[uanog] офісна мережева ІТ-інфраструктура - як правильно?

Wed Aug 18 13:16:00 EEST 2021

Hello!

Дякую!

ср, 18 серп. 2021 о 10:23 Taras Heichenko <tasic at academ.kiev.ua> пише:

> Hi!
>
> Як на мене, питання, що гість не під'єднався до езернету вирішується на
> чисто фізично-адміністративному рівні. Він не повинен мати
> такої можливості. А WIFI можна просто зробити робочий і гостьовий.
>
>
ну...
всякі гості бувають і різні обставини. Теоретично можна й не вслідкувати.
Наприклад, покинули в переговорці одного на якийсь час... а там світч.

Щодо "WIFI можна просто зробити робочий і гостьовий" - звісно.

> > On 18 Aug 2021, at 07:12, Oleh Hrynchuk <oleh.hrynchuk at gmail.com> wrote:
> >
> > Всім доброго дня.
> >
> > А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при
> підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у
> вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в
> Інтернет, але ресурси офісної сітки для нього мють бути закриті
> >
> > Вихідні дані:
> > 1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на
> жаль не вміють 802.1x)
> > 2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs.
> На нього заходить також шнурок від ISP
> > 3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP
> pool
> > 4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.
> > 5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN
> ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто
> фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої
> ethernet-порти для підключення до офісної LAN
> >
> > Що хочу:
> >
> > 1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої"
> мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet.
> "Робоча" офісна LAN має бути виключно на ethernet.
> > 2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх
> МАС-адрес робочих станцій наших офісних працівників вже зібрав
> > 3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією
> інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію
> при спробах юзерів отримати якийсь ІТ-сервіс
> >
> >
> > Як тут правильно все зробити?
> > На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до
> якого звертатиметься hex S router при видачі IP-адрес end users.
> > Типу:
> > EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в
> зворотному порядку.
> >
> > --
> > Regards,
> > /oleh hrynchuk
> > _______________________________________________
> > uanog mailing list
> > uanog at uanog.kiev.ua
> > https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
> --
> Taras Heichenko
> tasic at academ.kiev.ua
>
>
>
>
>
>

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210818/4ac70d5f/attachment.html>