上网设备:中小企业,50台电脑和30个左右的无线设备,包括笔记本、手机、平板等等。
上网权限:
1、开放全部外网
2、开放出购物网站以外的全部外网
3、开放指定的网站、IP、域名
4、阻止全部外网
原先弄了台简易的服务器,通过Forefront TMG来进行行为控制,后来发现用户只要修改IP就能脱离规则管控,而且WiFi也非常不好管理,只要知道密码就能上网。
因此就淘汰了Forefront TMG,想着用户不多,也不想花较多成本去购买专业的上网行为管理软件,因此改用飞鱼星的VE984GW+来管理网络,已部署使用一年,目前一切良好。通过一下方式来管控:
1、开启DHCP的静态地址分配,根据用户的MAC地址来分配固定IP,且根据不同权限在不同IP段;
2、开启MAC地址绑定,用户的MAC地址和IP必须符合绑定列表的信息才能通过,这样一来,用户修改IP就和列表不符,也就上不了网了。
3、设置不同IP段的上网权限。
OK,以上背景介绍完毕,如果你的环境符合以上的背景,也需要在路由器开启MAC地址后做WiFi扩展,可以接着看以下内容:
首先当然是考虑用WiFi扩展器,去京东买回来,根据说明书配好,发现一直亮着绿灯,但就是无法上网。打电话给客服,各种设置各种调试,仍以失败告终。
后查看了下连接WiFi扩展器的设备的IP才发现,原来设备IP已被扩展器修改了,自然就无法通过路由器MAC地址绑定的规则。当然,我们可以通过设置WiFi扩展器的MAC地址克隆来实现扩展。但这样一来,路由器的行为管理规章就全部失效了。
飞鱼星VE984GW+路由器开启MAC地址绑定后,如果要保留行为规则管理,就无法用WiFi器做WiFi扩展,只能用比较土的办法了。
1、找一个WiFi信号比较好的无线路由器,用一台没连接局域网的电脑连接此无线路由,进入管理后台,关闭DHCP服务器。
2、将无线路由的IP地址更改为与主路由在同一网段的不同IP。比如主路由的地址是192.168.1.1,就将无线路由的IP更改为192.168.1.2。
3、将无线路由的WiFi账号密码设置为与主路由器的WiFi账号密码完全一致。
4、接一条网线到路由器需要放置的位置,将网线插在路由器的LAN口,接通无线路由的电源。
5、搞定!
拓扑图如下:
WiFi扩展拓扑图
原理很简单,就是将这台路由器当做是交换机用,具体如下:
1、关闭了DHCP,无线路由不会为无线设备分配IP地址,这样就不会改变设备的IP地址,避免与主路由的行为管理起冲突;
2、改变无线路由的IP地址,确保无线路由中所有通过的设备与主路由保持同一个网段,且无线路由与主路由不会冲突;
3、WiFi账号密码设置与主路由一致,这样无线设备连接此路由器的WiFi时就不需要再手动输入账号密码,以实现无缝扩展和连接。
4、网线的作用就是提供一个网络信号,无线路由会将这个有线信号转为无线WiFi,至于为什么插在LAN口,因为这台路由器只是用于交换机而已。