2、 根据二层信息识别
在不能保证IP地址的不可修改性环境下,通过VLAN_ID和MAC地址实现实名定位可以很好的解决网络实名审计的问题。
在二层交换环境下,用户使用自己的电脑上网,不同用户,MAC地址不同。可以将用户身份信息和MAC地址之间建立一个固定的关联。在三层交换环境下由于MAC地址不能跨越路由器或三层交换机传播,给通过MAC地址进行实名定位带来了困难。针对此问题联想网御开发了三层交换环境下的MAC地址识别技术,可以动态查询三层交换机中的IP/MAC对应关系,解决了此环境下的MAC识别问题。
MAC地址实名定位模型
对于一些使用了具有VLAN功能交换机的场所,联想网御网络审计系统支持使用VLAN标签的方案,即在交换机上将每个电脑对应的端口都设置为一个VLAN,并在此VLAN的网络数据包上设置一个唯一的标签号,出口审计设备捕获到数据包所带标签号之后,即可识别属于哪个位置的电脑。此种方式的实施复杂度较高,专业性较强,对网络设备要求很高,需要大规模网络改造。
