在些為大家提供有效的局域網(wǎng)限制解決方法和技巧，最近經(jīng)常看到一些午飯問道到如何限制局域網(wǎng)里用戶上網(wǎng)的問題，我做了一下總結(jié)，以后大家看這個帖子就行了，有什么補充的在下面跟帖子吧。

       限制用戶上網(wǎng)其實就是對局域網(wǎng)的一個限制問題，基本可以分為限制IP、限制用戶和限制流量。

        一、限制IP

        是最常用的一種手段，適用范圍也較廣，在使用代理/路由服務(wù)器、寬帶路由器/防火墻第三方軟件（P2P終結(jié)者，聚生網(wǎng)管，超級嗅覺狗，網(wǎng)路崗等等）都可以使用。
在代理/路由服務(wù)器軟件中一般都有關(guān)于控制IP上網(wǎng)的設(shè)置，例如Sygate，ISA Server，具體設(shè)置方法這里就不寫了，你可以參考軟件的幫助文檔，在網(wǎng)上也可以找到很多相關(guān)的文章。我要提一點的是，如果你使用了WIN2K/XP自 帶的Internet共享，可以安裝一個防火墻軟件，利用防火墻軟件來限制該服務(wù)器與其它機器的通訊，也可以達到控制部分機器上網(wǎng)的目的。

        目前的很多寬帶路由器/防火墻都帶有基本的訪問控制列表（ACL）功能，通過簡單的設(shè)置就可以對流量進行過濾，對允許上網(wǎng)的IP的數(shù)據(jù)包進行轉(zhuǎn)發(fā)，而不允 許上網(wǎng)的IP的數(shù)據(jù)包則被丟棄。一般情況下，路由器都是按照順序查找的原則，即當(dāng)路由器接收到數(shù)據(jù)包后，先從第一條規(guī)則開始匹配，如果符合條件則按照該規(guī)則設(shè)定的轉(zhuǎn)發(fā)或者丟棄；如果不符合，則查找的二條規(guī)則，以此類推，知道最后一條。這里需要注意的是，有些路由器對于不符合任何規(guī)則的數(shù)據(jù)包按照轉(zhuǎn)發(fā)處理，有的則是轉(zhuǎn)發(fā)，而防火墻對于不符合規(guī)則的一律按丟棄處理。因此，在設(shè)置路由器時，一定要先加允許上網(wǎng)的規(guī)則，再加不允許的規(guī)則，最后根據(jù)具體情況，看是否需要加一個禁止所有IP上網(wǎng)的規(guī)則，否則無法達到控制的目的。而防火墻則僅加入允許的規(guī)則就可以了。下面是一個例子，沒有任何語句，只是打個比方：
        條目
        動作
        源地址/掩碼
        目的地址
        1 允許 192.168.1.22/255.255.255.255 0.0.0.0
        2 禁止 192.168.1.0/255.255.255.224 0.0.0.0 
        3 允許 192.168.1.0/255.255.255.0 0.0.0.0
        4 禁止 0.0.0.0/0.0.0.0 0.0.0.0

        上面的例子可以實現(xiàn)192.168.1.0-192.168.1.31都不可以上網(wǎng)，但其中的192.168.1.22又可以上網(wǎng)，其余的 192.168.1.32-192.168.1.255都可以上網(wǎng)，除了這個子網(wǎng)，其余又都不能上網(wǎng)。可以看到，加入規(guī)則的先后順序基本是按照范圍大小來 確定的，范圍越小，越先加入，路由器也就越先匹配。這里面涉及的部分內(nèi)容不一定被所有的寬帶路由器所支持，不確定的話，你可以試試先。

        對IP的控制比較容易實現(xiàn)，但是對于動態(tài)獲取IP地址的網(wǎng)絡(luò)無法精確控制，而且用戶還會自行將IP地址更改到允許上網(wǎng)的范圍，從而繞過控制列表，甚至還會造成IP地址沖突，這就涉及到MAC地址與IP的綁定問題。

        很多午飯很青睞MAC地址和IP的綁定，認(rèn)為很好用。其實這種靜態(tài)ARP技術(shù)有很大的局限性，而且效果也不好。MAC與IP地址綁定可以一定程度防止用戶 私自更改IP地址，之所以說一定程度，是因為此中方法也不能杜絕更改IP的現(xiàn)象，原因后面有講到。
因為以太網(wǎng)通訊最終是靠著MAC來進行的，因此，將客戶機網(wǎng)卡的MAC地址與其IP地址一一對應(yīng)，那么用戶再更改IP地址將無法使用局域網(wǎng)，更不用提上網(wǎng)了，其實現(xiàn)原理簡單說一下：

