※ 引述《occupy222 (于风实业)》之铭言：
: 在使用dhcp的环境下，什么技术可以防止ip被nat?
: 比如宿舍网段为192.168.1.0/24，有人把网络线接到他无线频宽分享器的wan，
: 而wan设为dhcp取得了192.168.1.1/24的ip，其它人使用wlan时，均nat成192.168.1.1上
: 网。 谢谢
: 请注意是nat不是同网段，所以下方法均不适用：
: 1.dhcp snooping
: 2.ip source guard
: 3.mac security
这管法太简单了,我会这样做
1.公司的PC/NB/ OA /Print /门禁卡机,有用上网的全把MAC 做成表
2.所有SWITCH 全换成有 802.1X 的.
3.导 Dynamic VLAN .
所有该对好 有线 Port 的 做 MAC Auth,只要是表内的就走部门/OA/Print/门禁卡机
的VLAN
Ex.
a.VLAN 100 Account ,
b.VLAN 200 IT
c.VLAN 300 Sales
d.VLAN 400 卡机
e.VLAN 500 Guest VLAN
++++++++++
而且这样的好处是,随便你接,反正是看MAC 给VLAN,接什么 Device
都没关系,那你会说有人会 Clone MAC Address???
那就是破坏公司网络,看是记过扣薪还是开除了,严重一点
有一条法律也可以告的..
只要是表内的就依VLAN自行上网,不是表内的,就丢到Guest VLAN 验証
看你是想做BY AD LADP RAIDUS or WEB , 这种自己装上分享器的他要怎验証?
这个方法,连用Wifi AP 的 BYOD 的用户,一样照管理,方便的很
没有做不到的方法,还有别的,绑AD 也行.
只有要付出多少的人力物力财力

就是要不要花钱而已，有些NGFW OR NGIPS，都有整合身分验証跟APT防御，不更改既有架构跟设备下，布署这类方案，马上解决问题，兼出报表做绩效。

感谢您的指导即便使用aaa 员工有帐密还是会过；请教怎么看出有人偷接呢?SWITCH流量、FIREWALL查来源IP都难以判断。若能看出直接口头禁止 这目前为少数案例

看完这边文,觉得您在网络方面实在专业，佩服

请问A大有没有遇过802.1X环境认证不稳定的? 以前有想帮客户导 可是前辈跟我说 不要找自己麻烦 802.1X不稳定我想，会不会是我那前辈能力经验不足 所以有惨痛经验?另外 动态VLAN 的switch 品牌有没有限制? 例如说D牌它规格上也写有这些功能，不过~~~~稳不稳阿?

这个有点太大手笔吧,2000+起跳的设备要管理mac...

哈哈 你讲到我最想知道的东西 edge端也要买到L2等级吗2000台要取得mac 是靠core跟arp表？？

所有设备ARP控管.IPscan之类解决方案就可以做到了吧....上面打太快打错，是MAC控管冏这一类的方案做法大多是透过probe设备蒐集MAC，并传送到SERVER数据库，第一次部属后将所有MAC设定白名单之后只要有不在名单内的MAC出现，一律用arp伪冒法阻断比较省人力，只是问题仍在于要花多少钱去做就是了

问题是在mac资料的完整度啊~~我之前的作法是ip source guard 加dhcp mac绑ip,不过最大的问题在mac的收集一定要完整~~这是不用花钱的soulution

有些switch设定是可以辨视后端device 不给接分享器即可