上网认证系统...

各位出个主意一个以太局域网(有50个Vlan，平常有一万台机器上网)，在中心交换机（Cisco6509）处安装一个第三方的上网认证系统，功能必须包括： 1、IP地址与MAC地址绑定。 2、各计算机的上网纪录。最好包括： 1、各计算机的实时流量监测。 2、实时强制某台计算机或某个网段断开网络。并且最好是采用旁路侦听方式。

我的想法：因为我这儿的6509只是作为路由使用，所有的计算机与65之间有一个汇聚交换机，汇聚交换机同65之间通过一根RJ45连接，这样一来我可以把65上的另外一个RJ45口同连接汇聚交换机的RJ45口镜像，在这个镜像的RJ45口上连接一台认证服务器；如果这样可以的话，这就要求认证系统在禁止某台机器上网时采用的是IP欺骗的方法，回送一个不可连接包不就行了？这种想法能行吗？各位高手请给在下出个主意或者是推荐个产品，在下先谢谢了。