在有线networking上处理不受信任的设备有哪些好方法? 这里有几个我正在考虑的例子:
一位公司老板经常带他的笔记本电脑,并插入networking。
用户带来了一台笔记本电脑或其他设备,并出于任何原因插入,但不要刻意恶意。
笔记本电脑进来,可能有病毒,但需要连接获取更新等。
我们所有的普通设备都使用静态IP。 我有一个想法是closures我们的工作子网上的DHCP,然后创build第二个子网与DHCP设置到服务器IP上。 基本上,我们最终会在同一物理networking上运行两个子网。 这个想法是,任何不受信任的设备将从DHCP获得一个IP,因此把它放在不受信任的子网上。
有什么理由不能使用802.1x? 许多交换机都支持它,所有你需要的是一个或两个radius服务器。
它基本上只允许交换机授予访问权限,只有当机器有适当的凭据。 这样做的好处是,如果没有,它通常能够被放置到“guest虚拟机vlan”中,这样你就可以通过一个以太网端口在guest虚拟机和经过身份validation的访问之间移动。
这也是每个以太网端口,因此您只能在公共区域的端口上打开它。带有有线桌面的主办公室的其他端口不需要受到影响。
在无线接入点上也可以这样做。
所有这些都需要稍微高端的设备,但是取决于你的时间值多less,可能只需要做一次就可以了,而不需要自己动手。 目前,每个主要的操作系统都有802.1x支持,所以除非您正在精心制作和使用证书,否则除了控制面板中的一次性用户名和密码外,客户端上无需安装任何东西。
您可以实施某种NAC(networking访问控制)设备。 有多种商业产品,但也有开源的解决scheme,如Packetfence 。
这可能是“无成本”的解决scheme。
还有其他的开关function,如:
等等..你应该search“二层安全”。