神马品牌网淄博天气预报30天查询:寻求可行的企业局域网方案
来源:百度文库 编辑:神马品牌网 时间:2024/04/28 09:15:11
现在的问题是,领导发现单位内不务正业成天上网的人太多,于是想从技术上封掉一部分机器。要求部分机器与原来一样,可以正常上网,另一部分禁止其上网,但是所有机器都要在一个工作组内,不能影响局域网共享。
如何实现?
本人已经有几种方案,但不知是否可行,也不知用什么方法最好。请各位高人赐教,说一下你认为可行的方案。
PS:对于受限制的机器,要求是禁止一切上网操作,包括浏览网页。
大家的方案要注意,尽量不要有什么漏洞,象是封IP或者装客户机软件,都是可以绕过去的。
目前的状况是这样的,领导要我封了,我做了,但是人家绕过去了继续玩,领导肯定是要问我的责任的
要实现你所要求的功能太简单了,普通的路由器肯定有访问控制的功能,按你所描述的情况,建议分三个Group进行控制,其中一个Group全开放,针对于某些特殊的工作人员或高层领导,一个Group限制端口开放,例如80、21等几个常用端口,针对于大多数员工,另外一个默认Group全封锁,针对于那些被锁用户。好一点的路由器还有按时段封锁的功能,在路由器级的封锁都是基于网卡MAC的,被封锁电脑不论怎么换ip都绕不过。
如果你单位是用防火墙内置的路由功能,没有上述访问控制的话,建议买一个2000~3000元左右的路由器就可以了,例如:网吧王子IP505T。
不过有一种绕过去的方法,我想只能通过制度处分来解决,技术上是做不到的,那就是有人在一台没被封锁的机器上安装网络代理服务器,那些被封锁的用户可以通过这台代理来上网了。
采用这种控制方案,如果你的路由器支持分组访问控制的话,不花一分钱,不支持那也就个2000~3000左右的成本。
还有如果你的局域网大的话,建议你安装或采用路由器的DHCP服务,采取自动分配ip地址,反正上述控制是采用的网卡MAC,与ip无关。自动分配ip可以大大减轻网管的工作量。
能做到什么样的限制直接取决于你的硬件设备条件。
常用的方式包括:
1、MAC绑定,在出口路由器或防火墙上进行MAC识别。破解方法:修改MAC地址和允许的计算机一样,这样虽然可以上网,但是会造成网络严重的冲突和数据报丢失。
2、ip绑定,同样是在出口路由器或防火墙上进行ip识别。破解方法:修改ip地址和允许的计算机一样,这样虽然可以上网,但是会造成频繁的ip冲突。
3、ip和MAC绑定,也是会有ip地址冲突。
4、划分子网实现物理隔离,将允许和不允许分开两个网段,用路由器连接,进行路由限制。这种方式没有缺点,但是需要添加路由器。
路由指定IP范围。
或者捆绑网卡的物理地址,但这要服务器策略。
使用代理服务器,进行MAC地址绑定
进入DOS
ARP -S IP址 MAC址
即可
没有必要把问题弄得很复杂,除非你们公司个个都是黑客和网络高手。建议你最多到mac绑定就够了,如果他们连这个也改,要么是因为关系好你故意教的,要么他(她)也是个小高手,你就网开一面算了,
可以通过三层交换机,或者modem设置ACL(访问控制列表)限制一部分上网,就是封掉通信流!!