V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nbweb
V2EX  ›  问与答

公司网络如何限制手机?

  •  
  •   nbweb · 2017-08-10 08:41:33 +08:00 · 7168 次点击
    这是一个创建于 2660 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有笔记本要用无线,知道密码了以后,刷刷的手机都连上了,有没有什么好方法?上千块的路由器都死过机了。

    看了下路由器,有 web 认证,这个 web 认证的是不是只能 wifi ?有线没有影响吧。

    mac 地址过滤维护起来太麻烦。

    51 条回复    2017-08-11 10:15:34 +08:00
    churchmice
        1
    churchmice  
       2017-08-10 08:44:21 +08:00 via Android   ❤️ 7
    认证界面做成 IE only ?
    lieh222
        2
    lieh222  
       2017-08-10 08:45:49 +08:00
    wlan 是独立的网卡,可以针对 wlan 做限制,lan 不做限制
    kx5d62Jn1J9MjoXP
        3
    kx5d62Jn1J9MjoXP  
       2017-08-10 08:47:35 +08:00
    换种方式解决问题吧, 不让人用手机连 WiFi, 这是赶人走的节奏吗
    smallfount
        4
    smallfount  
       2017-08-10 08:48:37 +08:00
    web 认证手机也能过啊...没卵用的。。
    要隔离手机就要用 radius 证书验证....机器没证书就连不上
    akirahaku
        5
    akirahaku  
       2017-08-10 08:55:03 +08:00
    换 WPA2 Enterprise,每个账号只允许一台设备登录。
    lang1pal
        6
    lang1pal  
       2017-08-10 08:56:07 +08:00
    手动 ip 一人一个 可行吗?
    wclebb
        7
    wclebb  
       2017-08-10 09:04:25 +08:00 via iPhone
    @ssynhtn 没看内容么……
    说是会让路由器死机。
    LosLord
        8
    LosLord  
       2017-08-10 09:05:32 +08:00 via Android
    多弄几个路由呗,一个路由才多少钱
    nbweb
        9
    nbweb  
    OP
       2017-08-10 09:13:26 +08:00
    @lang1pal 可行,但是有十多台机器和 ps4 要连网,测试时要自动获取 ip,无解了。


    @LosLord 主路由一个,24 口交换机一个,无线路由器 5+个,都是好东西,全是千兆的。

    目前是有部分设备需要用到 hdcp,电脑倒无所谓,一个分了一个 ip,dhcp 也不能关,艹的。


    @smallfount radius 认证不知道麻烦不,公司有个文件服务器是 2008 的,上面跑了两个 vbox 的虚拟机,一个是 git,一个是 shadowsocks 服务器。看了一下主路由器,认证里面有 radius 认证。想请教一下,如果认证服务器弄好了,客户端怎么个搞法?从没接触过,非常感谢。
    LosLord
        10
    LosLord  
       2017-08-10 09:20:27 +08:00 via Android
    @nbweb 那 5 个路由开 dhcp 了吗,开了应该对主路由压力减小了一些吧
    jinhan13789991
        11
    jinhan13789991  
       2017-08-10 09:22:52 +08:00
    路由器的无线速度是和连接数量有关系的。 一个 5G 的天线是 433M 的速度,也有 866M 的。
    每连接一个用户,速度就会除以人数。 所以,好的解决方案是在办公室覆盖无线 AP, 分散无线的压力。
    ixiaohei
        12
    ixiaohei  
       2017-08-10 09:24:30 +08:00
    你们多少人,上千块钱的路由器都死机,估计限制手机也会死机吧。
    zjyd
        13
    zjyd  
       2017-08-10 09:26:46 +08:00
    哪有不让用 wifi 的公司。。。没公用 wif 人手一个 360wifi 反而干扰死
    dr3am
        14
    dr3am  
       2017-08-10 09:30:34 +08:00
    有一种东西叫做上网行为管理,可以识别移动端 or 电脑端,并且能只把移动端上网络流量干掉。而且还有附加功能就是防私接,也就是不让私联 360wifi 等,目前业内做的最好的是深信服和 360 网康。。。。
    dream7758522
        15
    dream7758522  
       2017-08-10 09:31:59 +08:00 via Android
    路由器加白名单就行了
    XiaoXiaoNiWa
        16
    XiaoXiaoNiWa  
       2017-08-10 09:34:35 +08:00 via Android
    深信服
    xfspace
        17
    xfspace  
       2017-08-10 09:37:57 +08:00 via Android
    遇到性能瓶颈?申请换!
    DT27
        18
    DT27  
       2017-08-10 09:40:16 +08:00
    @dr3am 哈哈哈,360 网康限制 360wifi
    dr3am
        19
    dr3am  
       2017-08-10 09:43:51 +08:00
    @DT27 因为之前网康是独立的 现在被 360 收购合并。变成 360 安全集团,所以没啥大不了的
    johncang
        20
    johncang  
       2017-08-10 09:45:10 +08:00
    限制 WiFi,好多人都用移动网络
    changwei
        21
    changwei  
       2017-08-10 09:54:43 +08:00 via Android
    直接装 2.4ghz 信号屏蔽器
    flyz
        22
    flyz  
       2017-08-10 09:57:43 +08:00 via Android
    pppoe,连上 wifi 在拨号
    whileFalse
        23
    whileFalse  
       2017-08-10 09:59:10 +08:00
    能问问上千块的路由器什么型号吗
    edwardaa
        24
    edwardaa  
       2017-08-10 10:34:51 +08:00 via iPhone
    再拉条线路,而且思科上千的路由器应该不会有这种情况
    nullen
        25
    nullen  
       2017-08-10 10:39:12 +08:00
    分开两个网络:
    1、办公网络:通过公司采购的电脑 MAC 地址都知道,直接加过滤;
    2、公共网络:不限定 MAC,做总带宽限制。
    datocp
        26
    datocp  
       2017-08-10 11:11:00 +08:00   ❤️ 3
    对于私人手机从来是宜疏不宜堵,不然找麻烦的特别多,老板要用微信沟通呢,什么没有无线网,要用自己流量,我还是辞职吧。。。员工总是有很伟大的理由。。。

