Приветствую, хабросообщество!
На предприятии сеть, адреса раздаются по DHCP, используется коммутатор Cisco. Хочется реализовать контроль хостов, чтобы пользователи не могли использовать свою технику (подключать ноутбуки, точки доступа). Вопрос- как это сделать?
Может использовать какие-либо встроенные механизмы Cisco? На основе развернутой Radius-инфраструктуры? И как лучше производить контроль? По Mac-адресу, или еще как?
В общем, в этом деле я совсем не спец, поэтому буду рад подробному описанию и дельным советам.
Я бы смотрел в сторону DHCP_snooping + Опция 82 DHCP + radius как прослойка между базой абонентов и dhcp. Так получаете полный контроль над всем оборудованием в сети, схема возможна только в полностью умной сети. Проще всего развернуть на базе какого-либо биллинга для ISP. Из плюсов вся техника маком привязана к порту коммутатора, в другом порту работать не будет, другой мак в этом порту работать не будет и т.п. индивидуальные ACL для любого устройства с централизованным управлением. Работает примерно так, первый раз устройство включается в сеть, получает специальный фейковый адрес с которого доступна только страница с авторизацией, вводит свой логин пароль, устройство записывается в учетку конкретного абонента и получает все его правила фильтрации и т.п. Минусы — дорого по железу. Обрисуйте полностью задачу, может устроит что попроще.
Я так понимаю, нужно копать в сторону использования технологии IEEE 802.1X. Она как раз дружит с Radius-сервером. Более подробно подсказать о настройке, увы, не могу, т.к. имею чисто теоретические знания в сей области. Самому интересно будет понаблюдать за ответами более компетентных специалистов
Посмотрите в сторону функции port security Port security. Там можно ограничить подключение стороних устройств по мак адресам и настроить реакцию коммутатора на это событие
Имхо, port security — хорошая вещь у провайдеров, которые инет раздают. А для офиса — не самый хороший вариант. Скорее, это костыль. Вот почему:
В случае провайдера пользователь интернета не имеет информации какие устройства с какими MAC-адресами присутствуют в сети провайдера. И поэтому он не может подменить свой MAC на нужный. А с IEEE 802.1X провайдеру нет резона маяться. Им достаточно защиты «от дурака».
В случае офиса всё по-другому. Узнать нужный MAC не составит труда. Да, могут быть коллизии при одновременной работе 2-х устройств с одним MAC. Хотя, можно подключать «клона» когда основного устройства не будет. А при IEEE 802.1X возможности клонировать устройство, вроде бы, нету.
У автора стояла задача просто запретить выход в сеть с пользовательских устройств. Я думаю, абстрактный пользователь офиса не будет заморачиваться подменой мака. Если есть время, деньги и желание, то безусловно можно заняться более придуманной защитой. А так, настроить ограничение по макам на порту дело пары минут. В любом случае, конечно, все зависит от задачи
Всё просто. Организуйте разделяемую сеть. Первая сеть-только рабочие места, коим организован выход в интернет. Вторая сеть-только внутренняя сеть. Далее dhcp сервер должен знать компьютеры, которым он выдавал адресса и если он всех знает, то поставте галочку или переключатель в позицию-запретить подключение неизвестных клиентов. Вторая разделяемая сеть-все остальные. Должно быть разрешено подключение неизвестных клиентов. Переправляйте их на заглушку. Можно всё привязать к сетям и по макам вручную.