Я хотел бы ограничить доступ к облачному сервису на основе сети, из которой поступают запросы. У меня есть контроль как над сетью, так и над облачным сервисом, получающим запросы из этой сети. Сеть находится за маршрутизатором, т. е. все пользователи имеют один и тот же исходящий (динамический) IP-адрес.
Приведу пример: компания A покупает услугу у компании B. Услуга B размещена в облаке. Теперь A хочет, чтобы пользователи могли использовать эту услугу только в том случае, если пользователи находятся в корпоративной сети A. Таким образом, B необходимо убедиться, что запросы от пользователей A исходят из корпоративной сети A.
Итак, я хочу сделать следующее: позволить компании A ограничить доступ к услугам компании B, потребовав, чтобы все пользователи, получающие доступ к услугам, находились в сети компании A.
Это было бы просто, если бы это была только одна сеть и я хотел бы предотвратить внешний доступ.
решение1
Мне приходят в голову два возможных решения:
- Разделите сеть на сегменты. Вы можете использовать тегирование VLAN для запуска двух разных сегментов в одной физической сети. Затем вы раздаете два разных диапазона IP-адресов с помощью DHCP и используете один или несколько маршрутизаторов для маршрутизации трафика между сегментами.
- Установите DHCP-ретранслятор на каждую точку доступа и заблокируйте пересылку DHCP-запроса, за исключением собственного ретранслятора. Затем организуйте, чтобы ретранслируемый DHCP-запрос получал IP-адреса, которые отличаются от адресов, выдаваемых проводному оборудованию. Обратите внимание, что это не надежный механизм контроля доступа. Пользователи могут легко обойти эту версию, назначив статический IP-адрес.
решение2
Это классический пример использованияRADIUS-аутентификация. Вы не указали платформу, поэтому мы не можем предоставить конкретные подробности реализации, но это, как правило, является решением выбора для корпоративных сетей именно потому, что оно позволяет вам определять разрешенные группы пользователей для доступа к сети, включая Wi-Fi. В сочетании с PKI это может даже сделать это полностью прозрачно для конечного пользователя — пользователи или устройства с необходимыми сертификатами могут подключаться, другие — нет.