Наша сеть состоит из ряда коммутаторов Dell PowerConnect. 1 x 6224 (базовый коммутатор) 5 коммутаторов для шкафа 3524.
Мы используем VLAN для разделения различных классов систем. Сначала это было достигнуто путем назначения VLAN определенным коммутаторам портов, и это работало нормально, пока люди не начали перемещать устройства, на этом этапе я ввел безопасность порта, заблокировав конкретный порт на MAC-адрес устройства, которому разрешено использовать порт.
Я бы хотел настроить коммутаторы так, чтобы MAC-адреса были привязаны к VLAN, а не к конкретным портам, потому что у нас есть пользователи ноутбуков, которым нужно время от времени перемещаться по зданию.
Я проконсультировался с документацией Switch, и здесь упоминается команда mac-to-vlan <mac-address> <vlan-id>
, однако в документации говорится ..
Функция привязки MAC к VLAN (назначение MAC для VLAN) устарела в версиях, которые включают функцию динамического назначения VLAN (DVA). DVA Обеспечивает те же функции, что и назначение MAC для VLAN, но делает это стандартным способом.
Поскольку у меня нет mac-to-vlan, я подумал, что DVA - это путь вперед, но документация поставляется с переключателем очень мало говорит о DVA. Что говорит ...
Динамическое назначение VLAN - указывает, включено ли динамическое назначение VLAN для этого порта. Эта функция позволяет администраторам сети автоматически назначать пользователей VLAN во время аутентификации сервера RADIUS. Когда пользователь аутентифицируется сервером RADIUS, он автоматически присоединяется к VLAN, настроенной на сервере RADIUS.
Для меня это звучит так, как будто он используется для назначения пользователи к VLAN, а не компьютеры!
У меня есть электронные версии документации, и я не могу найти других ссылок по настройке DVA для назначения MAC-адреса VLAN.
Я надеюсь, что кто-нибудь сможет пролить свет на это?
функция динамического vlan на самом деле все еще основана на MAC-адресе ... или может использовать захватывающий портал. Т.е. вы можете сбрасывать «неаутентифицированные» рабочие станции в конкретный vlan, который разрешает доступ только к заблокированному веб-сайту с запросом имени пользователя / пароля, который предоставит им доступ к конкретному vlan.
Для аутентификации MAC вы просто указываете имя пользователя и пароль в качестве MAC-адреса на сервере RADIUS.
Что касается проверки подлинности по радиусу ... Я настроил ее в лаборатории, но еще не развернул. Это прекрасно работает, если вы принимаете во внимание некоторые важные вещи ... Я мог бы вдаваться в подробности, но это очень долгое обсуждение.