※ 引述《occupy222 (于風實業)》之銘言：
: 在使用dhcp的環境下，什麼技術可以防止ip被nat?
: 比如宿舍網段為192.168.1.0/24，有人把網路線接到他無線頻寬分享器的wan，
: 而wan設為dhcp取得了192.168.1.1/24的ip，其它人使用wlan時，均nat成192.168.1.1上
: 網。 謝謝
: 請注意是nat不是同網段，所以下方法均不適用：
: 1.dhcp snooping
: 2.ip source guard
: 3.mac security
這管法太簡單了,我會這樣做
1.公司的PC/NB/ OA /Print /門禁卡機,有用上網的全把MAC 做成表
2.所有SWITCH 全換成有 802.1X 的.
3.導 Dynamic VLAN .
所有該對好 有線 Port 的 做 MAC Auth,只要是表內的就走部門/OA/Print/門禁卡機
的VLAN
Ex.
a.VLAN 100 Account ,
b.VLAN 200 IT
c.VLAN 300 Sales
d.VLAN 400 卡機
e.VLAN 500 Guest VLAN
++++++++++
而且這樣的好處是,隨便你接,反正是看MAC 給VLAN,接什麼 Device
都沒關係,那你會說有人會 Clone MAC Address???
那就是破壞公司網路,看是記過扣薪還是開除了,嚴重一點
有一條法律也可以告的..
只要是表內的就依VLAN自行上網,不是表內的,就丟到Guest VLAN 驗証
看你是想做BY AD LADP RAIDUS or WEB , 這種自己裝上分享器的他要怎驗証?
這個方法,連用Wifi AP 的 BYOD 的用戶,一樣照管理,方便的很
沒有做不到的方法,還有別的,綁AD 也行.
只有要付出多少的人力物力財力

就是要不要花錢而已，有些NGFW OR NGIPS，都有整合身分驗証跟APT防禦，不更改既有架構跟設備下，佈署這類方案，馬上解決問題，兼出報表做績效。

感謝您的指導即便使用aaa 員工有帳密還是會過；請教怎麼看出有人偷接呢?SWITCH流量、FIREWALL查來源IP都難以判斷。若能看出直接口頭禁止 這目前為少數案例

看完這邊文,覺得您在網路方面實在專業，佩服

請問A大有沒有遇過802.1X環境認證不穩定的? 以前有想幫客戶導 可是前輩跟我說 不要找自己麻煩 802.1X不穩定我想，會不會是我那前輩能力經驗不足 所以有慘痛經驗?另外 動態VLAN 的switch 品牌有沒有限制? 例如說D牌它規格上也寫有這些功能，不過~~~~穩不穩阿?

這個有點太大手筆吧,2000+起跳的設備要管理mac...

哈哈 你講到我最想知道的東西 edge端也要買到L2等級嗎2000台要取得mac 是靠core跟arp表？？

所有設備ARP控管.IPscan之類解決方案就可以做到了吧....上面打太快打錯，是MAC控管冏這一類的方案做法大多是透過probe設備蒐集MAC，並傳送到SERVER資料庫，第一次部屬後將所有MAC設定白名單之後只要有不在名單內的MAC出現，一律用arp偽冒法阻斷比較省人力，只是問題仍在於要花多少錢去做就是了

問題是在mac資料的完整度啊~~我之前的作法是ip source guard 加dhcp mac綁ip,不過最大的問題在mac的收集一定要完整~~這是不用花錢的soulution

有些switch設定是可以辨視後端device 不給接分享器即可