設備接入管控最重要的地方就是在Switch上，做好控管擋在Port上連橫向感染都能避免掉。

可以參考https://www.jannet.hk/zh-Hant/post/mac-address-table-attack/
這篇雖然是講攻擊面，但防守面也是同樣原理，讓那個port綁住正確的MAC或一直用其他設備發送正確的ARP Message，讓錯誤的設備無法連上。

Switch會將收到封包的MAC寫進 MAC Address Table對應Port號
例如登記郵遞區號在台北(Port1)，不會把信發送到台南(Port2)
如果遇到不認識的就會發廣播封包給所有人，問說他在哪裡，假設收到回覆是Port2，之後都會直接往Port2發送

那如何做控管? 以Cisco Switch為例，最常用的就是Port Security

可以參考https://www.jannet.hk/zh-Hant/post/port-security/

Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport port-security mac-address 0006.2a4d.a5be

Switch#show port-security interface fastEthernet 0/3

建立在這個應用上，各家廠商有更多樣或簡易的操作方式，例如
Hardware
Cisco MAC-based VLAN
https://community.cisco.com/t5/small-business-support-documents/configure-mac-based-vlan-groups-on-a-switch-through-the-cli/ta-p/3363856
Mosdan IP-MAC Lock Switch
https://www.youtube.com/watch?v=9UNmxPsenK4&index=7&list=PL4EMB2dNIr5XSnJv5dQtCF9F2sFxE0GQO&
Proxy
Dr.IP
http://www.e-soft.com.tw/index.php/product-information/dr-ip-ip-resource-management-system/main-function
Software
Cisco MAC authentication bypass (利用Redius驗證
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/config_guide_c17-663759.html

可以跟ISO27001 四階文件的資訊資產清單一起做，確認好設備放在哪，接在哪個Port上，設備的MAC、IP，這過程很繁瑣，確實執行防禦效果相當好。