本帖最后由 KYLE_K 于 2017-3-22 12:04 编辑
现在的AC或者SG的防共享上网的机制是,发现防共享上网的数据包,就进行拦截。有一个猜想是,有没有办法可以使客户端根本没办法把网络共享出来?于是有了SSL VPN+SG做防共享上网的想法。
这个想法基于以下原因: 1.SSL VPN发布的TCP资源,无需安装虚拟网卡,所以如果把外网访问当成TCP资源来发布,那就没办法共享了。
2.如果只发布TCP资源,问题就来了,网上公网地址太多了,根本不可能在SSL VPN上做资源发布。但如果发布的TCP资源是代理服务器呢,就不存在这个问题了。网上的UDP传输(例如QQ)也通过代理服务来完成,这样就无需在SSL VPN上发布L3VPN资源,L3VPN资源会安装虚拟网卡,有网卡就可能被共享。
3.SG调用SSL VPN上面的用户认证信息,那SG就既无需再多做一次验证,也可以保证SSL VPN和SG上面用户信息的一致性。
但这个想法我这边没有环境验证,希望各位小伙伴讨论一下这问题,或有条件的小伙伴者验证一下这个方案是否可行 |