视频专网如何禁止连互联网？以及如何禁止非法电脑接入视频专网？

根据你描述的，应该是要按流量的协议来配置访问控制列表，阻断对应的视频的流量。如果是监控摄像头那种，那更好辩直接配 VLAN ，监控摄像头大厂一般都会有配备专门的监控交换机方便管理。

视频专网一般不会允许访问互联网，如果是要单独让互联网上的用户访问通过网闸或者防火墙进行隔离，通过中间设备上到视频平台在由平台进行代理转发。不会放开能直接访问的。
1 、针对互联网和视频专网在同一台电脑上面可以做终端管控，内网认证之后才能进行访问视频专网，检查到终端连接互联网后直接不允许通过认证，你就必须断开互联网了。
2 、非法接入，做专网内非法接入动态扫描由专用设备来做，一旦非法接入进去由专用设备进行平台上报，记录 mac 地址和接入端口就知道是哪个位置非法接入的。管控方法很多的只看愿不愿意做这个。

IP 和 MAC 地址绑定，划分 VLAN ，防火墙对视频专网阻止 Internet_OUT ，各端口 MAC 地址限制，阻止流氓 DHCP 服务器，基本上就搞定了家用网络

如果是企业网络就专业点上 RADIUS 认证和域控

@thereone 1 是这个意思吗？
网络接入层强化（非常有效）：IEEE 802.1X 认证：在视频专网的接入交换机上部署 802.1X 认证。这样，只有通过身份验证、符合安全策略（如未连接其他网络）的设备才能接入视频专网

看你描述，感觉你是这方面小白，有些地方理解不对，导致出发点是有问题的
1.acl 设置成视频专网网段只能访问自己网段就可以了，其他网段设备能不能上网没关系的（前提 vlan 设置好）
2.不同 vlan 是隔离的，你普通电脑 IP 设置成摄像头 IP 也访问不了
现实中用户只能访问视频平台，摄像头只能被视频平台访问，主要做好视频平台的安全就可以了

@hhxsky 是类似 802.1x 的不过更强，具体看山石网科的东西吧介绍的很全面。一整套内网管控的东西。具体看产品与服务吧有很多的东西可以做的。
https://www.hillstonenet.com.cn/product_service/network-infrastructure-security/clouddis/
还有访问视频专网不是你能直接接入视频专网交换机，而是内网路由互访如果需要还要做管控的。

所有接入交换机做认证，摄像头大概率不支持 802.1x ，只能用 MAB 吧。

@luoyide2010 谢谢 确实是小白，你这样说我就理解了为什么下面有的电脑设置成摄像头 ip 段，能正常通过平台客户端预览摄像头，但是却不能直接登录摄像头 ip ，

技术手段是有限的，上行政手段吧

实际情况是 录像机有两个网口，一个做管理口（与摄像头不同网断），一个做业务（跟摄像头通信）。
一般情况，摄像头专门接入在一台 poe 交换机，交换机分配 IP 给摄像头。
录像机的业务口接入到 poe 交换机。
只要别的终端不接入到 poe 交换机，就不能访问到摄像头。

视频监控摄像头划 vlan 不允许访问外网，监控 NVR 稍微好一点的都带有双网口，另一个网口接入外网就好了。

12 都是使用 802.1x 认证，但是配合第三方的准入设备+客户端，主流 NAC 都能做防双网，配个认证了就只允许单网卡就行。但是这个坑我不建议接，交给专业厂商做吧

针对 1 问题，监控网本质上只有交换机没有路由器，也就无法访问互联网，你要是一个电脑网口接监控，无线连接互联网，这个没法禁止，可以结合问题 2 阻止未授权的设备接入，但是这样也只有你的电脑联网。
针对 2 问题，非法接入的问题，交换机可以开启禁止学习 arp 信息，只能手动学习 arp ，就是 ip 和 mac 地址手动绑定了，才能接入到监控网内，不然就和楼上说的一样上网络管控设备。管控设备建议选 802.1x 的端口级管控。

某些专业设备会判断网络是否连接了互联网，有则报警或文字闪烁提示，极端会中断服务

这是网络准入产品的核心能力，哪能随便告诉你

一般是 vlan+堡垒机，堡垒机的远程访问通过防火墙暴露一个端口。其他的访问直接干掉。

直接 iptables 仅允许工作 ipinbound