查看: 1521|回复: 48

[无线覆盖] 请教大家WIFI防蹭网问题

[复制链接]

主题

好友

1685

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-8-27 00:04 |显示全部楼层
Anywlan微信公众号
本帖最后由 萃取闲情 于 2017-8-27 00:13 编辑

本人不是电脑网络类专业,但对网络爱好,一知半解,义务成为单位的网管,有个问题想向大家请教:
1,单位直接光纤200M固定IP接入,使用神州双核出口网关(三四千元那种),关闭了NAT功能,方便上级过滤主机直接进行上网行为监控。
2.内网通过几个千兆交换机进行主线扩展,各办公室使用普通无线路由设置成胖AP,提供给台式电脑,平板,手机,笔记上网。
3.因为在单位使用的人多,密码随时被分享,所以设置WIFI密码没有意义,同时应上级部门要求设置了客户端设备MAC实名认证。没有经过MAC绑定的设备无法上网。


问题是:MAC过滤可以拒绝一般人使用网络,但稍微有点经验都知道可以克隆MAC地址,冒用他人身份上网。因为AP的存在,我想好久,都没有找到合适的办法,在保证绑定的台式电脑、平板、手机、笔记能正常上网,又必须按政府要求使用MAC实名绑定的同时,如何防止别人CW???有什么更好的方案呢?


结合本双核出口网关的功能我尝试过的办法均失败:
1.启动网关的PPPOE认证,给每个用户一个账号密码,可是手机没有PPPOE功能,所有手机不能上网所以不成立  
2.给每个设备开启网页认证服务,即在每个设备上网时需要在网页输入相应的账号和密码,认证通过后才能正常上网,但又被未绑定的手机用户被轻松翻墙,成功CW,所以也不成立                                                                                                                                                                                                                     3.给AP隐身,但有个别同事们很友好,到处告诉别人AP的名字!所以又不成立




主题

好友

1685

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-9-16 00:17 |显示全部楼层
本帖最后由 萃取闲情 于 2017-9-16 00:26 编辑
nowandthen 发表于 2017-9-15 06:22
1、自己都不能登陆就让同事瞎试,你还做什么网络管理?
所谓实验指的是自己搞两个路由器试试, 一个安装 ...

不好意思,多谢指教!我尝试过一个路由开启。但手机连接不到,就没有时间搞,单位的网络已经使用好久,不方便停网络去测试,被骂死。
单位里大部分人都是不懂网络,不懂手机,尤其女的,手机设置里的WLAN需要连接都不知道,整天哭上不到网,却不知道怎么安装了WIFI万能钥匙。唉,其实目的不是怕别人CW影响速度,200M下行,100M上行,再多的手机连接都能承受,那台双核网关,同时提供250台终端上网是轻松的事情。是领导担心,没有经过授权的人,CW时必须冒用他人的MAC,如果发生违法乱纪的网络事故,要担责。

至于破解WEB认证,他们用的是什么翻墙软件,总之,我发现他了,可是他提前保留了好多同事的MAC,所以做再多工作意义不大。

一来,单位要严格安装政府要求,MAC绑定,实名认证,并且关闭NAT功能,让上级服务器直接过滤和监测上网行为。太多的限制,动作起来很烦。

还有一点需要说明,我不是专业的网管,水平是非常业余级别,相对单位里好些人来说,软件 硬件 网络的综合能力稍微强点点,所以兼做网管,甚至工资都没有给我加。

不过很感谢你的指导,改天我找好设备,认真测试一下,看能不能达到我的要求。
回复

使用道具 举报

主题

好友

2598

积分

少校

该用户从未签到

发表于 2017-8-27 00:33 来自手机 |显示全部楼层
企业级叫radius认证。openwrt有freeradius跟coova实现web认证。也可以基于pki证书体系给特定客户端使用eap登录签发数字证书,再泄漏?直接惩罚性断网。
回复

使用道具 举报

主题

好友

5482

积分

中校

签到天数: 579 天

[LV.9]以坛为家II

发表于 2017-8-27 10:48 |显示全部楼层
公家的网让大家用用又有何妨?蹭个网能把你公司蹭黄了吗?严重鄙视
回复

使用道具 举报

主题

好友

2200

积分

少校

签到天数: 131 天

[LV.7]常住居民III

发表于 2017-8-27 13:41 |显示全部楼层
一个企业的网还怕蹭,太抠门了
回复

使用道具 举报

主题

好友

1308

积分

上尉

签到天数: 106 天

[LV.6]常住居民II

发表于 2017-8-27 16:30 |显示全部楼层
这种大水管让人家用用又不会怎么样?何必搞这么麻烦呢?
回复

使用道具 举报

主题

好友

1685

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-8-27 19:01 |显示全部楼层
dato 发表于 2017-8-27 00:33
企业级叫radius认证。openwrt有freeradius跟coova实现web认证。也可以基于pki证书体系给特定客户端使用eap ...

不能接入二级路由,因为政府部门要直接监控上网行为。只能接胖AP,即无线交换机的作用,所以用OPENWRT,不现实呢。
回复

使用道具 举报

主题

好友

1685

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-8-27 19:14 |显示全部楼层
harvold 发表于 2017-8-27 10:48
公家的网让大家用用又有何妨?蹭个网能把你公司蹭黄了吗?严重鄙视

情况比较特殊,不是一般公司,是事业单位。所以必须严格执行政府要求,上级部门有上网行为监测服务器,我们要开启MAC绑定,实名认证,去掉NAT转发功能,上级能直接监控到个人设备端IP,否则,有人CW未有实名,通过网络做些违法乱纪的事,公安网监部门过来找人,领导要担责任。这才是主要原因,并不是小气,不让人CW,其实单位200M的下行,100M的上行,随便C,对于网络本身一点事儿都没有!
回复

使用道具 举报

主题

好友

9948

积分

中校

签到天数: 632 天

[LV.9]以坛为家II

发表于 2017-8-27 19:39 |显示全部楼层
单位一般都严格管理
回复

使用道具 举报

主题

好友

1万

积分

上校

签到天数: 1 天

[LV.1]初来乍到

发表于 2017-8-27 20:24 |显示全部楼层
WEB认证一般没法蹭啊,不知道你那咋那么多高手,WEB认证都能破...
回复

使用道具 举报

主题

好友

866

积分

中尉

签到天数: 2 天

[LV.1]初来乍到

发表于 2017-8-27 21:43 |显示全部楼层
多加热点,启用弱信号踢除
这样旁边的人就不好蹭了吧!
回复

使用道具 举报

主题

好友

5906

积分

中校

签到天数: 555 天

[LV.9]以坛为家II

发表于 2017-8-27 22:29 |显示全部楼层
限制一下带宽,做一下访问过滤,让他们蹭去吧。
回复

使用道具 举报

主题

好友

1685

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-8-27 23:02 |显示全部楼层
hunanlonghao 发表于 2017-8-27 21:43
多加热点,启用弱信号踢除
这样旁边的人就不好蹭了吧!

这方法的确对被多人CW时,限制数量有效,但现在并不是多人CW,个别罢了,因为懂得通过改MAC脚本,写入手机从而冒充他人身份的人不多的。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-11-19 12:51

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表