創(chuàng)建DHCP服務(wù)器管理局域網(wǎng)

1、創(chuàng)建DHCP服務(wù)器管理局域網(wǎng)對(duì)于一定規(guī)模的局域網(wǎng)，我們一般使用DHCP服務(wù)來動(dòng)態(tài)處理客戶端的IP地址配置?？墒钱?dāng)某一客戶通過DHCP聯(lián)入本地局域網(wǎng)，就可以訪問本地共享資源或帶來病毒，給我們的本地網(wǎng)絡(luò)帶來安全隱患。如何才能防止未經(jīng)授權(quán)的機(jī)器得到公司網(wǎng)絡(luò)中機(jī)器的DHCP地址信息呢？局域網(wǎng)中的機(jī)器要進(jìn)行網(wǎng)絡(luò)通訊或資源存取前,必須進(jìn)行基本的網(wǎng)絡(luò)參數(shù)配置（如IP、DNS、網(wǎng)關(guān)等），這種參數(shù)可以靜態(tài)分配或動(dòng)態(tài)獲得。手工配置地址雖然可靠，但對(duì)于一定規(guī)模的局域網(wǎng)相當(dāng)費(fèi)時(shí)并容易出錯(cuò)。這時(shí)我們需要用到DHCP服務(wù)（動(dòng)態(tài)主機(jī)配置協(xié)議），來動(dòng)態(tài)處理客戶端的IP地址配置。DHCP可以通過租約和預(yù)置IP相聯(lián)系，提供為本地

2、TCP/IP網(wǎng)絡(luò)上自動(dòng)并安全地分配和租用IP地址信息，從而實(shí)現(xiàn)IP的集中式管理，基本上不需要管理員的人為干預(yù)。但事情總會(huì)有其兩面性，雖然DHCP服務(wù)可以自動(dòng)地為客戶端分配IP信息，可是當(dāng)某一客戶通過DHCP聯(lián)入本地局域網(wǎng)，就可以訪問本地共享資源或一些敏感資料。即使對(duì)方?jīng)]有惡意，但客戶機(jī)上可能有一些病毒或木馬會(huì)危害本地網(wǎng)絡(luò)的安全。所以，不僅是服務(wù)器端需要安全配置，對(duì)客戶端也應(yīng)該有些針對(duì)性的管理。其實(shí)我們可以為客戶端的機(jī)器創(chuàng)建一個(gè)DHCP類，在DHCP服務(wù)器上為該類指定一個(gè)網(wǎng)關(guān)、DNS信息，如果沒有此DHCP類的機(jī)器將無法得到此網(wǎng)關(guān)或DNS信息，當(dāng)然也就無法取得相關(guān)配置或權(quán)限，如因特網(wǎng)的訪問權(quán)。這

3、里我們來探討如何設(shè)置DHCP類，來防止未經(jīng)授權(quán)的機(jī)器得到公司網(wǎng)絡(luò)中機(jī)器的DHCP地址信息（以下操作皆在同一網(wǎng)段內(nèi)實(shí)現(xiàn)）。創(chuàng)建DHCP用戶類或供應(yīng)商類1. 創(chuàng)建一個(gè)新用戶或者提供商選項(xiàng)類（1） 啟動(dòng)DHCP管理器，在控制臺(tái)樹結(jié)構(gòu)中，點(diǎn)擊“可使用的DHCP服務(wù)器”。這里我們右擊“winsrv服務(wù)器”，然后點(diǎn)擊“定義用戶類”來創(chuàng)建一個(gè)新的用戶類，或者點(diǎn)擊“定義提供商類”來創(chuàng)建一個(gè)新的提供商類。點(diǎn)擊“添加”。（2） 在“新建類別”對(duì)話框中，在“顯示名字”編輯框中為新的選項(xiàng)輸入一個(gè)描述性的標(biāo)識(shí)名字，在這里我們輸入“l(fā)ong”，在“說明”框中您也可以隨意添加附加信息，這里為了方便我們省略了。在ID或者AS

