Jump to content
Калькуляторы

Фильтрация по MAC для двух Wi-Fi (SSID) на UniFi Фильтрация по MAC для двух Wi-Fi сетей на одном девайсе включая UniFi

Уважаемые форумчане, всем Доброго времени суток !

Появилась у меня задача в офисе реализовать следующею схему построенную частично на витухе и на Wi-Fi. На отдельной машинке собран роутер Mikrotik OS. Есть три свича CISCO в которые подключены юзеры (в общем около 100). Также в эти свитчи для раздачи Wi-Fi подключены точки (UniFi Ap, CISCO Aironet 1600 и простой роутер ASUS RT-N66U в режиме АР. Интернет раздается через UniFi на котором я создал две сети (SSID), одна для офисных юзеров, а вторая гостевая для любых личных девайсов и гостей, без доступа к локальной сети. Мне необходимо организовать фильтрацию по MAC-address исключительно для основной сети, при этом не затрагивая фильтрацией гостевую. Имеется ввиду, чтобы офисный юзер зная пароль от основной сети не смог подключаться своим смартом, планшетом и т.д. В UniFi AP функции фильтрации нет, а подключить головным устройством CISCO Aironet 1600 тоже не получится, так как Uni не сможет подключиться к CISCO. Вопрос в том, может кто подскажет какие либо варианты решения этой залачи ? Я уже передумал все что смог….

Share this post


Link to post
Share on other sites

RADIUS?

А как конкретно вы предлагаете реализовать RADIUS ?

Я думал об этом варианте, но вопрос в подключении к самой сети. Может я не полно изложил, но суто в том, что на одной точке подняты две сети основная и гостевая. Юзеры одни и те же люди, только они должны иметь возможность с рабочей машины подключаться к сети с локалкой, а с личного девайса только в гостевую. Пароли им известны от обоих сетей, выходит ограничить доступ можно только фильтрацией.

Share this post


Link to post
Share on other sites

Ну можно ограничится вообще одной сетью +RADIUS:

Авторизация по MAC или по логин+пароль, если МАК известен, то по динамическому vlan помещается в одну сеть, если нет -- в другую.

На офф. форуме есть пример настройки динамического vlan.

Если не хотите делать открытую сеть -- то авторизация по логину+паролю, можно сделать как гостевой логин с отдельным vlan, так и дополнительно фильтроваь по Colling-Station-ID (радиус-атрибут, в котором хранится МАК-адрес)

Share this post


Link to post
Share on other sites

Поднимет стандартный микротиковский хот спот, юзер менеджер там тоже в стандарте, на нем есть привязка по мак (каждому свой логин). Или решение на базе микробил но он платный. Гостевая сеть в отдельный вилан и мимо юзер менеджера.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this