c. 划分VLAN时,兼顾可治理性和易用性。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益。
d. 部署网络治理系统。网络治理软件可以实现静态ARP表绑定的初始化操作,避免网络治理员的大量重复性劳动。网络治理软件的日常监视和日志功能,可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为,帮助网络治理员查找网络故障的根源。同时,网络治理员还可以借助网管系统,很方便的治理网络交换机,针对个别问题突出的用户,进行交换机端口绑定操作,禁止其修改MAC地址。
e. 与应用层的身份认证相结合,建立完整严密的多层次的安全认证体系,弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似,用户名和口令也属于轻易盗用的资源,建议有条件的单位采用指纹鼠标等先进的身份认证系统,强化重要系统的安全强度。