MAC地址通知特性是思科网络设备中非常重要的一个应用。简单的来说,网络管理员可以通过这个特性来监测连接到网络中的新设备。不过在实际工作中,不同的应用场景往往能够起到不同的作用。笔者在这篇文章中就结合实际的案例,谈谈这个MAC地址通知特性的应用。并对其典型配置作一些讲解。
一、在收费环境中的应用
现在不少家庭或者企业都是通过电信等互联网运营商来进行网络的互联。在申请帐号的时候,这些运行商往往会给用户一个猫之类的设备。作为企业网络与互联网络进行连接的一个中间媒介。那么作为互联网运营商,他们是如何来控制只有付费的用户才能够上网呢?如果用户只要有一个猫,就可以上网,那么就要乱套了。因为根据现有的技术,要盗版一个猫难度并不是很大。
其实在这个场景中,MAC地址通知特性就起到了很大的作用。在这个猫中,有一个MAC地址。而在运营商的后台数据库中,就存在着各种合法的猫的MAC地址。当有新的设备要连接到互联网的时候,运营商的交换机等设备就会将新接入的猫的MAC地址通知给运营商。然后运营商就可以跟后台的MAC地址表进行匹配,判断这个猫是否是合法的。如果不是合法的或者在运营商那边没有登记过,那么就会直接被拒绝。而一些控制的比较严格的运营商,用户会发现即时猫是合法的,但是换一个帐号就不能够用。这主要是运营商将这个MAC地址与电话号码绑定。如此的话,这个猫只能够在特定的地方使用。因为电话号码是固定的。如果用户需要移动位置,就需要办理移机等手续。运营商还可以从中赚一笔。
总而言之,在付费环境中,MAC地址通知特性是一项必不可少的应用。
二、MAC地址通知与DHCP服务器结合使用
在现实工作中,很多网络管理员喜欢将MAC地址通知特性与DCHP服务器结合使用。因为这两个技术结合,可以起到1+1大于2的效果。在很大程度上提高网络的灵活性。如当DHCP服务器接收到新的IP地址请求的时候,服务器就会将MAC地址(MAC地址通知特性会将这个申请者的MAC地址发送给DCHP服务器)和数据库中的交换机以及端口信息进行验证。来自东判断用户的MAC地址或者端口信息是否是合法的或者是否收到某些限制。如判断这种请求是否来自贵宾用户或者付费用户。在实际工作中,这些用户往往具有比较高的优先级。如果系统检查通过了,那么DCHP服务器就会为主机分配一个IP地址。往往可以根据用户请求的类型分配不同段的IP地址。而在后台不同的IP地址又对应着不同的网络规则。如资源访问的限制、网络带宽的限制等等。并且相关的IP地址、MAC地址、用户帐户等信息都会被保存在数据库中,以便后续的查询、追踪与分析等等。
可见,如果MAC地址与DHCP服务器结合使用,可以提高网络管理的灵活性。特别是可以提高MAC地址匹配的效率。
三、MAC地址通知特性的主要用途
在以上的叙述中,笔者阐述了MAC地址通知特性的两个典型应用。那么读者或许会问,MAC地址特性到底有哪些用途呢?这是一个比较大的话题,很难用一两句话说明白。笔者结合自己的工作经验,总结了以下几点,供大家参考。
简单的说,MAC地址通知特性有两方面的用途。一是控制,二是记录。典型的接入层交换机能够根据交换机的端口连接到不同的用户,进而为其提供网络接入。所以说,通过使用MAC地址通知特性,不仅能够控制接入的状态,而且还可以记录用户网络接入的情况。万一网络出现故障,可以通过查询这些信息来迅速进行排错。
笔者以前就遇到过这种情况。企业的网络用的好好的,突然用户反映网络的速度变得非常的缓慢。企业中有比较好的防火墙。为此笔者认为很可能是内部出现了问题。如有些员工将病毒带入到了企业内部,从而破坏企业网络。笔者先查询了最近接入到网络中设备。笔者已经在交换机上启用了MAC地址通知特性。每当接入端口上增加一个新的MAC地址的时候,系统就可以通过交换机管理系统发送SNMP信息。在这个信息中,会告诉网络管理员用户所采用的端口号以及MAC地址信息。为此从这个信息中笔者可以轻易的查询到最近加入的设备,如终端等等。通过查询笔者发现就在20分钟之前,会议室多了一台电脑。很有可能因为这台电脑带有病毒,从而影响到了企业的网络。笔者果断的切断了这跟线,将连接这台可以电脑的交换机端口暂时禁用掉。果然,没过多久,网络就恢复正常了。所以,MAC地址通知特性有时候还是一个很好的排错工具。如果没有这个工具的帮助,笔者可能还需要一个个端口去排错。而有了这个工具之后,笔者可以在最短时间内找到可疑的故障点,从而尽快的恢复网络的正常运行。
所以说,MAC地址通知特性不仅仅在一些互联网的运营商那里可以使用。而且对于普通企业来说,也有不可替代的作用。如可以帮助网络管理员来控制一些临时终端的使用等等。一般来说,只要企业配置有比较完善的防火墙,那么病毒、木马等等很难从企业的外面找到突破口。恰恰相反,很多攻击都是从企业的内部下手。如用户或者业务伙伴使用自带的笔记本等终端设备。由于这些设备很可能本身就带有病毒。从而从内部破坏企业网络的稳定性。如果能够对这些外来的临时终端进行严格的管理控制,那么必然可以在很大程度上提高企业网络的安全与稳定。在这方面,MAC地址通知特性显然能够帮助网络管理员实现这个目标。
四、在思科交换机上的典型配置
目前市场上的产品,并不是所有的企业或者所有的产品线都支持这个特性。从思科的交换机来说,其也并不是所有的交换机都支持这个特性。如在基于ios软件的交换机中都没有得到普遍的支持。有些规格的交换机没有这个特性。如果企业需要这个特性的话,在选购交换机的时候,一定要确认清楚。笔者认为,至少要在一些关键的交换机或者关键的位置选购具有这个MAC地址特性的交换机。如在会议室、会客室等比较开放的地方,可能外来的人用的比较多。此时需要一个带有MAC地址特性的交换机。当有外来终端连接到企业网络的时候,管理员可以及时的了解这个信息。以便后续的追踪与排错。
作为网络管理员,如何判断是否需要使用这个特性的交换机上?综上所述,网络管理员或许也有一些直观的印象。如果一定要有一个判断标准的话,那么以下这条规则或许有用。通常情况下,如果管理员需要知道MAC地址变更的通知(如增加了新的终端等等), 则就需要这个MAC地址通知特性。否则的话,这个特性对于网络管理员来说,就没有实际的利用价值。
在思科的交换机上要启用这个特性也比较简单。一般来说通过四个步骤就可以实现。
一是全局启用MAC地址通知特性。这个配置主要用到如下命令:set cam notification enable。
二是如果需要追踪特定端口的,则根据实际情况来增减MAC地址通知。如果不需要追踪特定的端口,则可以忽略这一步。如果有需要的话,可以通过如下命令来配置:set cam notification。
三是指定MAC地址通知的时间间隔。这个步骤主要用来设置发送的频率。一般来说,这个频率并不是越高越好。太高的话,会占用比较大的带宽。如果没有特殊的需要,采用默认值即可。确实需要调整的话,可以通过如下命令调整。Set cam notification interval.
四十启用交换机发送MAC地址变更消息。这是一个非常重要的步骤。如果漏掉了这一步,那么管理员就不能够在第一时间内收到MAC地址变更的情况。在这个步骤中,主要用到如下命令:set snmp enable macnotification。