互联网协议并不是我的强项,但最近有人让我在新工作场所设置网络。我连接了四个路由器,并让它们连接到同一个网络。
我的网络中有两个三个主要子网:
- 172.16.0.xxx(用于机房服务器的无限制网络访问)
- 172.16.208.xxx(用于所有其他客户端并强制所有流量通过代理服务器)
- 172.16.218.xxx(由访客使用,将重定向到网络登录页面以提示用户登录)
网络运行正常,我还没有发现任何方法可以让流量绕过 172.16.208.xxx 子网中的代理服务器,另外,我已经确保 208.xxx 和 218.xxx 子网中没有两个客户端可以相互通信。但是,客户端是否可以手动更改其 PC 上的设置,以便为他们分配 172.16.0.xxx 的 IP 并能够不受限制地浏览互联网?如果可以,该怎么做?
编辑:对于那些想知道网络如何配置的人,
每个会议室都放置了四台路由器,每台路由器都有一条长长的 LAN 线,连接到中央 8 端口以太网集线器。每台路由器都配置为广播 2 个 SSID:“Office_Main”“Office_Guest”,每个 SSID 分别配置为分发“208.xxx”IP 和“218.xxx”IP(所有路由器也都使用花哨的 wifi 功能进行链接)。所有客户端都隔离在 wifi 接入点中,除代理服务器外,禁止访问互联网。服务器直接连接到 LAN,可通过网络不受限制地进行访问。
答案1
看来你走对了路,每个分区都有一个单独的路由器。这将阻止用户跳入不受限制的网络,因为如果他们更改了 IP 号码,他们将无法获得任何流量,除非他们也成为 172.16.0.* 广播域的一部分。
不过,正如人们所说,狡猾的用户可能会绕过这些分区,从而不受限制地上网。 172.16.0.* 网络上可能安装了软件,从而意外打开了该网络,或者,为了满足业务需求,可能需要故意以有限的方式打开该网络... 因此,我建议您设置流量监控设施,例如带宽/接口使用情况图表(存在无数种;MRTG 虽老旧但很有用),并知道如何使用设备的日志记录和数据包捕获设施来检查流量特征,并了解平均流量是什么样的,以便将其与可能异常的流量进行比较。
此外,员工是否知道他们不能在工作时使用不受限制的互联网?是否有人力资源政策禁止网络“探索”?你的老板是否同意这些限制?如果你发现有人以未经授权的方式使用网络,你打算如何处理?
诸如此类的网络安全问题并不是“是否”的问题,而是“何时”的问题,并且对可能出现的意外或有意的入侵做好准备,会使事件的严重性降低很多。