[分享]傳象無線網路認證系統w1300實測、上線心得

由於無線網路近來越來越普及，公司因應時勢所需，於94年初建立無線環境，建立之初，曾經測過不少市面上一流公司的認證系統產品，無奈不是價錢太高(是很高)，就是不符要求，所以只好邊導入邊找，在沒有找到適合的認證系統時，我們是使用ASUS WL -500G的無線基地台，由於大多數的使用者對於無線網路的金鑰認證，及對自己的無線網路卡程式不是很熟悉，為了減少使用者障礙，我們採用基地台上設MAC Addresses來做管控，但因為基地台限制，無法建帳號與MAC Addresses對應，所以最後越來越亂，漸漸就跟紙上作業的對不上了，再加上沒有任何數據顯示ASUS WL -500G的無線基地台到底可以輸入多少筆MAC Addresses，每次設定完一筆都不知下一筆是否還能輸入~


撐了一年多，除了帳號與MAC Addresses對不上、偶而人數太多當機外，到也相安無事(超過20人以上就有掛點的可能，不過這產品本來就是適合home的，也怪不了它)，但心中一直有遺憾。直到前一陣子無意間瀏覽到google大神，發現D-Link有一款D-LINK DSA-3100認證系統，價格便宜，也符合我們約大部分的需求


故向主管提出採購需求，於是主管說了他的要求：

1. 可以管控使用者(就是可以讓你用，也可以不讓你用)

2. 不要常常當機

3. 操作簡單，可以讓他及另外3名MIS容易上手

4. USER使用要”很”簡單，只要是人類就會用(當過MIS都知道，就算再簡單，也有人不會)

5. 要有LOG，配合我們剛買的網路行為管理系統，就可以把壞壞的USER抓出來

6. 給我寫出操作步驟！！

其實主管要求除了第5項目前的ASUS WL -500G無線基地台無法做到，其他的大致都算勉強做到了(那幹嘛買啊)，但對我來說，我的要求就比較不一樣了：

1. USER需要自動導入認證網頁來做認證，這樣不但炫，也真正能管制到USER

2. 需要依身份劃分不同認證&授權策略

3. 需要提供臨時帳號產生器，我們公司常常有外賓可能會要求使用無線網路，照以前ASUS基地台做法是增加一筆外賓電腦的MAC Addresses，常常外賓走了後，我們也忘了刪除那筆MAC Addresses

4. 可設定不同之認證方式，如：LOCAL、RADIUS、LDAP與Windows domain

5. 支援SNMP，配合OPEN SNMP可以在基地台掛點的時候能收到訊息，而不是USER告訴我無線斷線了

6. 可限制頻寬使用

7. 可提供分層管理，依據不同的帳號，對認證系統有不同的管理，譬如有專門的帳號只可以建來賓帳號，其他一律都不能使用

採購過程中，發現D-Link已經不出此型機型了，失望之餘卻也有了一個大體目標，再用google大神搜尋，找到了pchome有賣一款功能相近的產品，就是這款”傳象無線網路認證系統w 1300”，用這型號在網路搜尋，相關的資訊實在有夠少，有的只有一些公家機關要求採購此一產品的相關資訊(綁標??)，所以懷著坎坷不安的心情買下了。

好不容易盼到東西到來，包裝實在是…….(這家公司的美工要檢討一下了)


拆開盒子一看，說明書薄薄的幾頁，還是用影印的



附的光碟片好像還是燒錄片！？喂！東西好歹也15000元，麻煩用心一點ok，

機器外型看起來不像這麼利害的樣子



這時只希望產品不要那麼……，放入光碟讀取內部資料，挖勒，一個1百多頁的pdf檔，還是原文的，(你是不知道我以前英文課都翹課喔？)看來只有硬著頭皮先邊唸邊查了。花了半天的時間，大致看完了內容，覺得很不可思議，除了可同時使用數及可建立帳號較少外(沒記錯的話是可以同時使用數50人，可建立帳號是500筆，但如果用NTDOMAIN或LDAP方式好像就沒有帳號數量限制)，功能基本上與之前測過某家50萬元機型功能差不多，看起來很適合中小企業或低度使用無線網路的公司

