我正在为Linux(Debian 7)VPN集中器进行各种远程访问。 由于客户端的可用性,所提供的协议之一是L2TP / IPsec。 我正在使用xl2tpd,它反过来使用pppd和pppd通过RADIUS服务器validation用户。 我们现在想要实现的是基于用户连接到VPN来控制networking访问。 例如,用户A应该只能访问子网X,而用户B只能访问子网Y.实际上,这与WLAN的dynamicVLAN分配类似。 不幸的是,我找不到(如果我错了,请纠正我)Linux下L2TP / IPSec VPN的开箱即用解决scheme。 我想出了一个可以做到这个诀窍的想法,但是它看起来像是一个相当多的工作,所以我想知道它是否包含任何明显的缺陷,或者是否有更简单的方法。 思路:使用RADIUS(尤其是Tunnel-Private-Group-Id)的dynamicVLAN分配属性和ppp的radattr.so插件。 xl2tpd为每个连接的客户端分配一个新的虚拟接口pppX,插件创build一个文件/var/run/radattr.pppX,其中包含从RADIUS服务器接收到的所有属性。 ppp-ifup脚本可以使用这些属性将新创build的虚拟接口分配给具有相应VLAN的Linux桥接端口。 有没有人build立这样的configuration呢? 有什么阻止这个工作? 你会不会因为某种原因而不喜欢这种configuration? 提前致谢
套件 Ubiquiti Unifi长距离无线接入点Cisco SG200-08P交换机(VLAN,POE支持)Draytek 2830VN路由器 问题 我需要在Draytek 2830VN路由器的一个端口上启用多个VLAN,因为我在Ubiquiti无线接入点上安装了两个networking; SSID#1 10.0.21.1 255.255.255.0 VLAN40 SSID#2 192.168.13.1 255.255.255.0 VLAN10 通常我用PFSense Linux机器和多个NICS来做这件事,但是这次我想我会使用Draytek来完成所有的工作,并取出额外的设备要求。 Draytek VLANconfiguration Unifi无线networking和VLAN标签 如果我猜测,我会说这与VLAN4到7有关,因为路由器中只有四个物理LAN端口。 有没有人知道如何在Draytek上设置? 这可以在Draytek上完成吗? 我似乎只能得到一个VLAN分配给一个物理端口。 UPDATE 我已经pipe理得到在Draytek上工作的VLANS,但是Unifi无线接入点没有获得IP地址,我也没有通过DHCP将它们丢弃。 间歇闪烁的绿色。
对于testing环境,我有一个非常具体的问题。 我有这个networking设置: +————+ +————+ | | +—–+ | | | eth0 +—-+ br0 +—-+ eth0 | | | +-+—+ | | | Guest1 | | | Guest2 | | | +—–+ | | | eth1 +—-+ br1 +—-+ eth1 | | | +—+-+ | | +————+ | | +————+ +-+-+–+ | Host | +——+ KVM主机为客户机(/ […]
我有一个Cisco Catalyst 2960,我正尝试使用802.1X有线authenticationconfiguration远程办公室。 我要去的设置是Switch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8). 我们的身份validation服务器是Windows Server 2008 R2上的NPS。 我们使用支持802.1X的Snom 300手机,但是在所有的手机上configuration它并不是真的可行,所以我configuration了交换机为手机使用MAB(MAC身份validation旁路)。 这大部分工作得非常出色,手机被authentication并放入VOICE域,VLAN策略显示501,这是我们的语音VLAN。 但是,手机仍然可以完全访问数据VLAN – 我做错了什么? 这是连接端口的802.1x会话: int-remote-sw-1#show auth sessions int Fa0/9 Interface: FastEthernet0/9 MAC Address: 0004.133d.69cc IP Address: Unknown User-Name: 0004133d69cc Status: Authz Success Domain: VOICE Oper host mode: multi-domain Oper control dir: both […]
我最近深入到dynamicVLAN分配的802.1xauthentication。 我目前的设置包含: – 一个客户端 – 一个SG220 cisco交换机(申请者) – 一个基于LDAP AD的freeradius(authenticator) – 一个为防火墙而devise的防火墙,充当DHCP服务器。 至于身份validation,它的作品。 我的用户得到了authentication,并以这种forms接收到一个Access-Accept消息。 Sending Access-Accept of id 12 to xxx.xxx.xxx.xxx port 6103 Tunnel-Private-Group-Id:0 = "vlan_name" Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Type:0 = VLAN MS-MPPE-Recv-Key = 0xd899b158c44adb59894a8ad4c7554010571fffe1c3ef87f74db910c482c2be82 MS-MPPE-Send-Key = 0xe094d1c3e2fb5d5153963089c533278338d655284858156b0fb2e78e72ab7060 EAP-Message = 0x03320004 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "username" 我已经添加了隧道属性到我的LDAP目录,就像之前的freeradiusdebugging信息显示它存储在radius包中。 我已经读了无数的线程,你应该添加“use_tunneled_reply = yes”到你的eap.conf文件,我已经完成了如下所示: eap { use_tunneled_reply = […]
我正在5000设备networking(2/3 wifi,1/3有线)。 一半的WiFi连接是客人 – 所以他们的stream量优先级应低于员工stream量。 有没有办法强制dscp设置到客人stream量自动(不必设置/configuration每个客人)? 我并不担心客人使用的特定端口/服务,我希望他们所有的stream量优先级较低。 我不知道是否DHCP或802.1x可以推出最终用户设备尊重的DSCP设置? 我必须在接入点/交换机上执行/应用这些设置吗? 等等。我已经有客人在他们的VLAN,但什么是正确的方式来标记他们的数据?
