限制局域网流量、监控电脑网速和限制上班玩游戏的方法！

限制局域网部分用户的带宽流量、封堵网络游戏的方法

2023/9/5

有时候，出于某些原因，企业或学校需要对局域网内一些计算机做上网限制。这里的限制不是单纯指禁止访问互联网，很多时候会涉及到网速控制、流量限制、游戏封堵等方面。实现这些要求的方法不少，通常是从以下三个方向来考虑的。 一、 限制IP 限制IP是较常用的一种手段，适用范围广泛。目前的很多宽带路由器/防火墙都带有基本的访问控制列表（ACL）功能，通过简单的设置就可以对流量进行过滤，对允许上网的IP的数据包进行转发，而不允 许上网的IP的数据包则被丢弃。一般情况下，路由器都是按照顺序查找的原则，即当路由器接收到数据包后，先从较早条规则开始匹配，如果符合条件则按照该规则设定的转发或者丢弃；如果不符合，则查找的二条规则，以此类推，直到较后一条。这里需要注意的是，有些路由器对于不符合任何规则的数据包按照转发处理，有的则是转发，而防火墙对于不符合规则的一律按丢弃处理。因此，在设置路由器时，一定要先加允许上网的规则，再加不允许的规则，较后根据具体情况，看是否需要加一个禁止所有IP上网的规则，否则无法达到控制的目的。而防火墙则仅加入允许的规则就可以了。 这样设置起来还是比较麻烦的，其实完全可以利用洞察眼软件（官网：www.dongchayan.com）来实现更为简单有效的管控。此软件主要针对企业局域网环境，只需在一台电脑安装洞察眼，就可以扫描到同一局域网内的所有用户，通过为某一或某些用户指派策略即可控制其上网行为，运行洞察眼后，软件会对其他电脑上网数据包进行过滤，丢弃限制规则内的IP包而把限制规则之外的数据包直接转发给路由器。洞察眼网络过滤软件核心功能控制P2P软件（尤其是可以完全禁止迅雷下载）、限制上网聊天、控制网页浏览、限制股票软件、限制网络游戏、限制上网带宽流量、记录邮件内容、防御ARP攻击、禁止代理上网、隔离外来电脑等方面，可以帮助企事业提供全方位的网络管理和网络监控。 对IP的控制比较容易实现，但是对于动态获取IP地址的网络无法精确控制，而且用户还会自行将IP地址更改到允许上网的范围，从而绕过控制列表，甚至还会造成IP地址冲突，这就涉及到MAC地址与IP的绑定问题。MAC与IP地址绑定可以一定程度防止用户 私自更改IP地址，之所以说一定程度，是因为此中方法也不能杜绝更改IP的现象，如果你的绑定是在交换机上做的，而且要对同一子网（VLAN）做限制的话，你基本会很失望的，这种技术只有在路由器/三层交换机上才有意义（如果你的宽带路由器支持的话，静态ARP倒是一个不错的选择）。     静态ARP有很大的缺点，首先，如果是一个很大的局域网络，要收集上百台机器的MAC地址和IP，还要一一手工输入路由器，对于网络管理人员来说是一个极大的考验。其次，计算机的MAC地址也不是不能更改的，现在也有很多傻瓜式的软件，点几下鼠标就会把你的上百条记录的努力付之东流。 洞察眼同样考虑到这些问题，其自带的IP-MAC绑定功能可以自动扫描局域网内主机的IP和MAC地址，绑定之后，无论被控机IP或MAC地址哪一个发生变化都会强制断网，其实即便不启用此功能，单单更改MAC地址也不会逃离洞察眼的控制。 二、 限制用户 较早种方法：是指Windows里的域用户，你可以指定哪些用户可以上网，哪些不可以，但是，这种方法只能用在使用Windows计算机做为 代理/路由服务器上网的局域网里，而且要建立一个完整的域，客户端还要通过输入用户和密码才能登陆，进而上网，比较适合中型的局域网络，通过域的管理还可以进行其它的控制。能够与Windows用户帐号结合的代理软件有Wingate，路由网关型软件有ISA（也可以做代理）。限制用户的好处是你不必管用 户的IP地址是多少（当然你也可以在DHCP中为可上网的用户分配固定IP地址），而且有一层用户名/密码做保护，要盗用也不是那么容易。     第二种方法：利用洞察眼，为不同用户指派不同上网策略，比如完全禁用因特网等。这个方法相比较早种来说不仅操作简单了许多而且对用户的限制也更灵活、方便、全面。 三、 限制流量 这里还是推荐使用洞察眼软件，原因是对带宽流量的限制相比其他方式要更为精确可靠。另外可以针对不同用户设置不同的带宽流量策略，还有一些功能例如发现P2P下载时自动限制带宽、超流量自动断网等则非常有利于企业局域网管理。 通过以上限制的实施，基本可以达到控制局域网上网的目的，可以看出洞察眼软件相比其他方法是有较大优势的。有这方面需求或正在为局域网管理发愁的朋友可以去官网下载使用。