如何禁止电脑随便修改IP?

  1. 云栖社区>
  2. 博客>
  3. 正文

如何禁止电脑随便修改IP?

技术小阿哥 2017-11-27 17:50:00 浏览994
展开阅读全文

电脑修改IP,最直接的结果,会导致这个电脑不能上网,如果改成另外一台电脑的IP,那么IP会冲突,两个电脑都没法上网。这样的问题,不是大问题,但是却很麻烦,如果是想在本机禁止,网上有一水的经验和方法,就不一一介绍的。但是如果碰到员工自己的电脑,或者网管的爪子伸不到电脑上,那么如果在网络层管理呢?

1.如果您是个域环境,做禁止修改IP也好做的。给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。

201706221498114042478070.png

2.如果你们有核心交换机,那也行,基于交换机设置 交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案,但是需要交换机有这个功能,且配置比较复杂。以华为S5700交换机为例,在DHCP服务器上静态IP分配,从而客户机每次都可以获取到同一个IP地址,DHCP服务器可以是路由器或者交换机。但是请注意,DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用

QQ截图20170622144605.png

3.WFilter-NGF的绑定方案

WFilterNGF,以及基于该系统的WSG上网行为管理网关,既具有DHCP的静态IP分配功能,又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能,而且还可以进行跨VLAN的IP-mac绑定。配置如下图:

201703301490853775126646.png

4.以上三种方法比较专业的网络方法了,如果环境简单,没有这些设备,那么去看看您的路由,很多路由都有IP和MAC绑定的功能,但是都是为了这个功能做功能,如果一旦跨网段(或者有无线上网环境)或者不在IP管理范围的,那功能就没有意义了。



本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/1942014,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
技术小阿哥
+ 关注