В настоящее время мою компанию выкупил другой. В связи с этим к нам в офис перейдут еще две компании-пользователи.
Было бы очень удобно, если бы мы могли выбрать vlan для пользователя в зависимости от того, в какой домен он пытается войти, используя dot1x.
НАПРИМЕР. Вланс
Кто-то ставит ноутбук на стол, подключается к сетевому порту и нажимает CTRL-ALT-DEL, выбирает доменное имя CompanyB и входит в систему.
В результате я хочу, чтобы dot1x мог определить, что это пользователь из CompanyB, и настроить сетевой порт на динамическое отображение vlan 200.
Возможно?
Вам нужен RADIUS-сервер (вероятно, FreeRADIUS), который отправляет обратно дополнительные атрибуты.
В частности, он должен отправлять определенные атрибуты, подробности см. RFC2868
Это то, что я использую для беспроводных клиентов, но он работает так же для проводного 802.1X:
Где 1234 - требуемый идентификатор VLAN.
Конечно, вы должны убедиться, что ваш коммутатор поддерживает указанные атрибуты. Он также может поддерживать некоторые другие атрибуты, которые обеспечивают то же самое, приведенный выше пример работает с Cisco.
Мне это не кажется жизнеспособным. Я имею в виду, что если вы измените VLAN, к которой принадлежит порт "на лету", то порт временно отключится, а затем вернется ... если у вас не включен быстрый порт, тогда он получит все Цикл прослушивания / обучения / пересылки, который нужно пройти. Вам также нужно будет пройти согласование скорости соединения, восстановить новый адрес DHCP, связаться с контроллером домена ... и т. Д. И так далее. Короче говоря, ваше время входа в систему было бы ужасным.
В вашем сообщении говорится, что люди «швыряют ноутбук». Я предполагаю, что новые сотрудники из других компаний будут работать с ноутбуками этих компаний, верно? Вместо того, чтобы подключать их к сети, почему бы вам просто не использовать беспроводную связь? Затем вы можете настроить несколько SSID на своих точках доступа и сопоставить каждый SSID с той VLAN, к которой устройство должно получить доступ. Вы можете назначить один пароль для устройств компании A и другой пароль для компании B.
Конечные пользователи не получают пароли, а сотрудники компании A не используют ноутбуки компании B, и наоборот. Все подключены к VLAN и желаемому домену. Ноутбуки компании B автоматически подключаются к SSID компании B и т. Д.
Кроме того, вам действительно не нужны открытые порты в вашей сети, где любой может войти и войти в вашу сеть.
Вы можете сделать что-то вроде ограждения пакетов http://www.packetfence.org/ Он может управлять доступом на основе ролей, что похоже на то, что вы хотите делать.