Есть несколько тысяч пользователей. Пользователи разбиты на «команды». У каждой команды свои специфически доступы как к ресурсам других команд, так и доступы наружу или в DMZ.
Реализовано это выделением VLAN-а на команду и помещением членов конкретной команды в свой VLAN. Последний терминируется на L3 устройстве распределения-ядра (в смысле функции объединены в одном). На каждом из этих SVI соответственно ACL, который и регламентирует куда могут-не могут ходить пользователи.
Проблема
Если пользователь переезжает, а такое бывает часто (причём порой целыми командами), то обычно попадает в «чужой» VLAN, ибо IT-служба не предупреждается о переезде. Попадая не туда, соответственно, теряются все доступы, работа тормозиться, сыпятся заявки и прочее.
Задача
Превентивно решать эту проблему. Понятно что можно (да и скорее всего нужно) решать административно, но обстоятельства вынуждают решать технически.
Возможное решение
Использовать 802.1x с доменной авторизацией. Сначала (до авторизации) станция пользвателя попадает в VLAN-песочницу, откуда доступен RADIUS, например. Далее пользователь авторизовывается, его порту назначается необходимый VLAN, все доступы и счастье. Не авторизовался — попадает в гостевую сеть.
Вопросы хабрасообществу
Это вообще реализуемо как я себе это представил? Кто-нибудь так делал? Какие минусы и плюсы?
Реализуемо именно в таком виде и ИМХО вполне целесообразно в вашем случае. Более того, есть продвинутые решения на эту тему: ISE. Там можно сделать и так, что если на компьютере не обновлен антивирус или не стоят последние патчи — доступа не будет кроме как до серверов обновлений. И вообще, одним из факторов аутентификации будет компьютер: не получится принести личный ноутбук, воткнуть его в сеть и вбить в .1x свои учетные данные или сертификат. Ну и ACLы можно ставить не на SVI, а сразу на порт пользователя. Автоматически. Загружаемые или заранее вбитые в глобальную конфигурацию.
Реализовано давным давно, имеет различные названия — network access control, network admission control, network access protection и так далее. Есть у многих производителей, у циски раньше называлось Cisco NAC, теперь более продвинутая версия называется ISE, как подсказали выше. Есть у симантека, у чекпоинта, даже у MS встроено начиная с Server 2008 и Win7 (MS NAP).
MS NAP, с Cisco ACS можно сделать, работает в Xp, Win7/8, скорее всего в линуксах. Даже на некоторых сетевых принтерах может работать. Если вменяемые Вифи — то и там тоже