4、CII下輸入由DHCP客戶端提供的數(shù)據(jù)，DHCP服務(wù)器服務(wù)中要用這些數(shù)據(jù)來匹配類ID。點(diǎn)擊“文本輸入框”的左側(cè)，以十六進(jìn)制字節(jié)數(shù)值輸入數(shù)據(jù)。點(diǎn)擊文本輸入框的右側(cè)，以ASCII文本字符值輸入數(shù)據(jù)。這里我們還是輸入“l(fā)ong”，點(diǎn)擊“確定”，然后點(diǎn)擊“關(guān)閉”。至此我們已經(jīng)定義好了一個(gè) ID為L(zhǎng)ong的DHCP用戶類，下面需要對(duì)此用戶類進(jìn)行配置。2. 配置用戶類右擊“作用域選項(xiàng)”，選擇“高級(jí)”，在下面的“用戶類別”中選擇剛才創(chuàng)建的用戶類別“Long”，然后在下面的可用選項(xiàng)中選擇需要配置的選項(xiàng)，一般我們選擇“003路由器”和“006 DNS服務(wù)器”，以及“051 租約”等選項(xiàng)。DNS的設(shè)置選擇“006

5、 DNS服務(wù)器”，在下面的IP地址輸入本地DNS服務(wù)器地址，按“添加”就可以了如下圖路由器的設(shè)置基本一樣。對(duì)于租約的填寫，需要注意的是在下面的長(zhǎng)類型中要輸入的是16進(jìn)制的數(shù)字，比如我們假設(shè)租約為10天（即864000秒），直接輸入十進(jìn)制864000，按“確定”，系統(tǒng)會(huì)自動(dòng)顯示為16進(jìn)制數(shù)。為客戶機(jī)設(shè)置指定的DHCP類ID串連接到基于Windows 2000的DHCP服務(wù)器的客戶端計(jì)算機(jī)，可以使用下面的命令來設(shè)置指定的DHCP類ID串：ipconfig /setclassid adapter_name class_id例如，要對(duì)一個(gè)稱之為“局域網(wǎng)連接”的網(wǎng)卡配置用戶類ID為“myuserclas

6、s”的DHCP類，只需要在命令行中輸入ipconfig /setclassid “Local Area Connection” myuserclass，然后按下回車即可。在客戶端只有一塊網(wǎng)卡，所以這里也可以這樣寫 “ipconfig /setclassid * long”，星號(hào)代表本地所有連接，這樣客戶端就會(huì)使用ID為L(zhǎng)ong的DHCP用戶類。圖2為已配置好的Windows 2000系統(tǒng)客戶端的本地網(wǎng)絡(luò)參數(shù)。從下圖中我們可以看到，租約為10天，就是我們剛才配置的租期。DHCP Class ID 為long，DNS Servers和DHCP Servers還有網(wǎng)關(guān)皆為先前所設(shè)定值。大功告成啦！目

7、的基本達(dá)到了，可是總是會(huì)有新的問題出現(xiàn)。顯然這種手動(dòng)為客戶端設(shè)置的方法工作量是很大的，為了解決這個(gè)問題，我們可以通過域給客戶端設(shè)置登錄腳本，讓用戶登錄域的同時(shí)自動(dòng)執(zhí)行此腳本。設(shè)置登錄腳本首先編寫一個(gè)批處理文件DHCP.BAT。EchoIpconfig/setclassid * long (*代表所有本地連接，這里針對(duì)的是客戶端只有一塊網(wǎng)卡)將此腳本放在DC的NETLOGON目錄下，并在域中為相應(yīng)的OU或用戶設(shè)置登錄腳本，這樣當(dāng)用戶登錄到域時(shí)，會(huì)自動(dòng)執(zhí)行這個(gè)腳本命令，客戶端也會(huì)得到相應(yīng)的IP配置信息，這樣未被授權(quán)的用戶就沒辦法登錄網(wǎng)絡(luò)。當(dāng)然我們還可以對(duì)DHCP服務(wù)器進(jìn)行授權(quán)管理，這需要通過DC上

8、的DHCP服務(wù)對(duì)域內(nèi)的其他服務(wù)器進(jìn)行連接，并授權(quán)管理，這樣未被授權(quán)的DHCP服務(wù)器在域中也是沒有辦法運(yùn)行的。解決在DHCP環(huán)境下私自指定IP和私自搭建DHCP服務(wù)器的方法DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）是一種簡(jiǎn)化主機(jī)IP地址配置管理的TCP/IP標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為DHCP服務(wù)器的使用提供了一種有效的方法：即管理網(wǎng)絡(luò)中客戶機(jī)IP地址的動(dòng)態(tài)分配以及啟用網(wǎng)絡(luò)上DHCP客戶機(jī)的其它相關(guān)配置信息。在基于TCPIP協(xié)議的網(wǎng)絡(luò)中，每臺(tái)計(jì)算機(jī)都必須有唯一的IP地址才能訪問網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)中計(jì)算機(jī)之間的通信是通過IP地址來實(shí)現(xiàn)的，并且通過IP地址和子網(wǎng)掩碼來標(biāo)識(shí)主計(jì)算機(jī)及其所連接的子網(wǎng)。在局域網(wǎng)中如果計(jì)算機(jī)的數(shù)量比較

