URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16820
[ Назад ]

Исходное сообщение
"авторизация по mac'у на порту коммутатора."

Отправлено Imp , 29-Июл-08 23:56 
Имеется порт управляемого L2 коммутатора.
К этому порту может быть подключен любой тупой неуправляемый коммутатор через который подключены клиентские компьютеры.
Возможно ли помещать клиента с одним маком в один VLAN а с другим маком в другой VLAN (на одном порту L2 коммутатора).
P.S. Насколько я понял через RADIUS можно отдавать VLAN ID.
P.P.S. Возможно ли это сделать средствами CISCO Catalyst 2850G-48-EI (или на чём нить подешевле).

Содержание

Сообщения в этом обсуждении
"авторизация по mac'у на порту коммутатора."
Отправлено Imp , 30-Июл-08 00:10 
>Имеется порт управляемого L2 коммутатора.
>К этому порту может быть подключен любой тупой неуправляемый коммутатор через который
>подключены клиентские компьютеры.
>Возможно ли помещать клиента с одним маком в один VLAN а с
>другим маком в другой VLAN (на одном порту L2 коммутатора).
>P.S. Насколько я понял через RADIUS можно отдавать VLAN ID.
>P.P.S. Возможно ли это сделать средствами CISCO Catalyst 2850G-48-EI (или на чём
>нить подешевле).

В дополнение могу сказать, в идеале надо получить схему которая будет ограничевать доступ в сеть по макам. Но поскольку в схеме присутствуют неуправляемые коммутаторы то это делает невозможным применение 802.1x на порту. Поэтому и делается 2 VLAN. Одним можно будет пользоваться ресурсами сети другим нет.


"авторизация по mac'у на порту коммутатора."
Отправлено rakis , 30-Июл-08 01:05 
>Возможно ли помещать клиента с одним маком в один VLAN а с
>другим маком в другой VLAN (на одном порту L2 коммутатора).

нет


"авторизация по mac'у на порту коммутатора."
Отправлено Imp , 30-Июл-08 09:18 
>>Возможно ли помещать клиента с одним маком в один VLAN а с
>>другим маком в другой VLAN (на одном порту L2 коммутатора).
>
>нет

хорошо а можно ли тогда управлять списком доступа на порту (может через snmp или ssh)


"авторизация по mac'у на порту коммутатора."
Отправлено rakis , 30-Июл-08 17:53 
>хорошо а можно ли тогда управлять списком доступа на порту (может через
>snmp или ssh)

через snmp не знаю
если через ssh, то

securecrt (умеет скрипты, позволяет создавать диалоговые окна)
или
putty + autoit



"авторизация по mac'у на порту коммутатора."
Отправлено Imp , 31-Июл-08 00:21 
>>хорошо а можно ли тогда управлять списком доступа на порту (может через
>>snmp или ssh)
>
>через snmp не знаю
>если через ssh, то
>
>securecrt (умеет скрипты, позволяет создавать диалоговые окна)
>или
>putty + autoit

то есть, фактически, я могу добавлять acl для конкретного mac'a на конкретном порту, а остальные maс'и дропить по дефолту.
я правильно понял?


"авторизация по mac'у на порту коммутатора."
Отправлено anch , 30-Июл-08 18:19 
Это годится?
http://xgu.ru/wiki/802.1X_%D0%B8_RADIUS

Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо:

Настроить RADIUS север таким образом чтобы он передавал информацию и о принадлежности пользователя к VLAN'у
Настроить на коммутаторе авторизацию на RADIUS сервере для присвоения номера VLAN'а
Настроить на коммутаторе соответствующие VLAN'ы
Настроить DHCP-сервер
Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:

Switch(config)# aaa authorization network default group radius


"авторизация по mac'у на порту коммутатора."
Отправлено Imp , 31-Июл-08 00:18 
>[оверквотинг удален]
>от результатов аутентификации клиента. Для этого необходимо:
>
>Настроить RADIUS север таким образом чтобы он передавал информацию и о принадлежности
>пользователя к VLAN'у
>Настроить на коммутаторе авторизацию на RADIUS сервере для присвоения номера VLAN'а
>Настроить на коммутаторе соответствующие VLAN'ы
>Настроить DHCP-сервер
>Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:
>
>Switch(config)# aaa authorization network default group radius

нет не подойдёт поскольку к порту может быть подключен неуправляемый коммутатор, и, как следствие на порту будет светится несколько маков. вот именно их нужно помещать в VLAN'ы. (например на одном порту коммутатора: mac1 -> vlan1 и mac2 -> vlan2)
насколько я понял так сделать нельзя.