公司有笔记本要用无线,知道密码了以后,刷刷的手机都连上了,有没有什么好方法?上千块的路由器都死过机了。
看了下路由器,有 web 认证,这个 web 认证的是不是只能 wifi ?有线没有影响吧。
mac 地址过滤维护起来太麻烦。
1
churchmice 2017-08-10 08:44:21 +08:00 via Android 7
认证界面做成 IE only ?
|
2
lieh222 2017-08-10 08:45:49 +08:00
wlan 是独立的网卡,可以针对 wlan 做限制,lan 不做限制
|
3
kx5d62Jn1J9MjoXP 2017-08-10 08:47:35 +08:00
换种方式解决问题吧, 不让人用手机连 WiFi, 这是赶人走的节奏吗
|
4
smallfount 2017-08-10 08:48:37 +08:00
web 认证手机也能过啊...没卵用的。。
要隔离手机就要用 radius 证书验证....机器没证书就连不上 |
5
akirahaku 2017-08-10 08:55:03 +08:00
换 WPA2 Enterprise,每个账号只允许一台设备登录。
|
6
lang1pal 2017-08-10 08:56:07 +08:00
手动 ip 一人一个 可行吗?
|
8
LosLord 2017-08-10 09:05:32 +08:00 via Android
多弄几个路由呗,一个路由才多少钱
|
9
nbweb OP @lang1pal 可行,但是有十多台机器和 ps4 要连网,测试时要自动获取 ip,无解了。
@LosLord 主路由一个,24 口交换机一个,无线路由器 5+个,都是好东西,全是千兆的。 目前是有部分设备需要用到 hdcp,电脑倒无所谓,一个分了一个 ip,dhcp 也不能关,艹的。 @smallfount radius 认证不知道麻烦不,公司有个文件服务器是 2008 的,上面跑了两个 vbox 的虚拟机,一个是 git,一个是 shadowsocks 服务器。看了一下主路由器,认证里面有 radius 认证。想请教一下,如果认证服务器弄好了,客户端怎么个搞法?从没接触过,非常感谢。 |
11
jinhan13789991 2017-08-10 09:22:52 +08:00
路由器的无线速度是和连接数量有关系的。 一个 5G 的天线是 433M 的速度,也有 866M 的。
每连接一个用户,速度就会除以人数。 所以,好的解决方案是在办公室覆盖无线 AP, 分散无线的压力。 |
12
ixiaohei 2017-08-10 09:24:30 +08:00
你们多少人,上千块钱的路由器都死机,估计限制手机也会死机吧。
|
13
zjyd 2017-08-10 09:26:46 +08:00
哪有不让用 wifi 的公司。。。没公用 wif 人手一个 360wifi 反而干扰死
|
14
dr3am 2017-08-10 09:30:34 +08:00
有一种东西叫做上网行为管理,可以识别移动端 or 电脑端,并且能只把移动端上网络流量干掉。而且还有附加功能就是防私接,也就是不让私联 360wifi 等,目前业内做的最好的是深信服和 360 网康。。。。
|
15
dream7758522 2017-08-10 09:31:59 +08:00 via Android
路由器加白名单就行了
|
16
XiaoXiaoNiWa 2017-08-10 09:34:35 +08:00 via Android
深信服
|
17
xfspace 2017-08-10 09:37:57 +08:00 via Android
遇到性能瓶颈?申请换!
|
20
johncang 2017-08-10 09:45:10 +08:00
限制 WiFi,好多人都用移动网络
|
21
changwei 2017-08-10 09:54:43 +08:00 via Android
直接装 2.4ghz 信号屏蔽器
|
22
flyz 2017-08-10 09:57:43 +08:00 via Android
pppoe,连上 wifi 在拨号
|
23
whileFalse 2017-08-10 09:59:10 +08:00
能问问上千块的路由器什么型号吗
|
24
edwardaa 2017-08-10 10:34:51 +08:00 via iPhone
再拉条线路,而且思科上千的路由器应该不会有这种情况
|
25
nullen 2017-08-10 10:39:12 +08:00
分开两个网络:
1、办公网络:通过公司采购的电脑 MAC 地址都知道,直接加过滤; 2、公共网络:不限定 MAC,做总带宽限制。 |
26
datocp 2017-08-10 11:11:00 +08:00 3
对于私人手机从来是宜疏不宜堵,不然找麻烦的特别多,老板要用微信沟通呢,什么没有无线网,要用自己流量,我还是辞职吧。。。员工总是有很伟大的理由。。。
