你只需在Gateway內設定，僅DHCP所配發之IP範圍內的電腦，才准予連通外網即可。

Cisco Switch有此功能哦.

小弟的構想：

IP 綁 MAC address的功能(要看防火牆是否有) 再加上 DHCP 指定host配發IP(要先查出所有client端的MAC 進行設定)

簡單的方式: 設定綁 IP 就可以解決您的問題!
複雜的方式: 高階設備都有這一項的功能，但...要看是哪一類型的設備。

1.花錢買設備
2.自己動手DIY (DHCP server 給出連線名單，再修改防火牆解開限制)
3.用行政手段，改方法直接綁定IP或是檢查MAC Address

使用DHCP Snooping ＋ Port Security或802.1X Port-Based Authentication自然是最佳解，但要求的設備等級較高，需要的相關知識也較多，最好是在有配合的SI廠商的情況下實作。

如果公司只有最簡單的IP分享器，解決的方法之一就是設定DHCP的IP-MAC Mapping，並且將DHCP Pool的範圍限定在有設定IP-MAC Mapping的區塊中，並在IP分享器的對內Firewall的部分，限制只有在DHCP Pool中的Source IP能通過。但這還是無法阻止手動設定IP到DHCP Pool中的使用者存取網路。

如果Firewall能設定MAC Filtering或者是Switch能設定Static ARP Mapping，那手動設定IP的問題就能解決。但還有偽造MAC的問題需要解決。

要解決MAC偽造的問題，就比較麻煩，要先透過設定Private VLAN防止使用者竊取MAC Address，這部份不一定適合每個環境。如果無法防止竊聽，那就只能設定Port-ACL or Port Security去防止非法的IP, MAC通過Switch Interface。透過802.1X進行使用者認證也是一個解決方法。

但做這麼多，我想最有效的方法還是一紙行政命令，只要手動設定IP或偽造MAC者被抓到，就會遭到懲處並公告，我想發生這問題的機會就會少很多... 畢竟管理的對象是人而不是機器，直接對症下藥才是最有效的處理方式。