Hello all,
這是小弟第一次在ithome發問,還不太熟悉這邊社群的生態~
因為我本身並不是專職IT相關職務,還有很多知識是需要學習的
--
大概簡略的說明一下公司情境 & 問題狀況
內部有兩條獨立網路,且SW沒有互相連接的線路(如附件所示)
因工作人員反應,內部LAN常不明原因IP相衝而無法連線Server,
初期先透過Advanced IP Scanner掃一下內外LAN的設備,
發現了外部LAN區然掃到內部LAN的設備
檢查了內部LAN的設備Win網路設定,也看到使用跟外部LAN同一網段的IP 192.168.1.x
(情境說明結束)
--
目前檢修後的處理方向有兩個
不曉得社群其他朋友,會有怎樣的處理方式?
如果網路拓樸圖沒畫錯的話,左(內)右(外)是不可能相通的
您的問題有幾個地方可以偵錯
1.實際上是否有錯誤的實體線路橋接內外網工作區的SWITCH,內網工作區不用Print?
2.內網工作區的電腦IP閘道你是設在哪一台?給不給出外網?
3.D-Link DIR-809的無線網路有管控?內部工作區是否有人用筆電取得192.168.1.X?
沒有請IT的公司又需要IT支援,說真的一個IT比一個總務有用多了
我不是很喜歡回答這種問題
因為邦友的無私導致我們IT在各行各業的生存空間逐漸被壓縮了
不好意思 稍微整理一下
所以你遇到的狀況是:內部LAN常不明原因IP相衝而無法連線Server
你問的問題是:有沒有更加良好的改善方式
以上有誤煩請告知
建議要設法管制未經許可設備不能任意接入有線/無線網路.
有線部分,
你目前的交換機都是沒有管理功能的機型,不管是要查或是要管制有線的接入設備.都沒辦法用網路設備從第一個接入點下手管制.
不換設備,就要看是否可強制用實體安全的方式補強.桌機/印表機等固定OA設備,一律上RJ45 Security Lock,避免使用者私接設備,造成內外網跨接問題. 會議室只能用筆電走無線.
無線部分,
需要換有支援802.1X驗證功能的無線設備.
但做這些事還是需要專業的人來做,公司不養人就外包給SI來執行.
我是很想推坑網管型設備,不過現有的實體環境不允許(無獨立空間/無空調/安裝在開放的辦公空間)
當然~除了硬體的坑,還有其他沒在文內的問題也要補
所以不換switch就是用實體安全手法管制.
https://www.youtube.com/watch?v=TeLVFRc7WA8
加網路線硬體鎖,一條網路線兩端共要兩個頭.所以鎖一台電腦成本大概 NTD300.
24 ports x 300=7200
所以可以和換網管switch的花費做一下比較.
zyman2008
lol
這幾天也有google ad也有餵我這產品
目前看起來,我覺得以資安來講比較重大的問題是
貴公司沒防火牆,如果企業有重大的資料存取在server 2008上
遇上攻擊的話,資料保護的問題應該蠻大的
1.把外部DHCP網段改掉~就不怕接錯!改DHCP server就行~最快!
2.內部交換器鎖port mac~這樣就算接錯 網路也不會通~這種安全但設定頗麻煩!
3.如果真的接錯線~ 你把每個port都貼不同顏色貼紙(內外兩種顏色)~這種是不需設定~缺點麻煩!
我猜,有人自己帶IP分享器並且錯接在分享器的LAN孔上,造成分享器上的DHCP亂配發IP造成與靜態IP衝突,並非內外網交互污染這種事啦
看起來是靜態IP與動態IP分配重疊的ISSUE,如果您自身沒有具備這方面的技術,建議找廠商或是有MIS資歷的朋友來協助處理,省的越搞越亂發散出更多不必要的ISSUE來。
其實貴司所謂的內部不上網的電腦與外部上網的電腦都是同一個網段,一邊有DHCP,一邊沒有DHCP,沒有DHCP端的SWITCH又同時接上分享器,然而兩台分享器接在CHT小烏龜的HUB port上,這種情況下是極有可能發生您所描述的行為,因為內部電腦與外部電腦的網段IP分配只要有重疊當然有機會發生IP重複分配的機率。
如果貴司目前的應用管理需求(包含SERVER與外網使用條件等)不說明清楚,其實邦友們也很難給出合適的建議,對我來說本題的敘述如果是在描述內外部電腦IP重複使用,那是有絕對有很大的機率,如果想在不投入太多資本支出的情況下避免IP重複使用的機率,那就是回文中提的內外部電腦靜態IP與動態IP規劃在兩個LAN(其實應該算是同一個LAN)應避免重疊,至於貴司是否有其他需求或是連線使用限制,就有待貴司提供進一步分享信息(兩台分享器接線至CHT小烏龜實情,上網行為管制與SERVER連線需求條件...等),才能再深入討論調整檢修的相關建議。
恭喜您的問題獲得了圓滿的解答,既然獲得了邦友們的協助,也期望在未來您也能在自己的能力範圍內,貢獻自己的熱心來幫助其他需要協助的邦友們。
你得先查清楚是不是有人把兩個網路串起來了...
不然就你的架構圖左右兩邊是不可能相通的...