我有一个来自 ISP 的互联网连接,我通过 D-Link 路由器连接。路由器使用 ISP 提供给我的凭据登录 ISP 的 PPPoE 连接,并且我已使用自己的 SSID 和密码设置了无线网络。路由器还有多个以太网端口,我使用这些端口连接靠近路由器的设备。我想知道的是,任何未经任何身份验证的人都可以使用路由器上的这些以太网端口连接到网络。
我的路由器放在一个几乎无人看管的地方。任何想将自己的笔记本电脑连接到网络的人都可以在未经我许可的情况下这样做。我想避免这种情况。有没有什么方法可以保护我的有线连接?类似于为我的 wifi 设置密码,我也想为我的有线连接设置一个密码,如果可能的话,我的客户端设备会记住这个密码,就像 wifi 密码一样。
我已经想到了一种方法,即从路由器中删除 PPPoE 设置并直接在客户端浏览器上使用 ISP 凭据,但这有以下缺点:
- 每次我都必须在每台设备上使用 ISP 凭证手动登录,即使它是通过 wifi 连接的。这样每次连接都需要进行 2 步身份验证,这对于小型家庭网络设置来说有点过分了。
- 每当我需要与客人共享网络时,我都必须向他们提供我的 ISP 凭据以及无线网络身份验证详细信息才能连接到网络,而这是我不想做的。
我只想确保如果任何新设备使用以太网端口连接到路由器,必须使用某些凭据以某种方式对其进行身份验证。即使它是最简单的 ID 密码类型协议身份验证,也足够了,因为我正在考虑保护网络免受在路由器附近行走的其他人的无人监督访问,而不是黑客或网络安全专家。
答案1
您可以创建允许连接到路由器的设备“白名单”,并使用 MAC 地址来识别设备。我从未遇到过缺少此功能的家用路由器。
答案2
在“企业”路由器和交换机中,可以使用 802.1X 来实现这一点,其工作原理与 WPA-Enterprise 几乎完全相同,并且通常使用相同的底层软件。(没有与 WPA-Personal 直接等效的版本,尽管某些交换机/路由器可以使用内置帐户列表,而不需要专用的 RADIUS 服务器。)
在性能较差的路由器中,可以将端口放置在单独的 VLAN 中,并配置防火墙以阻止该 VLAN 进行任何网络访问。这甚至可以用于实现基于浏览器的“强制门户”登录系统。(或者可以直接禁用端口。)
但是,您的 D-Link 可能不支持上述任何一项,我认为您剩下的选择完全是物理的:将路由器放在盒子里,或者将以太网端口粘住。