iT邦幫忙

0

公司上網需求

請問一下
公司上網策略目前是OA人員可以上網,產線機台不可以上網
機台約不到30個 OA人員是大多數
目前作法:OA人員DHCP綁MAC
防火牆設定 那些IP可以上網

因為該網段因為綁MAC IP快不夠了
是否有更好的做法呢??
還請分享一下 謝謝

12
hector958
iT邦研究生 2 級 ‧ 2013-03-22 16:04:42
最佳解答

1.網段放大吧!

2.或是反過來,機台IP綁住,拒絕這些IP上網,其他通過,這樣如何?

kylen iT邦新手 4 級 ‧ 2013-03-22 16:37:36 檢舉

反過來這個方式我有想過,但突然防火牆是正面表列
反過來好像有點怪怪的
所以想知道大家的公司都是怎做的呢?

hector958 iT邦研究生 2 級 ‧ 2013-03-25 11:54:42 檢舉

看環境需要以及環境大小,做法不一定。
我手邊跟你類似環境的做法是建一台ISA SERVER,用AD網域控制上網權限以及群組原則。
比你小的環境之中也有一些使用硬體防火牆的,正面與反面的做法都有,端看防火牆能耐以及設備數量而定。

18
player
iT邦大師 1 級 ‧ 2013-03-22 14:50:11

你應該是Public IP不夠用吧
有弄NAT嗎?
如果有NAT的話, 所有人凡是不需要一定要有Public IP的
通通都搬到Private IP

看更多先前的回應...收起先前的回應...
kylen iT邦新手 4 級 ‧ 2013-03-22 15:36:28 檢舉

以上這些都是內部IP呀

player iT邦大師 1 級 ‧ 2013-03-22 15:45:29 檢舉

你說 DHCP綁MAC ?
又說 以上這些都是內部IP呀
那你的問題是 DHCP 那台綁MAC 的地方, 不夠設定嗎? 如果是的話, 那是那台 DHCP的問題, 請查明廠牌洽詢客服人員 (可能會告訴你花錢升級設備吧?)

kylen iT邦新手 4 級 ‧ 2013-03-22 15:57:14 檢舉

不好意思 可能是我的表達能力不太好
我的意思是指 這樣的管理方式 有些不太好 造成IP的浪費
是否有更好的管理方式
例如OA 150 產線 30個
OA的 都是使用DHCP綁MAC 產線則沒有
所以造成後續該網段IP不夠使用

player iT邦大師 1 級 ‧ 2013-03-22 17:06:45 檢舉

LAN網段IP的數量
由子網路遮罩決定啊
255.255.254.0 是 2 個 class C, 有512個IP, 去掉頭尾不能用以外, 會有 510個IP
你也可以把它再切2半, 前半部可以上網, 後半部鎖在 LAN 裡

例如你的 Private IP 在192.168.0.0 ~ 192.168.1.255
可以把GateWay(NAT那台) 放在 192.168.0.1 子網路遮罩設 255.255.255.0
然後192.168.0.2 ~ 192.168.0.254 分配給要上網的電腦, 但子網路遮罩設 255.255.254.0
另外不要上網的IP設 192.168.1.1 ~ 192.168.0.254, 子網路遮罩設 255.255.254.0
再從NAT或防火牆設一下
這樣應該就可以擋住了吧?

10
jackwan
iT邦研究生 4 級 ‧ 2013-03-22 16:09:04

反過來不就行了!!
產線機台人員DHCP綁MAC ...
防火牆設定:那些IP不可以上網

kylen iT邦新手 4 級 ‧ 2013-03-22 16:38:10 檢舉

反過來這個方式我有想過,但突然防火牆通常是是正面表列
反過來好像有點怪怪的
所以想知道大家的公司都是怎做的呢?

8
a218066
iT邦研究生 3 級 ‧ 2013-03-22 17:24:13

防火牆好像有的可以分兩段來發IP或是可以多網段,照這方向去設定就可以了

10
xxoo1122
iT邦新手 3 級 ‧ 2013-03-22 23:01:24

再多一個網段,然後把OA區劃分到新的網段然後做NAT,舊的網段一樣留給機台用,不做NAT,這樣不就解決了

8
rayford
iT邦新手 5 級 ‧ 2013-03-23 12:33:09

您說 IP 不夠用,又說都是使用內部 IP , 然後又擔心 IP 的浪費。我想這只是您不瞭解網路。
內部 IP (虛擬 IP) 有三種,
C 級:192.168.yyy.xxx (最後一組數字可變動)
B 級:172.16.xxx.xxx ~ 172.31.xxx.xxx(最後兩組數字可變動)
A 級是 10.xxx.xxx.xxx,(最後三組數字可變動)
xxx 範圍: 1 ~ 255,
您自己乘一乘,算一算,不可能不夠用。

