公司网络IP冲突、掉线和双线的设置

ylfx521

公司外网结构是juniper防火墙接cisco 3650交换机，二层是cisco 2960接入，整个外网通过防火墙Nat模式上网，外网机就100台左右，三层开启DHCP。但是最近由于员工手工改IP经常造成IP地址冲突，严重时造成IP地址池满了而有些同事因获得不了IP而无法上网，第二问题是外网最近都会掉线，有什么方法能查出原因么（抓包还是） 3、公司打算上双线，也就是再加一条外网线路（对了，上双线主要是保证总部外网稳定，二是保证与外地生产线的VPN的稳定，外地机构也 Juniper同型号设备，大家有什么好的建议或者方案么保证双线在一条down时自动切换么，最后有大概的配置，先谢谢了！ （忘说了，外网就划分了一个VLAN，关键再建VLAN能解决这个问题么）

jetfire012

1. 公司固定使用的VLAN上设定MAC和IP地址强制绑定，使得随意收工改IP的人员直接被BLOCK
2. 根据不同职能部门，设置不同VLAN
3. 增加一个或多个VLAN，不设置强制绑定，供流动办公人员使用
4. 设定一个访客用的VLAN，但限制其对内部网络资源的访问（文件服务器、公共资源等）
5. 外网经常掉线，需要分析抓到的数据包，建议搭建monitor
6. 关于外地机构与总部的VPN，可以使用VPN-LAN-TO-LAN方式
以下设置适用于H3C设备，仅供参考：
#总部：
ike peer [总部名称]
  exchange-mode aggressive
  pre-shared-key cipher [预设密码]
  remote-address [外地机构公网IP]
  local-address [总部公网IP]
  nat traversal
______________________________________________
外地机构设置类似。还需要设置ipsec的封装和传输策略，具体请查路由器的编码手册。

双线设置没有试过，可能会形成环路导致路由器内部死循环，建议谨慎使用。

moruxi

请问是怎么知道有人手工配置IP地址？

Rockyw

MAC地址绑定试过没有？

ylfx521

moruxi 发表于 2016-11-24 20:26
请问是怎么知道有人手工配置IP地址？

同事电脑弹出IP冲突的提示，就IP已被使用，我手动配置ip的提示

ylfx521

Rockyw 发表于 2016-11-24 21:59
MAC地址绑定试过没有？

额，我来之前所有客户端都做了二层端口和MAC的绑定，而且最多只许一个MAC，否则shutdown

ylfx521

moruxi 发表于 2016-11-24 20:26
请问是怎么知道有人手工配置IP地址？

下面客户机会有IP冲突的提示，和我们自己修改静态IP时（此IP）已被占用的提示一样

ylfx521

Rockyw 发表于 2016-11-24 21:59
MAC地址绑定试过没有？

我来之前，这边就做二层端口绑定MAC，而且设置MAX=1，违规就shutdown!关键是同事改IP和MAC没关系呀，亲

moruxi

可以试开启DHCP spooning 和开启端口安全性同时使用 那样只有被dhcp分配的地址才能连接网络 不然端口就关闭。

moruxi

ylfx521 发表于 2016-11-25 09:57
我来之前，这边就做二层端口绑定MAC，而且设置MAX=1，违规就shutdown!关键是同事改IP和MAC没关系呀，亲

可以试试开启DHCP spooning 和开启端口安全性同时使用 那样只有被dhcp分配的地址才能连接网络 不然端口就关闭。

ylfx521

moruxi 发表于 2016-11-25 10:09
可以试试开启DHCP spooning 和开启端口安全性同时使用 那样只有被dhcp分配的地址才能连接网络 不然端口就 ...

我问一个老师也说dhcp spooning ,我也准备使用这个方式，网络结构我也说了，亲能写下大概的配置么，谢谢！

Rockyw

ylfx521 发表于 2016-11-25 09:57
我来之前，这边就做二层端口绑定MAC，而且设置MAX=1，违规就shutdown!关键是同事改IP和MAC没关系呀，亲

IP与MAC绑定

ylfx521

Rockyw 发表于 2016-11-25 10:53
IP与MAC绑定

一台台绑定工作量会很大，亲，你是说的这种方式么

Rockyw

ylfx521 发表于 2016-11-25 10:56
一台台绑定工作量会很大，亲，你是说的这种方式么

应该有更智能的方法的吧，你看看你的设备支不支持

moruxi

楼上使用的静态绑定的 我说的是动态绑定的