仅信任DHCP分配的IP地址

您应该开始查看802.1x ，这是交换机级别上的“networking身份validation”。 基本上每个插入的机器在被允许进入networking之前必须首先进行自我authentication。

看看这里的教程

简短的回答是没有。

根据您的DHCP服务器，您应该能够限制通过MAC地址分配 – 但是嗅探已经在networking上的MAC地址并更改特定机器上的地址是微不足道的。 但是这不仅仅是直接设置IP地址。

如果您想保护您的networking，请使用安全协议和正确的身份validation。

有可能通过插入具有自己configuration的IP地址的外部设备，其他机器可以上网。

是的，很容易。

有什么办法可以防止这个？ 有没有办法让networking上的机器忽略来自尚未被DHCP分配地址的计算机的stream量？

那么是的，你可以在中间设置一个防火墙来拒绝所有的IP范围。

也就是说有其他方法可以做到这一点，你可以基于MAC地址列表防火墙，这比IP更安全，但不是太多，如果它真的很重要，那么你的行为一些forms的encryption证书驱动的解决scheme例如在接受的设备和networking内部build立一个VPN。 这是一个非常常用的情况，特别是在开放wifinetworking的组织中，而且远没有前沿。

这听起来像你正在寻找什么叫做networking访问控制或networking访问保护软件。 特别是如果MichelZbuild议的交换机级别的802.1xauthentication不足以满足您的需求。 （不过，我会考虑在购买NAC解决scheme之前先设置RADIUS服务器或w / e。）

思科有一个版本，微软有一个版本（在Server 2008中称为NAP），许多第三方厂商和计算机安全/ AV公司也是如此。 [全面披露，我曾经为一家生产这样的产品的软件开发商店工作。]

话虽如此，安全就是围绕风险进行成本/效益分析。 实际上，“理想”的安全系统是一个比它所保护的更为昂贵的安全系统，而不是一个“不可穿透的”系统（除非你保护的东西是“无价的”，当然，那么不可穿透性将是理想的）。

因此，在购买（甚至实施“免费”）安全解决scheme之前，您应该考虑您在时间和/或金钱方面的投资。 （或者，如果你幸运的话，那么也许是你的老板或其他人的决定）。就像购买一万美元的保险箱来保护几百块钱没什么意义，这可能不值得你投资时间或金钱来确定适当的NAC / NAP安全性，如果风险较低和/或您所保护的数据不是特别有价值的话。

这也是安全的隐晦。 攻击者可以侦听广播，从某个“好”的计算机获取一个有效的MAC地址，在攻击者转向之后，使用“good”mac从DHCP获取一个有效的IP地址。

你想要什么，可以通过一些定制软件来实现，这些定制软件会检查DHCP并相应地改变防火墙规则，或者在每台机器上都有一个macfilter，并且每次添加一个新的盒子时更新“好的”mac列表PITA为pipe理员）。

如果您pipe理的是支持802.1x的交换机，那么我build议您考虑一下，或者设置端口安全性，从而只允许来自特定MAC的端口stream量。