公寓最怕的是蹭网。一个租客交了费，隔壁房间四个人都在用，运营方亏死了。防私接是公寓WiFi计费系统的核心功能。

三种防私接方案各有特点，效果也不同。

第一种：MAC地址绑定

MAC地址绑定是最基础的方式。租客账号创建时，绑定一个MAC地址，只有这个MAC地址能认证上网。

这个方法简单，成本低。大多数认证计费系统都支持，配置也方便。

但MAC地址绑定的漏洞很多。租客可以用带路由功能的猫，把网络共享出来。路由器拨号后，所有连上路由器的设备都能上网，MAC地址是路由器的，不是租客手机的。

而且租客可以改MAC地址。有些手机可以临时修改MAC，绑定一次后，租客换个MAC又能上网了。

MAC地址绑定能防住小白租客，但防不住有技术手段的租客。大型公寓里，总有几个人会想办法绕过。

第二种：登录数限制

登录数限制是指一个账号同时只能几个设备在线。比如设置一个账号最多2个设备在线。

这个方法能限制共享规模。如果租客把网络共享给四个人，同一时间在线的设备超过2个，系统直接拒绝新设备上线。

但登录数限制防不住轮流使用。四个租客共享一个账号，每人用两小时，轮流来，系统会判断都是正常在线。

而且登录数限制影响正常使用。一个家庭有三个人要同时上网，登录数限制2个，第三个人就上不了。租客会投诉，认为系统限制太多。

登录数限制配合MAC绑定效果更好。MAC绑定限制设备数量，登录数限制在线数量。但防不住有技术手段的租客。

第三种：深度包检测（DPI）

深度包检测是目前最有效的防私接方式。系统分析网络流量特征，判断是否有代理或软路由在运行。

比如正常的手机上网，流量特征是标准的HTTP、HTTPS、视频流量。代理或软路由的特征不一样，会有VPN协议、频繁的DNS查询、异常的端口扫描。

系统识别到这些特征后，直接断网。而且可以记录是哪个账号、哪个IP在共享，管理员可以定位问题租客。

深度包检测的优势是准确。能识别各种共享方式，包括路由器、共享软件、VPN。即使租客用隐蔽手段，流量特征还是会暴露。

但深度包检测的成本高。需要高性能的硬件设备支持，否则识别延迟会影响正常认证。而且流量特征要持续更新，新的共享方式出来后，规则要升级。

三种方案效果对比

MAC地址绑定：能防小白，成本最低，但防不住有技术的租客。适合小型公寓，租客技术能力一般。

登录数限制：能限制共享规模，成本低，但防不住轮流使用。适合中型公寓，租客偶尔共享但不严重。

深度包检测：能识别各种共享方式，准确度高，但成本高。适合大型公寓，共享问题严重的项目。

实际项目中，通常是几种方案配合用。深度包检测作为核心，MAC绑定和登录数限制作为补充。这样既能准确识别，又不会影响正常使用。

防私接还要考虑体验。不能为了防共享把正常租客也限制掉了。系统要有白名单机制，管理员可以手动放行正常的多终端使用。

成都轨道寓见公寓采用的是深度包检测配合MAC绑定。工人宿舍项目也用了这个方案，共享行为识别准确率在95%以上。

防私接不是一步到位的。新的共享方式出来后，检测规则要更新。选系统时要问供应商怎么升级，规则库多久更新一次。