感觉被面试官忽悠瘸了

raimouse · 发表于 2023-12-7 14:40

本帖最后由 raimouse 于 2023-12-7 15:55 编辑

今天出去面试网管，对面IT总监问我“我们这有两个网段需要互相隔离，但是又有文件共享的需求，你设计个技术方案我看看”
我  “这不简单么，有现成的方案啊，搞一个第三方网段做共享服务器，几个网段之间做mux vlan，primary vlan是共享服务器不就行了”
面试官  “不行，不能用软件方案，这样万一配错问题很大。这2个网络物理上隔离”
我  “那做**连到共享服务器算了，做一下权限划分就是”
面试官  “**不是说不行，走公网**速度太慢了，也不稳定”
我摊手 “那我实在不会了，我太菜了”
面试官叹了口气  “你懂底层转发原理么？知道什么是网桥么”
我  “网桥倒是懂，哪来互联两个不同网段的。你这么问我底层转发，我开始不懂了”
面试官  “那端口映射懂么？”
我开始质疑自己的技术水平  “算懂吧，防火墙上做映射把内网服务器暴露到公网很常见啊”
面试官  “这题得用端口映射来做，是软路由才有的功能，估计你只用过硬路由不懂吧。叫虚拟主机，通过端口映射转发数据。咋们这两个网段机房都是同一个，做虚拟主机也就暴露一个点，出事也不怕”
然后balabala说了一大串关于我技术面不够广，当时我脑子完全没转过来，嗯嗯嗯就完事了
现在回头一想感觉不对劲啊，同一个机房物理隔离，两边各种在出口网关做端口映射，数据不还是得走公网么，稳定性和速度也没比**高多少吧，都是靠上行宽带
甚至还少了**的加密，这就只剩文件服务器协议自身的加密了吧
再说端口映射不就是NAT，不说商业路由器了，现在家用级不都很多带这个功能，也不是软路由专有吧

所谓虚拟主机在企业级防火墙都有类似的虚拟系统功能，把物理设备虚拟成多个用于隔离管控，都是成熟案例满天飞了

V--P---N各种屏蔽啊

下午又翻了一下资料，mux vlan的概念记错了，这个使用场景是同一个网段内互相隔离，sub vlan不能起3层口

一开始我的确答错了。

sheshiro · 发表于 2023-12-7 14:41

所以这就是考官德不配位，也说明了人家为啥是人事

raimouse · 发表于 2023-12-7 14:45

sheshiro 发表于 2023-12-7 14:41
所以这就是考官德不配位，也说明了人家为啥是人事

可是他是技术总监

全程问的我一愣一愣的严重怀疑自己是不是真的懂技术
这段是我觉得最不对劲的地方了
端口映射不也应该算软件技术么？这算硬件技术凭啥我mux vlan不算哦

sheshiro · 发表于 2023-12-7 14:47

raimouse 发表于 2023-12-7 14:45
可是他是技术总监
全程问的我一愣一愣的严重怀疑自己是不是真的懂技术
这段是我觉得最不对劲的地 ...

技术总监不见得有技术，就像相声演员不见得会说相声一样（咦）

先疯一号机 · 发表于 2023-12-7 14:55

我又想到了我前前前前前公司那位只会绕钢丝的技术总监了

overlorder · 发表于 2023-12-7 14:58

提示: 作者被禁止或删除内容自动屏蔽

Realplayer · 发表于 2023-12-7 14:59

可以试试acl

raimouse · 发表于 2023-12-7 15:00

Realplayer 发表于 2023-12-7 14:59
可以试试acl

这个我一开始就提了类似的啊，做mux vlan。面试官说不行我才想着改用**的

newise · 发表于 2023-12-7 15:01

提示: 作者被禁止或删除内容自动屏蔽

gnihton314 · 发表于 2023-12-7 15:01

什么鬼，这技术水平怎么感觉不如我今年年后为了把新办公区连上内网突击学了三天的水平

raimouse · 发表于 2023-12-7 15:04

本帖最后由 raimouse 于 2023-12-7 15:06 编辑

newise 发表于 2023-12-7 15:01
我不懂什么狗屁技术，但是共享不就只有软件层面的么，难不成还能用人肉运输？ ...

