拒絕他人蹭用無線網絡有巧招

為了節省銀子以及獲取較快的上網速度，陌生用戶往往會想盡一切辦法蹭用附近的無線網絡。如果我們心地善良，不想讓這些蹭用網絡者白費心機時，不妨授權它們能夠正常接入單位無線路由器，不過需要將它們可用的出口帶寬設置得比較小，以避免它們影響單位網絡的穩定運行。

最近從網上下載電影時，筆者感覺到無線上網速度明顯不正常。借助專業工具掃描單位內網時，看到有幾臺陌生客戶機正在偷偷蹭用單位的無線局域網，消耗了不少的帶寬資源。很明顯，肯定有陌生用戶成功破解了單位無線局域網的登錄密碼，才得以搭上免費上網快車的。筆者想，盡管使用密碼機制能有效保護無線上網的登錄安全，不過任何事情都有兩面性，一方面密碼要是遭遇破解或發生丟失，那么無線網絡就會失去安全保護，另外一方面加密功能也會影響無線上網的速度。那么能否找到有效的辦法，在不對網絡進行加密的情況下，嚴正拒絕他人偷偷蹭用單位無線網絡呢？經過反復研究與實踐，筆者終于總結出一些行之有效的措施，來禁止別人蹭用無線網絡。現在，本文就以用戶經常用到的MW150R型水星路由器為操作藍本，將筆者總結的措施付諸于實踐！

控制陌生用戶的帶寬

為了節省銀子以及獲取較快的上網速度，陌生用戶往往會想盡一切辦法蹭用附近的無線網絡。如果我們心地善良，不想讓這些蹭用網絡者白費心機時，不妨授權它們能夠正常接入單位無線路由器，不過需要將它們可用的出口帶寬設置得比較小，以避免它們影響單位網絡的穩定運行，比方說，可以考慮為陌生用戶分配5KB/S到10KB/S大小的出口帶寬，這樣陌生用戶將由于無法容忍蝸牛爬行般的龜速，而最終放棄偷偷蹭用網絡的做法。我們可以利用無線路由器自帶的IP地址綁定功能，將單位局域網中所有員工合法計算機的IP地址和對應的網卡物理地址綁定起來，從而生成一個地址綁定列表，對于該列表中的所有客戶機不進行上網限速，而對該列表之外的所有客戶機進行集中限速，為它們統一設置較低的出口帶寬，這樣蹭網用戶日后即使蹭網成功，也不會影響本地無線網絡的正常工作。

比方說，筆者所在辦公室只有兩臺筆記本電腦，為了讓這兩臺筆記本可以正常上網，其他計算機只能使用龜速上網，可以按照下面的操作步驟設置辦公室的無線路由器：

首先以系統管理員權限登錄無線路由器后臺系統，在后臺管理界面的左側任務列表區域中，用鼠標逐一單擊“IP與MAC綁定”|“靜態ARP綁定設置”選項，切換到右側的綁定設置區域，將位于該區域“ARP綁定”位置處的“啟用”選項選中，這樣無線路由器自帶的MAC地址綁定功能會被自動激活成功。

其次按下“增加單個條目”按鈕，在其后彈出的設置頁面中，逐一輸入筆者辦公室中兩臺筆記本的網卡物理地址，使其與它們各自的IP地址綁定在一起，如此一來就自動生成了一個網卡物理地址列表。如果不知道筆記本的MAC地址時，可以依次單擊該電腦系統中的“開始”|“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口，在該窗口命令行提示符下執行“ipconfig /all”命令，從返回的結果信息中就能獲取對應網卡設備的物理地址了，如圖1所示。

接著返回到無線路由器后臺管理主頁面，單擊左側任務欄區域中的“IP帶寬控制”選項，在對應選項設置區域選中“開啟IP帶寬控制”復選框，同時設置好本地寬帶上網線路類型。

下面在“請配置IP帶寬控制規則”位置處定義好上網地址池范圍，為特定范圍內的地址指定好較“窄”的上網帶寬。比方說，筆者所在辦公室兩臺筆記本電腦的IP地址假設為10.176.6.9、10.176.6.10，而本地上網地址池范圍假設為10.176.6.1到10.176.6.10，那么我們就能將10.176.6.1到10.176.6.8地址段的上網帶寬分配為5KB/S或10KB/S，執行設置保存操作后，陌生用戶的上網速度就會被成功控制在一個較低的水平。

