В моей компании работает около 600-700 удаленных сотрудников, каждому из которых выдается корпоративный IP-телефон и вычислительная конечная точка тонкого клиента.
В нашем текущем развертывании оба устройства настраиваются (параметры по умолчанию, vpn и т. Д.) В нашем корпоративном офисе и отправляются конечным пользователям.
У нас есть пара проблем с этим текущим развертыванием, главная из которых заключается в том, что наша группа поддержки почти не видит домашней сети наших сотрудников, когда им нужна поддержка (что затрудняет определение того, на нашей стороне проблема или с интернет-провайдером сотрудников.
Мы рассматриваем возможность замены нашего стандартного развертывания инфраструктуры на управляемую точку доступа (вероятно, Cisco Meraki z1) для лучшего обзора домашней сети наших сотрудников. Одно из предложений для этого развертывания включает в себя просьбу сотрудников подключить как можно больше своих домашних устройств через свои Meraki (чтобы мы могли лучше предоставлять гарантии QOS для их рабочих устройств).
Это изменение вызывает у меня двоякое беспокойство:
1) В настоящее время оба устройства, выданные нашим сотрудникам, управляют своими собственными настройками vpn, при этом все остальные порты связи заблокированы, поэтому благодаря нашим аудитам мы уверены, что устройства общаются только через зашифрованные каналы. Предлагаемое развертывание с Meraki включает в себя новый сетевой канал, не управляемый VPN (сам Meraki будет подключен через VPN, устройства не будут).
2) Возможно, нет ничего значительного различия между подключением устройств к точке доступа Meraki и текущим развертыванием, когда сотрудники напрямую подключают свои устройства к домашним маршрутизаторам, но мне хочется лучше понять настройки брандмауэра с отслеживанием состояния на Meraki z1, отделить домашние устройства от корпоративных.
Есть ли там опытные пользователи Meraki или специалисты по сетевой безопасности, которые могут прокомментировать любую из этих проблем?
С Z1 вы можете создать две сети VLAN - одну подключенную к VPN, а другую - нет. Затем вы должны создать SSID, которые подключают устройства к каждой из этих LANS. Вы можете назначить одни порты VPN-портами, а другие нет, и поручить сотрудникам подключать устройства компании к SSID или портам компании, а их собственные устройства - к другим SSID и портам.
К сожалению, Z1 в настоящее время не поддерживает принудительное выполнение этого с помощью MAC-адресов или их нового System Manager Sentry, что было бы довольно просто. Вы можете использовать аутентификацию RADIUS, чтобы разрешить проводной и беспроводной доступ к VLAN / SSID компании, но сервер RADIUS будет другой стороной интернет-соединения. Я думаю, это ваш лучший выбор.