我是 RADIUS 新手,刚刚为 802.1x (WPA) 设置了一个非常基本的 FreeRADIUS 服务器。我使用 EAP、MySQL 作为后端,使用 daloRADIUS 作为 webGUI(主要用于用户管理)。 我有两个 WiFi 网络,一个是专用网络,一个是访客网络。现在我想为每个 NAS 指定用户。因此,某些用户只能使用访客网络,而不能使用专用网络。 我该怎么做?使用 FreeRADIUS 可以实现吗?因为我似乎找不到有关它的任何信息。是不是有什么奇怪的地方,我使用 RADIUS 的方式是否错误? ...
目前我的公司已被另一家公司收购。因此,另外两家公司的用户将迁移到我们的办公室。 如果我们可以根据用户尝试使用 dot1x 登录的域来为用户选择 vlan,那将非常方便。 EG VLAN 100 公司A 200 公司B 300 公司C 有人把笔记本电脑放在桌子上,插入网络端口并按下 CTRL-ALT-DEL,选择域名 CompanyB 并登录。 我想要的结果是dot1x能够识别出这是来自CompanyB的用户,并设置网络端口以动态反映vlan 200。 可能的? ...
我有一个现有的 802.11n WLAN 路由器,其上游 WAN 连接为以太网连接(路由器 A)。我想再买一个 802.11n WLAN 路由器(路由器 B),并让其使用路由器 A 作为上游 WAN 连接。路由器 B 需要通过 802.11n 和 WPA2 安全协议连接到路由器 A。 这可能吗?任何 WLAN 路由器都支持将另一个 WLAN 路由器作为其上游 WAN 连接这一概念吗? 谢谢。 ...
前几天,我在一次初级网络专家面试中被问到这个问题: 解释为什么有线局域网中只有一种帧类型,而无线局域网中却有四种帧类型。 我的答案是: 有线局域网中只有一种帧类型,这是因为它们具有自我识别功能。因此,它们能够在使用同一物理网络的同时混合使用各种协议,并允许单个发送者一起使用各种协议,同时仍通过介质传输数据。 但对于无线局域网,我的大脑就麻木了,但我说的话正确吗? ...
我正在将 NPS 配置为无线客户端的 RADIUS 身份验证源。 我试图区分上课时间和下课时间,因为我需要将某些用户连接到不同的网络,以便在下班时间访问额外的资源。 我可以设置日期和时间限制,但只能精确到小时。我最差需要 30 分钟的间隔,最理想的间隔是 15 分钟。 有人知道微软的 NPS 是否可以实现这一点吗? ...
我是无线网络的新手,想知道为什么以太网使用的相同冲突检测机制不能应用于 WiFi。我想我开始明白了,但不确定我是否明白了: WiFi 的物理特性使得 CAMA/CD 机制无法使用,也不切实际。这是因为 CSMA/CD 的本质是“监听”介质是否空闲,然后再传输数据包。使用 CSMA/CD,如果在介质上检测到冲突,终端设备必须等待一段随机时间,然后才能开始重新传输过程。因此,CSMA/CD 适用于有线网络,但在无线网络中,发送方无法像 CSMA/CD 那样检测冲突,因为发送方只能在介质上发送和接收数据包,但...
我们正在公司环境中的 Windows 7 机器上实施 WiFi。机器应该能够通过 WiFi 作为机器(登录前)和用户(登录后)登录域。除了 2 件事外,我们一切正常: 1) 有时登录脚本不运行 2) 用户 VLAN 有时与机器 VLAN 不同,并且用户登录后不会发生 DHCP 更新。 我很清楚,这两个问题都应该可以通过使用 802.1x Wireless Vista GPO 下的“单点登录”选项来解决,并将无线设置为在用户登录前立即连接,并启用“此网络使用不同的 VLAN 进行机器和用户凭据的身份验证” 如果我在实验室中启用这些 GPO 设置,计算机会...
