форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"Автоматическое определение vlan для пользователя"	+/–
Сообщение от XeV (ok) on 15-Май-12, 08:51
Всем здрасте. Есть такая задача. Имеется сеть построенная на 2х маршрутизаторах и много много коммутаторов. Все CISCO. С завидным постоянством в компанию приходят люди с ноутбуками которым нужен доступ в интернет. Сейчас это происходит следующим образом. Человек получает айпи по DHCP звонит и говорит ее, а я уже на маршрутизаторе даю доступ в инет. Задача - автоматизировать сей процесс. Есть идея отслеживать новый ли это МАК в сети или нет и если новый, то сувать его в отдельный гостевой VLAN который имеет доступ в интернет без ограничении. Подскажите пжл реализуемо это все или нет. Если нет то есть какие нибудь еще идеи? Конкретного решения не прошу, просто натолкните на мысль. Спасибо. P.S решение может быть на любом оборудовании. тоесть не только CISCO
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Автоматическое определение vlan для пользователя"	+/–
Сообщение от eek on 15-Май-12, 09:03
Эти темы чуть ли не раз в неделю стали появляться. Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей сети, ну и комрады еще предлагали покурить VMPS это для особых ценителей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 15-Май-12, 10:19
	> Эти темы чуть ли не раз в неделю стали появляться. > Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей > сети, ну и комрады еще предлагали покурить VMPS это для особых > ценителей. а в таком случае я могу сделать так чтобы определенные хосты не проходил авторизацию на этом vpn? ну например сервера
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 15-Май-12, 11:47
	>> Эти темы чуть ли не раз в неделю стали появляться. >> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей >> сети, ну и комрады еще предлагали покурить VMPS это для особых >> ценителей. > а в таком случае я могу сделать так чтобы определенные хосты не > проходил авторизацию на этом vpn? ну например сервера Возможно ли при такой архитектуре проверять аутентификатором только определенные порты? (те в которые воткнуты точки доступа) чтобы остальные (те в которые воткнуты проводные клиенты) работали и дальше без аутентификации?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от jied83 (ok) on 16-Май-12, 09:04
	>>> Эти темы чуть ли не раз в неделю стали появляться. >>> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей >>> сети, ну и комрады еще предлагали покурить VMPS это для особых >>> ценителей. >> а в таком случае я могу сделать так чтобы определенные хосты не >> проходил авторизацию на этом vpn? ну например сервера > Возможно ли при такой архитектуре проверять аутентификатором только определенные порты? > (те в которые воткнуты точки доступа) чтобы остальные (те в которые > воткнуты проводные клиенты) > работали и дальше без аутентификации? дак ААА можно и на самих точках настроить, например через радиус
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от VolanD (ok) on 16-Май-12, 11:03
	> Эти темы чуть ли не раз в неделю стали появляться. > Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей > сети, ну и комрады еще предлагали покурить VMPS это для особых > ценителей. Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть нормальный авторизатор. Я бы сделал VPN
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 16-Май-12, 11:25
	>> Эти темы чуть ли не раз в неделю стали появляться. >> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей >> сети, ну и комрады еще предлагали покурить VMPS это для особых >> ценителей. > Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть > нормальный авторизатор. Я бы сделал VPN при настройке на самих точках доступа нет возможности настроить так чтобы они отдавали гостевой vlan с другой подсетью...ну я понял так...если не так поправте пжл) а поподробней можно про vpn?что имеете ввиду?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от anonymous (??) on 16-Май-12, 19:46
	>>> Эти темы чуть ли не раз в неделю стали появляться. >>> Решение: 802.1x или любой VPN из тех что вам нравиться поверх вашей >>> сети, ну и комрады еще предлагали покурить VMPS это для особых >>> ценителей. >> Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть >> нормальный авторизатор. Я бы сделал VPN > при настройке на самих точках доступа нет возможности настроить так чтобы они > отдавали гостевой vlan с другой подсетью...ну я понял так...если не так > поправте пжл) > а поподробней можно про vpn?что имеете ввиду? pppoe, l2tp, другой геморрой на свою голову... А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются со своими ноутбуками и сразу попадают в отдельный влан...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 17-Май-12, 06:19
