Packetfence - Radius - Mac mask - MacAuth

Sziasztok!

A remény haljon meg utoljára, de olyan tapasztalt kollégát keresek 1 kérdéssel csak, hogy valaki árulja már el, hogy hogyan lehet Packetfence 13.X verziójú NAC (radius) szerveren, scriptelés nélkül közvetlenül a felületen, hogy
A = eszköz csoportokat létrehozni B = adott eszközöket mac (például: telefonok, laptopok, pc-k, AP-k stb...) címei alapján mac mask-kal bekerüljön adott vlanba mac auth-hal. Több ezer eszköz miatt lenne rá nagy szükség.

Nyilván az már nem játszik, hogy a HPE switch konfigba a "mac-vlan mac-address 000b-7600-0000 mask ffff-ff00-0000 vlan XY" sorokat ír az ember, amit amúgy se tud a radius szerver felülbírálni, ha esetleg ott felejtődik a switch konfigjába.

Nagy tisztelettel, és köszönettel.

Bármi segítség jöhet, már kifogytam az ötletekből azért írok most ide.

Hozzászólások

A megkövezés előtt a mac-vlan csak az adminisztratív hálózati szeparálás miatt kell.

Csak egy tipp, bár lehet, hogy gyenge lábakon áll. A MAC címekből megtudható a gyártó és talán maga a chip típusa is. Ebből kiindulva leszűrhető, hogy az mobilteló, pc/laptop, ap vagy egyéb.

https://macaddress.io/

Ahogy a fentebb is írtam, a switch configba tudom szűrni, de azt sajnos a radius nem tudja felülírni, tehát ha van egy szabály a switchen hogy a telefonok 333as vlanba kerüljenek, és adott telefon a radiusba pedig mondjuk a 666osra van állítva, akkor a 333as érvényesül, ráadásul nem tudom a mac maskot beállítani mert nem tudom hol kell vagy hogyan kell, és rengeteg a eszköz miatt amúgy is kell a csoportosítás.