來賓用戶、流動人員比較多的局域網,如果不對來賓上網進行管控,不但會占用企業帶寬資源,還會帶來安全隱患和政策風險。對于企業環境來說,一般推薦來賓和辦公網絡采用不同的無線SSID,分開進行管控。具體方案如下:
來賓和辦公網絡采用不同的無線SSID。
對來賓和辦公采用不同的限速和行為管理策略。
來賓和辦公網絡采用不同的VLAN,并且不允許來賓訪問公司內網。
不但要設置不同的無線密碼,而且需要進行IP-MAC綁定等策略,禁止來賓用戶接入到辦公網絡。
以上的方案,我們在這篇文章中已經有了詳細的介紹:無線AP如何區分來賓(流動)用戶和正常用戶?
對于一些小型的網絡環境,比如只有一個無線AP,無法設置不同的VLAN和SSID。這種情況下,也需要對來賓用戶進行上網行為管理,可以采用下面的方案:
a. 對固定人員的電腦和手機進行ip-mac綁定。
b. 來賓用戶自動獲取IP。且自動獲取IP的范圍(DHCP)和固定人員的IP范圍要區分開。
c. 固定人員和來賓用戶采用不同的限速和行為管理策略。
一些配置如下圖:
1. 對固定人員的手機和電腦進行ip-mac綁定
2. DHCP的IP分配范圍和固定人員的IP要區分開
3. 固定辦公人員的IP要求嚴格綁定
4. 來賓和固定人員采用不同的帶寬和上網行為管理策略。
經過以上步驟,即可對來賓用戶進行有效的管理。當然,有條件的話,還是應當考慮分開不同的VLAN,這樣安全性會更高一些。另外推薦再開啟短信認證、微信認證等認證手段,記錄來賓的微信和手機號,從而使上網記錄有據可查。
