Eviled Posted June 21, 2024 Posted June 21, 2024 (edited) Добрый день. На данный момент имеются настроенные коммутаторы различных моделей. Настройки конечных портов одинаковые: Скрытый текст Interface Ethernet1/0/4 switchport mode hybrid switchport hybrid allowed vlan 1-4094 untag dot1x enable dot1x port-method portbased mac-authentication-bypass enable mac-authentication-bypass binding-limit 10 mac-authentication-bypass guest-vlan 1 Изначально планировалось, что при подключении любого устройства без суппликанта (камеры, контроллеры скуд и пр), порт будет получать необходимую vlan согласно настройкам AD+Radius. С этим все получилось. Однако появилась проблема с трафиком. Теперь в любом из этих гибридных портов гуляет "лишний" трафик, например куча ARP запросов из других подсетей. Подскажите, возможно есть какое-то решение? Либо "универсальные" порты надо переводить в Access и каждый раз при смене конечного устройства менять Vlan? Заранее спасибо! Edited June 21, 2024 by Eviled Вставить ник Quote
Vladimir Efimtsev Posted June 24, 2024 Posted June 24, 2024 @Eviled, здравствуйте. Если вы планируете использовать MAB, то порт, в любом случае, должен быть настроен в hybrid mode, это обязательное условие. У вас на порту разрешены вообще все VLAN (с 1 по 4094), поэтому неудивительно, что вы видите трафик из других подсетей. На гибридном порту "untag" работает на OUT, то есть это трафик, отправляемый С порта, а если учитывать, что ARP-запросы, которые вы видите, широковещательные, то логично, что вы их также видите. Подскажите, вам действительно нужны все эти VLAN на конечных портах? Приведу пример настройки порта подключения конечного пользователя для работы MAB: Например, я хочу выдать устройству за данным портом VLAN 200. Как уже сказал, обязательным условием для работы MAB является перевод порта в hybrid mode, а также необходимо native vlan на порту дополнительно выдать untag. В вашем случае, native vlan у вас по умолчанию 1, тогда настройки будут такие: Interface Ethernet1/0/4 switchport mode hybrid switchport hybrid allowed vlan 1;200 untag mac-authentication-bypass enable ! Это и есть минимальные настройки для работы MAB, и если вам не нужны на порту все эти VLAN для работы клиента, то и не нужно их все разрешать на порту, тогда и не будет ненужного трафика из других подсетей. Если же по какой-то причине вам действительно необходимы все эти VLAN на порту, то в таком случае порт, как уже говорил, нельзя переводить в access для работы MAB, вы можете только как-то зафильтровать ненужный трафик, например, с помощью ACL. Вставить ник Quote
Eviled Posted June 27, 2024 Author Posted June 27, 2024 @Vladimir Efimtsev, спасибо за ответ. Вставить ник Quote
y872390122 Posted April 9, 2025 Posted April 9, 2025 Тоже хотелось повторить такое, чтобы access порт переезжал в влан, полученный из RADIUS Tunnel-Private-Group-Id. Подскажите пожалуйста, среди SNR есть модель (желательно 8 портов) с такой возможностью? Вставить ник Quote
Александр Дюков Posted April 14, 2025 Posted April 14, 2025 @y872390122 Здравствуйте! Все коммутаторы SNR, поддерживающие MAB, способны перемещать трафик авторизованного клиента в PrivateVlan. MAB пока что не поддерживается на серии 5ххх, но функционал разрабатывается и будет внедрен по плану в 2-3 квартале этого года. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.