无线网络管控技术

IP与MAC绑定技术

IP与MAC绑定技术，通过在核心交换机或路由器上将IP与MAC地址做ARP静态绑定实现。这种技术适用于静态分配地址的网络环境，只要将局域网内的合法终端设备的IP和MAC地址绑定，则外来电脑、无线路由器等设备由于没有加入到公司的IPMAC绑定列表中，自然也就无法接入公司局域网了。同时，采用这种技术也可以防止员工私自修改IP和MAC地址而引发局域网IP地址冲突的情况发生。

但是这种技术有比较大的局限性，主要有如下几点。

1.该技术只能应用于静态分配地址的网络环境，对于使用DHCP动态分配地址的环境，由于终端获取的IP是变化的，也就无法做这种静态绑定，这也决定了该项技术在大型网络中难以得到应用。

2.使用该技术会使网络管理人员的工作量倍增，工作效率低下。任意需要接入局域网的终端，都需要向网络管理人员申请加入IP与MAC绑定列表，这对于访客较多的企业来说是不现实的。

3.该技术存在一定的安全漏洞，很容易被一些稍微懂网络技术的员工绕过。比如将无线路由器的IP地址和MAC地址改为已被授权的电脑的IP和MAC地址，这样就能绕过公司的IP和MAC地址绑定列表而重新启用无线路由器。

无线管控网关

随着企业内部私接无线路由器的现象日益增多，不少安全设备厂商也推出了能够识别和管控无线终端的上网行为管理设备。这种设备部署在Internet网络出口处，以透明模式或者网关模式进行部署，主要目的是管控“一拖N”的无线路由器和手机、PAD等无线终端的上网行为。工作原理是将流经设备的数据包进行拆包分析，结合特征资源库，根据端口以及Android、IOS系统上APP应用流量的特征码,来识别无线路由器及智能无线终端，然后针对IP或者应用类型对相应的终端进行管控。

这种设备主要能够实现的功能如下。

1.识别“一拖N”的无线路由器，并且能够控制无线路由器接入的终端数量，超出允许接入数量限制的无线终端，将被禁止上网。

2.识别接入的无线智能终端类型（Android或IOS等），并能够基于IP或者应用类型进行管控。

3.提供比较直观的报表系统，能够以图表的方式显示历史记录和未来的趋势。

当前一些主流网络设备厂商，都已经正式推出支持无线管控的上网行为管理产品，但是由于无线管控属于企业比较新的需求，各厂家仍在不断开发新的功能，相信在不久后会推出更加完善的产品。

旁路的自动检测软件

当前市场上也出现了一些能够检测无线路由器的软件，这类软件基本都是旁路部署方式，安装在局域网内一台服务器上，然后通过端口镜像的方式将核心交换机的流量引导至该服务器上进行分析，工作原理比较类似于著名的抓包工具Sniffer。这类软件通过分析镜像流量，可以识别出无线路由器，但是无法对其进行有效管控；即使有些软件号称能够管控无线路由器，但也要求所有终端必须在同一IP网段内，而且管控的手段也很单一，即通过ARP阻断方式直接封禁对应的无线路由器，这对于网内有多个VLAN或者网段的企业来说，根本没有意义。所以，这种软件注定难以得到广泛应用。