您的機器只有30台,再怎麼 MAC 綁 IP 也不會不夠用。除非您使用 C 級,然後舊的機器故障報廢後,買了新的,然後舊的機器還是繼續佔用一組 MAC+IP ,把記錄清掉就好了吧。

某公司大概一百台機器,使用 192.168.1.xxx 的網段,
在公司裡面,如果要對上網做限制,通常可上網的人數少,不可上網人數多。因為既然都要管制,應該是有特定權力地位或工作需要才可以上網。那當然是針對少數可上網 IP 綁定 MAC,只有這些 IP 才可以上網。

至於你說的什麼正面表列、怪怪的,這是你自己的胡思亂想。防火牆可以 deny 再 allow,或是先 allow 再 deny ,前者就是你們公司現在的做法,先拒絕不可上網的 IP,其餘則可上網。後者是先允許可上網 IP 通過,其餘則拒絕。要怎麼設都隨便你,沒有什麼正不正面、表不表列、奇怪不奇怪。

4
cyuwww
iT邦新手 2 級 ‧ 2013-03-23 15:10:38

看了好久,終於想通您沒有表達出來的問題了。
您的問題是否是
防火牆上設定允許上網的MAC已經不敷使用?
因為既然使用內部IP,自然沒有數量問題,所以有限制問題的是在防火牆。
是否因為早期管理人(或是廠商)在設定上,給了您限制?
其實,各型防火牆,應該都可以調整與放大您的範圍。

8
eden33
iT邦新手 5 級 ‧ 2013-03-23 16:23:12

直接切一個網段給上網用,無上網需求的用另一個網段,若之間需傳送資料,再使用網路磁碟機 ip 語法連接,也可省了不少網路芳鄰的管理問題,綁定mac的管理上也會較方便

或直接買一台可設定的網路設備,不上網的線路集中在此處,再設定一下即可

8
yenchen
iT邦新手 4 級 ‧ 2013-03-24 09:38:04

我提供我的做法當參考:

做一Linux 的Proxy 做為內部上網用,一率瀏覽器設定此Proxy才能上網
Gateway設定不能直接對外
Proxy裡設定policy 那些ip可以上網,那些ip會被拒絕使用
此做法既免費又實用

kylen iT邦新手 4 級 ‧ 2013-03-27 08:04:23 檢舉

因為NB 不少 所以實在很想不要設定Proxy
會造成另一個問題 User在外面上網 又要取消proxy

yenchen iT邦新手 4 級 ‧ 2013-03-28 11:32:24 檢舉

Proxy可自行製作reg檔分公司外跟公司內,直接執行即可切換Proxy的設定,提供您參考

Proxy可自行製作reg檔分公司外跟公司內,直接執行即可切換Proxy的設定,提供您參考

4
simon0627
iT邦新手 2 級 ‧ 2013-03-25 09:02:57

1.如上說述採用Proxy的方式
2.不採用DHCP 採用DNS管制的方式

kylen iT邦新手 4 級 ‧ 2013-03-27 08:03:01 檢舉

DNS 做法 可以說明一下嗎?
謝謝

4
一尾
iT邦研究生 1 級 ‧ 2013-03-25 10:25:37

那30台手動輸入ip不要走dhcp
而那30個乾脆不要設定gw
這樣會不會比較簡單一點

yenchen iT邦新手 4 級 ‧ 2013-03-25 11:45:17 檢舉

要看有沒有跨網段,如果有,GW一定要設定,不然只能每台加Routing

4
poemnite
iT邦研究生 3 級 ‧ 2013-03-26 16:14:53

我們也有類似的環境
機台的部份因為防毒及一些法令的問題,
是採用封閉環境

但有透過一台報廢的 PC 架設 pfSense
在 pfSense 裡面設定可以存取內部網路的限制

其它 OA 的機台, 就很簡單的採用 DHCP
這樣除非你的 OA 設備 (包括 Server 及網路印表機) 有超過 253 台
否則應該不會有不夠用的問題

4
andy2013
iT邦新手 5 級 ‧ 2013-04-09 17:53:19
  1. OA人員全用DHCP派IP 網關為防火長的IP
    機台就用DHCP 派指定網段的IP 網關為其他IP 亦可一樣設防火長的IP~
    但要在防火長的設定,設定機台的網段不能出HTTP或HTTPS
    OA的人員應該是經防火長才能上網吧?

我要發表回答

立即登入回答