    减少对无线 AP 的压力,只能是让 AP 接入一定量 30 左右的高信号强度的客户端。即便你做了 radius 虽然不能通过认证上网,它们依然连接在 AP 上,这个我没仔细考证,当时也是因为公司设备太多,最后 mac 过滤全部做在核心交换机上,虽然手机是不能上网,但是它们依然连接在 AP 上获得的是 169.ip 。。。等于没解决。。。

    如果你有 openwrt 之类的 linux 设备,类似问题根本就不是问题。linux 的 shell 编程逻辑处理,是其它所谓的企业级路由根本无法比的。

    1 你的主路由要能处理 QOS,这才是整个网络拥塞的关键部分
    2 对 ip 进行划分,它应该包含公司客户端 ip 段(static dhcp),公司网络设备 ip 段,用于 dhcp 分配的 ip 段
    3 用脚本进行弱信号踼除。
    4 对非法的手机 mac 进行识别处理
    5 通过 curl 或者 sshpass 进行远程登录重启 AP,每天来一次


    ===
    1 我们公司主路由 49 块钱的优酷路由宝刷 lede,8mbps 实施了动态 QOS。
    2 外围 8 台 AP,其实都是非常普通的家用级别的 AP,平时 80+数量有的。
    3 ERP 系统专用的 AP,做了 mac 限制,只稍许 4 台笔记本连接。其它的 AP 能上弱信号踢除的全部实施了
    4 每天在 openwrt 通过 curl 或者 sshpass 进行远程登录 ap,控制 ap 重启。

    ===远程登录重启 AP
    #curl -D -s --header "Referer: http://192.168.188.99/userRpm/SysRebootRpm.htm" -u "admin:password" "http://192.168.188.99/userRpm/SysRebootRpm.htm?Reboot=Reboot"
    curl -u admin:password -d onclick="confirmreboot();" "http://192.168.1.110:8080/goform/rebootsystem"
    sshpass -p password ssh -y -p 22 [email protected] reboot


    ===过滤手机 mac,可以在 ap 里做 mac 过滤,可以在主路由做 ipset 禁止连外网
    #!/bin/sh
    cd /mnt/sda1/da
    xcl=/mnt/sda1/da/w.tmp
    _f=/mnt/sda1/da/b.tmp; #>$_f

    #if [ ! -f $xcl ]; then
    wmac="C8:AA:21:CB:C5:37 F4:F1:5A:EB:9A:00 50:EA:D6:2E:CA:AA 20:02:AF:BA:60:43 90:18:7C:45:7A:54 18:9E:FC:7F:CA:F2 6C:3E:6D:25:5C:70 38:48:4C:70:4D:50 98:D6:BB:48:A9:E0 68:96:7B:EA:29:C0 4C:8D:79:96:06:E9 98:03:D8:BE:0C:69 1C:B0:94:D1:01:2C E8:99:C4:E7:C9:D9 F8:1E:DF:8F:A5:04 38:AA:3C:EC:74:3D 38:BC:1A:00:08:53 60:FA:CD:77:22:CE D8:B3:77:32:73:B4 94:94:26:A6:E1:89 04:46:65:E5:57:5B 74:E2:F5:79:30:5A 98:D6:F7:61:78:9D F4:F1:5A:E2:53:EE 60:21:C0:92:C6:2F 98:D6:BB:39:97:1E"
    echo $wmac |tr ' ' '\n'>$xcl #;fi

