0

我的帖子

个人中心

设置

  发新话题
目前碰到两个问题,
问题一:如果我们使用三层作为核心交换机,那么下面接着无线设备,要限制无线设备无法访问内网,  假如外网设备利用三层交换机做了acl限制的mac地址    那么笔记本是可以更改mac的    如果更改成内网pc的mac地址这样岂不是存在很大的安全隐患,有人可能说内网地址冲突了,如果本人离职啦,或者关机了,那就不冲突了。

问题二:我们目前是核心交换机是二层S5700-LI-52P-AC,目前公司二百多人,使用了一年多了网络没什么问题,那现在请问还有必要换成三层吗,为什么,都说核心要用三层,三层到底好在哪。

PS:今天晚上就得立方案,急。。。急。。急   ,有网络大佬方便的话加下扣扣,还有好多小问题,2415466409



把内外网放到一起本身就有问题。。。



网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备
给无线单独的一个vlan然后做acl不行么



网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备
引用:
原帖由 lover119 于 2018-7-5 11:40 发表
给无线单独的一个vlan然后做acl不行么
可是根据端口划分vlan的话  怎么做限制呢 ,您方便加下扣扣吗2415466409  ,求救下



我们做过一个方案:公司无线分为内网和来宾两种
内网双重密码认证(PSK+授权密码) 认证后绑定mac地址半年(亦可以手工移除离职的员工设备,前提有登记)
来宾网络一次性密码有连接时间限制(一般8小时)
这样的话可以防止***破解。

中间通过三层交换机ACL隔离来宾网段。

双重认证的好处是不管mac地址 只认每个人单独的授权密码,到期后重领取密码!

这样部署要比802.1X方便,易用,也加强内网的安全。



引用:
原帖由 sporenet 于 2018-7-5 12:10 发表
我们做过一个方案:公司无线分为内网和来宾两种
内网双重密码认证(PSK+授权密码) 认证后绑定mac地址半年(亦可以手工移除离职的员工设备,前提有登记)
来宾网络一次性密码有连接时间限制(一般8小时)
这样的话可以防止***破解。
...
对于我这个小白来讲,是不是困难了点儿,,自学网络的话从哪入手呢



同小白,个人理解第一个问题,对网络进行规划无线几个vlan,有线几个vlan。无线禁止访问有线就好了啊?
第二个问题,三层交换机的好处有:1、vlan间通信在三层交换机上实现,vlan间访问速度会更快。vlan间通信不从路由器做后可以减轻路由器的压力2、三层交换机总带宽一般都是高于二层的,可以带动更大的网络




本帖最后由 wx5b0f48207d044 于 2018-7-6 14:03 编辑
引用:
原帖由 wx5b0f48207d044 于 2018-7-6 14:01 发表
同小白,个人理解第一个问题,对网络进行规划无线几个vlan,有线几个vlan。无线禁止访问有线就好了啊?
第二个问题,三层交换机的好处有:1、vlan间通信在三层交换机上实现,vlan间访问速度会更快。vlan间通信不从路由器做后可以减 ...
好的,谢谢您  我在看看



你所谓的没问题,就是没断网就算没问题么



引用:
原帖由 erfdcv 于 2018-7-7 17:07 发表
你所谓的没问题,就是没断网就算没问题么
。。。。???没太明白您说的



小病不是病,大病才是病



引用:
原帖由 erfdcv 于 2018-7-10 12:35 发表
小病不是病,大病才是病
.........说实话大哥。。。对于我这种小白弟来说真的没听懂



参考一下




为什么不基于IP做ACL呢?在不同网络中就有不同的IP!



引用:
原帖由 sporenet 于 2018-7-5 12:10 发表
我们做过一个方案:公司无线分为内网和来宾两种
内网双重密码认证(PSK+授权密码) 认证后绑定mac地址半年(亦可以手工移除离职的员工设备,前提有登记)
来宾网络一次性密码有连接时间限制(一般8小时)
这样的话可以防止***破解。
...
你这个是用的哪一家的产品?还是通过软件实现的?



一般都是划分VLAN解决。划分VLAN可以在三层交换机上划分,也可以在路由器上划分。你怎么方便怎么来。三层搞起来会比较麻烦些。



‹‹ 上一贴:我给我的交换机设置ftp登录以后telnet登录就显示密码 ...   |   下一贴:关于门店带宽,请问各位怎么选择? ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com