Qma*_*ils 4 vpn vlan network-security
我的网络有大约 8000 个用户,他们在多个建筑物中工作。员工流动频繁,目前迫使交换机端口上的 VLAN 配置发生变化。此外,我们组织中还有很多设备制造商,例如Juniper、HP/Aruba、Cisco、TP-Link和华为。
我只想在交换机上使用几个 VLAN:VoIP、打印机、内部网络(内联网)。身份验证后只能通过 VPN 访问互联网。我需要收集日志(IP <-> 用户)- 我所在国家/地区的适用法律。我们在组织中有一个 Radius 服务器,我可以用它来授权用户。
是否可以基于开源软件搭建VPN集群?- 我需要 HA 解决方案。
我也愿意接受其他建议来解决我的问题。
Zac*_*c67 14
员工流动频繁,目前迫使交换机端口上的 VLAN 配置发生变化。
看起来,您可能正在使用基于端口的 VLAN,而不是特权组。这不仅非常麻烦,而且也不安全。(任何用户都可以将计算机重新插入另一个插孔以更改其安全级别。)
相反,您应该使用IEEE 802.1X 等端口级安全性,其中用户通过网络进行身份验证,然后才与 VLAN 或安全级别关联。
或者,某些解决方案允许您识别防火墙上的 (Windows) 用户,并根据该身份及其组成员身份应用规则(有时称为单点登录、IAM或简称AAA)。如果您的服务器位于用户的 VLAN 内,您应该将它们移出,移至它们自己的一个或多个 VLAN - 然后您可以根据用户组成员身份在防火墙上控制对它们的访问。而且根本不需要不同特权级别的用户 VLAN。
至于产品推荐,抱歉,这些显然不是主题。不过,使用软件解决方案终止 8k 用户很可能需要一组 VPN 服务器/网关。上面建议的概念应该维护成本低得多。
| 归档时间: |
|
| 查看次数: |
1493 次 |
| 最近记录: |