目前我的公司已被另一家公司收购。因此,另外两家公司的用户将迁移到我们的办公室。
如果我们可以根据用户尝试使用 dot1x 登录的域来为用户选择 vlan,那将非常方便。
EG VLAN
- 100 公司A
- 200 公司B
- 300 公司C
有人把笔记本电脑放在桌子上,插入网络端口并按下 CTRL-ALT-DEL,选择域名 CompanyB 并登录。
我想要的结果是dot1x能够识别出这是来自CompanyB的用户,并设置网络端口以动态反映vlan 200。
可能的?
答案1
您需要 RADIUS 服务器(可能是 FreeRADIUS)来发回附加属性。
具体来说,它必须发送一些特定的属性,详情请参阅RFC2868
这是我用于无线客户端的方法,但它对于有线 802.1X 的作用相同:
- 隧道类型 = VLAN,
- 隧道介质类型 = IEEE-802,
- 隧道专用组 ID = 1234
其中 1234 是所需的 VLAN ID。
当然,您必须检查您的交换机是否支持上述属性。它可能还支持其他一些实现相同目的的属性,上述示例适用于 Cisco。
答案2
你可以考虑做类似packetfence的事情http://www.packetfence.org/它可以进行基于角色的访问控制,这看起来正是您想要做的。
答案3
在我看来,这似乎不可行。我的意思是,如果您“动态”更改端口所属的 VLAN,那么该端口将暂时脱机,然后恢复……如果您没有启用 port-fast,那么它就需要经历整个侦听/学习/转发周期。您还需要进行链接速度协商,重新建立新的 DHCP 地址,与域控制器通信……等等。简而言之,您的登录时间将非常长。
您的帖子说人们正在“放下笔记本电脑”。我假设其他公司的新员工将使用这些公司的笔记本电脑,对吗?与其让他们有线接入网络,为什么不直接使用无线网络呢?然后,您可以在 AP 上设置多个 SSID,并将每个 SSID 映射到您希望设备访问的 VLAN。您可以为 A 公司的设备分配一个密码,为 B 公司的设备分配另一个密码。
最终用户不会获得密码,A 公司的员工不会使用 B 公司的笔记本电脑,反之亦然。每个人都在 VLAN 和您想要的域中。B 公司的笔记本电脑会自动加入 B 公司的 SSID,等等。
此外,您实际上并不希望在您的网络上开放端口,让任何人都可以轻松进入并接入您的网络。