指的是网络隔离的技术。软件隔离和物理隔离。
只是我觉得，怕软件隔离策略没写好导致出错，跟端口映射没写好，不是差不多级别的错误么

就像楼上提到的，两个网段反正在同一个机房了，用网线物理连起来写ACL只允许访问文件共享服务器的流量通过，效果理论性是一样的吧。
而且这种写法由于只有一条规则，也不存在什么太复杂导致写错的说法。

gogoneogg · 发表于 2023-12-7 15:05

究竟有几个总工是一线干技术出身的

whzfjd · 发表于 2023-12-7 15:07

出来面人也是一种 kpi，锻炼和考核

cjcjason · 发表于 2023-12-7 15:08

说的好像端口映射更稳定更安全一样，你要反问他的方案比你的好在哪，优缺点列一下，估计他要汗流浃背了

Lilithy · 发表于 2023-12-7 15:10

不是，一个公司两个网段物理隔离，是不是有两套互联网出口啊

，我觉得都上到一个出口，就不算物理隔离

—— 来自 Xiaomi 23013RK75C, Android 13上的 S1Next-鹅版 v2.1.2

endlessz · 发表于 2023-12-7 15:14

物理隔离？不用网闸算什么物理隔离

ashunicorn · 发表于 2023-12-7 15:16

什么鬼，你直接两台网闸拍他脸上算了

raimouse · 发表于 2023-12-7 15:17

Lilithy 发表于 2023-12-7 15:10
不是，一个公司两个网段物理隔离，是不是有两套互联网出口啊，我觉得都上到一个出口，就不算物理隔 ...

按这面试官的意思，应该是有多套互联网出口，但是物理机房在一起。
面试官嫌我两个网段直接搭V--P----N走公网网速慢不稳定，但是走互联网端口映射不是一样的结果么。
对外部来说都是2个公网ip之间互访。

raimouse · 发表于 2023-12-7 15:23

endlessz 发表于 2023-12-7 15:14
物理隔离？不用网闸算什么物理隔离

网闸这个我倒是真的不懂，安全设备我只用过防火墙

轻拳轻拳阿力古 · 发表于 2023-12-7 15:27

再狠一点，单导吧

MMIno · 发表于 2023-12-7 15:37

我看到软路由之后就不再往下面看了，鉴定为菜

基本农田 · 发表于 2023-12-7 15:41

上云一了百了

Deco · 发表于 2023-12-7 15:48

借宝地一问，我想把这个路由器的LAN3变成WAN2口，这里的vlan应该怎么弄？

梦回星海 · 发表于 2023-12-7 15:50

我之前见过的物理隔离网络，大多是业务内网和办公网\DMZ区服务物理隔离，这有两个网段都有互联网出口的环境的确无法可想。如果面试官问我这个问题我可能直接奔着如何保证文件共享服务器的数据安全和权限管理那个方向去了。看这意思，也许你面试这个岗现场环境就是这么部署的？

raimouse · 发表于 2023-12-7 15:51

Deco 发表于 2023-12-7 15:48
借宝地一问，我想把这个路由器的LAN3变成WAN2口，这里的vlan应该怎么弄？

家庭环境大家都是VLAN1，没区别的吧

Deco · 发表于 2023-12-7 15:56

raimouse 发表于 2023-12-7 15:51
家庭环境大家都是VLAN1，没区别的吧

但是我要设定LAN3去单独拨号，现在这样的话无法在接口设置里面指定pppoe的接口为lan3

raimouse · 发表于 2023-12-7 15:57

本帖最后由 raimouse 于 2023-12-7 16:02 编辑

Deco 发表于 2023-12-7 15:56
但是我要设定LAN3去单独拨号，现在这样的话无法在接口设置里面指定pppoe的接口为lan3

...

你先得把lan3变成wan2口才行把，不知道你这个固件有没有这个功能。
像爱快之类的软路由就是可以把lan口变更为wan口，多wan。

Deco · 发表于 2023-12-7 16:02

raimouse 发表于 2023-12-7 15:57
你先得把lan3变成wan2口才行把，不知道你这个固件有没有这个功能。
像爱快之类的软路由就是可以把lan口变 ...

