Доброго дня!
Имею сеть построенную на des-3526/3028 коммутаторах на уровне доступа. Встал вопрос о контроле доступа к сети.
После множества перечитанных мануалов решено аутентифицировать абонентов на уровне коммутаторов L2 через 802.1x MAC-Based с использованием radius'a (FreeRadius).
Почему Mac-based ? Потому, что есть порты в которые подключены обычные "мыльницы".
Понятно, что в базе радиуса хранятся mac-адреса абонентов, но есть-ли возможность у вендора указать такой атрибут, который проверял не только МАК, но и ПОРТ и КОММУТАТОР.

Что думаете по-поводу 802.1x, уважаемые гуру? Может у кого есть опыт в развертывании такого доступа. В принципе меня устроило бы и функция IP-MAC-PORT Binding, но опять же это костыли (писать скрипты, которые будут мониторить таблицу коммутаторов и бла-бла), необходимо нечтоо централизованное, как 802.1x.
Спасибо!

Ничего хорошего.
Попробуйте найти дешёвый, качественный и широкораспространённый SOHO-роутер, который это умеет.
Напишите мануалы, как это делается на платформах Win 2000, Win XP, Win Vista, Win 7, а так-же Apple и Debian.
Если всё получится, попробуйте перевести ВСЕХ абонентов на эту авторизацию.
на 2-м пункте вы наверно уже откажитесь от этой идеи.


У нас эти костыли прекрасно работают не первый год. Вы просто не умеете их готовить.


Правильно-написанные костыли и есть нечто централизованное.

Зачем SOHO-роутер?
Я писал про 802.1x Mac-based авторизацию. Со стороны клиентов не обязательна поддержка 802.1х
Если бы вкурить получше, то достаточно только radius-сервера, без скриптов пробегающим через telnet или snmp по коммутаторам и снимающим с них таблицу ARP. И потом у коммутаторов есть ограничение на перезапись сохранения, 100 тыс циклов вроде.

Есть люди, у которых есть опыт работы с 802.1x?

MAC-based 802.1x в этих моделях спрашивает у пользователя пароль по 802.1x, сверяется с радиусом и если доступ есть, то добавляет MAC адрес клиента в список разрешенных. Клиент должен иметь поддержку 802.1x

Спасибо за ответы ув. саппорт!
В таком случае у меня к Вам просьба. Не могли бы Вы или кто-нибудь из гуру порекомендовать мне, как лучше контролировать доступ/несанкционированные подключения/подмену, имея текущую схему построения:
- на уровне доступа 3526/3028
- не везде port-абонент, в большинстве портов могут находится несколько маков.