Ваша проблема в том, что MAC-адреса могут быть подделаны.
Если вы используете аутентификацию 802.1X, это больше не проблема.При условии, что либо вы используете dot-1X, либо не заботитесь о спуфинге MAC, вам нужно записать четыре вещи:
- IP-адрес доступа
- Времядоступа
- В ваших журналах DHCP указывается, какой IP-адрес был назначен какому MAC-адресу, когда
- Кто был подключен к какому компьютеру, когда
С этими четырьмя компонентамиинформации, а также список MAC-адресов для компьютеров, вы можете выяснить, какой пользователь вошел в систему на компьютере-нарушителе.
Примечание. Чтобы избежать подмены IP-адреса, необходимо также использовать отслеживание DHCP и защиту источника IP-адреса для предотвращенияпользователи дают себе статические IP-адреса.
Второе примечание: это работает в предположении, что все оборудование, подключенное к сети, является оборудованием компании.Если это не так, я предлагаю прочитать и записать сопоставления IP-порта с ваших коммутаторов и записать их.Таким образом, вы можете определить, где физически находился компьютер.