Swa*_*der 5 router centos authentication vlan radius
我们公司有以下设置:一台装有 CentOS (gw) 的网关 PC,运行 Radius 和一些流量过滤程序。我们所有的员工都以无线方式连接,并且我们采用了 WPA2 企业加密。用户位于 gw 上的 MySQL 数据库中,并且在那里定义了他们的用户角色 - 决定哪个用户可以访问哪个 SSID。我们有 4 个 SSID(因此,4 个 VLAN),因此现在有 4 个用户组 - 每个都有自己的关于 QoS、带宽限制等的规则。
网络运行良好,除了一个问题——当用户认证错误时,他得不到任何反馈。WiFi 客户端(每个人都在使用 iMac 和 Macbook,IT 中只有几个 Windows/Linux 机器)陷入某种不确定状态,他说他已连接,但没有有效的 IP,因此无法访问互联网。由于 MacOS 会默认记住密码,因此他得出结论,他已成功连接,并且不再要求输入密码。这意味着任何进行无效登录的人都会被它卡住,直到他们从存档中删除记住的密码。正如您可以想象的那样,对于一个拥有 80 多人的快速发展的公司来说,这非常乏味。
我们的 AP 是 WRT54GL,其中 DD-WRT 作为固件安装。
似乎 AP 上的 Radius 客户端没有向员工计算机上的 WiFi 客户端发送任何正确的反馈。有没有人有这种设置的经验?如何解决这个没有反馈的问题?更好的 AP 会是答案吗?我一直在研究 Cisco 的 WAP2000。成本不是问题。
这是我们的 eap.conf 文件中 mschapv2 上面的注释:
#
# This takes no configuration.
#
# Note that it is the EAP MS-CHAPv2 sub-module, not
# the main 'mschap' module.
#
# Note also that in order for this sub-module to work,
# the main 'mschap' module MUST ALSO be configured.
#
# This module is the *Microsoft* implementation of MS-CHAPv2
# in EAP. There is another (incompatible) implementation
# of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
# currently support.
#
如果您确定成本不是问题,那么购买真正的思科接入点(如思科 Aironet),如果可以的话,避免使用 linksys。
http://www.cisco.com/en/US/products/hw/wireless/index.html
Linksys 适合家庭和小型办公室。但不建议用于更大的东西。
您甚至可以获得 WLC(无线局域网控制器)。这是一项更大的投资,但值得。您可以从中央位置管理您的应用程序,无线客户端也可以受益,因为它可以管理您的通道设置、天线功率级别和客户端漫游。
更新(回复评论):我在家使用wrt54gl,一般来说它工作得很好,但如果我高速下载,无线部分可能会死掉(可以通过重新启动来修复)。开关功能是在CPU中实现的。如果将大文件从一台计算机复制到另一台计算机,CPU 使用率会显着上升。cpu使用率高的话就不太稳定了。
update2:没有 WLC 并不是绝对必要的。我什至在工作中没有一个,但我想这样做,因为它只会让事情变得更容易。要测试您的 AP 是否导致了问题,请获取 Cisco(独立)Aironet AP(仅一个)并使用相同的设置对其进行测试,看看它是否可以解决您的问题。我相信您可以从一家不错的供应商处获得试驾机会。
| 归档时间: |
|
| 查看次数: |
934 次 |
| 最近记录: |