染指年华丶小雨
首先,没有开源软件。
其次,有两种方式的产品。一种是在每台电脑上面安装客户端,通过客户端来设置权限。另外是网络上进行控制。
我推荐用IP-MAC绑定的方式,在交换机或者路由器上做IP-mac绑定。未授权的mac地址可以禁止接入。这样对绝大部分的网络都可以实现安全保护。
IP-MAC绑定一直是局域网管理的一个重要部分。但是其实现却往往比较复杂,一般会有如下问题:
大部分路由器的IP-MAC绑定功能比较局限。一般就是简单的ARP绑定。客户机手动修改IP等方式来突破。
路由器由于硬件限制,允许的IP-MAC绑定条目比较少,一般在256条以内。
交换机上进行IP-MAC绑定,配置和维护的工作量会比较大。
三层交换机的IP-MAC绑定往往需要专业技术人员才可以操作。
今天,我要介绍的是一种非常简单方便的IP-MAC绑定方式,无需修改交换机和路由器,不改变当前网络结构和配置,即插即用,web界面配置。非常简单方便就可以实现对局域网内客户机的IP-MAC绑定。具体介绍如下:
1. 透明网桥部署
用一台WSG设备(WFilter NGF)做透明网桥,串接在路由器和交换机之间。网络结构如下图:
网桥是完全透明的,串接在网络中,无需对局域网的IP配置、网络结构等做任何改动。就可以发挥作用。
2. 通过Web界面配置IP-MAC绑定
WSG在网桥模式下,一样可以实现完整的上网行为管理和审计功能。在本例中,我们只关注“IP-MAC绑定”的相关配置。如图:
局域网的客户机可以直接扫描导入,或者文本批量导入。如图:
对未绑定的客户机,可以禁止或者允许上网。
在网关模式下,你可以选择是否给未绑定的设备分配IP(需要在WFilter的接口设置中启用DHCP)。而在网桥模式下,DHCP服务是默认不启动的,如果你想要给客户机自动分配绑定的IP地址,那么这个选项是这样的,如下图:
当然,启用这个DHCP选项后,需要把你现有的DHCP服务关闭掉,否则DHCP会冲突。
笨驴技术
不太清楚 不了解这里不BB了
YADITC
开源软件落地也是有成本的,自己玩玩和作为业务部署是两个概念。
如果你有兴趣可以去看看802.1x及相关开源客户端和后台系统。
但是最具性价比和现实的方案是利用华为、cisco这些公司的路由器、交换机产品里附带的方案。