我们希望限制用户在日常流量的基础上使用互联网,而不是本地网络带宽。我们的用户使用不同的平台(Windows、Android、IOS),因此不可能通过例如 Active Directory 强制执行任何策略,如果可能,它将限制整个带宽。剩下的唯一方法是在网络边缘基于 IP 进行限制。这可以使用 Mikrotik 或其他防火墙实现。但问题是,当达到限制时,用户可以更改他们的 IP,并且他们可以继续使用互联网带宽。所以我们的想法是确保用户只有在他们的 mac 地址和通过我们的 DHCP 服务器分配的 IP 匹配时才能通过。这在 cisco 交换机中应该是可能的,并且可以在核心交换机上完成。
问题是这怎么可能,或者有没有其他更简单、更有效的解决方案?
我们使用 AP、Cisco 2960 交换机和 Cisco 4500 作为核心交换机。我们的 DHCP 是 FreeBSD,但如果需要,我们愿意更改。我们的 AP 的身份验证方法是 802.1x。
编辑:
我们尝试了一个使用 RADIUS 服务器的解决方案,它使我们有可能知道每个用户使用了多少流量(通过端口 1812/1813),但问题是限制用户的唯一方法是当他使用时不允许他连接已达到上限。这意味着,在用户不重新连接之前,他可以不受任何限制地下载。
我们也想过使用代理服务器作为解决方案,但我们遇到了两个问题:
与在第 2 层或第 3 层相比,您最好在第 7 层执行此操作。
设备可以更改其 MAC 以及 IP 地址。(用户更难更改他们的 MAC,但它仍然是可能的。)如果您让人们更改 IP 地址以绕过限制,那么他们更改 MAC 地址也只是时间问题。
我能想到几个解决方案。
要求用户使用每用户凭据(例如,RADIUS 返回到您的 Active Directory)进行身份验证的强制门户将为您提供每用户问责制。有各种各样的产品,商业和免费/开源都可以做到这一点。
强制用户使用每用户凭据连接到 VPN,以获得无线子网以外的访问权限。
这两种方法都不需要繁琐的 IP 到 MAC 交叉引用,并且在您添加新用户/设备时可以轻松扩展。
| 归档时间: |
|
| 查看次数: |
2309 次 |
| 最近记录: |