最近经常看到一些午饭问道到如何限制局域网里用户上网的问题，我做了一下总结，以后大家看这个帖子就行了，有什么补充的在下面跟帖子吧。
限制用户上网其实就是对局域网的一个限制问题，基本可以分为限制IP、限制用户和限制流量。
3、限制流量
限制流量可以在一些代理/路由服务器软件上实现，如Sygate、ISA、第三方软件（就不介绍了。前面都有）都可以做到，因为我没有实际去做，不知道具体效果如何。在某些交换机上也可以实现端口限速，我知道Cisco2950以上级别交换机可以做到以1M为单位的限速，其它牌子的我不是很清楚。
上面所有的方法其实都有一个弱点，无法防止内部非法的代理服务器，所谓非法，就是在可以上网的机器上装有代理软件，不可上网的用户通过此代理上网。非法代理实际上是很头痛的事情，这种封包没有任何特殊性，而且代理服务器的端口可以任意修改，用访问列表来控制几乎是不可能的，唯一的办法就是彻底断绝可上网与不可上网用户的通讯。
下面我给出一种目前来说比较完善的局域网方案，基本可以控制住机器的上网，首先要使用了三层交换机，VLAN划分和ACL，同样也适用于其它目的的网络控制。
其中VLAN1:192.168.1.0是可以上网的，VLAN2:192.168.2.0是不可以上网的，VLAN3:192.168.3.0是服务器。
VLAN1与VLAN2通过访问列表不禁止任何通讯；VLAN1和VLAN2都可以和VLAN3通讯。
访问列表的设置：
条目
动作
源地址/掩码
目的地址
1         禁止     192.168.1.0/255.255.255.0     192.168.2.0  
2         禁止     192.168.2.0/255.255.255.0     192.168.1.0  
将此列表应用在接口VLAN1和VLAN2上，启用VLAN间路由。
VLAN1和VLAN2之间用户较小的文件传输可以通过局域网的Email服务器，较大的文件可以在服务器上建立FTP服务。
这样，VLAN2的用户无论如何更改IP，也不能达到上网的目的，而且也不能通过VLAN1内的非法代理上网，并且通过VLAN3的服务器可以实现文件共享，可以说是一个较为理想的方案。
最后我要说的还是，技术不是万能的，要依靠完善的管理手段才能发挥最大作用，建立完善的网络操作规范，合理的行政制度，并且严格执行（如果你放水，工作就越来越难开展，甚至丢掉工作都有可能），不但对网络管理人员是一个好消息，而且是一个合格网络管理人员的基本要求，对企业来说也是有利无弊的。
 

转载请注明：艺宵网 » 解除局域网限制上网的方法