[Serj_spb]

Заранее извиняюсь за дурацкий вопрос - тема крайне обширная, но всё же:

Подскажите пожалуйста с чего стоит начать изучение вопроса и что конкретно стоит почитать при такой задаче: корпоративная сетка, все MAC известны, у каждого отдела свой vlan, пользователь подключается к любой розетке и порт в зависимости от мака назначается в нужный вилан и в соответствие с виланом машинка получает себе ip (привязка MAC-IP). Если мак машинки неизвестен (личный ноут), то отдельный вилан с авторизацией пользователя через веб-морду.

Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis.

Изменено 22 августа, 2011 пользователем Serj_spb

[vlad11]

Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis.

 

А ну-ка, расскажите, как это в циско настроено автоматическая выдача вланов.

Вланы и MAC адреса на разных уровнях OSI.

[Negator]

mac-based-vlan ?

[sirmax]

mac-based-vlan ?

на всех свитчах предприятия? Хм...

[s.lobanov]

mac-based-vlan ?

на всех свитчах предприятия? Хм...

 

huawei s23xx-tp-ei умеют, обычные такие L2+ свитчи, вопрос лишь в том захочет ли huawei возиться с предприятием ради продажи десятка свитчей.

 

Если же делать без mac-based-vlan, то скорее всего будет схема влан-на-свитч+dhcp snooping+ip source guard+arp inspection. На dhcp-сервере сделать класс для правильных маков и для гостевых и выдавать им разные ip. На точке терминирования на все L3-интерфейса вешать по 2 сетки - правильную и гостевую. Далее - либо PBR на L3-оборудовании, либо всё это сводить на сервер, где с помощью iptables заруливать гостевые IP на портал авторизации.

 

Если с mac-based-vlan, то придётся прописывать все маки на каждый свитч, а кол-во мак-префиксов в функционале mac-based-vlan так или иначе, ограничено.

[Ivan_83]

802.x авторизация на радиус сервере - возможно в ответе от радиус сервера можно указать влан, либо ловить трапы и динамически конфигурить.

[wtyd]

802.x авторизация на радиус сервере - возможно в ответе от радиус сервера можно указать влан, либо ловить трапы и динамически конфигурить.

 

Первое - у цыскиного 802.1x есть mac based auth, как написанов доке, это для принтеров и других девайсов, которые не могут делать 802.1x по логину и паролю. Таким образом радиус должен давать/запрещать аутентификацию по мак адресу, его надо так настроить. Ну и соответственно там все плюшки 802.1х, среди которых влан, полиси-мап, гостевой влан и т.п.

 

Наверное это умеют не все свичи цыско, старые вроде как не должны. Вообще это фича ios, а не самоо свича.

[elcambino]

Знаю что это реализванно у Cisco (покрайней мере в части виланов), но хотелось бы подробностей (пример конфигов, оборудования\"технолоигии" или мануалы с примерами) и аналоги от других производителей средней ценовой категории, в частности alliedtelesis.

 

А ну-ка, расскажите, как это в циско настроено автоматическая выдача вланов.

Вланы и MAC адреса на разных уровнях OSI.

 

vmps