9、少，當(dāng)然可以手動(dòng)設(shè)置其IP地址，但是如果在計(jì)算機(jī)的數(shù)量較多并且劃分了多個(gè)子網(wǎng)的情況下，為計(jì)算機(jī)配置IP地址所涉及的管理員工作量和復(fù)雜性就會(huì)相當(dāng)繁重，而且容易出錯(cuò)，如在實(shí)際使用過程中，我們經(jīng)常會(huì)遇到因IP地址沖突、網(wǎng)關(guān)或DNS服務(wù)器地址的設(shè)置錯(cuò)誤導(dǎo)致無法訪問網(wǎng)絡(luò)、機(jī)器經(jīng)常變動(dòng)位置而不得不頻繁地更換IP地址等問題。DHCP則很好地解決了上述的問題，通過在網(wǎng)絡(luò)上安裝和配置DHCP服務(wù)器，啟用了DHCP的客戶機(jī)可在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí)自動(dòng)地獲得其上網(wǎng)所需的IP地址和相關(guān)的配置參數(shù)。從而減少了配置管理，提供了安全而可靠的配置。配置DHCP服務(wù)的服務(wù)器可以為每一個(gè)網(wǎng)絡(luò)客戶提供一個(gè)IP地址、子網(wǎng)掩碼、缺省網(wǎng)

10、關(guān)，以及DNS服務(wù)器的地址。DHCP避免了因手工設(shè)置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯(cuò)誤，也避免了把一個(gè)IP地址分配給多臺(tái)主機(jī)所造成的地址沖突。降低了IP地址管理員的設(shè)置負(fù)擔(dān)，使用DHCP服務(wù)器可以大大地縮短配置網(wǎng)絡(luò)中主機(jī)所花費(fèi)的時(shí)間。但是，隨著DHCP服務(wù)的廣泛應(yīng)用，也產(chǎn)生了一些問題。首先，DHCP服務(wù)允許在一個(gè)子網(wǎng)內(nèi)存在多臺(tái)DHCP服務(wù)器，這就意味著管理員無法保證客戶端只能從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址，而不從一些用戶自建的非法DHCP服務(wù)器中取得IP地址；其次，在部署DHCP服務(wù)的子網(wǎng)中，指定了合法的IP地址、掩碼和網(wǎng)關(guān)的主機(jī)也可以正常地訪問網(wǎng)絡(luò)，而DHCP服務(wù)器卻仍然會(huì)有

11、可能將該地址分配給其他主機(jī)，這樣就會(huì)造成地址沖突，影響IP地址的正常分配。DHCP服務(wù)在網(wǎng)絡(luò)中的廣泛應(yīng)用，極大地減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，方便了用戶使用網(wǎng)絡(luò)。但是由于有些用戶私自指定IP地址，造成了IP地址自動(dòng)分配時(shí)引起的IP地址沖突，進(jìn)而影響其他用戶的使用。我們經(jīng)過實(shí)際測(cè)試，給出了上述解決方案，本方法不僅適合于Cisco的3750交換機(jī)，也適用于Cisco的65系列交換機(jī)。DHCP防指定IP地址的方法在我校已經(jīng)得到了成功的應(yīng)用，經(jīng)過實(shí)踐檢驗(yàn)，我們認(rèn)為這是一個(gè)非常實(shí)用的功能。在系統(tǒng)設(shè)置好以后，網(wǎng)絡(luò)中的用戶只有設(shè)置為自動(dòng)獲取IP地址才能上網(wǎng)，否則將無法上網(wǎng)。從而解決了在使用DHCP的網(wǎng)絡(luò)中，用戶私

12、自指定IP地址而帶來的IP地址沖突問題。如果公司內(nèi)網(wǎng)由于用戶自行安裝了Windows Server版本的操作系統(tǒng)而小心啟用了DHCP服務(wù)，或其他因素在內(nèi)網(wǎng)中出現(xiàn)了非授權(quán)的DHCP服務(wù)器，會(huì)給網(wǎng)絡(luò)造成什么樣的影響呢？DHCP server可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但是，此時(shí)如果服務(wù)器和客戶端沒有認(rèn)證機(jī)制，網(wǎng)絡(luò)上存在的非法的DHCP服務(wù)器將會(huì)給部分主機(jī)的地址分配、網(wǎng)關(guān)及DNS參數(shù)照成混亂，導(dǎo)致主機(jī)無法連接到外部網(wǎng)絡(luò)。出現(xiàn)這種情況，如何解決這些問題呢？作為客戶端計(jì)算機(jī)來說，可以嘗試使用ipconfig /releas