    arp|grep ndroid>t.tmp
    arp|grep iPod>>t.tmp
    arp|grep Phone>>t.tmp
    arp|grep iPad>>t.tmp
    arp|grep BLACKBERRY>>t.tmp
    cat t.tmp|cut -d ' ' -f4>>b.tmp

    while read mac;do sed -i -e "/^${mac}$/d" $_f;done < $xcl
    cat b.tmp|grep -Eo ..\(\:..\){5}|awk '!i[$1]++' >>ptmp.tmp #过滤 mac 去重复
    cat ptmp.tmp|awk '!i[$1]++'>pblack.lst #过滤 mac 去重复
    cat pblack.lst | tr A-Z a-z



    注意 mac 格式为大写字母不然匹配有问题
    sed 's/xxx/yyy/i' filename
    注意那个'i'就是大小写不敏感
    pqee
        27
    pqee  
       2017-08-10 11:18:58 +08:00 via Android
    那就把网络搭的牛逼一点呀……这思路感觉是政府监管部门的思路
    nbweb
        28
    nbweb  
    OP
       2017-08-10 11:30:47 +08:00
    @datocp 车间员工人手一个手机,连上网络根本跟工作一点都沾不上,员工上班也不需要网络,完全是自己私人用。办公室员工都有笔记本和台式机,工作用 qq,邮箱,工作从不用微信沟通,大多是邮件和 qq。我们只是想让工作用的设备能正常,也就 60 台不到的电脑,现在连了 170 多个设备。也就是说,手机连到公司网络,已影响到正常的办公了,手机上网完全是私人化的了,与工作不相干。所以才想清理手机,把正常工作的电脑搞正常。

    目前我用 debian 搭了一个 dns 服务器,一个 shadowsocks 服务器,其中 ss 用的是 ipset 管理 ip 段,如果用 ss 这台服务器来做网关,是不是可以限制一些?求教,谢谢。
    datocp
        29
    datocp  
       2017-08-10 12:03:57 +08:00
    用上面的脚本获得非法手机 mac 以后,剩下的就是网关 blcok 掉,只是这种做法会导致手机依然连接在 AP 上,只是不能上外网而己。

    root@ww:/da# cat ipset.sh
    #!/bin/sh
    iptables -F forwarding_rule
    ipset destroy block_mac
    ipset create block_mac hash:mac
    for i in `cat /da/blockmac.lst`;do ipset add block_mac $i;done
    #ipset list block_mac
    ipset destroy block_ip
    ipset create block_ip hash:ip
    for i in `cat /da/blockip.lst`;do ipset add block_ip $i;done
    iptables -I forwarding_rule -m set --match-set block_mac src -o pppoe-wan -j REJECT
    iptables -I forwarding_rule -m set --match-set block_ip src -o pppoe-wan -j REJECT
    smallfount
        30
    smallfount  
       2017-08-10 12:29:08 +08:00
    @nbweb 感觉你没域控的?我们是用域控下的证书服务器生成机器的证书然后在无线上使用 radius 智能卡证书验证过 PC 的。
    如果没有 PKI 构架存在并且机器加域什么都完善的话,还是别搞这个

