如何限制网内路由器共享上网

zfl2k

局域网内已经设置了mac/ip绑定上网，但是好多部门都用路由器克隆mac地址，然后整个部门都用这个路由器上网，有什么办法能限制呢？

oldjiang

私接路由上网，用科来是很容易抓到的，因为路由MAC下有多个IP地址。限制，在交换机上做，或者用管理手段。

zfl2k

只能用技术手段
交换机怎么做？
防火墙怎么做？

oldjiang

那就说个技术手段的，供参考。
以思科2900交换机为例，在接入交换机上做 Port Security 设置。
假设一个交换机有24个口，接了10个机器，端口是1到10，11口上联，其余空闲。
1、对1-10做：
port security max-mac-count 1  //Secure the port and set the address table to one address
port security action shutdown   //Set the port to shutdown when a security violation occurs
2、12-24口shutdown
3、该交换机上联到交换机2的端口x，在交换机2的端口x也做一个限制：
port security max-mac-count 12  //10个PC+第11口的MAC+VLAN1的MAC一共12个地址
port security action shutdown   //Set the port to shutdown when a security violation occurs
私接的路由，其LAN口如果接在1-10口上，则端口会shutdown，如果接在11上，则交换机2的端口x会shutdown。
需要注意的是，Port Security 灵活性较差，如果要换一个PC，相应端口就要no掉原来绑定的MAC地址。

[ 本帖最后由 oldjiang 于 2008-4-17 09:03 编辑 ]

robertzhangyu

你好，版主，小弟也不明白，一起问一下：
如果，那些部门给私自连接的路由器配置了单一ＩＰ地址的ｎａｔ服务，其他计算机共享那一个ＩＰ，怎么办？用分析流量的方法吗？

robur

用了nat就不好办啦，哈哈
抓IPID，抓浏览器类型，抓MSN……