公司网络如何限制手机？

认证界面做成 IE only ？

wlan 是独立的网卡，可以针对 wlan 做限制，lan 不做限制

换种方式解决问题吧, 不让人用手机连 WiFi, 这是赶人走的节奏吗

web 认证手机也能过啊...没卵用的。。
要隔离手机就要用 radius 证书验证....机器没证书就连不上

换 WPA2 Enterprise，每个账号只允许一台设备登录。

手动 ip 一人一个 可行吗？

@ssynhtn 没看内容么……
说是会让路由器死机。

多弄几个路由呗，一个路由才多少钱

@lang1pal 可行，但是有十多台机器和 ps4 要连网，测试时要自动获取 ip，无解了。


@LosLord 主路由一个，24 口交换机一个，无线路由器 5+个，都是好东西，全是千兆的。

目前是有部分设备需要用到 hdcp，电脑倒无所谓，一个分了一个 ip，dhcp 也不能关，艹的。


@smallfount radius 认证不知道麻烦不，公司有个文件服务器是 2008 的，上面跑了两个 vbox 的虚拟机，一个是 git，一个是 shadowsocks 服务器。看了一下主路由器，认证里面有 radius 认证。想请教一下，如果认证服务器弄好了，客户端怎么个搞法？从没接触过，非常感谢。

@nbweb 那 5 个路由开 dhcp 了吗，开了应该对主路由压力减小了一些吧

路由器的无线速度是和连接数量有关系的。 一个 5G 的天线是 433M 的速度，也有 866M 的。
每连接一个用户，速度就会除以人数。 所以，好的解决方案是在办公室覆盖无线 AP， 分散无线的压力。

你们多少人，上千块钱的路由器都死机，估计限制手机也会死机吧。

哪有不让用 wifi 的公司。。。没公用 wif 人手一个 360wifi 反而干扰死

有一种东西叫做上网行为管理，可以识别移动端 or 电脑端，并且能只把移动端上网络流量干掉。而且还有附加功能就是防私接，也就是不让私联 360wifi 等，目前业内做的最好的是深信服和 360 网康。。。。

路由器加白名单就行了

深信服

遇到性能瓶颈？申请换！

@dr3am 哈哈哈，360 网康限制 360wifi

@DT27 因为之前网康是独立的 现在被 360 收购合并。变成 360 安全集团，所以没啥大不了的

限制 WiFi，好多人都用移动网络

直接装 2.4ghz 信号屏蔽器

pppoe，连上 wifi 在拨号

能问问上千块的路由器什么型号吗

再拉条线路，而且思科上千的路由器应该不会有这种情况

分开两个网络：
1、办公网络：通过公司采购的电脑 MAC 地址都知道，直接加过滤；
2、公共网络：不限定 MAC，做总带宽限制。

对于私人手机从来是宜疏不宜堵,不然找麻烦的特别多，老板要用微信沟通呢，什么没有无线网，要用自己流量，我还是辞职吧。。。员工总是有很伟大的理由。。。

减少对无线 AP 的压力，只能是让 AP 接入一定量 30 左右的高信号强度的客户端。即便你做了 radius 虽然不能通过认证上网，它们依然连接在 AP 上，这个我没仔细考证，当时也是因为公司设备太多，最后 mac 过滤全部做在核心交换机上，虽然手机是不能上网，但是它们依然连接在 AP 上获得的是 169.ip 。。。等于没解决。。。

如果你有 openwrt 之类的 linux 设备，类似问题根本就不是问题。linux 的 shell 编程逻辑处理，是其它所谓的企业级路由根本无法比的。

1 你的主路由要能处理 QOS，这才是整个网络拥塞的关键部分
2 对 ip 进行划分，它应该包含公司客户端 ip 段(static dhcp)，公司网络设备 ip 段，用于 dhcp 分配的 ip 段
3 用脚本进行弱信号踼除。
4 对非法的手机 mac 进行识别处理
5 通过 curl 或者 sshpass 进行远程登录重启 AP，每天来一次


