在一个1000多用户的网络里面。。我需要设置那些规则！！！

xiayall

我们公司的内网有1000多用户。。。平时ARP攻击非常严重。。。完全是我头痛。。
才接触OPENBSD。。我还不太清楚需要对我们的内网设置一些什么规则。



需要有经验的朋友。。给我提几点现在网络需要设置的规则！！

谢谢

剑心通明

在交换机上绑定ip和网关的mac可以搞定arp

o9000

1000多，交换机上绑定，有些交换机能在端口设置之允许哪几个ip外出访问。
另外vlan是必须划分的。不同vlan除必要外禁止访问。

o9000

防病毒软件。

o9000

arp病毒网关是管不了的。
另外我很好奇，1000多台机器，网络拓扑是怎么样的？如果没有管理的话，bt xunlei很快就把出口带宽给占满了。。

lsstarboy

1000多的用户不会直接接到你的网关上吧。

没有VLAN交换机，最起码也要舍得花点钱，多买上几个旧PC和好的网卡，分开做网关才行。那样arp再厉害，也就是在一个小范围而已。

我们单位采用arp绑定，所有的客户机都执行绑定，写在windows的autoexec.bat里就行。不绑定的，一旦出的arp病毒就公示。如果再想进一步，做个pppoe拨号，arp就无效了。

wincat

最有效的办法还是楼上说的做个pppoe服务器，
这么多用户，肯定是要用vlan

tibet07

上面说的都是可行的办法。
但我是把网重新规划，彻底搞了一遍，vlan规划好。若有人报告一个网段同时有几个人上不了网就
show arp | include 192.168.X找到mac
再show mac-address-table "该mac“，找到端口，
shutdown"该端口“，通过布线资料从端口查到信息点，找到那人。
打电话要他处理，
clear arp-cache清arp缓存表，大家恢复上网。

用户一般也不是恶意的，也会进步，通过相互磨合，arp很少了。
----------
arp病毒很少了。

[ 本帖最后由 tibet07 于 2008-8-4 22:50 编辑 ]

tibet07

原帖由 xiayall 于 2008-7-2 12:30 发表
我们公司的内网有1000多用户。。。平时ARP攻击非常严重。。。完全是我头痛。。
才接触OPENBSD。。我还不太清楚需要对我们的内网设置一些什么规则。



需要有经验的朋友。。给我提几点现在网络需要设置的规 ...

OPENBSD用在出口比较好，用PF对各种应用分优先级，进行流量管理。没流量控制，1000人上网带宽易耗尽。
论坛上有本“pf包过滤防火墙“的中文资料，再就是pf上有个？/share目录下有几个例子，
反正是配成的桥，vi /etc/pf.conf，pfctl -e，看效果，不行？ pfctl -d，直接真环境上去试。