶尔需要替换接口，这个时候如果购买新设备，网吧成本投入显然不合适。

现在的网吧虽然处于薄利时代，但是网吧带宽却是一天天的越来越宽。今天网吧是10兆带宽，明天也许就升级到20兆、30兆，甚至有的网吧为争夺客源将带宽升级到百兆。这个时候，如果网吧的网络布线就需要有长远的阳光了，在布线时就应该留有“多余”的接入点。

小结：在技术力量方面，网吧网管与一些企业、公司的网管相比还是有着差距的。因此，网吧的网络布线是否合理，是否符合实际情况，对于网吧日后的发展显得更重要。一旦网吧出现网络故障，这将非常影响网吧的正常经营。

篇4：网管技巧：如何修复网络路由问题？

多年以来，大多数麻烦的网络路由问题都用下面这些方法解决：采用多数供应商设备中的标准技术，或者部署更好的第三方软件，

例如，如果您的生成树网络占据重要位置，或者无法离开nProbe或Wireshark，那么您就应该使用可靠的解决方案，解决以前需要几个小时才能修复的问题。IEEE 802.1D支持无回路的连接，而Wireshark只需要简单的操作就可以清理任意数据包。然而，即使有这么多成熟的网络管理技术和工具，仍然有一些网络路由问题需要管理通过安全shell进行调试。路由分析就是一个很好的例子。

网络便利工具

或许我们不会像安灭火器那样在墙上安装浅蓝色网线，但是每一位管理员都知道从哪里可以马上找到。解决路由问题需要通过命令行接口重复查看状态表，而且您总是需要在各个机架上来回走动。您甚至还可能需要连接几台设备的控制台，才能跟踪路由。但是，这些方法可能还无法解决路由调试的真正挑战。路由似乎经常会出现问题，而寻找问题根源的最有效方法就是实时获取错误信息。

即使您配置了很好的syslog警报，许多路由变化也只会隔几天出现一次，因此很难捕捉它们。而且，用户也不是报告路由错误的最佳来源：在页面加载变慢或聊天应用延迟明显时，他们只是会向周边人抱怨（虽然在传输路径出现抖动或丢包问题时，有一些VoIP客户会故意给出主观的低评分）所以，问题就出现了：“您该如何定期查询路由表，并在网络路由出现问题时马上能接受到警报呢？”

路由解析时产生的影响

网络的实际路由包含许多因素，它们会（但不总是）以各种方式对各自产生影响，

路由信息协议、开放最短路径优先、边界网关协议、增强内部网关路由协议和静态配置等都会对最终路由产生影响。本质上，它们一起构成了一种虚拟配置。但是，最终的“物理”路由只能在一个位置验证：路由表。但是，谁有那么多时间整天盯着所有设备的路由表呢（而且也没道理这样做）？

首先，每当路由发生变化时，它会强制路由器重新计算网络拓扑，因此网络会充满更新的数据包。这并不好。其次，路由变化检测通常在问题出现之后，因此您必须花时间查看各个路由叶节点，才能发现几小时前发生了什么。有时候，路由变化可能会降低流量传输速度，因此路由可能回滚到前一条性能不佳的路由。而有时候，这些变化可能会切断某条链路或中断关键用户服务。

幸好，许多网络性能监控解决方案能够轻松访问所监控设备的路由表。因为它们能够感知路由变化，所以您不需要连接控制台，就可以接收到警报、生成报表或直接查看路由表。将它们与网络拓扑发现工具相结合，您就可以监控各个终端的完整流量路由，检查接口连接环境的路由细节。一层网络是否仍然所有问题的根源，跟踪一台服务器到一个连接信号灯熄灭的端口之间的中断数据包流，不需要管理员离开自己的工位。路由变化历史报告和变化路由查看视图通常都是免费的。

肯定，当路由变化时发送syslog消息是很方便，但是您仍然必须监控日志，才能及时捕捉有时很难理解的变化。为了节省您的时间，花一些时间配置路由监控工具，以实时方式发送与变化相关的警报，并且跟踪它们的变化历史。这样，您就能够更快速地修复问题，并且淘汰控制台连线的方法。

