|
Аунтификация базе Cisco 1811 <WiFi, гостевой сегмент, D-Link>
Задался себе вопросом
Как предоставить Вай-Фай с одной точки одновременно и доменным пользователям ноутбуков и гостям с ноутами. При этом для доменных пользователей должны работать все сервисы корпоративной сети, а для других (просто гостей) только интернет. Как это реализвать? Появилась такая идея. При подключении к точке доступа после ввода ключа (WPA и.т.п. ) ноут получает ip адрес от dhcp сервера. Далее он должен каким-то способом пройти аунтификацию для получения сервисов - для гостя только интернет, для доменного пользователя - корпоративные сервисы +интернет. К примеру открыть страницу IE и при попытке открыть любую страницу получать редирект на страницу аунтификации, после которой и происходит отсеивание пользователя на доменного или гостевого. На базе Циско 1811 можно ли такое реализовать? Если есть идеи другго типа аунтификации, готов выслушать- точнее прочитать. Заранее спасибо. |
Проверка подлинности называется так: Аутентификация
|
Цитата:
RADIUS и 801.2X плюс, возможно распихать по VLAN. Один VLAN прямо на точке (Cisco) точно можно, а вот несколько VLAN внутри одной точки - я не помню. |
См. 801.2X -> Radius > MS IAS -> MS AD - данное решение будет работать на любом сетевом устройстве поддерживающим
RADIUS и 801.2X Можно поподробнее....? Как связать AD и радиус -это не проблема А вот как авторизацию проводить?Каким образом?Подключение к точке - ввод ключа-получение адреса сетвеого - а дальше? Илил я не правильно понял? Про Вланы..... Wi-Fi точкой у меня служит длин 2100 AP http://dlink.ru/products/prodview.php?type=17&id=243 |
Цитата:
Обычно это сертификаты. Для Wireless Устройств Cisco можно настроить связь с доменом, т. е. пользователь будет вводить Имя и пароль домена, в зависимости от группы его будут либо пущать, либо не пущать, либо ограниченно пущать. === Производители сетевых устройств Cisco, Nortel Могут предложить решение основанной на Guest VLAN. Т. е. устройство не прошедшее аутентификацию допускается к работе, но в специальный VLAN. Следует помнить что стандарт 802.1X и стандарты беспроводной аутентификации основаны по сути на аутентификации не пользователя, а устройства подключающегося к сети. === У вас в роли беспроводного устройства будет выступать 1811? Лучше доку к ней почитать. |
нет.....роли беспроводного устройства будет выполнять длинк....
|
aptv,
читайте описание к нему. Если поддерживает 802.1X, то можно настоить чего-либо. Если VLANs поддерживает, то вобще чудестно. Cisco в данном случае может выступить лишь как коммутатор 3-го уровня объединенный с точкой доступа trunk'ом + ACL фаервол |
802.1Q VLAN Tagging
Радиус не поддерживает. |
Цитата:
|
Вопроса честно говоря не понял.....объясните
|
Цитата:
Есть варианты устройств которые могут отнести в определенный VLAN в зависимости от вариантов аутентификации. Данный вариант был бы идеален. |
Это точно.....
буду смотреть.... |
позвонил в тех . поддержку длинка - что посоветовали -
Закрепить постоянные ноуты за мак адресам назначив им статическиt адреса из пула И сделать пул с другими адресами для гостей....а дальше писать акссел лист. с вланами не советовали работать - сказали не то железо. получается у меня на одном влане - к примеру 105 - будет весеть два dhcp сервера а вот как закрепить acl за этим интерфейсом для такой цели? |
Цитата:
v1) На Cisco можно настроить фильтрацию по MAC v2) Можно настроить DHCP на выдачу постоянных IP, с привязкой по MAC, а потом фильтровать по IP. |
хм....тоже вариант....
ну получается к примеру сделал я необходимые вещи с dhcp как производить фильтрацию? |
Цитата:
Единственное рекомендую выделять адреса диапазонами которые можно описать маской: Например, адреса: 192.168.0.0 - 192.168.0.3 Перекрываются как 192.168.0.0 255.255.255.252 а например 192.168.0.32 - 192.168.0.63 192.168.0.32 255.255.255.224 Таким образом вместо 32 строк, можно обойтись одной ==== Для простоты обсчета масок рекомендую IP Subnet Calculator |
я имел ввиду написать пример того как именно работает acl в отношении прикреплённых за маками ip и диапазона адресов
Тоесть написать конкретный пример. Заранее признателен)! |
Вопрос такой -
Если делать один интерфейс VLAN 101 Пусть там висят все компьютеры сервера и т.п. вместе с ноутами на вафляе Как тут сделать разграничение ? Включен один общий DHCP сервер - в итоге получаю, что необзодимо сделать дополнительный интерфейс VLAN 102 для ноутов - тоесть цепляем точку за интерфейсом VLAN 102 Далее даём разрешение всего траффика между вланами для адресов закреплённых за мак адресами ноутов. а остальным даём доступ только к dns , http, https, pop3 ,smtp и усё. я правильно понимаю? |
Цитата:
|
| Время: 15:25. |
Время: 15:25.
© OSzone.net 2001-