13、e釋放獲得的網(wǎng)絡(luò)參數(shù)后，然后用ipconfig /renew重新嘗試獲取正確的DHCP服務(wù)器配置服務(wù)，但這種方法很被動(dòng)，往往要十幾次甚至幾十次才偶爾有可能成功一次，不能從根本解決問題。另外一個(gè)解決辦法，在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非法DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對(duì)非法DHCP服務(wù)器進(jìn)行過濾。將合法的DHCP服務(wù)器添加到活動(dòng)目錄（Active Directory）中，通過這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCP Server在相應(yīng)請(qǐng)求前，會(huì)向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCPINFORM查詢包

14、，如果其他DHCP Server有響應(yīng)，那么這個(gè)DHCP Server就不能對(duì)客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級(jí)比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非法的就不起任何作用了。授權(quán)合法DHCP的過程如下：第一步：開始->程序->管理工具->DHCP第二步：選擇DHCP root, 用鼠標(biāo)右鍵單擊，然后瀏覽選擇需要認(rèn)證的服務(wù)器。第三步：點(diǎn)“添加”按鈕, 輸入要認(rèn)證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。但是該方法只適用于非法DHCP服務(wù)器是windows系統(tǒng)，需要用到域和活動(dòng)目錄，配置較復(fù)雜，另外對(duì)于非Windows的操作系統(tǒng),就

15、顯得力不從心了。還有更好的方法，就是利用交換機(jī)的DHCP監(jiān)聽，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，也就是過濾掉非法DHCP服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包。首先定義交換機(jī)上的信任端口和不信任端口，將DHCP服務(wù)器所連接的端口定義為信任端口，其它連接到普通客戶端的端口全部定義為不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，drop掉來自這些端口的非正常 DHCP 報(bào)文，從而達(dá)到過濾非法DHCP服務(wù)器的目的。用好DHCP服務(wù)器三法現(xiàn)代企業(yè)網(wǎng)絡(luò)的規(guī)模越來越大，面對(duì)數(shù)量如此眾多的客戶機(jī)，在客戶端手工為每臺(tái)機(jī)器逐一進(jìn)行TCP/IP配置是非常麻煩的，因此很多網(wǎng)管人

16、員使用Windows 系統(tǒng)的DHCP（Dynamic Host Configuration Protocol）服務(wù)器來動(dòng)態(tài)分配TCP/IP配置。對(duì)DHCP服務(wù)器想必大家都不陌生，但你真的用好了嗎？可能還有很多實(shí)用的DHCP服務(wù)器配置小技巧，平時(shí)你并沒有注意過，下修改網(wǎng)關(guān)和DNS服務(wù)器面就一起來看吧！圖1 修改網(wǎng)關(guān)地址由于工作需要，有些局域網(wǎng)經(jīng)常要修改網(wǎng)關(guān)和DNS服務(wù)器地址。其實(shí)DHCP服務(wù)器中就集成了配置網(wǎng)關(guān)和DNS服務(wù)器功能，只是大家平時(shí)僅僅注意到它的動(dòng)態(tài)IP地址分配功能，忽略了其它。既然在DHCP服務(wù)器中可以配置默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器，那么修改客戶機(jī)使用的默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器就變得非常簡(jiǎn)

17、單了，在DHCP服務(wù)器中就能完成。在DHCP管理器窗口中，展開作用域，選中“作用域選項(xiàng)”，右側(cè)框體中顯示出路由器和DNS服務(wù)器項(xiàng)。雙擊“路由器”，彈出“作用域選項(xiàng)”對(duì)話框（如圖1），在默認(rèn)網(wǎng)關(guān)列表框中選中原來的網(wǎng)關(guān)IP地址后，點(diǎn)擊“刪除”，接著在“IP地址”欄中輸入新網(wǎng)關(guān)IP地址，點(diǎn)擊“添加”按鈕即可，最后點(diǎn)擊“確定”按鈕完成默認(rèn)網(wǎng)關(guān)的修改。DNS服務(wù)器的修改方法是相同的，就不在贅述了。捆綁IP地址和MAC地址為防止非法盜用IP地址，網(wǎng)管人員采取多種手段，實(shí)現(xiàn)IP地址和MAC地址的捆綁，使用DHCP服務(wù)器就是其中一種，它也集成了綁定功能。查找客戶MAC地址要想使用DHCP服務(wù)器，實(shí)現(xiàn)IP地址和

