Morten Siebuhr's questions

我正在尝试在 HP ProCurve 2524 上设置专用 VLAN（如Wikipedia中所述），但我在在线手册中找不到任何参考。

虽然我发现一些模糊的提示表明交换机可能根本不支持它，但搜索互联网也没有产生太多结果（我的 google-fu 在这里很弱）。

有人可以给我指点吗？（我找错地方了吗？该功能在 HP-lingo 中有不同的名称吗？还是我必须购买新开关才能获得支持？）

编辑：它将用于大约 20 apts 的公寓，所以这一切都是为了保护用户免受配置错误的 wifi 路由器和其他白痴的影响。交换机位于负责 NAT/QoS/DHCP 的 Soekris/PFSense 防火墙后面。

编辑№2：事实证明这一切都相当简单。更新交换机固件后（惠普在首次发布后 10 多年免费更新！），它是这样完成的：

> config
> port-isolation
Answer ‘y’
> port-isolation e 1-22 mode private
> show port-isolation
> write memory

现在端口 1-22（常驻）只能与端口 23/24（路由器/调试端口）通信。

我一直在尝试将我们的小型光纤网络从100BASE-FX升级到1000BASE-SX。电缆是 62.5/125 多模光纤，全部端接在带有 ST 插头（圆形插头）的接线板上。

据我了解，无论我能找到什么来源，这种组合应该可以正常工作......但是每当我测试网络的一部分时，它永远无法建立连接。

我试过用 3m 电缆直接连接光纤转换器，效果很好。但是，当我将它连接到我们最短的光纤线路（大约 5m（！））时，它就不能再工作了......

我们的硬件：

• 我们主要依赖于使用光纤转换器，因为当它们出现故障时更换起来更便宜。
• 我一直在尝试使用的 1000BASE-SX 是TrendNet TFC-1000MSC（目前标题为 1000BASE - FX，但规格（和机箱）显示为SX）。
• 这些建筑是丹麦遗产的一部分，所以我们不能改变太多。他们通过将网络放置在与电力干线相同的位置来安装网络 - 因此光纤......

关于为什么会这样，我有一些理论：

• 我错过了一些东西（RTFM &c.）
• 我们的插头不支持 1000BASE-SX。
• 我买错了硬件。

我正在为约 150 个用户建立一个无线网络。简而言之，我正在寻找设置 RADIUS 服务器以针对 LDAP 对 WPA2 进行身份验证的指南。在 Ubuntu 上。

• 我有一个可用的 LDAP，但由于它没有用于生产，它可以很容易地适应这个项目可能需要的任何更改。
• 我一直在研究 FreeRADIUS，但任何 RADIUS 服务器都可以。
• 我们为 WiFi 提供了一个单独的物理网络，因此无需过多担心这方面的安全问题。
• 我们的 AP 是 HP 的低端企业产品——它们似乎支持您能想到的任何东西。
• 所有的 Ubuntu 服务器，宝贝！

还有坏消息：

• 我现在的知识比我少的人最终将接管管理，因此设置必须尽可能“简单”。
• 到目前为止，我们的设置仅基于 Ubuntu 存储库中的软件，除了我们的 LDAP 管理 Web 应用程序和一些小的特殊脚本。因此，如果可以避免的话，就没有“获取包 X、解压缩、./configure”的东西。

更新 2009-08-18：

虽然我找到了一些有用的资源，但有一个严重的障碍：

Ignoring EAP-Type/tls because we do not have OpenSSL support.
Ignoring EAP-Type/ttls because we do not have OpenSSL support.
Ignoring EAP-Type/peap because we do not have OpenSSL support.

基本上，Ubuntu 版本的 FreeRADIUS 不支持 SSL（错误 183840），这使得所有安全 EAP 类型都无用。真可惜。

但对任何感兴趣的人都有一些有用的文档：

• http://vuksan.com/linux/dot1x/802-1x-LDAP.html
• http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius

2009 年 8 月 19 日更新：

我昨天晚上最终编译了我自己的 FreeRADIUS 包 - 在http://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html上有一个非常好的食谱（参见对帖子的评论以获取更新的说明）。

我从http://CACert.org获得了证书（如果可能，您应该获得“真正的”证书）

然后我按照http://vuksan.com/linux/dot1x/802-1x-LDAP.html上的说明进行操作。此链接指向http://tldp.org/HOWTO/html_single/8021X-HOWTO/，如果您想了解 WiFi 安全性的工作原理，这是非常值得一读的。

更新 2009-08-27：

遵循上述指南后，我设法让 FreeRADIUS 与 LDAP 对话：

我用密码在 LDAP 中创建了一个测试用户mr2Yx36M- 这提供了一个 LDAP 条目大致为：

uid: testuser
sambaLMPassword: CF3D6F8A92967E0FE72C57EF50F76A05
sambaNTPassword: DA44187ECA97B7C14A22F29F52BEBD90
userPassword: {SSHA}Z0SwaKO5tuGxgxtceRDjiDGFy6bRL6ja

使用时radtest，我可以正常连接：

> radtest testuser "mr2Yx36N" sbhr.dk 0 radius-private-password
Sending Access-Request of id 215 to 130.225.235.6 port 1812
    User-Name = "msiebuhr"
    User-Password = "mr2Yx36N"
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0
rad_recv: Access-Accept packet from host 130.225.235.6 port 1812, id=215, length=20
> 

但是当我尝试通过 AP 时，它并没有运行 - 虽然它确实确认它计算出了 NT 和 LM 密码：

...
rlm_ldap: sambaNTPassword -> NT-Password == 0x4441343431383745434139374237433134413232463239463532424542443930
rlm_ldap: sambaLMPassword -> LM-Password == 0x4346334436463841393239363745304645373243353745463530463736413035
[ldap] looking for reply items in directory...
WARNING: No "known good" password was found in LDAP.  Are you sure that the user is configured correctly?
[ldap] user testuser authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
...

很明显，NT 和 LM 密码与上述不同，但消息[ldap] user testuser authorized to use remote access- 用户后来被拒绝......

我在一个小型网络（约 200 个用户）上有一台 Procurve 2626；其中大约 100 个是一个端口，在运行配置中不时将其设置为“关闭”。

没有迹象表明为什么会在日志中发生这种情况。

从网上和惠普支持论坛上搜索，似乎其他人也有这个问题，但似乎没有找到解决方案。

由于重新布线网络非常困难，因此无法为用户使用多个链接。（建筑物中最古老的部分是从 1625 年开始的，所以仅仅考虑重新布线实际上是不可能的......）