	>[оверквотинг удален] >>>> ценителей. >>> Dot1x не очень хорошее решение ИМХО, т.к. не во всех ОС есть >>> нормальный авторизатор. Я бы сделал VPN >> при настройке на самих точках доступа нет возможности настроить так чтобы они >> отдавали гостевой vlan с другой подсетью...ну я понял так...если не так >> поправте пжл) >> а поподробней можно про vpn?что имеете ввиду? > pppoe, l2tp, другой геморрой на свою голову... > А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются > со своими ноутбуками и сразу попадают в отдельный влан... Да так сделать и хочется. Только я пока не могу понять как одной точкой можно отдать 2 разных vlana с разными подсетями?Для определения кому какую подсеть тут понятно - RADIUS.А вот как точку заставить делать то что мне нужно?В моем случае достаточно чтобы если к точке подключался клиент который не может авторизоватся на RADIUS ему присваивался гостевой vlan. С коммутатором вопросов нет! Там все работает превосходно. Пробывал настраивал.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от VolanD (ok) on 17-Май-12, 09:14
	>[оверквотинг удален] >> pppoe, l2tp, другой геморрой на свою голову... >> А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются >> со своими ноутбуками и сразу попадают в отдельный влан... > Да так сделать и хочется. > Только я пока не могу понять как одной точкой можно отдать 2 > разных vlana с разными подсетями?Для определения кому какую подсеть тут понятно > - RADIUS.А вот как точку заставить делать то что мне нужно?В > моем случае достаточно чтобы если к точке подключался клиент который не > может авторизоватся на RADIUS ему присваивался гостевой vlan. С коммутатором вопросов > нет! Там все работает превосходно. Пробывал настраивал. А точка не может вещать 2 SSIDа ?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 17-Май-12, 10:47
	>[оверквотинг удален] >>> А почему бы не поставить точки доступа с поддержкой вланов? Пусть подключаются >>> со своими ноутбуками и сразу попадают в отдельный влан... >> Да так сделать и хочется. >> Только я пока не могу понять как одной точкой можно отдать 2 >> разных vlana с разными подсетями?Для определения кому какую подсеть тут понятно >> - RADIUS.А вот как точку заставить делать то что мне нужно?В >> моем случае достаточно чтобы если к точке подключался клиент который не >> может авторизоватся на RADIUS ему присваивался гостевой vlan. С коммутатором вопросов >> нет! Там все работает превосходно. Пробывал настраивал. > А точка не может вещать 2 SSIDа ? был такой вариант чтобы один сид был гостевой а другой для юзеров компании. 2 сида повещать можно но как заставить их раздавать 2 разных vlana? На точке vlan не создаются. И не получится ли так что сама тчока имеет адрес 192.168.1.х а клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо вторую (гость). Заработает ли так? или порт в который воткнута точка нужно перевести в транк и это решит все проблемы?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от anonymous (??) on 17-Май-12, 15:15
	>[оверквотинг удален] >>> нет! Там все работает превосходно. Пробывал настраивал. >> А точка не может вещать 2 SSIDа ? > был такой вариант чтобы один сид был гостевой а другой для юзеров > компании. > 2 сида повещать можно но как заставить их раздавать 2 разных vlana? > На точке vlan не создаются. > И не получится ли так что сама тчока имеет адрес 192.168.1.х а > клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо > вторую (гость). Заработает ли так? или порт в который воткнута точка > нужно перевести в транк и это решит все проблемы? Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да, порт коммутатора должне быть настроен транком, чтобы так работало.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 18-Май-12, 07:42
	>[оверквотинг удален] >> был такой вариант чтобы один сид был гостевой а другой для юзеров >> компании. >> 2 сида повещать можно но как заставить их раздавать 2 разных vlana? >> На точке vlan не создаются. >> И не получится ли так что сама тчока имеет адрес 192.168.1.х а >> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо >> вторую (гость). Заработает ли так? или порт в который воткнута точка >> нужно перевести в транк и это решит все проблемы? > Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да, > порт коммутатора должне быть настроен транком, чтобы так работало. попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный vlan, есть подозрения что это изза коммутатора catalyst 500 в который воткнута точка доступа, настроить порт как надо там нет возможности.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от VolanD (ok) on 20-Май-12, 14:53
	>[оверквотинг удален] >>> На точке vlan не создаются. >>> И не получится ли так что сама тчока имеет адрес 192.168.1.х а >>> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо >>> вторую (гость). Заработает ли так? или порт в который воткнута точка >>> нужно перевести в транк и это решит все проблемы? >> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да, >> порт коммутатора должне быть настроен транком, чтобы так работало. > попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный > vlan, есть подозрения что это изза коммутатора catalyst 500 в который > воткнута точка доступа, настроить порт как надо там нет возможности. Нет возможности настроить транк? Коммутатор L2 ?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 21-Май-12, 06:33
