我是南非一所高中的networkingpipe理员,在微软networking上运行。 校园周围约有150台电脑,其中至less有130台电脑连接到networking。 其余的是员工笔记本电脑。 所有IP地址都使用DHCP服务器分配。
目前,我们的Wi-Fi访问仅限于这些员工所在的几个地点。 我们正在使用WPA和长键,这对学生来说是不可用的。 据我所知,这个关键是安全的。
然而,使用RADIUS身份validation会更有意义,但是我在实践中遇到了一些问题。
我有支持RADIUS身份validation的WAP。 我只需要从MS 2003服务器上打开RADIUSfunction。
鉴于移动设备的要求,使用俘虏门户会更好吗? 我从机场的经验知道它可以完成(如果设备有浏览器)。
这给我带来了关于圈养门户的问题:
您的经验和见解将不胜感激!
菲利普
编辑:为了更清楚一个圈养门户是否可行,我问了这个问题 。
Wifi的用户authentication使用802.1x协议。
连接设备需要一个WPA恳求者 ,如SecureW2
根据您使用的请求者是否可以使用Windows域login/密码做SSO。
iPhone和iPod touch内置WPA恳求者。 我不知道PSP / BB。 SecureW2有一个Windows Mobile版本。
我敢肯定,你可以启用一个强制性的WiFi门户网站,而不必创build到IPnetworking。 你只需要把无线访问放在一个vlan中,然后在另一个vlan中进行有线访问,然后把门户放在两个vlan之间。 这就像一个透明的防火墙。
802.1x需要在计算机上有一个请求者。 如果需要使用Wifi的计算机是已知的,您只需要在其上设置请求者,这是一个很好的解决scheme。 如果你想使访问者可以访问你的无线访问或类似的东西,这可能是一个噩梦,因为他们需要请求者等。
强制门户的安全性稍低,需要用户每次连接时手动进行身份validation。 它可以有点borring。
从我的观点来看,一个好的解决办法是两者都有。 一个802.1x访问,给你就像你有线和一个俘虏门户,让你访问更less的东西(访问互联网端口80,有限的本地局域网,…)
我有一些WIFI的经验 – 做了许多校园部署:拉斯维加斯市,密歇根大学,各种酒店和公寓综合体….
您的客户不直接与RADIUS服务器通话。 具有802.1xfunction的AP(接入点)代表客户端进行此操作。 实际上,您不需要RADIUS来支持802.1x实施。
1.我可以将强制门户限制为仅与Wi-Fi连接的设备吗? 我不特别想为所有现有的networking机器设置MAC地址例外(据我所知,这只是增加了MAC地址欺骗的机会)。
MAC欺骗只能在客户端关联后才能完成。 所以你们不必担心,如果没有联系的话,就不能在WIFInetworking上恶搞。 您通过WPA或WPA2等控制关联…
2.这是如何完成的? 我有一个单独的WiFi接入设备的地址范围,然后两个networking之间的强制门户路线? 需要强调的是,WAP与其他不属于俘虏入口的机器共享一个物理networking。
你可以做到这一点,但我不知道你希望达到什么目的? 为什么你觉得你需要隔离有线客户端的WIFI访问? 注意:VLANs不是安全措施!
您的解决scheme取决于您拥有哪种types的AP,以及它们是否支持WPA2。 假设他们这样做,我会做的是你的情况中的两件事情之一是:
通过组策略和防火墙部署WPA-PSK并控制局域网访问。 我也将子网的WIFI“区”,并使用路由器ACL进行任何您需要的内部过滤。 现在NTLM非常安全。 这将是我的第一个方法。 如果有什么原因,你不能做到这一点,你没有在原来的post扩大足够多,说为什么…
然后,我的第二种方法就是看802.1x–这对于你所描述的需求似乎有点过分,但是当员工离开公司等时,pipe理员会放松一些。如果他们离开的时候把笔记本交给他们,那么选项1 (WPA-PSK)似乎不错。 如果你放弃了PSK而不是放在自己身上,那么这个选项是首选的 – 我想。
即使最终用户以某种方式与外部人共享PSK,您的LAN端点仍然通过NTLM,ACL和防火墙保护。