Посоветуйте оборудование для следующей задачи:
Авторизировать абонента.
ИСХОДНЫЕ ДАННЫЕ:
core level (коммутатор l3 + DHCP сервер+RADIUS)
|
коммутатор "A" (DGS-3324SR layer3 или layer2 - DES-3526)
|
неуправляемый коммутатор "B" (des-1024D)
|
абоненты

Абоненты (16 компьютеров) подключены к портам ком-ра "B". У абонентов настроена авторизация 802.1x (установлены клиенты).
Коммутатор "В" подлючен к коммутатору "А"
На порту ком-ра "А" настроена mac-base 802.1x
На сколько я понимаю принцип работы следующий:
Абонент1 включает ПК1 --> ком-р А инициирует авторизацию --> ПК отправляет логин и пароль -->свич пересылает их на RADIUS --> в услчае успешной проверки - порт свича А начинает пропускать трафик от/к ПК (имеющий определенный МАК!), т.е. в случае успешной авторизации свич "добавляет правило" на порту - и работает к конкретным маком, переодически выполняя повторную авторизацию ПК1 абонента1 (в зависимости от настроек 802.1x ком-ра А).
ВОПРОС1:
а)будет ли работать такая схема?
б)при мас-base 802.1x на радиус передается логин и пароль ? (в HP например передается мак адрес)
в) В FAQ
"Сколько МАС адресов мы можем прописать на порт при настройке режима MAC-based 802.1x? И какого общее кол-во МАС адресов на коммутатор для этого режима?
До 16-ти МАС адресов на порт для любого управляемого коммутатора D-Link."
в мануале для DGS-3324SR:
"MAC-Based Access Control – Using this method, the Switch will automatically learn up to three MAC addresses by port and set them in a list. Each MAC address must be authenticated by the Switch using a remote RADIUS server before being allowed access to the Network.
140"

Да, всё правильно понимаете. Кроме одного. MAC-Based 802.1x - это на уровне коммутатора - он MAC-ами оперирует. А на сервере как настроите хотите MD5, хотите сертификаты. т.е. грубо говоря логин/пароль. А по поводу ограничения - 16 MAC-адресов на порт для большинства управляемых коммутаторов

ок, спасибо
а)
[quote]
MAC-Based Access Control – Using this method, the Switch will automatically learn up to three MAC addresses by port and set them in a list
[/quote]
подскажите что это значит? почему 3?

Вопросик2: DHCP и 802.1x (мас-based) на des-3526
Допустим в нашей задаче ПК1 авторизовался и свич А работает с его маком. На том же порту! свича А появляется ПК2 (подключ-ный к свичу B),
как я понимаю пока ПК2 не авторизован свич А не работает с его маком. ВСЕ ЖЕ - возможно ли прохождение каких либо пакетов через этот порт от/к неавторизованного ПК2(например броудкастовые DHCP запросы) ??
(такая фича как ПЕРЕВОД ЭТОГО ПОРТА В ДРУГОЙ "гостевой" VLAN - ДЛЯ НЕАВТОРИЗИРОВАННОГО ПК нам НЕ подходит, т.к. на порту уже работает авторизированный ПК1)

1. На это не обращайте внимания
2. Никакие пакеты до авторизации не проходят

[quote]
Вопросик2: DHCP и 802.1x (мас-based) на des-3526
Допустим в нашей задаче ПК1 авторизовался и свич А работает с его маком. На том же порту! свича А появляется ПК2 (подключ-ный к свичу B),
как я понимаю пока ПК2 не авторизован свич А не работает с его маком.
[/quote]
##Учитывая широкое применение vlan: ПК необходимо дать ip адрес ##по DHCP, иначе администрировать сеть, статически вводя ip адреса ##на ПК - практически невозможно
тогда получается, что
появился ПК2, начинает послылать broadcast DHCP request пакеты.
Но пока он не авторизовался по 802.1x - broadcast DHCP пакеты не пройдут через порт свича А за которым у нас находиться DНСP.
Встроенный клиент DHCP OS семейства Windows после загрузки системы (или включения сетевой карты) отправит 3 broadcast DHCP request пакета с коротким интервалом (обычно 20 секунд). Не получив ответа от сервера, сетевому интерфесу OS Windows присвоит адрес: аля 169.254.xxx.xxx и не будет производить повторных попыток получения ip адреса по DHCP до перезагрузки или выкл/вкл. сетевой карты.
Очевидно, что с большой доли вероятности ПК2 может не успеть авторизоваться до истечения периода времени когда OS Windows предпринимает попытки достучаться до DHCP. Тогда ПК2 Абонента2 окажется не работоспособным (поскольку не будет иметь прав-го ip адреса для своего vlana)
Что делать?
p.s. есть слабая надежда, что после авторизации ПК2, опять начнет предпринимать попытки достучаться до сервера DHCP

2 Demin Ivan - подскажите как быть ?
Выходит, что технология mac-based 802.1x - мало пригодна для применения, т.к. практически! исключает возможность выдачи ПК сетевых настроек по DHCP.

Пока у нас нет Guest VLAN - так что работаем над этим

Иван, Guest Vlan - не подходит, т.к. мы не можем перевести порт в другой "гостевой" Vlan для неавторизированного ПК2,
с портом уже может работать авторизированный ПК1!!
Есть ли решения ?? Прошу ответить.

Так у вас уже есть наши коммутаторы?

да и очень много
в основном des-3550, des-3226s, dgs-3224TGR

Нужно уточнить этот вопрос. О результатах сообщим здесь

Клиентов 802.1x со встроенным DHCP клиентом - мы не нашли (даже платных). Также мы не нашли клиентов, которые после авторизации (сов-ния события) - могут рестартанут втроенный в Window DHCP клинет.
--
Ок, жду ответа...

2Vincent>> как вариант - ставить dhcp-сервер до коммутатора "А".. что есть не совсем красиво и не совсем удобно

А оно надо? (DHCP встроеный). У меня работает 802.1x+DHCP (стандартный win) + DHS3226. Правда в винде 802.1x достаточно глючный (IBM например на ноуты предустанавливает Aegis клиент , видимо из за этого).

Кстати , wpa_supplicant портанули под win недавно. Так что если нужно free и безглючное (хотя под win кривовато пока сделано) можно попробовать его.

[quote]А оно надо? (DHCP встроеный). У меня работает 802.1x+DHCP (стандартный win) + DHS3226.[/quote]

читайте внимательно суть вопроса.

[quote]как вариант - ставить dhcp-сервер до коммутатора "А".. что есть не совсем красиво и не совсем удобно[/quote]
очень не удобно и не реально. У нас в более 400 vlan-в.

Если интересно. Найден 802.1x клинет (Aegis) со встроенным DHCP клиентом. Сейчас будем смотреть на его работу.