RTDV Posted September 15, 2014 · Report post Уважаемые форумчане, всем Доброго времени суток ! Появилась у меня задача в офисе реализовать следующею схему построенную частично на витухе и на Wi-Fi. На отдельной машинке собран роутер Mikrotik OS. Есть три свича CISCO в которые подключены юзеры (в общем около 100). Также в эти свитчи для раздачи Wi-Fi подключены точки (UniFi Ap, CISCO Aironet 1600 и простой роутер ASUS RT-N66U в режиме АР. Интернет раздается через UniFi на котором я создал две сети (SSID), одна для офисных юзеров, а вторая гостевая для любых личных девайсов и гостей, без доступа к локальной сети. Мне необходимо организовать фильтрацию по MAC-address исключительно для основной сети, при этом не затрагивая фильтрацией гостевую. Имеется ввиду, чтобы офисный юзер зная пароль от основной сети не смог подключаться своим смартом, планшетом и т.д. В UniFi AP функции фильтрации нет, а подключить головным устройством CISCO Aironet 1600 тоже не получится, так как Uni не сможет подключиться к CISCO. Вопрос в том, может кто подскажет какие либо варианты решения этой залачи ? Я уже передумал все что смог…. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted September 15, 2014 · Report post RADIUS? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RTDV Posted September 16, 2014 · Report post RADIUS? А как конкретно вы предлагаете реализовать RADIUS ? Я думал об этом варианте, но вопрос в подключении к самой сети. Может я не полно изложил, но суто в том, что на одной точке подняты две сети основная и гостевая. Юзеры одни и те же люди, только они должны иметь возможность с рабочей машины подключаться к сети с локалкой, а с личного девайса только в гостевую. Пароли им известны от обоих сетей, выходит ограничить доступ можно только фильтрацией. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted September 16, 2014 · Report post Ну можно ограничится вообще одной сетью +RADIUS: Авторизация по MAC или по логин+пароль, если МАК известен, то по динамическому vlan помещается в одну сеть, если нет -- в другую. На офф. форуме есть пример настройки динамического vlan. Если не хотите делать открытую сеть -- то авторизация по логину+паролю, можно сделать как гостевой логин с отдельным vlan, так и дополнительно фильтроваь по Colling-Station-ID (радиус-атрибут, в котором хранится МАК-адрес) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nurjr Posted September 16, 2014 · Report post Поднимет стандартный микротиковский хот спот, юзер менеджер там тоже в стандарте, на нем есть привязка по мак (каждому свой логин). Или решение на базе микробил но он платный. Гостевая сеть в отдельный вилан и мимо юзер менеджера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...