我有两个 24 端口 3Comm 2928 管理型交换机以及几个较小的非管理型交换机。此外,每个用户都有一部充当交换机的 VOIP 电话,因此电话和 PC 都可以插入同一个以太网插孔。 我想对网络进行分段,将我们的服务器与大部分网络分开,并且可能将所有与 VOIP 相关的流量也放在其自己的 VLAN 中。大多数配置指南甚至 3com Web 界面的测试似乎都表明需要通过端口分配 VLAN,而不仅仅是 MAC 地址。 问题: 我是否可以对插入到托管交换机同一端口的两个设备进行分段?例如,我的 VOIP 电话和 PC 都插入到非托管交换机,然后插入到托管交...
我在 WPA-PSK 无线网络上进行了具有动态 VLAN 设置的 radius MAC 身份验证,以便轻松地将不同的 IOT/VOIP 设备放置在可能不支持我们的 WPA-Enterprise 网络的各种网络上。目前,我们只是将设备的 MAC 添加到 Active Directory 中,并且 NPS 策略是接受/拒绝,然后在接受时分配 VLAN。是否可以使用 NPS 捕获所有 VLAN?例如,如果设备的 MAC 在 AD 中有一个帐户,则将该设备分配给相应的 VLAN,但如果设备加入但不在 AD 中,则将其分配给捕获所有/隔离的 VLAN?这更适用于配置设...
我正在以下网络设备上部署 Yealink IP 电话(T40G、T23G): CCR1009-7G-1C-1S+ 作为路由器 CRS328-24P-4S+ 作为交换机 有问题的交换机的配置是这里。 我设置了 DHCP 选项 132 来为电话配置 VLAN。 在生产中部署此类配置之前,已证明它可以在 hAP AC^2 上运行。然而,在现场部署时,我遇到了奇怪的错误,如下所示。 电话成功通过选项 132 从未标记的 VLAN 获取 IP。然后它释放此 IP 并从语音 VLAN 请求新 IP。DHCP 服务器分配此新 IP 并发送“ACK”消息,但电话从未收到该消...
我有一个包含大约十几个 VLAN 的网络,大多数都有 VLAN 间路由,有些没有。它们可能相互通信,但不能与对方的网关通信。它不是因为安全或拥塞而划分的,更像是有些 VLAN 用于服务器,有些 VLAN 从本地出口到我的 ISP,有些 VLAN 通过 VPN 连接到另一个区域,有些 VLAN 受到限制,有些 VLAN 是 VPS 的 DMZ 着陆点……当然还有一个是公共的。因此,VLAN 对于将流量路由到正确的位置(无需分配固定 IP 地址)至关重要。 我现在才意识到广播域实际上是这里的关键部分,但我仍然感到困惑,所以我会继续。...
我正在尝试减少广播域的大小,为了做到这一点,我需要允许主机随意从一个子网移动到另一个子网。 我们对 dhcp 服务使用 mac 白名单,我遇到的问题是,我只能在一个子网中声明白名单,否则会出现冲突错误,并且 dhcpd 服务将无法启动。 是否可以有一个声明,或者对同一个文件的多个引用,从而可以在多个子网中拥有一个白名单? # VLAN 157 - USERS 157 subnet 10.194.142.128 netmask 255.255.255.128 { option domain-name-servers 10.194.0.2 , 1...
我正在使用 OpenWRT 设置无线 AP 来支持由 RADIUS 服务器提供的动态 VLAN。 我发现了一个OpenWRT.org 上的指南我按照步骤做了,再进行一些额外的研究,我几乎做到了。唯一不起作用的是动态 VLAN 分配。我不知道为什么。 我在 TP-link Archer C7 上以“ap”模式运行 15.05 Chaos Calomer。防火墙和 DHCP 已关闭,因为它们由网络提供。 如果我手动将 SSID 桥接到所需的 VLAN,我可以使用 RADIUS 服务器进行身份验证并登录到我的内部和访客网络。但是动态 VLAN 不起作用。Fr...
我在 wifi 上设置了 802.1x,现在我想配置动态 VLAN。唯一的问题是:AP(TP-Link Archer C7 v2 w/stock 固件)不支持 VLAN。让我更直观一点:网络图。这里重要的部分是:客户端->无线路由器->三层交换机->RADIUS。 在无线路由器 (AP) 的 web-config 中,我将其设置为 wpa-enterprise 并设置 radius 服务器。DHCP 等网络设置由 L3 交换机控制。这样就行得通了。 现在我想使用动态 VLAN(freeRadius 逻辑、AD 组)。我的交换机可以识别 ...