日后陌生用戶即使偷偷接入了辦公室的無線局域網，也只能以5KB/S或10KB/ S左右的低速上網運行，雖然處于有網可用的狀態，但是由于數據傳輸速度太慢，根本沒有多大實際意義，嘗試幾次后，多數用戶會放棄蹭網的做法，顯然這種拒絕他人蹭網的做法比較文明、禮貌，不容易得罪周圍的鄰居。

禁止為陌生用戶留位

大家知道，通過無線路由器自帶的DHCP服務器功能，能夠為接入該設備的所有客戶機自動分配IP地址以及其他上網參數，而客戶端用戶只要在客戶端系統中打開無線連接屬性對話框，在其中將TCP/IP協議選項設置成自動獲取IP地址，就能讓客戶端系統順利從無線路由器那里申請獲得有效上網參數，并能正常進行上網訪問了。這樣操作盡管很簡單，不過容易給陌生連接提供可趁之機。

其實，我們完全可以依照實際情況，適當縮小無線局域網的地址池范圍，禁止為陌生用戶保留空閑IP地址，這樣陌生用戶將會由于無法獲得有效上網參數，而被擋在單位無線網絡大門之外。比方說，單位辦公室中只有兩臺筆記本電腦上網，那么該網絡中只要保留兩個有效的IP地址即可。要做到這一點，可以先用特權賬號登錄進入無線路由器后臺系統，在后臺管理界面的左側任務列表區域中，用鼠標逐一單擊“DHCP服務器”|“DHCP服務”子項，在對應該子項的右側顯示區域，將“DHCP服務器”位置處的“啟用”選項選中，如圖2所示。

接著在“地址池開始地址”、“地址池結束地址”等位置處，有針對性地輸入單位無線網絡實際要用到的IP地址。例如，假設我們現在想將10.176.6.9、10.176.6.10這兩個IP地址，自動分配給辦公室中的兩臺筆記本電腦，那么就可以在“地址池開始地址”位置處正確填入“10.176.6.9”，在“地址池結束地址”位置處正確填入“10.176.6.10”，之后按下“保存”按鈕將上述設置參數保存起來。如此一來，單位無線網絡中的寬帶路由器日后只能為接入網絡的客戶機自動分配10.176.6.9、10.176.6.10這兩個IP地址了。

當我們嘗試將辦公室中的兩臺筆記本電腦全部啟動成功并接入網絡后，DHCP服務器地址池中的兩個IP地址將全部被占用，其他客戶機系統就不能接入無線網絡了，陌生用戶只有坐在一旁進行漫長等待，才有可能達到蹭網目的。而實際上，如果經常碰到需要長時間等待才能蹭網的現象時，多數陌生用戶肯定會知難而退的，畢竟用如此漫長的等待時間去做一些其他事情，或許早已掙足了無線上網的費用了。倘若在家中只有一臺客戶機需要上網時，完全可以為DHCP服務器地址池僅配置一個上網地址，從而不給陌生用戶任何一點機會。

過濾陌生網卡MAC地址

要是對單位無線網絡的上網參數不熟悉，或者認為上述設置方法比較復雜時，也可以利用網卡物理地址過濾的方法，來拒絕陌生用戶偷偷使用單位無線局域網。現在，多數品牌的無線路由器都支持網卡MAC地址過濾功能，巧妙使用這項功能，可以智能地將陌生用戶的客戶機阻擋在無線局域網大門之外。

大家知道，MAC地址屬于一種硬件地址，它是專門用來定義網絡設備位置的，由48比特長，12位的16進制數字組成，0到23位是廠商向IETF等機構申請用來標識廠商的代碼，也稱為“編制上唯一的標識符”，是識別局域網結點的標志，地址的24到47位由廠商自行分派，是各個廠商制造的所有網卡的一個唯一編號。在OSI模型中，第三層網絡層負責IP地址，第二層數據鏈路層則負責MAC位址。所以，一個網卡設備通常會有一個全球唯一固定的MAC地址，將單位無線局域網中合法客戶機的網卡物理地址，手工添加到無線路由器自帶的MAC地址過濾表中，那么日后只有客戶端系統的MAC地址與MAC地址過濾表中的內容一致，它才會被無線路由器識別為合法客戶端系統，從而才有權限接入無線網絡進行上網訪問，而其他客戶端系統在連接無線路由器時，會被識別為非法連接，從而會被自動攔截不能上網訪問。

