公司网络如何限制手机？

直接装 2.4ghz 信号屏蔽器

pppoe，连上 wifi 在拨号

能问问上千块的路由器什么型号吗

再拉条线路，而且思科上千的路由器应该不会有这种情况

分开两个网络：
1、办公网络：通过公司采购的电脑 MAC 地址都知道，直接加过滤；
2、公共网络：不限定 MAC，做总带宽限制。

对于私人手机从来是宜疏不宜堵,不然找麻烦的特别多，老板要用微信沟通呢，什么没有无线网，要用自己流量，我还是辞职吧。。。员工总是有很伟大的理由。。。

减少对无线 AP 的压力，只能是让 AP 接入一定量 30 左右的高信号强度的客户端。即便你做了 radius 虽然不能通过认证上网，它们依然连接在 AP 上，这个我没仔细考证，当时也是因为公司设备太多，最后 mac 过滤全部做在核心交换机上，虽然手机是不能上网，但是它们依然连接在 AP 上获得的是 169.ip 。。。等于没解决。。。

如果你有 openwrt 之类的 linux 设备，类似问题根本就不是问题。linux 的 shell 编程逻辑处理，是其它所谓的企业级路由根本无法比的。

1 你的主路由要能处理 QOS，这才是整个网络拥塞的关键部分
2 对 ip 进行划分，它应该包含公司客户端 ip 段(static dhcp)，公司网络设备 ip 段，用于 dhcp 分配的 ip 段
3 用脚本进行弱信号踼除。
4 对非法的手机 mac 进行识别处理
5 通过 curl 或者 sshpass 进行远程登录重启 AP，每天来一次


===
1 我们公司主路由 49 块钱的优酷路由宝刷 lede，8mbps 实施了动态 QOS。
2 外围 8 台 AP，其实都是非常普通的家用级别的 AP,平时 80+数量有的。
3 ERP 系统专用的 AP，做了 mac 限制，只稍许 4 台笔记本连接。其它的 AP 能上弱信号踢除的全部实施了
4 每天在 openwrt 通过 curl 或者 sshpass 进行远程登录 ap，控制 ap 重启。

===远程登录重启 AP
#curl -D -s --header "Referer: http://192.168.188.99/userRpm/SysRebootRpm.htm" -u "admin:password" "http://192.168.188.99/userRpm/SysRebootRpm.htm?Reboot=Reboot"
curl -u admin:password -d onclick="confirmreboot();" "http://192.168.1.110:8080/goform/rebootsystem"
sshpass -p password ssh -y -p 22 root@192.168.188.252 reboot


===过滤手机 mac，可以在 ap 里做 mac 过滤，可以在主路由做 ipset 禁止连外网
#!/bin/sh
cd /mnt/sda1/da
xcl=/mnt/sda1/da/w.tmp
_f=/mnt/sda1/da/b.tmp; #>$_f

#if [ ! -f $xcl ]; then
wmac="C8:AA:21:CB:C5:37 F4:F1:5A:EB:9A:00 50:EA:D6:2E:CA:AA 20:02:AF:BA:60:43 90:18:7C:45:7A:54 18:9E:FC:7F:CA:F2 6C:3E:6D:25:5C:70 38:48:4C:70:4D:50 98:D6:BB:48:A9:E0 68:96:7B:EA:29:C0 4C:8D:79:96:06:E9 98:03:D8:BE:0C:69 1C:B0:94:D1:01:2C E8:99:C4:E7:C9:D9 F8:1E:DF:8F:A5:04 38:AA:3C:EC:74:3D 38:BC:1A:00:08:53 60:FA:CD:77:22:CE D8:B3:77:32:73:B4 94:94:26:A6:E1:89 04:46:65:E5:57:5B 74:E2:F5:79:30:5A 98:D6:F7:61:78:9D F4:F1:5A:E2:53:EE 60:21:C0:92:C6:2F 98:D6:BB:39:97:1E"
echo $wmac |tr ' ' '\n'>$xcl #;fi

arp|grep ndroid>t.tmp
arp|grep iPod>>t.tmp
arp|grep Phone>>t.tmp
arp|grep iPad>>t.tmp
arp|grep BLACKBERRY>>t.tmp
cat t.tmp|cut -d ' ' -f4>>b.tmp

while read mac;do sed -i -e "/^${mac}$/d" $_f;done < $xcl
cat b.tmp|grep -Eo ..\(\:..\){5}|awk '!i[$1]++' >>ptmp.tmp #过滤 mac 去重复
cat ptmp.tmp|awk '!i[$1]++'>pblack.lst #过滤 mac 去重复
cat pblack.lst | tr A-Z a-z



注意 mac 格式为大写字母不然匹配有问题
sed 's/xxx/yyy/i' filename
注意那个'i'就是大小写不敏感

那就把网络搭的牛逼一点呀……这思路感觉是政府监管部门的思路

@datocp 车间员工人手一个手机，连上网络根本跟工作一点都沾不上，员工上班也不需要网络，完全是自己私人用。办公室员工都有笔记本和台式机，工作用 qq，邮箱，工作从不用微信沟通，大多是邮件和 qq。我们只是想让工作用的设备能正常，也就 60 台不到的电脑，现在连了 170 多个设备。也就是说，手机连到公司网络，已影响到正常的办公了，手机上网完全是私人化的了，与工作不相干。所以才想清理手机，把正常工作的电脑搞正常。

目前我用 debian 搭了一个 dns 服务器，一个 shadowsocks 服务器，其中 ss 用的是 ipset 管理 ip 段，如果用 ss 这台服务器来做网关，是不是可以限制一些？求教，谢谢。

用上面的脚本获得非法手机 mac 以后，剩下的就是网关 blcok 掉，只是这种做法会导致手机依然连接在 AP 上，只是不能上外网而己。

root@ww:/da# cat ipset.sh
#!/bin/sh
iptables -F forwarding_rule
ipset destroy block_mac
ipset create block_mac hash:mac
for i in `cat /da/blockmac.lst`;do ipset add block_mac $i;done
#ipset list block_mac
ipset destroy block_ip
ipset create block_ip hash:ip
for i in `cat /da/blockip.lst`;do ipset add block_ip $i;done
iptables -I forwarding_rule -m set --match-set block_mac src -o pppoe-wan -j REJECT
iptables -I forwarding_rule -m set --match-set block_ip src -o pppoe-wan -j REJECT

@nbweb 感觉你没域控的？我们是用域控下的证书服务器生成机器的证书然后在无线上使用 radius 智能卡证书验证过 PC 的。
如果没有 PKI 构架存在并且机器加域什么都完善的话，还是别搞这个

手机会有独立的 VLAN 划分跟内网隔离开直接出公网。。。

我们公司的内网 WiFi 用的 WPA2 Enterprise，电脑要加域装证书才能连接。
手机 /访客用的另一个 Open 的 WiFi，是隔离的，web 认证。

斐讯 K3，不要钱，买几十台覆盖公司每一个角落。
一台能带 200 个设备

思路是
在 ac 上判断来的 mac 是什么设备，理论上应该能判断，是手机就让 ap 断开
公司的测试机走有线网
领导的手机加白名单
弄个公共 wifi 限速隔离谁愿连谁连

pppoe, 所有厂商都有 PC 客户端，手机不能装 exe 客户端基本就废了 。不过 USB 随身 WiFi 就是解决这个问题的

楼主现在有没有发现，其实 mac 地址过滤 是最简单的办法。

我司已经 mac 了 LOL 手机只能连 xxx-guest

收集 mac， 白名单， 多好

mac 过滤

锐捷

连个 WiFi 都不让用也是醉了