我的网络有大约 8,000 名用户,他们在多栋大楼里工作。员工流动频繁,目前迫使交换机端口上的 VLAN 配置发生变化。此外,我们组织中有许多设备制造商,例如 Juniper、HP/Aruba、Cisco、TP-Link 和华为。
我想在交换机上仅使用几个 VLAN:VoIP、打印机、内部网络 (Intranet)。仅通过身份验证后的 VPN 访问互联网。我需要收集日志 (IP <-> 用户) - 适用我国法律。我们组织中有一个 radius 服务器,我可以使用它来授权用户。
是否有可能基于开源软件构建 VPN 集群? - 我需要 HA 解决方案。
我也愿意接受其他解决我的问题的建议。
答案1
员工流动频繁,这迫使交换机端口上的 VLAN 配置发生变化。
看起来,您可能正在使用基于端口的 VLAN,而不是特权组。这不仅非常麻烦,而且也不安全。(任何用户都可以将他们的计算机重新插入另一个插孔以更改其安全级别。)
相反,你应该使用端口级安全例如 IEEE 802.1X,用户需要对网络进行身份验证,然后才能与 VLAN 或安全级别相关联。
另外,一些解决方案允许您识别防火墙上的 (Windows) 用户,并根据该身份及其组成员身份应用规则(有时称为单点登录,我是或者简单地AAA)。如果您的服务器位于用户的 VLAN 内,则应将它们移出,移至一个或多个自己的 VLAN - 然后根据用户组成员身份在防火墙上控制对它们的访问。而且根本不需要不同权限级别的用户 VLAN。
至于产品推荐,抱歉,这些显然与主题无关。不过,使用软件解决方案终止 8000 名用户很可能需要一组 VPN 服务器/网关。上面建议的概念应该维护成本要低得多。