Мы планируем реализовать 802.1x в проводной / беспроводной сети. Я ищу устройство, которое может выступать в качестве соискателя и после аутентификации в сети может передавать трафик от любого устройства, подключенного ниже по потоку.
Смысл этого заключается в том, чтобы предоставить пользователю-клиенту правильно предварительно сконфигурированное устройство, которое затем может подключить любое устройство на нисходящей стороне устройства. Мы сможем управлять совокупным трафиком на устройстве, не беспокоясь о том, что подключено на дальней стороне.
Я сплю; Каждое устройство поддерживает это, и я просто не знаю об этом, или реальность находится где-то посередине?
Наверное. Если я правильно вас понял,
Вы хотите подключать клиентов к вашей сети проводным или беспроводным способом и контролировать их доступ к вашей сети? Вы не хотите беспокоиться о том, что они подключаются к этой сети.
Что ж, если это так, я не использовал 802.1x для этого. Я просто устанавливаю DD-WRT на маршрутизатор и подключаю его к сети. Поскольку у него есть встроенный брандмауэр, я могу выполнять любую необходимую фильтрацию на устройстве, которая будет применяться ко всем пользователям, подключенным к нему.
Если это удаленный офис, нет проблем. Я установил VPN-туннель с помощью клиента OpenVPN DD-WRT. Эффект такой же.
Если это удаленный офис и у них есть собственная глобальная сеть, и вам нужны устройства на нисходящей стороне для доступа к службам внутри вашей сети, тогда вы можете использовать статические маршруты на маршрутизаторе DDWRT для этих конкретных адресов, чтобы пройти через вашу VPN, в противном случае обычный сетевой шлюз.
Итак, если это то, что вам нужно, я могу порекомендовать вам найти маршрутизатор, который может запускать DD-WRT и поиграть с ним. Они рекламируют хорошую поддержку маршрутизаторов Buffalo. Лучше всего то, что DD-WRT бесплатен.
Только что подтвердил. DD-WRT может аутентифицироваться с помощью Radius, хотя я не использовал его, бывший коллега сказал мне, что он работает очень хорошо. Так что да, если вы ищете устройство, любой маршрутизатор, поддерживающий DD-WRT или Open-WRT, вероятно, справится с этой задачей.
вам не нужны никакие «устройства». Все, что вам нужно, это пограничный коммутатор, способный работать со стандартом 802.1x (радиус).
После аутентификации системы на коммутаторе через 802.1x / radius вы можете использовать MAC-адрес / IP-адрес для обработки трафика, поступающего на устройство.
Есть также коммутаторы, которые могут обрабатывать опцию формирования трафика, но они намного дороже.
КР,
Громит