Jump to content
Калькуляторы

Vlan на группу

Заранее извиняюсь за дурацкий вопрос - тема крайне обширная, но всё же:

Подскажите пожалуйста с чего стоит начать изучение вопроса и что конкретно стоит почитать при такой задаче: корпоративная сетка, все MAC известны, у каждого отдела свой vlan, пользователь подключается к любой розетке и порт в зависимости от мака назначается в нужный вилан и в соответствие с виланом машинка получает себе ip (привязка MAC-IP). Если мак машинки неизвестен (личный ноут), то отдельный вилан с авторизацией пользователя через веб-морду.

Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis.

Edited by Serj_spb

Share this post


Link to post
Share on other sites

Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis.

 

А ну-ка, расскажите, как это в циско настроено автоматическая выдача вланов.

Вланы и MAC адреса на разных уровнях OSI.

Share this post


Link to post
Share on other sites

mac-based-vlan ?

на всех свитчах предприятия? Хм...

 

huawei s23xx-tp-ei умеют, обычные такие L2+ свитчи, вопрос лишь в том захочет ли huawei возиться с предприятием ради продажи десятка свитчей.

 

Если же делать без mac-based-vlan, то скорее всего будет схема влан-на-свитч+dhcp snooping+ip source guard+arp inspection. На dhcp-сервере сделать класс для правильных маков и для гостевых и выдавать им разные ip. На точке терминирования на все L3-интерфейса вешать по 2 сетки - правильную и гостевую. Далее - либо PBR на L3-оборудовании, либо всё это сводить на сервер, где с помощью iptables заруливать гостевые IP на портал авторизации.

 

Если с mac-based-vlan, то придётся прописывать все маки на каждый свитч, а кол-во мак-префиксов в функционале mac-based-vlan так или иначе, ограничено.

Share this post


Link to post
Share on other sites

802.x авторизация на радиус сервере - возможно в ответе от радиус сервера можно указать влан, либо ловить трапы и динамически конфигурить.

Share this post


Link to post
Share on other sites

802.x авторизация на радиус сервере - возможно в ответе от радиус сервера можно указать влан, либо ловить трапы и динамически конфигурить.

 

Первое - у цыскиного 802.1x есть mac based auth, как написанов доке, это для принтеров и других девайсов, которые не могут делать 802.1x по логину и паролю. Таким образом радиус должен давать/запрещать аутентификацию по мак адресу, его надо так настроить. Ну и соответственно там все плюшки 802.1х, среди которых влан, полиси-мап, гостевой влан и т.п.

 

Наверное это умеют не все свичи цыско, старые вроде как не должны. Вообще это фича ios, а не самоо свича.

Share this post


Link to post
Share on other sites

Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis.

 

А ну-ка, расскажите, как это в циско настроено автоматическая выдача вланов.

Вланы и MAC адреса на разных уровнях OSI.

 

vmps

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.