各位大大好:
本單位有五個網段,全部都在同一個vlan,所以只要router發廣播封包(數量不小),每個樓層每個port switch都會收到,因為主router到各樓層的uplink會設定廣播風暴的機制(10000/s)(廠商是說不用設定>"<),每次偵測到有超過量,這樣是否量有點大?
1.想請問廣播封包除了arp外還有甚麼類型,我試著用wireshar蒐集有時候
mdns的封包量也很大,不過我只要擋mdns來源封包,我就無法遠端電腦?
這有關係嗎?
2.有想過請廠商切vlan但是各樓層的設備ip可能都要重新設置,若將各樓層uplink port在plolicy設定router發出網段arp只有某些網段可以發出去,其他不行,這樣可以阻絕該樓層沒有此網段,又收的到arp的形情。
3.買SDN設備,還沒做功課,公司相關單位目前也很少有這設備
謝謝
已邀請的邦友 {{ invite_list.length }}/5
r大好:如第二個設法,若每個樓層都有5個網段都混這用這樣還可以設置嗎?(可能我的問題沒說的很清楚)
1.core switch 的四個主要分支(四個樓層)設定Port-base VLAN,而分支下的switch則不用再設定,那如果向下的設備移動到其他樓層的話,會不會有問題呢? 謝謝
若是這樣就是規劃問題了, 當初決定要混合網段的時候, 就應該用 Tag-based VLAN 切開給各自的網段, 那麼今天你就不用面對這些問題....
這是前人規劃留下的技術債, 很不幸你繼承到這筆債務, 如果要解決, 就是你負責還掉: 只好把當初沒有設定上去的 VLAN 全部都切割設定好....
當然你也可以不要還, 就留給下一任去繼承; 如果你可以容忍現況繼續持續的話...
r大好:
1.Port-base VLAN,如果設備搬到別的樓層,又剛好該樓層沒有原網段的設置是否就要更換ip跟網段,因為辦公室常換來換去..
2.有廠商建議可以用軟體式的方法,讓每樓層的網段可以混著用,但封包廣播只會針對某網段散怖,好像叫SDN ?
謝謝
3.另外就是再各樓層的switch設置(分支core switch)Port-base VLAN,主要的core switch就不設置..這是我想法
謝謝 不吝指教
區網中切VLAN主要用途之一本就是抑制廣播封包
另外其中一個就是管理用途
但就是與資安無關
樓主考連到VLAN或網段混用的情況
可以考慮放棄傳統switch跟vlan管理的方式
改用新式內網管理兼具資安的方法
不用指令設定,只需圖形點選
適合異動頻繁且Vlan混雜的情況
FortiSwitch Demo
也可以參考在下回應的這一篇
關於fortilink該怎麼正確使用?
iThome鐵人賽
看影片追技術