单位网络使用路由器进行上网限制

《单位网络使用路由器进行上网限制》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、单位网络使用路由器进行上网限制～教育资源库　　单位外网的规模不大，几十台机器，也没有什么关键应用。说白了，只要别掉线、只要速度说的过去，就一切OK。路由器、交换机、电脑，结构相当的简单。在路由器上作些相关的设置，就基本上能满足需要了。　　说到进行上网限制，其实我最初并不想这么做。那时候天还是蓝的，水也是绿的，庄稼是长在地里的，猪肉是可以放心吃的，耗子还是怕猫的，结婚是先谈恋爱的，理发店是只管理发的，药是可以治病的，医生是救死扶伤的，拍电影是不需要陪导演睡觉的，照相是要穿衣服的，欠钱是要还的，孩子的爸爸是明确的，学校是不图挣钱的，白痴是不能当教授的，卖狗肉是不能挂羊

2、头的　　　要是每个人都能老老实实的遵守规定，规规矩矩的上网，哪个网管愿意去做那么多限制，浪费多少脑细胞啊。最初我们的网络也是一切太平，自从有了BT日子就不太好过了，最近ARP又老是惹麻烦，非逼我作限制不可。　　费话说了半天，赶紧说说具体的做法：　　　　单位使用的是TPlink的一款企业宽带路由器，客户端自动获取地址，之前手工登记了全部客户端的MAC地址。　　一、DHCP设置静态地址分配　　目的是将每台机器的ip固定下来，考虑到将来可能会对客户机的ip参数进行修改，为避免几十台机器每台都要去做修改，所以并没采用手工指定ip的方式。采用DHCP+静态地址分配，既保留了

3、DHCP的灵活性和可管理性，又使某特定MAC每次都可优先获得同一个IP。　　二、设置IP地址过滤和MAC地址过滤　　只允许DHCP静态地址分配里的那些IP访问网络,防止客户端私自指定其它IP上网，逃避追查。　　只允许所有登记的MAC访问网络，防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC，逃避追查。　　三、进行IP与MAC绑定　　将路由器的ARP表设置成静态，防止ARP欺骗，客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来，这样还能防止客户端盗用别人的IP上网。　　一台客户机的MAC地址在允许访问的列表内，他手工指定了一个原本给别人预留

4、的IP，此IP也在允许访问的IP列表内。但是他还是上不了网，IP与MAC的对应关系不对，路由器会认为他在进行ARP欺骗，阻止他的数据，同时将信息记入日志。　　四、在客户机上绑定路由器的IP和MAC信息　　目的是防止客户机受到ARP欺骗，网关的正确MAC信息不会被篡改。方法是建立一个批处理文件：　　arp-d　　arp-s网关IP　网关MAC　　将此文件设置成开机自动运行。　　完成以上工作，ARP病毒就不怕了，可是BT等p2p软件的影响依然存在。可气的是这台三千多地路由器居然不带针对IP的QoS，没法限制单个IP的带宽和连接数，郁闷死了。只能通过IP规则间接的实现控

5、制p2p的目的了。　　先说说指导思想，两种：1、全世界都是好人，只需要限制个别的坏人；2、全世界都是坏人，只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了，有些还是随机的，而且我们也不可能了解所有的p2p软件。只好采用第二种思想，所有的端口都是坏人，我只允许个别的好人访问，比如打开53、80、443等。　　经过这样设置现在的情况是，常用的业务能够正常使用，不在端口列表里的软件不能访问网络。软件不能用同事就会来找我，这时候我检查这个软件是不是p2p的，会不会影响网络，如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了，不用再跑来跑去

6、劝说他们别用这个别用那个，现在他们想用只能主动过来找我。我们干网管的也不能太累了，多动动脑子，形势就大不一样了，呵呵！　　以上就是我对路由器的一些设置，其实这样的设置也是有问题的，还是有空子可钻。谁知道这篇文章会不会有同事看到，所以我还是不说了，其实也很简单的。对于IP规则设定，副作用也挺大的，大部分软件不能正常使用了，而且这样做也不能100%限制掉p2p。现在发现至少PPLive还是能用，就是慢了许多。在域名限制里禁掉pplive.可能效果更明显一点，但是咱也不能做得太绝了，只要不会对网络正常运行带来太大的影响就行了，关键是维护绝大多数人的利益，不能让个别人抢了

7、带宽。最后注意一点，在路由器里关掉upnp功能，对限制p2p有一定的作用。本文出自51CTO.技术博客友情提醒：，特别！