    手机会有独立的 VLAN 划分跟内网隔离开直接出公网。。。
    hjc4869
        31
    hjc4869  
       2017-08-10 12:59:19 +08:00
    我们公司的内网 WiFi 用的 WPA2 Enterprise,电脑要加域装证书才能连接。
    手机 /访客用的另一个 Open 的 WiFi,是隔离的,web 认证。
    paradoxs
        32
    paradoxs  
       2017-08-10 13:07:42 +08:00
    斐讯 K3,不要钱,买几十台覆盖公司每一个角落。
    一台能带 200 个设备
    jiangzhuo
        33
    jiangzhuo  
       2017-08-10 13:09:26 +08:00
    思路是
    在 ac 上判断来的 mac 是什么设备,理论上应该能判断,是手机就让 ap 断开
    公司的测试机走有线网
    领导的手机加白名单
    弄个公共 wifi 限速隔离谁愿连谁连
    17176619734
        34
    17176619734  
       2017-08-10 13:25:48 +08:00 via Android
    pppoe, 所有厂商都有 PC 客户端,手机不能装 exe 客户端基本就废了 。不过 USB 随身 WiFi 就是解决这个问题的
    coderluan
        35
    coderluan  
       2017-08-10 14:19:15 +08:00
    楼主现在有没有发现,其实 mac 地址过滤 是最简单的办法。
    LancerEvo
        36
    LancerEvo  
       2017-08-10 15:20:02 +08:00
    我司已经 mac 了 LOL 手机只能连 xxx-guest
    amu
        37
    amu  
       2017-08-10 15:26:14 +08:00
    收集 mac, 白名单, 多好
    smithtel
        38
    smithtel  
       2017-08-10 15:47:23 +08:00 via iPhone
    mac 过滤
    zhihaofans
        39
    zhihaofans  
       2017-08-10 18:26:37 +08:00 via Android
    锐捷
    ly529
        40
    ly529  
       2017-08-10 18:32:47 +08:00
    连个 WiFi 都不让用也是醉了
    lan894734188
        41
    lan894734188  
       2017-08-10 18:40:19 +08:00 via Android
    capsman
    nlysh007
        42
    nlysh007  
       2017-08-10 18:47:29 +08:00
    白名单一劳永逸~
    UnknownR
        43
    UnknownR  
       2017-08-10 21:58:37 +08:00
    数据包头检测过滤,来自移动端的统统 reject,第二个是连接证书,公司电脑统一安装预装证书的操作系统,只有装了带有公司证书操作系统的设备才能连接 wifi,办法有很多了
    jiujiu5151
        44
    jiujiu5151  
       2017-08-10 22:07:49 +08:00 via Android
    好期待提供解决方案的程序员应聘到这家公司😄
    rssf
        45
    rssf  
       2017-08-10 22:33:33 +08:00 via iPhone
    深信服,一键搞定
    wolfan
        46
    wolfan  
       2017-08-10 23:05:33 +08:00
    那个机器上用上小米、360 之类的随身 WIFI 呐?
    xiqingongzi
        47
    xiqingongzi  
       2017-08-11 00:18:08 +08:00
    一个账号只能有一个终端登陆可解。
    rssf
        48
    rssf  
       2017-08-11 07:46:08 +08:00 via iPhone
    @wolfan 深信服可以完美干死这些随身携带 Wi-Fi
    kevinzhwl
        49
    kevinzhwl  
       2017-08-11 08:49:43 +08:00
    @nbweb 所以贵公司的领导从来不用 qq 和 email 之外的方式联络员工,且准时上下班,也不在工作时间之外联系,员工在手机 qq 上看到消息或者非办公电脑上看到 email 也不用理睬,对吗?如果能做到,行;如果做不到,那凭什么用员工私家网络处理你公司事物?
    宜疏不宜堵,这种事情参不透,以‘员工’为壑的思路怎么做都是死路,网络死或者公司死
    nbweb
        50
    nbweb  
    OP
       2017-08-11 10:12:20 +08:00
    @kevinzhwl 不知道你这么激动干嘛,希望你认真看下我写的东西。车间流水线上的员工,用手机办公了?用手机处理公司事务了?他们只是在上班间隙聊微信,视频等。除了公司销售偶尔用下手机和客户沟通外,还真没有用员工的手机处理公司事务。休息日和下班时间,办公室员工也基本不理公司事情的。上班时间基本是 QQ 和邮件解决所有的事情,根本用不到手机来处理。所以综上,基本不用员工的私人网络来处理公司事务,原则是上班时间在公司内处理完所有的事,当然,你的事出问题,那就例外,那是你的问题。

    上班时间,电脑可以上网,可以邮件和 QQ,怎么就网络死了呢?只是不让手机连网络而已,有什么不能在电脑上完成的?如果你开一家公司,有 200 人,100 台电脑,200 个手机,全部连公司网络,你愿意吗?有人还几台手机连着。

    换位思考吧,不要什么都来喷。我们公司已非常人性化了,上班时间基本不怎么管,上班时间非常自由,迟来上班,准时下班非常普遍,自己搞定自己的事,下班从没人找你,除了有台风不上班在微信和 qq 一个一个的通知外,基本不会在上班时间以外联络员工。
    nbweb
        51
    nbweb  
    OP
       2017-08-11 10:15:34 +08:00
    @ly529 不是不让连 wifi,你看清楚,是手机 wifi,电脑 wifi 一样可以连啊,你告诉我,你上班时间,手机连着公司 wifi 想干什么?大家全连着公司 wifi,把正常工作的电脑都搞的没法用了,不限制你教我个方法。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1403 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:30 · PVG 01:30 · LAX 09:30 · JFK 12:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.