• 欢迎访问夏天爸爸记录站,WordPress信息,WordPress教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入SUmmerdad BLOG

无线AP如何区分来宾(流动)用户和正常用户?

应用技术 summerdad 1年前 (2018-06-23) 79次浏览 已收录 0个评论 扫描二维码

现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求:

  1. 无线办公的需要,比如无线 pos 机等办公设备。
  2. 员工无线上网的需要。
  3. 来宾、客人的无线上网。

这样就带来了相关的安全性问题:

  1. 来宾有可能通过无线接入到企业内网,导致安全隐患。
  2. 员工有可能通过来宾的无线网络上网,从而绕开公司的行为管理策略,影响工作效率。

目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线 SSID 和密码。但是实际上这个方案存在很大的漏洞:密码泄漏。来宾可以直接询问到内网的无线密码,甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。

本文将结合 WFilter NGF 的相关功能,来介绍更进阶的解决方案。

方案一:IP-mac 绑定

该方案的具体策略如下:

  1. 来宾网络和办公网络处于不同的 VLAN。
  2. 登记员工的电脑和手机,配置IP-mac 绑定
  3. 对来宾网段不启用IP-mac 绑定
  4. 对办公网络和来宾网络配置不同的带宽和上网策略。

这样配置后,来宾连接办公网络是获取不到 IP 的,从而也无法进入办公网络。而员工即使连上了来宾网络也无法上网。

一些相关的配置截图如下:

1) VLAN 划分

办公网络和来宾网络划分不同的 VLAN。

无线AP如何区分来宾(流动)用户和正常用户?

2) IP-mac 绑定

登记办公人员的手机和电脑,进行 IP-MAC 绑定。

无线AP如何区分来宾(流动)用户和正常用户?

对办公网段严格限制,未经绑定的设备既获取不到 IP,也无法上网。

无线AP如何区分来宾(流动)用户和正常用户?

方案二:用户认证

该方案主要由以下方面组成:

  1. 无线用户上网时,需要输入用户名和口令登录。
  2. 办公人员用自己的用户名密码。
  3. 来宾用来宾的 guest 账号。

这样配置后,即使来宾知道了办公网络的无线密码,但是由于不知道个人的账号密码,所以还是无法使用办公网络的无线。但是该方案存在以下缺点:

  1. 来宾虽然不能使用办公无线上网,但是可以连接到办公的无线网络,可能会访问到内网敏感资源。
  2. 用户名密码仍然存在泄漏的可能。
  3. 无法阻止办公人员使用来宾的无线。

WFilter NGF 中的“Web 认证”功能,可以对无线网络进行身份认证,微信 Wifi 认证、短信认证等。从而认证上网人员的身份,记录上网内容,并且可以和本地账号、域账号、邮箱账号进行集成。如图:

无线AP如何区分来宾(流动)用户和正常用户?
无线AP如何区分来宾(流动)用户和正常用户?

综上所述,“IP-mac 绑定”和“Web 认证”都可以区分无线 AP 的来宾用户和正常用户。建议您根据自己的管理需要进行选择。严格一些就用IP-mac 绑定,否则就用Web 认证


乐趣公园 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:无线AP如何区分来宾(流动)用户和正常用户?
喜欢 (0)
[xiahuanming@gmail.com]
分享 (0)

您必须 登录 才能发表评论!