我正在为学生宿舍创build一个ISP。 局域网已经在那里工作,有几台CISCO交换机。 我想通过安全和自动的方式提供互联网给那些支付(每月)的人。 在不久的将来,也可能会有一个接入点(CISCO)在一个“不太私人的”地方(主要是学生,但他们可能不住在这个住所)连接到networking,所以连接必须是担保和限制在居民(只有付费用户无线接入networking是可以接受的)。
这是我的愿望:
然而,我有一个很大的限制:人们(付费用户)不得不能够在他们之间进行通信(同一个VLAN)。
对于1.我认为802.1x PEAP是正确的解决scheme,它使用服务器上的证书和客户端部分只有用户名/密码。 我不必把证书放在每个设备上。 对于2.我正在考虑从LDAP radiusProfile objectClass使用“过期”,并在用户订阅时更新此值。 对于3.和4.解决scheme之一可能是pfSense。
由于802.1x和用户在同一局域网上的限制,还有另外一种可能性,使得非付费用户有一个RADIUS“用户帐户”? 我假设不是。
据我所知,在networking设备(AP或交换机)上configuration了802.1x,并直接与RADIUS服务器进行通信,因此pfSense如何知道用户何时在其中一个networking设备上进行身份validation,以便绕过强制门户? 我不希望我的用户必须login他们的设备,并再次在强制门户网站上login,它必须是透明的。
下面是我看到的实现:
User NP: non-paying user = access to LAN but not to Internet; access to captive portal when asking for Internet; User P: paying user = access to LAN and Internet until suscription expires; User NP User P | | _______ same ________ _________ | | 802.1x |RADIUS| VLAN |pfSense| User P requests | | ---------------------|Client|---------|Net |-----------------|INTERNET| |______| |Getaway| |________| | |User NP requests ____|___ |Captive| |portal | |_______| 问题是我没有看到pfSense如何能够知道用户P是否被允许连接到互联网而不询问用户的RADIUS用户名和密码以绕过强制门户。 有没有办法,pfSense可以自动检索802.1x连接上的信息,而不会重新logging? 或者,也许我错过了一些东西,或者我误解了802.1x的工作原理?
我愿意接受任何build议,改变或任何事情,但必须充分发挥关键的环节:约束和愿望1至3。