我在2个系统上运行SLES11,SP4内核。 我有2个网卡通过Netgear GS724T交换机连接。 我在交换机上configuration了VLAN 400。 在系统1上,我在eth0上创build一个名为eth0.400的VLAN 400。 我把它分配给地址13.0.0.1/8。 我不给eth0分配一个地址。 在系统2上,我在eth0上创build了一个名为eth0.400的VLAN 400。 我把它分配给地址13.0.0.2/8。 我不给eth0分配一个地址。 从系统1,我inputping -c1 -Ieth0.400 13.0.0.2 我在eth0和eth0.400的系统2上启动tcpdump,我看到以下内容: 回显请求在eth0上出现,VLAN标记为400,并且将VLAN标记剥离后传递给eth0.400。 但是,eth0.400不会发送回显应答。 eth0接口开始发送ARP请求,试图找出如何到达13.0.0.1,ping超时。 如果我在系统2上input了一个arp命令,我可以看到在eth0.400上有一个13.0.0.1的arp条目,但eth0的arp条目是不完整的。 为什么eth0.400不发送回显应答? eth0为什么试图这样做呢? 如果我为eth0创build了13.0.0.1的arp条目,那么eth0会发回回应应答,但是没有VLAN标记。 如何让eth0.400发送回显应答并包含其VLAN标签?
我是相当新的networking和路由,所以我将不胜感激这一点。 我有一个防火墙(watchguard x1250e),连接到一个交换机(Nortel Baystack 5510)与多个vlan的互联网接入。 FW的接口0(外部)是公共Internet网关。 公共IP地址 接口1(可选)作为内网网关。 192.168.5.1/24 FW的接口1将被连接到一个交换机,其IP地址为192.168.5.254/24 交换机上的vlan接口 vlan 2(pvid = 2) – 192.168.2.254/24,Port 1-12 = untagged vlan 3(pvid = 3) – 192.168.3.254/24,端口13-18 =未加标签 vlan 4(pvid = 4) – 192.168.4.254/24,端口19-20 =无标记 vlan 5(no pvid) – 192.168.5.254/24,Ports 21-22 = tagged(internet vlan) 在交换机上启用IP路由,所以存在VLAN间路由。 FW上的configuration 将watchguard上的NAT设置设置为dynamicNAT,将接口1数据包转换为接口0的公用IP地址 警卫上的静态路由正在设置为 192.168.2.0/24 – > 192.168.5.1 192.168.3.0/24 – > 192.168.5.1 […]
我想使用Cisco SG200系列智能交换机 (第2层)创build2个独立的VLAN,在这些交换机中,设备不会互相看到,而能够连接到互联网。 设置很简单,路由器 – Thomson TG789vn – 充当DHCP服务器并插入交换机(端口49)。 客户端设备连接到交换机的其他端口。 我所尝试的是将路由器端口接口更改为常规,并将其添加到两个VLAN作为untagged(请参阅屏幕截图:) 端口到VLAN的映射 默认VLAN(1)上的设备工作正常,但VLAN 2(例如端口38)上的设备没有连接(不接收来自DHCP服务器的IP,无法ping通)。 尽pipeDNS服务器configuration确实提到了VLAN 1接口: 交换机上的DNSconfiguration 这可能没有任何额外的硬件,如果是的话,应该如何设置?
我与Outlook和Office365有重大问题。 邮件坐在我的发件箱中,不发送。 这只是在我的办公室实现了VLAN基础设施之后才开始发生的。 我在办公室里设置了多个VLAN。 我的服务器和工作站位于一个VLAN中,其他VLAN用于其他服务器托pipe目的,如备份和语音。 HP1820 – SW 1通过VLAN中继连接到SW 2 HP1820-SW 2与SW 1有连接,并且有额外的VLAN中继给Draytek 2952 HP1820 PoE-SW3通过VLAN中继直接连接到Draytek 2952 我有3个HP 1820交换机,其中1个是PoE(SW3)。 PoE的唯一目的是为VoiP,并通过交换机上的标记端口直接连接到我的Draytek 2952。 一切工作正常。 其他2个HP 1820是主要的networking,我有5个VLAN的设置。 SW1和SW2通过端口#24通过VLAN Trunk连接。 在SW2端口#23也通过VLAN中继连接到Draytek。 所有的VLAN连接都有互联网,并且能够在内部进行通信。 Outlook有一个主要的大问题。 我的邮件卡住了,我已经捕获了一些Wireshark TCP捕获。 有人可以帮助我,因为我感到困惑和困惑,为什么这只发生与Office365的连接。 谢谢 Wireshark捕获#1 Wireshark Capture#2