求教：公司内部组建小范围涉密局域网，要求限制外接设备 MAC 地址，如何做到？

2020-03-27 11:15:36 +08:00

tushile928

现在出于大量项目的必要需求，公司客观层面规避风险，想在公司搭建小范围局域网内部协作，希望物理隔绝。

目前笔记本已拆除无线网模块，已禁用 USB 大容量，操作系统层面已限制刻录等，不接入外网，上述要求均已做到，但还需要限制外接设备 MAC 地址，求问解决办法？只需要实现功能即可。

PS：已尝试用公司的华为 24 口交换机（带 Console ）配置，想搭 DHCP 服务，但好像不支持这种功能（这款交换机不了解，但暂时只有这种）。

2202 次点击

所在节点

问与答

12 条回复

liygfg

2020-03-27 11:29:27 +08:00

交换机上配 ACL 规则过滤源 mac

chinvo

2020-03-27 11:31:45 +08:00

域控 + 支持域策略的交换设备

或者单纯做 mac 白名单

有些交换设备支持 mac 和交换机端口的绑定, 也是一种思路

godall

2020-03-27 15:17:04 +08:00

有用吗？可以修改 mac 地址啊，拔掉一台换一台上去就行了。域控我自己有账号也控制不住啊。

这个基本上靠管理手段控制——进出安检，不得带设备！

hhyvs111

2020-03-27 15:20:42 +08:00

只允许自己的 mac 地址访问就好了

lshero

2020-03-27 15:32:35 +08:00

单纯从网络层面来说 802.1x+MAC 认证比较合适
但是不上域控，搞那么多
别人把手机插上后选择 USB 共享网络轻松破解

xingzw

2020-03-27 15:36:49 +08:00

用上网行为管理设备，很多时候不是技术问题。通常这种涉密情况下，要对所有接入行为做记录，要有审计记录。

hyshuang2006

2020-03-27 15:44:33 +08:00

另建议
1.数据加密。不要用国产软件，微软自带解决方案即可实现。
2.24 小时监控（不留死角），重点关注下班后人少的时段。

tankren

2020-03-27 15:48:14 +08:00

mac 白名单

fancy111

2020-03-27 15:59:12 +08:00

自带无线网卡，插上，发送到手机。。。搞定
你再多点限制，我还是有办法。

datocp

2020-03-27 16:49:11 +08:00

公司用了 openwrt 网关和 s5720s，静态路由环境在 openwrt 是抓不到 mac，但 dhcp 也由 openwrt 分发，那就有 mac 和 ip 的对应。在 openwrt 用 iptables 在 forward drop 掉这些源 ip 就可以了。华为交换的弄起来觉得麻烦。

ho121

2020-03-27 18:11:35 +08:00

用虚拟专用网？

docx

2020-03-27 20:52:34 +08:00

我感觉用虚拟专用网，限制仅 127.0.0.1 访问，然后严控虚拟专用网的访问，可能还更实际

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/656702

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.