Network-Monitoring

您可以完全禁止本地網路中的 PC 嗎?

  • March 23, 2011

我想知道是否可以完全禁止 PC 從 LAN 或 WLAN 訪問?我知道根據MAC地址禁止是沒有用的,因為它可以改變。

PS:假設連接 LAN/WLAN 不需要憑據。

確實,客戶端可以更改他們的mac地址,從而使任何類型的過濾或多或少無用。

在有線 LAN 上,使用正確類型的交換機,您可以控制允許 MAC 從哪些埠連接,並限制埠上允許的 MAC 數量。如果客戶端始終處於連接狀態並打開,這會有所幫助,但了解特定機器上 MAC 的人可以拔下合法框並更改其 MAC 地址以匹配。一些交換機可以配置為在鏈路斷開時阻塞埠,並且需要管理干預,但這根本不能很好地擴展。

因此,這正是 802.1x 協議旨在幫助解決的問題。簡而言之,它要求客戶端在授予網路訪問權限之前提供經過身份驗證的憑據。關於它的維基百科文章很好地描述了它的工作原理。

據我所知,如果沒有某種訪問憑據,您將無法完成您想要完成的事情。802.1x 至少將認證放在了網路層面,而不是允許訪問,然後通過其他方式阻止對網路資源的使用。

引用自:https://serverfault.com/questions/251042