我想根据请求来源网络限制对云服务的访问。我可以控制网络和从网络内部接收请求的云服务。网络位于路由器后面,即所有用户都具有相同的传出(动态)IP 地址。
我举个例子:A 公司从 B 公司购买了一项服务。B 提供的这项服务托管在云端。现在,A 希望用户能够使用这项服务,当且仅当用户位于 A 的公司网络中时。因此,B 需要确保 A 用户的请求来自 A 的公司网络。
所以我想要做的是:让公司 A 通过要求所有访问服务的用户都在公司 A 的网络内来限制对公司 B 服务的访问。
如果只有一个网络,并且我想阻止外部访问,这将很容易。
答案1
我能想到的两种可能的解决方案是:
- 将网络划分为多个段。您可以使用 VLAN 标记在一个物理网络上运行两个不同的段。然后使用 DHCP 分配两个不同的 IP 地址范围,并使用一个或多个路由器在段之间路由流量。
- 在每个 AP 上放置一个 DHCP 中继,并让 AP 阻止转发 DHCP 请求(除非通过其自己的中继)。然后安排中继的 DHCP 请求获取与分发给有线设备的 IP 地址不同的 IP 地址。请注意,这不是一种强大的访问控制机制。用户可以通过分配静态 IP 地址轻松绕过此版本。
答案2
这是一个经典的用例RADIUS 身份验证。您没有提供平台,因此我们无法提供具体的实施细节,但这通常是企业网络的首选解决方案,因为它允许您定义允许访问网络的用户组,包括 Wifi。结合 PKI,它甚至可以对最终用户完全透明地做到这一点 - 具有必要证书的用户或设备可以连接,其他则不允许。