由于管理要求,上级网管采取了对内网用户封杀路由器的策略,于是网内私接的路由器全部失效,但是实际上失效的只是路由器的路由功能,而不是路由器,在封锁路由的同时管理员们也给路由器留下“一线生机”,使用LAN口与局域网连接,将路由器变成交换机使用。
这样做的后果其实完全抵消了封杀路由的目的,路由器变成交换机,并不能限制接入的设备,特别是无线功能还在,各种使用WIFI的无线设备,如手机、平板仍可接入,于是原来的安全隐患还在,局域网仍是开放的,仍是可以被随意接入,最多只能拦阻那些不懂这个方法的人,确实有个别岁数较大的或无法得到管理员们好感的同志,他们的路由器真的“失效”了。
而使用LAN口接入内网有可能出现的另一个麻烦就是DHCP,原来使用路由时,即使路由器开着DHCP,也会将范围局限于由该路由器后面由LAN口所接的小局域网中,与WAN口连接的大局域网是分隔开的,互不影响,而在限制措施后,原来的两个局域网变成一个局域网,不再有分隔,这些路由器上的DHCP也能作用于整个局域网,这样就造成整个局域网内有两个甚至多个DHCP服务在工作,网内的电脑或其它接入设备可以从任何一个DHCP服务上得到IP,甚至在重启前后都能接收到不同的DHCP服务发来的数据包(这就是有的人的电脑突然间不能上网了,而重启以后可能又能上网),它们被分配的IP地址可能造成冲突,或者由于普通路由器默认的DHCP分配的IP段与原来的局域网所设置的IP段不一致,导致个别接受到错误DHCP信息、得到不合法IP而不能连入内网和上外网。
所以解决的方法一个是找到这些接于内网中的路由器,关闭DHCP功能,保证内网只有一个DHCP服务器在工作,幸好这些接入的路由器一般都是无线的(私下接入路由器基本上目的都是为了让手机上网),拿出手机找到信号最强的地方,就是路由器的所在地,慢慢搜索。这样找很麻烦。还有很多人的路由器并没有改默认的登录密码,甚至连LAN口IP也没改过,直接登录常用的几个路由器管理地址,如192.168.1.1或192.168.0.1等,说不定就能登录后台,直接悄无声息地关了它们的DHCP。当然全网使用固定IP也行,如果网内设备少的话,可以使用,让DHCP为少数临时加入的设备服务就可以了,即使出问题,不影响大局。
也许应该在策略上封锁手机,如果手机不能上网,路由器就没有必要接了(最好也禁止共享设备上网,这样大多用随身WIFI之类接入手机上网也能被禁止),但笔记本连WIFI不能被封杀,也就是说安全隐患还在,仍会有人会偷偷进入你的内网,对一些要求高的公司、单位来说是不允许的,那样只能用绑定IP控制。上一级管得严,后面的工作就会轻松,没有空子可穿,自然不会去做无用功。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1563.html
