各位前輩好,
小弟的公司因母公司來稽核,要求我們控管網路,不能讓非公司的電腦連到內部網路,
我們僅有的SW為L2 WS-C2960-48TT-L 12.2(44)SE6,因IOS版本不支援IPSG,轉而想使用Port Security,而因為會議室最常用筆電,所以僅有的筆電MAC綁在會議室的網孔後,其他的網孔就無法再接筆電,這樣一來有時候需要在其他位置使用筆電能時,就要先解掉綁定。
像這樣的情況,各位前輩可以給小弟一些意見嗎!?謝謝
已邀請的邦友 {{ invite_list.length }}/5
這一類的問題可以考慮使用Network Access Control 網路存取控制系統,或者直接用802.1x
有接線也連不上 : 網路存取管制系統 NAC
https://ithelp.ithome.com.tw/articles/10196998
開源網路存取控制系統:PacketFence
https://ithelp.ithome.com.tw/articles/10217489
這一篇文章對於802.1x有詳細的解說和圖示
http://www.pixis.com.tw/InformationSecurity/Content/3
要換一下思路, 有線的電腦只有AD認證了才能接網
只要你的SWITCH支持AAA和External captive portal基本就可以了
ClearPass 是其中一個工具去處理這問題
不好意思來歪樓一下
Cisco switch 其實沒有什麼 port security
無論如何,即使802.1x也是要靠第三方(如ClearPass)
網路科技日新月異,新世代網路設備推陳出新,無需守舊
未來樓主或可參考
以下是真實交換器運作的截圖
在port上所視即所得,亦即可所管,無需第三方
交換器還免費可以NoC,只要是Fortinet鐵三角
之前公司也為了避免私人或外來設備接上公司網路,在想要怎麼做。
有考慮windows內建的NAP服務,也查了一下packetfence。
但後來通通都沒有用,因為就是弄不起來。
最後用了最簡單的一招,微軟 dhcp server上的mac篩選器。
用白名單的方式,把目前dhcp上公司的設備全部移入白名單,觀察個兩週,通常大部分的公司電腦就會在白名單了,從電腦名稱上看不出來是什麼的,通通先砍了,之後有user反應,在加上去就好了。
因為訪客不多,所以有訪客需要wifi,再加一下就好了。
不用額外費用,功也簡單。
iThome鐵人賽
看影片追技術