===
1 我们公司主路由 49 块钱的优酷路由宝刷 lede，8mbps 实施了动态 QOS。
2 外围 8 台 AP，其实都是非常普通的家用级别的 AP,平时 80+数量有的。
3 ERP 系统专用的 AP，做了 mac 限制，只稍许 4 台笔记本连接。其它的 AP 能上弱信号踢除的全部实施了
4 每天在 openwrt 通过 curl 或者 sshpass 进行远程登录 ap，控制 ap 重启。

===远程登录重启 AP
#curl -D -s --header "Referer: http://192.168.188.99/userRpm/SysRebootRpm.htm" -u "admin:password" "http://192.168.188.99/userRpm/SysRebootRpm.htm?Reboot=Reboot"
curl -u admin:password -d onclick="confirmreboot();" "http://192.168.1.110:8080/goform/rebootsystem"
sshpass -p password ssh -y -p 22 [email protected] reboot


===过滤手机 mac，可以在 ap 里做 mac 过滤，可以在主路由做 ipset 禁止连外网
#!/bin/sh
cd /mnt/sda1/da
xcl=/mnt/sda1/da/w.tmp
_f=/mnt/sda1/da/b.tmp; #>$_f

#if [ ! -f $xcl ]; then
wmac="C8:AA:21:CB:C5:37 F4:F1:5A:EB:9A:00 50:EA:D6:2E:CA:AA 20:02:AF:BA:60:43 90:18:7C:45:7A:54 18:9E:FC:7F:CA:F2 6C:3E:6D:25:5C:70 38:48:4C:70:4D:50 98:D6:BB:48:A9:E0 68:96:7B:EA:29:C0 4C:8D:79:96:06:E9 98:03:D8:BE:0C:69 1C:B0:94:D1:01:2C E8:99:C4:E7:C9:D9 F8:1E:DF:8F:A5:04 38:AA:3C:EC:74:3D 38:BC:1A:00:08:53 60:FA:CD:77:22:CE D8:B3:77:32:73:B4 94:94:26:A6:E1:89 04:46:65:E5:57:5B 74:E2:F5:79:30:5A 98:D6:F7:61:78:9D F4:F1:5A:E2:53:EE 60:21:C0:92:C6:2F 98:D6:BB:39:97:1E"
echo $wmac |tr ' ' '\n'>$xcl #;fi

arp|grep ndroid>t.tmp
arp|grep iPod>>t.tmp
arp|grep Phone>>t.tmp
arp|grep iPad>>t.tmp
arp|grep BLACKBERRY>>t.tmp
cat t.tmp|cut -d ' ' -f4>>b.tmp

while read mac;do sed -i -e "/^${mac}$/d" $_f;done < $xcl
cat b.tmp|grep -Eo ..\(\:..\){5}|awk '!i[$1]++' >>ptmp.tmp #过滤 mac 去重复
cat ptmp.tmp|awk '!i[$1]++'>pblack.lst #过滤 mac 去重复
cat pblack.lst | tr A-Z a-z



注意 mac 格式为大写字母不然匹配有问题
sed 's/xxx/yyy/i' filename
注意那个'i'就是大小写不敏感

那就把网络搭的牛逼一点呀……这思路感觉是政府监管部门的思路

@datocp 车间员工人手一个手机，连上网络根本跟工作一点都沾不上，员工上班也不需要网络，完全是自己私人用。办公室员工都有笔记本和台式机，工作用 qq，邮箱，工作从不用微信沟通，大多是邮件和 qq。我们只是想让工作用的设备能正常，也就 60 台不到的电脑，现在连了 170 多个设备。也就是说，手机连到公司网络，已影响到正常的办公了，手机上网完全是私人化的了，与工作不相干。所以才想清理手机，把正常工作的电脑搞正常。

目前我用 debian 搭了一个 dns 服务器，一个 shadowsocks 服务器，其中 ss 用的是 ipset 管理 ip 段，如果用 ss 这台服务器来做网关，是不是可以限制一些？求教，谢谢。

