在我刚开始工作的公司,由于需要两个操作系统的工具,所有计算机都设置为双启动 Windows/CentOS。95% 的用户是 Linux 用户,但其中不少人有时需要使用 Windows(感谢 Adobe)。
目前 DHCP 服务器是 pfsense,交换机是 HP ProCurve 3800,但是我们现在已经实现了 Active Directory,并且计划在未来的某个时候将 DHCP 转移到该位置,在这样做之前,我们想创建 2 个新的 VLAN,一种用于 Linux 一种用于 Windows。
我被要求设置的是操作系统在其各自的 VLAN 中获取 DHCP 地址的某种方式。我的第一个想法是大多数机器都非常高端,有 2 个 NIC,所以只需在 Linux 中禁用一个 NIC,在 Windows 中禁用另一个 NIC,然后根据 MAC 保留地址。但这只会在我们已经推到最大的网络上创建太多连接。
我这样做的唯一其他想法是,如果 NIC(我相信其中大部分将是 Intel)启用了 VLAN 标记,我可以设置它。
有没有人在这种情况下有任何经验?
有几种方法可以解决这个问题。你列举的那个需要加倍网络基础设施——让一半一直闲置,这对你来说是不可行的。
您可以通过直接配置网络中的每个设备来了解它应该进入哪个网络——操作系统级别的 VLAN 标记,从而完全动手。但正如我在评论中所说,这需要大量的工作,不可能在技术上强制执行,并且您的一些用户会破坏它。鉴于 Windows 不支持本机 VLAN,我个人会避免这条路径;你是 NIC 驱动程序和其他 3rd 方软件的摆布才能到达那里。是的,您可以将“windows”设置为默认的本地 VLAN,但随后一切都将落入 windows 网络。
802.1x (EAPOL) 将是唯一在技术上可行的解决方案,因为它是当前唯一支持的网络层动态 VLAN 分配方式。它仍然需要系统的管理员配置,但它是一种可以控制和监控的方法。EAPOL 可以设置为隔离未经身份验证的端口,或完全阻止它们。(我会选择前者,因为它使机器设置更容易。) Windows 机器可以由 AD 使用机器的域凭据进行身份验证。linux机器可以随心所欲地处理。
我不知道 Windows 上的 VLAN 设置,所以我建议将 win 站留在本机 VLAN 和 Linux 机器上,您可以轻松设置接口以将所有流量标记到所需的 VLAN id。所有交换机端口设置为中继。然后确保在网关上正确设置路由。
DHCP 选项,即 43 和 60。搜索如何设置选项 43 和/或选项 60 的示例(例如此链接)。