让我先说这个,说我有一个奇怪的networking。
LAN 1路由器:10.0.0.254/24,通过10.0.0.254上的DSL上网。 局域网2路由器:172.16.2.254/24,默认网关:10.0.0.254(局域网2是一个私人连接到另一个位置,它使用我们的饲料互联网)
局域网2的路由器不幸的是NAT的所有来自172.16.2.0/24的stream量。 我不能改变这个路由器 – NAT不能被禁用。
假设我有控制权的唯一的路由器是LAN 1(这是一个Linux的盒子):我怎样才能login使用(目的IP +端口)对用户? 我曾经通过MAC地址关联用户,但是现在这个其他的路由器原来的MAC将被遮蔽 – 同样,原来的IP也会丢失。
我还没有看到任何证据certificate802.1Xauthentication在networking层以外的任何东西上工作,所以也似乎是出来了。
对我来说唯一的select是使用SOCKS代理,并要求所有客户端进行自我configuration,但也有其缺陷(有限的客户端支持,只处理TCP和UDP,增加了路由器的CPU利用率)。
有什么我错过了吗? 我怎样才能解决这个问题?
这是一个棘手的问题。
最好的解决办法是将LAN2路由器replace成实际上具有一定程度的pipe理控制权。 如果你不能禁用NAT,那么这个路由器可能还有其他的地方。 不过,我的直觉是,你不能用更适合政治原因的东西replace这个路由器(否则你已经做到了)。
我的第一个build议是将Squid代理放在某个地方,并将该日志用于每个用户的Internet访问。 把它放在LAN1上的最好的地方是,然后来自LAN2上的客户端的所有networkingstream量将看起来源自LAN2路由器的NAT礼貌。 你可以把它放在LAN2路由器的下游,但是你必须通过它的NAT来连接fowrard,这样LAN1的客户端才能到达它。 这样做很丑陋。
另一个想法是如果您的LAN2(和LAN1)交换基础设施支持它,则依赖于Netflow,SFlow或RMON。 只需通过LAN2路由器转发相应的端口,并将您的stream量收集器放置在LAN1上。 不幸的是,stream量分析在很大程度上是第7层不知道的,所以虽然您可以测量stream量,使用情况和计数器统计信息,但您将无法获得Web代理将提供的以HTTP为中心的详细信息。 不过这可能比没有好。
在这种情况下,似乎典型的networking工具不起作用。 即使websense使用DC代理将IP映射到用户帐户以获得透明度。 如果没有每个客户端的唯一标识符(mac或IP),我认为您正在跟踪,您将不得不通过代理进行身份validation。