现有的ARP绑定,基本上可以说是没有实际作用的!就一个摆设,绑定了ARP,手动更改IP一样可以正常使用.
我是没有开启 非绑定MAC不允许上网,因为有WIFI,如果开启这个功能非常不方便.
企业环境,是分IP组做限制的,举例一下:
192.168.1.2-192.168.1.50是不做任何限制的
192.168.1.51-192.168.1.100,是限制某些网页类的
192.168.1.101-192.168.1.254是限制某些应用协议,和某些网页类的
192.168.101-192.168.1.254通过DHCP分配的.
而192.168.1.2-192.168.1.100是通过静态分配的.
那么,如果有些人员,有点网络知识的,通过手动更改IP地址在192.168.1.2-192.168.1.50这个范围里,他就没有任何限制了...
不知道是否可以优下一ARP绑定...
或者增加一个功能,就是手动设置IP的就阻断网络.(意思,如果不是通过路由分配的IP地址,就阻断网络)
又或者增加一个功能,默认所有的IP都是阻断网络的,必须手动添加IP才可以访问网络,可以参考ISA(当然必须要添加一个开关功能,因为这个只适用于企业环境)
|