iKuai爱快流控路由

标题: 非绑定MAC不允许上网的功能 [打印本页]

作者: beibeiba 时间: 2020-4-11 19:21
标题: 非绑定MAC不允许上网的功能
本帖最后由 beibeiba 于 2020-4-17 09:55 编辑

(, 下载次数: 54)

我公司是家4S店，除少数办公室，大部分是员工顾客共区域，使用同一套网络设备，没法划分VLAN，只能使用扩展IP方式，扩展出A和B两个网段，A网段内部用，可以连接内部ERP等系统，固定IP不允许乱改，B网段公用，使用DHCP获取IP，不能连接ERP。现在我没法绑定MAC地址，一绑定，会造成B网段也不能上网了，不绑定，A网段就会有人乱改IP，比如临时带了电脑想连ERP就随便设置一个A段IP，造成IP冲突还查找困难，给我管理带来不便，怎么解决？

作者: enjoylism 时间: 2020-4-12 04:28
非绑定不能上网是拿来计费的意思是我们手动点绑定用户不能乱接入

作者: beibeiba 时间: 2020-4-12 09:09

enjoylism 发表于 2020-4-12 04:28
非绑定不能上网是拿来计费的意思是我们手动点绑定用户不能乱接入

那我在公司，想防止同事乱改IP，应该怎么操作？

作者: bzlzm 时间: 2020-4-12 13:22

beibeiba 发表于 2020-4-12 09:09
那我在公司，想防止同事乱改IP，应该怎么操作？

那两个勾打上就可以了，乱改IP就不能上网了

作者: beibeiba 时间: 2020-4-12 13:38

bzlzm 发表于 2020-4-12 13:22
那两个勾打上就可以了，乱改IP就不能上网了

可是这两个勾打上，DHCP连接的也不能上网了，怎么解决这矛盾？

作者: awfans 时间: 2020-4-12 14:46
用ACL控制不行吗？把所有许可的IP设置成可以上网，禁止所有IP上网（允许>禁止），然后再在ARP里面绑定，这样可以吗？

作者: 爱快技术支持08 时间: 2020-4-13 10:23
楼主您好，首先您ARP列表里面的状态是绑定状态还是非绑定状态
其次终端和路由器之间是否经过了三层设备
非绑定不能上网和兼容绑定列表两个勾是否都勾选上了

作者: beibeiba 时间: 2020-4-13 19:21

爱快技术支持08 发表于 2020-4-13 10:23
楼主您好，首先您ARP列表里面的状态是绑定状态还是非绑定状态
其次终端和路由器之间是否经过了三层设备
非 ...

可能是我没表达清楚，我即不希望员工乱改IP，又要不影响DHCP端的使用。如果有勾上非绑定不能上网和兼容DHCP静态绑定，那DHCP获取地址的那些终端就不能上网了。如果不勾上，有些同事又会乱改IP，经常造成IP冲突，我想解决这个矛盾

作者: 单车走天下 时间: 2020-4-13 22:02

beibeiba 发表于 2020-4-13 19:21
可能是我没表达清楚，我即不希望员工乱改IP，又要不影响DHCP端的使用。如果有勾上非绑定不能上网和兼容DH ...

可以HDCP静态分配，这样分出来的IP就不会变了，再勾上非MAC绑定不允许上网，理论上这样子乱改IP就上不了网了，

作者: enjoylism 时间: 2020-4-13 22:08

单车走天下发表于 2020-4-13 22:02
可以HDCP静态分配，这样分出来的IP就不会变了，再勾上非MAC绑定不允许上网，理论上这样子乱改IP就上不了 ...

有的高手会克隆别人的mac 然后改成别人ip
这样两台都可以上网

作者: 单车走天下 时间: 2020-4-13 22:39

enjoylism 发表于 2020-4-13 22:08
有的高手会克隆别人的mac 然后改成别人ip
这样两台都可以上网

你是不想让别人上网，还是不想别人乱改IP造成冲突？不想让人上网，可以用拨号啊，每人一个账号，如果只是不想让人乱改IP，就用静态分配加非绑定，我就奇怪，你是不是IP不够分配了，要不然别人怎么会乱改IP？还是限制了部分人员不能上网？别人想上网就乱改IP？

作者: beibeiba 时间: 2020-4-14 12:16

单车走天下发表于 2020-4-13 22:02
可以HDCP静态分配，这样分出来的IP就不会变了，再勾上非MAC绑定不允许上网，理论上这样子乱改IP就上不了 ...

