Поддержка VLAN, указанной через RADIUS?

Поддержка VLAN, указанной через RADIUS?, UniFi Network

robertt

Guest

19.01.2012 17:40:00

Мой университет рассматривает возможность замены наших текущих корпоративных точек доступа на UniFi AP, но при тестовом развёртывании возникла проблема. Когда мы изначально читали документацию UniFi, было неясно, поддерживают ли они динамические per-client VLAN, указанные через RADIUS. Сейчас оказалось, что нет. Это обязательное требование для нашей сети, а сам продукт UniFi нам очень подходит, поэтому я решил уточнить, прежде чем отказываться от идеи.

В настоящее время у нас несколько SSID:
- Один открытый для регистрации, связанный с существующим порталом для гостей и регистрации устройств. На UniFi с ним всё в порядке.
- Один защищённый PSK для зарегистрированных устройств (гостей и студентов), маршрутизируемый через наш существующий портал. С ним тоже всё отлично на UniFi.
- Один «специальный событийный» SSID, настраиваемый по требованию для мероприятий. Тоже работает без проблем на UniFi.
- Один WPA Enterprise (PEAP и т. п.) VLAN с per-client VLAN-тегированием по RFC3580/RFC2868. Вот с этим не выходит.

На самом деле, часть с EAP/RADIUS работает хорошо. Проблема в том, что UniFi AP не добавляют тег к трафику клиента согласно атрибутам RADIUS. В прошлых тестах с устройствами на базе hostapd для этого нужно было менять параметр dynamic_vlan в hostapd.conf на 1 или 2.

Поддерживается ли это сейчас в последней прошивке UniFi? Если нет, планируется ли добавить поддержку в будущем обновлении?

Если UniFi у нас сработает, мы сразу купим около 100 штук, и в дальнейшем в несколько раз больше.

zmousm

Guest

22.08.2013 21:07:00

Да, точка доступа не переводит пользователя в VLAN, назначенный RADIUS, потому что она этого не поддерживает, или, точнее, точке доступа нужна более новая версия hostapd и соответствующая настройка, чтобы это было возможно. Именно этого мы и просим, но без толку (то есть даже не удостаиваются ответом от UBNT).

mhammett Guest	#3 29.01.2015 19:32:00 Почти два года прошло с тех пор, как я впервые поднял этот вопрос, а до сих пор ничего не сделано. Позор.

NLC_James Guest	#4 25.09.2013 08:51:00 Пожалуйста, проголосуйте здесь, чтобы обратить их внимание на это — многие этого хотят. https://community.ui.com/feature-requests/9fbb4ffb-633a-4b10-9e38-c2e25de7dc36

2devnull

Guest

22.08.2013 21:26:00

Это очень печально. Я вложился в UBNT APs, потому что думал, что эта компания революционная и смотрит в будущее, предлагая дорогие технологии для домашнего и малого бизнеса. Если pfsense может предложить то, что крупные игроки вроде Cisco дают для домашнего и SMB-рынка, то почему UBNT не может? Я понимаю, что нужно платить им за оборудование, но почему после этого мы не можем получить дополнительные функции?

2devnull

Guest

22.08.2013 12:45:00

Возможно, именно эта функция мне и нужна, но я просто хочу убедиться на примере своей ситуации. Теперь на точках доступа можно задать VLAN ID для каждого SSID, и от Radius-сервера приходит следующее: Tunnel-Private-Group-Id:0 = "400". В моем случае 400 — это VLAN ID, который я настроил на точке доступа для конкретного SSID. Проблема в том, что если тот же пользователь подключается к сети через другой SSID, скажем, с VLAN 500, он всё равно получается в эту VLAN, потому что, видимо, точка доступа не маркирует весь трафик с правильным VLAN ID, который возвращает сервер.

Проблема, как я вижу, в том, что точка доступа должна отклонять подключение, если Tunnel-Private-Group-Id не совпадает с VLAN, настроенным для этого SSID. Иначе какой смысл вообще задавать VLAN для каждого SSID? Я знаю, что один и тот же SSID можно настроить несколько раз с разными VLAN, но здесь поведение вроде такое же.

Вот информация о моей точке доступа:
Модель: UniFi AP
Версия: 2.4.4.2061

zmousm Guest	#7 21.04.2013 15:40:00 Плюс один.

mhammett Guest	#8 20.04.2013 13:49:00 Я тоже этого хочу.

robinrt99

Guest

25.07.2012 09:33:00

Я управляю IT для нескольких сервисных офисов в Лондоне. Сейчас мы используем систему Meru Wireless, которая умеет это делать. Но было бы здорово, если бы оборудование Unifi могло тоже.

Я спросил об этом в поддержку:
Donald Dayton, 14 мая, 10:26 (по PDT):
Привет, Robin,
К сожалению, то, о чём вы спрашиваете, сейчас невозможно с системой Unifi. Придётся использовать отдельные SSID для каждой VLAN. Однако, это функция, которую мы можем рассмотреть для реализации в будущем обновлении, если вы захотите сделать предложение.

Чтобы отслеживать все поступающие запросы, мы решили систематизировать все улучшения и просьбы в нашем форуме. Подробнее о процессе здесь:
ubnt.com/forum/showthread.php?t=28940

Если нужная вам функция не упомянута в этой теме, создайте новую:
ubnt.com/forum/forumdisplay.php?f=50

Добавьте в название префикс «Request» и опишите нужную функцию. Так мы сможем следить за вашим предложением, и другие пользователи тоже смогут оставить свои комментарии.

С наилучшими пожеланиями,

Так что оставьте запрос на новую функцию!
Robin

te31 Guest	#10 16.04.2012 08:35:00 Радиус VLAN был бы для меня очень полезен, есть ли идея, будут ли его поддерживать? Заранее спасибо.

ofrxnz Guest	#11 24.02.2012 13:37:00 В данный момент невозможно назначать VLAN через RADIUS... Не знаю, сделано это специально, так задумано или ещё в разработке... Но я бы очень этого хотел.

burkni Guest	#12 24.02.2012 11:11:00 Я тоже хотел бы узнать, возможно ли это, так как настройка, которую я реализую, требует аутентификацию через Radius и PEAP или TKIP. Я отправил письмо в поддержку ubnt, но ответа нет, так что надеюсь здесь получить что-то более полезное.

Читают тему (гостей: 1)