问一个公司网络管理的问题
一个小公司,有几十台电脑,我现在是把50-150设成DHCP的,都是无线连接的,主要是同事的手机,还有偶尔从项目上回来的同事的手提电脑。另外的IP 1-49,还有151-253设成表态地址分配,由MAC地址去分配好IP地址我就想问一下,如果有其它项目的同事,用手动设置IP,把IP地址设成151-253之间的IP,和原来公司的同事的IP发生冲突的话,是谁先上谁有理,还是按什么去分配IP的。
针对这种情况,除了叫同事不要自己设置IP之外,有没有什么好办法去避免这种情况的? 谁先上谁有理
这种情况标准做法是 VLAN 隔离 再加一层路由器,专门给外来人员使用,只能联外网,没有访问公司内部局域网的权限 全部启用访客账户,组策略不让修改或者屏蔽网络设置 比较理想的方案是dhcp snooping+ARP安全技术,但这个需要交换机支持 xy. 发表于 2025-8-25 14:26
谁先上谁有理
这种情况标准做法是 VLAN 隔离
VLAN是用端口进行隔离吗?我一开始想用IP来划分VLAN,但一想,人家可以改IP来个设定。 xyl 发表于 2025-8-25 14:36
全部启用访客账户,组策略不让修改或者屏蔽网络设置
你能详细说说吗?访客账启指的是电脑吧? 本帖最后由 duron2 于 2025-8-25 15:48 编辑
路由器上绑定了mac和ip 有选项可以设定是否允许非绑定ip的mac上网 开启了乱配ip的人就不能上公网了 但可以使用局域网
哦这种设置 dhcp分配的因为没有绑定也受影响了还是网段分开吧 不同应用人群或者部门,肯定是划分vlan子网了,路由器性能强劲就在路由上做vlan子网并开启DHCP或者静态DHCP,一般在三层交换机上做 nn1122 发表于 2025-8-25 15:47
不同应用人群或者部门,肯定是划分vlan子网了,路由器性能强劲就在路由上做vlan子网并开启DHCP或者静态DHCP ...
我开了表态 IP,你说让我划分VLAN,是用端口来划分还是用 IP来划分呢? 151-253设成表态地址分配,什么是表态地址分配哦?
如果是我来分配的话,我会在核心交换机上起两段,vlan10走有线192.168.0.1/24,vlan20走无线192.168.1.1/24
然后在vlan10上面做mac和ip地址绑定,大就是:
dhcp enable
dhcp snooping enable
user-bind static ip-address 192.168.0.1 mac-address 0102-0304-0506
ip source check user-bind enable 本帖最后由 moveable 于 2025-8-25 16:45 编辑
按mac或者ip分配vlan,启用DHCP snooping+IPSG
或者把无线和有线分开两个子网、两个交换机,分别启用DHCP snooping+IPSG,还简单些。 不要给用户管理员权限,他们就不能擅自改IP了 新开2个段,
一个放无线dhcp,
一个放手动mac地址ip, 这个段防火墙设置只能这些mac地址上网.
问题不久解决了 飞翔的蜗牛 发表于 2025-8-25 15:49
我开了表态 IP,你说让我划分VLAN,是用端口来划分还是用 IP来划分呢?
可以指定某个端口为LAN1,子网为192.168.1.0/24,第二个端口为LAN2,子网为192.168.2.0/24。也可以一个端口里包含多个VLAN子网,也就是vlan trunk模式,这些要有网络基础才行 改IP不好控制。如果你有三层,在三层上IP、mac绑定,私改的IP就不能通过三层了。如果按IP分vlan,同一个交换机端口需要同时走不同vlan,你的DHCP就不好设置了。如果DHCP只给无线用,要看无线和有线的网络拓扑结构,看无线设备的功能,要能分开成两个网络就可以解决你的问题了。 路由器上做好IP-MAC绑定,别人改了地址也不能上网,你要是不怕麻烦,可以用假的MAC充满映射表。这样只有DHCP分配的地址和手动添加的能上网,其他的均不行。 boyww 发表于 2025-8-25 15:59
151-253设成表态地址分配,什么是表态地址分配哦?
如果是我来分配的话,我会在核心交换机上起两段,vlan10 ...
静态地址分配 其实ARP绑定就可以了 话说现在好多设备是随机MAC的 这些你们怎么处理? 无线配置强制DHCP呗。。。让自己配置的IP根本没法用就是了。。 楼上有兄弟已经说过了,这种情况最好的办法是使用三层交换机,划分几个VLAN,并启用DHCP Snooping和IPSG,将连接DHCP服务器的接口配置为“信任”模式,或直接将三层交换机作为DHCP Server,会自动生成DHCP Snooping动态绑定表。设备只能通过合法的DHCP服务器获取IP地址并形成动态绑定表,手工修改的IP无法接入网络,因报文和绑定表不匹配被丢弃。 很多设备带mac地址绑定,就是mac对应ip是设置到路由器中,只要设备开机,你指定好,就固定分配这个地址,不会被别的设备占用ip的情况 dannypod 发表于 2025-8-26 17:30
楼上有兄弟已经说过了,这种情况最好的办法是使用三层交换机,划分几个VLAN,并启用DHCP Snooping和IPSG, ...
感觉感谢,我试试这个 飞翔的蜗牛 发表于 2025-8-25 15:24
你能详细说说吗?访客账启指的是电脑吧?
是电脑的权限最低的访客账户,不能变更电脑设置,不能安装软件 全局的话就DHCP Snooping + IPSG,无线的话可以在AC配置STA严格从DHCP获取地址。 其实你这个只是管理问题真心小问题,你真正遇到的会是一旦实施马上会有人跟你说断流,有连接就是没法上网,然后就开始真正走上探索wifi带机量之路了 ZLOT2V2 发表于 2025-8-27 11:01
其实你这个只是管理问题真心小问题,你真正遇到的会是一旦实施马上会有人跟你说断流,有连接就是没法上网, ...
无线的只是小事,那些都是项目上回来的人的手提电脑。
我只要特别注意几个领导的手提电脑没事就行了。 1.无线用一个网段,有线用另一个网段
2.不嫌麻烦就录入mac绑定ip地址,嫌麻烦就全DHCP 无线安全管理就不要从DHCP这些基础服务上去思考,意义不大。
直接802.1X或者Portal账号认证,别想其他的。
页:
[1]
2