在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi)，總會有人想各種各樣的辦法來突破上網(wǎng)管控。常見的方法有：

1. IP地址盜用。
   

2. MAC地址克隆。

首先可以考慮不開放管理員權(quán)限，或者采用域控的方式禁止客戶機自行修改網(wǎng)絡(luò)設(shè)置等辦法。其次也可以通過上網(wǎng)行為管理的管控策略來阻止這些行為。本文中，我來介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來應(yīng)對IP地址盜用和MAC地址克隆。

如何防止IP地址盜用？

IP地址盜用，有兩種可能：第一種是修改成管控范圍外的IP地址；第二種是修改成局域網(wǎng)內(nèi)其他終端的IP地址。

對于第一種情況，只需要通過防火墻策略，或者行為管理策略，對IP范圍外禁止所有即可。如圖：

盜用現(xiàn)有的IP地址會導致IP地址沖突，很少有人敢公然去做。當然，防止盜用現(xiàn)有的IP地址，還可以通過開啟IP-MAC綁定的方式。開啟綁定后，只有IP地址和MAC地址都吻合時，才可以上網(wǎng)。如圖：

只要做了IP-MAC綁定，即使把IP地址修改成局域網(wǎng)內(nèi)其他權(quán)限的IP地址，也是不能上網(wǎng)的。這樣就可以杜絕自行修改IP的行為。

如何防止MAC地址克?。?

MAC地址克隆，基本上也是兩種做法：

1). 修改自己的MAC地址來繞開監(jiān)控。但是大部分的管控策略都是基于IP地址的，修改MAC就沒有用處了。如果要防止修改MAC，只要開啟IP-mac綁定就足夠了。

2). 私接路由器并把路由器的MAC和IP都修改成電腦的MAC和IP。然后用路由器來帶pc機和手機等設(shè)備。

第二種情況比第一種要復雜的多，從上層的上網(wǎng)行為管理和防火墻設(shè)備來看，IP和MAC地址都是合法的，而實際上卻多了一些私接設(shè)備。這時候，就需要用到另外的一個模塊“共享檢測”。如圖：

共享檢測模塊可以檢測出上述的網(wǎng)絡(luò)共享行為，并且可以看到這個設(shè)備下面的二級終端設(shè)備。如圖：

這樣就可以檢測出私接路由器的行為來。

綜上所述，結(jié)合ip管控、IP-MAC綁定，以及共享檢測，就可以有效管控局域網(wǎng)內(nèi)的“mac地址克隆”和“IP盜用”等違規(guī)行為。