作者:熊茂祥
时间:2014-03-25 09:59
分类:ROS
标签:wifi, 热点, 认证, 网吧, 方案
附件:1.jpg
内容:
目前网吧内提供WIFI覆盖已经开始普及了,但是目前的方案有待提高。
目前WIFI覆盖普遍方案都是以下几种:
方案1.使用普通无线路由,无需认证,直接LAN口接到网吧内网交换机。
方案2.使用普通无线路由,无需认证,WAN口接到网吧内网交换机。
方案3.使用普通无线路由,直接LAN口接到网吧内网交换机,网吧内软路由做WIFI认证。
方案1的缺点是毫无安全性可言,WIFI客户端发起ARP攻击少则影响所有WIFI客户端,多则整网全部受影响。并且发起流量攻击将直接打到网吧主路由。任何人在网吧附近都可以连接WIFI上网。
方案2的缺点是不便精确控制,WIFI客户端发起ARP攻击只能影响其他WIFI客户端。并且发起流量攻击将直接打到网吧主路由。主路由上看到所有WIFI客户端连接都是由无线路由的IP发起的,不便精确控制。任何人在网吧附近都可以连接WIFI上网。
方案3的缺点是安全性严重不足,WIFI客户端发起ARP攻击少则影响所有WIFI客户端,多则整网全部受影响。并且发起流量攻击将直接打到网吧主路由。但是没有经过WIFI认证的客户端无法上网。
现在来介绍下本人规划的网吧WIFI覆盖方案。
1.购置一个RB751,RB951或其他RB系列L4及更高授权的产品。(虽然原有ROS也可以实现,但是不建议这么做,具体原因之后解说。)
2.在客户机桌面上添加一个获取热点认证验证码及二维码的程序。(方便客户获取验证码或二维码进行认证上网。)
3.在收银机或者其他网吧内网服务器上运行服务端程序,对客户端的验证码及二维码下发,并效验和限制客户获取WIFI认证的规则。全程无需人工干预,全部采用API接口自动同步到ROS内,自动化维护。
4.本程序仅确保兼容5.24-5.26,其他版本用户自行测试。不包兼容。
本人规划的方案优势:
1.完全杜绝WIFI客户端发起ARP攻击来影响整个网吧,每个WIFI客户端之间互相隔离,不存在互相攻击或者入侵的可能性。绝对保护所有WIFI客户端的稳定性,安全性。并且不获取用户的任何隐私信息。
2.所有接入的WIFI客户端在主路由上均有自己的IP地址,可以针对每个WIFI客户端限速,也可以使用主路由HTB整体限速,限制连接数。不存在因为在主路由上使用共享IP而导致网络效果变差或不便单独管理的问题。
3.客户机离线自动通知服务端注销WIFI认证账户。(类似,但不一定是这种方式)
4.服务端可实时监控WIFI客户端接入数量,开通WIFI认证的客户机,开通的WIFI认证在线状态,在线时间状态显示。服务端可自主调节WIFI客户端单用户限速。
5.如果WIFI客户端发起流量攻击,将完全被RB系列路由器承受,不影响网吧内客户机网络。
本方案所需客户端,服务端已经动工。
稍安勿躁。。。。。