你家WiFi密码刚设好,不到两天就变卡顿?手机连着连着断了,电脑下载速度掉到1MB/s?别急着换路由器——先看看是不是隔壁老王用交换机偷偷接进你家内网,绕过WiFi密码直接蹭网。
为什么普通路由器拦不住这种蹭法?
很多人以为关掉SSID广播、开WPA3加密就万事大吉,但只要物理网线被接入你家交换机(比如弱电箱里那台8口百兆小盒子),对方就能跳过所有无线验证,直通你的局域网。这时候他不连WiFi,却能共享你的宽带、扫你NAS、甚至改你打印机设置。
真正管用的三步防蹭法
重点不是“堵WiFi”,而是“锁交换机端口”——尤其适用于家用千兆交换机(如TP-Link TL-SG108、水星HG612等)或带网管功能的光猫附带交换模块。
① 关闭未用端口(最简单有效)
登录交换机管理页(通常是 192.168.1.1 或 192.168.0.1,账号密码贴在设备底部),找到【端口设置】→【端口禁用】,把客厅、阳台、楼道弱电箱里那些没插线的口全设成 Disable。哪怕只多一个空闲口,都可能被别人悄悄捅进来。
② 开启端口安全(MAC地址绑定)
进入【安全设置】→【端口安全】,开启功能后,指定每个启用端口只允许1个MAC地址通过。例如:你书房电脑MAC是 54:AB:3A:1F:CD:88,那就把它和书房对应端口(比如Port 3)绑定:
Port 3 → MAC Address: 54:AB:3A:1F:CD:88 → Max Count: 1一旦有人拔走你的电脑,插上自己的笔记本,端口立刻自动关闭,LED灯熄灭,连ping都不通。
③ 启用DHCP Snooping(防私接路由器)
这是对付“高级蹭网”的杀手锏。很多人会在自己房间偷偷接个二手路由器,再分配IP,结果整个局域网出现双DHCP冲突,你家电视投屏老失败、手机总连错设备。在【安全设置】里打开 DHCP Snooping,然后把连接主路由LAN口的那个交换机端口(比如Port 1)标记为 Trusted,其余全是 Untrusted。这样,只有主路由能发DHCP响应,私接的小路由器发的IP包直接被丢弃。
顺手再把ARP防护也打开,防止有人伪造网关骗走你的流量——这些选项在大多数百元级网管交换机里都有,不用额外花钱。
小提醒
• 不要信“交换机不能防蹭网”的说法,能管理的交换机就是你家网络的第二道门锁;
• 弱电箱里的交换机,建议用微型挂墙式金属盒罩住+螺丝封盖,物理防拆;
• 每季度登录一次交换机后台,检查端口状态和MAC绑定列表,发现陌生地址立刻清除。
防蹭网不是玄学,是看得见、点得着、关得上的具体操作。你家的网速,不该为别人的刷剧和下载买单。