Hallo zusammmen,
ich denke grad mal wieder an eine mögliche neue Netzstruktur für unsere Schule und wie diese technisch sauber, komfortabel handlebar und netzbriefkonform umgesetzt werden könnte. U.a. sollen Verwaltungs-, Lehrer- und pädagogisches Netz (VLAN-mäßig) voneinander getrennt werden (zusätzlich Netze für Server, Drucker, WLAN, Management, DMZ, …).
Nun bin ich auf die Idee der dynamischen VLAN-Zuweisung via MAC-Adresse und/oder Zertifikaten gestoßen. Klingt von daher sexy, als dass die leidige Port-VLAN-Frickelei an den Switchen obsolet würde, v.a. aber auch deswegen, weil man keine dedizierte Lehrernetzdose (z.B.für elektronisches Tagebuch) in für Schüler zugänglichen Räumen mehr vorhalten müsste. Einfach eine (oder mehrere Dosen) und je nachdem, welches Gerät kommt, erfolgt schwupps dynamisch die korrekte Zuweisung!
Was haltet Ihr davon?
Hat das jemand von Euch schon auf vergleichbare Weise umgesetzt und welche Erfahrung habt Ihr damit gemacht?
Geht das auch mit (UniFi)WLAN?
Klar, reine MAC-Basierung würde ein Sicherheitsproblem bedeuten (MAC-Spoofing) und Zertifikate sind auf BYOD-Geräten aller Couleur vermutlich so ne Sache…
Vermutlich liegt hier schon der Hase im Pfeffer, denn wie bekomme ich Zertifikate auf den Drucker, die USV, das Smartphone,…?!
Und wo ich das gerade schreibe, fällt mir auf, dass das wie oben beschrieben, natürlich eine rein gerätespezifische Zuweisung ist.
Die neue linuxmuster.net v7 setzt jedoch vermehrt auf benutzerspzifische
Regeln…!?
Beißt sich das oder ließe sich das sogar kombinieren? Übersehe ich irgendwelche Pferdefüße?
Vielen Dank für’s Mitdenken und viele Grüße,
Jochen
P.S.: bin die nächsten 4 Tage offline, Antworten auf Antworten danach 