<div dir="ltr">Всім доброго дня.<br><br>А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в Інтернет, але ресурси офісної сітки для нього мють бути закриті<br><br>Вихідні дані:<br>1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль не вміють 802.1x)<br>2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На нього заходить також шнурок від ISP <br>3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool<br>4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.<br>5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої ethernet-порти для підключення до офісної LAN<br><br>Що хочу:<br><br>1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої" мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet. "Робоча" офісна LAN має бути виключно на ethernet.<br>2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес робочих станцій наших офісних працівників вже зібрав<br>3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію при спробах юзерів отримати якийсь ІТ-сервіс<br><br><br>Як тут правильно все зробити?<br>На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до якого звертатиметься hex S router при видачі IP-адрес end users.<br>Типу:<br>EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в зворотному порядку.<br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div>