风险管理,事前预防大于事后消除,让风险问题没有机会出现,是高级手法
——钢铁网络炼成记
IP地址冲突,常见网络问题之一。
虽然睿易App可以及时发出告警通知,虽然AI排障可以远程、一键定位故障点并给出处理建议,虽然即使没有云端我们也能快速解决它。然而,隔三岔五演你一下却极是闹心的。干脆不让它发生,如何?
AI排障
做好以下三件事,能够有效预防IP地址冲突的发生。
1,约束IP接入(静态IP部署、IP MAC绑定)
第1个思路最直接。假设冲突IP非法,我们就拒绝它接入好了。
首先,内部终端、网络设备统一手动静态IP接入。同时,不要忘了配置DHCP排除,也就是不再为其他终端设备分配这些已记名IP。
然后,使用ARP静态绑定,即IP MAC绑定功能。将终端的IP地址和MAC地址*绑定,相当于做到了一IP一终端,绑定关系正确才能联网。IP对,MAC不对,不行,反之,也不行。
*对于使用随机MAC的终端,目前尚无好的解决办法,需要员工切换到固定的设备MAC
睿易云平台提供批量绑定功能,方便大型网络操作。
这里有两个问题。
第一,临时的,如访客终端临时要上网,自动获取IP受不受影响?不受影响,地址池有空间就能上网,不必担心冲突。
第二,如果想完全禁止掉自动获取IP入网,怎么办?一键开启ARP防护就好了,将所有未进行IP MAC绑定的终端视为非法终端,阻断它们入网。
约束IP接入是笨方法,显然,也是扎实的好方法。我抛个概念大家品一品:约束,即保护。
锐捷睿易EG/NBR6系列网关、NBS5/6/7系列三层交换机和NBF5/6/7系列易光光网融合交换机均支持IP MAC绑定及其衍生功能ARP防护。
2,规范用网,做到一禁止一不要(DHCP Snooping+IP Source Guard)
百密一疏,所以第2个工作是防范员工瞎搞,不规范用网。我们要要求员工做到一禁止一不要。
一禁止,禁止私接路由器,建议所有网管型交换机开启DHCP Snooping防私接功能。屏蔽非法DHCP Server,切断非法IP的产生。
锐捷睿易ES2、NBS3/5/6/7、NBF5/6/7、NIS系列网管型交换机均支持DHCP Snooping功能。
一不要,不要私自修改电脑的网络设置,建议配合开启IP Source Guard功能,强化过滤。
锐捷睿易NBS5/6/7系列三层交换机和NBF5/6/7系列易光光网融合交换机均支持IP Source Guard功能。
3,细划VLAN,隔离、缩小冲突域
众所周知,VLAN的作用是隔离广播域,提高网络性能和网络安全。事实上,隔离了广播域,等于隔离、缩小了冲突域,提高网络抵御风险的能力。
细致地规划VLAN根治不了IP地址冲突,却能将冲突封堵在一定范围内不外泄,降低冲突影响。比如,访客电脑再冲突,冲不到办公VLAN财务VLAN;摄像头再多再冲突,冲不出自己的监控VLAN。
可见,“VLAN配好万事大吉”并非空穴来风,基础很重要。
对于防范IP地址冲突,你还有哪些经验高招,欢迎留言分享。
发表回复