18、MAC地址的綁定，首先要知道客戶機(jī)的MAC地址。在客戶端，可以使用“ipconfig/all”命令實(shí)現(xiàn)MAC地址的查詢?？焖俳壎▓D2 綁定MAC地址知道客戶機(jī)的MAC地址后，就可以在DHCP服務(wù)器端進(jìn)行IP地址和MAC地址的綁定了。打開DHCP管理器，展開客戶機(jī)所使用的作用域，右鍵點(diǎn)擊“保留”選項(xiàng)，選擇“新建保留”，彈出配置對(duì)話框（如圖2）。在“保留名稱”欄中為該項(xiàng)目起個(gè)名，然后在“IP地址”欄中輸入客戶機(jī)要使用的IP地址，“MAC地址”欄中輸入該客戶機(jī)的MAC地址，然后在“支持類型”框中選擇“兩者”選項(xiàng)，最后點(diǎn)擊“添加”按鈕，完成了客戶機(jī)的IP地址和MAC地址綁定?？缱泳W(wǎng)使用DHCP服務(wù)器為

19、了提高網(wǎng)絡(luò)的安全性，規(guī)模稍大的局域網(wǎng)通常要?jiǎng)澐譃槎鄠€(gè)子網(wǎng)。但DHCP服務(wù)器只能為本子網(wǎng)的機(jī)器提供服務(wù)，每個(gè)子網(wǎng)都配置DHCP服務(wù)器又會(huì)造成浪費(fèi)。如何讓一臺(tái)DHCP服務(wù)器能同時(shí)為多個(gè)子網(wǎng)提供TCP/IP配置服務(wù)呢？筆者以所管理的兩個(gè)子網(wǎng)A、B為例，子網(wǎng)A中配置了一臺(tái)DHCP服務(wù)器，子網(wǎng)B中沒有DHCP服務(wù)器，下面在子網(wǎng)B進(jìn)行如下配置操作：1 配置路由在子網(wǎng)B中選擇一臺(tái)Windows 2003機(jī)器，將其配置成路由器，用來連接A、B兩個(gè)子網(wǎng)。進(jìn)入“控制面板管理工具”，運(yùn)行“路由和遠(yuǎn)程訪問”工具，右鍵點(diǎn)擊本地服務(wù)器，選擇“配置并啟用路由及遠(yuǎn)程訪問”，彈出安裝向?qū)?duì)話框，選擇“自定義配置”，點(diǎn)擊“下一步

20、”后，選擇“LAN路由”，最后點(diǎn)擊“完成”。2 配置中繼代理在路由和遠(yuǎn)程訪問窗口中，展開“本地服務(wù)器IP路由選擇常規(guī)”，右鍵點(diǎn)擊“常規(guī)”，選擇“新增路由協(xié)議”，接著在新路由協(xié)議窗口中選擇“DHCP中繼代理程序”，點(diǎn)擊“確定”按鈕。右鍵點(diǎn)擊DHCP中繼代理程序，選擇“屬性”，彈出“DHCP中繼代理程序?qū)傩浴睂?duì)話框，在“常規(guī)”標(biāo)簽頁的“服務(wù)器地址”欄中輸入子網(wǎng)A的DHCP服務(wù)器的IP地址，然后點(diǎn)擊“添加”按鈕，最后點(diǎn)擊“確定”即可。右鍵再次點(diǎn)擊DHCP中繼代理程序，選擇“新增接口”，彈出DHCP中繼代理程序的新接口對(duì)話框，在“接口”框中選中可以訪問子網(wǎng)A的那個(gè)接口，也就是連接子網(wǎng)A的網(wǎng)卡，點(diǎn)擊“確

