路由器上可否限制新接入机器访问局域网

aspoo

试过可以限制新接入的机器访问互联网，不知道能否设置局域网访问？？？

用的dlink di 7001的路由器，还有个刷tt的linksys路由可用

1yanmin1

当然可以，专业的做法是在二层交换机上绑定MAC之类
如果是非专业的环境，可以考虑通过控制DHCP发放数量来，比如5台电脑，那么就只发放5个IP，同时对5个IP做静态MAC地址绑定，这样就可以杜绝新机器来占用了。但是新机器可以自行设置正确的IP及掩码、网关来使用，那么就在网关上加载访问列表，使非正确IP不能通信。

总之实现的方法很多，企业级的设备与家用级的区别就在于稳定和可管理可控制

jForce

不过网关，二层内控制不到
话说，用防火墙，透明模式可以阻拦

aspoo

mac过滤是否能做到防止新接入机器访问局域网？

1yanmin1

你没有具体说明你的设备和环境。我不知道该怎么说。
如果你是家用环境，那么在路由器里设置只允许如下MAC接入
如果你是企业的环境，那么在2层交换机上做端口安全策略，只允许合法mac接入，否则端口shutdown。

还有如果你是想防止无线接入，那么就在无线设备上做安全策略

aboutblank

支持802.1x么...要支持的话那个玩意最好了

aspoo

1yanmin1 发表于 2012-3-7 19:04
你没有具体说明你的设备和环境。我不知道该怎么说。
如果你是家用环境，那么在路由器里设置只允许如下MAC接 ...

交换机上做安全策略是不是需要网管型交换机才行呢？

1yanmin1

是的。     

cardcaptor

要阻止接入局域网的话。只能用2层或者3层交换机，可以管理端口的，直接将交换机端口关闭即可，

diablo_zzy

瞎猜的设想：把电脑的arp列表改了，把局域网内其他电脑的ip都解析成本机mac或者乱填一个mac。
那些说 mac过滤的，关闭dhcp的，根本没明白楼主的意思么。

1yanmin1

diablo_zzy 发表于 2012-3-8 13:06
瞎猜的设想：把电脑的arp列表改了，把局域网内其他电脑的ip都解析成本机mac或者乱填一个mac。
那些说 mac过 ...

你这种方式，就如同ARP病毒的工作原理，只是现在防止也很容易，网关限制arp包 ，终端arp静态设置等等，方法多的去了。

diablo_zzy

1yanmin1 发表于 2012-3-8 14:21
你这种方式，就如同ARP病毒的工作原理，只是现在防止也很容易，网关限制arp包 ，终端arp静态设置等等，方 ...

本来就是在自己的电脑上静态设置错误的arp列表来防止局域网访问，和网关限制arp包什么的完全没关系。一般的arp病毒是混淆出口网关的mac地址，现在的做法是混淆局域网内其他电脑的mac地址。再说，你搞了反ARP病毒的措施不就没效果了？
现在楼主的意图很明显了，如果楼主能操作每一台局域网内的电脑，那这个办法明显有效么

DLINKSERVICE

如果是7001的话，设置的方法是，现在内网扩展另外一个网段，例如本身内网是192.168.0.1/24，那就在扩展一个192.168.2.1/24，然后本身局域网用0网段，新接入的用2网段，然后再路由器的防火墙设置里面写规则，写禁止的规则，接口选择LAN, 目的地址写网络192.168.0.1/255.255.255.0, 源地址网络写192.168.2.0/255.255.255.0，这样2网段就可以上网但是不能访问到0网段

jForce

关闭端口不可控
别人在没关的挂一台交换机就可破解
只有绑定MAC。
话说做802.1x就不错
还有个办法，per port per vlan，端口之间的互访必须要过三层，在每个三层上加vlan acl