我们正在使用静态dhcp绑定实现基于子网的安全策略和防火墙访问规则。
有一种情况下,某些人可以从具有较高访问权限的子网中手动分配IP地址。
任何build议如何迎合这种可能性。
理想情况下,您可以对networking上的计算机进行物理控制,并禁止常规用户configurationnetworking。
如果任何人都可以来插入,你将需要看看在networking交换机白名单mac地址的东西。
另外,如果您不介意复杂的设置,请查看802.1X
如果您的networking设备(交换机/路由器)支持它,则应考虑为每个子网使用一个单独的VLAN 。
这将意味着每个子网在逻辑上是分开的,并且更改其IP地址的用户将无法build立连接,因为返回的数据包将被路由到其他地方。
您还应该确保在路由设备上启用入口筛选。