在開啟無線路由器自帶的MAC地址過濾功能時，首先按照同樣的操作，登錄進入無線路由器后臺系統（如圖3所示），在后臺管理頁面的左側列表區域，用鼠標逐一展開“安全設置”|“防火墻設置”子項，在對應該子項的右側顯示區域中選中“開啟MAC地址過濾”選項，同時在“缺省過濾規則”位置處，將“僅允許已設MAC地址列表中已啟用的MAC地址訪問Internet”選項選中，單擊“保存”按鈕執行設置保存操作。

下面返回到無線路由器后臺管理主頁面，在該頁面的左側列表區域中逐一展開“安全設置”|“MAC地址過濾”分支，在目標分支下面按下“添加新條目”按鈕，切換到新條目添加對話框，正確輸入合法客戶端系統的網卡物理地址，并單擊“保存”按鈕，將對應的MAC地址加入到無線路由器的MAC地址過濾列表中。同樣地，可以將單位局域網中其他合法的客戶機網卡物理地址依次添加進來，最后不要忘了保存操作。

經過上述設置操作后，日后只有合法的客戶機才能通過無線路由器，正確上網訪問內容，而陌生用戶在嘗試進行無線連接時，無線路由器由于不能正確識別它們的MAC地址，于是會認為它們是非法連接，從而堅決地將他們拒之門外，這樣陌生用戶一點蹭網的機會都沒有了。

分配虛假地址給外人

很多時候，陌生用戶之所以屢次蹭網成功，主要得益于無線路由器自帶的DHCP服務器功能，因為該功能可以自動為它們配置好上網參數，讓其坐享其成?，F在，我們可以反其道而行之，為無線路由器自帶的DHCP服務器配置虛假的無線上網參數，以此來迷惑陌生用戶，讓其弄不清無法上網的原因。

眾所周知，為了更合理地使用IP地址資源，國際互聯網信息中心將IP地址分為A、B、C、D、E五大類，其中A類網絡的IP地址最前面的一組數字應該處于0到127之間，B類網絡的IP地址最前面的一組數字應該處于128到192之間，C類網絡的IP地址最前面的一組數字應該處于192到256之間，而無線路由器默認使用的IP地址往往是192.168.1.1或192.168.0.1，DHCP服務器默認使用的地址池范圍相應的是192.168.1.2到192.168.1.254，或者是192.168.0.2到192.168.0.254，這就讓很多陌生用戶形成了思維定勢，要接入寬帶路由器肯定會使用這類地址，如果我們偷懶沒有修改無線路由器默認設置時，陌生用戶嘗試利用上述IP地址就能輕松實現蹭網目的。

假設現在我們采用逆向思維，為無線路由器自帶的DHCP服務器配置虛假的無線上網參數，以躲避陌生用戶的視線，比方說使用10.172.1.0網段的地址，來配置DHCP服務器參數。在配置時，首先在無線路由器后臺管理頁面逐一展開“DHCP服務器”|“DHCP服務”子項，在對應該子項的右側顯示區域，將“地址池開始地址”輸入為“10.172.1.1”，將“地址池結束地址”輸入為“10.172.1.200”。

其次修改默認的網關地址，來欺騙陌生用戶。通常情況下，局域網的網關地址一般都是一個網段中的第一個IP地址，比方說這里應該為10.172.1.1，現在我們可以將其調整為10.172.1.254，之后執行設置保存操作，這樣陌生用戶會由此摸不著頭腦。

下面選中“DHCP服務器”位置處的“不啟用”選項，將無線局域網的自動分配地址功能暫時停用，這樣陌生用戶就不能坐享其成了。緊接著，合法用戶可以在自己的客戶端系統中，依次單擊“開始”|“設置”|“網絡連接”命令，打開系統網絡連接列表界面，用鼠標右鍵單擊該界面中的無線上網連接圖標，執行右鍵菜單中的“屬性”命令，切換到無線網絡連接屬性對話框。選擇其中的TCP/ IP協議選項，按下“屬性”按鈕，展開TCP/IP協議屬性對話框，在這里手工設置好客戶機的合法靜態IP地址和網關地址（如圖4所示），再單擊“確定”按鈕保存設置，這樣合法客戶機就能成功進行上網沖浪了。而陌生用戶由于不清楚無線網絡的配置參數，他們自然也就被擋在單位無線網絡大門之外了。

上面的巧招雖然可以在不加密的情形下，拒絕陌生用戶偷偷蹭用本地無線網絡，不過有一個前提條件，那就是我們一定要及時調整無線路由器使用的缺省密碼，禁止陌生用戶企圖通過缺省密碼登錄無線路由器后臺管理頁面，破壞本地網絡的一些安全設置。

1

2

3

4