我们希望限制用户在日常流量的基础上使用互联网,而不是本地网络带宽。我们的用户使用不同的平台(Windows、Android、IOS),因此不可能通过例如 Active Directory 强制执行任何策略,如果可能,它将限制整个带宽。剩下的唯一方法是在网络边缘基于 IP 进行限制。这可以使用 Mikrotik 或其他防火墙实现。但问题是,当达到限制时,用户可以更改他们的 IP,并且他们可以继续使用互联网带宽。所以我们的想法是确保用户只有在他们的 mac 地址和通过我们的 DHCP 服务器分配的 IP 匹配时才能通过。这在 cisco 交换机中应该是可能的,并且可以在核心交换机上完成。
问题是这怎么可能,或者有没有其他更简单、更有效的解决方案?
我们使用 AP、Cisco 2960 交换机和 Cisco 4500 作为核心交换机。我们的 DHCP 是 FreeBSD,但如果需要,我们愿意更改。我们的 AP 的身份验证方法是 802.1x。
编辑:
我们尝试了一个使用 RADIUS 服务器的解决方案,它使我们有可能知道每个用户使用了多少流量(通过端口 1812/1813),但问题是限制用户的唯一方法是当他使用时不允许他连接已达到上限。这意味着,在用户不重新连接之前,他可以不受任何限制地下载。
我们也想过使用代理服务器作为解决方案,但我们遇到了两个问题: