Задался себе вопросом

Как предоставить Вай-Фай с одной точки одновременно и доменным пользователям ноутбуков и гостям с ноутами.
При этом для доменных пользователей должны работать все сервисы корпоративной сети, а для других (просто гостей) только интернет.
Как это реализвать?
Появилась такая идея.
При подключении к точке доступа после ввода ключа (WPA и.т.п. ) ноут получает ip адрес от dhcp сервера.
Далее он должен каким-то способом пройти аунтификацию для получения сервисов - для гостя только интернет, для доменного пользователя - корпоративные сервисы +интернет.
К примеру открыть страницу IE и при попытке открыть любую страницу получать редирект на страницу аунтификации, после которой и происходит отсеивание пользователя на доменного или гостевого.
На базе Циско 1811 можно ли такое реализовать?

Если есть идеи другго типа аунтификации, готов выслушать- точнее прочитать.
Заранее спасибо.

Проверка подлинности называется так: Аутентификация

Задался себе вопросом
Как предоставить Вай-Фай с одной точки одновременно и доменным пользователям ноутбуков и гостям с ноутами.
При этом для доменных пользователей должны работать все сервисы корпоративной сети, а для других (просто гостей) только интернет.
Как это реализвать?
Появилась такая идея.
При подключении к точке доступа после ввода ключа (WPA и.т.п. ) ноут получает ip адрес от dhcp сервера.
Далее он должен каким-то способом пройти аунтификацию для получения сервисов - для гостя только интернет, для доменного пользователя - корпоративные сервисы +интернет.
К примеру открыть страницу IE и при попытке открыть любую страницу получать редирект на страницу аунтификации, после которой и происходит отсеивание пользователя на доменного или гостевого.
На базе Циско 1811 можно ли такое реализовать?
Если есть идеи другго типа аунтификации, готов выслушать- точнее прочитать.
Заранее спасибо. »

См. 801.2X -> Radius > MS IAS -> MS AD - данное решение будет работать на любом сетевом устройстве поддерживающим
RADIUS и 801.2X

плюс, возможно распихать по VLAN.
Один VLAN прямо на точке (Cisco) точно можно, а вот несколько VLAN внутри одной точки - я не помню.

См. 801.2X -> Radius > MS IAS -> MS AD - данное решение будет работать на любом сетевом устройстве поддерживающим
RADIUS и 801.2X
Можно поподробнее....?
Как связать AD и радиус -это не проблема
А вот как авторизацию проводить?Каким образом?Подключение к точке - ввод ключа-получение адреса сетвеого - а дальше?
Илил я не правильно понял?



Про Вланы.....
Wi-Fi точкой у меня служит длин 2100 AP
http://dlink.ru/products/prodview.php?type=17&id=243

А вот как авторизацию проводить?Каким образом?Подключение к точке - ввод ключа-получение адреса сетвеого - а дальше?
Илил я не правильно понял? »

Собственно это определяется железякой.
Обычно это сертификаты.

Для Wireless Устройств Cisco можно настроить связь с доменом, т. е. пользователь будет вводить Имя и пароль домена, в зависимости от группы его будут либо пущать, либо не пущать, либо ограниченно пущать.

===
Производители сетевых устройств Cisco, Nortel Могут предложить решение основанной на Guest VLAN.
Т. е. устройство не прошедшее аутентификацию допускается к работе, но в специальный VLAN.

Следует помнить что стандарт 802.1X и стандарты беспроводной аутентификации основаны по сути на аутентификации не пользователя, а устройства подключающегося к сети.
===
У вас в роли беспроводного устройства будет выступать 1811?
Лучше доку к ней почитать.

нет.....роли беспроводного устройства будет выполнять длинк....

aptv,
читайте описание к нему.
Если поддерживает 802.1X, то можно настоить чего-либо.
Если VLANs поддерживает, то вобще чудестно.

Cisco в данном случае может выступить лишь как коммутатор 3-го уровня объединенный с точкой доступа trunk'ом + ACL фаервол

802.1Q VLAN Tagging
Радиус не поддерживает.

802.1Q VLAN Tagging »
А как именно? Нужно user guide читать, однако

Вопроса честно говоря не понял.....объясните

Вопроса честно говоря не понял.....объясните »

Есть просто тэгирование всего трафика точки определенной VLAN.

Есть варианты устройств которые могут отнести в определенный VLAN в зависимости от вариантов аутентификации.
Данный вариант был бы идеален.

Это точно.....
буду смотреть....

позвонил в тех . поддержку длинка - что посоветовали -

Закрепить постоянные ноуты за мак адресам назначив им статическиt адреса из пула
И сделать пул с другими адресами для гостей....а дальше писать акссел лист.
с вланами не советовали работать - сказали не то железо.

получается у меня на одном влане - к примеру 105 - будет весеть два dhcp сервера
а вот как закрепить acl за этим интерфейсом для такой цели?

получается у меня на одном влане - к примеру 105 - будет весеть два dhcp сервера »

А зачем два? Подсеть, то будет одна.

v1) На Cisco можно настроить фильтрацию по MAC
v2) Можно настроить DHCP на выдачу постоянных IP, с привязкой по MAC, а потом фильтровать по IP.

хм....тоже вариант....
ну получается к примеру сделал я необходимые вещи с dhcp
как производить фильтрацию?

как производить фильтрацию? »
Стыдитесь, Сидоров! На прошлом занятии ACL разбирали! :)

Единственное рекомендую выделять адреса диапазонами которые можно описать маской:

Например, адреса:
192.168.0.0 - 192.168.0.3
Перекрываются как 192.168.0.0 255.255.255.252

а например
192.168.0.32 - 192.168.0.63
192.168.0.32 255.255.255.224

Таким образом вместо 32 строк, можно обойтись одной
====
Для простоты обсчета масок рекомендую
IP Subnet Calculator

я имел ввиду написать пример того как именно работает acl в отношении прикреплённых за маками ip и диапазона адресов
Тоесть написать конкретный пример.
Заранее признателен)!

Вопрос такой -
Если делать один интерфейс VLAN 101
Пусть там висят все компьютеры сервера и т.п. вместе с ноутами на вафляе
Как тут сделать разграничение ?
Включен один общий DHCP сервер - в итоге получаю, что необзодимо сделать дополнительный интерфейс VLAN 102
для ноутов - тоесть
цепляем точку за интерфейсом VLAN 102
Далее даём разрешение всего траффика между вланами для адресов закреплённых за мак адресами ноутов.
а остальным даём доступ только к dns , http, https, pop3 ,smtp и усё.
я правильно понимаю?

Включен один общий DHCP сервер - в итоге получаю, что необзодимо сделать дополнительный интерфейс VLAN 102
для ноутов - тоесть
цепляем точку за интерфейсом VLAN 102
Далее даём разрешение всего траффика между вланами для адресов закреплённых за мак адресами ноутов.
а остальным даём доступ только к dns , http, https, pop3 ,smtp и усё.
я правильно понимаю? »

Да.