我最近深入研究了具有动态 VLAN 分配的 802.1x 身份验证。 我当前的设置包含: - 一个客户端 - 一个 SG220 思科交换机(请求者) - 一个基于 LDAP AD 的 freeradius(身份验证器) - 一个用于防火墙并充当 DHCP 服务器的 fortigate。 就身份验证而言,它是有效的。我的用户通过了身份验证,并收到了此表单中的“访问接受”消息。 Sending Access-Accept of id 12 to xxx.xxx.xxx.xxx port 6103 Tunnel-Private-Group-Id:0 = "v...
我正在尝试使用 Open vSwitch 1.10.2 为 KVM 计算机添加流量,该流量对来自虚拟机某个端口的所有流量进行双重标记。我使用以下命令添加流量: ovs-ofctl add-flow br0 -O OpenFlow13 cookie=0xFF,priority=4,in_port=1,dl_vlan=1,ip,tcp,actions=push_vlan:0x8100,set_field:1000-\>vlan_vid,push_vlan:0x8100,set_field:1001-\>vlan_vid,NORMAL 命令执行后...
是否可以(或建议)根据 MAC 地址将 Cisco 交换机分配到 VLAN?如果可以,该怎么做? 我知道它可以逐个端口地完成,但我希望有更精细的功能。 我们正在使用 Catalyst 2960s。 ...
我需要提供根据拨入用户进行限制的远程网络访问(即,不同的用户被放置在不同的 VLAN 上)。 然后,我将在 VLAN 之间实施防火墙安全(在单独的硬件防火墙上)来限制用户可以访问的内容。 有没有办法根据 VPN 启动期间使用的用户凭据将不同的用户分配到不同的 VLAN? ...
我已经为我的 Cisco 1142n 自主 AP 配置了所有可能的选项,但仍然无法使动态 VLAN 分配正常工作! 我验证了以下内容: 我优先通过 RADIUS 分配 VLAN,aaa authorization network default group radius 所有可能分配的 VLAN 的加密都是相同的 使用debug radius auth我可以知道 AP 正在接收适当的 RADIUS 属性 我已确保发送了必要的广播消息(关于能力和成员资格变更) 长话短说,我简直要疯了。我错过了什么? 这是我的运行配置:http://dpaste.c...
%20%E9%85%8D%E7%BD%AE%E5%92%8C%E7%AE%A1%E7%90%86.png)
我正在尝试设计一个需要使用 VMPS 的拓扑,但不幸的是互联网上的资源相当少。 基于此配置文档 虚拟专用网络 我已经创建了一个示例配置文档。但是我看到其中有一个特定的命令,即 download vmps 我相信这会将 VMPS 数据库的副本从 TFTP 服务器创建到 NVRAM。 现在我的问题是:我上面的任何假设都是正确的吗?这是在 NVRAM 中创建 VMPS 数据库的更永久副本的方法吗?有没有办法从 Catalyst 交换机本身编辑和管理 VMPS 数据库,还是必须始终通过 TFTP 服务器进行更新? 最后,有人有 VMPS 的权威文档或...
目前有一个 FreeRADIUS 1.1.6 服务器,用于对存储在posix帐户帐户架构。现在,我们已经安装了 Cisco WLC,并希望通过 802.1X 对这些用户进行身份验证(该协议已成功运行),同时还根据计算机的 MAC 地址动态地将他们的计算机分配到 VLAN 上(我们还使用证书,因此 MAC 欺骗问题应该会得到很大缓解)。 我已将 radius 模式导入 OpenLDAP,并创建了一个中国称为dot1x并基于 objectClass半径轮廓- 因此我们有这样的条目: dn:cn=machine-1146,cn=dot1x,dc=org,dc=...
我对新基础设施的设计确实感到困惑。让我来解释一下我们的场景。我的任务是彻底重建我们的网络基础设施。 要求是隔离我们的生产、开发/IT、实用程序/测试、iSCSI 和办公室用户流量。让我困惑的问题是动态 DHCP。 让我解释一下。 我和我们的普通用户以及开发团队位于同一个办公室。除了域控制器和我们的 Exchange 服务器之外,我不想允许普通用户通过 LAN IP 地址访问我们的生产机器。但是我需要允许 IT/Dev 访问。每个 VLAN 都有一个单独的子网,我们所有的交换机都是 L3。我的核心交换机将是 Juniper EX4200 堆栈,我们总部的...