>Вначале хочу выразить свое восхищение стилем изложения проблемы.
>Очень понравилось, снимаю шляпу! :)

:)

>А теперь - по сути дела.
>К сожалению, сразу огорчу - полностью вся затея не выгорит.
>Нельзя запретить юзеру статически устанавливать официально принятые в организации параметры локального клиента
>TCP/IP.

Хммм.. Ну я примерно так и думал.. :)

>А вот строго запретить самовольно устанавливать себе чужой IP-адрес - это можно
>и нужно сделать.
>На сервере денно и нощно должен крутиться arpwatch или аналогичный сервис.
>Чуть замечена смена IP на каком-то MAC'е - email админу.
>Админ тут же глядит на arp-таблицы свичей.
>В минуту вычисляет, на каком порту сидит MAC хитрож...ого юзера.
>Недрогнувшей рукой выдергивает сетевой кабель из порта либо программно гасит порт на
>свиче.

Ну это я итак знаю, но вопрос другой, как сделать так, чтоб юзера с незарегенным МАКом не пропускало?
Вообщем я использую пока такой способ, но в нём есть уязвимость:
Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00. Вроде бы работает, только вот одна проблема - в карточку можно прошить МАК со всеми нулями!
Хотя что мешает и АРП соседа прописать.. :(
Наверное сейчас ВПН предлагать начнут :)

>Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит
>шефу и докладывает ситуацию.
>Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет.
>И Ваши нервы станут мягкие и шелковистые! :)

Если бы юзеры, тож клиенты... :)

ЗЫ: У меня кстати как-то арп странно работает... Через какое-то время АРП таблица (написанная мной) сбрасывается, это только у меня или так и задуманно? Приходится 2 раза в сутке кроном её переписывать... :(