我想根据每个客户端的证书为其分配一个静态 IP(使用eap-tls)。
目前,IP 是动态分配的。
答案1
有几种方法可以分配静态虚拟 IP 地址:
- 如果通过 RADIUS 进行身份验证,则有可能分配虚拟 IP 和其他属性客户端也是如此。对于虚拟 IP,可以通过 帧 IP[v6] 地址RADIUS 属性。
- 这attr-sql 插件可选地将身份映射到静态地址租约(可通过以下方式配置ipsec 池公用事业)。
- 这dhcp 插件可以使用,如果charon.plugins.dhcp.identity_lease已启用,并在相应的 DHCP 服务器上为客户端配置静态租约。映射可以通过客户端身份 DHCP 选项(自 5.6.3 开始发送)或通过基于客户端身份哈希的虚拟 MAC 地址完成。
- 使用单个 IP 地址池和静态远程身份配置单个连接条目,以便它们与客户端的身份相匹配。不过,使用 EAP 身份验证实现这一点目前并不简单(请参阅这个答案)。
答案2
最灵活的方法是使用 RADIUS 服务器。您可以在以下位置找到详细的配置示例strongswan 的维基