linux下基于MAC的VLAN辅助设计

Question

可以根据客户端的MAC地址在Linux上分配VLAN吗？如果是这样的话，是怎么做的？vconfig手册页似乎表明它只在端口基础上运行。

我正在努力实现一个无线设置，其中新客户端被分配到一个“未经批准的”vlan中，在管理员批准他们之前(或者直到他们在本地专用门户上注册)，他们将一直呆在这个vlan中，此时我希望将他们重新分配到“已批准的”vlan中。

如果存在MAC:VLAN映射，如何在linux下进行配置？

Answer 1

一般来说，大多数业务级别的访问点都有一种类似于“动态VLAN分配”的操作模式(这是思科品牌的术语，其他人可能会给它取不同的名字)。其基本思想是根据发送的身份验证凭据将WLAN客户端放入VLAN中。您的基础设施，包括RADIUS服务器，必须为此提供服务。

“动态VLAN”功能(再一次是思科品牌的术语)主要针对有线基础设施，也非常接近你想要的。

如果您没有思科设备，也有基于MAC的VLAN术语，用于VLAN的VLAN不是由802.1q标记构建的，而是由客户端的MAC地址定义的。由于MAC嵌入可以由客户任意设置，因此这种技术显然是不安全的，但可能是有用的。前802.1qVLAN实现支持这种类型的VLAN (大约在12-15年前)，但现在大部分已经灭绝了。

但是，最近为主流3.2.1内核源代码发布了修补程序为"macvlan“模块引入了一种新的”源“模式，作为过去基于MAC的VLAN特性的一种实现。该修补程序尚未被合并到内核源代码中，因为它仍然需要一些工作，但是如果需求紧迫，显然可以自己应用它。或者只是等待正式合并的发生--如果代码是好的，它不会花很长时间。

Answer 2

我想我们需要更多关于你的物理配置的细节。简而言之，除非您的linux“服务器”充当某种集群无线访问控制器，或者能够动态地操纵事物，否则我对此表示怀疑。我想您可以使用基于MAC的身份验证运行多个SSID，可能是在不同vlan上的每个SSID。

Answer 3

你不能用VLAN做这件事。这更像是一个开关函数，linux更像是一个客户端。

您想要的是所谓的“封闭门户”，有许多可用的解决方案可以使用iptables防火墙来实现。

捕获门户发行版的一些例子是pfsense，zeroshell。

下面是一篇关于在现有机器上安装更独立的linux软件的文章：