iT邦幫忙

0

一般公司如何建置內部與訪客無線網路

匿名 2014-11-22 21:25:5721521 瀏覽

請問大家,一般公司如何建置內部與訪客無線網路?
因為經驗比較少,剛好公司這邊有打算將原本用於工作的wifi提供給訪客,但是考量安全性問題,所以打算另外提供訪客ssid使用,想了解一下,一般公司都是怎麼處理這方面的需求?
1.是向中華電信另外申請光世代,重新拉線至所要提供訪客用的存取點?
2.使用切vlan方式?
3.其他
另外想在請問,像在醫院或學校,通常搜尋到他們的wifi,都會需要網頁在登錄,這技術是使用RADIUS?
謝謝大家

方法很多樣
vLan 基本上切開 來賓和員工 網路 ex VigorAP810/900 可以帶 Tag vlan甚至有實體的雙Lan的
Radius/Firewall 本機驗證 ex Vigor2925/MHG/UTM之類的
現在還有 FB打卡驗證後上網的 MHG-450
也有免費的軟體可以做這一段的 ex pfsense
4
mytiny
iT邦大師 1 級 ‧ 2014-11-22 23:55:44
最佳解答

一般公司建立內部與訪客無線網路系統
其實多半與家用的情況一樣,方法非常老舊而不專業
簡單的說,就是從防火牆再建一個DNZ來拉一條線接無線基地台
方法等同於再加一條XX電信,或是內網切一個Vlan,意思都是一樣的
總之有無線網路就好,省錢就好,會通就好。

感謝賈伯斯,改變了這個世界
當你的重要客戶去你老闆桌前,
或者去你的產線觀看進度時,
他會拿出iXXX,問你,有沒有Wifi可用時
MIS就會整個遜掉了
用會議室的wifi離得遠,訊號打不到
用員工的wifi原本就已經很塞車,更別說一點都不安全,資料大曝光
可惜iXXX又沒有網線可以接,咋辦???

至於認證的問題真是不足道焉
家用的也可以做個本地的帳號群
或是中間彈出網頁要求帳密,後面丟給RADIUS,LDAP,AD等等
可以參考之前有網友提過的問題,如下
http://ithelp.ithome.com.tw/question/10153921

一般公司真的很多都這麼做的
所以,他們很多真的都是一般公司

看更多先前的回應...收起先前的回應...
peterkoo iT邦新手 1 級 ‧ 2014-11-24 13:49:33 檢舉

DMZ O_O?

mytiny iT邦大師 1 級 ‧ 2014-11-24 22:26:48 檢舉

Sorry,打錯字,是DMZ
意思是再從防火牆上另外分隔一個網段
好與原先內部網段分離開來

匿名 檢舉

現在訪客要用,我都說正在規劃,整個遜掉XD
不過使用DMZ方式,這樣有辦法讓同台AP(多SSID)提供內部與外部 兩個不同網段?

mytiny iT邦大師 1 級 ‧ 2014-11-29 17:08:01 檢舉

同台AP有多個SSID需要Switch上有VLAN配合設定
試問當你每次新增一個SSID,結果全公司每台switch都得要設一次VLAN
更何況VLAN之間是否會資料流通造成安全性問題也需要考慮
其實小弟是非常不贊成用這種方式的
也不贊成用DMZ的方式來接無線網路
只是因為大大問的是"一般"公司怎麼做

事實上現在已經有防火牆內建無線網路控制器
提供無線網路控制器 => 免費
無線基地台授權費 => 免費
訪客認證系統 => 免費
設備辨識管理BYOD => 免費
IP地理位置識別 => 免費
私接無線網路發放偵測抑制 => 免費
大大可以找專業點的SI公司詢問看看

0
murphy0720
iT邦新手 1 級 ‧ 2014-11-22 23:40:35

現在市售的無線基地台AP都有 多SSID 的功能,可以設定某個 SSID 公開給訪客使用,IP可以與公司使用的不同網段。

匿名 檢舉

謝謝,剛查看AP有多SSID的功能,想知道這樣安全性如何?

0
randoll
iT邦新手 4 級 ‧ 2014-11-24 10:05:43

問題點應該是在於
怎麼樣把 客戶的無線跟內部區隔開

多SSID 是各方向,但是需注意,封包是否有辦法分開
市面上,家用多SSID的AP,不同SSID之間的封包還是有辦法溝通
這各需注意

網頁登入帳號密碼的技術,不一定需要 RADIUS
User--> AP --->(網頁帳號CHECK)FIREWALL-- > internet
帳號密碼可以建再 Firewall 上

給你的建議,找一台多SSID又可以支援VLAN的設備
透過SSID + VLAN(SWITCH) 整個區隔客戶與內網封包
這樣子會比較符合你的需求

迷之音 :
事會不會要求,客戶要可以跟內網有限定的溝通..Orz ....

