我是一名系统管理员,负责管理宿舍的互联网。我们正在运行采用 WPA2 Enterprise 身份验证的无线网络。
有些人一直在问如何连接不支持 WPA2 Enterprise 的设备(例如 chromecast、PS3/4、打印机等),因此我正在寻找宿舍级解决方案,例如我可以应用的东西。
我不想削弱安全性,我不喜欢开放网络和强制门户,因为 MAC 地址很容易被克隆,数据流量也不加密。我还要求每台设备必须能够识别其所属的用户,这就排除了 WPA2-PSK 网络(?)。
我们正在运行的网络设备是
- Cisco Aironet 2602 自主(无控制器)AP
- HP ProCurve 2810-24G 交换机
我知道我们拥有的硬件不一定是最好的设置,但这是我们所拥有的,我们无法负担基于控制器的设置的许可证。
如何才能安全、方便地允许用户连接安全性较低的设备?
答案1
为未经身份验证的设备提供单独的 SSID,并说明其仅供个人有限使用,并且提供较少的保障。
将具有 WPA2-PSK 的 SSID 放在其自己的单独 VLAN 和 VRF 中,该 VLAN 和 VRF 无权访问具有经过身份验证的设备或感兴趣的资源的段(可能只有一条通往公共互联网的单一路由,没有返回校园网络的机制)。
发布共享密钥或者根据请求提供它。
配置 Wifi 接入点以将其记录(通过 SYSLOG 或其他机制)到服务器,您可以在该服务器上提取站点关联/解除关联的记录。提前构建查询以提取这些记录,以便您可以查找信息(如果需要)(例如,如果未经身份验证的 SSID 中的设备做了一些不适当的事情);这可能就像在平面文本文件中使用 GREP 命令来记录日志一样简单。
仍然设置一个强制门户,强迫他们同意使用条款(以摆脱“我不知道”的辩护)。