减少对无线 AP 的压力,只能是让 AP 接入一定量 30 左右的高信号强度的客户端。即便你做了 radius 虽然不能通过认证上网,它们依然连接在 AP 上,这个我没仔细考证,当时也是因为公司设备太多,最后 mac 过滤全部做在核心交换机上,虽然手机是不能上网,但是它们依然连接在 AP 上获得的是 169.ip 。。。等于没解决。。。 如果你有 openwrt 之类的 linux 设备,类似问题根本就不是问题。linux 的 shell 编程逻辑处理,是其它所谓的企业级路由根本无法比的。 1 你的主路由要能处理 QOS,这才是整个网络拥塞的关键部分 2 对 ip 进行划分,它应该包含公司客户端 ip 段(static dhcp),公司网络设备 ip 段,用于 dhcp 分配的 ip 段 3 用脚本进行弱信号踼除。 4 对非法的手机 mac 进行识别处理 5 通过 curl 或者 sshpass 进行远程登录重启 AP,每天来一次 === 1 我们公司主路由 49 块钱的优酷路由宝刷 lede,8mbps 实施了动态 QOS。 2 外围 8 台 AP,其实都是非常普通的家用级别的 AP,平时 80+数量有的。 3 ERP 系统专用的 AP,做了 mac 限制,只稍许 4 台笔记本连接。其它的 AP 能上弱信号踢除的全部实施了 4 每天在 openwrt 通过 curl 或者 sshpass 进行远程登录 ap,控制 ap 重启。 ===远程登录重启 AP #curl -D -s --header "Referer: http://192.168.188.99/userRpm/SysRebootRpm.htm" -u "admin:password" "http://192.168.188.99/userRpm/SysRebootRpm.htm?Reboot=Reboot" curl -u admin:password -d onclick="confirmreboot();" "http://192.168.1.110:8080/goform/rebootsystem" sshpass -p password ssh -y -p 22 [email protected] reboot ===过滤手机 mac,可以在 ap 里做 mac 过滤,可以在主路由做 ipset 禁止连外网 #!/bin/sh cd /mnt/sda1/da xcl=/mnt/sda1/da/w.tmp _f=/mnt/sda1/da/b.tmp; #>$_f #if [ ! -f $xcl ]; then wmac="C8:AA:21:CB:C5:37 F4:F1:5A:EB:9A:00 50:EA:D6:2E:CA:AA 20:02:AF:BA:60:43 90:18:7C:45:7A:54 18:9E:FC:7F:CA:F2 6C:3E:6D:25:5C:70 38:48:4C:70:4D:50 98:D6:BB:48:A9:E0 68:96:7B:EA:29:C0 4C:8D:79:96:06:E9 98:03:D8:BE:0C:69 1C:B0:94:D1:01:2C E8:99:C4:E7:C9:D9 F8:1E:DF:8F:A5:04 38:AA:3C:EC:74:3D 38:BC:1A:00:08:53 60:FA:CD:77:22:CE D8:B3:77:32:73:B4 94:94:26:A6:E1:89 04:46:65:E5:57:5B 74:E2:F5:79:30:5A 98:D6:F7:61:78:9D F4:F1:5A:E2:53:EE 60:21:C0:92:C6:2F 98:D6:BB:39:97:1E" echo $wmac |tr ' ' '\n'>$xcl #;fi arp|grep ndroid>t.tmp arp|grep iPod>>t.tmp arp|grep Phone>>t.tmp arp|grep iPad>>t.tmp arp|grep BLACKBERRY>>t.tmp cat t.tmp|cut -d ' ' -f4>>b.tmp while read mac;do sed -i -e "/^${mac}$/d" $_f;done < $xcl cat b.tmp|grep -Eo ..\(\:..\){5}|awk '!i[$1]++' >>ptmp.tmp #过滤 mac 去重复 cat ptmp.tmp|awk '!i[$1]++'>pblack.lst #过滤 mac 去重复 cat pblack.lst | tr A-Z a-z 注意 mac 格式为大写字母不然匹配有问题 sed 's/xxx/yyy/i' filename 注意那个'i'就是大小写不敏感 |
27
pqee 2017-08-10 11:18:58 +08:00 via Android
那就把网络搭的牛逼一点呀……这思路感觉是政府监管部门的思路
|
28
nbweb OP @datocp 车间员工人手一个手机,连上网络根本跟工作一点都沾不上,员工上班也不需要网络,完全是自己私人用。办公室员工都有笔记本和台式机,工作用 qq,邮箱,工作从不用微信沟通,大多是邮件和 qq。我们只是想让工作用的设备能正常,也就 60 台不到的电脑,现在连了 170 多个设备。也就是说,手机连到公司网络,已影响到正常的办公了,手机上网完全是私人化的了,与工作不相干。所以才想清理手机,把正常工作的电脑搞正常。
目前我用 debian 搭了一个 dns 服务器,一个 shadowsocks 服务器,其中 ss 用的是 ipset 管理 ip 段,如果用 ss 这台服务器来做网关,是不是可以限制一些?求教,谢谢。 |
29
datocp 2017-08-10 12:03:57 +08:00
用上面的脚本获得非法手机 mac 以后,剩下的就是网关 blcok 掉,只是这种做法会导致手机依然连接在 AP 上,只是不能上外网而己。
