背景：公司是研发型小公司，难免会使用A某D和K某l 等国内免费软件，这两个是业界律师函发得最多的软件。最简单的方案是离网使用，但是离网使用比较麻烦的是要进行文件传输，需要使用U盘拷贝，另外研发型企业一般有服务器，像代码管理可能有内网svn，也需要进行提交和更新代码，研发也需要查找资料也需要外网，所以需要研发配网方案，最近帮公司配网，还是WiFi网络，就做个简单记录。

要求：
1.研发机器可以用远程桌面登录上网服务器。
2.研发机器可以连接SVN服务器，进行上传下载。

原理：
软件一般连接后台服务器使用的是传输层协议（TCP/UDP），或者应用层协议(自定义协议，http等)，我在路由端拦截指定的MAC地址网络包，使对应的机器可以到路由，但不能从路由出去。这样就可以实现局域网通信正常，不能连外网了。可以连局域网，远程桌面连接到局域网内的上网服务器和SVN服务器都不是问题。理论可行。

测试方法：
开发软件需要可测试性，做配网方案一样也需要。可以使用ping命令测试，ping走的是ICMP协议，如果ping不通www.baidu.com，再ping一下局域网机器能正常,那说明成功了。

步骤：
1.获取到路由的账号和密码。
2.获取需要进制上网机器的MAC地址。
3.登录路由设置访问控制。
4.测试。

实现细节：
1.找到网管，或者其他路由账号管理权限者。要到账号即可，甚至可以让网管帮你禁止网络，如果可以的话，下面直接跳到第四步测试就好。
2.我一般使用命令行方式，看起来专业一点，虽然我不是专业的网管，但逼格要够高。首先WIN+R 然后输入cmd


使用ipconfig命令查看MAC地址，记得要加参数/all,否则只能显示简单的网络信息，不能显示MAC地址

可能会搜索到很多网卡，甚至有些是虚拟网卡，如果使用有线的方式接入路由，就选择以以太网适配器，WiFi就选择无线局域网WLAN，我这边是WiFi

圈住的就是我的无线网卡的物理地址。接下来就新增网关设置了

3.因为每个厂家的路由都不太一样，我这里用锐捷路由进行演示。原理其实都一样，核心就是让机器的网络包不能通过路由。登录路由，我这边路由的WiFi子网是192.168.110.X
我就在浏览器输入192.168.110.1

可以看到登录页面就说明ip没有错，如果不知道子网网段，可以使用电脑自动获取ip，看一下ip是哪个，最后一个改为1就是默认的路由。一般情况可以找到，实在找不到路由网络，恢复出厂就行。

选择出口路由器-》安全管理-》MAC过滤

直接添加规则并是使能MAC地址过滤，过滤类型是黑名单

像这样就可以了，接下来就是测试了。
4.测试
打开CMD，ping www.baidu.com

这样就出不了外网了，再测试一下局域网。

功德圆满……

注意：wifi组网需要固定物理地址，因为隐私问题，部分设备可能采用随机地址，还可以在路由用链路控制，限制部分ip上网权限
，最终要求是禁网机器不能通过路由