来宾用户、流动人员比较多的局域网,如果不对来宾上网进行管控,不但会占用企业带宽资源,还会带来安全隐患和政策风险。对于企业环境来说,一般推荐来宾和办公网络采用不同的无线SSID,分开进行管控。具体方案如下:
来宾和办公网络采用不同的无线SSID。
对来宾和办公采用不同的限速和行为管理策略。
来宾和办公网络采用不同的VLAN,并且不允许来宾访问公司内网。
不但要设置不同的无线密码,而且需要进行IP-MAC绑定等策略,禁止来宾用户接入到办公网络。
以上的方案,我们在这篇文章中已经有了详细的介绍:无线AP如何区分来宾(流动)用户和正常用户?
对于一些小型的网络环境,比如只有一个无线AP,无法设置不同的VLAN和SSID。这种情况下,也需要对来宾用户进行上网行为管理,可以采用下面的方案:
a. 对固定人员的电脑和手机进行ip-mac绑定。
b. 来宾用户自动获取IP。且自动获取IP的范围(DHCP)和固定人员的IP范围要区分开。
c. 固定人员和来宾用户采用不同的限速和行为管理策略。
一些配置如下图:
1. 对固定人员的手机和电脑进行ip-mac绑定
2. DHCP的IP分配范围和固定人员的IP要区分开
3. 固定办公人员的IP要求严格绑定
4. 来宾和固定人员采用不同的带宽和上网行为管理策略。
经过以上步骤,即可对来宾用户进行有效的管理。当然,有条件的话,还是应当考虑分开不同的VLAN,这样安全性会更高一些。另外推荐再开启短信认证、微信认证等认证手段,记录来宾的微信和手机号,从而使上网记录有据可查。
