小编Phi*_*lip的帖子

我是南非一所高中的网络管理员，在 Microsoft 网络上运行。我们在校园周围有大约 150 台 PC，其中至少有 130 台连接到网络。其余的是员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。

目前，我们的 wi-fi 访问仅限于这些员工所在的几个地方。我们正在使用 WPA 的长密钥，该密钥对学生不可用。据我所知，这把钥匙是安全的。

然而，使用 RADIUS 身份验证更有意义，但我对它在实践中的工作方式有一些疑问。

1. 添加到域中的机器是否会自动通过 Wi-Fi 网络进行身份验证？还是基于用户？两者都可以吗？
2. 如果 PSP / iPod touch / Blackberry / 等设备使用 RADIUS 身份验证，它是否能够连接到 WiFi 网络？我希望这发生。

我确实有支持 RADIUS 身份验证的 WAP。我只需要从 MS 2003 服务器打开 RADIUS 功能。

鉴于移动设备要求，使用强制门户会更好吗？我从机场的经验中知道可以做到（如果设备有浏览器）。

这让我想到了关于强制门户的问题：

1. 我可以将强制门户限制为仅限 Wi-Fi 连接设备吗？我并不特别想为所有现有的网络机器设置 MAC 地址例外（在我的理解中，它只是增加了 MAC 地址欺骗的机会）。
2. 这是怎么做的？我是否有单独的 WiFi 接入设备地址范围，然后强制门户会在两个网络之间路由吗？需要强调的是，WAP 与其他不会被强制传送的机器共享一个物理网络。

您的经验和洞察力将不胜感激！

菲利普

编辑：为了更清楚地了解 Captive Portal 是否可行，我问了这个问题。

我在不同部门运行带有交换机的学校网络。全部路由到中央交换机以访问服务器。

我想在不同的部门安装 WiFi 接入点，并在它进入 LAN 或 Internet 之前通过防火墙（一个 Untangle 盒，可以捕获流量，以提供身份验证）进行路由。

我知道 AP 连接到相关交换机上的端口需要设置为不同的 VLAN。我的问题是如何配置这些端口。哪些被标记了？哪些是未标记的？我显然不想中断正常的网络流量。

我说的对吗：

• 大部分端口应该是UNTAGGED VLAN 1吧？
• 那些连接了 WiFi AP 的应该是未标记的 VLAN 2（仅）
• 到中央交换机的上行链路应该是 TAGGED VLAN 1 和 TAGGED VLAN 2
• 来自外围交换机的中央交换机的传入端口也应该是 TAGGED VLAN 1 和 TAGGED VLAN 2
• 将有两条到防火墙的链接（每个链接都在自己的 NIC 上），一个未标记的 VLAN 1（用于正常的互联网访问流量）和一个未标记的 VLAN 2（用于强制门户身份验证）。

这确实意味着所有无线流量都将通过单个 NIC 路由，这也会增加防火墙的工作负载。在这个阶段，我不关心那个负载。

我管理着一个拥有大约 150 台机器的小型学校网络。我正在寻找一种简单的方法来将软件部署到所有机器上，而无需访问每一台机器。

我已经使用赛门铁克 Ghost 将所有机器都设置为相同，但对于一个应用程序，重新安装整个网络似乎太过分了。

过去，我使用过 Novell 的 ZenWorks，它通过 MSI 安装程序或在安装前后拍摄机器的快照，然后将更改推送到网络上的指定机器。

然而，这一次，我使用的是 Windows 2003 并且预算有限（即没有）。我一直无法了解组策略安装程序，所以也许如果有人能指点我一个好的操作方法，那也将不胜感激。

感谢您的帮助！

我们的网络目前在 192.168.0.x 子网中工作，除了少数几个具有硬配置 IP 地址设置的主服务器外，所有子网都通过 DHCP 进行控制。

如果我将 DHCP 发布的子网掩码从 255.255.255.0 更改为 255.255.0.0，我会杀死什么？

这样做的原因不是因为我们有大量的机器突然涌入，而是因为我想开始将特定设备划分到特定的 IP 范围（为了整洁）。就其价值而言，我不打算更改分配的 DHCP 地址范围，而是希望将一些保留和排除的 DHCP 地址移出地址池。

例如打印机将是 192.168.2.x

我显然需要在手动配置的设备上手动更改子网掩码。

我管理着一个相当小的网络（大约 150 台机器）。我们有一个 DHCP 服务器，为网络上的所有机器设置了保留区，并在整个范围内设置了一个禁区，以便只有已知的机器才能获得 IP 地址，从而获得网络访问权限。

但是，这种做法是希望通过默默无闻来获得安全性。

有可能通过使用自己配置的 IP 地址插入外部设备，其他机器可以访问网络。

有什么办法可以防止这种情况吗？有没有办法让网络上的机器忽略来自未由 DHCP 分配地址的计算机的流量？

我在一所拥有大约 500 名网络用户的小型高中运行 IT 部门。为此，我们一直在使用 SurfControl，这很方便，因为它可以很好地返回到 MS ActiveDirectory。我们目前在 ISA 之上运行它。然而，SC 现在已经报废了一段时间，它的 Websense 替代品完全超出了我们的预算。

我知道有像 Dan's Guardian 之类的东西允许对鱿鱼进行内容过滤，但我不确定他们是否了解 ActiveDirectory 或 AD 的 LDAP。

有没有人有这方面的经验？

我们使用内容过滤来阻止不适合未成年人的“明显”类别，然后在上课时间阻止其他类别以节省我们有限的带宽。屏蔽广告是 SC 的一大优势 :-)

我们需要与 ISA 代理身份验证无缝配合的身份验证和日志记录控制。

我已经安装了一些 linux 桌面，但这有点超出我的深度。我从哪里开始？