[uanog] =?utf-8?Q?=D0=BE=D1=84=D1=96=D1=81=D0=BD=D0=B0_=D0=BC=D0=B5=D1=80=D0=B5=D0=B6=D0=B5=D0=B2=D0=B0_=D0=86=D0=A2-=D1=96=D0=BD=D1=84=D1=80=D0=B0=D1=81=D1=82=D1=80=D1=83=D0=BA=D1=82=D1=83=D1=80=D0=B0_?=- як правильно?

Maksym Tulyuk maksym at tulyuk.com
Wed Aug 18 22:19:22 EEST 2021 

Привіт!

Твоя задача ідеально вписуєтся в 802.1х, але якщо світчі не вміють, то я би створював web формочку, яка запускає скрипти що включают чи виключают порти.

В тебе VPN server є?

Максим
On 18 Aug 2021, 06:12 +0200, Oleh Hrynchuk <oleh.hrynchuk at gmail.com>, wrote:
> Всім доброго дня.
>
> А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в Інтернет, але ресурси офісної сітки для нього мють бути закриті
>
> Вихідні дані:
> 1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль не вміють 802.1x)
> 2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На нього заходить також шнурок від ISP
> 3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool
> 4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.
> 5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої ethernet-порти для підключення до офісної LAN
>
> Що хочу:
>
> 1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої" мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet. "Робоча" офісна LAN має бути виключно на ethernet.
> 2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес робочих станцій наших офісних працівників вже зібрав
> 3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію при спробах юзерів отримати якийсь ІТ-сервіс
>
>
> Як тут правильно все зробити?
> На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до якого звертатиметься hex S router при видачі IP-адрес end users.
> Типу:
> EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в зворотному порядку.
>
> --
> Regards,
> /oleh hrynchuk
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210818/dcdd683f/attachment-0001.html>

More information about the uanog mailing list