篇5：省流量技巧 WIFI 首选网络

SETTINGS→WI-FI→WI-FI NETWORKING（ON/OFF）

设置→WIFI→WIFI网络（开关）

如果身边有无线信号，强烈建议打开WIFI，能节省很多流量！

篇6：高级网管网络管理的技巧

网管在网吧能够得到最大的好处就是积累经验，在网吧会遇到玩家向网管反应各种问题，网管从解决问题到积累经验，

作为网吧热点，网络管理技巧也是从中积累的，下面谈谈高级网管网络管理技巧。

1，网段与流量

某台服务器，有两台文件读写极为频繁的工作站，当服务器只安装一块网卡，形成单独网段时，这个网段上的所有设备反应都很慢，当服务器安装了两块网卡，形成两个网段以后，将这两台文件读写极为频繁的工作站分别接在不同的网段上，网络中所有设备的反应速度都有了显著增加。这是因为增加的网段分担了原来较为集中的数据流量，从而提高了网络的反应速度。

2，双绞线的线序

将服务器与交换机的距离由5米改为60米，结果无论如何也连接不通，为什么呢？以太网一般使用两对双绞线，排列在1、2、3、6的位置，如果使用的不是两对线，而是将原配对使用的线分开使用，就会形成缠绕，从而产生较大的串扰(NEXT)，影响网络性能，

上述故障的原因是由于3、6未使用配对线，在距离变长的情况下连接不通。将RJ45头重新按线序做过以后，一切恢复正常。

3，WAN与接地

无意将路由器的电源插头插在了市电的插座上，结果64KDDN就是无法联通。电信局来人检查线路都很正常，最后检查路由器电源的接地电压，发现不对，换回到UPS的插座上，一切恢复正常。

4，路由器的电源

路由器的电源插头接地端坏掉，从而造成数据包经常丢失，做PING连接时，时好时坏。更换电源线后一切正常。WAN的连接因为涉及到远程线路，所以对于接地要求较为严格，才能保证较强的抗干扰性，达到规定的连接速率，不然会出现奇怪的故障。

5，网络与硬盘

选用SCSI接口和高转速硬盘;硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性，建议选用；不要使低速SCSI设备(如CD)与硬盘共用同一SCSI通道。

篇7：WIN技巧：Vista下修改MAC地址轻松防御ARP攻击

近期ARP类的网络攻击日事件益增多，很多公司的局域网、校园网用户深深感受到了AR P攻击带来的强大破坏性，由于以太网是以广播形式通讯的，难免出现各种欺骗行为，对于“网络执法官的”这类典型的ARP攻击防御方法最简单的就是修改自己的网卡MAC地址和攻击者的一样即可。即使是最新的Windows Vista系统也无法躲过这种攻击，下面就分享一下Vista系统下的网卡MAC地址修改。

首先定位到Windows Vista系统的“控制面板”-“系统”，在系统属性对话框左边的树图中单击“设备管理器”，如图1所示

图1

接下来展开“设备管理器”，定位到“网络适配器”中的网卡，我们演示的网卡为Realtek RT8169，选中后单击鼠标右键，在弹出的快捷菜单中选择“属性”，如图2所示

图2

最后在弹出的网卡属性设置对话框选择“高级”选项卡，属性区选择“网络地址”，在“值”中输入新的网卡MAC地址即可，如图3所示

图3

篇8：网络技巧学习如何防止IP地址被盗用

正文：

问：最近我发现上网时经常出现IP地址被占用的提示框，经过请教高手，知道这是由于我的IP地址被别人盗用的缘故，教我一个简便的办法来防止IP被别人盗用，好吗？

答：将IP地址与MAC地址捆绑起来就能阻止这种现象的发生，

MAC地址是网卡的物理地址，它用12个16进制数表示，分为6段，如“00-E0-3C-46-C8-61”，这是网卡的标识，是唯一的，所以将它与IP地址捆绑之后就可以杜绝IP被盗用了。具体操作如下：首先要查找到自己网卡的MAC地址，运行命令行程序，输入ipconfig/all，在返回的结果中“PhysicalAddress”就是MAC地址。然后输入命令ARP -s 10.94.2.12100-E0-3C-46-C8-61，这样就把IP地址10.94.2.121与MAC地址00-E0-3C-46-C8-61捆绑在一起了。

★ 网络交换机安全小技巧

★ 如何为分布式应用企业构架来设置安全屏障

★ 详谈WLAN无线局域网交换机信号传输疑问