请教小公司的网络管理/配置

现在的网络是直接接在写字楼网络上的：

写字楼 → 我们的交换机 → 我们的 A/B/C 房间的路由器 (A/B/C 都有独立的 ip ）

我想对网络进行一定程度上的管理，

比如，block 掉 A 路由下面机器的 ssh 到外面的通信，屏蔽 B 路由下面机器与特定外网 ip 的通信，还有 mac 地址白名单等。

应该如何做呢？登进各个路由分别设置？

能不能在路由器的上一层（交换机？）一起管理？

adoal

335 天前

如果不是因为公司组织架构原因各房间必须有自己可控的路由器，那唯一正经的办法就是把路由做在上层。下面办公室有分网段的需求的话再切 VLAN 。不懂网络的人在办公网络里常做的蠢事之一就是毫无克制地乱用家用路由器。

ttgo

335 天前

@adoal 每个房间都有自己独立的外网 ip ，所以才这么装的网。
写字楼直接接上层路由的话，下面再接 ABC 路由吗? 这样还能不能让 ABC 有各自独立外围 ip ？

hyshuang2006

335 天前

#1 的 V 友已经给 OP 你提示了。去搜下 VLAN ，了解下概念吧。

建议你把网络拓扑图晒出来，简陋也好，反正清晰表明整个网络情况，设备类型。
很可能你提及的需求，设备根本不具备这个功能。

deorth

335 天前

招一个 it

ttgo

335 天前

@hyshuang2006
目前网络结构：写字楼网线接到我的交换机，从交换机再分别接到我的 3 个房间的路由器 (目前每个房间都有独立的公网 ip ）。
目前的设备只是“能用”，我就是想知道还需要买哪些设备啊。

gpt5

335 天前

@adoal 能详细讲讲么？

neroxps

334 天前

写字楼 → 我们的交换机之间加个防火墙。贵的深信服，便宜的 ikuai 。再便宜点软路由 x86

LLaMA2

334 天前

1.ABC 下面分别预估最多有多少联网设备
2.是否可以购置新设备，总预算有多少
3.网线是否可以自己改动

无非是上防火墙，换管理交换机，调整路由位置

datocp

334 天前

是什么原因，让一家小公司的 3 个房间需要 3 个独立 ip ，这个独立是指用于互联网访问的外网 ip ，还是内网用的 192.168.x.x?还是搞不定流量忽攸老板装了这么多宽带

我目前用的
erx 刷 openwrt 21.02.5 iptables 防火墙 /qos 下挂
huawei s5720s-li 多 vlan+acl 访问控制+poe 供电下接
ap+有线 lan+门禁

ttgo

334 天前

@ye4tar a/b 下面大概各有线无线加起来三四十个设备，c 下面小于 10 。可购买新设备，合理就可以，没预算上限。写字楼出来后的网线，可以改。

@neroxps @ye4tar 目前三个路由器上分别设置三个独立 ip 。写字楼网线与交换机之间引入一个防火墙的话，我有一个很初级的问题。。这个防火墙的 ip 是啥？怎么远程设置这个防火墙呢？

@datocp 刚好有公网 ip 资源，就整了 3 个😂 当时想的是远程办公连进来方便。你这个听起来太复杂了。。最好现成的软硬件解决方案。

adoal

334 天前

@ttgo
1. “每个房间都有自己独立的外网 ip ”是因为“我们需要每个房间都有自己独立的外网 ip ，这是公司治理的刚需”，还是说“按园区默认设置就是每个房间都有自己独立的外网 ip ，现在这样了要改动有阻力”，还是说“老子只想管控，不想改动”？
2. 即使是前者，技术上也是可以实现的。
3. 如果你愿意听我的，路由上移，有个可能的障碍是园区物业和 IT 是否允许你们把自己的设备放进弱电井，这个要沟通确认好。
4. 不论如何，企业（哪怕是只有几个工作组的小企业）级的网络管理比起家庭网络来还是要复杂很多的。其中有些常用的基本原理要懂，比如 VLAN 。
5. 我最不想说的……如果不想动拓扑，满足“老子只想管控，不想改动”的需求，那三个房间的路由器可以选择能刷 OpenWRT 的，然后有什么配置都刷到三个路由器上。这样做可能需要你写一些批处理的脚本。

adoal

334 天前

#4 说的对，招一个 IT

或者你自己成为 IT

adoal

334 天前

哦，看到了，“写字楼 → 我们的交换机”……那就没问题了，可以把自己的设备上弱电井。

adoal

334 天前

@ttgo “这个听起来太复杂了。。最好现成的软硬件解决方案。”……那有没有考虑过找网络设备代理商给你做方案？

adoal

334 天前

@ttgo “这个防火墙的 ip 是啥？怎么远程设置这个防火墙呢？”

防火墙可以做成透明模式，从接进来的设备和上游看就是一个交换机，防火墙从二层流量里剥出三层载荷后做转发过滤。这样防火墙在数据平面是没有 IP 地址的。

要远程管理的话，可以单独拉一根线，一头接在防火墙的管理端口，另一头接到你办公室的网段。给防火墙的管理端口配一个你办公室的 IP 地址就可以了。这个管理端口只负责控制平面，和数据平面没有关系。当然也可以在你电脑上加一块网卡，跟防火墙的管理端口组一个 /30 的小私网。

neroxps

334 天前

@ttgo #10 防火墙可以桥接部署，流量经过后，解包根据五元组去进行控制数据包是否放行。但还得看你这个公网 IP 是怎么分配的，如果是 PPPOE 。那就相当于你在运营商端那边操作这你肯定操作不了，所以只能把后面的路由拨号放到你这边来。然后你再通过不同网段，不同 vlan 策略路由之类的方案来给他们分配出口路由。

LLaMA2

334 天前

网络设备代理商给你做方案这个问题取决与你在什么地方，说白了，你能给很多钱吗？

要是在广东，这种事给 500-1000 服务费就有人乐于给你搞好，设备不算。
你要是在北京，找北京土著，北京土著不会为了这点钱，他们不屑的。

按你的情况，一台 3WAN 口的路由（代号 A ）+1 台超过 4 口管理型交换机（代号 B ）就能搞好

各个房间里原有的交换机也需要

A 设备的 3 个 WAN 口陪 3 个外网 IP ，其他一个口做 LAN 连接到管理交换机设备 B ，B 管理交换机配置好每个接口的 vlan ，分别接入 3 个房间，管理交换机的 vlan 配置好下一跳是那一个 WAN （ a ），

然后 ACL 全部做在 A 上

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/944696

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.