	>[оверквотинг удален] >>>> И не получится ли так что сама тчока имеет адрес 192.168.1.х а >>>> клиент подцепившиися к ней будет получать либо первую подсеть (юзер) либо >>>> вторую (гость). Заработает ли так? или порт в который воткнута точка >>>> нужно перевести в транк и это решит все проблемы? >>> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да, >>> порт коммутатора должне быть настроен транком, чтобы так работало. >> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный >> vlan, есть подозрения что это изза коммутатора catalyst 500 в который >> воткнута точка доступа, настроить порт как надо там нет возможности. > Нет возможности настроить транк? Коммутатор L2 ? Ну транк та настроил, но я так понимаю там надо его тоже делить пополам так же как и интерфейс точки. Просто с транком не работает
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от VolanD (ok) on 21-Май-12, 06:48
	>[оверквотинг удален] >>>>> нужно перевести в транк и это решит все проблемы? >>>> Есть точки, которые умеют отдавать разные вланы в зависимости от ssid'а. Да, >>>> порт коммутатора должне быть настроен транком, чтобы так работало. >>> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный >>> vlan, есть подозрения что это изза коммутатора catalyst 500 в который >>> воткнута точка доступа, настроить порт как надо там нет возможности. >> Нет возможности настроить транк? Коммутатор L2 ? > Ну транк та настроил, но я так понимаю там надо его тоже > делить пополам так же как и интерфейс точки. Просто с транком > не работает На точке есть возможность настроить транк? На коммутаторе? Если так, то берете 2 ssidа распихиваете на 2 влана и отправляете их в транк. Все будет работать!
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Автоматическое определение vlan для пользователя"	+/–
	Сообщение от XeV (ok) on 21-Май-12, 07:52
	>[оверквотинг удален] >>>> попробывал так, к сожалению не получается, DHCP не хочет отдавать в нужный >>>> vlan, есть подозрения что это изза коммутатора catalyst 500 в который >>>> воткнута точка доступа, настроить порт как надо там нет возможности. >>> Нет возможности настроить транк? Коммутатор L2 ? >> Ну транк та настроил, но я так понимаю там надо его тоже >> делить пополам так же как и интерфейс точки. Просто с транком >> не работает > На точке есть возможность настроить транк? На коммутаторе? Если так, то берете > 2 ssidа распихиваете на 2 влана и отправляете их в транк. > Все будет работать! Я вот так точку настраиваю ap#sh run Building configuration... Current configuration : 3146 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap ! enable secret 5 xxxxxxxxxxxxxxxxxx ! led display alternate ip subnet-zero ! ! no aaa new-model dot11 mbssid dot11 vlan-name AIR vlan 1 dot11 vlan-name GUEST vlan 102 ! dot11 ssid AIR    vlan 1    authentication open    authentication key-management wpa    mbssid guest-mode    wpa-psk ascii 7 xxxxxxxxxxx ! dot11 ssid GUEST    vlan 102    authentication open    authentication key-management wpa    mbssid guest-mode    wpa-psk ascii 7 xxxxxxxxx ! power inline negotiation prestandard source ! ! username admin password 7 xxxxxxxx ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 102 mode ciphers tkip ! encryption vlan 1 mode ciphers tkip ! ssid AIR ! ssid GUEST ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ! interface Dot11Radio0.1 encapsulation dot1Q 1 native ip address 192.168.1.246 255.255.255.0 no ip unreachables no ip proxy-arp no ip route-cache no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio0.102 encapsulation dot1Q 102 ip address 192.168.2.100 255.255.255.0 no ip route-cache no cdp enable bridge-group 102 bridge-group 102 subscriber-loop-control bridge-group 102 block-unknown-source no bridge-group 102 source-learning no bridge-group 102 unicast-flooding bridge-group 102 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache shutdown no dfs band block speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0 channel dfs station-role root access-point world-mode legacy bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto hold-queue 160 in ! interface FastEthernet0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0.102 encapsulation dot1Q 102 no ip route-cache bridge-group 102 bridge-group 102 subscriber-loop-control bridge-group 102 block-unknown-source no bridge-group 102 source-learning no bridge-group 102 unicast-flooding bridge-group 102 spanning-disabled ! interface BVI1 ip address 192.168.1.247 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.251 ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ! ! control-plane ! bridge 1 protocol ieee bridge 1 route ip ! ! ! line con 0 line vty 0 4 login local ! end vlan 1 b vlan 102 подняты на главном маршрутизаторе. в 102 раздает циска DHCP а в vlan1 - DC. а вот порт коммутатора просто в транк, так как распилить интерфейс не получается изза отсутсвия адекватной команднеой строки... Есть какойто еще способ, натолкни плиз или пример конфига или статью. Буду премного благодарен
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема