請教一下,公司目前已經把所以Port全部關閉,只開放80Port供員工上網,但目前發現有員工仍可利用WebMail或WebHD把資料上傳出去,請問軟法可以限制上傳或管理嗎?謝謝。
可列印頁面
請教一下,公司目前已經把所以Port全部關閉,只開放80Port供員工上網,但目前發現有員工仍可利用WebMail或WebHD把資料上傳出去,請問軟法可以限制上傳或管理嗎?謝謝。
[QUOTE=mis339]請教一下,公司目前已經把所以Port全部關閉,只開放80Port供員工上網,但目前發現有員工仍可利用WebMail或WebHD把資料上傳出去,請問軟法可以限制上傳或管理嗎?謝謝。[/QUOTE]
用 firewell 鎖定特定關鍵字
可是……怎麼鎖?總不能鎖Mail或HD、郵件、硬碟吧!
[QUOTE=mis339]可是……怎麼鎖?總不能鎖Mail或HD、郵件、硬碟吧![/QUOTE]
:( 不是已經跟你說要你擋掉[關鍵字]嗎.......
[QUOTE=True]:( 不是已經跟你說要你擋掉[關鍵字]嗎.......[/QUOTE]
幫忙猜一下,是擋掉某些 IP 或是 網址嗎? :D
[QUOTE=HarrisonLin]幫忙猜一下,是擋掉某些 IP 或是 網址嗎? :D[/QUOTE]
因為提供的訊息實在是太少
但是 目前的情況 做法應該就是 deny keyword
消極的方法:
1.架設proxy server,用iptables之類的封包過濾機制,將聯外port80導向port3128,強迫所有電腦需經過proxy上網
凡經過proxy的連線要求,在server端皆會留下紀錄,然後就可以用分析軟體去分析,可以看到每位使用者上了什麼網站,傳了什麼檔案,等於是監控使用者的隱私。不過這個方法,只是消極的防範,機密檔案傳了都傳了,事後要再追究也太晚了。
主動的方法:
1.關閉瀏覽器的 java 或 ActvieX 功能,webHD 或 webMail之類的網站,一定要靠這種技術才能登入,關了就無法登入網站,自然無法上傳。缺點是如果瀏覽需要這類技術的普通網站,也不能瀏覽,變成只能觀看純html或動態語言網頁。
2.用高階硬體防火牆的封包過濾機制,硬體防火牆會主動分析封包的內容,傳webHD或webMail的封包,都有固定的關鍵內容,若硬體防火牆偵測到,就會檔下來,這個方法的成功率不是100%,尤其如果是傳中繼站的,完全無招架之力,不過聊勝於無。
3.將可以瀏覽網頁的電腦,和內部工作用的電腦分開。工作用的電腦,無法上internet,且也無法將資料傳到上網用的電腦。上網用的電腦,則可以將收集到的資料傳給工作用電腦,就是說只能單向傳輸。安全性最高,但缺點是麻煩,上個網還要換電腦,另外前提是要有多餘的電腦。
若要最高安全等級,全部都實施這樣是最好的了 :|||: :eye:
似乎很麻煩...
我只想到 把他們上的服務伺服器IP擋掉
最積極的 就是不連上Internet !!!
很多人都因噎廢食
還是擋關鍵字/IP先
關閉Java或ActiveX:不行,因為太多網站有使用這些技術,包括廠商的線上下單都有!
鎖IP:有點難,因為提供免費信箱的站台實在太多,甚至有些較大型的,同一個域名有多個IP!
固定電腦上網:在大陸可行,在台灣可能不行,因為在台灣需要上網查資料或連繫的同事太多,不可能要求他們這樣做!
透過Proxy Server:只能被動的控管,無法主動阻止!
至於Keyword的話,我就是不清楚到底該設什麼Keyword?!因為如果真的設Mail或郵件的話,相信很多新聞網站或部份站台可能也會被擋掉!而且還有一個網路硬碟不知該怎麼設定好!
有想過說有沒有什麼軟體可以限定上傳的量?或是上傳的副檔名?
[QUOTE=mis339]
至於Keyword的話,我就是不清楚到底該設什麼Keyword?!因為如果真的設Mail或郵件的話,相信很多新聞網站或部份站台可能也會被擋掉!而且還有一個網路硬碟不知該怎麼設定好!
有想過說有沒有什麼軟體可以限定上傳的量?或是上傳的副檔名?[/QUOTE]
沒有辦法去分析該封包嗎??
看看你們公司的員工大部分都用哪家的WEBMAIL等等
自己去弄一個 然後抓下該封包 看看表頭不就知道了嗎?? :)
[QUOTE=mis339]
有想過說有沒有什麼軟體可以限定上傳的量?或是上傳的副檔名?[/QUOTE]
小第個人認為 限制上傳的副檔名似乎不是可行的方法
萬一員工要傳必須用到的資料給客戶怎辦 = =
[QUOTE=True]
沒有辦法去分析該封包嗎??
看看你們公司的員工大部分都用哪家的WEBMAIL等等
自己去弄一個 然後抓下該封包 看看表頭不就知道了嗎?? :)[/QUOTE]
我們的RD和設計對網路應用都還蠻熟的!
而且他們至少都有好幾個WebMail的帳號,甚至有些常到大陸出差的,連大陸的帳號都有好幾個!所以一個一個封的話,基本上是防不勝防!
[QUOTE=True]
小第個人認為 限制上傳的副檔名似乎不是可行的方法
萬一員工要傳必須用到的資料給客戶怎辦 = =
[/QUOTE]
我想這不是問題,因為如果要傳檔的話,公司有自己的MailServer!
如果只開放公司允許的網站.... 行嗎?
由上(政策)而下
[QUOTE=法克]如果只開放公司允許的網站.... 行嗎?
由上(政策)而下[/QUOTE]
這也不行,因為業務、採購和RD常常都要用Google查資料和廠商,所以這也不成!
[QUOTE=mis339]我們的RD和設計對網路應用都還蠻熟的!
而且他們至少都有好幾個WebMail的帳號,甚至有些常到大陸出差的,連大陸的帳號都有好幾個!所以一個一個封的話,基本上是防不勝防!
我想這不是問題,因為如果要傳檔的話,公司有自己的MailServer![/QUOTE]
我只能說 沒有那種完美的方法... :(
加油...
如果研究出來你就發了....
[QUOTE=mis339]關閉Java或ActiveX:不行,因為太多網站有使用這些技術,包括廠商的線上下單都有!
[/QUOTE]
這怎麼會不行呢?好的防火牆可以做到開放部份網站的activeX封鎖其他~~
另外好的防火牆可以分析所有的web內容~~加以製訂forbidden word
你需要問得是你要的是哪一套防火牆
就算防火牆可以
實際上應該不會有MIS閒到為每一個網站量身訂做防火牆政策吧
[QUOTE=aiken]就算防火牆可以
實際上應該不會有MIS閒到為每一個網站量身訂做防火牆政策吧[/QUOTE]
當然不需要為每一個量身訂做~~
只需為特定~~如windows update
或自己廠商及可~~
其他一律封鎖~還可避免安裝到3721~~
我在我們公司就是這樣做的...
還有不少功能例如iss web filter也可以使用上
想盡辦法還是擋不住後 可能自己傷神也被員工討厭 不如多多宣傳良好的網路使用習慣並揪出流量大的那些用戶吧。
[QUOTE=dominic]這怎麼會不行呢?好的防火牆可以做到開放部份網站的activeX封鎖其他~~
另外好的防火牆可以分析所有的web內容~~加以製訂forbidden word
你需要問得是你要的是哪一套防火牆[/QUOTE]
請教一下先進,那您使用的防火牆是那一套呢?
快速又不傷感情的作法
請主管發布命令 凡是上班時間做非公務使用者將遭受懲處
從管理層面下手成效會更快
我相信各位都知道,上有政策,下有對策!
這個公司一定都有規定,要求非公務不準上網,不準亂寄非公務郵件,禁止使用聊天軟體……等,但又如何?
而且其實這些事目前都還沒開始防,只是老闆希望這麼做,所以我們就先測試是否擋得住!我們自己鎖自己,然後再自己破自己!只是希望可以有一套比較完善的解決方案,還望各位可以集思廣益,謝謝。
[QUOTE=mis339]我相信各位都知道,上有政策,下有對策!
這個公司一定都有規定,要求非公務不準上網,不準亂寄非公務郵件,禁止使用聊天軟體……等,但又如何?
而且其實這些事目前都還沒開始防,只是老闆希望這麼做,所以我們就先測試是否擋得住!我們自己鎖自己,然後再自己破自己!只是希望可以有一套比較完善的解決方案,還望各位可以集思廣益,謝謝。[/QUOTE]
NO FREE LUNCH
最有效的方法 就是一個一個去檔..
要防止商業機密外傳,最好的辦法就是把資料和網路隔開
像"不可能的任務"那部電影裡
CIA的情報主機,就是和外界隔開的,在獨立的保全室裡
然後湯姆克魯斯要盜取它的資料,只能想辦法進入保全室中用MO拷貝資料 :|||:
在一般的公司裡面
我們當然不可能也沒必要做到如此滴水不漏的地步
直覺想到的,就是分成可上網(連internet),和不可上網(只能連LAN)兩種電腦
具體的來說
可上網(連WAN)的電腦,是有設閘道器IP的,所以可連上internet
不可上網(只能連LAN)的電腦,是把閘道器IP的設定拿掉,所以無法連出LAN
而這裡要注意一個地方,只有網管人員和老闆,可以有administrator的權限
其它員工最高只能有power user,否則那些就白設了
但是上網的結果,是要找資料
所以資料要有辦法傳到"不可上網的電腦"才行
小弟公司用的是Linux samba的solution
有兩台samba 主機,姑且稱做 A主機 M B主機
之間以 NIS 協定(Network Informatin Services)互連
LAN 群組中工作站台,只能連接B主機,進入B主機的samba
WAN 群組中的可上網電腦,只能連接A主機,進入A主機samba
另外,WAN 群組中的可上網電腦,禁止分享任何資料夾
或是乾脆在安全性原則裡面,禁止every one連入電腦
以防有人直接把資料丟到可上網的電腦
然後在A主機中,設定排程
每分鐘將其samba共享目錄資料,拷貝到B主機(NIS通道)
這樣就能達成所謂的「單向傳輸」
方法是達到了,但回歸到問題原點
上個網還要換電腦,有沒有搞錯,相信這種做法能接受的人一定不多
這就產生新的問題
有沒有什麼方法,只要坐在自己位置上,就能操作可上網的電腦,來上網呢?
∼當然沒有第二種解決方案了,就是「遠端遙控」!
那就是VNC吧
假設我的工作用電腦不能上internet,而公司內有可上internet的電腦
我又不想那麼麻煩,走過去用
那簡單,開個VNC連過去就好了 ;)
不過這又會有一個新問題.....
一般PRO版的WINDOWS,同時間只能允許一位使用者,遠端連入使用視窗
如果要能讓多人連入,必須有新的solution...
那大概就是所謂的「無盤工作站」吧
好像裝一種軟體就可以達成,讓windows可以允許多人連入使用視窗環境
這方面的技術,小弟就不曉得了
小弟的公司,只有一間辦公室
老闆不准員工上班上網,然後又丟幾台電腦可以上網
要上網的話,都要到那邊上
老闆主要考量的不是機密外洩問題
只是不想讓員工上班混水摸魚上網聊天那麼爽而已 :|||: :eye:
[IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/www.gif[/IMG]
有幾個觀念怪怪的!
1、「將可上網的電腦和不可上網的電腦分開」:我想這裡指的分開應該是指不同網段或是切VLAN吧!如果是同網段的話,那資料還是可以互傳啊,又何必這樣分!
2、「從不可上網的電腦遠端連線到可上網的電腦」:啊如果是這樣的話,我還是可以把「不可上網的電腦上的資料」傳出去啊!那又必這樣分?!
3、另外,基本上老闆希望每部電腦都有作用、都有人用!所以電腦已經不夠用了,那還有電腦供大家上網!而且要上網的人太多了,也不可能大家排隊上吧!
4、無盤工作站跟可讓多人連入有什麼關係?不懂?!另外要讓Windows可以多人連入的話,可以使著用Terminal Server的應用程式模式,不過它的版權要另外買。
[QUOTE=mis339]有幾個觀念怪怪的!
1、「將可上網的電腦和不可上網的電腦分開」:我想這裡指的分開應該是指不同網段或是切VLAN吧!如果是同網段的話,那資料還是可以互傳啊,又何必這樣分!
2、「從不可上網的電腦遠端連線到可上網的電腦」:啊如果是這樣的話,我還是可以把「不可上網的電腦上的資料」傳出去啊!那又必這樣分?!
3、另外,基本上老闆希望每部電腦都有作用、都有人用!所以電腦已經不夠用了,那還有電腦供大家上網!而且要上網的人太多了,也不可能大家排隊上吧!
4、無盤工作站跟可讓多人連入有什麼關係?不懂?!另外要讓Windows可以多人連入的話,可以使著用Terminal Server的應用程式模式,不過它的版權要另外買。[/QUOTE]
1.
同網段的話,「可上網電腦」要設安全性原則
不同網段的話,基本上因為「不可上網的工作站台電腦」閘道器設定已經拿掉了,所以絕對不可能通。圖中samba-a主機因為是路由器,所以可以跨網段,將資料上傳samba-b主機。
兩種方法都是可以的,視電腦數量而定
量多的話,分成兩網段,可順便做subnetting子網路分割,減輕網路負載
[IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/denyeveryone.gif[/IMG]
項目:拒絕從網路存取這台電腦
值:Everyone
測試方法:(檢驗安全性原則的可靠性)
------------------------------------------
在本機電腦用指令:net share 查出該台電腦是否有分享資料夾
假設有c$這個分享,且該台電腦ip:192.168.0.1
從別台電腦,使用網址:\\192.168.0.1\c$,連過去
此時會出現權限不足視窗,無法連接
因此證明安全性原則是有效的...
2.
沒辦法傳,因為假如「可上網電腦」沒開任何"分享資料夾"
就無法將資料傳過去
windows本身預設就會開啟一些"分享資料夾",拿掉就行了
單純的VNC,並無法傳檔
當然,「可上網電腦」也有權限限制
一般使用者登入,最多只能取得user權限
所以一般使用者,無法自行開啟分享資料夾,或安裝傳檔軟體
只是上網看網頁的話,user權限已足夠
不需要開到power user,以免被安裝傳檔軟體
或其實絕一點,guest權限也夠了,guest權限就能開瀏覽器看網頁了
這部分是屬於基本網管,比較容易做到
3.老闆一定會說,要禁止員工傳檔案出去
然後又要網路流通順暢,甚至還要可以自行安裝軟體
又要馬兒肥,又要馬吃草,那是不可能的
假如資料真的外洩,造成公司損失
第一個被叫去開刀的,肯定是MIS人員
老闆平時問MIS "資安"可不可靠
當然只能回答很安全,難道還回答不確定(不確定就是回家吃自己了) :eye:
但哪天如真的出問題,也就百口莫辯了
因為既然安全可靠,那搞鬼的除了MIS這個守門人,還會有誰呢 :|||:
所以就算不去分「可不可上網電腦」
proxy server 都是一定要架的
由路由器直接指定連外全部得過proxy,沒有例外
因為唯有透過proxy 紀錄,才能抓出原兇,以免到時自己背黑鍋
4.
這個問題,就是電腦不足的解決方案
如果採用這套"電腦分級"sulotion,來解決機密檔案外傳的問題
「可上網電腦」一定會人人搶著用
"一台電腦如果能讓更多人使用,那就太好了"...這是一般的想法
方法就是「無盤工作站」
Terminal Server是「無盤工作站」的一種solution
其它還有很多方法
這個solution只是小弟的想法而已啦,不一定完全正確
小弟的公司頂多也只做到"電腦分級",分成兩種電腦
要上網得自己過去另一台電腦上,並沒有用到VNC之類的遠端過去上網
因為老闆的意思,就是不希望員工上班摸魚上網,這樣不方便的做法,反而正合他意
大家有興趣的話,不妨一起討論這種solution有什麼漏洞可以破解
或是有其它更好更安全的解決方案
:)
如果是同網段的話,你忽略一件事!也許別人不能存取192.168.0.1的電腦,但是192.168.0.1的電腦可以存取別人的電腦啊!
如果是不同網段的話,請問我要怎麼去整合在同一條線路出去啊?天曉得我又需要增購多少設備?或做多少設定?
另外,我覺得好像有點偏離主題了!我的重點是想知道怎麼讓大家可以正常上網,但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的!
