【IT168 專稿】現在很多地方的ISP都會通過MAC功能，也就是記錄你局域網中一臺機子的MAC地址來限制用戶多機共享上網。什么是MAC地址呢？又該怎么應對MAC上網限制呢？

    一、了解MAC地址

    網絡設備（包含各種有線無線網卡、寬帶MODEM、寬帶路由器等等）在使用中有兩類地址，一類是IP地址，另一類就是MAC地址。MAC（Media Access Control，介質訪問控制）地址也就是網絡設備的物理地址，是識別LAN（局域網）電腦的標識。

    其長度為48位二進制數，由12個00~0FFH的16進制數組成，每個16進制數之間用“：”隔開，如一塊網絡設備的MAC地址為“08：00：20：0A：8D：6E”，其中前6位16進制數08：00：20代表網絡硬件制造商的編號，它由IEEE（電氣與電子工程師協(xié)會）分配，而后3位16進制數0A：8D：6E代表該制造商所制造的某個網絡產品（如網卡）的編號。

    IP地址與MAC地址在計算機里都是以二進制表示的，IP地址是32位的，而MAC地址則是48位的。IEEE將以太網地址，分為若干獨立的連續(xù)地址組，生產以太網網絡設備的廠家就購買其中一組，具體生產時，物理地址通常是由網卡生產廠家燒入網卡的EPROM（一種閃存芯片，通?？梢酝ㄟ^程序擦寫），以便象“身份證”一樣在傳輸數據時標識發(fā)出數據的電腦和接收數據的主機的地址。

    正是由于MAC地址就如同我們的身份證一樣是網絡設備自身的惟一標識，寬帶接入商便可根據MAC地址來封殺家庭中更多的接入電腦。

    二、盾，如何限制MAC地址

    IP地址就如同一臺汽車，而MAC地址就好比是去操作這輛車必需擁有的駕駛證，只要有駕駛證都可去開這輛車，但必需要有合法的駕駛證才行，否則就要被罰款或禁駕，也就是說IP地址與MAC地址并不存在著必然的綁定關系。而網絡中的數據包在節(jié)點之間的移動都是由ARP（Address Resolution Protocol：地址解析協(xié)議）負責將IP地址映射到MAC地址上來完成的，所以要想在移動中準確的找到要去的“站點”，固定的MAC地址就必不可少。

    也正是由于MAC地址是網絡設備的惟一標識，這種惟一性恰好給網絡管理帶來了福音，ISP通過捆綁IP和MAC地址，就可以輕松防止局域網中IP地址盜用或共享上網現象，阻止非法接入者。

    多數路由器或網管交換機都具備這類功能，支持IP地址和MAC地址綁定，管理人員可根據IP地址、端口、MAC地址來控制用戶訪問國際互聯網，防止非法用戶訪問有線或無線網絡，防范IP欺騙等攻擊。對于動態(tài)IP，做一個DHCP服務器來綁定用戶網卡MAC地址和IP地址，然后再根據不同IP設定權限。

    對于路由器或網管交換機可通過MAC地址過濾策略來達到此目標，單擊“導入地址”可以導入在主程序界面中所有電腦的MAC與IP地址。如果某一MAC地址的策略為通過，則允許該MAC地址通過；如果某一MAC地址的策略為攔截，則禁止該MAC地址通過。如果選中“地址綁定”，則可將該MAC地址與IP地址綁定，地址綁定后，該MAC地址只能使用指定的IP地址，如果更改為其他的IP地址則亦不允許通過。

    對于靜態(tài)IP，如果用三層交換機的話，可以在交換機的每個端口上做IP地址和MAC地址的限定。方法是在布線時把用戶墻上的接線盒和交換機的端口一一對應，然后把收集上來的MAC地址填入對應的交換機端口，進而再和IP一起綁定，達到IP-MAC-PORT（端口）的三者綁定。這樣如果改變某臺客戶端的IP地址和MAC地址或有其它客戶端的IP地址和MAC地址，這臺PC或其它電腦也就不能連通網絡。

    而在實際操作時，對于很多通過局域網接入的寬帶網絡來說，安裝人員可很容易的將IP地址和MAC地址捆綁起來，限制多機共享。

三、矛，如何突破MAC限制

    綁定MAC地址與IP地址對于網絡管理者或運營商來說就是防止IP盜用的一個常用的、簡單的、有效的措施。但對于很多家庭用戶來說，卻大大弱化了多機寬帶的利用率及使用方便度。一般來說，要想突破這種限制（假使有的話），可用以下幾種方法：

    ① 修改網卡MAC地址

    MAC地址存儲在網卡的EEPROM中并且唯一確定，但網卡驅動在發(fā)送Ethernet報文時，并不從EEPROM中讀取MAC地址，而是在內存中來建立一塊緩存區(qū)，Ethernet報文從中讀取源MAC地址。而且，用戶可以通過操作系統(tǒng)修改實際發(fā)送的Ethernet報文中的源MAC地址。

    打開“網上鄰居”屬性，選中對應的網卡并選擇屬性，在屬性頁的“常規(guī)”頁中點擊“配置”按鈕。在配置屬性頁中選擇“高級”，再在“屬性”欄中選擇“Network Address”，在“值”欄中選中輸人框，然后在輸人框中輸人正常接入那臺電腦的MAC地址，再設為相同的IP地址，就可單機正常上網。但這種方法只適合于某臺電腦需要臨時上網的情況。

    ② 利用主機共享上網

    ARP命令僅對局域網的上網代理服務器有用，而且是針對靜態(tài)IP地址，如果采用MODEM撥號上網或是動態(tài)IP地址就不起作用，所以大家完全可用ICS這類網關類軟件達到多機共享目標。

    其實現方法我們以前有多次介紹，現在簡述如下。主機采用MODEM撥號上網，主機IP設為192.168.0.1，客戶機IP為192.168.0.2，默認網關192.168.0.1，然后在主機中啟用連接共享即可。這種方法也可通過交換機實現多機接入，但缺點也顯而易見，必需占用一臺主機做服務器。

    ③ 利用MAC地址克隆

    對付MAC綁定最好的辦法還是通過MAC地址克隆功能，目前大多數ADSL MODEM、寬帶路由器、無線路由器都具備此功能。MAC地址克隆的原理就是將被綁定的那臺電腦的網卡MAC地址故意暴露給ISP服務器看，讓ISP服務器認為只使用了單臺的電腦，而實際上多臺電腦在共享上網。

    要實現MAC地址克隆功能很簡單，只需在被綁定的那臺電腦上，進入寬帶路由器、無線路由器的WEB設置頁面，找到“WAN”或“Clone MAC”選項，選擇“Clone MAC（克隆MAC地址）”，便可將當前計算機的網卡的MAC地址克隆到路由器的廣域網（WAN）端口。保存后重新啟動寬帶路由器、無線路由器即可正常的多機共享上網沖浪了。