Всем здрасте.
Есть такая задача.
Имеется сеть построенная на 2х маршрутизаторах и много много коммутаторов.
Все CISCO.
С завидным постоянством в компанию приходят люди с ноутбуками которым нужен доступ в интернет. Сейчас это происходит следующим образом. Человек получает айпи по DHCP звонит и говорит ее, а я уже на маршрутизаторе даю доступ в инет.
Задача - автоматизировать сей процесс.
Есть идея отслеживать новый ли это МАК в сети или нет и если новый, то сувать его в отдельный гостевой VLAN который имеет доступ в интернет без ограничении.
Подскажите пжл реализуемо это все или нет. Если нет то есть какие нибудь еще идеи?
Конкретного решения не прошу, просто натолкните на мысль.
Спасибо.P.S решение может быть на любом оборудовании. тоесть не только CISCO
Эти темы чуть ли не раз в неделю стали появляться.Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей сети, ну и комрады еще предлагали покурить VMPS это для особых ценителей.
> Эти темы чуть ли не раз в неделю стали появляться.
> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей
> сети, ну и комрады еще предлагали покурить VMPS это для особых
> ценителей.а в таком случае я могу сделать так чтобы определенные хосты не проходил авторизацию на этом vpn? ну например сервера
>> Эти темы чуть ли не раз в неделю стали появляться.
>> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей
>> сети, ну и комрады еще предлагали покурить VMPS это для особых
>> ценителей.
> а в таком случае я могу сделать так чтобы определенные хосты не
> проходил авторизацию на этом vpn? ну например сервераВозможно ли при такой архитектуре проверять аутентификатором только определенные порты? (те в которые воткнуты точки доступа) чтобы остальные (те в которые воткнуты проводные клиенты)
работали и дальше без аутентификации?
>>> Эти темы чуть ли не раз в неделю стали появляться.
>>> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей
>>> сети, ну и комрады еще предлагали покурить VMPS это для особых
>>> ценителей.
>> а в таком случае я могу сделать так чтобы определенные хосты не
>> проходил авторизацию на этом vpn? ну например сервера
> Возможно ли при такой архитектуре проверять аутентификатором только определенные порты?
> (те в которые воткнуты точки доступа) чтобы остальные (те в которые
> воткнуты проводные клиенты)
> работали и дальше без аутентификации?дак ААА можно и на самих точках настроить, например через радиус
> Эти темы чуть ли не раз в неделю стали появляться.
> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей
> сети, ну и комрады еще предлагали покурить VMPS это для особых
> ценителей.Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть нормальный авторизатор. Я бы сделал VPN
>> Эти темы чуть ли не раз в неделю стали появляться.
>> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей
>> сети, ну и комрады еще предлагали покурить VMPS это для особых
>> ценителей.
> Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть
> нормальный авторизатор. Я бы сделал VPNпри настройке на самих точках доступа нет возможности настроить так чтобы они отдавали гостевой vlan с другой подсетью...ну я понял так...если не так поправте пжл)
а поподробней можно про vpn?что имеете ввиду?
>>> Эти темы чуть ли не раз в неделю стали появляться.
>>> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей
>>> сети, ну и комрады еще предлагали покурить VMPS это для особых
>>> ценителей.
>> Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть
>> нормальный авторизатор. Я бы сделал VPN
> при настройке на самих точках доступа нет возможности настроить так чтобы они
> отдавали гостевой vlan с другой подсетью...ну я понял так...если не так
> поправте пжл)
> а поподробней можно про vpn?что имеете ввиду?pppoe, l2tp, другой геморрой на свою голову...
А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются со своими ноутбуками и сразу попадают в отдельный влан...
>[оверквотинг удален]
>>>> ценителей.
>>> Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть
>>> нормальный авторизатор. Я бы сделал VPN
>> при настройке на самих точках доступа нет возможности настроить так чтобы они
>> отдавали гостевой vlan с другой подсетью...ну я понял так...если не так
>> поправте пжл)
>> а поподробней можно про vpn?что имеете ввиду?
