iKuai爱快流控路由

标题: 关于在一个老旧公司推行爱快无线方案改造的问题 [打印本页]

作者: gdgnzl1    时间: 2021-11-15 14:44
标题: 关于在一个老旧公司推行爱快无线方案改造的问题
技术你们好,最近接了一个旧网络的改造,有点头疼想请教一下官方怎么解决问题实现需求。
先说说问题:
1、主交换机可网管,部分办公室交换机可网管,部分不行。
2、内网的MAC泛洪攻击严重,全部来自笔记本的无线网卡。
再说说需求:
1、无线用户(爱快AP+爱快路由无线控制)希望通过MAC认证实现MAC泛洪攻击的防护(但需要能同时支持DHCP的IP地址分配)。
2、无线用户需要访问特定IP的服务器
目前的困难:
1、VLAN的路子似乎走不通,因为部分交换机不可网管
2、有线可以通过别的手段(例如在楼层的中央交换机)进行防护,无线各个办公室跑来跑去,很头疼。


作者: v2850210    时间: 2021-11-15 14:45
DHCP绑定
作者: gdgnzl1    时间: 2021-11-15 14:48
v2850210 发表于 2021-11-15 14:45
DHCP绑定

MAC泛洪攻击对象是交换机,DHCP绑定可以解决吗?
作者: BG7OZP    时间: 2021-11-15 15:01
采用多网段IP管理,DHCP绑定,默认获取IP的一个网段,而通过绑定的又是另一个网段。这样就可以区分开有哪些机器不是指定的网段了。
作者: chengnan001    时间: 2021-11-15 22:06
华歌图出来吧 要不没法帮你
作者: gdgnzl1    时间: 2021-11-16 08:36
BG7OZP 发表于 2021-11-15 15:01
采用多网段IP管理,DHCP绑定,默认获取IP的一个网段,而通过绑定的又是另一个网段。这样就可以区分开有哪些 ...

请问这个需要VLAN的支持吗?
作者: gdgnzl1    时间: 2021-11-17 10:05
这是拓扑图,麻烦看看要怎么样才能在能用DHCP分配IP的基础上自动认证无线用户的MAC地址,做到在交换机层级就限制住MAC泛洪,谢谢

作者: gdgnzl1    时间: 2021-11-17 10:07
chengnan001 发表于 2021-11-15 22:06
华歌图出来吧 要不没法帮你

图画好了,请指教
作者: fangsoft    时间: 2021-11-17 13:42
你这种网络结构就算静态绑定也没用,MAC欺骗ARP欺骗最关键是还是需要做好单机系统的免疫。让病毒无法调用系统相关的DLL文件。
作者: gdgnzl1    时间: 2021-11-18 08:37
fangsoft 发表于 2021-11-17 13:42
你这种网络结构就算静态绑定也没用,MAC欺骗ARP欺骗最关键是还是需要做好单机系统的免疫。让病毒无法调用系 ...

台式机完全没问题,无线机器管理得严格一点也没问题。现在是看看有没有既方便,又能实现功能的
作者: chengnan001    时间: 2021-11-18 11:34
gdgnzl1 发表于 2021-11-17 10:05
这是拓扑图,麻烦看看要怎么样才能在能用DHCP分配IP的基础上自动认证无线用户的MAC地址,做到在交换机层级 ...

你的现有环境是带vlan的情况比较复杂,希望按一下图吧型号和vlan信息带出来,你能自己调试交换机不,那些端口和IP端是不能改的、???
作者: gdgnzl1    时间: 2021-11-18 14:33
chengnan001 发表于 2021-11-18 11:34
你的现有环境是带vlan的情况比较复杂,希望按一下图吧型号和vlan信息带出来,你能自己调试交换机不,那些 ...

这样问得我把我自己都绕进去了,我另开一个贴吧,不提问题只谈需求和方案
作者: chengnan001    时间: 2021-11-18 14:40
gdgnzl1 发表于 2021-11-18 14:33
这样问得我把我自己都绕进去了,我另开一个贴吧,不提问题只谈需求和方案 ...

新建就无所谓了




欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3