其實目前比較先進的都在朝user centric 的概念作控管. 核心精神是管理"人"而多於"設備".

MAC address需在layer2 內管理, 過了L3就看不到原終端, 故網路大,須管理的元件(L2 switch)

也會多, MAC address 只有到辨識該設備的層級,不知道誰在用,也十分容易竄改,可信度有限.

switch port 與 IP 也都仍缺乏驗證人的概念, 設備對,上去就會通. 而且缺少mobility的彈性

一般企業常把一個樓面當一個網段, 當使用者換樓層工作/開會/使用的時候, 基於switch port

或是IP的管理就變得複雜, 因為IP-switch port的排列組合情況變得太多種無法預測.

尤其是想靠firewall做Access control, 又只能看IP來決定時, 那會是很大的惡夢.


電腦鎖 IP+MAC+SW port 僅適用於不會移動的電腦. 但也要加上使用者認證才足夠.

不然充其量只是管到電腦, 使用的人還不算被管到.

會跨多網段移動的時候, 需要丟棄IP+MAC+SW port的概念, 做 user based 管理才是正解.

不管使用者移動到什麼網段,拿什麼IP, 接哪個port.使用網路的權限始終跟隨該使用者.

才能做到有效的一致管理. 要更一步的, 可在網路聯通時進行檢查, 如果檢查到電腦沒有

上patch,沒開防毒,沒升級的....有安全疑慮者, 還可協助你更新後再進入網路, 以降低企業

網路威脅, 或是動態縮限使用者的權限. 目前許多NAC的解決方案都在做這塊.