Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Доступ в vlan по мак адресам.

Здравствуйте, подскажите пожалуйста, как правильно поступить. есть такая задача:

Необходимо сделать так, что бы была возможность распределять пользователей по различным вланам, используя в качестве авторизации их mac адреса. Так же, что бы небыло привязки к определенному порту (в том случае, когда пользователи, которые должны находится в разных вланах включены в коммутатор через просто хаб)

Из оборудования имеется следующее:

Ядро сети: Cisco Catalyst 4506

Этажные коммутаторы, куда непосредственно подключаются пользователи: 3com3848,3com4500,hp2510,hp2630

Сейчас это работает только на 4506 с помощью VMPS, но к сожалению при подключении клиентов через хаб, эта схема перестаёт работать.

Можно ли что-то сделать, что бы трафик с определенных mac адресов на 4506 помечался по правилам, определенным вланом и далее отрабатывал по правилам этого влана, что бы избежать изменения конфигурации порта, к которому подключены остальные клиенты?

Прошу прощения, если некорректно описал.

Заранее благодарю за любую консультацию!

Теги (3)
5 ОТВЕТ.

Доступ в vlan по мак адресам.

Стандартными средствами, если трогать только каталист, задача, пожалуй, нерешаема.

Циска пиарит OnePK. С точки зрения SDN я не вижу особых проблем реализовать такое. Однако, деталей не знаю, тут лучше запросить account manager'а.

Но остается проблема: в рамках каждого свитча 3com/HP то, что мы делаем на каталисте, не играет никакой роли. Т.е. либо все клиенты будут в заранее указанном одном VLANе, либо каждый в своем, но все равно заранее указанном, либо 802.1х, про который в условии задачи ничего не говорится, и у которого свои проблемы. Может, есть какие хаки, тут лучше на форумах HP спросить. Конечно, тегировать трафик клиента должен свитч, к которому клиент подключен, а не ядро.

Если не секрет - откуда взялась такая странная задача? В голову только требования к безопасности приходят, но и там указанная вами архитектура окажется насквозь дырявой и годящейся в основном "для галочки".

New Member

Доступ в vlan по мак адресам.

Дмитрий, задача действительно странная. Или скорее я пытаюсь не корректно её реализовать.

я попробую описать задачу, может быть будет иное предложение решения.

Спасибо за участие.

Доступ в vlan по мак адресам.

Добрый день!

Технология, которая позволяет реализовать то, чо вы озвучли называется MAB - MAC Authentication Bypass

При этом аутентификация пользователей фактически производится по 802.1x и для её работы вам потребуется сервер Cisco ACS,который будет хранить базу соотвествий. Возможно ли реализовать это с использованием другого сервера я не знаю.

Но! Вот будет ли поддерживать эту технологию ваш зоопарк коммутаторов доступа это вопрос откртый.

И Я подозреваю, что скорее всего нет.

Так что для этого вам потребуется весь уровень доступа перевести на CISCO.

А так вообще технология рабочая, есть опыт использования уже около года на сети с более чем 1000 пользователей (практически весь доступ - это cisco 3550 и 3560). Есть свои глюки, но в основном они связаны с некорректной работой конечных устройств.

New Member

Доступ в vlan по мак адресам.

Сергей, спасибо за ответ.

Не знаю, что такое Cisco ACS, буду читать.

Не совсем понятно, зачем этажным коммутаторам поддерживать эту технологию? если они будут работать как неуправляемые хабы, и всех пользователей держать в одном влане, а по нужным вланам, авторизовывая по мак адресм их будет раскидывать 4500.

Доступ в vlan по мак адресам.

Совместно с MAB имеет смысл ограничивать кол-во MAC на порту (до одного), таким образом обеспечивая не только автоматическую настройку vlan, но и защиту он несанкционированных подклчений.

Соответственно если этого не сделать, то злоумышленник может подключить в сеть вмсето легитимного клиента свой хаб, подключить к хабу обратно этого клиента, за счёт чего произойдёт авторизация на порту, а потом и сам воткнётся в этот же хаб уже после авторизации и получит доступ в соответствующую сеть.

Конечно если у вас не стоит вопрос безопасности, то наверное этим функциналом можно и пренебречь, но тогда и топология сети у вас получится весьма статичной. Из практики я что-то не очень верю в то, что у вас никогда не возникает ситуации, когда к пользователям живущим в vlan_100 вдруг подсадили человека из vlan_200. И если у вас все эти пользователи на одном неуправляемом коммутаторе, который авторизуется по MAB только один раз по первому MAC, то разрулить эту ситуацию вы не сможете.

Вообщем использовать неуправляемые коммутаторы и MAB вместе - это совсем  НЕ ТРУ )))).

1040
Просмотры
10
Полезный материал
5
Ответы
СоздатьДля создания публикации, пожалуйста в систему