ilsem

原文由 FlowJZH 发表

从理论上来说你的那个想法也不是没有可能

xuanren

最近周末在参加CISCO的培训，授课的朋友素质挺高的，是为数不多的CCIE级别。无意中谈到校园网的建设，因为他本人是写系统架构方案的，所以对这个深有感触。因为校园网一般是从教科网介入的，所以需要按流量收费。那势必要控制内部用户网络使用，以及预防内外部CRACKER骚扰。他们的解决方案是在SWITCH级别上将MAC地址绑定，SWITCH的以太网口将对应着一张MAC地址表，然后根据另外连入SWITCH的服务器上设定的策略来确定该用户是否有效。除了使用DDOS攻击将正常用户搞垮，伪造它的MAC地址的方法来获得权限，我想也没有其他方法了，不失为一条治标的策略。

至于这里谈到的嘉定的FTTB，如果真是通过DNS重定向到认证服务器的话，那正如FlowJZH所说是否可以饶过这个DNS，自己指定或者通过其他已经通过验证的做代理？如果将来要按流量收费的话，那FTTB用户的安全性可是个问题，用个SNIFFER抓包后，写个SOCKET套接字，每次启动时自动随机按抓来的不同的用户密码登陆，那岂不乱套？个人觉得应该按MAC地址绑定做来的安全，至少在用户级别上是不容易玩什么花样的。。。

FlowJZH

做了一个实验：在没有登陆的情况下ping dns服务器，可以ping通，而且ping www.online.sh.cn可以得到ip� ... �是很清楚了。

至于xuanren大哥所说，其实我们学校现在就是通过MAC和ip的绑定来认证使用的合法权限的，但是这个东东改起来太简单了，可以说MAC也和普通的参数比如ip一样可以随便设置。如果是MAC和端口的绑定，可能安全性是要高一些，不过我们学校之所以没有将ip,mac,端口三绑定据说是因为这样做服务器负担太高了，无法实现。不晓得电信有没有这个实力了。

至于现在他的验证，真不明白在做什么，登陆以后似乎一点功能都没有实现。如果说是要为了将来的流量控制打基础，那也不能就用ie当客护端的检测啊，一是很容易关掉，而是总是挂着这么一个窗口很不爽。哪位晓得新联所说的“为了加强监控”一类的话到底是为了什么？他们让我们登陆以后可以从我们这里获得什么样的资料？