電腦修改IP,最直接的結果,會導致這個電腦不能上網,如果改成另外一臺電腦的IP,那么IP會沖突,兩個電腦都沒法上網。這樣的問題,不是大問題,但是卻很麻煩,如果是想在本機禁止,網上有一水的經驗和方法,就不一一介紹的。但是如果碰到員工自己的電腦,或者網管的爪子伸不到電腦上,那么如果在網絡層管理呢?
1. 如果您是域環境,做禁止修改IP也好做的。給每臺電腦設置固定IP地址,且不開放管理員權限(客戶機無法自行修改)。這個方案只能對電腦起作用,一般在域環境的局域網用的比較多。如圖中的組策略配置。
2. 如果你們有核心交換機,那也行,基于交換機設置 交換機的端口設置IP-MAC綁定。該方案是最嚴格的IP-MAC綁定方案,但是需要交換機有這個功能,且配置比較復雜。以華為S5700交換機為例,在DHCP服務器上靜態IP分配,從而客戶機每次都可以獲取到同一個IP地址,DHCP服務器可以是路由器或者交換機。但是請注意,DHCP的靜態地址分配并不能防止手動修改IP來繞開綁定。所以一般還需要和其他手段配合使用
3. WFilter-NGF的綁定方案
WFilterNGF,以及基于該系統的WSG上網行為管理網關,既具有DHCP的靜態IP分配功能,又可以做IP-MAC的校驗。無需其他設備就可以實現“靜態IP分配”和“IP-MAC綁定”的功能,而且還可以進行跨VLAN的IP-mac綁定。配置如下圖:
4. 以上三種方法比較專業的網絡方法了,如果環境簡單,沒有這些設備,那么去看看您的路由,很多路由都有IP和MAC綁定的功能,但是都是為了這個功能做功能,如果一旦跨網段(或者有無線上網環境)或者不在IP管理范圍的,那功能就沒有意義了。