网络改造求教！！（详细）

cvip

一、现状：
采用ros2.9.27做nat，客户端固定ip，ROS上ip绑定mac，未vlan，所有交换机为简单的二层交换机，目前注册ip近２００个，平时在线一般１００多台。
二、问题：
建网初期，一般１－２个月网络会断线，重启ros既可。目前不定期网络断线，有时为２０来天，有时１天几次，问题为客户端与ros不能通讯，获取不到ros的mac，客户端显示ros的mac为６个００，其中有一楼层交换机通讯不正常，把该交换机从连ros的交换机拨下，全网恢复正常；再把该楼层交换机重启，该楼层网络也正常。
三可能的原因：
１、arp攻击，但在本人机器上装有３６０，开启了防arp功能，绑定了本机和网关的mac，问题发生时，３６０未报警。曾经发生过有人把客户端ip设为网关ip，全网断，但３６０提示发生arp攻击，说明３６０arp报警功能是可用的，绝大部分故障发生时３６０未提示arp攻击，因此，不能断定问题原因为arp攻击。
２、网络回路。因不少办公室连了hub，不排除hub连接时存在回路，但难检测，也没有清查。
３、楼层交换机故障。
４、病毒。
四、改造思路
把所有楼层交换机、ros汇聚交换机改为带端口隔离的楼道交换机，具体型号拟为TP-LINK TL-SF1024L ，仍采用固定ip+在ros实行ip绑定mac的办法，实现隔离病毒，不因客户端原因导致全网瘫痪。
五、请大家帮忙分析
１、这种问题的原因是什么？
２、有什么好的解造方案。因是办公网，不方便做pppoe。暂不考虑上较高端的三层交换机。
３、端口隔离的楼道交换机能否实现防arp，特别是如果有一客户中了arp，并且伪造网关mac，是否会造成全网瘫痪？
４、因为接入层和汇聚层都是用的带端口隔离的交换机，应当是基于端口的vlan吧，客户mac能否穿透交换机到达ros，ros机能否得到客户机器的mac，从而实现ip+mac绑定？

47771885

那就买个2手三层吧 便宜很

cvip

谢谢版主，能推荐个三层吗？

47771885

cvip 发表于 2010-12-1 17:27

                               
登录/注册后可看大图

谢谢版主，能推荐个三层吗？

啊啊啊郁闷死了老点错
市面上不错的有hp 之类的我用着。。。
嘿嘿 全新的有 极进。。。便宜 淘宝一下很多

mching

其实不需要三层，二层用可管理的交换机，带IP+mac+端口绑定，好一点的再加上绑定VLAN，基本上就不会出现大面积断网的情况了~

WGHBOY

最好开了stp

cvip

哪个用过楼道交换机吗？用这个还可以在ros上做ip+mac绑定吗？
划vlan肯定不能在ros上做ip+mac绑定了。
做ip+mac绑定主要是控制可以入网的客户机，如果不用这种方式，还有什么好的办法吗？

WGHBOY

划vlan跟你绑定ip没关系,又不是交换机端口绑定

cvip

谢谢各位回复，本人也认为arp可能性不太大，换了个楼层交换机，装了个antiarp，又断网一次，没有报警，里面有10来个ip隔段时间就进行ip扫描。