快速批量绑定MAC与IP地址.docx
- 文档编号:9863155
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:27
- 大小:100.27KB
快速批量绑定MAC与IP地址.docx
《快速批量绑定MAC与IP地址.docx》由会员分享,可在线阅读,更多相关《快速批量绑定MAC与IP地址.docx(27页珍藏版)》请在冰豆网上搜索。
快速批量绑定MAC与IP地址
快速批量绑定MAC与IP地址
一、问题的提出
校园网建成后,要求在服务器端把网内各工作站的MAC地址和分配的静态IP地址进行绑定,以方便统一管理,减小安全隐患。
无论是在终端获取MAC地址后再在服务器端进行绑定,还是利用“MAC扫描器”远程批量获取MAC地址,对于网管员来说工作量都非常大。
有没有更加方便快捷的方法呢?
二、解决问题思路
笔者经过摸索,发现组合使用“MAC扫描器”和Excel2000可以很好地解决这个问题。
思路如下:
1.运行“MAC扫描器”(下载地址:
附件),扫描完成后,点击[保存]按钮,将扫描的结果保存为文本文件,如Mac.txt(内容见图1)。
图1
2.利用Excel强大的数据处理功能,将文本文件中的MAC地址转换成ARP命令要求的格式后,把数据复制粘贴到记事本,保存为批处理文件(内容见图2)。
图2
3.在服务器端运行这个批处理文件就大功告成了。
三、具体操作步骤
1.将Mac.txt导入Excel工作簿
(1)启动Excel2000,新建一个工作簿,保存为“MAC地址表.xls”。
单击“数据→获取外部数据→导入文本文件”,在弹出的对话框中,选择用“MAC扫描器”获得的文本文件“Mac.txt”,单击[导入]按钮,弹出“文本导入向导”对话框。
(2)在“文本导入向导——3步骤之1”中点击“原始数据类型”,在“请选择最合适的文件类型”单选项下,修改默认的“固定宽度”为“分隔符号”,然后单击[下一步]按钮;进入“文本导入向导——3步骤之2”,在“分隔符号”多选项下,取消“Tab键”,只选中“空格”项,再单击[下一步]按钮;进入“文本导入向导——3步骤之3”,单击[完成]按钮,弹出“导入数据”对话框时,单击[确定],完成数据导入。
导入后的工作表如图3所示。
图3
2.利用Excel处理数据
(1)在A列前插入一列,在A1单元格内输入绑定MAC地址的命令和参数“ARP-S”。
(2)在MAC地址和计算机名两列之间插入7列,列号依次为D、E、F、G、H、I、J。
(3)利用字符串函数分割12位MAC地址为两两一组:
在D1单元格输入“=left(C1,2)”;
在E1单元格输入“=mid(C1,3,2)”;
在F1单元格输入“=mid(C1,5,2)”;
在G1单元格输入“=mid(C1,7,2)”;
在H1单元格输入“=mid(C1,9,2)”;
在I1单元格输入“=right(C1,2)”。
(4)在J1单元格内把D1~I1单元格的内容合并起来,中间用减号分隔。
合并方法:
在J1内输入“=D1&&"-"&&E1&&"-"&&F1&&"-"&&G1&&"-"&&H1&&"-"&&I1”。
(5)利用填充法完成A列和D~J列的数据处理(图4)。
图4
(6)隐藏C~I列。
3.制作批处理文件
(1)复制Excel工作表A、B、J列的数据,粘贴到记事本中。
保存工作簿“MAC地址表.xls”,退出Excel。
(2)保存记事本文件为Mac.bat。
4.批量绑定MAC地址和IP地址
在服务器端DOS模式下运行Mac.bat,即可完成批量MAC地址和IP地址的绑定。
网管员如何管理实时通信软件?
根据GartnerGroup最近的一份研究报告指出,至2002年底全美大约有70%的企业使用实时通信(IM,InstantMessage),如ICQ、AOLInstantMessenger、MSNMessenger、YahooMessenger等等,作为重要但非正式的企业内部沟通工具,IDC更预测至2005年,全球实时通信的用户将高达二亿三千万人。
Email与IM安全管理的差异
对于层出不穷的计算机黑客攻击事件,实时通信俨然成为信息安全人员的隐忧之一,然而实时通信在企业上所扮演的日渐重要的角色却也是个不争的事实;所以企业该如何从实时通信的契机与危机中截长补短而取得最高的附加价值?
