iT邦幫忙

0

網段問題

各位前輩詢問一下:
最近公司買了一台HP5510的L3 switch要切網段
原本公司網路架構由防火牆設定一個網段,dhcp派發,ip綁mac方式來作業
si公司來做設定改由hp L3 swutch切2個網段由交換器來派發ip和綁mac
問題來了:
廠商設定完後告知,由於router設在網段1的其中一個ip上所以網段2就算有綁mac
只要user自己隨便設一個固定ip他也可以偽裝成router的ip出去外部網路
請問前輩這樣是正常得嗎?有沒有其他解法?
https://ithelp.ithome.com.tw/upload/images/20201113/20105399IKbIXT63Qg.png
(這是原本要設定的架構)

runan5678 iT邦研究生 5 級 ‧ 2020-11-13 10:44:50 檢舉
arp binding / ip-mac binding,看看新購入設備有沒有支援,指令之類的
harrytsai iT邦新手 3 級 ‧ 2020-11-13 13:51:46 檢舉
UserAD鎖權限,沒有AD在去考慮鎖MAC

2 個回答

0
補覺鳴詩
iT邦研究生 1 級 ‧ 2020-11-13 10:19:03
最佳解答

應該是說
DHCP 綁 MAC
是讓派出去的 IP 會固定在同個 MAC 上

但真的要上網
的確自己設固定 IP 也是可以的

如果希望阻擋非允許的 MAC
你應該要去 switch 上設定對應的規則

clowgpo iT邦新手 5 級 ‧ 2020-11-13 10:23:39 檢舉

規則部分列如?可否給個方向,感謝

補覺鳴詩 iT邦研究生 1 級 ‧ 2020-11-13 10:39:03 檢舉
clowgpo iT邦新手 5 級 ‧ 2020-11-13 11:06:58 檢舉

感謝您,我研究看看

2
mytiny
iT邦大師 1 級 ‧ 2020-11-13 11:28:30

這個SI的網路架構規劃方式太傳統
在下感覺這樣切網段並沒有意義
這樣兩個網段之間根本就是互通,一點資安防護都沒有
所以路由應該做在防火牆
這樣跨網段之間就可以由防火牆做資安防護
理論上設備的DHCP發放還是防火牆
至於MAC的管制可以讓防火牆做限制
怎樣都比用交換器強
傳統的交換器沒有什麼資安功能

看更多先前的回應...收起先前的回應...
clowgpo iT邦新手 5 級 ‧ 2020-11-13 11:59:53 檢舉

請教一下,這樣做的話對於防火牆部分負擔不會很重嗎?
另外在不同網段的電腦做資料傳輸是否有影響(列如變慢...)

mytiny iT邦大師 1 級 ‧ 2020-11-13 12:11:18 檢舉

防火牆負擔重不重要看贵公司網路"資料流"情況
但是,網路架構確實就應該是這樣的
不然電腦數量沒幾百台何必要切網段呢?

從資安的角度來看
防護早就不是外面威脅為重點
資安事件多半都是內部攻擊主機為主
例如勒索綁架病毒多半都是內網橫向感染而災情慘重
至於資料傳輸影響就要看FW
樓主那台NSG300看來還好,有接近GIGA的防護等級

clowgpo iT邦新手 5 級 ‧ 2020-11-13 13:00:25 檢舉

好的,我評估看看
感謝解答
另外一個延生問題,用前輩的架構下去做的話是否只需用
L2 switch而不需要用到L3等級的?

mytiny iT邦大師 1 級 ‧ 2020-11-13 16:33:03 檢舉

沒錯!因為路由其實都在防火牆
L2交換器就可以
但是一分價格一分貨
通常L3的交換器flash & DRAM 會比較大
這會影響網路交換效能

我要發表回答

立即登入回答