不行呀，这是4S店，每天很多顾客的

作者: 单车走天下 时间: 2020-4-17 00:32

beibeiba 发表于 2020-4-14 12:16
不行呀，这是4S店，每天很多顾客的

4S店，，，人流量大，，，应该是IP不够分，导致有些员工分不到IP，又想上网，就会乱改IP
对员工静态分配IP，绑定MAC，，，非绑定MAC不可上网（这个防止员工乱改IP）
员工与顾客分网段管理，
IP地址池设置大点，拥有足够多的IP分配，IP租期设置短一点（10分钟，默认为120分钟）

作者: beibeiba 时间: 2020-4-17 09:53

单车走天下发表于 2020-4-17 00:32
4S店，，，人流量大，，，应该是IP不够分，导致有些员工分不到IP，又想上网，就会乱改IP
对员工静态分配I ...

除少数办公室，大部分是员工顾客共区域，使用同一套网络设备，没法划分VLAN，只能使用扩展IP方式，扩展出A和B两个网段，A网段内部用，可以连接内部ERP等系统，固定IP不允许乱改，B网段公用，使用DHCP获取IP，不能连接ERP。现在我没法绑定MAC地址，一绑定，会造成B网段也不能上网了，不绑定，A网段就会有人乱改IP，比如临时带了电脑想连ERP就随便设置一个A段IP，查找困难，给我管理带来不便，怎么解决？

作者: 小破孩2013 时间: 2020-4-17 11:00

beibeiba 发表于 2020-4-17 09:53
除少数办公室，大部分是员工顾客共区域，使用同一套网络设备，没法划分VLAN，只能使用扩展IP方式，扩展出 ...

方案一：员工电脑的ip手动设置，搭建dhcp服务器时，设置dhcp地址池不含员工ip段，比如员工电脑有三十台，192.168.1.1-30由员工使用，手动设置ip，客户使用的dhcp地址从192.168.1.31-192.168.1.253,254预留网关。
方案二：开启dhcp，员工电脑使用静态分配，可实现员工电脑以DHCP方式获取到指定的IP地址。具体参照https://www.ikuai8.com/zhic/ymgn/lyym/wlsz/dhcp/jtfp.html。
至于erp访问，使用acl策略进行控制，添加一条客户ip段访问erp的通讯都放弃的策略
内网设备过多，ip地址不够用建议通过修改子网掩码和减小租约时间的方法。
默认使用的24位子网掩码可以给254个终端设备分配IP地址，如果超过254个，可以缩小子网掩码位数来实现给更多的终端设备分配IP地址
如不会计算子网掩码对应的带机量，可在应用工具--子网换算里面进行计算，得出具体可使用的IP数量
案例：lan口的IP地址为192.168.1.1，内网存在300台终端设备，需要怎么操作？
如果子网掩码为255.255.255.0的话，网段为192.168.1.1-192.168.1.254，可用IP为254个，那么指定是不行的，但是把子网掩码改为255.255.254.0的话，网段为192.168.0.1-192.168.1.254，可用IP为510个，就可以实现对300台终端设备进行分配IP的需求。

作者: beibeiba 时间: 2020-4-17 21:54

小破孩2013 发表于 2020-4-17 11:00
方案一：员工电脑的ip手动设置，搭建dhcp服务器时，设置dhcp地址池不含员工ip段，比如员工电脑有三十台， ...

谢谢，这是一个很好的思路

作者: hnjask 时间: 2020-4-18 06:52
其实也好解决，按照你的设置只需要开启认证就可以了，搞个一键认证，就解决你的问题了。我就是这么搞的。

作者: ftfei1991 时间: 2020-4-19 14:11
IP Mac绑定，不勾选非绑定不能上网，可以满足要求

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)