奉旨开贴 分组问题

mrlong

2.0的一层IP分组只是简单的入门结构

举个例子，我们学校有五个教学楼，每个楼划分一个VLAN
DHCP动态分配IP地址  
192.168.1.100-192.168.1.200
192.168.2.100-192.168.2.200
192.168.3.100-192.168.3.200
192.168.4.100-192.168.4.200
192.168.5.100-192.168.5.200
某老师有一笔记本
先说为什么不能用静态IP
VLAN目的就是隔离，比如他在第一个教学楼时，IP是192.168.1.125
那么到第二个楼里时，这个IP是不能上网的
他只是一名普通教师，你不能要求他有网管的网络知识，自己会改IP，DNS，网关
他要求是到哪都能自动上网，所以必须用DHCP，必须有MAC分组
根据MAC来管理他，不管他走到哪，IP是什么，分给他的权限不会变


再来说学校的管理，学校要求 普通老师只能打开网页，上QQ，不能下载软件，不能看视频
教务处，校办，教科室。。。。等行政人员，可以打开网页，可以上QQ，可以下载软件，但不能看视频
教室电脑只能打开网页，不能上QQ等其他操作

中午可以放开权限，可以玩会儿游戏，看看视频，下午放学到晚自习之间，可以放开，晚自习之后可以放开

总之，权限分配很复杂，而且有重叠

如果用IP，我怎么管理？必须要MAC分组，而且要分级
比如也就是像WINDOWS的目录树一样，不然，那么多电脑查找起来非常麻烦
例：  教师电脑   （一级组）
             行政      （二级组）
                 张三  00-01-02-03、
                 。。。。。。。。。
             教学
                 一系  （三级组）
                    李四  00-02-03-。。。
                    。。。。。。。。。。。
                 二系
                    。。。。。。。
         学生电脑
             一号楼
                  101室  00-12-34-56-78
                  。。。。。。。。。。。
             二号楼
              。。。。。。。。。。
          机房
              一机房
             二机房
             。。。。。

再来说例外  比如，明天在三机房有考试，需要全校断网，但行政组里有个人有急事，需要上报数据
           如果没有例外的话。。。。。。。。。。。。。。。。
           有例外的话，我就可以设置条防火墙规则， 一，二 四五六七八九机房，学生电脑，教师电脑 不允许上网 （除了 三机房 和 教师，行政，某某）

不知道小C看明白没有

msxcj

楼主说的基于MAC分组是一个很好的要求，可以考虑进来，有很多公司要求苛刻，我所遇到的最苛刻就是台资企业，上网权限搞的非常死，楼上也有说的就是你在后面付出再多，用户不知道你的付出，但只要出问题就能找到你，领导并不了解网络知识，他的要求网管们只能照做，加设备上面不批，搞不好是你无能，做了这么久我太了解企业网管的难处了，再说这是非常好的意见，为何不采纳呢，能简单化的东西为什么搞的复杂化呢？

mrlong

丕子阿杰 发表于 2014-4-26 12:02
我不同意你这个观点，我也是企业用户，我就要求他们全部PPPOE上网，某一个环境并不是一定要用哪一种的， ...

你厉害，你能要求他们全部PPPOE上网
我们这，50岁的老教师，我也要求他们PPPOE上网？
别说他们，要真弄个PPPOE，都得被领导骂死
我们这里很复杂很复杂，前面我也说了
我们这的要求是 插上网线就能上网，不能要求他们有什么网络知识
否则要我们这些网管干啥
必须简化操作
我可以复杂，“用户”不能复杂，越简单越好

shenngd

沙发占座

小艾

用拨号就能解决，你搞的太麻烦了

mrlong

小艾 发表于 2014-4-26 00:32
用拨号就能解决，你搞的太麻烦了

你见哪个单位用拨号？

丕子阿杰

mrlong 发表于 2014-4-26 11:55
你见哪个单位用拨号？

我不同意你这个观点，我也是企业用户，我就要求他们全部PPPOE上网，某一个环境并不是一定要用哪一种的，只是说你这种比较特殊而已。

yusp75

结合AD域做认证。

mrlong

yusp75 发表于 2014-4-26 12:11
结合AD域做认证。

我们这里不能认证，起码不能给人多加操作
有的人QQ都不会用呢

丕子阿杰

mrlong 发表于 2014-4-26 18:07
你厉害，你能要求他们全部PPPOE上网
我们这，50岁的老教师，我也要求他们PPPOE上网？
别说他们，要真弄个P ...

首先，我不承认我有多厉害。
我600多人的公司，从一把手到员工，全是PPPOE，不是别的原因，而是公司当时跟电信签的合同是提供N多帐号，走光纤通道，而我只是让他们养成跟自己家里上网一样的习惯而已，我想建个PPPOE拔号，填个帐号密码不是很难的事，再说，所有的计算机维护都在当初建了宽带联接（现在N多的GHOST版系统也默认建了），填个帐号密码我不认为是个什么高技术含量的事，如果这也算，我只能说无语，那基本上可以不用电脑了，原因大家都懂。从前年公司的企业硬路由出问题后我一直用的某动物软路由，同时将下面的PPPOE全收上来，做到软路由中，然后下面依然PPPOE拔号，这么做只因为我懒，单帐号限速，无ARP困扰而已。
我之前就说过，虽然我们都是企业用户，适合我用的方案不一定就适合你用，要因人而异。
再有我觉得你应该改变你的思想，既然学校将网络全权交给你来管，那么，你首先应该拿出一套适合你及你们学校的管理体系来，而不能一味的让你自己适应别人，应该在让自己最方便有效的管理前提下尽量为别人考虑，就如学校的食堂，你能做出适合每个就餐人员口味的一道菜么？

乖、想你

支持下，顶下！