这是一个创建于 524 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在的网络是直接接在写字楼网络上的:
写字楼 → 我们的交换机 → 我们的 A/B/C 房间的路由器 (A/B/C 都有独立的 ip )
我想对网络进行一定程度上的管理,
比如,block 掉 A 路由下面机器的 ssh 到外面的通信, 屏蔽 B 路由下面机器与特定外网 ip 的通信, 还有 mac 地址白名单等。
应该如何做呢? 登进各个路由分别设置?
能不能在路由器的上一层(交换机?)一起管理?
写字楼 → 我们的交换机 → 我们的 A/B/C 房间的路由器 (A/B/C 都有独立的 ip )
我想对网络进行一定程度上的管理,
比如,block 掉 A 路由下面机器的 ssh 到外面的通信, 屏蔽 B 路由下面机器与特定外网 ip 的通信, 还有 mac 地址白名单等。
应该如何做呢? 登进各个路由分别设置?
能不能在路由器的上一层(交换机?)一起管理?
 |
1
adoal 2023-05-31 22:46:23 +08:00
如果不是因为公司组织架构原因各房间必须有自己可控的路由器,那唯一正经的办法就是把路由做在上层。下面办公室有分网段的需求的话再切 VLAN 。不懂网络的人在办公网络里常做的蠢事之一就是毫无克制地乱用家用路由器。
|
 |
2
ttgo OP @adoal 每个房间都有自己独立的外网 ip ,所以才这么装的网。
写字楼直接接上层路由的话,下面再接 ABC 路由吗? 这样还能不能让 ABC 有各自独立外围 ip ? |
 |
3
hyshuang2006 2023-06-01 00:41:35 +08:00
#1 的 V 友已经给 OP 你提示了。去搜下 VLAN ,了解下概念吧。
建议你把网络拓扑图 晒出来,简陋也好,反正清晰表明整个网络情况,设备类型。 很可能你提及的需求,设备根本不具备这个功能。 |
 |
4
deorth 2023-06-01 07:31:06 +08:00 via Android
招一个 it
|
|
5
ttgo OP @hyshuang2006
目前网络结构:写字楼网线接到我的交换机, 从交换机再分别接到我的 3 个房间的路由器 (目前每个房间都有独立的公网 ip )。 目前的设备只是“能用”,我就是想知道还需要买哪些设备啊。 |
 |
7
neroxps 2023-06-01 10:06:17 +08:00  1
写字楼 → 我们的交换机 之间加个防火墙。贵的深信服,便宜的 ikuai 。再便宜点 软路由 x86
|
 |
8
LLaMA2 2023-06-01 10:44:37 +08:00 1
1.ABC 下面分别预估最多有多少联网设备
2.是否可以购置新设备,总预算有多少 3.网线是否可以自己改动 无非是上防火墙,换管理交换机,调整路由位置 |
 |
9
datocp 2023-06-01 10:46:24 +08:00 1
是什么原因,让一家小公司的 3 个房间需要 3 个独立 ip ,这个独立是指用于互联网访问的外网 ip ,还是内网用的 192.168.x.x?还是搞不定流量忽攸老板装了这么多宽带
我目前用的 erx 刷 openwrt 21.02.5 iptables 防火墙 /qos 下挂 huawei s5720s-li 多 vlan+acl 访问控制+poe 供电 下接 ap+有线 lan+门禁 |
|
10
ttgo OP |
|
11
adoal 2023-06-01 11:43:46 +08:00 1
@ttgo
1. “每个房间都有自己独立的外网 ip ”是因为“我们需要每个房间都有自己独立的外网 ip ,这是公司治理的刚需”,还是说“按园区默认设置就是每个房间都有自己独立的外网 ip ,现在这样了要改动有阻力”,还是说“老子只想管控,不想改动”? 2. 即使是前者,技术上也是可以实现的。 3. 如果你愿意听我的,路由上移,有个可能的障碍是园区物业和 IT 是否允许你们把自己的设备放进弱电井,这个要沟通确认好。 4. 不论如何,企业(哪怕是只有几个工作组的小企业)级的网络管理比起家庭网络来还是要复杂很多的。其中有些常用的基本原理要懂,比如 VLAN 。 5. 我最不想说的……如果不想动拓扑,满足“老子只想管控,不想改动”的需求,那三个房间的路由器可以选择能刷 OpenWRT 的,然后有什么配置都刷到三个路由器上。这样做可能需要你写一些批处理的脚本。 |
|
12
adoal 2023-06-01 11:44:50 +08:00
#4 说的对,招一个 IT
或者你自己成为 IT |
|
13
adoal 2023-06-01 11:45:34 +08:00
哦,看到了,“写字楼 → 我们的交换机”……那就没问题了,可以把自己的设备上弱电井。
|
|
15
adoal 2023-06-01 11:54:30 +08:00 1
@ttgo “这个防火墙的 ip 是啥?怎么远程设置这个防火墙呢?”
防火墙可以做成透明模式,从接进来的设备和上游看就是一个交换机,防火墙从二层流量里剥出三层载荷后做转发过滤。这样防火墙在数据平面是没有 IP 地址的。 要远程管理的话,可以单独拉一根线,一头接在防火墙的管理端口,另一头接到你办公室的网段。给防火墙的管理端口配一个你办公室的 IP 地址就可以了。这个管理端口只负责控制平面,和数据平面没有关系。当然也可以在你电脑上加一块网卡,跟防火墙的管理端口组一个 /30 的小私网。 |
|
16
neroxps 2023-06-01 13:56:06 +08:00 1
@ttgo #10 防火墙可以桥接部署,流量经过后,解包根据五元组去进行控制数据包是否放行。但还得看你这个公网 IP 是怎么分配的,如果是 PPPOE 。那就相当于你在运营商端那边操作这你肯定操作不了,所以只能把后面的路由拨号放到你这边来。然后你再通过不同网段,不同 vlan 策略路由 之类的方案来给他们分配出口路由。
|
|
17
LLaMA2 2023-06-01 14:47:53 +08:00 1
网络设备代理商给你做方案 这个问题取决与你在什么地方,说白了,你能给很多钱吗?
要是在广东,这种事给 500-1000 服务费就有人乐于给你搞好,设备不算。 你要是在北京,找北京土著,北京土著不会为了这点钱,他们不屑的。 按你的情况,一台 3WAN 口的路由(代号 A )+1 台超过 4 口管理型交换机(代号 B )就能搞好 各个房间里原有的交换机也需要 A 设备的 3 个 WAN 口陪 3 个外网 IP ,其他一个口做 LAN 连接到管理交换机设备 B ,B 管理交换机配置好每个接口的 vlan ,分别接入 3 个房间,管理交换机的 vlan 配置好下一跳是那一个 WAN ( a ), 然后 ACL 全部做在 A 上 |
Select Language