设为首页收藏本站

 找回密码
 加入我们
搜索
      
Chiphell - 分享与交流用户体验»社区 讨论区-生活与技术的讨论 电脑讨论(新) 问一个公司网络管理的问题
返回列表 发新帖
查看: 1147|回复: 22

[网络] 问一个公司网络管理的问题

[复制链接]
飞翔的蜗牛
发表于 2025-8-25 14:21 | 显示全部楼层 |阅读模式
一个小公司,有几十台电脑,我现在是把50-150设成DHCP的,都是无线连接的,主要是同事的手机,还有偶尔从项目上回来的同事的手提电脑。另外的IP 1-49,还有151-253设成表态地址分配,由MAC地址去分配好IP地址

我就想问一下,如果有其它项目的同事,用手动设置IP,把IP地址设成151-253之间的IP,和原来公司的同事的IP发生冲突的话,是谁先上谁有理,还是按什么去分配IP的。
针对这种情况,除了叫同事不要自己设置IP之外,有没有什么好办法去避免这种情况的?
回复

举报

xy.
发表于 2025-8-25 14:26 | 显示全部楼层
谁先上谁有理
这种情况标准做法是 VLAN 隔离
回复

举报

皇冠3.0L
发表于 2025-8-25 14:31 | 显示全部楼层
再加一层路由器,专门给外来人员使用,只能联外网,没有访问公司内部局域网的权限
回复

举报

xyl
发表于 2025-8-25 14:36 | 显示全部楼层
全部启用访客账户,组策略不让修改或者屏蔽网络设置
回复

举报

tianjie
发表于 2025-8-25 14:52 | 显示全部楼层
比较理想的方案是dhcp snooping+ARP安全技术,但这个需要交换机支持
回复

举报

飞翔的蜗牛
 楼主| 发表于 2025-8-25 15:23 | 显示全部楼层
xy. 发表于 2025-8-25 14:26
谁先上谁有理
这种情况标准做法是 VLAN 隔离

VLAN是用端口进行隔离吗?我一开始想用IP来划分VLAN,但一想,人家可以改IP来个设定。
回复

举报

飞翔的蜗牛
 楼主| 发表于 2025-8-25 15:24 | 显示全部楼层
xyl 发表于 2025-8-25 14:36
全部启用访客账户,组策略不让修改或者屏蔽网络设置

你能详细说说吗?访客账启指的是电脑吧?
回复

举报

duron2
发表于 2025-8-25 15:44 | 显示全部楼层
本帖最后由 duron2 于 2025-8-25 15:48 编辑

路由器上绑定了mac和ip   有选项可以设定是否允许非绑定ip的mac上网    开启了乱配ip的人就不能上公网了   但可以使用局域网
哦这种设置 dhcp分配的因为没有绑定也受影响了  还是网段分开吧
回复

举报

nn1122
发表于 2025-8-25 15:47 | 显示全部楼层
不同应用人群或者部门,肯定是划分vlan子网了,路由器性能强劲就在路由上做vlan子网并开启DHCP或者静态DHCP,一般在三层交换机上做
回复

举报

飞翔的蜗牛
 楼主| 发表于 2025-8-25 15:49 | 显示全部楼层
nn1122 发表于 2025-8-25 15:47
不同应用人群或者部门,肯定是划分vlan子网了,路由器性能强劲就在路由上做vlan子网并开启DHCP或者静态DHCP ...

我开了表态 IP,你说让我划分VLAN,是用端口来划分还是用 IP来划分呢?
回复

举报

boyww
发表于 2025-8-25 15:59 | 显示全部楼层
151-253设成表态地址分配,什么是表态地址分配哦?
如果是我来分配的话,我会在核心交换机上起两段,vlan10走有线192.168.0.1/24,vlan20走无线192.168.1.1/24
然后在vlan10上面做mac和ip地址绑定,大就是:
dhcp enable
dhcp snooping enable
user-bind static ip-address 192.168.0.1 mac-address 0102-0304-0506
ip source check user-bind enable
回复

举报

moveable
发表于 2025-8-25 16:30 | 显示全部楼层
本帖最后由 moveable 于 2025-8-25 16:45 编辑

按mac或者ip分配vlan,启用DHCP snooping+IPSG

或者把无线和有线分开两个子网、两个交换机,分别启用DHCP snooping+IPSG,还简单些。
回复

举报

korduner
发表于 2025-8-25 16:34 | 显示全部楼层
不要给用户管理员权限,他们就不能擅自改IP了
回复

举报

litel
发表于 2025-8-25 16:35 | 显示全部楼层
新开2个段,
一个放无线dhcp,
一个放手动mac地址ip, 这个段防火墙设置只能这些mac地址上网.
问题不久解决了
回复

举报

nn1122
发表于 2025-8-25 16:44 | 显示全部楼层
飞翔的蜗牛 发表于 2025-8-25 15:49
我开了表态 IP,你说让我划分VLAN,是用端口来划分还是用 IP来划分呢?

可以指定某个端口为LAN1,子网为192.168.1.0/24,第二个端口为LAN2,子网为192.168.2.0/24。也可以一个端口里包含多个VLAN子网,也就是vlan trunk模式,这些要有网络基础才行
回复

举报

ABS666
发表于 2025-8-25 16:44 | 显示全部楼层
改IP不好控制。如果你有三层,在三层上IP、mac绑定,私改的IP就不能通过三层了。如果按IP分vlan,同一个交换机端口需要同时走不同vlan,你的DHCP就不好设置了。如果DHCP只给无线用,要看无线和有线的网络拓扑结构,看无线设备的功能,要能分开成两个网络就可以解决你的问题了。
回复

举报

dcl2009
发表于 2025-8-25 16:59 | 显示全部楼层
路由器上做好IP-MAC绑定,别人改了地址也不能上网,你要是不怕麻烦,可以用假的MAC充满映射表。这样只有DHCP分配的地址和手动添加的能上网,其他的均不行。
回复

举报

飞翔的蜗牛
 楼主| 发表于 2025-8-25 17:07 | 显示全部楼层
boyww 发表于 2025-8-25 15:59
151-253设成表态地址分配,什么是表态地址分配哦?
如果是我来分配的话,我会在核心交换机上起两段,vlan10 ...

静态地址分配
回复

举报

nodlinxinyang
发表于 2025-8-26 16:30 | 显示全部楼层
其实ARP绑定就可以了
回复

举报

m4a1chbb
发表于 2025-8-26 16:50 | 显示全部楼层
话说现在好多设备是随机MAC的 这些你们怎么处理?
回复

举报

smallfount
发表于 2025-8-26 16:52 | 显示全部楼层
无线配置强制DHCP呗。。。让自己配置的IP根本没法用就是了。。
回复

举报

dannypod
发表于 2025-8-26 17:30 | 显示全部楼层
楼上有兄弟已经说过了,这种情况最好的办法是使用三层交换机,划分几个VLAN,并启用DHCP Snooping和IPSG,将连接DHCP服务器的接口配置为“信任”模式,或直接将三层交换机作为DHCP Server,会自动生成DHCP Snooping动态绑定表。设备只能通过合法的DHCP服务器获取IP地址并形成动态绑定表,手工修改的IP无法接入网络,因报文和绑定表不匹配被丢弃。
回复

举报

gaoyi124
发表于 2025-8-26 20:22 | 显示全部楼层
很多设备带mac地址绑定,就是mac对应ip是设置到路由器中,只要设备开机,你指定好,就固定分配这个地址,不会被别的设备占用ip的情况
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2025-8-27 06:11 , Processed in 0.010237 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2007-2024 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表