Assegurando a VLAN baseada no MAC no linux

Navegue suas respostas
1

É possível atribuir VLANs no Linux com base no endereço MAC do cliente? Se sim, como? As páginas man do vconfig parecem indicar que ele opera somente em uma base de porta.

Estou tentando obter uma configuração sem fio em que novos clientes são atribuídos a uma vlan 'não aprovada' na qual eles permanecerão até que um administrador os tenha aprovado (ou talvez até que eles se registrem em um portal cativo local) no qual ponto eu gostaria de re-atribuí-los para o 'aprovado' vlan.

Como posso configurar um mapeamento de MAC: VLAN ID no linux, se existir?

    
por Mike 26.10.2011 / 15:42

3 respostas

4

Em geral, há um modo de operação da maioria dos pontos de acesso no nível de negócios chamado algo como "atribuição de VLAN dinâmica" (é um termo da marca Cisco, outros podem nomear de forma diferente). A idéia básica é que um cliente WLAN é colocado em uma VLAN, dependendo das credenciais de autenticação enviadas. Sua infra-estrutura, incluindo o servidor RADIUS, deve fornecer isso.

O recurso "VLANs dinâmicas" ( mais uma vez um termo da marca Cisco) voltado principalmente para a infraestrutura com fio também está muito próximo do que você está procurando.

Se você não tem equipamentos da Cisco, existe também o termo VLANs baseadas em MAC para VLANs não construídas por tags 802.1q, mas simplesmente definidas por endereços MAC dos clientes. Como endereços MAC podem ser arbitrariamente definidos pelos clientes, essa técnica é obviamente insegura, mas pode ser útil, no entanto. As implementações de VLAN pré-802.1q suportaram este tipo de VLANs (cerca de 12 a 15 anos atrás), mas foram praticamente extintas hoje em dia.

Mas um patch publicado recentemente para as principais fontes de kernel 3.2.1 introduz uma nova "fonte" modo para o módulo "macvlan" como uma implementação do mesmo recurso de VLAN baseado em MAC dos dias antigos. O patch ainda não foi mesclado no Kernel pois ainda precisa de algum trabalho, mas você obviamente pode aplicá-lo se a necessidade for urgente. Ou apenas espere a fusão oficial acontecer - se o código for bom, não demorará muito.

    
por 05.02.2012 / 21:24
1

Acho que vamos precisar de mais detalhes sobre sua configuração física. Em suma, a menos que seu "servidor" linux esteja atuando como algum tipo de controlador de acesso sem fio troncalizado ou seja capaz de manipular as coisas na hora, duvido. Eu suponho que você poderia executar vários SSIDs com autenticação baseada em MAC, talvez, cada SSID em uma vlan diferente.

    
por 26.10.2011 / 16:27
0

Você não pode fazer isso com VLANs. Isso é mais uma função de troca e o linux é mais um cliente.

O que você quer é chamado de "portal cativo", há várias soluções disponíveis que usam o firewall iptables para implementar.

Alguns exemplos de distribuições de portais cativos são pfsense, zeroshell.

Veja um artigo sobre mais softwares linux independentes para colocar em uma máquina existente:

    
por 26.10.2011 / 16:34

Tags

Quando um túnel IPsec é um candidato real para NAT-T (quando é absolutamente necessário?)? Substituindo o TTY por um script no CentOS 6