Serj_spb Posted August 22, 2011 Posted August 22, 2011 (edited) Заранее извиняюсь за дурацкий вопрос - тема крайне обширная, но всё же: Подскажите пожалуйста с чего стоит начать изучение вопроса и что конкретно стоит почитать при такой задаче: корпоративная сетка, все MAC известны, у каждого отдела свой vlan, пользователь подключается к любой розетке и порт в зависимости от мака назначается в нужный вилан и в соответствие с виланом машинка получает себе ip (привязка MAC-IP). Если мак машинки неизвестен (личный ноут), то отдельный вилан с авторизацией пользователя через веб-морду. Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis. Edited August 22, 2011 by Serj_spb Вставить ник Quote
vlad11 Posted August 22, 2011 Posted August 22, 2011 Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis. А ну-ка, расскажите, как это в циско настроено автоматическая выдача вланов. Вланы и MAC адреса на разных уровнях OSI. Вставить ник Quote
sirmax Posted August 22, 2011 Posted August 22, 2011 mac-based-vlan ? на всех свитчах предприятия? Хм... Вставить ник Quote
s.lobanov Posted August 22, 2011 Posted August 22, 2011 mac-based-vlan ? на всех свитчах предприятия? Хм... huawei s23xx-tp-ei умеют, обычные такие L2+ свитчи, вопрос лишь в том захочет ли huawei возиться с предприятием ради продажи десятка свитчей. Если же делать без mac-based-vlan, то скорее всего будет схема влан-на-свитч+dhcp snooping+ip source guard+arp inspection. На dhcp-сервере сделать класс для правильных маков и для гостевых и выдавать им разные ip. На точке терминирования на все L3-интерфейса вешать по 2 сетки - правильную и гостевую. Далее - либо PBR на L3-оборудовании, либо всё это сводить на сервер, где с помощью iptables заруливать гостевые IP на портал авторизации. Если с mac-based-vlan, то придётся прописывать все маки на каждый свитч, а кол-во мак-префиксов в функционале mac-based-vlan так или иначе, ограничено. Вставить ник Quote
Ivan_83 Posted August 22, 2011 Posted August 22, 2011 802.x авторизация на радиус сервере - возможно в ответе от радиус сервера можно указать влан, либо ловить трапы и динамически конфигурить. Вставить ник Quote
wtyd Posted August 23, 2011 Posted August 23, 2011 802.x авторизация на радиус сервере - возможно в ответе от радиус сервера можно указать влан, либо ловить трапы и динамически конфигурить. Первое - у цыскиного 802.1x есть mac based auth, как написанов доке, это для принтеров и других девайсов, которые не могут делать 802.1x по логину и паролю. Таким образом радиус должен давать/запрещать аутентификацию по мак адресу, его надо так настроить. Ну и соответственно там все плюшки 802.1х, среди которых влан, полиси-мап, гостевой влан и т.п. Наверное это умеют не все свичи цыско, старые вроде как не должны. Вообще это фича ios, а не самоо свича. Вставить ник Quote
elcambino Posted September 9, 2011 Posted September 9, 2011 Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis. А ну-ка, расскажите, как это в циско настроено автоматическая выдача вланов. Вланы и MAC адреса на разных уровнях OSI. vmps Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.