Cisco Dot1x Port Authentication - VLAN, выбранная на основе того, в какой домен пользователь входит в систему на компьютере?

Question

Cisco Dot1x Port Authentication - VLAN, выбранная на основе того, в какой домен пользователь входит в систему на компьютере?

В настоящее время моя компания была выкуплена другой. В связи с этим в наш офис будут мигрировать еще две компании.

Было бы очень удобно, если бы мы могли выбрать vlan для пользователя в зависимости от того, к какому домену они пытаются подключиться, используя dot1x.

Е. Г. Вланс

100 CompanyA
200 CompanyB
300 CompanyC

Кто-то кладет ноутбук на стол, подключается к сетевому порту и нажимает CTRL-ALT-DEL, выбирает доменное имя CompanyB и входит в систему.

В результате я хочу, чтобы dot1x смог выяснить, что это пользователь из CompanyB, и настроить сетевой порт для динамического отображения vlan 200.

Возможный?

6

cisco authentication switch 802.1

Источник

Lance 24 июн '13 в 05:22

3 ответа

Другие вопросы по тегам cisco authentication switch 802.1

Borut Mrak 25 май '14 в 14:01 2014-05-25 14:01 · Answer 1 · 2014-05-25 14:01

Вам нужен сервер RADIUS (вероятно, FreeRADIUS), который отправляет обратно дополнительные атрибуты.

В частности, он должен отправить некоторые конкретные атрибуты, подробности см. RFC2868

Это то, что я использую для беспроводных клиентов, но оно работает так же для проводной 802.1X:

Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = 1234

Где 1234 - требуемый идентификатор VLAN.

Конечно, вы должны убедиться, что ваш коммутатор поддерживает указанные атрибуты. Это может также поддерживать некоторые другие атрибуты, которые достигают того же самого, пример выше работает с Cisco.

Steve Butler 13 фев '14 в 02:14 2014-02-13 02:14 · Answer 2 · 2014-02-13 02:14

Вы можете посмотреть на что-то вроде packagefence http://www.packetfence.org/ Это может сделать управление доступом на основе ролей, которое выглядит так, как будто вы именно это и делаете.

1

Источник

Steve Butler 13 фев '14 в 02:14

Dave 20 май '14 в 19:19 2014-05-20 19:19 · Answer 3 · 2014-05-20 19:19

Это не кажется мне жизнеспособным. Я имею в виду, что если вы измените VLAN, к которой принадлежит порт, "на лету", то порт временно перейдет в автономный режим, а затем вернется... если у вас не включен быстрый порт, то он получил все цикл прослушивания / обучения / пересылки. Вы также должны пройти переговоры о скорости соединения, восстановить новый адрес DHCP, установить связь с контроллером домена... и т. Д. И т. Д. Короче говоря, ваше время входа в систему будет ужасным.

Ваш пост говорит, что люди "плюхают ноутбук". Я предполагаю, что новые сотрудники из других компаний будут работать на ноутбуках этих компаний, верно? Вместо того, чтобы подключить их к сети, почему бы вам просто не воспользоваться беспроводной связью? Затем вы можете настроить несколько SSID на своих точках доступа и сопоставить каждый SSID с VLAN, к которой вы хотите получить доступ к устройству. Вы можете назначить один пароль для устройств компании А, а другой пароль для компании Б.

Конечные пользователи не получают пароли, а сотрудники компании A не используют ноутбуки компании B и наоборот. Все в VLAN и домене, который вы хотите. Ноутбуки компании B автоматически присоединяются к SSID компании B и т. Д.

Кроме того, вы не хотите, чтобы в вашей сети были открытые порты, где только кто угодно может войти и подключиться к вашей сети.