Как реализовать получение IP адреса в зависимости от авторизации пользователя?

Question

[ITF]

Есть сервер Win2012R2 - AD, DNS, DHCP.
Заведены пользователя, в DHCP забиты области для выдачи по подсетям (в дальнейшем VLAN), их например 3:
1. 192.168.1.0/24 - Клиенты
2. 192.168.2.0/24 - Сотрудники
3. 192.168.3.0/24 - Все остальные.

Что нужно прикрутить, что бы пользователь с членством в группе "Клиенты" попадал в первую подсеть, а с членством "Сотрудники" во вторую, а компьютеры которые просто подключены к сети в третью (сеть по умолчанию, до авторизации)?

Поднимал на Hyper-V второй сервер с ролью NPS (Network Protection Service), но по политикам которые там есть, не углядел привязку к пользователям.
Правильно понимаю что это надо смотреть связку DHCP NAP?
Или есть например NAP + 802.1x (кабель) - я так подозреваю, ещё прикручивается Radius сервер и раздача идёт на уровне оборудования, с тегированием портов.

Большинство учебных видео материалов по NPS далеко не углубляются, ограничиваясь "жмите далее, далее, далее, готово", особо не объясняя для чего и почему. В текстовом виде кажутся устаревшими, 2008-2012 г.

Изначальная задача звучит так:
Нужно что бы пользователь, в какую бы сетевую розетку не воткнулся, или с какого бы компьютера не заходил, попадал в свой VLAN (своими маршрутами, доступом к внутренним ресурсам на сетевом уровне). Левые компьютеры или неизвестные устройства просто бы висели в своей сети (что собственно бы спокойно мониторилось сканированием сети).

Где мне это может пригодиться. Например есть кабинет бухгалтерии. Порты для этого кабинета тегированы на оборудовании, т.е. как бы хабами кабинет не разбавляй - все будут в одной сети, и есть четкое понимание что это бухгалтера.
А общий кабинет, туда могут сесть сотрудники разных подразделений - бухгалтер, менеджер. Со своим рабочим ноутом (заведенным в домен) или у коллег одолжить (то же заведенным в домен). И собственно в сети они пересекаться не должны, единственный вариант определить кто есть кто - учётная запись. В этот же кабинет может оказаться клиент (в домен не заведен), которому нужно минут 40 поработать и кроме доступа к сети принтеров или интернету его вообще никуда больше не пускать.

Может кто собственно на пальцах разжевать как подобное реализовать и куда копать за подробностями?

Answer 1

[ТыжСисАдмин]

Для этого всего в принципе 802.1x и придуман :)
https://habr.com/ru/post/138889/

Comments

[ITF]

Тогда такой вопрос, имея в наличии 1 физ. сервер, 1 виртуальный (NPS), и 1 рабочую станцию. Без сетевого оборудования с поддержкой RADIUS можно обойтись для моделирования такой системы? Имея какой-нибудь простенький d-link. Т.е. в качестве аутентификатора задать сам NPS-сервер?

Подобная статья попадалась на глаза, и тут либо невнимательно читал, либо нюансы упущены.
Например:
AD, DHCP, DNS - рекомендуют ставить на одном сервере, избавляясь от лишних настроек.
Правильно понимаю что NPS желательно ставить на отдельном сервере от этих служб? Или видел описание связки DHCP+NPS на одном железе, AD+DNS на другом. Как правильней (проще/или может общая практика какая рекомендованная есть)?
И с точки зрения безопасности NPS должен где находиться? По идее его и в гостевом VLAN должны видеть, значит в нём?

[ITF]

В результате, вместо смены VLAN и IP адреса, изменятся правила ACL конкретного VLAN в соответствии с правами доступа конкретного пользователя.

В статье видимо несколько про другое рассказывается. Не совсем понимаю зачем менять политики всего VLAN от авторизации одного пользователя?

[ТыжСисАдмин]

ITF,

можно обойтись для моделирования такой системы?

Для поиграться можно как угодно делать, для прода это совсем другой вопрос, вариантов множество но точно что это будет N+1 с резервированием всех элементов.

В статье видимо несколько про другое рассказывается.

Не совсем помню содержание статьи, но вроде там кроме раскидования по VLAN, так-же регулируется доступы к ресурсам в самом VLAN, этакий RBAC

Answer 2

[mikes]

управляемый коммутатор + windows NPS (или любой другой RADIUS) + назначение vlan группам пользователей.

untagged vlan на портах будет динамически назначаться в зависимости от принадлежности пользователя (или компьютера) к группе в AD

Comments

[Кирилл 1]

можно немного подробнее либо на описание?

[mikes]

Кирилл 1, я так прям быстро мануал не найду, но по сути нужно поднять нужную роль, сделать клиента в виде коммутатора или точки доступа и соотв сделать правила согласно которым определенной группе будет выдавать что-то типа
Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802
unnel-Private-Group-ID=VLANID
для выдачи vlanid 13

в принципе технология одинакова что для wifi что для wired. можно найти информацию по 802.1x

[Sergey Ryzhkin]

Правильно ли я понимаю, если сейчас к примеру есть L2/L3 коммутатор, где руками жестко указаны порты к Vlan'у. (ну т.е. 1-ый порт это Vlan20 и все) то подняв NPS (и настроив на нем 802.1x) можно будет настроить порты на коммутаторе динамическими? Т.е. в зависимости от того куда втыкнется оборудование, таким Vlan'ом порт и станет?
Вот будет у меня на NPS три учетки: ПК, Принтеры, Телефоны, я данные этих учеток ввожу в оборудование, для ПК его. для телефонов его и т.д. Т.е. Учетки общие под свой тип. И дальше уже исходя из этих данных, оборудованию будет выдаваться нужный Влан на любом порту без жесткой привязки?

[mikes]

Sergey Ryzhkin, если конечное оборудование (компы телефоны принтеры) умеет 802.1x то да.

для телефонов есть voice vlan :)

[Sergey Ryzhkin]

mikes, я про мобилы через вафлю.

Понял спасибо, попробую поискать детальные мануалы.

[Кирилл 1]

Sergey Ryzhkin, будет информация делитесь плиз