root@ww:/da# cat ipset.sh #!/bin/sh iptables -F forwarding_rule ipset destroy block_mac ipset create block_mac hash:mac for i in `cat /da/blockmac.lst`;do ipset add block_mac $i;done #ipset list block_mac ipset destroy block_ip ipset create block_ip hash:ip for i in `cat /da/blockip.lst`;do ipset add block_ip $i;done iptables -I forwarding_rule -m set --match-set block_mac src -o pppoe-wan -j REJECT iptables -I forwarding_rule -m set --match-set block_ip src -o pppoe-wan -j REJECT |
30
smallfount 2017-08-10 12:29:08 +08:00
@nbweb 感觉你没域控的?我们是用域控下的证书服务器生成机器的证书然后在无线上使用 radius 智能卡证书验证过 PC 的。
如果没有 PKI 构架存在并且机器加域什么都完善的话,还是别搞这个 手机会有独立的 VLAN 划分跟内网隔离开直接出公网。。。 |
31
hjc4869 2017-08-10 12:59:19 +08:00
我们公司的内网 WiFi 用的 WPA2 Enterprise,电脑要加域装证书才能连接。
手机 /访客用的另一个 Open 的 WiFi,是隔离的,web 认证。 |
32
paradoxs 2017-08-10 13:07:42 +08:00
斐讯 K3,不要钱,买几十台覆盖公司每一个角落。
一台能带 200 个设备 |
33
jiangzhuo 2017-08-10 13:09:26 +08:00
思路是
在 ac 上判断来的 mac 是什么设备,理论上应该能判断,是手机就让 ap 断开 公司的测试机走有线网 领导的手机加白名单 弄个公共 wifi 限速隔离谁愿连谁连 |
34
17176619734 2017-08-10 13:25:48 +08:00 via Android
pppoe, 所有厂商都有 PC 客户端,手机不能装 exe 客户端基本就废了 。不过 USB 随身 WiFi 就是解决这个问题的
|
35
coderluan 2017-08-10 14:19:15 +08:00
楼主现在有没有发现,其实 mac 地址过滤 是最简单的办法。
|
36
LancerEvo 2017-08-10 15:20:02 +08:00
我司已经 mac 了 LOL 手机只能连 xxx-guest
|
37
amu 2017-08-10 15:26:14 +08:00
收集 mac, 白名单, 多好
|
38
smithtel 2017-08-10 15:47:23 +08:00 via iPhone
mac 过滤
|
39
zhihaofans 2017-08-10 18:26:37 +08:00 via Android
锐捷
|
40
ly529 2017-08-10 18:32:47 +08:00
连个 WiFi 都不让用也是醉了
|
41
lan894734188 2017-08-10 18:40:19 +08:00 via Android
capsman
|
42
nlysh007 2017-08-10 18:47:29 +08:00
白名单一劳永逸~
|
43
UnknownR 2017-08-10 21:58:37 +08:00
数据包头检测过滤,来自移动端的统统 reject,第二个是连接证书,公司电脑统一安装预装证书的操作系统,只有装了带有公司证书操作系统的设备才能连接 wifi,办法有很多了
|
44
jiujiu5151 2017-08-10 22:07:49 +08:00 via Android
好期待提供解决方案的程序员应聘到这家公司😄
|
45
rssf 2017-08-10 22:33:33 +08:00 via iPhone
深信服,一键搞定
|
46
wolfan 2017-08-10 23:05:33 +08:00
那个机器上用上小米、360 之类的随身 WIFI 呐?
|
47
xiqingongzi 2017-08-11 00:18:08 +08:00
一个账号只能有一个终端登陆可解。
|
49
kevinzhwl 2017-08-11 08:49:43 +08:00
@nbweb 所以贵公司的领导从来不用 qq 和 email 之外的方式联络员工,且准时上下班,也不在工作时间之外联系,员工在手机 qq 上看到消息或者非办公电脑上看到 email 也不用理睬,对吗?如果能做到,行;如果做不到,那凭什么用员工私家网络处理你公司事物?
宜疏不宜堵,这种事情参不透,以‘员工’为壑的思路怎么做都是死路,网络死或者公司死 |
50
nbweb OP @kevinzhwl 不知道你这么激动干嘛,希望你认真看下我写的东西。车间流水线上的员工,用手机办公了?用手机处理公司事务了?他们只是在上班间隙聊微信,视频等。除了公司销售偶尔用下手机和客户沟通外,还真没有用员工的手机处理公司事务。休息日和下班时间,办公室员工也基本不理公司事情的。上班时间基本是 QQ 和邮件解决所有的事情,根本用不到手机来处理。所以综上,基本不用员工的私人网络来处理公司事务,原则是上班时间在公司内处理完所有的事,当然,你的事出问题,那就例外,那是你的问题。
上班时间,电脑可以上网,可以邮件和 QQ,怎么就网络死了呢?只是不让手机连网络而已,有什么不能在电脑上完成的?如果你开一家公司,有 200 人,100 台电脑,200 个手机,全部连公司网络,你愿意吗?有人还几台手机连着。 换位思考吧,不要什么都来喷。我们公司已非常人性化了,上班时间基本不怎么管,上班时间非常自由,迟来上班,准时下班非常普遍,自己搞定自己的事,下班从没人找你,除了有台风不上班在微信和 qq 一个一个的通知外,基本不会在上班时间以外联络员工。 |