在些為大家提供有效的局域網限制解決方法和技巧，最近經?？吹揭恍┪顼垎柕赖饺绾蜗拗凭钟蚓W里用戶上網的問題，我做了一下總結，以后大家看這個帖子就行了，有什么補充的在下面跟帖子吧。

       限制用戶上網其實就是對局域網的一個限制問題，基本可以分為限制IP、限制用戶和限制流量。

        一、限制IP

        是最常用的一種手段，適用范圍也較廣，在使用代理/路由服務器、寬帶路由器/防火墻第三方軟件（P2P終結者，聚生網管，超級嗅覺狗，網路崗等等）都可以使用。
在代理/路由服務器軟件中一般都有關于控制IP上網的設置，例如Sygate，ISA Server，具體設置方法這里就不寫了，你可以參考軟件的幫助文檔，在網上也可以找到很多相關的文章。我要提一點的是，如果你使用了WIN2K/XP自 帶的Internet共享，可以安裝一個防火墻軟件，利用防火墻軟件來限制該服務器與其它機器的通訊，也可以達到控制部分機器上網的目的。

        目前的很多寬帶路由器/防火墻都帶有基本的訪問控制列表（ACL）功能，通過簡單的設置就可以對流量進行過濾，對允許上網的IP的數據包進行轉發，而不允 許上網的IP的數據包則被丟棄。一般情況下，路由器都是按照順序查找的原則，即當路由器接收到數據包后，先從第一條規則開始匹配，如果符合條件則按照該規則設定的轉發或者丟棄；如果不符合，則查找的二條規則，以此類推，知道最后一條。這里需要注意的是，有些路由器對于不符合任何規則的數據包按照轉發處理，有的則是轉發，而防火墻對于不符合規則的一律按丟棄處理。因此，在設置路由器時，一定要先加允許上網的規則，再加不允許的規則，最后根據具體情況，看是否需要加一個禁止所有IP上網的規則，否則無法達到控制的目的。而防火墻則僅加入允許的規則就可以了。下面是一個例子，沒有任何語句，只是打個比方：
        條目
        動作
        源地址/掩碼
        目的地址
        1 允許 192.168.1.22/255.255.255.255 0.0.0.0
        2 禁止 192.168.1.0/255.255.255.224 0.0.0.0 
        3 允許 192.168.1.0/255.255.255.0 0.0.0.0
        4 禁止 0.0.0.0/0.0.0.0 0.0.0.0

        上面的例子可以實現192.168.1.0-192.168.1.31都不可以上網，但其中的192.168.1.22又可以上網，其余的 192.168.1.32-192.168.1.255都可以上網，除了這個子網，其余又都不能上網?？梢钥吹?，加入規則的先后順序基本是按照范圍大小來 確定的，范圍越小，越先加入，路由器也就越先匹配。這里面涉及的部分內容不一定被所有的寬帶路由器所支持，不確定的話，你可以試試先。

        對IP的控制比較容易實現，但是對于動態獲取IP地址的網絡無法精確控制，而且用戶還會自行將IP地址更改到允許上網的范圍，從而繞過控制列表，甚至還會造成IP地址沖突，這就涉及到MAC地址與IP的綁定問題。

        很多午飯很青睞MAC地址和IP的綁定，認為很好用。其實這種靜態ARP技術有很大的局限性，而且效果也不好。MAC與IP地址綁定可以一定程度防止用戶 私自更改IP地址，之所以說一定程度，是因為此中方法也不能杜絕更改IP的現象，原因后面有講到。
因為以太網通訊最終是靠著MAC來進行的，因此，將客戶機網卡的MAC地址與其IP地址一一對應，那么用戶再更改IP地址將無法使用局域網，更不用提上網了，其實現原理簡單說一下：

