Jump to content
Калькуляторы

Фильтрация по MAC для двух Wi-Fi (SSID) на UniFi Фильтрация по MAC для двух Wi-Fi сетей на одном девайсе включая UniFi

Уважаемые форумчане, всем Доброго времени суток !

Появилась у меня задача в офисе реализовать следующею схему построенную частично на витухе и на Wi-Fi. На отдельной машинке собран роутер Mikrotik OS. Есть три свича CISCO в которые подключены юзеры (в общем около 100). Также в эти свитчи для раздачи Wi-Fi подключены точки (UniFi Ap, CISCO Aironet 1600 и простой роутер ASUS RT-N66U в режиме АР. Интернет раздается через UniFi на котором я создал две сети (SSID), одна для офисных юзеров, а вторая гостевая для любых личных девайсов и гостей, без доступа к локальной сети. Мне необходимо организовать фильтрацию по MAC-address исключительно для основной сети, при этом не затрагивая фильтрацией гостевую. Имеется ввиду, чтобы офисный юзер зная пароль от основной сети не смог подключаться своим смартом, планшетом и т.д. В UniFi AP функции фильтрации нет, а подключить головным устройством CISCO Aironet 1600 тоже не получится, так как Uni не сможет подключиться к CISCO. Вопрос в том, может кто подскажет какие либо варианты решения этой залачи ? Я уже передумал все что смог….

Share this post


Link to post
Share on other sites

RADIUS?

А как конкретно вы предлагаете реализовать RADIUS ?

Я думал об этом варианте, но вопрос в подключении к самой сети. Может я не полно изложил, но суто в том, что на одной точке подняты две сети основная и гостевая. Юзеры одни и те же люди, только они должны иметь возможность с рабочей машины подключаться к сети с локалкой, а с личного девайса только в гостевую. Пароли им известны от обоих сетей, выходит ограничить доступ можно только фильтрацией.

Share this post


Link to post
Share on other sites

Ну можно ограничится вообще одной сетью +RADIUS:

Авторизация по MAC или по логин+пароль, если МАК известен, то по динамическому vlan помещается в одну сеть, если нет -- в другую.

На офф. форуме есть пример настройки динамического vlan.

Если не хотите делать открытую сеть -- то авторизация по логину+паролю, можно сделать как гостевой логин с отдельным vlan, так и дополнительно фильтроваь по Colling-Station-ID (радиус-атрибут, в котором хранится МАК-адрес)

Share this post


Link to post
Share on other sites

Поднимет стандартный микротиковский хот спот, юзер менеджер там тоже в стандарте, на нем есть привязка по мак (каждому свой логин). Или решение на базе микробил но он платный. Гостевая сеть в отдельный вилан и мимо юзер менеджера.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.