筆者所在局域網的有500多臺計算機，為了區分各類不同用戶，對不同用戶分配更詳細的訪問權限，我們采用的是設置固定IP的方法，而不是自動獲取IP地址。不過在實際使用中遇到了和其他LAN管理上的相同問題。那就是經常有用戶私自修改IP地址，從而造成網絡沖突的問題。

　　雖然很多網絡公司可以提供硬件解決的辦法但價格不菲。俗話說窮人有窮人的辦法，筆者經過查詢資料發現了兩個行知有效的方法——代理服務器IP與MAC地址綁定和交換機MAC地址與端口綁定的。將這兩個辦法結合起來有效的解決了非法用戶上網這個問題。

　　如何查看計算機MAC地址

　　我們可以在98系統中執行winipcfg查看MAC地址，在2000及其以上操作系統中運行ipconfig /all進行查看。

 　　小提示：實際上網絡管理員也可以利用Nbtstat命令來遠程獲得指定機器的MAC地址。在MS-DOS方式下鍵入命令“Nbtstat -a 遠程計算機名”，即可獲得指定機器的IP地址和MAC地址。不過這需要實現建立IPC連接，如果初次使用不會有任何反應。

　　這里告訴大家一個方便快捷的辦法那就是在執行“Nbtstat -a 遠程計算機名”前先使用一款掃描工具對整個局域網掃描，自動建立IPC連接。這樣運行“Nbtstat -a 遠程計算機名”就不會出現沒有任何反饋信息的情況了。

　　方法一：代理服務器上IP與MAC地址的綁定

　　這要根據局域網接入互聯網的方式不同而采用不同的辦法。如果是采用代理服務器接入互聯網，那就可以在代理服務器上使用——ARP -s IP地址 MAC地址　

　　例如：使用ARP -s 10.91.30.45 00-EO-4C-6C-08-75的命令，這樣就將靜態IP地址10.91.30.45與網卡地址為00-EO-4C-6C-08-75的計算機綁定在一起了，即使別人盜用了IP地址192.168.1.4，也無法通過代理服務器上網。

　　小提示：ARP的映射信息會在每次重新啟動計算機后消失，所以請將所有的映射命令保存到一個批處理BAT文件中，并將這個文件設置為隨系統啟動而加載，從而保證代理服務器重新啟動ARP映射信息也不會消失了。

　　如果是通過路由器直接接入互聯網，最好通過硬件防火墻來實現IP與MAC地址的綁定。一般的硬件防火墻都具有這個功能，具體操作也非常簡單。鑒于篇幅有限這里就不舉例介紹了。

　　方法二：交換機的MAC地址與端口綁定

　　上面提到的方法一雖然可以在一定程度上解決非法用戶網絡接入的問題，但用戶還是可以通過修改注冊表，下載專用小工具等方法，輕松更改了本機的MAC地址，甚至于將本機的MAC地址和IP地址改得和代理服務器一模一樣。非法用戶又可以非法使用網絡了。因此方法二應運而生。

　　將交換機的MAC地址與端口綁定后擅自改動本機網卡的MAC地址，該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現，自然也就不會對局域網造成干擾了。我們以CISCO交換機講解配置命令。

　　登錄進入交換機，輸入管理口令進入配置模式，敲入命令：(config)#mac_address_table permanent [MAC地址] [以太網端口號]

　　這樣逐一的將每個端口與相應的計算機MAC地址進行綁定，保存退出后就徹底阻止了用戶的非法修改。當然其他品牌的交換機只要是可以網管的，大多可以按照此方法進行操作。

　　總結：實際使用中筆者發現將兩個方法進行結合可以最大限度的阻止非法用戶的非法使用網絡，效果很好。寫出來希望能為各位深陷此痛苦的網絡管理員排憂解難。