IM管理方案
从以下的比较表中我们可以一窥「电子邮件」和「实时通信」的差异,对于前者网管人员可以有效地控管,而「实时通信」基本上是连接到企业以外的服务提供者(ServiceProvider),企业对于任何进出的信息并无法有效管理及追踪。
对于企业应该如何来强化「实时通信」的管理,在此我们介绍三种方案:
电子邮件
实时通信
可传送文字信息(可能含有恶性程序url)
√
√
可传送附加文件(可能含有病毒)
√
√
程序本身可能有安全漏洞
√
√
网管人员可控制信息加密方式
√
×
网管人员可追踪信息来源
√
×
附加文件在传送过程可进行病毒扫描
√
×
网管人员可从服务器端过滤文字信息
(如病毒邮件、垃圾邮件)
√
×
1.建置企业内部的「实时通信系统」。
即所谓的「封闭式」实时通信系统,企业必须设置自己内部的信息服务器,每台个人计算机必须安装特定的实时通信程序,该实时通信系统完全运作在企业的Intranet环境并不与外界有任何联系。
「封闭式」实时通信系统的优点是可以提供企业更为安全的文件及信息传输服务,同时信息管理人员又可对企业内部实时通信的使用加以管理。
2.设置实时通信网关器(MessagingGateway):
在公司内部设置实时通信网关器(MessagingGateway),其主要的精神就在于「凡走过必留下痕迹」,任何进出的信息都必须留下记录(Log),必要时信息管理人员才能根据这些记录追查来龙去脉。
3.激活个人计算机端防毒软件的实时扫描功能
每一个实时通信软件都有其安全设定相关功能,趋势科技建议使用者应该事前设定;除此之外,切记基本的防毒原则,不要轻易开启不明文件或网址,或是干脆把ICQ,MSN等实时通讯软件的文件传送功能关掉以免染毒。
最起码要在开启文件前,先将它们存在硬盘,扫描确认无毒后再开启。
当然,不要来者不拒地跟任何线上人士聊天,或是将敏感性资料公布,也是基本自保守则。
最后一点,也是最重要的,不要轻易地将实时扫描及自动更新功能卸载,否则病毒能不费吹灰之力,就能将您新近建立的资料给毁了
局域网中工作组和域的差别
为什么要组建局域网呢?
就是要实现资源的共享,既然资源要共享,资源就不会太少。
如何管理这些在不同机器上的资源呢?
域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。
那么究竟什么是域,什么是工作组呢?
它们的区别又是什么呢?
“自由”的工作组
工作组(WorkGroup)就是将不同的电脑按功能分别列入不同的组中,以方便管理。
比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。
为了解决这一问题,Windows9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
那么怎么样才能加入到工作组中呢?
其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。
如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。
不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。
“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。
单击“确定”按钮后,Windows98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。
相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。
如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。
除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。
不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。
也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。
“工作组”就像一个自由加入和退出的俱乐部一样。
它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
域的管理和设置
打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。
一提到组合,势必需要严格的控制。
所以实行严格的管理对网络安全是非常必要的。
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。
尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
在由Windows9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。
不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。
这样才能实现文件的共享。
1.服务器端设置
以系统管理员身份在已经设置好ActiveDirectory(活动目录)的Windows2000Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“ActiveDirectory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。
要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。
2.客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。
选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。
点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到WindowsNT域”复选框,在“WindowsNT域”中输入要登录的域名即可。
