[uanog] офісна мережева ІТ-інфраструктура - як правильно?

[Oleh Hrynchuk]

Всім доброго дня.

А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при
підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у
вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в
Інтернет, але ресурси офісної сітки для нього мють бути закриті

Вихідні дані:
1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль
не вміють 802.1x)
2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На
нього заходить також шнурок від ISP
3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool
4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.
5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN
ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто
фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої
ethernet-порти для підключення до офісної LAN

Що хочу:

1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої"
мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet.
"Робоча" офісна LAN має бути виключно на ethernet.
2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес
робочих станцій наших офісних працівників вже зібрав
3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією
інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію
при спробах юзерів отримати якийсь ІТ-сервіс


Як тут правильно все зробити?
На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до
якого звертатиметься hex S router при видачі IP-адрес end users.
Типу:
EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в
зворотному порядку.

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210818/5b3aa583/attachment.html>