요청이 들어오는 네트워크를 기반으로 클라우드 서비스에 대한 액세스를 제한하고 싶습니다. 나는 네트워크와 네트워크 내에서 요청을 받는 클라우드 서비스를 모두 제어할 수 있습니다. 네트워크는 라우터 뒤에 있습니다. 즉, 모든 사용자는 동일한 나가는(동적) IP 주소를 갖습니다.
예를 들어보겠습니다. A 회사는 B 회사로부터 서비스를 구매합니다. B 회사의 서비스는 클라우드에서 호스팅됩니다. 이제 A는 사용자가 A의 회사 네트워크에 있는 경우에만 이 서비스를 사용할 수 있기를 원합니다. 따라서 B는 A 사용자의 요청이 A의 회사 네트워크에서 발생하는지 확인해야 합니다.
그래서 제가 하고 싶은 것은 서비스에 액세스하는 모든 사용자가 회사 A의 네트워크 내에 있도록 요구하여 회사 A가 회사 B의 서비스에 대한 액세스를 제한하도록 하는 것입니다.
하나의 네트워크라면 쉬울 텐데, 외부 접속을 차단하고 싶었습니다.
답변1
내가 생각할 수 있는 두 가지 가능한 해결책은 다음과 같습니다.
- 네트워크를 세그먼트로 분할합니다. VLAN 태그 지정을 사용하여 하나의 물리적 네트워크에서 두 개의 서로 다른 세그먼트를 실행할 수 있습니다. 그런 다음 DHCP를 사용하여 서로 다른 두 범위의 IP 주소를 전달하고 하나 이상의 라우터를 사용하여 세그먼트 간에 트래픽을 라우팅합니다.
- 각 AP에 DHCP 릴레이를 배치하고 AP가 자체 릴레이를 통하는 경우를 제외하고 DHCP 요청이 전달되는 것을 차단하도록 합니다. 그런 다음 유선 장비에 전달된 IP 주소와 구별되는 IP 주소를 가져오는 중계된 DHCP 요청을 준비합니다. 이는 강력한 액세스 제어 메커니즘이 아닙니다. 사용자는 고정 IP 주소를 할당하여 이 버전을 쉽게 우회할 수 있습니다.
답변2
이는 다음의 전형적인 사용 사례입니다.RADIUS 인증. 플랫폼을 제공하지 않았기 때문에 구체적인 구현 세부 정보를 제공할 수는 없지만 Wi-Fi를 포함하여 네트워크 액세스에 허용된 사용자 그룹을 정의할 수 있기 때문에 일반적으로 기업 네트워크에 선택되는 솔루션입니다. PKI와 결합하면 최종 사용자에게 완전히 투명하게 이를 수행할 수도 있습니다. 필수 인증서가 있는 사용자 또는 장치는 연결이 허용되고 다른 사용자 또는 장치는 연결이 허용되지 않습니다.