我公司的员工约有600-700名远程员工,每个员工都是一个企业IP电话,一个瘦客户端计算terminal。
在我们目前的部署中,两个设备都在我们的公司办公室configuration(默认设置,VPN等),并运送给最终用户。
我们在当前的部署中遇到了一些问题,其中包括我们的支持团队在需要支持时几乎不可见我们的员工家庭networking(难以确定问题是出在我们身边还是员工ISP。
我们正在考虑更换我们的标准基础设施部署,以包括一个托pipe接入点(可能是思科Meraki z1),以便更好地了解我们员工的家庭networking体验。 我们要求员工通过他们的Meraki连接尽可能多的家庭设备(以便更好地使我们能够为他们的工作设备提供QOS保证)。
这种变化使我感到不安:
1)目前,发给我们员工的两种设备都pipe理着自己的VPN设置,所有其他通信端口都被locking,所以我们通过审计确信设备只通过encryption通道进行通信。 build议使用Meraki的部署包括一个不由VPNpipe理的新networking链路(Meraki本身将通过VPN连接,设备将不会)
2)也许在将设备连接到Meraki AP与员工将其设备直接连接到其家庭路由器的当前部署之间没有什么明显的区别,但是我发现自己希望更好地理解Meraki z1上的状态防火墙设置,从企业设备分离家庭设备。
有没有经验丰富的Meraki用户或networking安全专家可以评论这些担忧?
使用Z1,您可以创build两个VLAN – 一个连接到VPN,另一个不连接。 然后,您将创build将设备连接到每个LAN的SSID。 您可以指定某些端口的VPN端口,而不指定其他端口,并指示员工将公司设备连接到公司的SSID或端口,并将其自己的设备连接到其他SSID和端口。
不幸的是,Z1目前不支持通过MAC地址或者他们的新系统pipe理员Sentry来强制执行,这两者都是非常简单的。 您可以使用RADIUS身份validation来允许有线和无线访问公司的VLAN / SSID,但RADIUS服务器将是互联网连接的另一端。 我认为这是你最好的select。