собственно вопрос заключается в том, чтобы ограничить работу компьютером, которые не внесены в белый список.... какая схема более приемлема?
схема: вся сеть у нас статика

1. блокировать\отключать порт по сравнению скажем MAC + IP + PORT,
2. блокировать\отключать порт при сопутствии сертификата (какого?),
3. просто ограничить доступ машины или не давать передавать никакой трафик..
4. возможно ваш вариант решения вопроса данного....


я в этом деле еще новичок, не пиннать прошу сильно а просто объяснить направление движения или скинуть примерный мануал.

задача состоит в том, что есть в сети пользователи, которые не контролируются на своих компах, а соответственно они могут и mac подменить и ip (был случай, когда ради забавы подменили ip и mac сервака с AD), их отключили\разделили физически в разные сети, но доступ к сетевым розеткам остался, т.е. вероятность подобного имеется.

имеем данный парк коммутаторов:
DES-3526DC
DGS-1224T/GE
DES-3528
DES-3028
DGS-1216T
DES-3226S
DGS-3200-10
DES-3552
DES-3028
DGS-1224T/GE
DGS-3200-16
DES-3552
DGS-3200-10
DES-3526
DES-3528


может быть вариант: сервер-RADIUS + сверка чего либо, или сертификаты (которые мы загружаем в ОС при установке и подключении ее в сеть).

посоветуйте направление движения, как это реализовать или мануал по этой теме

впринципе мне нравится идея с гостевым VLAN-ом, зажатым на коммутаторе, т.е. гости между собой не смогут работать - 802.1x (_http://habrahabr.ru/post/138889/)
т.е. комп включается, авторизуется на коммутаторе через сертификат и либо в общую, либо в гостевую проваливается, а потом пользователь уже может ввести логин и пароль и авторизоваться на АД-сервере

на коммутаторах есть функция ip-mac-port-binding

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

как это реализовать, если некоторые коммутаторы DGS-1224 могут изучить только 256 mac, а они могут быть промежуточные... да и прописать на кадом коммутаторе каждый порт с его мас+ip как-то не радует перспектива, причем есть сегмент сети, где туманно очень топология сети (какой и куда включен свитч, как идет магистральный канал).


очень желательно, чтобы именно что-то унифицированное было, если прийдется докупить какое-то ПО или поменять некоторые свитчи.. то жду предложений..

я так понимаю 1224 это агрегация?
зачем на агрегации делать impb? помоему все коммутаторы которые вы перечислили имеют такую функцию

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

простите..а собственно где я писал про агрегацию? для меня термин агрегация обозначает объединение сетевых портов для увеличения пропускной способности, а тут авторизация компа с помощью сертификата на коммутаторе


еси не прав, поправьте

агрегация это еще может означать узловые\районные коммутаторы к которым подключены коммутаторы доступа

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

не знал этого... но речь не об этом.

у меня есть парк коммутаторов, которые были разбросаны до меня в случайном порядке, сейчас закупаемся только серией DES-35хх, они же сейчас установлены в основных узлах в паре с DGS-3200-10, но не везде, также есть домен с ролью сервера сертификатов и если понадобится подниму RADIUS на том же сервере, их 2 и оба виртуальные, они бекапятся успешно, так что отказоустойчивость определенная есть.

помогите мне это реализовать: комп загружается (инициализируется сетевой интерфейс), коммутатор спрашивает сертификат по 802.1x, комп дает сертификат на проверку, коммутатор обращается к RADIUS-серверу, который обращается к хранилищу сертификатов (или он сам является таковым), далее идет ответ коммутатору о валидности сертификата, если все нормально, то коммутатор пускает комп в сеть, если нет, то передача данных по порту закрыта или порт переходит в гостевой VLAN.

и еще: как в таком случае поступить с принтерами? отдельно порты прописать в нужный VLAN или разрешить любой трафик по данному порту?

то-есть вариант "1. блокировать\отключать порт по сравнению скажем MAC + IP + PORT,"
вам уже не подходит?

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

мы выбрали вариант проверки подлинности компьютера на основе 802.1х и сертификатов (имеется свой центр сертификации на основе Win Server 2008 R2)...

сейчас пытаемся настроить связку: Windows Server 2008 R2 - DES-3552 - ноутбук с сертификатом от сервака

прошу помощи в настройке коммутатора, никак не сообразим как, т.е. ставим "службу политики сети и доступа", настраиваем радиус клиентов (он у нас 1 - коммутатор), протокол 802.1х, в нем указываем проводную сеть и смарт-карты или иные сертификаты, а вот на свитче как это вырулить не пойму ;(


делаем по инструкции http://www.oszone.net/14558/WiFi-Windows-Server-2008-1 , http://www.oszone.net/14558/WiFi-Windows-Server-2008-2