乌市西山某工厂(系统集成)-办公设备

乌市西山某工厂(系统集成)

发布时间: 2020-08-14

公司整体IT项目包括机房设备搭建以及监控门禁建设。
公司客户端情况较为复杂，部分电脑为私人电脑，将来会导致无法管理本地用户权限。IP分配方式有固定IP有动态IP，所有客户端要求使用外网。有较多手机客户端要求加入局域网联入外网，增加了现有无线网络的负担，造成部分无法连接无线网络的情况。部分座位网络和语音点端口缺失/损坏/无法查找。机房标识不清，插座太少。
网络规划
拓扑图

解决方案
1   AP布置：
3楼布置4台企业级吸顶AP，解决接入客户端过多，出现网络链接不上或着有链接无速度等问题。2楼布置2台企业级吸顶AP，分别为财务办公室和各独立办公室提供无线网络链接。现有无线路由则设置成不同网段的无线接入，为员工手机和客人笔记本接入服务。如网络拓扑图所示，新增AP需增加POE供电设备和无线控制器，分别为设备供电及管理。
1.1 AP设置：
新增AP统一由无线控制器管理，统一SSID，手动设置信道，统一密码管理减少手机接入。利用无线控制器定时重启AP，保障无线网络高效率运行。手工设置AP信道，减少相邻信道干扰。
1.2性能效果测试
工程实施完毕后，使用手机APP软件“WIFI分析仪”或笔记本无线信号测试软件“WirelessMon”等常用测试软件测试覆盖范围内各点位信号强度。
2   交换机及路由设置
2.1检测
arp欺骗检测：确认路由mac地址，客户端通过arp –a 查看 IP MAC是否对应网关。
环路检测：查看是否网内有环路存在，修复存在环路的端口。修复局域网网速缓慢问题。
广播风暴检测：抓包，分析是否有蠕虫病毒在发送数据包。逐级物理排查，快速锁定有问题区域。再分析区域内电脑线路设备等是否存在故障。
2.2   路由器设置
2.2.1设置前准备
DHCP规划

手机用无线路由规划
与局域网不同网段，DHCP，核心路由端绑定无线路由MAC IP，限速。减少员工手机接入电脑用AP，防止出现客户端连接不上。同时管控局域网AP接入密码。
2.2.2设置路由器
由于有私有客户端接入，无法布置客户端ARP静态绑定，故只在核心路由设置ARP绑定，用以减少ARP攻击的风险。
防BT（P2P）、迅雷过多占用带宽或禁用业务无关网络软件以及路由攻击、异常流量。 IP限制流量，通用配置上传50-100K 下载50-150K，满足一般收发邮件，网页浏览等常用操作。关闭占用带宽软件的端口，使其链接失效。数据包过滤，建立完的善包过滤规则，能有效的保护网络。限制每个IP的连接数。
允许路由器在发现ARP攻击时发送GARP包，确保PC ARP表中网关及其MAC地址的对应关系是正确的。
设定绑定列表。手动绑定文件服务器，局域网主机等。这在一些外网中可能存在ARP欺骗的网络中，我们可以通过绑定前端网关地址防止前端ARP欺骗。
小结：
现有情况不适用单纯的静态IP分配，动态与静态结合则更符合现在的实际情况。在IP分配上尽量做到有规律，有控制。现在智能手机是上网带宽消耗大户，不但消耗带宽更挤占无线资源，造成无线网络不稳定，建议管控，或布置单独的手机用无线路由。AP接入密码管控则是为了不让手机或私有无线设备接入AP，以防止造成接入点故障。在无法管控客户端的情况下，尽量做好网络设备端的防护，防止和降低设备因为病毒攻击等造成的故障。
3 其他
开启路由WEB管理功能，方便远程维护，减少维护响应时间。
注意绑定AP的IP地址，减少IP冲突。
通过绑定，防止PC通过有线+无线方式连入，减少IP地址浪费。
限制每个接口连接数，限制外网流量。
以下为部分现场工程完工图。

返回列表

上一篇：CentOS操作系统下删除和重命名文件夹下一篇：linux配置磁盘阵列raid 0、raid1 、raid5 、raid6 、raid10