MacOS 13.4.1 我正在尝试使用 捕获802.11带有真实802.11报头(而不仅仅是以太网报头)的管理数据包tshark。因此尝试使用 % sudo tshark -i wifi0 -I -L Data link types of interface wifi0 when in monitor mode (use option -y to set): IEEE802_11_RADIO (802.11 plus radiotap header) 然后尝试按建议使用 % sudo tshark -i wifi0 ...
我正在阅读有关 802.1X 和 WPA-2 Enterprise 及其设置方法的资料。我简要阅读了有关不同 EAP 的资料,并了解到 EAP-TLS 是更好的身份验证方法,因为它使用了客户端和服务器证书。 然而,我非常困惑,新设备如何在不接入需要获取证书的网络的情况下获取客户端证书? 我在 Windows 服务器上设置了一个 RADIUS 服务器,但是我知道未加入域的设备无法使用它?但是,如果您无法实际连接到网络,当然就无法将新域加入网络! 真的很困惑,尽管我当然可能误解了一些事情。 ...
托管的 Windows 设备可以加入我公司的有线网络,但个人 Linux 设备则不能。 据我所知,这要归功于 IEEE 802.1x 标准。 查看配置,使用了计算机证书,并且我设法访问位于其下的私钥...\Microsoft\Crypto\RSA\MachineKeys及其对应的证书。 问题是: 考虑到这些因素,这可能吗? 私钥似乎是我无法识别的二进制格式,可能需要将其转换为 Linux NetworkManager 的 DER/PEM 格式?如果是,该怎么做? ...
我想实现一个客户端基础设施,其中的设备连接到不同 VLAN 中的网络。 我安装了一个连接到我们 Active Directory 的 freeradius 服务器。我已启用动态 VLAN 的交换机,并将所有 VLAN 分配给 LDAP 组,从而通过 radius 策略启用 mac 地址的身份验证。 一切正常,在Active Directory中手动创建代表我们网卡的mac地址用户。 由于必须停留在各个 VLAN 上的客户端是根据连接到此设备的用户的标题属性而动态变化的,因此我安装了此服务器应用程序(维玛姆),它会根据正确的配置自动管理各种mac地址。 ...
是否可以将防火墙规则应用于 LAN 到 LAN 数据包? 想象一下以下架构: 为了获得有效的 IP,客户端必须使用 802.1x 针对 pfSense 的 radius 服务器对 PfSense LAN 网络进行身份验证。 此后,Client1 和 Client2 之间发送的所有数据包都将由 PfSense 防火墙管理和过滤。 这种架构可行吗?有什么注意事项吗? ...
我将使用网络策略服务器 (NPS) 和 RADIUS 服务器,当用户使用 802.1x 成功通过网络身份验证时,将每个用户分配到一个 VLAN。在 Active Directory 目录服务 (AD) 中,将有属于多个 AD 组的用户。我假设(如果我错了,请纠正我)可以将单个 VLAN 分配给一个 AD 组。因此,如果我有一个属于多个 AD 组的用户,当该用户使用 NPS、RADIUS 和 802.1x 通过网络进行身份验证时,是否可以将用户分配到多个 VLAN?或者,无论用户属于多少个 AD 组,是否只能将用户分配到单个 VLAN? ...
您好,我遇到了一个非常奇怪的问题,有些 Mac 无法在校园的某些区域连接到 801.1x。但是它们可以在校园的其他地方连接。两个交换机的配置相同,我们无法弄清楚发生了什么。没有 Windows PC 遇到此问题,半径是 Windows,CA 也是。我尝试重置 Mac 钥匙串,但没有用。我完全不知道该怎么做。此外,Mac 上的 eapol 日志没有任何结果。我们收到的错误是 Mac 的身份验证失败。我们还重置了证书的配置文件,但无济于事。任何帮助都将不胜感激。 半径配置(有问题的建筑物) radius-server dead-criteria time 5...