Включить доступ для беспроводных устройств без WPA2 Enterprise

Question

Включить доступ для беспроводных устройств без WPA2 Enterprise

Я работаю системным администратором, управляющим интернетом общежития. Мы используем беспроводную сеть с аутентификацией WPA2 Enterprise.

Некоторые люди спрашивают, как подключить устройства, такие как Chromecast, PS3/4, принтеры и т. Д., Которые не поддерживают WPA2 Enterprise, и поэтому я ищу решения на уровне общежития, например, которые я могу применить.

Я не хочу, чтобы безопасность была ослаблена, и я предпочитаю не иметь открытой сети с использованием портала, так как адреса Mac легко клонируются, а трафик данных не шифруется. Я также требую, чтобы каждое устройство могло быть идентифицировано, какому пользователю оно принадлежит, что исключает сеть WPA2-PSK (?).

Сетевое оборудование, которое мы используем

Автономные точки доступа Cisco Aironet 2602 (без контроллера)
Коммутаторы HP ProCurve 2810-24G

Я знаю, что имеющееся у нас оборудование не обязательно является лучшим для установки, но это то, что у нас есть, и мы не можем позволить себе лицензию на установку на основе контроллера.

Как я могу безопасно и удобно разрешить пользователям подключать устройства с меньшей безопасностью?

0

wifi access-point wpa2

Источник

Daniel A 02 ноя '14 в 20:08

1 ответ

Другие вопросы по тегам wifi access-point wpa2

DTK 02 ноя '14 в 20:16 2014-11-02 20:16 · Answer 1 · 2014-11-02 20:16

Предоставьте неаутентифицированным устройствам отдельный SSID с инструкциями, которые предназначены для ограниченного использования в личных целях и имеют меньше гарантий.

Поместите SSID с WPA2-PSK в свою отдельную VLAN и VRF, у которой нет доступа к сегменту с аутентифицированными устройствами или интересующими ресурсами (возможно, только один маршрут к общедоступному Интернету, нет механизма возврата в сеть кампуса).).

Разместите общий ключ или выдайте его по запросу.

Сконфигурируйте точки доступа Wi-Fi для входа (через SYSLOG или другой механизм) на сервер, где вы можете вырезать записи для ассоциаций / диссоциаций станций. Заранее создавайте запросы, чтобы вытащить их, чтобы при необходимости вы могли просматривать информацию (например, если устройство с неидентифицированным SSID делает что-то неуместное); это может быть так же просто, как команды GREP для записей журнала в текстовом файле.

По-прежнему размещают плененный портал, который заставляет их соглашаться на условия использования (чтобы избавиться от защиты "я не знал").