Např Allied Telesis AT8000S/24 nebo /48, kde jsme to naposledy rozcházel, ale umí řada jiných.
Funguje to tak, že v Radiusu (lehe zjednodušeno) mám namlácená data typu MAC adresa adresaé porty jakého switche a dle toho to jede.
Switch, když se mu objeví neznámá MAC na portu se zeptá na ni Radiusu, ten ji buď pro daný port povolí/zakáže a případně řekne do jaké VLANy patří a switch to dle toho pustí/zařízne (toto ověřování obnovuje po stanoveném čase nebo když detekuje, že port na switchi byl down). Takže na uplinku mám jistotu, že MAC adresa jde odkud má a ne nějaký vtipný pokus souseda. A pokud obvykle klientova krabička začíná DHCPčkem, tak nad tím switchem (v reálu je tam ještě L3 koncentrátor pro optiku AT x900 a RBčka jako DHCP krámy až za ním) jsou RBčka nastavena tak, že pro DHCP dotazy se opět zeptá Radius serveru, co s danou MAC adresou v dané vlaně a ten buď může odmítnout přidělit IPčko nebo řekne jakou a tu klient dostane. Ten AT8000S neumí sám aktivně kontorlova,t zda si někdo nemění IP adresy, to se děje ve spoluprácí s tou bednou nad tím. Pokud chci klientům bránit v kominukaic mezi sebou, tak ve switchi aktivuje izolace portů, kde tomu u AT říkají PVE (private vlan edge), kdy můžu mít všechny stovkové porty v jendé vlan ale mezi sebou jsou blokovány a mohou komunikovat jen proti gigovému uplinku (v reálu je konfigurace o něco šílenější, kdy se používá víc VLAN na jedne klientův port pro oddělení internetu/VoIP/IPTV, kdy portem ke koncáku to jde netagované a switch to rozděluje do VLAN dle MAC a infa z radiusu kam co patří).
Takže Hapi, klient se nikde neloguje, to by asi nerozdýchal. Ale některé switche to tak umí, že přesměrují člověka na interní web stránku pro přihlášení, pak info ověří v radiusu a dle toho povolí. Ale to se používá spíše tam, kde se používá plné 802.1x (obvykle firemní sektor) jako záchrana, pokud koncový počítač není schopen 802.1x ověření. Co popisuji výše se obykle jmenuje mac radius authorization atd. Jde to i kombinovat u některých switchů, kdy mám současně povolenu MAC a plnou 802.1x autorizaci, kdy normální zákoš v tichosti je selektován a pouštěn dle MAC a když tam přijde technik něco řešit, připojí svlůj kompl který proti switchi provede plné ověření přes 802.1x pomocí certifikátu a switch ho pustí do VLANy z které může dělat management celé sítě např. Nicméně při tomto, pokud lidi připojují přímo komputer a ne router, je třeba jim ve woknech u síťovky odnastavit, že se mají snažit o 802.1x, jinak je to bude otravovat jak nemá.
Jinak zajimavě vypadající switch (v ceně do 10 kKč) je asi Zyxel GS2200-24, ten to umí i plně s IPgueadem v sobě. Ale ještě jsem ho naostro nerozjel (24x giga metalika, plus 4x giga combo, plně pasivní chlazení). Takže stav, kdy MAC na daný port se ověří dle Radiusu, ten pustí/nepustí, odizoluje porty od sebe (říkají tomu port based vlan) a jen pustí k uplinku. Uplink je definovaný jako trusted dhcp server, takže switch poslouchá, co je tím portem posláno za dhcp data klientovi a dle toho se naučí páry IP a pak hlídá ARP i porty, zda IPčka jsou kde mají být. Umí i mix mac a 802.1x autorizace, bohužel dynamickou vlanu dle dat z radiusu jen pro plné 802.1x. Neumí guest vlany (kam strčit klienty, kterým selže ověření proti radiusu, takže vlana kde je čeká jen web stránka, že je něco špatně a volejte support), slíbeno pro další verzi firmware (takže nikdy).
