ip/mac绑定

网络坏境：网关-现AC（原某公司）-汇聚交换机(二层环境）。

网络坏境：网关-现AC（原某公司）-汇聚交换机(二层环境）。网段：192.168.0.0/16 正常实用1000多个IP。
需求:客户是需要实现IP/MAC绑定。因为网段比较大，IP地址使用乱，人员流动量比较大(ip和mac变化比较快)，网络稳定比较重视。以前某公司IP/MAC绑定是实时，绑定是需要管理手动确定，能一键只允许IP/MAC绑定的上网，现在通过AC对网络的管理。
1.导入原有的IP/MAC绑定关系，无法对除IP/MAC有绑定关系以外IP的拦截。并且问题太多
2.配置自动录入IP/MAC绑定策略，不能手动确定，导致有许多不希望绑定的IP也自动绑定，并没有达到管理员的方便。
3.因为客户PC老化严重，PC流动性大，IP/MAC绑定关系时常变化，当删除IP/MAC绑定关系时，需要重新认证才可以绑定，无法实时的建立绑定关系，必须等到无流量自动注销用户（最短需要等10分钟），从新认证才可以IP/MAC绑定。会造成管理员工作量大，断网。
客户是白天晚上都有人工作，怎么配置就可以实现简单，快捷实现IP/MAC的绑定，减少断网时间，减少网络管理员的工作量
基于这种情况怎么建立这个策略，IP使用混乱，不能确定的情况下，是否只能通过绑定自动录入IP/MAC绑定，录入组，启用用户登录限制来实现。

最好的方式就是长痛不如短痛。先找几天划分一下VLAN  分一下IP 绑定用户

导入原来的绑定关系后
如果绑定关系变化，删掉变化的绑定关系，再新建现在需要绑定的IP和mac
这个很简单啊

删掉原来的，再新绑定

必须管理跟上，单技术无法解决，
可以分批改进，绑定IP/MAC。

建议您先引导客户把DHCP搞好

您好，针对于以上3个问题建议可以以下：
1、导入的IP/MAC绑定对应的终端是否有固定用户名，若有，可以启用用户登录限制，只允许这个认证策略里面指定用户认证
2、可以手动导入绑定关系
3、可以启用【用户认证与管理】-【认真高级选项】-【认证选项】里面的“mac地址发生变动时，需要重新认证”

请注意： 涉及到MAC地址，若内网是三层环境， 是需要跨三层的，谢谢