DHCP認証

いろいろ技術的な検討をしてみた。

DHCPでネットワークを運用する際に、エンドユーザーにMACアドレスの入力をさせたいので、ネットワークをグループ分けする。

Aグループ インターネットへ接続できる(MACアドレス登録済み)。
Bグループ インターネットへ接続できず、強制的に特定のWEBサーバへ接続される。このときURLに何を入力しても特定のサーバへ強制接続。MACアドレスの入力画面へ(MACアドレス未登録)。

どうやったら特定のクライアントマシンだけ、特定のサーバに強制的にアクセスさせられるか?を考えてみる。

経路的には、

上位 < -> Router1 < -> L3 Switch < -> Router2 < -> PC

となる。

●第1案
Linux BOXを新たに用意し、Router1でポリシールーティングを設定し、Bグループだけ上位ゲートウェイをLinux BOXに向ける。
Linux BOXは、L3 SwitchのRouter1側のVLANに接続。

Linux BOXのiptablesでREDIRECT設定。Port:80でアクセスしてきたものを強制的にLinux BOX上でApacheを走らせておいて、そこにREDIRECTというのはどうか。MACアドレス入力は、WEB-CGIとDHCPDをうまく組み合わせるとして。

この案だが、試してみようと思うが・・・。

●第2案
そもそもRouter1でアドレス書き換えができればよい。
将来的にBGP4をしゃべらせるのであまりCPU負荷をかけさせたくないところだが・・・。

まぁ、とりあえず要検討ということで。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)