少校
- 注册时间
- 2012-10-13
- 金币
- 2770 个
- 威望
- 4 个
- 荣誉
- 0 个
累计签到:234 天 连续签到:0 天 [LV.365]无线熟人
|
发表于 2017-8-27 00:04
本人不是电脑网络类专业,但对网络爱好,一知半解,义务成为单位的网管,有个问题想向大家请教:
1,单位直接光纤200M固定IP接入,使用神州双核出口网关(三四千元那种),关闭了NAT功能,方便上级过滤主机直接进行上网行为监控。
2.内网通过几个千兆交换机进行主线扩展,各办公室使用普通无线路由设置成胖AP,提供给台式电脑,平板,手机,笔记上网。
3.因为在单位使用的人多,密码随时被分享,所以设置WIFI密码没有意义,同时应上级部门要求设置了客户端设备MAC实名认证。没有经过MAC绑定的设备无法上网。
问题是:MAC过滤可以拒绝一般人使用网络,但稍微有点经验都知道可以克隆MAC地址,冒用他人身份上网。因为AP的存在,我想好久,都没有找到合适的办法,在保证绑定的台式电脑、平板、手机、笔记能正常上网,又必须按政府要求使用MAC实名绑定的同时,如何防止别人CW???有什么更好的方案呢?
结合本双核出口网关的功能我尝试过的办法均失败:
1.启动网关的PPPOE认证,给每个用户一个账号密码,可是手机没有PPPOE功能,所有手机不能上网所以不成立
2.给每个设备开启网页认证服务,即在每个设备上网时需要在网页输入相应的账号和密码,认证通过后才能正常上网,但又被未绑定的手机用户被轻松x,成功CW,所以也不成立 3.给AP隐身,但有个别同事们很友好,到处告诉别人AP的名字!所以又不成立
|
|