我作为pipe理宿舍的互联网的系统pipe理员工作。 我们正在运行WPA2企业authentication的无线networking。
有些人一直在问如何连接不支持WPA2 Enterprise的设备,如chromecast,PS3 / 4,打印机等,因此我正在寻找宿舍级别的解决scheme,例如我可以申请的东西。
我不希望安全被削弱,我更喜欢没有一个开放的networking,强制门户,因为mac地址很容易克隆,数据stream量不encryption。 我还要求每台设备都能识别哪个用户属于哪个用户,这就排除了WPA2-PSKnetworking(?)。
我们运行的networking设备是
我知道,我们拥有的硬件不一定是最好的设置,但这是我们得到的,我们无法承担基于控制器的设置的许可证。
我如何安全和方便地让用户连接安全性较低的设备?
提供未经身份validation的设备一个单独的SSID,说明这是有限的个人使用,并承担较less的保证。
将WPA2-PSK的SSID放在自己独立的VLAN和VRF中,这些VLAN不能访问具有authentication设备或感兴趣资源的网段(可能只有一条路由通向公共互联网,没有机制返回校园网)。
发布共享密钥或根据请求给出。
configuration无线接入点logging(通过SYSLOG或其他机制)到一个服务器,你可以切出站logging关联/ disassociations。 提前构build查询以便将其提取出来,以便在需要时查找信息(例如,未经身份validation的SSID中的设备做了不适当的事情); 这可以像用于平面文本文件中日志条目的GREP命令一样简单。
仍然有一个强制他们同意使用条款的俘虏门户(摆脱“我不知道”的辩护)。