关于防止IP地址被恶意盗用的一个ideal

wt2003

突然想到一个防止IP地址被恶意盗用的办法，
如果路由器的ARP表不再自动维护，不自动生成，
路由器系统必须 随着DHCP，或者拔号或者什么动作，来添加ARP表绑定。
也可以人为绑定静态项。

如果下面的用户手动指定IP地址，路由器的ARP表根本不会生成对应的项目，也就不能和路由器通讯了。

想要和路由器通讯，要么管理员手动设置ARP对应项，要么通过DHCP或者拔号动作、认证动作，让系统向ARP表里面添加对应项目。这些也是掌握在管理员手里的。

可行吗？

小老弟

主机的IP如何获取或者设置，路由是无法完全有效控制的，比如内网可能有其它DHCP Server，或者有人手动去设置，这两种情况路由都无法控制；路由能做的就是不转发未绑定mac的数据，但是非法占用IP的主机还是可以和内网其它主机通信，除非每台主机都是单独的vlan；所以最有效的方式还是在接入交换机端口上做限制，比如三元绑定（IP+MAC+端口）

wt2003

并不需要做到让用户无法自定义IP地址。
目前，路由是可以做到不转发未绑定mac的数据。

但是我觉得在“不转发未绑定mac的数据”的基础上，还可以做得更细致一点。
主贴里提到的，通过DHCP自动维护ARP表，可以减轻管理员的工作量，不需要同时维护ARP绑定表和DHCP静态绑。
如果路由的ARP表里，根本没有出现某些MAC地址，他们连访问路由器的机会都没有，安全性更上一层楼。