这时,如果是Windows98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。
在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows2000Server域中的资源了。
请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。
如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息。
有效管理局域网IP地址
局域网的一大特点就是拥有一定数量的终端用户。
作为省属重点中学,笔者所在学校局域网的终端用户有600多个,为了区分各类不同用户,我们采用的是终端固定IP设置的方法。
和其他许多学校的网管一样,我们也一直被终端用户私改IP地址造成的网络冲突问题困扰着。
咨询相关网络公司,他们也提供了不少解决方案,但大多价格不菲。
没有办法,只好绞尽脑汁自己想办法了。
笔者采用了基于防火墙的IP地址与MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法,双管齐下,较好地解决了这个问题。
现将实现方法阐述如下:
一、基于防火墙的IP地址与MAC地址绑定
1.做好整个局域网终端用户计算机的命名,指定IP地址
根据用户的类别统一命名计算机,并给定IP地址。
这样一看机器名,就知道是哪个部门哪台机器,便于管理。
比如高一年级语文组1号机器,我们就将其命名为“gaoyiyuwen01”。
同时,统一规划分配IP地址给每台终端机器,并建立IP地址分配登记表(见附表)。
某中学局域网ip地址综合管理登记表
2.统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对应表
我们知道,在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和MAC地址(Windows98系统下)。
我们可以将此方法公布一下,然后要求相关用户将本机MAC地址抄录上报到网管中心,再进行登记汇总。
也可在设定机器名和IP地址时一并统计好。
网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。
在MS-DOS方式下键入命令“Nbtstat-a远程计算机名”,即可获得指定机器的IP地址和MAC地址。
3.将IP地址与MAC地址绑定
这要根据局域网接入互联网的方式不同而采用不同的办法。
如果是采用代理服务器接入互联网,那就使用命令:
ARP-sIP地址MAC地址
例:
ARP-s192.168.1.400-EO-4C-6C-08-75
这样,就将静态IP地址192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.1.4,也无法通过代理服务器上网。
如果是通过路由器直接接入互联网,最好通过硬件防火墙来实现IP与MAC地址的绑定。
一般的硬件防火墙都具有这个功能,具体操作也非常简单。
到这里似乎可以大功告成了,但事情并不像我们想象的那么简单。
花了相当多的精力构筑起来的防线不到一个月就又冲突依旧了。
原来,有的终端用户通过修改注册表、下载专用小工具等方法,没费多少力气就更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和主服务器一模一样,搞得局域网内又鸡犬不宁了。
二、基于交换机的MAC地址与端口绑定
为了进一步解决这个问题,笔者又想到了基于交换机的MAC地址与端口绑定。
这样一来,终端用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。
以思科3548交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
(config)#mac_address_tablepermanentMAC地址以太网端口号
这样逐一将每个端口与相应的计算机MAC地址绑定,保存并退出。
其他品牌的交换机只要是可以网管的,大多可以仿此操作。
高级网络管理技巧之“七招鲜”
1.配置交换机
将交换机端口配置为100M全双工,服务器安装一块Intel100MEISA网卡,在大流量负荷数据传输时,速度变得极慢,最后发现这款网卡不支持全双工。
将交换机端口改为半双工以后,故障消失。
这说明交换机的端口与网卡的速率和双工方式必须一致。
目前有许多自适应的网卡和交换机,由于品牌的不一致,往往不能正确实现全双工方式,只有手工强制设定才能解决。
2.双绞线的线序
将服务器与交换机的距离由5米改为60米,结果无论如何也连接不通,为什么呢?
以太网一般使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会形成缠绕,从而产生较大的串扰(NEXT),影响网络性能。
上述故障的原因是由于3、6未使用配对线,在距离变长的情况下连接不通。
将RJ45头重新按线序做过以后,一切恢复正常。
3.网络与硬盘
基于文件访问和打印的网络的瓶颈是服务器硬盘的速度,所以配置好服务器硬盘对于网络的性能起着决定性的作用。
以下提供几点意见供你参考:
·选用SCSI接口和高转速硬盘。
·硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性,建议选用。
·不要使低速SCSI设备(如CD)与硬盘共用同一SCSI通道。
4.网段与流量
某台服务器,有两台文件读写极为频繁的工作站,当服务器只安装一块网卡,形成单独网段时,这个网段上的所有设备反应都很慢,当服务器安装了两块网卡,形成两个网段以后,将这两台文件读写极为频繁的工作站分别接在不同的网段上,网络中所有设备的反应速度都有了显著增加。
这是因为增加的网段分担了原来较为集中的数据流量,从而提高了网络的反应速度。
5.桥接与路由
安装一套微波联网设备,上网调试时服务器上总是提示当前网段号应是对方的网段号。
将服务器的网段号与对方改为一致后,服务器的报警消失了。
啊!
