久久www免费人成看片无广告 ,久久久久久久综合日本

您當(dāng)前所在位置：首頁(yè) → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 使用路由器進(jìn)行上網(wǎng)限制

使用路由器進(jìn)行上網(wǎng)限制 時(shí)間：2015/6/28來(lái)源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評(píng)論(0)

單位外網(wǎng)的規(guī)模不大，幾十臺(tái)機(jī)器，也沒有什么關(guān)鍵應(yīng)用。說(shuō)白了，只要?jiǎng)e掉線、只要速度說(shuō)的過(guò)去，就一切OK。路由器、交換機(jī)、電腦，結(jié)構(gòu)相當(dāng)?shù)暮?jiǎn)單。在路由器上作些相關(guān)的設(shè)置，就基本上能滿足需要了。

說(shuō)到進(jìn)行上網(wǎng)限制，其實(shí)我最初并不想這么做。那時(shí)候天還是藍(lán)的，水也是綠的，莊稼是長(zhǎng)在地里的，豬肉是可以放心吃的，耗子還是怕貓的，結(jié)婚是先談戀愛的，理發(fā)店是只管理發(fā)的，藥是可以治病的，醫(yī)生是救死扶傷的，拍電影是不需要陪導(dǎo)演睡覺的，照相是要穿衣服的，欠錢是要還的，孩子的爸爸是明確的，學(xué)校是不圖掙錢的，白癡是不能當(dāng)教授的，賣狗肉是不能掛羊頭的……

要是每個(gè)人都能老老實(shí)實(shí)的遵守規(guī)定，規(guī)規(guī)矩矩的上網(wǎng)，哪個(gè)網(wǎng)管愿意去做那么多限制，浪費(fèi)多少腦細(xì)胞啊。最初我們的網(wǎng)絡(luò)也是一切太平，自從有了BT日子就不太好過(guò)了，最近ARP又老是惹麻煩，非逼我作限制不可。

費(fèi)話說(shuō)了半天，趕緊說(shuō)說(shuō)具體的做法：

單位使用的是TPlink的一款企業(yè)寬帶路由器，客戶端自動(dòng)獲取地址，之前手工登記了全部客戶端的MAC地址。

一、DHCP設(shè)置靜態(tài)地址分配

目的是將每臺(tái)機(jī)器的ip固定下來(lái)，考慮到將來(lái)可能會(huì)對(duì)客戶機(jī)的ip參數(shù)進(jìn)行修改，為避免幾十臺(tái)機(jī)器每臺(tái)都要去做修改，所以并沒采用手工指定ip的方式。采用DHCP+靜態(tài)地址分配，既保留了DHCP的靈活性和可管理性，又使某特定MAC每次都可優(yōu)先獲得同一個(gè)IP。

二、設(shè)置IP地址過(guò)濾和MAC地址過(guò)濾

只允許DHCP靜態(tài)地址分配里的那些IP訪問網(wǎng)絡(luò),防止客戶端私自指定其它IP上網(wǎng)，逃避追查。

只允許所有登記的MAC訪問網(wǎng)絡(luò)，防止客戶端私接其它電腦、或者更換網(wǎng)卡、甚至修改本機(jī)MAC，逃避追查。

三、進(jìn)行IP與MAC綁定

將路由器的ARP表設(shè)置成靜態(tài)，防止ARP欺騙，客戶機(jī)的正確MAC信息不會(huì)被篡改。將IP與MAC的對(duì)應(yīng)關(guān)系固定下來(lái)，這樣還能防止客戶端盜用別人的IP上網(wǎng)。

一臺(tái)客戶機(jī)的MAC地址在允許訪問的列表內(nèi)，他手工指定了一個(gè)原本給別人預(yù)留的IP，此IP也在允許訪問的IP列表內(nèi)。但是他還是上不了網(wǎng)，IP與MAC的對(duì)應(yīng)關(guān)系不對(duì)，路由器會(huì)認(rèn)為他在進(jìn)行ARP欺騙，阻止他的數(shù)據(jù)，同時(shí)將信息記入日志。

四、在客戶機(jī)上綁定路由器的IP和MAC信息

目的是防止客戶機(jī)受到ARP欺騙，網(wǎng)關(guān)的正確MAC信息不會(huì)被篡改。方法是建立一個(gè)批處理文件：
arp -d
arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

將此文件設(shè)置成開機(jī)自動(dòng)運(yùn)行。

完成以上工作，ARP病毒就不怕了，可是BT等p2p軟件的影響依然存在�？蓺獾氖沁@臺(tái)三千多地路由器居然不帶針對(duì)IP的QoS，沒法限制單個(gè)IP的帶寬和連接數(shù)，郁悶死了。只能通過(guò)IP規(guī)則間接的實(shí)現(xiàn)控制p2p的目的了。

先說(shuō)說(shuō)指導(dǎo)思想，兩種：1、全世界都是好人，只需要限制個(gè)別的壞人；2、全世界都是壞人，只排除個(gè)別的好人。這里是把端口比作了好人和壞人。p2p的端口太多了，有些還是隨機(jī)的，而且我們也不可能了解所有的p2p軟件。只好采用第二種思想，所有的端口都是壞人，我只允許個(gè)別的好人訪問，比如打開53、80、443等。

經(jīng)過(guò)這樣設(shè)置現(xiàn)在的情況是，常用的業(yè)務(wù)能夠正常使用，不在端口列表里的軟件不能訪問網(wǎng)絡(luò)。軟件不能用同事就會(huì)來(lái)找我，這時(shí)候我檢查這個(gè)軟件是不是p2p的，會(huì)不會(huì)影響網(wǎng)絡(luò)，如果沒問題給他加上這個(gè)端口就OK了。這樣將原本被動(dòng)的工作變成主動(dòng)了，不用再跑來(lái)跑去勸說(shuō)他們別用這個(gè)別用那個(gè)，現(xiàn)在他們想用只能主動(dòng)過(guò)來(lái)找我。我們干網(wǎng)管的也不能太累了，多動(dòng)動(dòng)腦子，形勢(shì)就大不一樣了，呵呵！

以上就是我對(duì)路由器的一些設(shè)置，其實(shí)這樣的設(shè)置也是有問題的，還是有空子可鉆。誰(shuí)知道這篇文章會(huì)不會(huì)有同事看到，所以我還是不說(shuō)了，其實(shí)也很簡(jiǎn)單的。對(duì)于IP規(guī)則設(shè)定，副作用也挺大的，大部分軟件不能正常使用了，而且這樣做也不能100%限制掉p2p�，F(xiàn)在發(fā)現(xiàn)至少PPLive還是能用，就是慢了許多。在域名限制里禁掉pplive.com可能效果更明顯一點(diǎn)，但是咱也不能做得太絕了，只要不會(huì)對(duì)網(wǎng)絡(luò)正常運(yùn)行帶來(lái)太大的影響就行了，關(guān)鍵是維護(hù)絕大多數(shù)人的利益，不能讓個(gè)別人搶了帶寬。最后注意一點(diǎn)，在路由器里關(guān)掉upnp功能，對(duì)限制p2p有一定的作用。

關(guān)鍵詞標(biāo)簽：路由器,上網(wǎng)限制

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>