Вопросы Теги

Аутентификация Порта Cisco Dot1x - VLAN выбрал, на основе какого домена пользователь входит в систему на компьютере?

То, что Вы ищете, называют присоединенным порталом. Необходимо было бы озираться для нахождения того, который работает с переключателями, которые Вы используете все же. В основном все неаутентифицируемые порты должны быть на их собственном изолированном VLAN. После того как кто-то проходит проверку подлинности на порте, он был бы отодвинут к нормальному VLAN, и трафик будет обычно работать.

6
задан 24 June 2013 в 11:28
3 ответа

Вы можете сделать что-то вроде packetfence http://www.packetfence.org/ Он может управлять доступом на основе ролей, что похоже на то, что вы » чем заняться.

1
ответ дан 3 December 2019 в 00:36

Вам понадобится сервер RADIUS (вероятно, FreeRADIUS), который отправляет обратно дополнительные атрибуты.

В частности, он должен отправлять некоторые определенные атрибуты, подробности см. в RFC2868

Это то, что я использую для беспроводных клиентов, но он работает так же для проводного 802.1X:

  • Tunnel-Type = VLAN,
  • Tunnel-Medium-Type = IEEE-802 ,
  • Tunnel-Private-Group-Id = 1234

Где 1234 - это требуемый идентификатор VLAN.

Конечно, вы должны проверить, поддерживает ли ваш коммутатор указанные атрибуты. Он также может поддерживать некоторые другие атрибуты, которые обеспечивают то же самое, приведенный выше пример работает с Cisco.

2
ответ дан 3 December 2019 в 00:36

This doesn't seem viable to me. I mean, if you change the VLAN a port belongs to "on the fly", then the port is temporarily going to go offline and then come back ... if you don't have port-fast enabled, then it's got the whole listening / learning / forwarding cycle to go through. You'd also have the link speed negotiations to go through, reestablishing a new DHCP address, communicating with the domain controller ... etc and so on. In short, your log-on times would be horrendous.

Your post says that folks are "plopping a laptop down". I'm assuming that the new employees from the other companies will be working on laptops from those companies, correct? Instead of having them wire into the network, why don't you just go wireless? Then, you can set up multiple SSIDs on your APs and map each SSID to the VLAN you want the device to access. You could assign one password for Company A's devices, and another password for Company B.

End users don't get the passwords, and Company A employees aren't using Company B laptops and vice versa. Everybody's on the VLAN and the domain you want. Company B's laptops automatically join to Company B's SSID, etc.

Besides, you don't really want open ports on your network where just anyone can waltz in and jack into your network.

1
ответ дан 3 December 2019 в 00:36

Теги

Похожие вопросы