通過網關強制 Windows 本地子網流量

我們正在嘗試將所有流量從某台機器路由到網關。這適用於發往機器子網之外的子網的流量。但是，與源電腦位於同一子網中的電腦的流量會通過 Windows 中的 On-Link 網關。這意味著預設網關被忽略，子網（例如，192.168.50.10 -> 192.168.50.11）中的流量會流動。

Destination Netmask     Gateway     Interface   Metric
192.168.50.0    255.255.255.0   On-link     192.168.50.214  276

1. 這條路線可以從 Windows 中刪除，但是當機器重新啟動時，它總是會回來。
2. 向具有較低度量的網關添加持久靜態路由不起作用，因為在持久路由失敗後它仍會嘗試 On-Link 網關。
3. 由於我們的設置，無法將每台機器添加到 VLAN 中
4. 添加啟動腳本來刪除網關也不是一個好的選擇，因為使用者將擁有對機器的完全管理員訪問權限，並且可能會禁用該腳本。
5. 我們不能使用免費 ARP 或透明代理來透明地攔截子網上的所有網路流量，因為子網上還有其他機器使用不同的網關

我們讓它工作的唯一方法是為子網流量添加到網關的持久路由，並在重啟時刪除 On-link 路由。

那麼問題來了。

1. 有沒有辦法永久刪除這個 On-link 路線
2. 如果沒有，有沒有辦法強制甚至本地子網流量通過網關？

強制流量通過網關和阻止設備在子網上看到彼此之間是有區別的。我認為你想要做的是後者。可能是因為您想為多個外部客戶託管伺服器。如果您正在編輯路由表以實現此目標，那麼您找錯地方了。

我的建議是使用 ACL 在交換機上處理這個問題。您可以阻止/允許的具體內容取決於您的交換機的功能。另一種選擇是阻止 ARP 廣播，然後為預設網關設置靜態 ARP 條目（從技術上講，有人可以添加更多靜態條目以與其他設備通信）。

另外，請記住，除非網關設置為阻止從該網段到該網段的流量，否則它將很高興地將流量路由回同一網路。

引用自：https://serverfault.com/questions/236599