Вопросы о новичках, на как RADIUS и работы аутентификации WiFi
Пользовательская аутентификация для Wi-Fi использует 802.1x протокол.
Для подключения устройств нуждаются в суппликанте WPA, таком как SecureW2
В зависимости от суппликанта Вы используете Вас, будет или не мочь использовать, делают SSO с входом в систему/паролем домена окон.
iPhone и iPod touch создали в суппликанте WPA. Я не знаю для PSP/BB. SecureW2 имеет версию Windows Mobile.
Я уверен, что Вы могли включить присоединенный портал для WiFi только, не имея необходимость создавать к Сети IP. Просто необходимо поместить беспроводной доступ в VLAN, и соединенный проводом доступ в другом VLAN затем поместил портал между обоими VLAN. Это похоже на прозрачный брандмауэр.
802.1x должен иметь суппликант на компьютерах. Если компьютеры, которые должны использовать Wi-Fi, известны, просто необходимо установить суппликант на них, и это - отличное решение. Если Вы хотите сделать свой беспроводной доступ доступным посетителем или подобными вещами, это мог бы быть кошмар, потому что им нужен суппликант и т.д.
Присоединенный портал немного менее безопасен и пользователь потребности для аутентификации вручную каждый раз, когда они соединяются. Это может быть немного скучно.
Хорошее решение с моей точки зрения, также имеют обоих. 802.1x доступ, которые дают Вам то же, как будто Вы были соединены проводом на LAN и присоединенном портале, которые предоставляют Вам доступ к меньшему количеству вещей (доступ к интернет-порту 80, ограниченный доступ к локальной LAN...)
У меня есть немного опыта WI-FI - сделали много развертывания кампуса: город Лас-Вегас, Мичиганский университет, различные отели и жилые комплексы....
Ваши клиенты не говорят непосредственно с сервером RADIUS. AP (Точка доступа), которая является 802.1x способна, делает это от имени клиента. На самом деле Вам не нужен RADIUS для поддержки 802.1x реализация.
1. Я могу ограничить присоединенный портал подключенными устройствами Wi-Fi только? Я особенно не хочу должным быть настраивать исключения MAC-адреса для всех существующих сетевых машин (в моем понимании, оно просто увеличивает возможность для спуфинга MAC-адреса).
Спуфинг MAC может только быть сделан после того, как клиент связывается. Таким образом, Ваше беспокойство здесь не должно быть, поскольку нельзя имитировать в сети WIFI без ассоциации сначала. Вы управляете ассоциацией через WPA или WPA2 и других...
2. Как это сделано? У меня есть отдельный диапазон адресов для устройств доступа WiFi, и затем присоединенный портал направит между этими двумя сетями? Важно подчеркнуть, что WAP совместно использует физическую сеть с другими машинами, которые не должны быть присоединены-portalled.
Можно ли сделать это, но я не уверен, чего Вы надеетесь достигнуть? Почему Вы чувствуете, что необходимо изолировать доступ WI-FI от проводных клиентов?Примечание: VLAN не являются мерами безопасности!!!
Ваше решение зависит от того, какой APS Вы имеете и если они поддерживают WPA2. Предположение, что они делают, что я сделал бы, является одной из двух вещей в Вашей ситуации:
Разверните WPA-PSK и управляйте доступом к LAN через групповые политики и брандмауэры. Я также разделил бы WI-FI НА ПОДСЕТИ "зона" и маршрутизатор использования ACLs для любой внутренней фильтрации, Вам нужно. NTLM довольно безопасен в эти дни. Это было бы моим первым подходом. Если существуют причины, Вы не можете сделать этого, Вы не расширились достаточно далеко в Вашем исходном сообщении для высказывания почему...
Мой 2-й подход затем посмотрел бы на 802.1x - это, будет казаться, будет излишеством для Ваших потребностей, как описано, но упростило бы администратора для того, когда сотрудник покинет компанию и т.д... Если они поворачиваются в их ноутбуках, когда они уезжают, то опция 1 (WPA-PSK) кажется достаточно хорошей. Если Вы выделяете PSK, а не помещаете его в себя, то эта опция предпочтена - я предполагаю.
Даже если конечные пользователи так или иначе совместно используют PSK с посторонними, Ваши конечные точки LAN все еще защищаются через NTLM, ACLs и брандмауэры...