Autenticação de porta Cisco Dot1x - VLAN selecionada com base em qual domínio o usuário efetua logon no computador?

6

Atualmente, minha empresa foi comprada por outro. Devido a isso, outros dois usuários da empresa estarão migrando para o nosso escritório.

Seria super útil se pudéssemos ter a vlan escolhida para o usuário com base em qual domínio eles tentam fazer login usando dot1x.

E.G. Vlans

  • 100 CompanyA
  • 200 CompanyB
  • 300 empresas

Alguém coloca um laptop em uma mesa, conecta-se à porta da rede e pressiona CTRL-ALT-DEL, seleciona o nome de domínio CompanyB e faz o login.

O resultado que quero é que o dot1x é capaz de descobrir que este é um usuário da CompanyB e definir a porta de rede para refletir dinamicamente a vlan 200.

Possível?

    
por Lance 24.06.2013 / 07:22

3 respostas

2

Você precisa do servidor RADIUS (provavelmente o FreeRADIUS) que envia atributos adicionais.

Especificamente, é necessário enviar alguns atributos específicos. Para detalhes, consulte RFC2868

Isso é o que eu uso para clientes sem fio, mas funciona da mesma forma para o 802.1X com fio:

  • Tipo de túnel = VLAN,
  • Tipo-média-túnel = IEEE-802,
  • Túnel-Grupo-Privado-Id = 1234

Onde 1234 é o ID de VLAN necessário.

É claro que você precisa verificar se o seu switch suporta esses atributos. Ele também pode suportar alguns outros atributos que alcançam a mesma coisa, o exemplo acima funciona com a Cisco.

    
por 25.05.2014 / 16:01
1

Você poderia olhar para algo como link do packetfence Ele pode fazer o controle de acesso baseado em função, que parece ser exatamente o que você está procurando fazer.

    
por 13.02.2014 / 03:14
1

Isso não parece viável para mim. Quer dizer, se você mudar a VLAN, uma porta pertence a "on the fly", então a porta ficará temporariamente offline e depois voltará ... se você não tiver o port-fast habilitado, então ele terá o escuta / aprendizagem / ciclo de encaminhamento para percorrer. Você também terá as negociações de velocidade do link para passar, restabelecendo um novo endereço DHCP, comunicando-se com o controlador de domínio ... etc etc. Resumindo, seus tempos de logon seriam horrendos.

Seu post diz que as pessoas estão "colocando um laptop para baixo". Estou assumindo que os novos funcionários das outras empresas estarão trabalhando em laptops dessas empresas, correto? Em vez de conectá-los à rede, por que você simplesmente não liga sem fio? Em seguida, você pode configurar vários SSIDs em seus pontos de acesso e mapear cada SSID para a VLAN que deseja que o dispositivo acesse. Você pode atribuir uma senha para os dispositivos da Empresa A e outra para a Empresa B.

Os usuários finais não recebem as senhas e os funcionários da Empresa A não estão usando os laptops da Empresa B e vice-versa. Todo mundo está na VLAN e no domínio que você quer. Os laptops da empresa B unem-se automaticamente ao SSID da empresa B, etc.

Além disso, você não quer realmente abrir portas em sua rede onde qualquer um pode entrar e entrar na sua rede.

    
por 20.05.2014 / 21:19