我的公司有大约 600-700 名远程员工,每个员工都配备了一部公司 IP 电话和一个瘦客户端计算端点。
在我们当前的部署中,两种设备均在我们的公司办公室配置(默认设置、vpn 等)并运送给最终用户。
我们在当前部署中遇到了一些问题,其中最主要的是,当员工需要支持时,我们的支持团队几乎无法了解员工的家庭网络(这使得很难确定问题是出在我们这边还是出在员工 ISP 上)。
我们正在考虑更换我们的标准基础设施部署,以包含托管接入点(可能是 Cisco Meraki z1),以便更好地了解员工的家庭网络体验。这项部署的一项建议包括我们要求员工通过他们的 Meraki 连接尽可能多的家庭设备(以便我们更好地为他们的工作设备提供 QOS 保证)。
这一变化在两个方面令我感到不安:
1) 目前,我们发给员工的两台设备都管理着自己的 VPN 设置,所有其他通信端口都被锁定,因此我们通过审核非常有信心,这些设备只通过加密通道进行通信。建议的 Meraki 部署包括一个不受 VPN 管理的新网络链接(Meraki 本身将通过 VPN 连接,而设备则不会)
2) 将设备连接到 Meraki AP 与当前部署中员工将其设备直接连接到家庭路由器之间可能没有什么显著差异,但我希望我能更好地理解 Meraki z1 上的状态防火墙设置,以将家庭设备与公司设备分开。
有没有经验丰富的 Meraki 用户或网络安全专家可以对这些问题发表评论?
答案1
使用 Z1,您可以创建两个 VLAN - 一个连接到 VPN,另一个不连接。然后,您可以创建将设备连接到每个 LAN 的 SSID。您可以将某些端口指定为 VPN 端口,将其他端口指定为 VPN 端口,并指示员工将公司设备连接到公司 SSID 或端口,将自己的设备连接到其他 SSID 和端口。
不幸的是,Z1 目前不支持通过 MAC 地址或新的 Systems Manager Sentry 来强制执行此操作,这两者都非常简单。您可以使用 RADIUS 身份验证来允许有线和无线访问公司 VLAN/SSID - 但 RADIUS 服务器将是互联网连接的另一端。我认为这是你最好的选择。