現在(zai)的(de)便攜式路由器非(fei)常的(de)小巧輕(qing)便，而且即插即用，很受大家(jia)的(de)喜愛。

但是，對(dui)于局域(yu)網的(de)網管人(ren)員(yuan)來說，這個小東西造成(cheng)的(de)危(wei)害可(ke)不小，比如：

1. 私接設備繞開管控，占用大量帶寬資源。
   

2. 導(dao)致(zhi)IP地址沖突(tu)，影響網絡正常(chang)運行。

3. 提(ti)供不(bu)合法的DHCP服務，使局域網(wang)其他客戶機獲取(qu)到錯(cuo)誤(wu)的IP地(di)址。

我相信大(da)部分網絡管理人員都被它坑過(guo)。今天我就來(lai)分享下(xia)一些(xie)常見的(de)解決方案。最根(gen)本(ben)的(de)解決方法，是在交換(huan)機上(shang)進行限制，主要考慮如下(xia)幾(ji)個方面(mian)：

1. 交換機端口的mac地址綁定，限制外來設備的接入。
   

2. 交換(huan)機(ji)開啟dhcp snooping功能，這個功能會屏(ping)蔽不(bu)信任的dhcp廣(guang)播包。

但是(shi)交換(huan)機的這(zhe)些功能實現需要硬(ying)件(jian)支持(chi)，而且配置和維護(hu)都比較復雜。所以對(dui)于大(da)部分(fen)用戶(hu)來說并不容易實現。對(dui)于不具備三層交換(huan)機的局域網環(huan)境來說，要防范(fan)私接(jie)路由器，也不是(shi)impossible misson，我總(zong)結了如下幾(ji)點，供大(da)家(jia)參考：

• 修(xiu)改路由(you)器(qi)的(de)默認IP地址(zhi)(zhi)。現在大部分的(de)路由(you)器(qi)默認都是(shi)192.168.1.1或者192.168.0.1。你(ni)要(yao)是(shi)不修(xiu)改的(de)話，很容易和(he)私接的(de)路由(you)器(qi)IP地址(zhi)(zhi)沖(chong)突。建議修(xiu)改成172.16.0.1類似的(de)IP段。

• 配(pei)置IP-MAC綁定。在網(wang)關或者交換(huan)機設備上(shang)(shang)配(pei)置IP-MAC綁定后(hou)，私(si)接(jie)的設備一律上(shang)(shang)不(bu)了網(wang)。自然就杜絕了私(si)接(jie)設備的想法。

• 網絡有問(wen)題時，掃描下是否有私(si)接的DHCP服務或者IP沖突等。可以很(hen)快捷的定位到問(wen)題所在。

• 頒布行政命令，禁止私接網絡設備，違反者罰款。
  

只要做到上述的(de)幾點，你再也不需要為私(si)接路由器煩惱啦。至于IP-MAC綁定，以(yi)及dhcp掃描(miao)等工具(ju)，用WFilter就可(ke)以(yi)輕松實現，以(yi)下是(shi)一些相關的(de)功能截圖(tu)：

WFilter的IP-MAC綁定：

WFilter的各種檢測插件：

DHCP掃描

網絡(luo)健康度檢測(ce)，可(ke)以檢測(ce)IP沖突、ARP欺騙等常見網絡(luo)問(wen)題。