就是没法靠固件自动变wan2，要手动改vlan什么的

raimouse · 发表于 2023-12-7 16:03

Deco 发表于 2023-12-7 16:02
就是没法靠固件自动变wan2，要手动改vlan什么的

vlan是数据二层隔离用的啊，跟wan啥的没关系。我觉得直接搜一下你这个固件多wan怎么设置就完事了。

Deco · 发表于 2023-12-7 16:10

本帖最后由 Deco 于 2023-12-7 16:14 编辑

raimouse 发表于 2023-12-7 16:03
vlan是数据二层隔离用的啊，跟wan啥的没关系。我觉得直接搜一下你这个固件多wan怎么设置就完事了。 ...

问了，都叫我新建个vlan

我现在大概只能弄成这样，就怕点确定后路由直接进不去了

tokimon · 发表于 2023-12-7 16:15

raimouse 发表于 2023-12-7 14:45
可是他是技术总监
全程问的我一愣一愣的严重怀疑自己是不是真的懂技术
这段是我觉得最不对劲的地 ...

管理层还剩几个懂技术的

raimouse · 发表于 2023-12-7 16:20

Deco 发表于 2023-12-7 16:10
问了，都叫我新建个vlan

这我不懂了，按我认知里面，一个wan口对应一张网卡，多个网卡才能多wan。
建vlan应该跟多wan没有任何关联才对。

ace0018 · 发表于 2023-12-7 16:21

感觉就是小公司领导那套，我说的就是规矩，我的技术实现就是对的

需求物理隔离，结果弄个虚拟机做net转发……在我这儿起码弄台网闸算你做个样子了

Deco · 发表于 2023-12-7 16:22

raimouse 发表于 2023-12-7 16:20
这我不懂了，按我认知里面，一个wan口对应一张网卡，多个网卡才能多wan。
建vlan应该跟多wan没有任何关联 ...

经人指点，要这样设置vlan就好了，回头我试试

kidcomp · 发表于 2023-12-7 16:33

不是，为什么nat一定要走公网？你都说同一个机房了，两个网关再起一个互联地址直连不行么？然后各自做严格的acl。
面试官说的的确是解决办法之一啊

raimouse · 发表于 2023-12-7 16:35

kidcomp 发表于 2023-12-7 16:33
不是，为什么nat一定要走公网？你都说同一个机房了，两个网关再起一个互联地址直连不行么？然后各自做严格 ...

两个网关互联起来之后，这算不算物理上连起来了呢？
面试官第二句就说了要物理隔离两个网段，我就下意识认为不能直接互联了。

正义路人 · 发表于 2023-12-7 16:38

实际处理过这个问题，安全级别很高的两套外网，解决方案是布网闸

kidcomp · 发表于 2023-12-7 16:38

raimouse 发表于 2023-12-7 16:35
两个网关互联起来之后，这算不算物理上连起来了呢？
面试官第二句就说了要物理隔离两个网段，我就 ...

网关外面了啊，所以你说算不算呢？再说你后面不是说了么，万一暴露也就失守一个网段，挺符合标准的啊

raimouse · 发表于 2023-12-7 16:41

kidcomp 发表于 2023-12-7 16:38
网关外面了啊，所以你说算不算呢？再说你后面不是说了么，万一暴露也就失守一个网段，挺符合标准的啊 ...

那这都算为啥不直接用vlan+acl隔离算了，反正也是同一个机房。

kidcomp · 发表于 2023-12-7 16:46

raimouse 发表于 2023-12-7 16:41
那这都算为啥不直接用vlan+acl隔离算了，反正也是同一个机房。

你不是说多出口么，各个网段内部不互联的话，vlan怎么起？
你在出口外侧做nat完全不影响内部安全

		自动登录	找回密码
密码			立即注册

[欢乐] 感觉被面试官忽悠瘸了

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

overlorder overlorder 当前离线禁止发言精华 \| 战斗力鹅 \| 回帖 0 注册时间 2023-7-30 头像被屏蔽	发表于 2023-12-7 14:58 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复使用道具举报

newise newise 当前离线禁止发言精华 \| 战斗力鹅 \| 回帖 0 注册时间 2009-8-3 头像被屏蔽	发表于 2023-12-7 15:01 来自手机 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复使用道具举报