Autenticazione port Cisco Dot1x – VLAN selezionata in base a quale dominio l'utente accede al computer?

Attualmente la mia azienda è stata acquistata da un altro. A causa di questo, altri utenti di due società migreranno nel nostro ufficio.

Sarebbe super comodo se potessimo avere il vlan scelto per l'utente in base a quale dominio cercano di accedere all'utilizzo di dot1x.

  • problema con FTP passivo dietro il firewall di cisco asa
  • Cisco VPN Client dietro ASA 5505
  • Cisco IOS support l'utilizzo di variables nella sua configuration?
  • Tunnel Site-to-Site tra Cisco Router e Windows Server 2003/2008
  • Perché DELL PowerConnect e Juniper sono così rari? Perché le aziende si bloccano con Cisco?
  • La relazione di trust tra il dominio primario e il dominio trusted non è rioutput
  • EG Vlans

    • 100 CompanyA
    • 200 CompanyB
    • 300 CompanyC

    Qualcuno inserisce un computer porttile su una scrivania, si collega alla port di networking e preme CTRL-ALT-DEL, seleziona il nome di dominio CompanyB e accede.

    Il risultato che voglio è che dot1x sia in grado di capire che si tratta di un utente di CompanyB e di impostare la port di networking per riflettere dynamicmente vlan 200.

    Possibile?

  • I pacchetti wifi vanno direttamente al nodo?
  • Benchmark realistici delle performance 802.11n / WiFi N?
  • Come posso offrire 2.4 Ghz wi-fi in un edificio con forte interferenza?
  • arp che-ha richieste di visualizzazione vlan isolated indirizzi diversi (single NIC)
  • Cosa succede quando un interruttore consumer riceve un frame Ethernet etichettato con VLAN?
  • Come i client wireless misti (b / g / n) influenzano il throughput totale di un punto di accesso?
  • 3 Solutions collect form web for “Autenticazione port Cisco Dot1x – VLAN selezionata in base a quale dominio l'utente accede al computer?”

    Hai bisogno di server RADIUS (probabilmente FreeRADIUS) che invia ulteriori attributi.

    In particolare, deve submit alcuni attributi specifici, per i dettagli vedere RFC2868

    Questo è ciò che utilizzo per i client wireless, ma funziona lo stesso per 802.1X cablato:

    • Tunnel-Type = VLAN,
    • Tunnel-Medium-Type = IEEE-802,
    • Tunnel-Private-Group-Id = 1234

    Dove 1234 è l'ID VLAN richiesto.

    Naturalmente devi controllare che il tuo switch support tali attributi. Può anche sostenere alcuni altri attributi che raggiungono la stessa cosa, l'esempio sopra funziona con Cisco.

    Puoi guardare a fare qualcosa di simile a packetfence http://www.packetfence.org/ Può eseguire un controllo di accesso basato su Ruoli, che sembra che sia esattamente quello che stai cercando di fare.

    Questo non mi sembra vitale. Voglio dire, se si modifica la VLAN una port appartiene a "in volo", allora la port temporaneamente sta per andare in linea e poi tornerà … se non hai il port-fast abilitato, allora ha tutto passare attraverso il ciclo di ascolto / apprendimento / inoltro. Avrai anche i negoziati per la velocità di collegamento che dovranno passare, restituendo un nuovo indirizzo DHCP, comunicando con il controller di dominio … ecc. E così via. Insum, i tuoi tempi di accesso sarebbero orrendi.

    Il tuo post dice che le persone stanno facendo "piegare un computer porttile". Suppongo che i nuovi dipendenti delle altre aziende lavoreranno su computer porttili da quelle aziende, giusto? Invece di farli colbind alla networking, perché non si va senza fili? Quindi puoi impostare più SSID sui tuoi AP e mappare each SSID nella VLAN che desideri che il dispositivo acceda. Potresti assegnare una password per i dispositivi della società A e un'altra password per la società B.

    Gli utenti finali non ottengono le password, ei dipendenti della società A non utilizzano i computer porttili della società B e viceversa. Ognuno è sulla VLAN e il dominio che vuoi. I computer porttili della società B si uniscono automaticamente al SSID della società B, ecc.

    Inoltre, non si desidera veramente le porte aperte della networking in cui solo chiunque può entrare e entrare nella networking.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.