|
|
本帖最后由 qq8381503 于 2020-6-19 00:00 编辑
因为不是专职的网管人员,所以对网络这块并不精通。
从网络结构及硬件的选择上,并没有进行完全的规划,随着公司的发展,网络也是处于不断的升级改造当中。
所用的设备品牌也是五花八门,再加上成本的原因,基本都是采用傻瓜交换机
也许这就是大部份小企业网络结构的缩影吧。
先说下我这里大概的网络拓扑
多条宽带,有电信,有移动
接入层交换机是思科网页式管理的二层交换机(之前一直当成傻瓜交换机来用)
然后下面级联了一大堆的傻瓜交换机,启用DHCP
监控,AP,电脑,打印机,所有的联网设备,全部在一个网段当中,并没有用VLAN划分出来
结果,某天开始,出现了网络故障,给我狠狠的上了一课,
具体表现为组播流量包爆涨,每秒钟近2万组播包,那些傻瓜交换机断PING,死机,问题不断。。。
后来在询问了N多人之后,直接在思科上面将组播流量进行过滤,网络故障缓解了,但因水平有限,目前根源还是无法找到。
痛定思痛后,开始了又一轮的网络改造。
首先,将监控网络进行剥离,划分VLAN隔离,
AP无线接入隔离,分为访客网络,及内部网络
设置MAC分组,IP分组,APR绑定,静态分配等
封杀非法二级路由,随身WIFI,设置上网认证,MAC过滤,网址过滤,采用时间段管理访问应用。
本来打算将AP隔离出来,但工程量太大了,下面的傻瓜交换机也不支持VLAN,也没有三层交换机,实在是没办法物理隔离。
还好AP是支持VLANID,及MAC过滤,但原先主路由并不支持VLANID,所以也没办法实现无线访客网络及内部网络的分离。
在查了一些资料后,决定采用软路由进行管理,原主路由做为AC使用,
在测试了某快,高恪之后,因为某快的VLANID在测试时一直不启作用,在询问之后也没有得到比较好的答复,所以最后选择了高恪,开始了改造路程。
很庆幸,高恪的工作人员还是很积极的,在论坛上的一些问题,都会进行答复。
但在一翻使用设置下来,还是发现了一些不便之处,在此也将这些问题点汇总,希望高恪能越做越好!
1、时间段上面设置不合理
只能设置多时间段,但不能设置多星期段
建议:改为多星期段下设置多时间段
2、MAC分组不能批量录入重复录入,IP组重复录入,认证管理中的黑白名单MAC管理重复录入
建议:通常状态下,MAC地址是唯一性的,所以一般采用MAC管理也是最好的选择
而且,企业当中,也经常使用MAC绑定IP的做法进行管理。
所以,分组里面的IP组,MAC组,可以考虑从ARP绑定里面生成出来,减少重复录入。
即,在ARP绑定格式中,新增一个组名描述,然后IP组,MAC组直接调用生成
192.168.1.111 00:0e:0f:1d:1c:eb 李磊 组名 描述
同时在各个需要控制的项目中进行组调用,减少重复录入的工作。
3、DHCP检测可以再霸道一点
建议:因为我没有三层交换,所以非法的DHCP还是比较头疼的,建议不光可以检测,也要有个按钮可以发起攻击,直接让那个非法DHCP死机算了
同理,如果有绑定MAC的IP地址,发生MAC变化,有个按钮,也能发起攻击,这样就完美了
4、老生长谈的防二级路由,随身WIFI,万能钥匙,网址过滤(关键字)
建议:对于小企业来说这些功能是必不可少的,因为设备上及管理上的原因,这些都是很难杜绝的,所以还是希望高恪能上点心好好的维护一下。
最后,祝高恪越办越好吧,其实对于企业来说,一次性的买断收费应该是可行的,只要功能完善,稳定,方便,我想不少企业还是会花钱去购买的。
|
|
发表于 2020-6-18 23:58:31
发表于 2020-6-19 10:36:22
楼主
发表于 2022-2-22 10:33:34