        在每臺計算機中都有一張ARP表，該表記錄著曾經(jīng)通訊過的其它機器MAC地址與IP地址的對應(yīng)關(guān)系，下次在通訊時，會在此表中按照目的機器的IP地址查找 到其MAC地址，然后與之建立連接。交換機會自動獲取網(wǎng)絡(luò)中其它機器的MAC地址，從而建立起自己的與計算機中相類似的ARP表，通訊時也要按“表”索取。上面提到的這些ARP表都是動態(tài)的，不定時更新的，每當(dāng)有計算機開機或關(guān)機，該表都會被更新。部分路由器/交換機支持靜態(tài)的ARP技術(shù)，即可以手工輸入這些ARP表項，將計算機的MAC地址和IP固定，那么該機器的ARP表項就不會被更新，當(dāng)用戶更改了IP后，數(shù)據(jù)包傳到交換機，交換機會按照目的 MAC地址將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的機器，但是當(dāng)交換機收到目的機器回應(yīng)的數(shù)據(jù)包時，會發(fā)現(xiàn)數(shù)據(jù)包中IP和MAC的對應(yīng)關(guān)系與本地ARP表不符，但是，如果是一個二層交換機，它不會去理會這種錯誤，因為它是靠著MAC地址來工作的，IP對它來說沒有任何作用，因此該數(shù)據(jù)包會正常到達發(fā)起連接的計算機，通訊可以正常建立。那么如果是三層交換機呢，那要分兩種情況，如果這兩臺計算機在同一子網(wǎng)內(nèi)（或者是同一VLAN內(nèi)），那么通訊仍然可以建立（理由同上）；如果不是在一個子網(wǎng)（或者VLAN），那么通訊連接就會失敗，因為數(shù)據(jù)包要跨越三層，最終按照IP來查找目的機器的MAC地址，這時上面的錯誤就會終止數(shù)據(jù)包的傳輸，因此如果你的綁定是在交換機上做的，而且要對同一子網(wǎng)（VLAN）做限制的話，你基本會很失望的，這種技術(shù)只有在路由器/三層交換機上才有意義（如果你的寬帶路由器支持的話，靜態(tài)ARP倒是一個不錯的選擇）。

        靜態(tài)ARP有很大的缺點，首先，如果是一個很大的局域網(wǎng)絡(luò)，要收集上百臺機器的MAC地址和IP，還要一一手工輸入路由器，對于網(wǎng)絡(luò)管理人員來說是一個極大的考驗。其次，計算機的MAC地址也不是不能更改的，現(xiàn)在也有很多傻瓜式的軟件，點幾下鼠標(biāo)就會把你的上百條記錄的努力付之東流。

        二、限制用戶

        第一種方法：是指Windows里的域用戶，你可以指定哪些用戶可以上網(wǎng)，哪些不可以，但是，這種方法只能用在使用Windows計算機做為 代理/路由服務(wù)器上網(wǎng)的局域網(wǎng)里，而且要建立一個完整的域，客戶端還要通過輸入用戶和密碼才能登陸，進而上網(wǎng)，比較適合中型的局域網(wǎng)絡(luò)，通過域的管理還可以進行其它的控制。能夠與Windows用戶帳號結(jié)合的代理軟件有Wingate，路由網(wǎng)關(guān)型軟件有ISA（也可以做代理）。限制用戶的好處是你不必管用 戶的IP地址是多少（當(dāng)然你也可以在DHCP中為可上網(wǎng)的用戶分配固定IP地址），而且有一層用戶名/密碼做保護，要盜用也不是那么容易。

        第二種方法：利用第三方軟件Ipguard,也可以限制用戶。功能十分強大

        三、限制流量

        限制流量可以在一些代理/路由服務(wù)器軟件上實現(xiàn)，如Sygate、ISA、第三方軟件（就不介紹了。前面都有）都可以做到，因為我沒有實際去做，不知道具體效果如何。在某些交換機上也可以實現(xiàn)端口限速，我知道Cisco2950以上級別交換機可以做到以1M為單位的限速，其它牌子的我不是很清楚。

        上面所有的方法其實都有一個弱點，無法防止內(nèi)部非法的代理服務(wù)器，所謂非法，就是在可以上網(wǎng)的機器上裝有代理軟件，不可上網(wǎng)的用戶通過此代理上網(wǎng)。非法代理實際上是很頭痛的事情，這種封包沒有任何特殊性，而且代理服務(wù)器的端口可以任意修改，用訪問列表來控制幾乎是不可能的，唯一的辦法就是徹底斷絕可上網(wǎng)與不可上網(wǎng)用戶的通訊。

        下面我給出一種目前來說比較完善的局域網(wǎng)方案，基本可以控制住機器的上網(wǎng)，首先要使用了三層交換機，VLAN劃分和ACL，同樣也適用于其它目的的網(wǎng)絡(luò)控制。

        其中VLAN1:192.168.1.0是可以上網(wǎng)的，VLAN2:192.168.2.0是不可以上網(wǎng)的，VLAN3:192.168.3.0是服務(wù)器。

        VLAN1與VLAN2通過訪問列表不禁止任何通訊；VLAN1和VLAN2都可以和VLAN3通訊。

        訪問列表的設(shè)置：
        條目
        動作
        源地址/掩碼
        目的地址
        1 禁止 192.168.1.0/255.255.255.0 192.168.2.0
        2 禁止 192.168.2.0/255.255.255.0 192.168.1.0 
        將此列表應(yīng)用在接口VLAN1和VLAN2上，啟用VLAN間路由。

        VLAN1和VLAN2之間用戶較小的文件傳輸可以通過局域網(wǎng)的Email服務(wù)器，較大的文件可以在服務(wù)器上建立FTP服務(wù)。

        這樣，VLAN2的用戶無論如何更改IP，也不能達到上網(wǎng)的目的，而且也不能通過VLAN1內(nèi)的非法代理上網(wǎng)，并且通過VLAN3的服務(wù)器可以實現(xiàn)文件共享，可以說是一個較為理想的方案。

        最后我要說的還是，技術(shù)不是萬能的，要依靠完善的管理手段才能發(fā)揮最大作用，建立完善的網(wǎng)絡(luò)操作規(guī)范，合理的行政制度，并且嚴(yán)格執(zhí)行（如果你放水，工作就越來越難開展，甚至丟掉工作都有可能），不但對網(wǎng)絡(luò)管理人員是一個好消息，而且是一個合格網(wǎng)絡(luò)管理人員的基本要求，對企業(yè)來說也是有利無弊的。