随着信息化时代的飞速发展，网络环境应用日趋复杂的同时，网络应用过程中存在的风险也日益增多;而这类风险中最难控制与管理的主要表现在终端接入网络中所存在的风险。

下图中描述的是当前中小型企业终端内网常用的网络拓扑，其中标红的区域正是终端接入内网的区域，也是网络中最难控制与管理的区域，该区域所带来的风险主要表现在几下几个方面：

1. 网络边界不可控：严禁在网络中使用HUB和无线设备后，不确定是否有用户违反规定私自接入HUB设备和无线设备，导致网络边界扩大，不可控

2. 接入网络中终端身份不确定：终端接入网络没有进行控制，终端机器接入网络后通过DHCP或者手动配置正确的IP地址后便可以访问内网

3. 接入网络中的终端自身安全情况不确定：终端设备成功接入内网中，终端设备自身的安全情况未知，终端设备是否携带病毒等恶意程序在网络中进行传播不清楚

4. 终端接入网络后访问的网络范围不可控：终端设备成功接入内网后，便可以访问内网中所有的网络资源，没有对终端在网络中访问的访问做权限控制

当前对于终端接入网络中的解决方案

1. 在接入层交换机上对端口做IP/MAC绑定操作

该种方式通过在交换机的端口上做IP/MAC绑定，可以实现交换机下所有连接终端机器的端口上只允许一个MAC地址进行通讯，这样做可以有效的杜绝网络边界不可控的问题出现;因为每一个端口下只允许一个MAC地址进行通讯，即使该端口下有HUB类设备和无线发射类设备存在，也只有一台终端能够正常接入内网，其它的终端设备网络通讯都会被接入层交换机给阻断，无法接入内网中。

但是，该种解决方式也只是解决了终端机器接入内网中网络边界不可控的问题，其它的问题仍然存在于网络中，还无法做到完美的解决。

2. 通过网关类设备或控制器设备来控制终端的非法接入

该种方式是通过在网络中架设网关类设备或者控制器类设备，通过扫描网络中所有进行网络通讯的终端类设备的IP、MAC信息，如果该终端设备在内网中没有记录，并且还有网络访问行为，可以通过该类设备向该终端发送ARP欺骗包等方式，从而通过网络的行为阻断该终端的所有网络连接。

但是，该种解决方式也只是解决了当前接入网络中终端机器身份确定的问题，其它的问题仍然存在于网络中;并且通过该种方式进行解决时对于管理员的配置依赖性较大，同时因为该类设备通过ARP欺骗的形式进行实现，所以会导致在网络中存在大量的ARP欺骗数据包出现。