保护访客无线网络

建议的方法是使用非军事区配置。您可以维护打开无线连接，让客人轻松连接。但是，您需要控制一些事情。

1. 将您的 wifi 连接放在非军事区区域并将其连接视为潜在敌对。这意味着配置防火墙以阻止进入本地网络的传入连接，并仅允许某些连接通过互联网（例如 http/https）。

2. 将 wifi 设备放置在与本地网络不同的子网和网络范围内。这将强制计算机通过防火墙设备路由数据包。确保无线网络与本地网络物理断开连接。

3. （可选）实现某种半径身份验证，也许使用辣椒斑点或类似的东西。这将允许您进行某种身份验证。您可以使用它来更好地控制 wifi 的使用。客人可能会获得用户名/密码登录信息，供其在住宿期间使用。

希望这能给你一些想法。

通常，您只需设置一个 AP 并将其连接到您的互联网连接即可。

需要考虑的事项：

• 确保 AP 不会以任何方式连接到您的内部网络（除非您真的知道自己在做什么）。您不会想将您的 LAN 暴露给任何路人。
• 如果您使用加密，则可以减少攻击面，因为这样随机人员使用您的 AP 的可能性就会降低。这实际上并不是一项安全措施（您使用的任何密钥都将完全公开），但可以防止陌生人占用带宽等烦恼。
• 您应该对法律问题进行基本检查：您的 ISP 是否允许这种共享（有些在合同中禁止这种共享）？您是否对通过 AP 实施的计算机犯罪负有法律责任（在大多数司法管辖区内不是，但情况可能有所不同）。

我希望将其保持为开放接入点，这样我就不必支持那些不知道如何正确输入密码的用户。但是，如果我不这样做，我应该使用 WPA 还是 WPA2？如果我使用 WPA2，是否会遇到兼容性问题？

正如所指出的，加密可以避免一些麻烦，但我认为它并不是真正重要的。如果你确实要使用它，WPA2 可能就没问题了。自 2003 年以来，Wi-Fi 联盟的认证就要求使用 WPA，而自 2006 年以来，WPA2 也是必需的，因此最近的设备应该使用 WPA2。

将用户与网络本身隔离的最佳方法是什么。我猜最万无一失的方法就是将接入点放在自己的 DSL 连接上。我还有什么其他选择？

确实不需要单独的 DSL 连接。无论如何，您都应该在 DSL 连接和 LAN 之间安装某种路由器/防火墙。只需将 AP 直接连接到 DSL，绕过防火墙即可。或者将其放入 DMZ（如果有），或者更好的是，放入它自己的 DMZ。

sybreon 有一个很好的答案，顶一下……

我最初使用 chillispot 身份验证来设置我们办公室的无线网络，而使用 freeradius 进行身份验证，使用的是旧的如何允许您创建超时的令牌。它工作得相当好，管理起来也不太麻烦。OP 没有给出很好的预算或能力指示，但我们目前的解决方案，使用 Cisco WLC 和 ACS 允许几个非常酷的功能：

1. 根据我们的 AD 进行授权
2. 基于用户和机器组的类似 NAC 的 VLAN 分配
3. 单独的大厅管理员帐户，您可以将其交给服务台，以便他们可以创建具有固定使用期限的临时帐户

您可以设置 MAC 地址过滤，并在访客来访时添加访客 MAC 地址，并在访客结束时删除访客 MAC 地址，如果您不想加密的话。您还可以设置一个屏幕，用户必须先说明其电子邮件地址，然后才能继续操作。

如果您必须设置 wpa，那么请使用 wpa2+aes，因为 wpa+tkip 容易受到攻击。 http://www.wi-fiplanet.com/news/article.php/3784251

查看此主题中的一篇有趣的文章： http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html