基本上它的網路接法分為：WAN、Public LAN、Private LAN及Wireless設定


把他接一接連上本來華碩ASUS WL -500G無線基地台的位置


無線發射接收器是使用Gemtek公司製的，我對這家公司不是很熟悉，但試過那麼多台無線發射接收器，這台算是好東西


連上config網頁


個人覺得他的admin menu寫的不是很好，就以新增一個帳號來說，他總共需要連結5個page才到的了，對不熟悉的人是惡夢，對熟悉的人來說也很麻煩。於是乎我懶人的個性又蠢動了，利用FrontPage寫了快速連結頁

這樣就皆大歡喜了

可設定不同的認證方式(可同時使用)


我本來屬意使用LDAP方式來管理帳號，但不知是機器有問題，還是我們AD架構有問題，反正怎麼設就是無法做帳號認證，如果用NTDOMAIN方式，又無法規範哪些使用者不可以用無線，最後只好使用LOCAL認證方式，缺點是帳號必須一個一個建，優點是可以針對不同的帳號給予不同的Policy，另一個優點是主線掛點，我修改一下WAN埠隨便接一條備援ADSL就可以使用了，反正帳號才80幾筆，也還好啦。

來賓帳號產生器


可提供10種產生帳號的配置，當然之前要先設好每一種時間配置，每按一次，就會自動產生一組帳號密碼，時間到他就自動消失及失效，如果有熱感紙印表機還可直接列印出


政策配置只有3種，每種皆可獨立設定，包括頻寬

我的規劃是：

Policy A內網外網皆不限制，頻寬也不限制，給老大使用或MIS使用(測試 測試)

Policy B限制內網讀取(老大為了安全性所要求的)，外網不限制，頻寬限制為1Mbps，供一般員工使用

Policy C限制內網讀取(外賓本來就不需讀內網)，外網不限制，頻寬限制為512Kbps，供來賓使用

再設定完WAN就可以上線了，拿一台NB做測試，一連上YAHOO或任何網頁，他就會自動幫您導入到認證網頁，由於機器提供認證網頁可上傳，所以我就一並修改了


KEY帳號密碼，如果一切正確無誤的話，會自動導入在認證主機上所設定的初始頁，我是設定成某台主機上的IIS為初始頁


Config比想像中簡單，至於安全性方面他設定跟一般ip分享器差不多，所以我就把它架在防火牆後端，安全性方面就交給防火牆去做，它只要專門做認證部分就好了


也可以連接OPEN NMS來監控


結語

目前已經上線了一段時間，最高紀錄40人同時使用，並無當機或異狀產生，算是相當滿意，雖有時會KEY帳號會產生無法認證的情形，但原因都是使用不當所產生的，故我也寫了處置方法供使用者排除：

1.帳號密碼不符

處理方法：請洽資訊部變更密碼

2.網際網路內有錯誤快取

處理方法：請清除網際網路內快取至網際網路→工具→網際網路選項→執行"刪除Cookie""刪除檔案""清除紀錄"

和網際網路→工具→網際網路選項→內容→"自動完成"內的"清除表單"和"清除密碼"

3.未關閉Proxy

處理方法：至網際網路→工具→網際網路選項→連線→區域網路設定→取消"自動偵測設定"&"Proxy伺服器"的勾勾

4.使用無線認證時，又同時接上實體線路連接內網

處理方法：做認證時，請關閉或拔掉其它實體線路

5.連接認證網卡被設定成固定IP

處理方法：請將預連接認證網卡設成DHCP，自動取得IP位址

6.前帳號未登出

處理方法：連接 http://內部網路/loginpages/logout.shtml 做強制登出

7.帳號被他人使用中

處理方法：請洽資訊部變更密碼


當然這台也有一些缺點：

1. 認證使用者無法自行變更密碼

2. logout頁面會被IE設定的”封鎖快顯”檔掉

3. WAN端只有10Mbps，如果直接接ADSL也還夠，但我是接內部網路就梢嫌不夠



但已價格來說，它已經算是便宜又大碗了。