0

我的帖子

个人中心

设置

  发新话题
先吐槽一下,公司为了标准运营化管理,不让别的电脑私自接入公司内网,要求做arp绑定。

这arp绑定呢,就是mac+ip绑定,如果别的电脑接入内网,及时配了IP也不能访问网关。


吐槽一:
整理mac+IP绑定,用了科来扫描出地址,然后mac地址和路由器上的格式不一样,改改改,改的我头晕眼花。
改好后,在核心上配置MAC+IP绑定,关闭arp动态学习功能。(非法电脑不能接入)

公司划分,我所在的区域为南区,南区有2个生产区,南区1为网络出口,南区2 为末端,南区1和南区2由2条专线互联,南区1到合作方有一条专线连着。

mac未绑定之前,南区2到合作方,断了一条南区1到南区2的线路也是可以通。上了mac了,我去你大爷的,断南区1和南区2的主线后,尼玛的居然不通,绑定后,我的静态路由到南区1就不动了。

排查出结果是,mac地址绑定,有交换机端口未绑上导致的。心中一千万个草泥马飞过。。

吐槽二:
昨晚网络变更,新增加一条南区2到合作方的备线,配好地址及路由后,我去,又不通。一开始以为是合作方没开通,用电脑配IP后去ping网关是正常,然后把备线接到主线的端口上,也不通。忽然灵光一闪,尼玛的,arp绑定,要把新增加的端口IP及mac地址绑定上。。。

绑好了,主备切换都正常随意浪,arp绑定,你大爷的坑了我2次,10分钟可以搞定的事情,让我搞了一个小时。。

最后温馨提醒一下,能不上arp绑定这个坑,最好别上,很多时候很容易忽略掉交换机端口的arp绑定。

最后上传一张我公司的网络拓扑架构,感觉对上双线路的小伙伴们有帮助,推荐一下双线路配置思路:VRRP+MSTP,这就是我公司的网络配置架构。。

本帖最近评分记录
  • redhat9i 无忧币 +6 心疼你两秒钟 2018-6-6 14:43



你的需求是防止未经授权的终端接入网络,其实现在有个系统叫“准入控制系统”实现的方式要简单得多,效果更好,管理工作量更低



51CTO论坛有移动端啦,发帖回帖更方便~
引用:
原帖由 redhat9i 于 2018-6-6 14:42 发表
你的需求是防止未经授权的终端接入网络,其实现在有个系统叫“准入控制系统”实现的方式要简单得多,效果更好,管理工作量更低
公司不给钱,设备这玩意不可能上的了。。



VRRP+MSTP早就不用了,现在都是堆叠、虚拟化了。


本来IP/MAC绑定就只是用在小范围内,你这么大个网络还搞,就是坑自己。

真要规范管理、不让别人私自接入到网络,上一套准入系统认证才是最好的。802.1X认证之类的。



接入交换机的设备还是可以互访的,ARP就是要将外来物种一律关在门外



引用:
原帖由 erfdcv 于 2018-6-6 15:16 发表
VRRP+MSTP早就不用了,现在都是堆叠、虚拟化了。


本来IP/MAC绑定就只是用在小范围内,你这么大个网络还搞,就是坑自己。

真要规范管理、不让别人私自接入到网络,上一套准入系统认证才是最好的。802.1X认证之类的。 ...
他娘的,不是我想搞,是公司信息安全标准运营化小组要求的。我只是执行方,没反对权利。



引用:
原帖由 xiaoPython 于 2018-6-6 16:28 发表

他娘的,不是我想搞,是公司信息安全标准运营化小组要求的。我只是执行方,没反对权利。
又想马儿跑的快,又想马儿不吃草



引用:
原帖由 wx59fc2dda4b1fd 于 2018-6-6 15:52 发表
接入交换机的设备还是可以互访的,ARP就是要将外来物种一律关在门外
生产区间,不能带电脑进去,都有门禁,还有24小时监控录像,生产网跟办公网全物理隔离。专线都是全内网使用。。感觉arp没啥用。PC端还用域控策略,限制最小化。只能打开一个桌面,别的都不能打开。。



引用:
原帖由 erfdcv 于 2018-6-6 16:29 发表

又想马儿跑的快,又想马儿不吃草
公司不都是这样玩的嘛,套路都习惯了。。。只要能跑,绝对不会多花钱买大批的粮草



引用:
原帖由 erfdcv 于 2018-6-6 15:16 发表
VRRP+MSTP早就不用了,现在都是堆叠、虚拟化了。


本来IP/MAC绑定就只是用在小范围内,你这么大个网络还搞,就是坑自己。

真要规范管理、不让别人私自接入到网络,上一套准入系统认证才是最好的。802.1X认证之类的。 ...
对了,我们还上静态IP啊。。设计到生产CTI服务器的绑定之类,必须要固定IP。。。。。。。我滴个神啊



感觉 楼主做的这个是 防蹭网啊
一般不都是防接入么
试试 安全端口



windows 2012 2016的nps服务和ad服务,实现802.1x认证、动态下发vlan,
如果使用华为交换机还可实现动态下发acl。华三无法实现动态下发acl。
其它品牌设备没试过。使用dhcp snooping技术,可实现动态ip、mac、vlan绑定。
以上方法我正在使用,如果使用h3c inode 802.1x客户端,还可以实现不同的用户登录
自动切换不同的vlan。如果不喜欢第三方软件,可以让客户端加入ad域,同样可以实现
以上功能,但客户机如登录到本地,不登录ad域将无法访问整个网络。



引用:
原帖由 9321106 于 2018-6-6 17:08 发表
感觉 楼主做的这个是 防蹭网啊
一般不都是防接入么
试试 安全端口
是防止别人笔记本电脑接入内网拷贝数据。。。端口安全,这个我去玩下,这个可以有



引用:
原帖由 gtg2002 于 2018-6-6 17:21 发表
windows 2012 2016的nps服务和ad服务,实现802.1x认证、动态下发vlan,
如果使用华为交换机还可实现动态下发acl。华三无法实现动态下发acl。
其它品牌设备没试过。使用dhcp snooping技术,可实现动态ip、mac、vlan绑定。
...
我们用的华三设备,802.1x认证可以去研究玩下,谢谢哈



至少先做成堆叠吧,可以简单些



同意堆叠,不管是拓扑,还是实际管理排障,都简单很多



这种需求用AAA就好了,在接入交换机上做802.1X认证



引用:
原帖由 xbrace 于 2018-6-6 19:04 发表
至少先做成堆叠吧,可以简单些
堆叠感觉不错,下次有时间在把网络在玩玩。。



看来做这种事的公司还真不少。
确实烦,上千台



引用:
原帖由 xiaoPython 于 2018-6-7 18:07 发表

堆叠感觉不错,下次有时间在把网络在玩玩。。
LZ你们公司老板不是不想买草么?堆叠设备可是要花票票滴。。哈哈! 建议堆叠用华为的。



‹‹ 上一贴:大佬们NAT转换求科普下呗?   |   下一贴:ipsec *** 两端私网地址重叠, ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com