無線網(wǎng)絡管控技術

IP與MAC綁定技術

IP與MAC綁定技術，通過在核心交換機或路由器上將IP與MAC地址做ARP靜態(tài)綁定實現(xiàn)。這種技術適用于靜態(tài)分配地址的網(wǎng)絡環(huán)境，只要將局域網(wǎng)內(nèi)的合法終端設備的IP和MAC地址綁定，則外來電腦、無線路由器等設備由于沒有加入到公司的IPMAC綁定列表中，自然也就無法接入公司局域網(wǎng)了。同時，采用這種技術也可以防止員工私自修改IP和MAC地址而引發(fā)局域網(wǎng)IP地址沖突的情況發(fā)生。

但是這種技術有比較大的局限性，主要有如下幾點。

1.該技術只能應用于靜態(tài)分配地址的網(wǎng)絡環(huán)境，對于使用DHCP動態(tài)分配地址的環(huán)境，由于終端獲取的IP是變化的，也就無法做這種靜態(tài)綁定，這也決定了該項技術在大型網(wǎng)絡中難以得到應用。

2.使用該技術會使網(wǎng)絡管理人員的工作量倍增，工作效率低下。任意需要接入局域網(wǎng)的終端，都需要向網(wǎng)絡管理人員申請加入IP與MAC綁定列表，這對于訪客較多的企業(yè)來說是不現(xiàn)實的。

3.該技術存在一定的安全漏洞，很容易被一些稍微懂網(wǎng)絡技術的員工繞過。比如將無線路由器的IP地址和MAC地址改為已被授權的電腦的IP和MAC地址，這樣就能繞過公司的IP和MAC地址綁定列表而重新啟用無線路由器。

無線管控網(wǎng)關

隨著企業(yè)內(nèi)部私接無線路由器的現(xiàn)象日益增多，不少安全設備廠商也推出了能夠識別和管控無線終端的上網(wǎng)行為管理設備。這種設備部署在Internet網(wǎng)絡出口處，以透明模式或者網(wǎng)關模式進行部署，主要目的是管控“一拖N”的無線路由器和手機、PAD等無線終端的上網(wǎng)行為。工作原理是將流經(jīng)設備的數(shù)據(jù)包進行拆包分析，結(jié)合特征資源庫，根據(jù)端口以及Android、IOS系統(tǒng)上APP應用流量的特征碼,來識別無線路由器及智能無線終端，然后針對IP或者應用類型對相應的終端進行管控。

這種設備主要能夠?qū)崿F(xiàn)的功能如下。

1.識別“一拖N”的無線路由器，并且能夠控制無線路由器接入的終端數(shù)量，超出允許接入數(shù)量限制的無線終端，將被禁止上網(wǎng)。

2.識別接入的無線智能終端類型（Android或IOS等），并能夠基于IP或者應用類型進行管控。

3.提供比較直觀的報表系統(tǒng)，能夠以圖表的方式顯示歷史記錄和未來的趨勢。

當前一些主流網(wǎng)絡設備廠商，都已經(jīng)正式推出支持無線管控的上網(wǎng)行為管理產(chǎn)品，但是由于無線管控屬于企業(yè)比較新的需求，各廠家仍在不斷開發(fā)新的功能，相信在不久后會推出更加完善的產(chǎn)品。

旁路的自動檢測軟件

當前市場上也出現(xiàn)了一些能夠檢測無線路由器的軟件，這類軟件基本都是旁路部署方式，安裝在局域網(wǎng)內(nèi)一臺服務器上，然后通過端口鏡像的方式將核心交換機的流量引導至該服務器上進行分析，工作原理比較類似于著名的抓包工具Sniffer。這類軟件通過分析鏡像流量，可以識別出無線路由器，但是無法對其進行有效管控；即使有些軟件號稱能夠管控無線路由器，但也要求所有終端必須在同一IP網(wǎng)段內(nèi)，而且管控的手段也很單一，即通過ARP阻斷方式直接封禁對應的無線路由器，這對于網(wǎng)內(nèi)有多個VLAN或者網(wǎng)段的企業(yè)來說，根本沒有意義。所以，這種軟件注定難以得到廣泛應用。