0

我的帖子

个人中心

设置

  发新话题
大家好,公司现在需要进行网络升级,要求如下:
1、需要按部门(研发、技术、市场、综合)划分VLAN,VLAN间不能相互访问。

2、需要将研发部10台电脑禁网,禁止访问外网

3、TP-LINK WR886N-1、2、3作为员工WIFI网络,需指定终端访问此WIFI网络,做MAC地址绑定

4、TP-LINK WR886N-4作为访客WIFI网络,开放所有终端访问,只允许访问外网,不能访问公司内部网络

5、所有电脑都可以访问OA服务器(192.168.11.21/24)

6、整个公司网络的所有网线端口,没有登记的PC、笔记本电脑(比如员工自己的笔记本电脑)无法通过网线接入到公司网络


请问,核心交换机选哪款能满足以上所有需求呢?H3C S5500V2-WiNet系列安全智慧交换机能实现所有要求吗?
如果各部门的PC不是整体连在同一台交换机,是否可以通过MAC地址设置VLAN呢?

如果这个系列不行,那哪种合适呢?谢谢!



这是具体的网络拓扑图!
网络拓扑图.jpg (207.87 KB)

2018-7-30 10:45

网络拓扑图.jpg




你需要一台防火墙



这么高科技的公司,都不舍得往信息化设备投入高点?



引用:
原帖由 wellxt 于 2018-7-30 10:44 发表
大家好,公司现在需要进行网络升级,要求如下:
1、需要按部门(研发、技术、市场、综合)划分VLAN,VLAN间不能相互访问。

2、需要将研发部10台电脑禁网,禁止访问外网

3、TP-LINK WR886N-1、2、3作为员工WIFI网络,需指定终端访问 ...
兄弟,核心交换机买个华为S5720EI。



人才放在这家公司有点浪费啊。换个大一点的公司吧。



引用:
原帖由 sdmz012 于 2018-07-30 12:02 发表
兄弟,核心交换机买个华为S5720EI。
华三的有推荐的不,H3C S5500v2 WiNET行不?还是需要买EI系列?



引用:
原帖由 lianyunfeng 于 2018-07-30 11:49 发表
你需要一台防火墙
用防火墙将网络进行隔离吗?需要核心交换机不?有推荐的防火墙型号不?公司的所有终端接入大概100-150台(包括pc、笔记本、手机等)



引用:
原帖由 erfdcv 于 2018-07-30 11:52 发表
这么高科技的公司,都不舍得往信息化设备投入高点?
这个嘛,领导层的我就不太清楚了。




本帖最后由 wellxt 于 2018-7-30 15:57 编辑
引用:
原帖由 leciwifi 于 2018-07-30 12:39 发表
人才放在这家公司有点浪费啊。换个大一点的公司吧。
过奖了啊。刚刚入网络管理这一行,暂时先呆着,学些东西,实践。



引用:
原帖由 wellxt 于 2018-7-30 12:44 发表

华三的有推荐的不,H3C S5500v2 WiNET行不?还是需要买EI系列?
个人感觉,华三没华为好用



你需要一台深信服AC上网行为管理

白名单、上网审计、用户认证



说下我的看法
1、你的设备没冗余,挂了核心等死
2、没防火墙,没AC管理,当然我也没玩过AC管理,公司不上wifi,坑爹
3、第4点,WiFi全开放和第6点,PC限制访问,这点你得着重思考下。wifi全开放上网,肯定需要mac地址的,然后arp你得开启动态,动态arp,就直接跟你的第6点冲突,接上电脑可以访问公司网络。



可以先请集成公司做个方案,好参考下



你需要一个防火墙、一个上网行为管理器、一个AC控制器,最好是核心交换机要有冗余



1、在部门上的交换机上做acl,是其它部门数据的deny掉;
2、可以把研发分成两个vlan,一个能上外网,一个不能上外网,让两个vlan进行通信;
3、开启MAC地址过滤,仅允许已设MAC地址列表中已启用的MAC地址访问网络;
4、划一个vlan,在核心上做acl,禁止访问内网。
5、核心做各部门到服务器vlan的路由。
6、每个接入交换机上进行arp绑定,再做acl,不在指定ip范围内的都deny。
菜鸡的思路。。可以参考下。



我们这几天学的刚好东西  刚好用得上



防火墙(路由模式,vlan化三层,做policy),交换机,WLC,AP就能完成了
至于不用防火墙的话,我只知道PVLAN这个技术,而且也不能满足第一条。所以还是推荐防火墙吧



引用:
原帖由 lianyunfeng 于 2018-7-30 11:49 发表
你需要一台防火墙
防火墙不是必须的。
主要网管交换机就可以解决。
三层,二层一起上。。
交换成面把acl 写死



引用:
原帖由 wx5b0f48207d044 于 2018-8-2 15:39 发表
1、在部门上的交换机上做acl,是其它部门数据的deny掉;
2、可以把研发分成两个vlan,一个能上外网,一个不能上外网,让两个vlan进行通信;
3、开启MAC地址过滤,仅允许已设MAC地址列表中已启用的MAC地址访问网络;
4、划一个vlan,在 ...
赞一个,数通技术层面解决,这个也是我想说的。。。效果好。
当然也有人反对,,,,
必须要要使用防火墙来解决。。
1、核心交换使用防火墙业务板卡
2、要么使用飞塔防火墙+飞塔交换机(安全接入及交换)解决方案。

其它的办法防火墙部署方式是可以,但又用多少意义。。。



‹‹ 上一贴:请教大家一个问题,关于华硕主板驱动的?~ ...   |   下一贴:4跟光纤到机房需要哪些设备呀 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com