各位前輩詢問一下:
最近公司買了一台HP5510的L3 switch要切網段
原本公司網路架構由防火牆設定一個網段,dhcp派發,ip綁mac方式來作業
si公司來做設定改由hp L3 swutch切2個網段由交換器來派發ip和綁mac
問題來了:
廠商設定完後告知,由於router設在網段1的其中一個ip上所以網段2就算有綁mac
只要user自己隨便設一個固定ip他也可以偽裝成router的ip出去外部網路
請問前輩這樣是正常得嗎?有沒有其他解法?
(這是原本要設定的架構)
已邀請的邦友 {{ invite_list.length }}/5
應該是說
DHCP 綁 MAC
是讓派出去的 IP 會固定在同個 MAC 上
但真的要上網
的確自己設固定 IP 也是可以的
如果希望阻擋非允許的 MAC
你應該要去 switch 上設定對應的規則
這個SI的網路架構規劃方式太傳統
在下感覺這樣切網段並沒有意義
這樣兩個網段之間根本就是互通,一點資安防護都沒有
所以路由應該做在防火牆
這樣跨網段之間就可以由防火牆做資安防護
理論上設備的DHCP發放還是防火牆
至於MAC的管制可以讓防火牆做限制
怎樣都比用交換器強
傳統的交換器沒有什麼資安功能
iThome鐵人賽
看影片追技術