这篇文章更新于2014.11.23, 并且增加了(下)。
随着时代的进步, 各个学校都开始部署自己的无线网络。
我在的学校, 大概是我初三的时候开始部署的, 使用Cisco公司的某型号高端AP(Access Point, 无线接入点)。
目前, 无线网络信号应该已经覆盖全校建筑物了。
大约在这个学期开学的时候, 我发现楼道的AP被转移到了教室内, 有同学把它认为是信号屏蔽器。
每个AP都发射三个无线网络: teacher, guest, foreign(这个好像拼错了)。
foreign, 看名字, 应该是给外籍教师的, 认证方式应该和teacher差不多。
guest使用WPA/WPA2 PSK(个人级) 认证, 也就是一般家用无线网的认证方式, 在有活动的时候可以提供给来宾使用, 密码会不时变动, 但几乎总是能泄漏到同学们手中(不要问我, 我不知道)。
不过据说它比较难连上, 或者是连上出现问题。
teacher使用的是WPA/WPA2 企业级认证, 连接的时候需要输入用户名和密码, 有的时候可能要证书什么的。这个认证虽然增强了安全性, 方便了对联网用户的管理, 但是有个致命的问题, 就是它使得终端用户在连接网络的时候的操作变得复杂, 尤其是Windows和Android。
今天呢, 某同学获得了guest的密钥和teacher的账号, 但是一个都连不上。
我首先检查的是guest, 因为它的认证方式比较简单(至少对于我们用户而言)。我看到Windows 7的无线网的状态(也许是属性)中, 显示它的IP地址是169.254.xxx.yyy。显然, 这是因为没有成功从DHCP服务器获取到IP配置。倒腾了一会儿, 决定暂时放弃它, 研究一下teacher。
无线网络连接列表里有teacher, 直接点开它, 输入用户名密码, 是不能连接成功的, 应该是协议或者别的什么配置不对头。
所以需要从另外的地方添加无线网, 并设置”高级”配置, 里面有个好像叫加密方式的东西, 把它配置成WPA2, TKIP/AES。现在问题来了, 下面的认证方式有约五种, 前两种是微软的, 后三种是Cisco的。记得第二种到第四种的名字大致是智能卡、Cisco LEAP、Cisco PEAP。
我们首先尝试了第一种(名字忘记了, 应该也是一种密码认证), 配置了半天, 输入了好几次帐号, 设置了乱七八糟的什么证书什么用户什么账号的, 都没能成功。
这个时候, 我边指着AP说, 看是不是有Cisco的字样, 边点选了Cisco LEAP(其实Cisco的AP和下面用Cisco LEAP认证成功应该没有很强的联系), 按”确定”之后, 系统弹出个对话框, 说要我输入用户名和密码。输入之后, 就可以连接上了(可能中间有失败, 不过这次解决的挺快)。
回家之后, 我用家里的已刷ddwrt的TP-Link WR4320, 创建了一个虚拟无线网络twd2_testnetwork, 并使用WPA2 EAP(企业级)认证。由于需要RADIUS的服务器, 我在我的Ubuntu虚拟机中, 使用FreeRADIUS软件, 配置了个非常不安全的简陋的RADIUS的服务。配置好ddwrt后, 我决定测试一下它。
首先我用手边的iPad2 (iOS 8)来测试, 点选twd2_testnetwork后, 只提示输入用户名密码, 输入且点确定后, 会弹出证书确认的提示(证书是自签发的, 默认不被信任, 需要手动接受), 点接受之后, 服务器才会判断用户名密码是否正确, 正确则连接成功, 否则提示失败。
Macbook Air (Mac OS X 10.10)情况类似。
使用妈妈的Android 4.x (没看版本号)手机连接这个网络, 出来一大堆设置, 有EAP和什么二级还有用户、匿名用户和密码。经过尝试之后, 也能连接成功, 就是它没有提示证书的问题(我配置不对, 还是Android不安全呢)。
结合上述Windows 7连接teacher的经历, 我们发现连接WPA/WPA2企业级无线网的容易程度为:
iOS=Mac OS X>>Android>Windows 7。
Very technical blog.
orz表示我们这福建某小学校没有(qian)弄无线AP……
其实学校的某机房有个aruba的企业AP,被我改了密码,结果密码忘了= =然后就没有然后了
orz 没有重置按钮啥的嘛
orz既然是企业AP就只有console端口了…寄宿党表示没笔记本电脑和console线…
我买的TP的宣称是企业级的AP, 有个reset按钮0 0
orzzzzz
sssssro
现在的路由器都可以绑定MAC地址的
我们的高中就是这么做的~ 非注册MAC地址根本没法连~
不过的确有一个guest的WiFi, 也的确是知道密码就能连~
只是我没有机会把密码告诉我的学弟学妹们啊~
对了~ 那Mac OS X 10是什么东西? X不就是10的意思嘛?
而且Mac OS X包含很多分支啊~ 比如10.9, 10.10什么的~~
您好! 已修改! 感谢您对万呆的支持! 祝您围观愉快!
我猜学校不启用MAC认证是为了方便老师吧, 要不然换一个手机/笔记本电脑都要去绑定一下, 挺麻烦的, 网管也会累死。
你可以把学校主页黑掉, 然后把密码公布给大家。
我高中黑过FTP~~
但是不是网管~)~
我们高中貌似就是人工绑定的~ 不过老师好像可以自己访问绑定的页面(我当时问的是计算机的老师
我们这网络管理很森严, 有专人(不是信息技术老师)管理学校的网络。
= =表示我们学校所有网络控制台的密码全是默认的…
我们也是有一个专门的老师~~
森严嘛~ 也还挺森严的~~ 我网络中心都没有进到核心机房过~ (怎么过大学里还去核心机房打了好几次酱油, 然后看到了一坨一坨的机柜和一坨一坨的服务器.)
只是FTP的密码太弱了
就七年级时进过一次学校的中心机房=.=然后就再也没进去过了orz
我们的是一个网络管理团伙!
这这这…
你们也太丧心病狂了吧~
虽然说大学里也有一个团队, 但是貌似主管的只有一个胖纸~ 很嚣张的胖纸~~ 不过好像也是从Vmware公司聘用过来简直的~
表示学校网络就是由信息老湿负责的!基本搭建是请厦门的人来搞…
噗我想到我九年级的时候顺手把学校的广播系统和FTP都炸了= =结果水表哗哗哗的被查了
怎么被查出来的?
我之前的确远程桌面到学校那台放广播的电脑(用的XP, Adminstrator是空密码), 但是什么都没干.
那些核心的服务器自然是进不去的.
俺们还处于学生禁止使用手机,教师网络受限的状态……
orz 我们这其实没有明确表示学生可以在教学楼使用手机