用上面的脚本获得非法手机 mac 以后，剩下的就是网关 blcok 掉，只是这种做法会导致手机依然连接在 AP 上，只是不能上外网而己。

root@ww:/da# cat ipset.sh
#!/bin/sh
iptables -F forwarding_rule
ipset destroy block_mac
ipset create block_mac hash:mac
for i in `cat /da/blockmac.lst`;do ipset add block_mac $i;done
#ipset list block_mac
ipset destroy block_ip
ipset create block_ip hash:ip
for i in `cat /da/blockip.lst`;do ipset add block_ip $i;done
iptables -I forwarding_rule -m set --match-set block_mac src -o pppoe-wan -j REJECT
iptables -I forwarding_rule -m set --match-set block_ip src -o pppoe-wan -j REJECT

@nbweb 感觉你没域控的？我们是用域控下的证书服务器生成机器的证书然后在无线上使用 radius 智能卡证书验证过 PC 的。
如果没有 PKI 构架存在并且机器加域什么都完善的话，还是别搞这个

手机会有独立的 VLAN 划分跟内网隔离开直接出公网。。。

我们公司的内网 WiFi 用的 WPA2 Enterprise，电脑要加域装证书才能连接。
手机 /访客用的另一个 Open 的 WiFi，是隔离的，web 认证。

斐讯 K3，不要钱，买几十台覆盖公司每一个角落。
一台能带 200 个设备

思路是
在 ac 上判断来的 mac 是什么设备，理论上应该能判断，是手机就让 ap 断开
公司的测试机走有线网
领导的手机加白名单
弄个公共 wifi 限速隔离谁愿连谁连

pppoe, 所有厂商都有 PC 客户端，手机不能装 exe 客户端基本就废了 。不过 USB 随身 WiFi 就是解决这个问题的

楼主现在有没有发现，其实 mac 地址过滤 是最简单的办法。

我司已经 mac 了 LOL 手机只能连 xxx-guest

收集 mac， 白名单， 多好

mac 过滤

锐捷

连个 WiFi 都不让用也是醉了

capsman

白名单一劳永逸~

数据包头检测过滤，来自移动端的统统 reject，第二个是连接证书，公司电脑统一安装预装证书的操作系统，只有装了带有公司证书操作系统的设备才能连接 wifi，办法有很多了

好期待提供解决方案的程序员应聘到这家公司😄

深信服，一键搞定

那个机器上用上小米、360 之类的随身 WIFI 呐？

一个账号只能有一个终端登陆可解。

@wolfan 深信服可以完美干死这些随身携带 Wi-Fi

@nbweb 所以贵公司的领导从来不用 qq 和 email 之外的方式联络员工，且准时上下班，也不在工作时间之外联系，员工在手机 qq 上看到消息或者非办公电脑上看到 email 也不用理睬，对吗？如果能做到，行；如果做不到，那凭什么用员工私家网络处理你公司事物？
宜疏不宜堵，这种事情参不透，以‘员工’为壑的思路怎么做都是死路，网络死或者公司死

@kevinzhwl 不知道你这么激动干嘛，希望你认真看下我写的东西。车间流水线上的员工，用手机办公了？用手机处理公司事务了？他们只是在上班间隙聊微信，视频等。除了公司销售偶尔用下手机和客户沟通外，还真没有用员工的手机处理公司事务。休息日和下班时间，办公室员工也基本不理公司事情的。上班时间基本是 QQ 和邮件解决所有的事情，根本用不到手机来处理。所以综上，基本不用员工的私人网络来处理公司事务，原则是上班时间在公司内处理完所有的事，当然，你的事出问题，那就例外，那是你的问题。

上班时间，电脑可以上网，可以邮件和 QQ，怎么就网络死了呢？只是不让手机连网络而已，有什么不能在电脑上完成的？如果你开一家公司，有 200 人，100 台电脑，200 个手机，全部连公司网络，你愿意吗？有人还几台手机连着。

换位思考吧，不要什么都来喷。我们公司已非常人性化了，上班时间基本不怎么管，上班时间非常自由，迟来上班，准时下班非常普遍，自己搞定自己的事，下班从没人找你，除了有台风不上班在微信和 qq 一个一个的通知外，基本不会在上班时间以外联络员工。

@ly529 不是不让连 wifi，你看清楚，是手机 wifi，电脑 wifi 一样可以连啊，你告诉我，你上班时间，手机连着公司 wifi 想干什么？大家全连着公司 wifi，把正常工作的电脑都搞的没法用了，不限制你教我个方法。