我想有一个设置,其中一旦我configuration一个单一的MAC地址的networking插孔只有该计算机可能连接到它。 此外,我想确保没有办法一个人可能得到一个路由器的MAC地址注册和挂接在路由器后面的多个电脑在NAT或至less它应该是可以发现的。
我知道这是可能的,因为这是在我的大学完成的。 任何人都知道?
您需要在接入层交换机上使用Cisco Port Security。 它允许您设置某个端口上的最大MAC地址数量,以及可选地设置该端口上允许的特定MAC地址(虽然pipe理这个可能会失控)。 一旦检测到更多的MAC地址,或者交换不同的MAC地址,可以将端口configuration为自行closures。
我不确定如何阻止人们连接支持NAT的路由器,因为在这种情况下,只有一个MAC地址暴露给接入层交换机。 端口安全将无法提供帮助(除非您依赖于为路由器换出工作站将导致MAC地址更改,阻塞端口的事实,但这并不是完美的,就好像要插入的第一个设备一样交换机是路由器,它成为允许的MAC地址)
更多信息在https://web.archive.org/web/1/http://articles.techrepublic%2ecom%2ecom/5100-10878_11-6123047.html
这是不能做到的。
我拿一台带有注册MAC的机器,用一个NAT路由器replace它,我告诉它使用注册的机器MAC。 大量的消费级(远低于100美元)的路由器可以做到这一点是默认的。
在分析TCP序列号的时候,不可能知道是否有人这样做。
但任何pipe理型交换机都应该能够将端口locking到MAC地址(好吧,我猜)。
你需要一个足够聪明的交换机来configuration这个限制。 有很多,但不是在最便宜的class级。
更新:
在端口安全选项下,有许多交换机可以使用cisco-prices。 我发现HP Procurve 2520及更高版本,Dell Powerconnect 5300及更高版本,甚至更便宜,如Linksys SRW2024,D-Link DES-3252等。
寻找“端口安全”,“基于MAC”。
或者,如果用户处于某种types的LDAP中,则可以使用NAC。 这样,用户可以从端口移动到端口,但组织外部的人员无法访问。 我不确定这是否是你想要阻止的情况,但MAC地址欺骗很容易,所以你的例子可以很容易地被篡改。 思科Clean Access和布拉德福德networkingNAC是NAC中的两位领导者,但他们的代价非常昂贵。
我可能是错的,但是我听说ISP监视TTL值,以确定直接连接的设备是否发起了stream量,或者是否来自它后面的设备。
不完美,因为TTL可以像其他任何东西一样欺骗,但可能值得一试。