Как удостовериться, что клиенты используют только IP, присвоенный через DHCP
Мы хотим ограничить пользовательское Использование Интернета на ежедневной транспортной основе, но не пропускной способности локальной сети. Наши пользователи находятся на различных платформах (Windows, Android, IOS), поэтому не возможно вызвать любые политики, например, Active Directory, и если бы это было бы возможно, он ограничил бы целую пропускную способность. Единственный путь, который остается, состоит в том, чтобы сделать ограничение на основе IP в краю сети. Это - возможное использование Mikrotik или другие брандмауэры. Но проблема, что пользователи могут изменить своего дюйм/с, когда предел достигнут, и они могут продолжить использовать интернет-пропускную способность. Таким образом, идея состояла в том, чтобы удостовериться, что пользователи могут только передать, когда их MAC-адрес и IP, присвоенный через наш сервер DHCP, соответствуют. Это должно быть возможно в коммутаторах Cisco и могло быть сделано на основном коммутаторе. Я думаю, что считал что-то о соединении между Коммутаторами Cisco и Сервером DHCP.
Вопрос состоит в том, как это возможно, или является там каким-либо другим решением, которое могло бы быть легче и более эффективным?
Мы используем APS, переключатели Cisco 2960 и Cisco 4500 как основной коммутатор. Наш DHCP является FreeBSD, но мы готовы измениться, если он необходим. Метод аутентификации для нашего APS 802.1x.
Править:
Мы попробовали решение с помощью сервера RADIUS, который дал нам возможность знать, сколько трафика использовалось каждым пользователем (через порт 1812/1813), но проблемой был единственный способ ограничить пользователя, не должен позволять ему соединяться, когда его предел был достигнут. Это означает, пока пользователь не соединяется снова, он может загрузить без любого ограничения.
Мы также думали о Прокси-сервере как о решении, но у нас было две проблемы:
- У нас были проблемы производительности со сквидом и сквидом установки, поскольку прозрачный прокси является слишком большой работой.
- Другие прокси также имели проблемы производительности и тех, кто работал хорошо, не имел функции, которая будет использоваться в качестве прозрачного прокси.
Лучше сделать это на уровне 7, а не на уровне 2 или 3.
Устройства могут изменять свой MAC, а также IP-адрес. (Пользователю сложнее изменить свой MAC-адрес, но это все еще возможно.) Если у вас есть люди, меняющие IP-адреса, чтобы обойти ограничения, то это только вопрос времени, когда они тоже изменят MAC-адреса.
Там это пара решений, которые я могу придумать в своей голове.
Адаптивный портал, который требует от пользователя аутентификации с использованием учетных данных для каждого пользователя (например, RADIUS обратно в вашу Active Directory), даст вам разрешение на- подотчетность пользователей. Существует множество продуктов, как коммерческих, так и бесплатных / с открытым исходным кодом, которые могут это сделать.
Заставить пользователей подключаться к VPN, используя учетные данные для каждого пользователя, чтобы получить доступ за пределы беспроводной подсети.
И то, и другое. методы не требуют утомительной перекрестной ссылки IP-MAC и легко масштабируются при добавлении новых пользователей / устройств.
Вы можете использовать ebtables для фильтрации пакетов по MAC-адресу с неправильным IP-адресом, например:
ebtables -N USER
ebtables -A FORWARD -p ip -i eth0 -j USER
ebtables -P USER DROP
ebtables -A USER -p ip --ip-src 192.168.0.52 -s 00:52:2c:be:ac:2a -j ACCEPT
ebtables -A USER -p ip --ip-src 192.168.0.23 -s 01:51:2d:be:pc:1b -j ACCEPT
Здесь мы разрешаем пользователю с MAC 00: 52: 2c: be: ac: 2a только для использования IP 192.168.0.52 и то же самое для других.
Но, насколько мне известно, телефоны iOS (и другие, я полагаю) сбрасывают MAC-адрес при каждом подключении по соображениям безопасности, чтобы сделать невозможным отслеживание миграции устройства с одной точки доступа Wi-Fi в другую. Так что полагаться на MAC-адрес не на 100% правильно.
Другой способ решить эту проблему - возможно, ввести L2TP и разрешить Интернет-трафик только по нему. Вы дадите каждому пользователю пару пользователь / пароль и назначите статические IP-адреса. Тогда вы сможете отслеживать трафик по IP.