21、定”按鈕。接著在彈出的“DHCP中繼站屬性”對(duì)話框中，確保選中“中繼DHCP數(shù)據(jù)包”后，就啟用了它的中繼功能，最后點(diǎn)擊“確定”按鈕。完成以上配置，子網(wǎng)B的客戶機(jī)就可以使用子網(wǎng)A的DHCP服務(wù)器了。提示：中繼代理是為不在同一子網(wǎng)中的DHCP客戶機(jī)和DHCP服務(wù)器之間中轉(zhuǎn)DHCP/BOOTP消息的小程序，下面把這臺(tái)Windows 2003機(jī)器配置成DHCP中繼代理服務(wù)器。這樣當(dāng)子網(wǎng)B的客戶機(jī)發(fā)出請(qǐng)求時(shí)，中繼代理就把這個(gè)請(qǐng)求轉(zhuǎn)發(fā)給子網(wǎng)A的DHCP服務(wù)器，接著再把DHCP服務(wù)器返回的TCP/IP配置信息轉(zhuǎn)發(fā)給子網(wǎng)B的客戶機(jī)。MAC地址的原理分析以及相關(guān)應(yīng)用介紹IP地址與MAC地址< /P>

22、在日常的計(jì)算機(jī)使用過程中，大家都知道IP地址只要規(guī)劃合理，你可以任意更改IP地址。修改的方法也是比較簡(jiǎn)單的，只要在對(duì)應(yīng)網(wǎng)卡的TCP/IP協(xié)議上雙擊一下然后修改參數(shù)就行了。那么MAC地址與IP地址同為地址，它們之間有什么地方相似又有什么地方不同呢？下面就讓我們一起來看看吧，了解它們的差異與類似之處便于我們更好的掌握。在OSI（Open System Interconnection，開放系統(tǒng)互連）7層網(wǎng)絡(luò)協(xié)議參考模型中，第二層為數(shù)據(jù)鏈路層（Data Link）。MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫在硬件內(nèi)部。IP地址與MAC地址在計(jì)算機(jī)里都是以二進(jìn)制表示的，IP地址

23、是32位的，而MAC地址則是48位的。MAC地址的長(zhǎng)度為48位（6個(gè)字節(jié)），通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用冒號(hào)隔開，如：08:00:20:0A:8C:6D就是一個(gè)MAC地址，其中前6位16進(jìn)制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號(hào)，它由IEEE（電氣與電子工程師協(xié)會(huì)）分配，而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號(hào)。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。與MAC地址相關(guān)的命令與軟件在人類社會(huì)社交中，我們認(rèn)識(shí)一個(gè)人往往只會(huì)知道他的姓名，而身份證號(hào)碼在一般的人際交往中會(huì)被忽略。同樣在網(wǎng)絡(luò)中，我們往往只會(huì)知

24、道同事或者網(wǎng)友的IP地址，并不會(huì)去過多地關(guān)心對(duì)方的MAC地址。要成長(zhǎng)為網(wǎng)絡(luò)高手，我們可以使用一些方法去了解對(duì)方的MAC地址。在這里介紹兩種常用的方法，在Windows 9x 中可用WinIPcfg獲得，在Windows 2000/XP中可用IPconfig -all獲得。使用命令只能單條獲得MAC地址，而且使用起來也是很麻煩的。對(duì)于網(wǎng)管人員，更希望有一款簡(jiǎn)單化操作的軟件，我們可以利用“MAC掃描器（局域網(wǎng) MAC 網(wǎng)卡地址掃瞄器 MacDraw221 ）”遠(yuǎn)程批量獲取MAC地址。它是用于批量獲取遠(yuǎn)程計(jì)算機(jī)網(wǎng)卡物理地址的一款網(wǎng)絡(luò)管理軟件。該軟件運(yùn)行于網(wǎng)絡(luò)(局域網(wǎng)、Internet都可以)內(nèi)的一臺(tái)機(jī)器上，即可監(jiān)控整個(gè)網(wǎng)絡(luò)的連接情況，實(shí)時(shí)檢測(cè)各用戶的IP、MAC、主機(jī)名、用戶名等并記錄以供查詢，可以由用戶自己加以備注；能進(jìn)行跨網(wǎng)段掃描，能和數(shù)據(jù)庫中得IP和MAC地址進(jìn)行比較，有修改IP的或使用虛假M(fèi)AC地址的，都能報(bào)警。更改MAC地址一般MAC地址在網(wǎng)卡中是固定的，當(dāng)然也有網(wǎng)絡(luò)高手會(huì)想辦法去修改自己的MAC地址。修改自己的MAC地址有兩種方法，一種是硬件修改，另外一種是軟件修改。硬件的方法就是直接對(duì)網(wǎng)卡進(jìn)行操作，修改保存在網(wǎng)卡的EPROM里面的MAC地址，通過網(wǎng)卡生產(chǎn)廠