Имеется порт управляемого L2 коммутатора.
К этому порту может быть подключен любой тупой неуправляемый коммутатор через который подключены клиентские компьютеры.
Возможно ли помещать клиента с одним маком в один VLAN а с другим маком в другой VLAN (на одном порту L2 коммутатора).
P.S. Насколько я понял через RADIUS можно отдавать VLAN ID.
P.P.S. Возможно ли это сделать средствами CISCO Catalyst 2850G-48-EI (или на чём нить подешевле).
>Имеется порт управляемого L2 коммутатора.
>К этому порту может быть подключен любой тупой неуправляемый коммутатор через который
>подключены клиентские компьютеры.
>Возможно ли помещать клиента с одним маком в один VLAN а с
>другим маком в другой VLAN (на одном порту L2 коммутатора).
>P.S. Насколько я понял через RADIUS можно отдавать VLAN ID.
>P.P.S. Возможно ли это сделать средствами CISCO Catalyst 2850G-48-EI (или на чём
>нить подешевле).В дополнение могу сказать, в идеале надо получить схему которая будет ограничевать доступ в сеть по макам. Но поскольку в схеме присутствуют неуправляемые коммутаторы то это делает невозможным применение 802.1x на порту. Поэтому и делается 2 VLAN. Одним можно будет пользоваться ресурсами сети другим нет.
>Возможно ли помещать клиента с одним маком в один VLAN а с
>другим маком в другой VLAN (на одном порту L2 коммутатора).нет
>>Возможно ли помещать клиента с одним маком в один VLAN а с
>>другим маком в другой VLAN (на одном порту L2 коммутатора).
>
>нетхорошо а можно ли тогда управлять списком доступа на порту (может через snmp или ssh)
>хорошо а можно ли тогда управлять списком доступа на порту (может через
>snmp или ssh)через snmp не знаю
если через ssh, тоsecurecrt (умеет скрипты, позволяет создавать диалоговые окна)
или
putty + autoit
>>хорошо а можно ли тогда управлять списком доступа на порту (может через
>>snmp или ssh)
>
>через snmp не знаю
>если через ssh, то
>
>securecrt (умеет скрипты, позволяет создавать диалоговые окна)
>или
>putty + autoitто есть, фактически, я могу добавлять acl для конкретного mac'a на конкретном порту, а остальные maс'и дропить по дефолту.
я правильно понял?
Это годится?
http://xgu.ru/wiki/802.1X_%D0%B8_RADIUSНастройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо:Настроить RADIUS север таким образом чтобы он передавал информацию и о принадлежности пользователя к VLAN'у
Настроить на коммутаторе авторизацию на RADIUS сервере для присвоения номера VLAN'а
Настроить на коммутаторе соответствующие VLAN'ы
Настроить DHCP-сервер
Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:Switch(config)# aaa authorization network default group radius
>[оверквотинг удален]
>от результатов аутентификации клиента. Для этого необходимо:
>
>Настроить RADIUS север таким образом чтобы он передавал информацию и о принадлежности
>пользователя к VLAN'у
>Настроить на коммутаторе авторизацию на RADIUS сервере для присвоения номера VLAN'а
>Настроить на коммутаторе соответствующие VLAN'ы
>Настроить DHCP-сервер
>Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:
>
>Switch(config)# aaa authorization network default group radiusнет не подойдёт поскольку к порту может быть подключен неуправляемый коммутатор, и, как следствие на порту будет светится несколько маков. вот именно их нужно помещать в VLAN'ы. (например на одном порту коммутатора: mac1 -> vlan1 и mac2 -> vlan2)
насколько я понял так сделать нельзя.