电脑修改IP,最直接的结果,会导致这个电脑不能上网,如果改成另外一台电脑的IP,那么IP会冲突,两个电脑都没法上网。这样的问题,不是大问题,但是却很麻烦,如果是想在本机禁止,网上有一水的经验和方法,就不一一介绍的。但是如果碰到员工自己的电脑,或者网管的爪子伸不到电脑上,那么如果在网络层管理呢?
1.如果您是个域环境,做禁止修改IP也好做的。给每台电脑设置固定IP地址,且不开放管理员权限(客户机无法自行修改)。这个方案只能对电脑起作用,一般在域环境的局域网用的比较多。如图中的组策略配置。
2.如果你们有核心交换机,那也行,基于交换机设置 交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案,但是需要交换机有这个功能,且配置比较复杂。以华为S5700交换机为例,在DHCP服务器上静态IP分配,从而客户机每次都可以获取到同一个IP地址,DHCP服务器可以是路由器或者交换机。但是请注意,DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用
3.WFilter-NGF的绑定方案
WFilterNGF,以及基于该系统的WSG上网行为管理网关,既具有DHCP的静态IP分配功能,又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能,而且还可以进行跨VLAN的IP-mac绑定。配置如下图:
4.以上三种方法比较专业的网络方法了,如果环境简单,没有这些设备,那么去看看您的路由,很多路由都有IP和MAC绑定的功能,但是都是为了这个功能做功能,如果一旦跨网段(或者有无线上网环境)或者不在IP管理范围的,那功能就没有意义了。
本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/1942014,如需转载请自行联系原作者
