Обеспечение гостевой беспроводной сети

Обычно можно просто создать AP и сцепить его до интернет-соединения.

Вещи рассмотреть:

• Сделайте действительно, действительно уверенный, что AP ни в коем случае не подключено к Вашей внутренней сети (если Вы действительно не знаете то, что Вы делаете). Вы не хотите выставлять свою LAN любым прохожим.
• При использовании шифрования Вы уменьшаете свою поверхность атаки, потому что это делает его несколько менее вероятно, чтобы случайные люди использовали Ваше AP. Это не действительно меры безопасности (любой ключ, который Вы используете, будет довольно общедоступно), но предотвращает раздражения как bandwith hogging незнакомцами.
• Необходимо сделать основную проверку на юридические вопросы: Ваш ISP позволяет этот вид совместного использования (некоторые запрещают его в их контрактах)? Действительно ли Вы юридически ответственны за компьютерные преступления, фиксировавшие через AP (не в большей части юрисдикции, но это может варьироваться).

Я предпочел бы сохранять это находящейся в открытом доступе точкой, таким образом, я не должен поддерживать пользователей, которые не могут выяснить, как ввести пароль правильно. Однако, если я не делаю, я должен использовать WPA или WPA2? У меня будут проблемы совместимости вообще, если я буду использовать WPA2?

Как указано, шифрование избегает некоторых раздражений, но я не думаю, что это действительно очень важно. При использовании его WPA2, вероятно, был бы в порядке. WPA требовался для сертификации Союза Wi-Fi с 2003 и WPA2 с 2006, таким образом, недавние устройства должны сделать WPA2.

Что лучший способ состоит в том, чтобы изолировать пользователей от самой сети. Я предполагаю, что самый надежный путь состоит в том, чтобы просто поместить это точки (точки) доступа самостоятельно соединение DSL. Каковы мои другие опции?

Никакая потребность в отдельном соединении DSL, действительно. У Вас должен во всяком случае быть некоторый маршрутизатор/брандмауэр между Вашим соединением DSL и Вашей LAN. Просто сцепите AP непосредственно с Вашим DSL, обойдя брандмауэр. Или помещенный это в Вашу демилитаризованную зону (если у Вас есть один), или еще лучше, в его собственную демилитаризованную зону.

sybreon имеет хороший ответ, ударенный...

Я первоначально устанавливаю нашу офисную беспроводную связь, использующую chillispot auth'ing против freeradius использование старого практического руководства, которое позволило Вам создавать маркеры, которые испытают таймаут. Это работало обоснованно хорошо и не было слишком большим количеством стычки для администрирования. OP не дает хороший признак бюджета или возможности, но нашего текущего решения, с помощью Cisco, которую WLC и ACS позволяют нескольким действительно замечательным функциям:

1. автор против нашего AD
2. Подобное NAC выделение VLAN и на основе пользователя и на основе группы машины
3. разделите администраторскую учетную запись лобби, которую можно передать к справочной службе, таким образом, они могут создать временные учетные записи со временем жизни набора

Можно настроить фильтрацию MAC-адреса и добавить посетителей MAC, когда они прибывают и удаляют конец дня, это - то, если Вы не хотите иметь шифрование. Можно также установить экран, где пользователь должен заявить свой адрес электронной почты, прежде чем он сможет пойти далее.

Если необходимо установить wpa, затем используют wpa2+aes из-за того, что wpa+tkip уязвим. http://www.wi-fiplanet.com/news/article.php/3784251

См. интересную статью в этой теме: http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html