原来这是一套具有桥接性质的设备。
后来与另外一个地点安装微波联网设备,换用了其他一家厂商的产品,再连接,将两边的网段号改为一致,可当装上设备以后,服务器又出现了报警:
当前路由错误。
修改了一边的网段以后,报警消失了。
很明显这是一套具有路由性质的设备。
桥的特征是在同一网段上,而路由必须在不同网段上。
6.广播干扰
上述通过桥接设备联网的两端,分别有一套通过广播发送信息的应用软件。
当它们同时运行时,两边的服务器均会发出报警:
收到不完全的包。
将一套应用软件转移到另外一个网段上以后,此报警消失。
这是因为网络的广播在同一网段上是没有限制的。
两个广播就产生了相互干扰从而产生报警。
而将一个应用软件移到另外一个网段以后,就相当于把这个网段的广播与另外网段上的广播设置了路由,从而限制了广播的干扰,这也是路由器最重要的作用。
7.WAN与接地
无意将路由器的电源插头插在了市电的插座上,结果64KDDN就是无法联通。
电信局来人检查线路都很正常,最后检查路由器电源的接地电压,发现不对,换回到UPS的插座上,一切恢复正常。
路由器的电源插头接地端坏掉,从而造成数据包经常丢失,做PING连接时,时好时坏。
更换电源线后一切正常。
WAN的连接因为涉及到远程线路,所以对于接地要求较为严格,才能保证较强的抗干扰性,达到规定的连接速率,不然会出现奇怪的故障。
网管必读-常用网络命令
如果你玩过路由器的话,就知道路由器里面那些很好玩的命令缩写。
例如,"shint"的意思是"showinterface"。
现在Windows2000也有了类似界面的工具,叫做netsh。
我们在Windows2000的cmdshell下,输入netsh就出来:
netsh>提示符,输入intip就显示:
interfaceip>然后输入dump,我们就可以看到当前系统的网络配置:
#----------------------------------
#InterfaceIPConfiguration
#----------------------------------
pushdinterfaceip
#InterfaceIPConfigurationfor"LocalAreaConnection"
setaddressname="LocalAreaConnection"source=staticaddr=192.168.1.168
mask=255.255.255.0
addaddressname="LocalAreaConnection"addr=192.1.1.111mask=255.255.255.0
setaddressname="LocalAreaConnection"gateway=192.168.1.100gwmetric=1
setdnsname="LocalAreaConnection"source=staticaddr=202.96.209.5
setwinsname="LocalAreaConnection"source=staticaddr=none
popd
#EndofinterfaceIPconfiguration
上面介绍的是通过交互方式操作的一种办法。
我们可以直接输入命令:
"netshinterfaceipaddaddress"LocalAreaConnection"10.0.0.2
255.0.0.0"
来添加IP地址。
如果不知道语法,不要紧的哦!
在提示符下,输入?
就可以找到答案了。
方便不方便啊?
原来微软的东西里面,也有那么一些让人喜欢的玩意儿。
可惜,之至者甚少啊!
Windows网络命令行程序
这部分包括:
使用ipconfig/all查看配置
使用ipconfig/renew刷新配置
使用ipconfig管理DNS和DHCP类别ID
使用Ping测试连接
使用Arp解决硬件地址问题
使用nbtstat解决NetBIOS名称问题
使用netstat显示连接统计
使用tracert跟踪网络连接
使用pathping测试路由器
使用ipconfig/all查看配置
发现和解决TCP/IP网络问题时,先检查出现问题的计算机上的TCP/IP配置。
可以使用ipconfig命令获得主机配置信息,包括IP地址、子网掩码和默认网关。
注意
对于Windows95和Windows98的客户机,请使用winipcfg命令而不是ipconfig命令。
使用带/all选项的ipconfig命令时,将给出所有接口的详细配置报告,包括任何已配置的串行端口。
使用ipconfig/all,可以将命令输出重定向到某个文件,并将输出粘贴到其他文档中。
也可以用该输出确认网络上每台计算机的TCP/IP配置,或者进一步调查TCP/IP网络问题。
例如,如果计算机配置的IP地址与现有的IP地址重复,则子网掩码显示为0.0.0.0。
下面的范例是ipconfig/all命令输出,该计算机配置成使用DHCP服务器动态配置TCP/IP,并使用WINS和DNS服务器解析名称。
Windows2000IPConfiguration
NodeType.........:
Hybrid
IPRoutingEnabled.....:
No
WINSProxyEnabled.....:
No
EthernetadapterLocalAreaConnection:
HostName.........:
DNSServers.......:
10.1.0.200
Description.......:
3Com3C90xEthernetAdapter
PhysicalAddress.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 快速 批量 绑定 MAC IP 地址