目前我们有一个带有一些 DHCP 池的中型扁平网络。这种配置不再让我们满意，因为每个人都可以看到网络上的所有内容，并且可能会导致安全问题。我们的计划是在组织层面（HR、开发、网络服务等）将现有网络划分为 Layer2 子网络。我们有一个非常异构的基础架构，主要有 Linux，但也有 Windows、一些 Mac、IP 电话、网络打印机、VM、Docker 等。

我们希望避免基于静态/基于端口的 VLAN，并寻求尽可能动态的解决方案。由于我们已经有了 MAC 地址列表，因此需要基于 MAC 的 VLAN 分配。一个很大的要求也是没有（或最少的）用户端配置。这主要是为了减少用户的支持和麻烦。

目前，我们将寻求基于 802.1x 的解决方案。我们的计划是让 RADIUS 服务器 (FreeRADIUS) 进行 MAC 身份验证和 VLAN 分配。但一方面它与我们的无用户配置愿望相冲突，因为必须配置请求者（至少在端点上激活 802.1x）。我们还考虑在我们的托管交换机上使用 MAC 访问列表，这对我们来说不太灵活且更难维护。

互联网上似乎没有人设置基于 802.1x MAC 的身份验证，我想收集关于此的实现想法。您是否设置过基于 MAC 的身份验证？使用 802.1x 吗？802.1x 是否适合基于 MAC 的身份验证？你的部署计划是什么？你遇到了什么困难？您知道任何其他基于 MAC 的主机身份验证方法吗？

我知道有很多问题，但我正在寻找实施这种解决方案的案例、想法和方法；我不是要一个现成的。

亲切的问候

注意：我们知道基于 MAC 的身份验证并不是验证主机的最佳安全方式。但是，使用 802.1x 和 RADIUS 可以让我们在需要时轻松更改身份验证方法