目前我的公司已被另外买了。 因此,另外两家公司的用户将会迁移到我们的办公室。
如果我们可以根据他们尝试使用dot1xlogin到的域来为用户selectvlan,那将是非常方便的。
EG Vlans
有人在桌子上放一台笔记本电脑,插入networking端口并按下CTRL-ALT-DEL,select域名CompanyB并login。
我想要的结果是,dot1x能够弄清楚这是来自CompanyB的用户,并设置networking端口dynamic地反映vlan 200。
可能?
您需要RADIUS服务器(可能FreeRADIUS)发送附加属性。
具体而言,它必须发送一些特定的属性,详情请参阅RFC2868
这是我用于无线客户端,但它对有线802.1X的作用是一样的:
其中1234是所需的VLAN ID。
当然,你必须检查你的交换机是否支持上述属性。 它也可能支持其他一些实现相同function的属性,上面的示例适用于Cisco。
你可以看看像packetfence一样的东西http://www.packetfence.org/它可以做基于angular色的访问控制,看起来就像你正在做的。
这对我来说似乎不可行。 我的意思是,如果你改变一个端口属于“on the fly”的VLAN,那么这个端口会暂时离线,然后回来……如果你没有启用端口快速的话,听/学习/转发周期要经过。 您还可以通过链接速度协商,重新build立新的DHCP地址,与域控制器通信等等。 总之,你的login时间将是可怕的。
你的文章说,人们是“把笔记本电脑放下”。 我假设其他公司的新员工将在这些公司的笔记本电脑上工作,对吗? 不要让他们连接到networking,为什么你不去无线? 然后,您可以在AP上设置多个SSID,并将每个SSID映射到您希望设备访问的VLAN。 您可以为公司A的设备分配一个密码,为公司B分配另一个密码。
最终用户不会获得密码,而公司A员工不使用公司B笔记本电脑,反之亦然。 每个人都在VLAN和你想要的域名上。 公司B的笔记本电脑会自动join公司B的SSID等。
此外,你并不是真的想要在你的networking上打开端口,只有任何人都可以跳入并插入你的networking。