巧用设备物理地址管理网络

对于任何接入网络的设备，一般都要拥有自己的IP地址。其实，除了IP地址之外，它们还有物理地址，这种地址不仅是网络设备固有的，也是全球唯一的，在很多人仅关注IP地址的时候，物理地址在悄无声息地发挥着越来越重要的作用。现在，本文就对网络设备物理地址的使用进行一些总结，希望与大家共享交流！

认识物理地址

对于不少对网络知识了解很少的朋友来说，他们对网络设备物理地址的认识，基本是一片空白。其实，网络设备在各种网络应用中，经常会用到两种类型的地址，一类是尽人皆知的IP地址，另一类就是躲在暗处的物理地址。对于某个网络设备来说，IP地址可以变换、调整，而物理地址却是固定、不变的，它的作用有点类似公民的身份证。网络设备的物理地址，一般由12位16进制数组成，相互之间通过“：”或“-”字符分隔开来，其中前6位数字由IEEE授权分配，表示网络设备生产商的编号，后6位数字由生产商在具体制造设备时授予，例如，笔者随身携带的笔记本电脑自带网卡物理地址为“00-16-17-3D-43-EB”。

由于设备相互之间进行通信时，主要是通过物理地址来识别的，因此接入到网络中的每个设备拥有的物理地址在全球范围内都是唯一的。一些对网络知识了解不深的朋友，往往会简单认为只有网卡设备才有物理地址，其实这种认识是片面的，所有的网络设备，包括路由器、交换机、防火墙、网卡等，都有属于自己的唯一物理地址。

普通用户接触到的网络设备，主要是有线网卡或无线网卡，在查看这类设备的物理地址时，可从先将系统切换到DOS命令行工作窗口，输入字符串命令“ipconfig /all”，从返回的如图1所示结果界面中，就能看到具体的地址内容了。当然，在一些版本比较旧的操作系统环境中，也能使用“winipcfg”命令，获取本地网卡的物理地址。

此外，如果网卡设备没有安装原版驱动程序，那么通过上述命令有时无法查看到网卡物理地址，这时可以从系统注册表中寻找网卡设备的物理地址。在进行这种查看操作时，依次点选“开始”|“运行”选项，弹出系统运行对话框，执行“regedit”命令，切换到系统注册表编辑窗口，定位到“HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\ Control\Class”分支上，从该分支下找到与本地网卡对应的注册表子项，假设这里找到的“{4D36E970-E325-11CEBFC1-08002BE10318}”注册表子项与网卡对应，在该子项下面双击“NetworkAddress”键值，弹出数值数据编辑对话框，其中的数值就是本地网卡的物理地址了，不过这种方法仅对Win2000或WinXP系统有效，对于其他系统无效。

防欺骗绑定物理地址

为了预防一些没有授权的

客户端系统随意访问局域网，将IP地址和网卡物理地址绑定在一起是个好办法，其工作原理主要是利用ARP协议来实现，该协议可以将客户机的IP地址解析为网卡的物理地址，如果发现它们的对应关系不正确，就会限制客户机的网络接入。目前，主要的网络设备都支持IP地址与MAC地址绑定功能，通过该功能用户能很轻松地将客户机的IP地址与网卡的物理地址绑定在一起，从而有效预防ARP病毒的欺骗攻击。例如，网管员可以在局域网的路由器后台系统，通过手工添加静态ARP绑定记录，来管理局域网用户的上网访问安全。当客户机向局域网路由器设备发出ARP申请时，路由器就能依照客户机的IP地址来自动查询ARP静态绑定表，要是列表中记录的网卡物理地址与客户机的网卡物理地址一样时，那么路由器将会对客户机的ARP请求进行响应，不然的话将不会进行响应。假设，笔者随身携带的笔记本电脑，使用的IP地址为10.176.34.121，通过“ipconfig/all”命令查询获得网卡物理地址为00-16-17-3D-43-EB，现在要将它们绑定在一起时，只要找到路由器后台系统的地址绑定选项，在对应选项设置页面中，输入IP地址和网卡物理地址，再执行设置保存操作即可。

当然，地址绑定操作也能在客户端系统中进行，例如，要将上面的地址绑定在一起时，可以依次点选“开始”|“运行”命令，弹出系统运行对话框，输入“cmd”命令，单击回车键后，切换到DOS命令行工作窗口；在该窗口的命令行提示符下，输入字符串命令“ARP-s10.176.34.121 00-16-17-3D-43-EB”，返回如图2所示的结果界面，就能完成I P地址和网卡物理地址绑定任务，从而避免其他客户机抢用自己的IP地址进行上网访问。