> pppoe, l2tp, другой геморрой на свою голову...
> А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются
> со своими ноутбуками и сразу попадают в отдельный влан...Да так сделать и хочется.
Только я пока не могу понять как одной точкой можно отдать 2 разных vlana с разными подсетями?Для определения кому какую подсеть тут понятно - RADIUS.А вот как точку заставить делать то что мне нужно?В моем случае достаточно чтобы если к точке подключался клиент который не может авторизоватся на RADIUS ему присваивался гостевой vlan. С коммутатором вопросов нет! Там все работает превосходно. Пробывал настраивал.
>[оверквотинг удален]
>> pppoe, l2tp, другой геморрой на свою голову...
>> А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются
>> со своими ноутбуками и сразу попадают в отдельный влан...
> Да так сделать и хочется.
> Только я пока не могу понять как одной точкой можно отдать 2
> разных vlana с разными подсетями?Для определения кому какую подсеть тут понятно
> - RADIUS.А вот как точку заставить делать то что мне нужно?В
> моем случае достаточно чтобы если к точке подключался клиент который не
> может авторизоватся на RADIUS ему присваивался гостевой vlan. С коммутатором вопросов
> нет! Там все работает превосходно. Пробывал настраивал.А точка не может вещать 2 SSIDа ?
>[оверквотинг удален]
>>> А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются
>>> со своими ноутбуками и сразу попадают в отдельный влан...
>> Да так сделать и хочется.
>> Только я пока не могу понять как одной точкой можно отдать 2
>> разных vlana с разными подсетями?Для определения кому какую подсеть тут понятно
>> - RADIUS.А вот как точку заставить делать то что мне нужно?В
>> моем случае достаточно чтобы если к точке подключался клиент который не
>> может авторизоватся на RADIUS ему присваивался гостевой vlan. С коммутатором вопросов
>> нет! Там все работает превосходно. Пробывал настраивал.
> А точка не может вещать 2 SSIDа ?был такой вариант чтобы один сид был гостевой а другой для юзеров компании.
2 сида повещать можно но как заставить их раздавать 2 разных vlana?
На точке vlan не создаются.
И не получится ли так что сама тчока имеет адрес 192.168.1.х а клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо вторую (гость). Заработает ли так? или порт в который воткнута точка нужно перевести в транк и это решит все проблемы?
>[оверквотинг удален]
>>> нет! Там все работает превосходно. Пробывал настраивал.
>> А точка не может вещать 2 SSIDа ?
> был такой вариант чтобы один сид был гостевой а другой для юзеров
> компании.
> 2 сида повещать можно но как заставить их раздавать 2 разных vlana?
> На точке vlan не создаются.
> И не получится ли так что сама тчока имеет адрес 192.168.1.х а
> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо
> вторую (гость). Заработает ли так? или порт в который воткнута точка
> нужно перевести в транк и это решит все проблемы?Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да, порт коммутатора должне быть настроен транком, чтобы так работало.
>[оверквотинг удален]
>> был такой вариант чтобы один сид был гостевой а другой для юзеров
>> компании.
>> 2 сида повещать можно но как заставить их раздавать 2 разных vlana?
>> На точке vlan не создаются.
>> И не получится ли так что сама тчока имеет адрес 192.168.1.х а
>> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо
>> вторую (гость). Заработает ли так? или порт в который воткнута точка
>> нужно перевести в транк и это решит все проблемы?
> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да,
> порт коммутатора должне быть настроен транком, чтобы так работало.попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный vlan, есть подозрения что это изза коммутатора catalyst 500 в который воткнута точка доступа, настроить порт как надо там нет возможности.
>[оверквотинг удален]
>>> На точке vlan не создаются.