2
hanker
iT邦新手 3 級 ‧ 2014-11-25 08:40:29

一、切 VLAN 讓客人用的 SSID的 DHCP IP直接從防火牆出去,不會進入內部網路。

二、拉一條便宜的線路直接用一般AP,跟公司用線路分開。如果有拉線的問題,就直接用WDS做橋接就可以解決。

2
plinius
iT邦新手 4 級 ‧ 2014-11-27 09:47:34

我提供我們公司的作法給你參考。
1.當初Survey後選擇了Aruba的Controller(Aruba-650)和無線AP(Aruba AP-105)。
2.在Aruba上,切了兩個Vlan搭配兩個SSID,一組SSID員工用,另一組SSID來賓用,因此員工需以員工SSID連線,訪客需以來賓SSID連線。
3.員工的IP由DHCP派(鎖Mac Address),另在Aruba-650上的認證,員工的帳號密碼用的都是Mac Address,在授權上設定成直接通過,因此員工無須打帳號密碼。如果有限制電腦可上Internet和不能上Internet,在授權上也可直接搞定(以電腦為主,非員工)。
4.訪客的IP由Aruba-650來派(不鎖Mac Address),但必須透過開啟網頁來輸入公司給予的帳號密碼,訪客開啟網頁後就直接導入Aruba-650要求輸入帳號密碼的網頁,至於訪客的帳號密碼需依程序申請,由櫃台透過網頁連到Aruba-650來設定使用期限,再由Aruba-650給予帳號密碼,當使用期限過期後,這組帳號密碼便會失效,訪客自然無法上網。
5.員工若使用訪客SSID連線,除非取得訪客的帳號密碼,否則便無法使用;訪客若使用員工SSID,因為鎖Mac且要在Aruba-650以Mac當帳號密碼做認證,所以訪客也進不來公司的網域。
6.員工和訪客屬於不同VLAN,因此防火牆上並不設定通道,也就是將公司網域和訪客的VLAN直接切開,員工若取得訪客的帳號密碼連線訪客SSID,也進不來公司網域做事,間接自費其功。
7.補充以上第3點,在Aruba-650上限制無線連線的電腦可否上網外,我們也利用有URL Filter的設備(Paloalto)來限制員工可否上網以及不同的員工可上哪些網頁。
8.補充以上第4點,訪客的上網內容,我們也在有URL Filter的設備(Paloalto)來做限制,並不是無限開放。
9.最後,如果員工或訪客用手機連線上網,那以上寫的就一點用途都沒有,如果無法限制智慧型手機,那就可考慮是否用Aruba-650來設定AP-105訊號佈得到的地方進行3G頻道干擾(4G不清楚可行否),缺點是可能會干擾到鄰居公司的智慧型手機。

以上,希望對你有幫助。

0
joehuang
iT邦新手 5 級 ‧ 2014-11-27 10:53:48

因為對Arbua的方案有興趣,剛剛查了Google有關Aruba的資訊...
讓我查看到南部某家商2013年建置過類似的案子:
使用一台 Arbua 650 (32個AP授權) + 網管型交換器 + 九台 AP 92 包含天線 施工....等 總共花費874000元~
光是一台 Arbua 650 (32個AP授權) 要 300000元

以我們公司將近五百坪地上地下共九層 這樣的無線網路範例案件的花費
通常是 簽不下來的~~ (無奈ing~)

我們使用光世代大約三條 使用家用30坪以上的無線AP各一台 很單純的切開了~
主要辦公會議區 使用防火牆切vlan 利用DHCP放出IP (資安艦隊 80C)
上面加一台陽春的UTM頻寬管理器 (17萬)
管理上 每台設備都獨立 單純
大約使用了五六年 總的來說 包含連線的費用比上面我描述的還省~
提供參考~

看更多先前的回應...收起先前的回應...
plinius iT邦新手 4 級 ‧ 2014-11-27 12:16:46 檢舉

提供我們公司的約略費用,Aruba 650+8 AP授權+64User同時上線授權+5台 Aruba AP-105+三年保固=不到20萬。
由於我們Survey時有借測5台AP就搞定了,因此僅買8台AP授權,因此規劃上只要考量好並不會花太多錢。
另同一區的共三層樓只要一顆AP放在中間層就可以了,因為樓上樓下訊號都過得去,這是我們實際使用的心得。

joehuang iT邦新手 5 級 ‧ 2014-11-27 14:23:21 檢舉

感恩~ 不是想像中的 ~貴~
希望我能有機會使用到這樣棒的解決方案~^^~

mytiny iT邦大師 1 級 ‧ 2014-11-29 17:15:49 檢舉

大大真的是太可惜了
公司已經有現成的無線網路控制器不用,實屬浪費
請將您的FG-80C升級到OS 5.X
此時已經提供無線網路控制器 => 免費
無線基地台授權費 => 免費
訪客認證系統 => 免費
設備辨識管理BYOD => 免費
IP地理位置識別 => 免費
私接無線網路發放偵測抑制 => 免費
另外預估你也有UTM的服務
因此URL過濾 => 免費
應用程式管控 => 免費
您要做的紙需要去買同牌無線基地台就好
費用將不超過五萬元
請找SI詢問看看

hank1204 iT邦新手 4 級 ‧ 2015-01-09 09:25:47 檢舉

大大您好:
我是永磐科技的SI業務Hank,
看見您的文章有一些網路需求
我們公司經營項目包含資安以及網路規劃
服務及支援部分完善
如果有需求可與我聯繫
謝謝!
e-mail:hank_ting@mikotek.com.tw
tel:0921-018-044

0
fw1993
iT邦新手 5 級 ‧ 2017-11-02 11:22:23

建議可以試試看4ipnet的客網登入系統囉,
台灣很多企業的訪客認證系統都是我們做的^^
像是內建的手機簡訊/email認證、問卷調查,或是其他傳統的LDAP/Radius都可以整合囉~

我是4ipnet的台灣區業務小吳,
如果有需要我可以為您做更詳細的介紹囉~
e-mail: francis.wu@4ipnet.com
tel: (02)27187-000
mob: 0988-616281

我要發表回答

立即登入回答