        在每臺計算機中都有一張ARP表，該表記錄著曾經通訊過的其它機器MAC地址與IP地址的對應關系，下次在通訊時，會在此表中按照目的機器的IP地址查找 到其MAC地址，然后與之建立連接。交換機會自動獲取網絡中其它機器的MAC地址，從而建立起自己的與計算機中相類似的ARP表，通訊時也要按“表”索取。上面提到的這些ARP表都是動態的，不定時更新的，每當有計算機開機或關機，該表都會被更新。部分路由器/交換機支持靜態的ARP技術，即可以手工輸入這些ARP表項，將計算機的MAC地址和IP固定，那么該機器的ARP表項就不會被更新，當用戶更改了IP后，數據包傳到交換機，交換機會按照目的 MAC地址將數據包轉發到目的機器，但是當交換機收到目的機器回應的數據包時，會發現數據包中IP和MAC的對應關系與本地ARP表不符，但是，如果是一個二層交換機，它不會去理會這種錯誤，因為它是靠著MAC地址來工作的，IP對它來說沒有任何作用，因此該數據包會正常到達發起連接的計算機，通訊可以正常建立。那么如果是三層交換機呢，那要分兩種情況，如果這兩臺計算機在同一子網內（或者是同一VLAN內），那么通訊仍然可以建立（理由同上）；如果不是在一個子網（或者VLAN），那么通訊連接就會失敗，因為數據包要跨越三層，最終按照IP來查找目的機器的MAC地址，這時上面的錯誤就會終止數據包的傳輸，因此如果你的綁定是在交換機上做的，而且要對同一子網（VLAN）做限制的話，你基本會很失望的，這種技術只有在路由器/三層交換機上才有意義（如果你的寬帶路由器支持的話，靜態ARP倒是一個不錯的選擇）。

        靜態ARP有很大的缺點，首先，如果是一個很大的局域網絡，要收集上百臺機器的MAC地址和IP，還要一一手工輸入路由器，對于網絡管理人員來說是一個極大的考驗。其次，計算機的MAC地址也不是不能更改的，現在也有很多傻瓜式的軟件，點幾下鼠標就會把你的上百條記錄的努力付之東流。

        二、限制用戶

        第一種方法：是指Windows里的域用戶，你可以指定哪些用戶可以上網，哪些不可以，但是，這種方法只能用在使用Windows計算機做為 代理/路由服務器上網的局域網里，而且要建立一個完整的域，客戶端還要通過輸入用戶和密碼才能登陸，進而上網，比較適合中型的局域網絡，通過域的管理還可以進行其它的控制。能夠與Windows用戶帳號結合的代理軟件有Wingate，路由網關型軟件有ISA（也可以做代理）。限制用戶的好處是你不必管用 戶的IP地址是多少（當然你也可以在DHCP中為可上網的用戶分配固定IP地址），而且有一層用戶名/密碼做保護，要盜用也不是那么容易。

        第二種方法：利用第三方軟件Ipguard,也可以限制用戶。功能十分強大

        三、限制流量

        限制流量可以在一些代理/路由服務器軟件上實現，如Sygate、ISA、第三方軟件（就不介紹了。前面都有）都可以做到，因為我沒有實際去做，不知道具體效果如何。在某些交換機上也可以實現端口限速，我知道Cisco2950以上級別交換機可以做到以1M為單位的限速，其它牌子的我不是很清楚。

        上面所有的方法其實都有一個弱點，無法防止內部非法的代理服務器，所謂非法，就是在可以上網的機器上裝有代理軟件，不可上網的用戶通過此代理上網。非法代理實際上是很頭痛的事情，這種封包沒有任何特殊性，而且代理服務器的端口可以任意修改，用訪問列表來控制幾乎是不可能的，唯一的辦法就是徹底斷絕可上網與不可上網用戶的通訊。

        下面我給出一種目前來說比較完善的局域網方案，基本可以控制住機器的上網，首先要使用了三層交換機，VLAN劃分和ACL，同樣也適用于其它目的的網絡控制。

        其中VLAN1:192.168.1.0是可以上網的，VLAN2:192.168.2.0是不可以上網的，VLAN3:192.168.3.0是服務器。

        VLAN1與VLAN2通過訪問列表不禁止任何通訊；VLAN1和VLAN2都可以和VLAN3通訊。

        訪問列表的設置：
        條目
        動作
        源地址/掩碼
        目的地址
        1 禁止 192.168.1.0/255.255.255.0 192.168.2.0
        2 禁止 192.168.2.0/255.255.255.0 192.168.1.0 
        將此列表應用在接口VLAN1和VLAN2上，啟用VLAN間路由。

        VLAN1和VLAN2之間用戶較小的文件傳輸可以通過局域網的Email服務器，較大的文件可以在服務器上建立FTP服務。

        這樣，VLAN2的用戶無論如何更改IP，也不能達到上網的目的，而且也不能通過VLAN1內的非法代理上網，并且通過VLAN3的服務器可以實現文件共享，可以說是一個較為理想的方案。

        最后我要說的還是，技術不是萬能的，要依靠完善的管理手段才能發揮最大作用，建立完善的網絡操作規范，合理的行政制度，并且嚴格執行（如果你放水，工作就越來越難開展，甚至丟掉工作都有可能），不但對網絡管理人員是一個好消息，而且是一個合格網絡管理人員的基本要求，對企業來說也是有利無弊的。