我们的网络由多台 Dell PowerConnect 交换机组成。1 x 6224(核心交换机)5 x 3524 机柜交换机。
我们使用 VLAN 来隔离不同类别的系统。这首先通过将 VLAN 分配给特定端口交换机来实现,这种方法一直很有效,直到人们开始移动设备,此时,我引入了端口安全性,方法是将特定端口锁定到允许使用该端口的设备的 mac 地址。
我想要实现的是配置交换机,以便将 mac 地址锁定到 VLAN 而不是特定端口,因为我们确实有笔记本电脑用户需要不时在建筑物内移动。
我查阅了 Switch 文档,其中提到了该命令mac-to-vlan <mac-address> <vlan-id>,但文档继续说......
在包含动态 VLAN 分配功能 (DVA) 的版本中,已弃用绑定 MAC 到 VLAN 功能(MAC 到 VLAN 分配)。DVA 提供与 MAC 到 VLAN 分配相同的功能,但以标准方式实现。
由于我没有 mac-to-vlan,我认为 DVA 是可行的方法,但文档随开关提供的有关 DVA 的信息很少。它说的是……
动态 VLAN 分配 — 指示是否为此端口启用了动态 VLAN 分配。此功能允许网络管理员在 RADIUS 服务器身份验证期间自动将用户分配到 VLAN。当用户通过 RADIUS 服务器身份验证时,用户将自动加入 RADIUS 服务器上配置的 VLAN。
在我看来,这听起来像是用来分配用户到 VLAN,而不是电脑!
我有该文档的电子版,但找不到有关配置 DVA 以将 MAC 分配给 VLAN 的任何其他参考资料。
我希望有人可以解释一下这个问题?
答案1
动态 VLAN 功能实际上仍基于 MAC 地址...或者可以使用强制门户。例如,您可以将“未经身份验证”的工作站转储到特定 VLAN,该 VLAN 仅允许访问锁定的网站,并要求输入用户名/密码,这将授予他们访问特定 VLAN 的权限。
对于 MAC 身份验证,您只需在 radius 服务器中提供用户名和密码作为 mac 地址。
至于 radius 身份验证...我已经在实验室中设置了它,但尚未部署它。只要您考虑到一些重要事项,它就会运行良好...我可以详细说明,但这是一个很长的讨论。