[QUOTE=mis339]如果是同網段的話,你忽略一件事!也許別人不能存取192.168.0.1的電腦,但是192.168.0.1的電腦可以存取別人的電腦啊!
如果是不同網段的話,請問我要怎麼去整合在同一條線路出去啊?天曉得我又需要增購多少設備?或做多少設定?
另外,我覺得好像有點偏離主題了!我的重點是想知道怎麼讓大家可以正常上網,但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的![/QUOTE]
回應之前所說的.......
如果只鎖ActiveX是不足以阻擋webmail~~如果鎖java則勢必不少網站都將受到影響
主要能做到就是forbidden word的設定~~然後設定關鍵字積分多少後阻擋該網頁...
目前還有一種iss orangeweb filter....主要由某個商業網站整合所有的網站分門別類~~而透過此功能能封鎖某一分類的網站~~
我所推薦的是軟體防火牆是kerio winroute....上述功能都有~~而且又整合ad...可針對網域使用者做直接的上網權限控制~流量限制等等
[QUOTE=mis339]如果是同網段的話,你忽略一件事!也許別人不能存取192.168.0.1的電腦,但是192.168.0.1的電腦可以存取別人的電腦啊!
如果是不同網段的話,請問我要怎麼去整合在同一條線路出去啊?天曉得我又需要增購多少設備?或做多少設定?
另外,我覺得好像有點偏離主題了!我的重點是想知道怎麼讓大家可以正常上網,但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的![/QUOTE]
1.在192.168.0.1,安裝軟體防火牆,例如:Norton Internet Security
這軟體防火牆很厲害,可以設定那些電腦能連入/連出本機電腦
還有密碼控管,admin才能修改設定 :)
2.一台Linux 就夠了,對伺服器的功能來說,Linux幾乎是萬能的,當路由器只是小case,用route指令就可以很方便的設定路由表 :)
3.最簡單的就是前端加入硬體防火牆,控管後端的連線
但成功率不是100%
假如使用者先去連"中繼站",再透過中繼站往外連,幾乎擋不下來
這類高階硬體防火牆,價格不便宜,約從10萬元起跳
其實如果不想找麻煩動腦筋的話,花錢解決是最快的
直接找廠商,問說有什麼方案可以解決,錢砸下去一定會有解決方案
如果出問題,也只要把罪過全推給廠商就行了
小弟去上CCNA的課程,講師說的一句話讓我印象最深刻
"MIS的工作,就是要幫老闆省錢的,如果什麼東西都要花錢解決,那請MIS要幹麻,對不對呢"
真是至理名言,實在是無法反駁啊 :|||:
使用這個設備試試看 [url]http://www.bluecoat.com/[/url]
這個東西可以檔上傳檔案,並且可以可以跟AD整合做認證
針對某些人或者ip做 pass的動作.目前有很多人利用此一設備做80 Port的管控.
[QUOTE=linux_xp]
2.一台Linux 就夠了,對伺服器的功能來說,Linux幾乎是萬能的,當路由器只是小case,用route指令就可以很方便的設定路由表 :)
QUOTE]
linux 可以跑ospf 跟 bgp 跟ISIS 嗎???
蠻好奇的 如果LINUX這麼萬能 可以取代router
為何還會有那麼多做router 廠商呢??
[QUOTE=True][QUOTE=linux_xp]
2.一台Linux 就夠了,對伺服器的功能來說,Linux幾乎是萬能的,當路由器只是小case,用route指令就可以很方便的設定路由表 :)
QUOTE]
linux 可以跑ospf 跟 bgp 跟ISIS 嗎???
蠻好奇的 如果LINUX這麼萬能 可以取代router
為何還會有那麼多做router 廠商呢??[/QUOTE]
OSPF、BGP、ISIS,都是 router 之間的協定
用於互換 routing table,走的是 Class D 的網段
Linux 本身內建router功能,用route指令可以輕易建立路由表
至於OSPF、BGP、ISIS 這些協定
目前應該是沒內建
可能要修改核心才能支援,或是寫軟體去支援
用PC做router
第一,硬碟會掛,不保險
第二,就算改採Flash 砍入式裝置,缺點是仍然很耗電
所以較少人使用
以硬體router來講,使用 Linux 崁入式裝置的,也不算少
平均來說,一台 1GHz CPU,256MB的機器,廠商可以賣10萬以上
破爛機器又坑錢是沒錯,但強在韌體 (軟體),雖然不想承認也不行
廠商就是有辦法寫出軟體去支援這些router協定
沒辦法自己寫,也只好買了
強如 Cisco,其實也是軟體起家的
[url]http://www.ietf.org/rfc/rfc1583.txt[/url]
先把 RFC 看完再來討論 OSPF 是不是 Class D 如何?
[QUOTE=dou0228][url]http://www.ietf.org/rfc/rfc1583.txt[/url]
先把 RFC 看完再來討論 OSPF 是不是 Class D 如何?[/QUOTE]
好吧,不是
那請問您的重點是什麼?
請能不能PO些有建設性的東西,例如一些中文的見解
在資訊的領域,沒有人是萬能的
論壇就是大家討論,才會有進步
網路是因為分享而美好的,謝謝
;)
[QUOTE=linux_xp]好吧,不是
那請問您的重點是什麼?
請能不能PO些有建設性的東西,例如一些中文的見解
在資訊的領域,沒有人是萬能的
論壇就是大家討論,才會有進步
網路是因為分享而美好的,謝謝
;)[/QUOTE]
我想它應該是要跟你說OSPF 不是你所說的class d
這就是重點嚕..也是很有建設性的
[QUOTE=linux_xp]OSPF、BGP、ISIS,都是 router 之間的協定
用於互換 routing table,走的是 Class D 的網段
Linux 本身內建router功能,用route指令可以輕易建立路由表
至於OSPF、BGP、ISIS 這些協定
目前應該是沒內建
可能要修改核心才能支援,或是寫軟體去支援
用PC做router
第一,硬碟會掛,不保險
第二,就算改採Flash 砍入式裝置,缺點是仍然很耗電
所以較少人使用
以硬體router來講,使用 Linux 崁入式裝置的,也不算少
平均來說,一台 1GHz CPU,256MB的機器,廠商可以賣10萬以上
破爛機器又坑錢是沒錯,但強在韌體 (軟體),雖然不想承認也不行
廠商就是有辦法寫出軟體去支援這些router協定
沒辦法自己寫,也只好買了
強如 Cisco,其實也是軟體起家的[/QUOTE]
既然沒有支援這些目前相當常用到的routing protocol 更何況是bgp
請不要說LINUX 可以輕易的就可以當ROUTER.
LINUX很強 但不是萬能 而且 討論的時候 麻煩請不要模糊了焦點...
[QUOTE=True]既然沒有支援這些目前相當常用到的routing protocol 更何況是bgp
請不要說LINUX 可以輕易的就可以當ROUTER.
LINUX很強 但不是萬能 而且 討論的時候 麻煩請不要模糊了焦點...[/QUOTE]
我是說Linux可能沒內建,沒說它不支援
除非是像EIGRP那種有專利權的協定
標準通訊協定,作業系統沒有不能支援的道理
就Fedora發行版來說,應該是沒內建
但Enterprise版或FreeBSD有沒有支援,我就不知道了
全世界有1/3以上的Router,和網路設備,都是以Linux為崁入式核心
Linux不能當router?不知道是誰混淆焦點,為品牌效命....
cisco不是不好,只是價錢太貴
[QUOTE=linux_xp]我是說Linux可能沒內建,沒說它不支援
除非是像EIGRP那種有專利權的協定
標準通訊協定,作業系統沒有不能支援的道理
就Fedora發行版來說,應該是沒內建
但Enterprise版或FreeBSD有沒有支援,我就不知道了
全世界有1/3以上的Router,和網路設備,都是以Linux為崁入式核心
Linux不能當router?不知道是誰混淆焦點,為品牌效命....
cisco不是不好,只是價錢太貴[/QUOTE]
請問你認為誰為品牌效命阿???
真的是蠻好笑的 果真像之前的討論串一樣 :D
linux 不是萬能的 請你不要把他看的那麼厲害
如果你認為linux 真的可以取代router 請你把證據拿出來給大家看 :D
只要是標準的routing protocol就可以 如果連BGP 跟 OSPF都不支援
談啥取代router
當路由器只是小case---->> 別笑死人了...等你拿出證據來 再來說這句話
cisco不是不好,只是價錢太貴--->那你可以改用3com阿 沒有人規定你一定要用CISCO 真是好笑