怎么能限制他IP呢！现有网络能解决吗

POWERS

我们网络环境是这样：PIX防火墙做PAT，\r\n                    内网地址为10.10.10.0段\r\n                    内网用2000下的DHCP分配IP\r\n现在我在DHCP里的保留IP里已经做了IP与MAC地址的绑定\r\nPIX里也做了arp inside 10.10.10.182 000a.e611.6893 alias（永久）绑定\r\n还做了outbound  10 permit 0.0.0.0 0.0.0.0 80 tcp\r\n         outbound  10 except 10.10.10.171 255.255.255.255 80 tcp\r\n\r\n\r\n情况是：当时设定完后完全可以限制他上网，可他自己更改指定IP我这没有任何办法，在PIX里SHOW ARP 结果关于000a.e611.6893MAC地址的IP竟然有2个一个是我设定的另一个就是他改的，等于我PIX里和DHCP里的设定没有任何作用\r\n各位老大们怎么办啊，这都限制不了，我还干不干了

xilun

这个问题一直是大家讨论的问题。\r\n绑定MAC地址永远都限制不了用户的上网，原因是用户可以自己更改网卡的MAC地址。\r\n最好的方法是行政手段，加上通过配置代理控制用户上网。

mazu

针对这种人为因素,技术只是一个辅助手段,加大管理力度更为重要

POWERS

霍霍，他不会改MAC地址的！！在这种情况下我怎么也不能让他绑顶固定的IP呢，是不是我哪做的不对，请赐教！

性感小肥猪

还有,如你的交换机支持管理的话,可从交换机上进行控制!使用交换机提供的端口的单地址工作模式

POWERS

霍霍，非常感谢性感小猪！交换机设置不现实，他是笔记本，拿着满楼跑，找个口就插上了，我只是知道他网卡的MAC地址，我就奇怪的是PIX既然有ARP永久绑定功能为什么在他的ARP表里润许一个MAC地址可以和2个以上的IP做绑定，DHCP里的保留好象也没任何作用，别人照样能占用这个IP

fushuyong

^_^，碰到这种拿笔记本满楼跑的人，那可真是没什么好办法了。如果真的看他不爽的话，就把网络管理部门的兄弟叫齐了去扁他一顿。

POWERS

哦，谢谢！！继续求解

mazu

我觉得类似这种问题只能通过鉴权的方式对他进行控制了，譬如上面提到的域控制

Robinhood

1，纯软件无法完全解决问题；\r\n2，不花钱无法完全解决问题；\r\n  有种产品叫计费控制网关，运营商和酒店常用的，不过现在已经走向企业了。\r\n将该设备以透明方式插入到网络出口处，可以强制出网用户进行身份认证（不认证就上不了网），同时还可以进行IP和MAC与用户身份的绑定（在最严厉的状态下，IP、MAC、用户名、口令必须全部吻合），可作时间策略，同时支持第三方认证。