我们单位外网的规模不大，几十台机器，也没有什么关键应用。说白了，只要别掉线、只要速度说的过去，就一切OK。路由器、交换机、电脑，结构相当的简单。在路由器上作些相关的设置，就基本上能满足需要了。

说到进行员工上网限制，其实我最初并不想这么做。那时候天还是蓝的，水也是绿的，庄稼是长在地里的，猪肉是可以放心吃的，耗子还是怕猫的，结婚是先谈恋爱的，理发店是只管理发的，药是可以治病的，医生是救死扶伤的，拍电影是不需要陪导演睡觉的，照相是要穿衣服的，欠钱是要还的，孩子的爸爸是明确的，学校是不图挣钱的，白痴是不能当教授的，卖狗肉是不能挂羊头的……

要是每个人都能老老实实的遵守规定，规规矩矩的上网，哪个网管愿意去做那么多限制，浪费多少脑细胞啊。最初我们的网络也是一切太平，自从有了BT日子就不太好过了，最近ARP又老是惹麻烦，非逼我作限制不可。

费话说了半天，赶紧说说具体的做法：    单位使用的是TPlink的一款企业宽带路由器，客户端自动获取地址，之前手工登记了全部客户端的MAC地址。

一、DHCP设置静态地址分配

目的是将每台机器的ip固定下来，考虑到将来可能会对客户机的ip参数进行修改，为避免几十台机器每台都要去做修改，所以并没采用手工指定ip的方式。采用DHCP+静态地址分配，既保留了DHCP的灵活性和可管理性，又使某特定MAC每次都可优先获得同一个IP。

二、设置IP地址过滤和MAC地址过滤

只允许DHCP静态地址分配里的那些IP访问网络,防止客户端私自指定其它IP上网，逃避追查。只允许所有登记的MAC访问网络，防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC，逃避追查。

三、进行IP与MAC绑定

将路由器的ARP表设置成静态，防止ARP欺骗，客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来，这样还能防止客户端盗用别人的IP上网。

一台客户机的MAC地址在允许访问的列表内，他手工指定了一个原本给别人预留的IP，此IP也在允许访问的IP列表内。但是他还是上不了网，IP与MAC的对应关系不对，路由器会认为他在进行ARP欺骗，阻止他的数据，同时将信息记入日志。

四、在客户机上绑定路由器的IP和MAC信息

目的是防止客户机受到ARP欺骗，网关的正确MAC信息不会被篡改。方法是建立一个批处理文件：

    arp -d
    arp -s 网关IP  网关MAC

将此文件设置成开机自动运行。完成以上工作，ARP病毒就不怕了，可是BT等p2p软件的影响依然存在。可气的是这台三千多地路由器居然不带针对IP的QoS，没法限制单个IP的带宽和连接数，郁闷死了。只能通过IP规则间接的实现控制p2p的目的了。

先说说指导思想，两种：1、全世界都是好人，只需要限制个别的坏人；2、全世界都是坏人，只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了，有些还是随机的，而且我们也不可能了解所有的p2p软件。只好采用第二种思想，所有的端口都是坏人，我只允许个别的好人访问，比如打开53、80、443等。

经过这样设置现在的情况是，常用的业务能够正常使用，不在端口列表里的软件不能访问网络。软件不能用同事就会来找我，这时候我检查这个软件是不是p2p的，会不会影响网络，如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了，不用再跑来跑去劝说他们别用这个别用那个，现在他们想用只能主动过来找我。我们干网管的也不能太累了，多动动脑子，形势就大不一样了，呵呵！

以上就是我对路由器的一些设置，其实这样的设置也是有问题的，还是有空子可钻。谁知道这篇文章会不会有同事看到，所以我还是不说了，其实也很简单的。对于IP规则设定，副作用也挺大的，大部分软件不能正常使用了，而且这样做也不能100%限制掉p2p。

现在发现至少PPLive还是能用，就是慢了许多。在域名限制里禁掉pplive.com可能效果更明显一点，但是咱也不能做得太绝了，只要不会对网络正常运行带来太大的影响就行了，关键是维护绝大多数人的利益，不能让个别人抢了带宽。最后注意一点，在路由器里关掉upnp功能，对限制p2p有一定的作用。

当然也可以通过局域网管理软件来实现上网行为监控功能，比如被官方运用的著名上网行为管理软件：Anyview(网络警)网络监控软件（www.amoisoft.com),点点鼠标就可以灰常简单有效地实现上网行为限制、上网行为管理、上网行为监控。