我们在工作中建立了一个新网络,当时大楼主要由台式机组成,生活很简单——每个人都有静态 IP。随着公司转向无线笔记本电脑,他们开始保留 DHCP 保留列表。对于几十台笔记本电脑,这个解决方案虽然笨重,但很有效。但随着我们从几十个变成几百个,这个解决方案变得更加难以管理。
我的老板担心的是,他只希望公司拥有的设备在内部网络上进行身份验证,而其他所有设备都使用“访客”网络(包括平板电脑、手机等)。
维护此类约束的最佳实践是什么?
最佳认证实践
网络工程
无线的
安全
dhcp
最佳实践
验证
2021-07-22 13:07:43
1个回答
首先,我认为静态 MAC-IP 绑定与安全性无关。MAC 地址很容易被伪造,猜测网络的有效但未使用的 IP 并手动将其分配给接口并不是火箭科学。
您正在寻找的很可能是 802.1x。使用 802.1x,每个客户端都会获得一个证书,并且只有那些具有有效证书的客户端才能在您的网络上使用。其他人将根本无法访问或将被移动到特殊的访客网络。
802.1x 需要客户端支持(某些打印机、嵌入式系统……可能不支持。)、RADIUS 服务器、支持它的网络设备和证书颁发机构 (CA)。
根据您的需要和硬件,您甚至可以“下载”访问列表到您的网络设备并进一步限制客户端。
一个重要警告:实施 802.1x 需要大量工作和管理,而且非常耗时。
我见过的另一个解决方案是在您的无线网络上不使用身份验证/加密,然后使用 IPSEC VPN。