我在我的环境中的可公开访问端口(会议室等)上使用 RADIUS 进行端口安全保护。我们有 HP Procurve 交换机,并且 Aruba Clearpass 正在处理身份验证请求(后端使用 Active Directory DC)。
它被设置为默认为来宾 VLAN(没有路由到我们的生产 VLAN,只能路由到互联网),然后通过成功的 AD 身份验证切换到生产 VLAN。
在会议室中,我们安装了固定笔记本电脑,目前我遇到一个问题,即当笔记本电脑注销的时间超过“未授权”期限(目前为 60 秒)时,它们会被踢回来宾 VLAN。然后,这些笔记本电脑上当前未缓存其凭据的用户将无法访问 DC 以登录笔记本电脑。
我不确定如何解决这个问题。我不太愿意为其中一个 DC 提供来宾 VLAN 中的接口,因为我不确定这样做是否安全。我还能做什么?