可以执行 MAC 锁定，MAC 锁定包括：如果它是连接到端口的设备，并且不具有路由器列表（ARP 表）中指定的 IP 和 MAC，则它将无法拥有通信 通过网关，您将无法与其他设备进行通信，也无法访问互联网。

为了使其工作，您必须在接口中启用 arp 仅回复模式，并手动将 arp、ip、ma​​c 和接口添加到表中。

当客户使用其 LAN 端口之一错误地将路由器连接到网络，并且该路由器开始发布 IP 地址（充当未经授权的 DHCP 服务器）时，可能会导致网络上的 IP 冲突和连接问题。

要在 MikroTik 设备管理的网络上解决此问题，您可以采取措施阻止来自导致问题的特定 IP 地址的流量或禁用不需要的 DHCP 服务器。

以下是使用 MikroTik 防火墙阻止特定 IP 地址的方法：

使用WinBox

1. 访问您的 MikroTik：使用 WinBox 登录您的 MikroTik 设备。
2. 打开防火墙： 去 IP > 防火墙 在菜单上。
3. 在“转发”链中添加新规则:
   • 点击标签 筛选规则 然后在按钮上 + 添加新规则。
   • 其他咨询：在“常规”选项卡中，将“链”设置为 forward.
   • 高级：无需为此目的在此处设置选项。
   • 源地址：输入要阻止的未经授权的 DHCP 服务器的 IP 地址。
   • 操作：切换到“操作”选项卡，选择 drop 在“操作”字段中。这将阻止来自该 IP 地址的所有流量。
   • 点击 使用 然后在 OK 来遵守规则。

使用 CLI

如果您更喜欢使用命令行，以下是相应的命令：

/ip firewall filter add action=drop chain=forward src-address=<IP_Servidor_DHCP_Errado>

取代 <IP_Servidor_DHCP_Errado> 与导致问题的恶意 DHCP 服务器的 IP 地址。

附加解决方案

除了阻止 IP 之外，您还可以考虑采取其他策略来防止将来发生此类事件：

• 在不需要的端口上禁用 DHCP：如果 MikroTik 和用户之间有可管理的交换机，则可以将端口配置为 DHCP 侦听“不可信”，以防止它们充当 DHCP 服务器。
• 使用 DHCP 侦听：如果您的网络设备支持，DHCP Snooping 可以帮助识别并阻止网络上未经授权的 DHCP 响应。
• 警报和监控：设置警报，以便在发生 IP 冲突或新设备尝试充当网络上的 DHCP 服务器时通知您。

这些措施将帮助您维护网络的稳定性，并避免因网络设备配置错误而导致的连接问题。