|
30#
发表于 2021-11-16 15:27:19
来自手机访问
|
只看该作者
本帖最后由 lxb311715 于 2021-11-16 15:35 编辑
我给你一点儿经验,同样是设计公司,你这个拓扑,必须要上硬件防火墙和带行为管控的路由器,因为设计师要上外网,用代理,他们为了方便,会用usb热点设备,插在机箱上,自组非法局域网,然后其他终端设备比如手机,进行对传,还有些需要在家办公的,远程控制公司电脑,使用一些隧道软件,一不小心就是ARP和环路,你这个多网段的,吃枣的事情,我现在vlan+物理隔离+mac绑定,都有人为了方便,想尽办法模拟mac用访客段dhcp获取ip后利用提权bug接入内网改网络设置。
什么黑白名单ACL规则,都试过了,除了捆住自己的手脚以外,没有啥毛用
老板带了几个甲方大佬来公司,手机笔记本连不上网,还要IT给分配IP,这不是笑话吗
所以,最终解决方案就是,光纤入户,行为管控路由器,三层交换机,接AP,接nas,接终端,就一个简单的平行拓扑结构。
一劳永逸。
|
|