局域网的一大特点就是拥有一定数量的终端用户。作为省属重点中学，笔者所在学校局域网的终端 用户有600多个，为了区分各类不同用户，我们采用的是终端固定IP设置的方法。和其他许多学校的网管一样，我们也一直被终端用户私改IP地址造成的网络 冲突问题困扰着。咨询相关网络公司，他们也提供了不少解决方案，但大多价格不菲。没有办法，只好绞尽脑汁自己想办法了。笔者采用了基于防火墙的IP地址与 MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法，双管齐下，较好地解决了这个问题。现将实现方法阐述如下：

一、基于防火墙的IP地址与MAC地址绑定

　　1． 做好整个局域网终端用户计算机的命名，指定IP地址

　　根据用户的类别统一命名计算机，并给定IP地址。这样一看机器名，就知道是哪个部门哪台机器，便于管理。比如高一年级语文组1号机器，我们就将其命名为“gaoyiyuwen01”。

　　同时，统一规划分配IP地址给每台终端机器，并建立IP地址分配登记表（见附表）。

　　某中学局域网ip地址综合管理登记表

　　2． 统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表

　　我们知道，在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和 MAC地址（Windows 98系统下）。我们可以将此方法公布一下，然后要求相关用户将本机MAC地址抄录上报到网管中心，再进行登记汇总。也可在设定机器名和IP地址时一并统计 好。

　　网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”，即可获得指定机器的IP地址和MAC地址。

　　3． 将IP地址与MAC地址绑定

　　这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网，那就使用命令：

　　ARP -s IP地址 MAC地址

　　例：ARP -s 192.168.1.4 00-EO-4C-6C-08-75

　　这样，就将静态IP地址192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.1.4，也无法通过代理服务器上网。

　　如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作也非常简单。

　　到这里似乎可以大功告成了，但事情并不像我们想象的那么简单。花了相当多的精力构筑起来 的防线不到一个月就又冲突依旧了。原来，有的终端用户通过修改注册表、下载专用小工具等方法，没费多少力气就更改了本机的MAC地址，甚至于将本机的 MAC地址和IP地址改得和主服务器一模一样，搞得局域网内又鸡犬不宁了。

　　二、基于交换机的MAC地址与端口绑定

　　为了进一步解决这个问题，笔者又想到了基于交换机的MAC地址与端口绑定。这样一来，终端用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现，自然也就不会对局域网造成干扰了。

　　以思科3548交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

　　(config)#mac_address_table permanent MAC地址 以太网端口号

　　这样逐一将每个端口与相应的计算机MAC地址绑定，保存并退出。其他品牌的交换机只要是可以网管的，大多可以仿此操作。