Назад | Перейти на главную страницу

Ограничить доступ к услуге для пользователей WiFi

Я хочу ограничить доступ к облачной службе в зависимости от сети, из которой поступают запросы. У меня есть контроль как над сетью, так и над облачной службой, получающей запросы из сети. Сеть находится за маршрутизатором, т.е. все пользователи имеют одинаковый исходящий (динамический) IP-адрес.

Я приведу пример: компания A покупает услугу у компании B. Услуга B размещается в облаке. Теперь A хочет, чтобы пользователи могли использовать эту службу, если и только если пользователи находятся в корпоративной сети A. Таким образом, B должен убедиться, что запросы от пользователей A исходят из корпоративной сети A.

Итак, я хочу сделать следующее: позволить компании A ограничить доступ к услугам компании B, потребовав, чтобы все пользователи, получающие доступ к услугам, находились в сети компании A.

Это было бы легко, если бы это была только одна сеть, и я хотел бы предотвратить доступ извне.

Я могу придумать два возможных решения:

  1. Разбейте сеть на сегменты. Вы можете использовать теги VLAN для запуска двух разных сегментов в одной физической сети. Затем вы раздаете два разных диапазона IP-адресов с помощью DHCP и используете один или несколько маршрутизаторов для маршрутизации трафика между сегментами.
  2. Установите ретранслятор DHCP на каждую точку доступа и попросите точку доступа заблокировать пересылку DHCP-запроса - за исключением своего собственного ретранслятора. Затем настройте ретранслируемый DHCP-запрос на получение IP-адресов, отличных от IP-адресов, передаваемых проводному оборудованию. Обратите внимание, что это не надежный механизм контроля доступа. Пользователи могут легко обойти эту версию, назначив статический IP-адрес.

Это классический вариант использования RADIUS аутентификация. Вы не предоставили платформу, поэтому мы не можем предоставить конкретные детали реализации, но, как правило, это решение выбора для корпоративных сетей именно потому, что оно позволяет вам определять разрешенные группы пользователей для доступа к сети, включая Wi-Fi. В сочетании с PKI он может даже делать это совершенно прозрачно для конечного пользователя - пользователям или устройствам с необходимыми сертификатами разрешено подключаться, другим - нет.