是否可以将 LAN 上的防火墙规则应用于 LAN 数据包?
想象一下以下架构:
要获得有效的 IP,客户端必须使用 802.1x 针对 pfSense 的 radius 服务器对 PfSense LAN 网络进行身份验证。
之后,Client1 和 Client2 之间发送的所有数据包都将由 PfSense 防火墙管理和过滤。
这种架构可能吗?有什么注意事项吗?
我正在使用 FreeRadius 和带有 802.1x 身份验证的 Ubitquiti WiFi AP,使用 EAP-TLS(基于互客户端/服务器证书的身份验证)。这适用于静态 VLAN(即在 AP 上指定)。
我想将 VLAN 分配卸载到 Radius,以便可以将不同的用户分配到不同的 VLAN。
我不确定如何使用 EAP-TLS 来做到这一点。我在网上找到的所有文档都使用用户文件,但使用的是其他 EAP 方法。
所以,我把它放在我的 /etc/freeradius/users 文件的顶部:
DEFAULT Tunnel-Medium-Type = 6
Tunnel-Private-Group-ID = [12],
Tunnel-Type = VLAN
但是,Radius 没有分配 VLAN。
我不知道从这里去哪里。也许我需要 /etc/freeradius/eap.conf 的 tls 部分中的某些内容来告诉它使用用户文件?
感谢您的帮助,谢谢!
如果创建了 802.1q,Ethertype 字段将更改为 0x8100,这意味着它的含义 - 它是一个 802.1q 帧。
但这意味着 Ethertype 不再用于标记更高级别的协议,例如 0x0800 用于 IPv4。
丢失 IPv4 标记的 Ethertype 字段和具有 802.1q 标记的帧的后果是什么?假设 L3 协议没有改变。
谢谢你。
假设您正在规划一个基于接入点的网络,这些接入点支持 2.4Ghz(b/g/n) 上的所有 802.11 协议。一组混合的客户端将如何影响通过接入点的可能的总吞吐量?
例如,假设我们有以下场景:
第二个客户端能否传输 65 Mbps(即第一个客户端使用“一半的频谱”)?或者他可以只使用 ~5 Mbps(即最低公分母设置速率)?或者现实是完全不同的东西?
我正在使用一个 2008 r2 dc,它也执行 Radius (NPS),我还有一个 2008 r2 证书颁发机构正在颁发证书。计算机正在获取证书,并且当用户登录到设备(之前已登录)时,将被放入正确的 VLAN(根据那里的用户访问)。但是,我无法让计算机在登录之前加入无线网络,以便他们可以使用其域帐户登录并通过无线进行身份验证。基本设置是计算机获取组策略,该策略告诉它获取证书,然后计算机有一个单独的 vlan 作为计算机帐户加入,但是无线计算机不会通过该 vlan 连接。(此 VLAN 仅在验证用户凭据后才允许登录信息,它会将它们放入另一个 VLAN)。
所以我想弄清楚为什么笔记本电脑不会像电脑一样自动连接到无线网络。
谢谢
忘了提Win 7 ent客户端。
编辑:我得到了这个工作但是我有一个问题,如果没有证书的人(例如 iphone)一旦你选择接受它就会提示他们是否要接受证书,它会让你加入网络。我试图让您的设备必须属于某个组,但是当这种情况发生时,即使是正确组中的有效计算机也无法加入。有没有其他人经历过这个?
有人对企业网络部署的无线网络负载测试方法有什么建议吗?
我们有大量不同的无线最坏情况需要支持。
因此,我们计划购买新一代 802.11 网络,我们对现有供应商不满意,因此将进行叉车升级。
有没有什么方法可以在不购买 800 台笔记本电脑和雇佣学生机器人“假装”上网或做作业的情况下模拟上述这些用例?当我们进行烘焙时,如果我们可以在可控且可重复的环境中做事,那就太好了。
我知道ixia测试设备似乎可以满足我们的需求,但如果没有如何正确进行测试的专业知识,我不确定我们是否能做对。那么,除了这个东西的替代品(或者这些东西中随机放置在建筑物周围的 5 个)之外,是否有任何公司出来进行全站点测试?
另外,假设我有一个带有 atheros 无线电的 linux / freebsd 盒子——有没有什么好的工具可以检查现有的无线流量,以提供频谱利用率、数据包重传等的细分?
我已经使用 AD、证书服务、NPS 和 RRAS 设置了新的 Windows Server 2008 R2 安装。我已经设置(使用向导)使用 Airport Extreme 作为我的 WAP 的 802.1x 身份验证策略,确保正确的证书和用户组可以访问。我的无线客户端能够很好地连接到 WAP,但是在发送凭据时它们变得无响应。我在错误控制台中看不到任何错误。对于笑声和咯咯笑声,我给了 WAP 一个错误的共享秘密密码,Windows 正确地出错了。将其恢复到正确的共享密钥后,即使客户端无法连接,我仍然看不到任何错误。
我什至启动了 Wireshark 看看发生了什么,我看到身份验证数据包被转发到服务器。我还看到服务器返回的似乎是证书,但我的客户端(Windows XP/7、iPhone 等)都没有响应发送的响应。
使用与 Win2k3 盒子相同的设置,我可以很好地设置它。
为什么这在 Windows 2008 R2 中不起作用?
2009 年 8 月 18 日更新:我决定重新安装几次 R2 无济于事。出于笑声和笑声,我安装了一个普通的 Windows Server 2008 的 SP2 副本。使用相同的设置、硬件、网络拓扑、NPS 访问策略,它按预期工作得非常好。我不完全确定,但我将把它归结为 R2 中的一个错误。 有其他人能够在 Windows Server 2008 R2 上获得 802.1x 无线吗???
使用 Windows 7 我无法使用 802.1x 设置连接到无线网络。我已经将它配置为在 Vista 中使用证书并选中使用替代凭据复选框 - 但是它每次只提示输入域用户名并且不会让我指定不同的用户名。