拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
内网安全部署之为什么需要安全部署
分析:为什么需要安全部署呢,因为在很多时候,外网到内网的***是很难实现的,而大部分***往往出现在内网里面。
1、内网随意定义地址,容易造成地址冲突。
2、可能无意接入其他设备,比如DHCP服务器,造成内网获取地址不正常
3、用户私接交换机、无线路由器等设备,造成网络环路、或影响网络性能。
4、外来人员电脑接入容易导致ARP、病毒等***。
5、二层技术的问题,导致网络震荡。
解决技术
1、之前已经部署了DHCP服务器,所以这里需要实现的是,接入用户必须通过DHCP获取到地址,才能访问内部网络与外网。【特殊需要静态IP的,可以用技术进行手动定义,该功能需要部署DHCP Snooping后才能实现】
2、防止其他“未授权”的DHCP服务存在,部署DHCP Snooping技术,这样保证用户获取到的地址都是正确与“合法”的。【这个合法主要是获取到自己规划里面的】。
3、通过DHCP Snooping技术,部署DAI、ip source gued技术,可以有效的防止ARP、病毒等***,同时也必须通过DHCP地址获取到的用户,才能访问公司外网与外网。
4、部署二层隔离技术【端口隔离】,PC之间不能互访,PC只能访问服务器与打印机、外网等,这样有效的防止了,当一个PC如果中毒或者装了恶意的软件,不会影响到其他用户。
5、部署MAC地址认证或者dot1x等技术实现对用户私接交换机、无线路由器等设备进行控制。
6、部署STP等安全技术,防止恶意的***。
本文首发于公众号:网络之路博客