>>> И не получится ли так что сама тчока имеет адрес 192.168.1.х а
>>> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо
>>> вторую (гость). Заработает ли так? или порт в который воткнута точка
>>> нужно перевести в транк и это решит все проблемы?
>> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да,
>> порт коммутатора должне быть настроен транком, чтобы так работало.
> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный
> vlan, есть подозрения что это изза коммутатора catalyst 500 в который
> воткнута точка доступа, настроить порт как надо там нет возможности.Нет возможности настроить транк? Коммутатор L2 ?
>[оверквотинг удален]
>>>> И не получится ли так что сама тчока имеет адрес 192.168.1.х а
>>>> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо
>>>> вторую (гость). Заработает ли так? или порт в который воткнута точка
>>>> нужно перевести в транк и это решит все проблемы?
>>> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да,
>>> порт коммутатора должне быть настроен транком, чтобы так работало.
>> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный
>> vlan, есть подозрения что это изза коммутатора catalyst 500 в который
>> воткнута точка доступа, настроить порт как надо там нет возможности.
> Нет возможности настроить транк? Коммутатор L2 ?Ну транк та настроил, но я так понимаю там надо его тоже делить пополам так же как и интерфейс точки. Просто с транком не работает
>[оверквотинг удален]
>>>>> нужно перевести в транк и это решит все проблемы?
>>>> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да,
>>>> порт коммутатора должне быть настроен транком, чтобы так работало.
>>> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный
>>> vlan, есть подозрения что это изза коммутатора catalyst 500 в который
>>> воткнута точка доступа, настроить порт как надо там нет возможности.
>> Нет возможности настроить транк? Коммутатор L2 ?
> Ну транк та настроил, но я так понимаю там надо его тоже
> делить пополам так же как и интерфейс точки. Просто с транком
> не работаетНа точке есть возможность настроить транк? На коммутаторе? Если так, то берете 2 ssidа распихиваете на 2 влана и отправляете их в транк. Все будет работать!
>[оверквотинг удален]
>>>> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный
>>>> vlan, есть подозрения что это изза коммутатора catalyst 500 в который
>>>> воткнута точка доступа, настроить порт как надо там нет возможности.
>>> Нет возможности настроить транк? Коммутатор L2 ?
>> Ну транк та настроил, но я так понимаю там надо его тоже
>> делить пополам так же как и интерфейс точки. Просто с транком
>> не работает
> На точке есть возможность настроить транк? На коммутаторе? Если так, то берете
> 2 ssidа распихиваете на 2 влана и отправляете их в транк.
> Все будет работать!Я вот так точку настраиваю
ap#sh run
Building configuration...Current configuration : 3146 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
led display alternate
ip subnet-zero
!
!
no aaa new-model
dot11 mbssid
dot11 vlan-name AIR vlan 1
dot11 vlan-name GUEST vlan 102
!
dot11 ssid AIR
vlan 1
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 xxxxxxxxxxx
!
dot11 ssid GUEST
vlan 102
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 xxxxxxxxx
!
power inline negotiation prestandard source
!
!
username admin password 7 xxxxxxxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 102 mode ciphers tkip
!
encryption vlan 1 mode ciphers tkip
!
ssid AIR
!
ssid GUEST
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
ip address 192.168.1.246 255.255.255.0
no ip unreachables
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.102
encapsulation dot1Q 102
ip address 192.168.2.100 255.255.255.0
no ip route-cache
no cdp enable
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
channel dfs
station-role root access-point
world-mode legacy
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
hold-queue 160 in
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0.102
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface BVI1
ip address 192.168.1.247 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.251
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
endvlan 1 b vlan 102 подняты на главном маршрутизаторе. в 102 раздает циска DHCP а в vlan1 - DC.
а вот порт коммутатора просто в транк, так как распилить интерфейс не получается изза отсутсвия адекватной команднеой строки...Есть какойто еще способ, натолкни плиз или пример конфига или статью. Буду премного благодарен