如题，用网络执法官等监控软件很容易强奸路由器，具体表现为：整个局域网只有用网络执法官切断网络的那个人能上网，其它局域网内的人无法上网。

专业术语偶不会，只能这样简单描述了。基本原理也是ARP欺骗，不过欺骗的对象是路由器。
偶翻遍所有已有的资料，没找到有点实际意义的答案，在此提出讨论。

个人认为最有效的办法是拔掉此人的网线。但偶不是网管，汗！
相信也有其它同仁受过这种苦，对此无奈。

请教各位，遇到这种情况，你会怎么办？

以其人之道还之其人之身.

不能做技术处理？

最好的办法就是使用天网防火墙！使用时将安全级别调到高，网络执法官就无能为力了

没硬件 + 没管理权限, 只能用软件来解决.
试试wawahaha写的那个arpguard小工具.

引用:

原帖由 山鹰 于 2007-1-15 09:22 发表
最好的办法就是使用天网防火墙！使用时将安全级别调到高，网络执法官就无能为力了

这个办法你用过？确实能行？？？？？？好像是防御不了的吧。装个AntiArp吧，这个小东西可以抗ARP攻击，不过前题
是第一次安装配置的时候网关是正确的。另外，网络执法官强奸的不是你的路由器，而是你电脑的ARP表，呵呵！

晕，绑定啊。

要同时绑定路由器和电脑上面的ARP表

虽然类似的问题我这里没发生过，但我在我这里是这么做的：
1/ 每个部门一个vlan， 共50个

2/ 在三层交换机上设置ACL，禁止vlan之间的互访，只允许他们访问服务器的vlan，而在服务器vlan的acl中设置每个服务器必须开放的端口，其他一律关闭

3/ 三层交换机上对各vlan对应的IP子网的网关地址做静态ARP绑定

4/各个PC开机登陆域，域登陆脚本中也设置网关的静态ARP

5/ 网络设备也有自己的VLAN，自己的IP子网，只与网管服务器能通，所有设备均不配置网关。

6/ 二层交换机上使用MAC——PORT的绑定

效果：我管理的企业网中有PC 1200台，server 50台，网络设备90台，近两年的时间里面非常稳定

有兴趣的可以交流一下阿，呵呵。

尤其是在SecureCRT下写脚本实现各种网络设备的管理，是很有意思的

引用:

原帖由 rjwh21b 于 2007-3-16 20:10 发表
虽然类似的问题我这里没发生过，但我在我这里是这么做的：
1/ 每个部门一个vlan， 共50个

2/ 在三层交换机上设置ACL，禁止vlan之间的互访，只允许他们访问服务器的vlan，而在服务器vlan的acl中设置每个服务 ...

这位朋友，你的1200台PC全部都是手动指定IP地址吗？
如果有临时外来的PC加入网络，请问是如何操作的？

手动工作量有点大啊

不学习怎么能阅读别人的东西呢!