[uanog] офісна мережева ІТ-інфраструктура - як правильно?

Taras Heichenko tasic at academ.kiev.ua
Wed Aug 18 10:23:02 EEST 2021 

Hi!

Як на мене, питання, що гість не під'єднався до езернету вирішується на чисто фізично-адміністративному рівні. Він не повинен мати
такої можливості. А WIFI можна просто зробити робочий і гостьовий.


> On 18 Aug 2021, at 07:12, Oleh Hrynchuk <oleh.hrynchuk at gmail.com> wrote:
> 
> Всім доброго дня.
> 
> А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в Інтернет, але ресурси офісної сітки для нього мють бути закриті
> 
> Вихідні дані:
> 1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль не вміють 802.1x)
> 2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На нього заходить також шнурок від ISP 
> 3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool
> 4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.
> 5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої ethernet-порти для підключення до офісної LAN
> 
> Що хочу:
> 
> 1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої" мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet. "Робоча" офісна LAN має бути виключно на ethernet.
> 2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес робочих станцій наших офісних працівників вже зібрав
> 3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію при спробах юзерів отримати якийсь ІТ-сервіс
> 
> 
> Як тут правильно все зробити?
> На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до якого звертатиметься hex S router при видачі IP-адрес end users.
> Типу:
> EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в зворотному порядку.
> 
> -- 
> Regards,
> /oleh hrynchuk
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

--
Taras Heichenko
tasic at academ.kiev.ua

More information about the uanog mailing list