dqqqqdqqqq 发表于 2013-4-22 20:00:19

ROS有没有MAC地址过滤功能

本帖最后由 dqqqqdqqqq 于 2013-4-22 20:02 编辑

我要限制内部人员私带手提回公司接入局域网

sealin 发表于 2013-4-22 20:14:30

有也不告诉你,我最讨厌这样的网管了。。。

dqqqqdqqqq 发表于 2013-4-22 20:18:13

sealin 发表于 2013-4-22 20:14 static/image/common/back.gif
有也不告诉你,我最讨厌这样的网管了。。。

不要讨厌我,公司要求这样做

conanli0727 发表于 2013-4-22 20:30:09

MAC地址不能改么?
这过滤有毛用啊。

dqqqqdqqqq 发表于 2013-4-22 21:16:50

conanli0727 发表于 2013-4-22 20:30 static/image/common/back.gif
MAC地址不能改么?
这过滤有毛用啊。

领导要求改不改MAC地址没有批准的都进不去局域网

fuzhend 发表于 2013-4-22 21:35:56

当然可以,限制某MAC的DHCP。PPPOE或者UPNP行为

conanli0727 发表于 2013-4-22 21:41:00

这种思路就是错误的,电脑网卡MAC地址 可以随便改。
你路由器上禁止有什么用?
为什么不做热点认证,一人一个帐号。一个帐号只能上一台机器。

dqqqqdqqqq 发表于 2013-4-23 08:58:37

conanli0727 发表于 2013-4-22 21:41 static/image/common/back.gif
这种思路就是错误的,电脑网卡MAC地址 可以随便改。
你路由器上禁止有什么用?
为什么不做热点认证,一人 ...

公司有这样想法是对的,意思就是在路由器和交换机建立一个MAC地址范围的表,凡是不在这个表的里的MAC地址不能进局域网
现在就想知道ROS是否有这个功能
不要以为内部人员带个手提回公司就是上上网玩玩游戏,电脑能做的事可多了.

conanli0727 发表于 2013-4-23 09:51:36

dqqqqdqqqq 发表于 2013-4-23 08:58 static/image/common/back.gif
公司有这样想法是对的,意思就是在路由器和交换机建立一个MAC地址范围的表,凡是不在这个表的里的MAC地址不 ...

呵呵,笑抽了。你不知道电脑网卡MAC地址是可以修改的么?
能行政解决的问题,千万别想技术搞定。
没有绝对的技术。
你允许这个MAC地址能上,别人换一台电脑,改成这个MAC地址,不就能上了么?你封MAC有什么意义?
我以前有个公司,就是这种办法,禁止员工上网,但是呢,技术员,工程师以上可以上网。
也是你这种呵呵的方案。
下面的员工,要找一台能上网的电脑的MAC地址,这不是几秒钟的事情么。跑过来,点开一看,记住了,回去,改一下自己的网卡MAC,刷,也上网了。
别说MAC地址冲突,不会多找几个能上网的MAC地址啊,总有人下班不需要开机吧。
唉,闲的蛋疼,JJWW了半天,木有人加分么。呵呵

BINBINWAL 发表于 2013-4-23 10:25:33

封MAC确实劳心不讨好。第是行政手段,然后就是开入网认证就行。然后实行强密码原则。

host2318 发表于 2013-4-23 10:27:45

conanli0727 发表于 2013-4-23 09:51 static/image/common/back.gif
呵呵,笑抽了。你不知道电脑网卡MAC地址是可以修改的么?
能行政解决的问题,千万别想技术搞定。
没有绝 ...

兄弟没做过公司环境吧?不要太激进

1.正常公司没几个员工会改mac地址这个能力
2.改mac地址来达到上网目的的,被抓这才是走行政流程的。

通过限制mac地址来满足老板的要求
这也是凸显你价值的地方,最起码99%的都控制了,剩下那一两个漏网之鱼老板也不会在乎,可以用来抓典型。如果什么都通过行政手段,那要网管干吗?请个修电脑的就行了嘛。做技术可以钻研,在中国还是要配合风土人情才有钱赚的,对吧

另外如何配合微软的活动目录,员工在公司局域网环境下是没有权限修改系统配置,也就意味着不能改MAC。那你又会钻牛角尖说可以登录本地管理员,我又会说,使用微软的TAG,基于用户的vlan,交换机端口绑定MAC等等。这已经超出本帖讨论范围

host2318 发表于 2013-4-23 10:39:03

最简单的实现方法:
下面方法都是牺牲易用性的,有一种情况,老板的朋友来了,笔记本需要上网。这种情况你要自行解决了

方法一(最简单):
1.启用DHCP,给用户分配固定不变的IP(建议不要去手工指定用户电脑IP)。
2.防火墙限制禁止(1)以外的IP上网

方法二:
还是dhcp给用户分配固定不变的IP
1.备案所有合法的MAC地址,方便以后查找mac和人物及电脑的对应关系。防止盗用mac行为
2.ros 的IP-ARP内绑定所有合法的mac
2.interface--内网口设置 arp选项为 reply-only
这样所有不在ip-arp绑定列表内的mac是无法上网的

方法三:
使用流量控制软件,免费的如“panabit”,限制带笔记本过来使用的恶心应用,比如玩游戏的

dqqqqdqqqq 发表于 2013-4-23 11:43:22

conanli0727 发表于 2013-4-23 09:51 static/image/common/back.gif
呵呵,笑抽了。你不知道电脑网卡MAC地址是可以修改的么?
能行政解决的问题,千万别想技术搞定。
没有绝 ...

:L 怎么说呢,相信你是网吧或小区出租屋维护的大虾,是公司网络管理的小鸟.我就不好意思说你是"蜀犬吠日,鼠目寸光了"

dqqqqdqqqq 发表于 2013-4-23 11:44:22

host2318 发表于 2013-4-23 10:39 static/image/common/back.gif
最简单的实现方法:
下面方法都是牺牲易用性的,有一种情况,老板的朋友来了,笔记本需要上网。这种情况你 ...

谢谢兄弟的认真回答,我会按你提供的方法测试,真心感激!

dqqqqdqqqq 发表于 2013-4-23 11:45:51

host2318 发表于 2013-4-23 10:27 static/image/common/back.gif
兄弟没做过公司环境吧?不要太激进

1.正常公司没几个员工会改mac地址这个能力


兄弟有见识,值得交个朋友!!
页: [1] 2
查看完整版本: ROS有没有MAC地址过滤功能