无线AP如何区分来宾(流动)用户和正常用户?

现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求:

  1. 无线办公的需要,比如无线pos机等办公设备。
  2. 员工无线上网的需要。
  3. 来宾、客人的无线上网。

这样就带来了相关的安全性问题:

  1. 来宾有可能通过无线接入到企业内网,导致安全隐患。
  2. 员工有可能通过来宾的无线网络上网,从而绕开公司的行为管理策略,影响工作效率。

目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞:密码泄漏。来宾可以直接询问到内网的无线密码,甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。

本文将结合WFilter NGF的相关功能,来介绍更进阶的解决方案。

方案一:IP-mac绑定

该方案的具体策略如下:

  1. 来宾网络和办公网络处于不同的VLAN。
  2. 登记员工的电脑和手机,配置IP-mac绑定。
  3. 对来宾网段不启用IP-mac绑定。
  4. 对办公网络和来宾网络配置不同的带宽和上网策略。

这样配置后,来宾连接办公网络是获取不到IP的,从而也无法进入办公网络。而员工即使连上了来宾网络也无法上网。

一些相关的配置截图如下:

1)  VLAN划分

办公网络和来宾网络划分不同的VLAN。

2) IP-mac绑定

登记办公人员的手机和电脑,进行IP-MAC绑定。

对办公网段严格限制,未经绑定的设备既获取不到IP,也无法上网。

方案二:用户认证

该方案主要由以下方面组成:

  1. 无线用户上网时,需要输入用户名和口令登录。
  2. 办公人员用自己的用户名密码。
  3. 来宾用来宾的guest账号。

这样配置后,即使来宾知道了办公网络的无线密码,但是由于不知道个人的账号密码,所以还是无法使用办公网络的无线。但是该方案存在以下缺点:

  1. 来宾虽然不能使用办公无线上网,但是可以连接到办公的无线网络,可能会访问到内网敏感资源。
  2. 用户名密码仍然存在泄漏的可能。
  3. 无法阻止办公人员使用来宾的无线。

WFilter NGF中的“Web认证”功能,可以对无线网络进行身份认证,微信Wifi认证、短信认证等。从而认证上网人员的身份,记录上网内容,并且可以和本地账号、域账号、邮箱账号进行集成。如图:

综上所述,“IP-mac绑定”和“Web认证”都可以区分无线AP的来宾用户和正常用户。建议您根据自己的管理需要进行选择。严格一些就用IP-mac绑定,否则就用Web认证。

原文地址:http://blog.51cto.com/12800391/2131782

时间: 2024-10-04 20:51:41

无线AP如何区分来宾(流动)用户和正常用户?的相关文章

无线ap和路由器wifi热点怎么区分和区别

转自:http://blog.sina.com.cn/s/blog_5a6efa330101yrzh.html 有的人发现无线ap和无线路由器都可以实现无线上网,于是到无线市场买了个相当便宜的无线ap回家自己组建他的wifi共享上网,可是却发现无线ap根本不能和ADSL一起使用,不能实现无线上网.怎么区分和区别呢? 1.无线ap和路由器 无线ap也就是无线接人点.它是wifi共享上网中的无线交换机,是用户接人网络的接入点,无线覆盖距离为几十米到上百米,不过信号会递减.一般的无线ap带有客户接入点

如何区分无线AP跟无线路由器

无线AP是一个无线网络的接入点,俗称“热点”.主要有路由交换接入一体设备和纯接入点设备,一体设备执行接入和路由工作,纯接入设备只负责无线客户端的接入,纯接入设备通常作为无线网络扩展使用,与其他AP或者主AP连接,以扩大无线覆盖范围,而一体设备一般是无线网络的核心. 无线路由器是应用于用户上网.带有无线覆盖功能的路由器.无线路由器可以看作一个转发器,将家中墙上接出的宽带网络信号通过天线转发给附近的无线网络设备(笔记本电脑.支持wifi的手机等等). 无线AP与无线路由器的区别 应用不同: 无线AP

跟老梅子学防火墙—(Fortinet) 无线AP 篇 (1)

FortiAP 介绍 FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备.每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信. FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境.采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入. FortiAP与FortiGate设备的control

UAP-AC-LITE无线AP配置教程(中文版)

安装完UniFi并打开之后,其会自动跳转到页面以对其进行配置.正式进入到控制器初始化设置界面,以下画面只会在第一次安装控制器后才会出现. 1. 首先,选择国家与时区,然后下一步. 2. 配置设备,在这一步骤中其自动扫描到网络中未被管理的(出厂默认) UAP设备,如果没有那就不要管他,继续配置,全部完成后,再对ap设备进行添加及配置即可. 3.配置WiFi,给其设置SSID及密码.此步骤,可以开启访客网络 注意: 1. 默认上来宾 SSID 是不加密的,但是是安全的,因为通过该 SSID 接入的来

如何排查无线AP在使用过程中的故障?

无线网络技术的飞速发展致使无线AP已渐渐融入我们的生活并与之密不可分.无线AP主要运用于企业.商场超市.酒店餐厅.学校工厂.展览展会等场所,为其构建WLAN并提供WiFi覆盖.很多终端用户觉得使用无线AP构建的商用WiFi的用户体验并不好,实际上快速好用的商用WiFi不仅要有好的无线AP设备做硬件支持,商户也应该对环境特点.最大用户数.产品特性.安装布局等多方位因素有个整体的了解,否则很可能选不到合适的WiFi覆盖方案或者即使有了可行度比较高的WiFi覆盖方案,在使用过程中出现一点小问题就手足无

多个无线AP间无线组网实例

事因:今日公司新建一会议室,里面WIFI信号不好,要在其内放一AP增强WIFI信号,开墙打洞再拉一条网线的方案行不通,只好使用无线AP的WDS功能,进行AP间组网. WDS简介:WDS(Wireless Distribution System,无线分布式系统),通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问. WDS的优势:802.11 的无线技术已经在家庭.SOHO.企业等得到广泛地应用,用户已经能通过这些无线局域网方便地访问Internet 网络.

基于openwrt和s3c2440的无线ap实现

无线AP(Access Point)是一个无线网络的接入点,具备无线到有线( wireless-to-wired)的桥接功能,我们这里的无线AP是纯接入设备,没有路由功能(由于开发板网卡数限制,所以没有实现). 下面就来讲一下具体的实现方法: 硬件准备:mini2440开发板一块,usb无线网卡DWL-122一块,硬件连接图如下: 在2440的网口用网线连上有线路由器的局域网口,使路由器为mini2440分配一个ip地址. 接下来就是openwrt的编译,我是在ubuntu10.04下编译的,一

CISCO 无线AP配合windows AD 802.11X 配置

CISCO 无线AP配合windows AD 802.11X 配置 AP 配置固定ip 选择 SECURITY→SSID Manager 新建SSID "Open Authentication" →"with EAP" 设置Key Management 为Mandatory 选择 SSID as Guest Mode 定义radius 服务器 IP 地址 ,输入radius 服务器共享密码(Security→Server Manager) 安装好证书服务及网络策略服

Linux下用hostapd架无线AP

Published by 荒野无灯 on 2011-10-08 00:56:02 under 服务器/MySQL Tags: 路由,无线AP,hostapd 34452 views 本文将介绍在linux下面用笔记本无线网卡架设无线AP. 在win7下面用“承载网络”让爪机上wifi真是爽YY啊. 其实linux下面也是可以的,不过得看运气了.正如windows7下面要求你的无线网卡驱动必须支持“承载网“一样. 首先,查看网卡芯片信息: 对于pci网卡: 1 lspci 我的是: 1 03:00