网络改造求教!!(详细)
一、现状:采用ros2.9.27做nat,客户端固定ip,ros上ip绑定mac,未vlan,所有交换机为简单的二层交换机,目前注册ip近200个,平时在线一般100多台。
二、问题:
建网初期,一般1-2个月网络会断线,重启ros既可。目前不定期网络断线,有时为20来天,有时1天几次,问题为客户端与ros不能通讯,获取不到ros的mac,客户端显示ros的mac为6个00,其中有一楼层交换机通讯不正常,把该交换机从连ros的交换机拨下,全网恢复正常;再把该楼层交换机重启,该楼层网络也正常。
三可能的原因:
1、arp攻击,但在本人机器上装有360,开启了防arp功能,绑定了本机和网关的mac,问题发生时,360未报警。曾经发生过有人把客户端ip设为网关ip,全网断,但360提示发生arp攻击,说明360arp报警功能是可用的,绝大部分故障发生时360未提示arp攻击,因此,不能断定问题原因为arp攻击。
2、网络回路。因不少办公室连了hub,不排除hub连接时存在回路,但难检测,也没有清查。
3、楼层交换机故障。
4、病毒。
四、改造思路
把所有楼层交换机、ros汇聚交换机改为带端口隔离的楼道交换机,具体型号拟为TP-LINK TL-SF1024L ,仍采用固定ip+在ros实行ip绑定mac的办法,实现隔离病毒,不因客户端原因导致全网瘫痪。
五、请大家帮忙分析
1、这种问题的原因是什么?
2、有什么好的解造方案。因是办公网,不方便做pppoe。暂不考虑上较高端的三层交换机。
3、端口隔离的楼道交换机能否实现防arp,特别是如果有一客户中了arp,并且伪造网关mac,是否会造成全网瘫痪?
4、因为接入层和汇聚层都是用的带端口隔离的交换机,应当是基于端口的vlan吧,客户mac能否穿透交换机到达ros,ros机能否得到客户机器的mac,从而实现ip+mac绑定?
那就买个2手三层吧 便宜很 本帖最后由 47771885 于 2010-12-1 18:11 编辑
谢谢版主,能推荐个三层吗?
cvip 发表于 2010-12-1 17:27 static/image/common/back.gif
谢谢版主,能推荐个三层吗?
啊啊啊郁闷死了老点错
市面上不错的有hp 之类的我用着。。。
嘿嘿 全新的有 极进。。。便宜 淘宝一下很多 其实不需要三层,二层用可管理的交换机,带IP+mac+端口绑定,好一点的再加上绑定VLAN,基本上就不会出现大面积断网的情况了~ 最好开了stp 哪个用过楼道交换机吗?用这个还可以在ros上做ip+mac绑定吗?
划vlan肯定不能在ros上做ip+mac绑定了。
做ip+mac绑定主要是控制可以入网的客户机,如果不用这种方式,还有什么好的办法吗? 划vlan跟你绑定ip没关系,又不是交换机端口绑定 谢谢各位回复,本人也认为arp可能性不太大,换了个楼层交换机,装了个antiarp,又断网一次,没有报警,里面有10来个ip隔段时间就进行ip扫描。
页:
[1]