您能完全禁止某台 PC 访问本地网络吗？

客户端确实可以更改其 MAC 地址，因此任何形式的过滤或多或少都变得无用。

在有线局域网上，使用合适的交换机，您可以控制允许 MAC 从哪个端口连接，并限制端口上允许的 MAC 数量。如果客户端始终连接并打开，这可能会有所帮助，但知道特定机器上的 MAC 是什么的人可能会拔下合法的盒子并更改其 MAC 地址以匹配。某些交换机可以配置为在链接断开时阻止端口，并需要管理员干预，但这根本无法很好地扩展。

因此，这正是 802.1x 协议旨在帮助解决的问题。简而言之，它要求客户端在获得网络访问权限之前提供经过身份验证的凭据。维基百科关于它的文章很好地描述了它的工作原理。

据我所知，如果没有某种访问凭证，您想要完成的事情就无法完成。802.1x 至少将身份验证放在网络级别，而不是允许访问，然后通过其他方式阻止使用网络资源。

你正在寻找的东西叫做网络访问控制。各种供应商提供各种方式来实现 NAC。此外，在仅限 Windows/大多数 Windows 环境中，您可以实现域和服务器隔离（并不是说你不能在 *nix 环境中完成类似的事情，但它带来的痛苦几乎比它的价值还要多）。通过域和服务器隔离，虽然你没有阻止任何对网络本身的访问，但你阻止了对网络中的任何服务器和工作站的访问，如果它是你拥有的机器，你可以控制特定服务器/工作站可以与哪些服务器和工作站通信。

如果可以实现对网络的物理访问（通过有线或无线电波），则始终假设机器可以参与传输级别。除此之外它还能做什么才是您真正应该关注的，也是您应该重点关注安全工作的地方。

PC 是如何连接的？无线？有线？是有人带去上班的 PC 吗，比如员工使用自己的笔记本电脑。在这种情况下，您可以采取法律或内部安全措施（主要是如果员工更改其 MAC 地址以进行连接并破解白名单 MAC 地址限制）。

如果有外人入侵网络，比如邻居使用你的 wifi，我认为最好的办法是永远不要让 wifi 连接不受密码保护和加密。

如果是 VPN 访问...如果您使用带有证书的 VPN，例如 openvpn，并且他有证书，您可以使用 crl 选项禁止它。

针对每种情况的解决方案可能有所不同，并且不仅仅与网络或服务器有关。

现在，如果是你的 CEO 使用他自己的充满病毒的笔记本电脑...祝你好运 ;) 但也许你可以主动清理它 :)