Metaphorical Dream

RADIUS Attribute

DHCPは、IPアドレスを動的にアサインする。
言わずもがな。

んで、
RADIUS Attributeは、VLANを動的にアサインする。
正確に言うと、RADIUS AttributeNo64、65、81を組み合わせると、
UserNameごとにVLANを動的アサイン可能になる。

UserNameっていうのは、
EAP-MSCHAPやGTCなど鯖認証しかやらないEAPなら、ユーザが入力するUserNameをそのまま使う。
EAP-TLSなら証明書のCommonNameが、RADIUS認証要求時にUserNameに置き換わる。

なので、UserDBを持ってるコンポーネント(RADIUS内ならLocalDBだし、外部ならLDAPなどのDirectoryService)で、UserをGroup化しておけば、IPアドレス枯渇の心配をする必要もない。

Userが所属するGroupに割り当てるRADIUS Attribute=VLANを決めておき、そのGroupに所属するUser数を制限しておけばオツケ~だから。

でも、本当はさらにステキなことも、技術的には可能なわけで。

RADIUS Attribute付与を条件判断できるような機能がRADIUSに実装されていれば、Groupに割り当てるRADIUS Attribute=VLANを決めておく必要はなくなる。

どんな条件判断をするのか?と言えば、
有線ならば、AuthenticatorとなるL2スイッチのIPアドレス+Port番号
無線ならば、Authenticatorとなる無線コントローラ配下にいるAPのRadioInterfaceのMACアドレス+SSID
ってな具合で実装しちゃうと、
「とあるロケーションで、とあるAPの、とあるUserから認証要求が来たら、VLANxxを付与。」
ってなことが可能になる。

でも、ここまでやると、恐らく運用部隊がついてこれなくなると思われる。

けど、やってみたいw
だって、ここまでやっちゃったら、VLANアサインの神になれるだろ(笑)

何の意味があるのか?
検疫ネットワークが至極当然(=極々当たり前)の時代が来たら、きっと出てくるだろう要件だからだ。

な~んてことを、、、仕上がらない設計書を書きながら、想いを巡らせてしまう。。。

[PR]
by mdesign21 | 2008-03-06 01:15 | IT系