为安全过滤物理地址

在进行无线上网时，常常会发生邻居用户偷偷蹭网的现象，为了避免这种现象的发生，现在很多重要的网络设备都已支持物理地址过滤功能，善于利用这项功能，我们可以很轻松地拒绝、限制邻居用户或其他用户接入到本地网络或单位局域网网络，从而有效控制无线上网或有线上网的接入安全。

市面上许多主流的无线路由器或宽带路由器都自带有物理地址安全过滤功能，启用这项功能的操作也很简单。比方说，如果我们仅想让MAC地址为00-16-17-3D-43-EB的客户机接入局域网进行上网访问是，可以利用系统管理员权限登录进入局域网路由器后台系统，打开物理地址启用过滤功能页面，将其中的“禁止列表中生效规则之外的MAC地址访问本网络”选项选中，同时单击“添加新条目”按钮，打开如图3所示的设置页面，在这里将目标MAC地址00-16-17-3D-43-E B添加进来，并设置为“生效”，再执行设置保存操作。同样地，要想禁止MAC地址为00-16-17-3D-43-EB的客户机上网访问时，只要在对应功能设置页面，将“允许列表中生效规则之外的MAC地址访问本网络”选项选中即可。

为共享复制物理地址

在家庭或办公室共享上网环境中，经常会遇到客户机无法共享上网的现象，这种现象是由ISP宽带接入服务商通过物理地址来判断客户机的接入是否合法而引起的，其主要工作原理是，在安装上网宽带设备时，将单台接入客户机的网卡物理地址写到ISP端网管设备的物理地址允许访问列表中，而其它没有写入的物理地址会被设置为禁止上网，如此一来其它客户机将无法同时通过宽带线路上网访问。

为了实现共享上网访问目的，我们可以修改其他客户机的网卡物理地址，让它与ISP宽带接入服务商允许上网的物理地址相同，这样ISP端网管设备就会误认为其他客户机的上网访问也是合法的。在复制网卡物理地址时，可以依次单击“开始”|“设置”|“网络连接”命令，弹出网络连接列表界面，用鼠标右键单击本地连接图标，执行右键菜单中的“属性”命令，切换到目标网络连接属性对话框；选择“常规”标签，单击对应标签页面中的“配置”按钮，打开网卡设备的属性配置对话框，点击“高级”标签，进入如图4所示的标签设置页面，从“属性”列表中选择“NetworkAddress”选项，在对应该选项的右边框中输入能正常上网的网卡物理地址，再单击“确定”按钮保存设置即可。

当然，在规模稍微大一些的网络环境中，宽带路由器自身可能已经自带了“克隆MAC地址”功能，通过该功能可以将ISP服务商允许的那一台客户机网卡物理地址暴露给ISP端网管设备，让其误认为只有一台客户机接入网络，从而实现让局域网中若干台客户机成功共享上网的目的。 在进行这种复制操作时，只要在ISP允许上网的那台客户机中，将可以上网的物理地址填写到“MAC地址”处，再按下“克隆MAC地址”按钮，实现物理地址复制目的，从而完成多机共享上网目的。

为扩展桥接物理地址

有的时候，为了让无线上网信号覆盖范围更大一些，我们需要对几个无线路由器或无线AP设备进行无线桥接，而无线桥接的主要工作原理是，通过将相互桥接设备的SSID名称、信道设置为相同，同时相互写入各自设备的物理地址，来实现识别目的的。

无线桥接的方式有多种，不同的方式需要进行不同的配置操作。首先要做到的是，参与无线桥接的网络设备使用的IP地址必须处于相同的工作网段，而且它们使用的IP地址不能相同、不能冲突。其次根据不同桥接方式，配置好物理地址；例如，要通过“点对点桥接”方式上网时，只要在桥接设备的后台系统找到有关功能选项，选中“点对点桥接”选项，同时在“对方的MAC地址”位置处正确输入对方的物理地址，同样对端设备也要进行相同的MAC地址写入操作。如果希望通过“点对多点桥接”方式上网时（如图5所示），可以在桥接设备的后台系统相关页面中，选中“点对多点桥接”功能选项，之后在主桥接设备上逐一输入其他桥接设备的物理地址，而其他桥接设备必须选中“点对点桥接”方式，同时写入主桥接设备的物理地址即可。