我的大学实施了一项严格的新网络政策,我们通常被告知这是“除非允许,否则限制”,而以前是“除非限制,否则允许”。
例如,当我们将一台新笔记本电脑插入以太网端口时,它会获取一个 IP 地址,但无法 ping 出(无论是到命名域,如www.google.com或者像8.8.8.8这样的数字),在向IT部门请求“许可”后,网络才允许笔记本电脑正常连接。
通过以太网连接到网络的大多数计算机都是 Windows 10 计算机,IT 人员对其拥有完全的管理权限。一小部分是教职员工和学生的笔记本电脑,这些笔记本电脑上可能装有任何操作系统,IT 人员对它们没有管理权限。
我只是想知道这个策略是如何实施的?通过 MAC 地址白名单/黑名单?如果是这样,这些白名单/黑名单在哪里?在每个教职员大楼的路由器上还是在中央网关?出于好奇,我听到其他人试图将他们的 MAC 地址欺骗到连接到网络的现有机器(这些机器在实验中被关闭),但他们仍然应用了上述网络阻止。所以一定有比 MAC 过滤器更多的东西。
免责声明:我并不是想规避网络政策,我只是想了解事情是如何完成的。
谢谢您的任何意见。
答案1
ACL 很可能保存在 RADIUS 服务器中(很可能由 LDAP 实例支持)。
实际控制可能在以太网交换机上完成。
以太网交换机将更改端口映射到的 VLAN,然后仅允许访问强制门户,该门户将引导您联系 IT 支持以获得授权。
如果这不仅仅是 MAC 地址过滤,我会感到非常惊讶,但它可能还会将 MAC 地址与特定的以太网端口关联起来。