奉旨开贴 分组问题

mrlong

2.0的一层IP分组只是简单的入门结构

举个例子，我们学校有五个教学楼，每个楼划分一个VLAN
DHCP动态分配IP地址  
192.168.1.100-192.168.1.200
192.168.2.100-192.168.2.200
192.168.3.100-192.168.3.200
192.168.4.100-192.168.4.200
192.168.5.100-192.168.5.200
某老师有一笔记本
先说为什么不能用静态IP
VLAN目的就是隔离，比如他在第一个教学楼时，IP是192.168.1.125
那么到第二个楼里时，这个IP是不能上网的
他只是一名普通教师，你不能要求他有网管的网络知识，自己会改IP，DNS，网关
他要求是到哪都能自动上网，所以必须用DHCP，必须有MAC分组
根据MAC来管理他，不管他走到哪，IP是什么，分给他的权限不会变


再来说学校的管理，学校要求 普通老师只能打开网页，上QQ，不能下载软件，不能看视频
教务处，校办，教科室。。。。等行政人员，可以打开网页，可以上QQ，可以下载软件，但不能看视频
教室电脑只能打开网页，不能上QQ等其他操作

中午可以放开权限，可以玩会儿游戏，看看视频，下午放学到晚自习之间，可以放开，晚自习之后可以放开

总之，权限分配很复杂，而且有重叠

如果用IP，我怎么管理？必须要MAC分组，而且要分级
比如也就是像WINDOWS的目录树一样，不然，那么多电脑查找起来非常麻烦
例：  教师电脑   （一级组）
             行政      （二级组）
                 张三  00-01-02-03、
                 。。。。。。。。。
             教学
                 一系  （三级组）
                    李四  00-02-03-。。。
                    。。。。。。。。。。。
                 二系
                    。。。。。。。
         学生电脑
             一号楼
                  101室  00-12-34-56-78
                  。。。。。。。。。。。
             二号楼
              。。。。。。。。。。
          机房
              一机房
             二机房
             。。。。。

再来说例外  比如，明天在三机房有考试，需要全校断网，但行政组里有个人有急事，需要上报数据
           如果没有例外的话。。。。。。。。。。。。。。。。
           有例外的话，我就可以设置条防火墙规则， 一，二 四五六七八九机房，学生电脑，教师电脑 不允许上网 （除了 三机房 和 教师，行政，某某）

不知道小C看明白没有

msxcj

楼主说的基于MAC分组是一个很好的要求，可以考虑进来，有很多公司要求苛刻，我所遇到的最苛刻就是台资企业，上网权限搞的非常死，楼上也有说的就是你在后面付出再多，用户不知道你的付出，但只要出问题就能找到你，领导并不了解网络知识，他的要求网管们只能照做，加设备上面不批，搞不好是你无能，做了这么久我太了解企业网管的难处了，再说这是非常好的意见，为何不采纳呢，能简单化的东西为什么搞的复杂化呢？

mrlong

丕子阿杰 发表于 2014-4-26 12:02
我不同意你这个观点，我也是企业用户，我就要求他们全部PPPOE上网，某一个环境并不是一定要用哪一种的， ...

你厉害，你能要求他们全部PPPOE上网
我们这，50岁的老教师，我也要求他们PPPOE上网？
别说他们，要真弄个PPPOE，都得被领导骂死
我们这里很复杂很复杂，前面我也说了
我们这的要求是 插上网线就能上网，不能要求他们有什么网络知识
否则要我们这些网管干啥
必须简化操作
我可以复杂，“用户”不能复杂，越简单越好

touchvfhp

改革不是请人食饭:lol

touchvfhp

9楼讲得很有哲理。顶一个。:)

丕子阿杰

mrlong 发表于 2014-4-27 20:53
你说你啊，自己都说了，你的并不一定适合我
还一个劲的给我推荐用认证
我们这就是不能用认证的

就目前的开发进度，估计短时间是出不了，所以才建议你另寻他法，当然你可以等的话。
另，我给你推荐的你认为行可以采纳，不行可以无视。

billy428

拨号对使用者来说确实有点麻烦

mrlong

丕子阿杰 发表于 2014-4-27 19:48
这个真不用羡慕，说白了，领导层当你是人你就是人，不看中你啥也不是。
我也说过，适合我的并不一定适合 ...

:lol
你说你啊，自己都说了，你的并不一定适合我
还一个劲的给我推荐用认证
我们这就是不能用认证的
不说别的
如果有人私架PPPOE服务器呢
既然有IP分组了
添加个MAC分组，又不是什么难事
既然人家别人有MAC分组
肯定有它存在的道理

丕子阿杰

mrlong 发表于 2014-4-27 14:02
首先，我很羡慕你，你可以全权负责，也许你们那要求不多
但我们这里是绝对不行的，我们这可不是只要能上 ...

这个真不用羡慕，说白了，领导层当你是人你就是人，不看中你啥也不是。
我也说过，适合我的并不一定适合你，环境和要求及领导住住能左右很多事。
就你的需求，个人建议用路由加专业认证管理服务器（或认证软件）最好。

mrlong

丕子阿杰 发表于 2014-4-26 19:31
首先，我不承认我有多厉害。
我600多人的公司，从一把手到员工，全是PPPOE，不是别的原因，而是公司当时 ...

首先，我很羡慕你，你可以全权负责，也许你们那要求不多
但我们这里是绝对不行的，我们这可不是只要能上网就行
需要定时，定人，定量
不管是哪一点，哪一片，哪一类，需要随时停，随时开
就算是用PPPOE，也需要分层，不能所有的账号都在同一层
我又不是没有方案，来这求方案来了
深信服的多级MAC组管理方式就非常适合我们这

mrlong

既然都这么爱指点，那就再介绍详细一点
我们这是职业中学，不光有学生
还经常培训社会上的人，包括工人，企业，单位。。。。
学生上课时间是不能上WIFI的，但能搜到WIFI信号
下课时间可以让他们上
外来的培训人员，随时可以上