无线网络接入的常见连接方式是预共享密钥模式,但是对于企业来说,密钥很容易泄露,尤其是有些手机APP还提供了相互分享无线密钥的功能,而公司管理人员很难管理到每个人的手机。密钥一旦泄露,就很容易让蹭网的人连入公司内网,蹭网事小,公司信息泄露事大。
其实,Vigor 系列路由器的无线功能,提供了用户名密码验证接入网络的功能。
这种无线安全方式,在设置菜单中叫802.1X,请看如下截图:
只是这种安全认证方式,不能只通过路由器自身实现,还需要外接一个Radius服务器,Radius服务器在Linux和Windows Server上都很容易安装,在本文中,不聚焦Linux和Windows Server上的安装和配置,需要的用户可以自行搜索。本文借助公司里常用的NAS安装Radius服务器,来实现无线的认证接入。
下面以群晖为例,首先在套件中心搜索radius,可以看到一个RADIUS Server的套件,安装后点“打开”
首先看到默认设置页面,可以保持不需要改动,“本地用户”是指你在群晖中建立的系统用户,例如你给大家建立的smb文件分享用户账号。如果你平时用到了NAS中的AD/LDAP服务器,那么下面两个选项也可以勾上,就可以用LDAP用户来验证了。
下一步,点击“客户端”,然后点新增,将Vigor路由器指定为一个认证客户端(如果是用Vigor路由器的内建无线的话)。如果是使用AP的无线功能,则可以将AP的IP写入。当然,如果AP很多,可以将整个子网都授权为可以做客户端来连接。
下面就是新增用户了,因为用的是NAS自身的用户账号,到控制面板中的用户账号,新增用户账号(给每个人加一个账号)。
例如下图,我给自己加了一个账号,用户名为wang,设定密码后一路下一步(如果不需要使用文件共享等功能的话)就可以了。如果你原先就给每个用户配置过文件共享账号的话,就不用新增账号了,原来的账号就ok。
至此,Radius服务器就配置完成了。
如何让路由器无线使用用户名密码登录接入网络
在路由器 应用程序 >> RADIUS,填入NAS的IP和前面设置的秘钥,前面图中是draytek1234,端口保持为默认1812即可
配合文章开始时配置无线认证方式为802.1X的设定,无线客户端连接无线路由器的网络时,就会采用用户名密码认证了。
以iOS为例,手机端连接时,会提示用户名密码输入,输入后,点击加入
然后会提示一个证书来自群晖,选择信任。
如果配置无误,就连接成功了。
Vigor路由器的无线是支持4个无线网络名的,可以为不同的网络配置不同的网段,不同的认证方式,通过差异化设置,可以获得最大的安全系数。
以上已经完成了全部设定,这里再补充一下QNAP的NAS上如何进行Radius设置
首先找到控制台中的RADIUS服务器,启动RADIUS服务器
然后,点RADIUS客户端,新增Vigor路由器为RADIUS客户端
接下来,就可以添加一些用户来为无线做认证了
