我必須升級無線 ISP (WISP) 網路。他們目前的設定包括路由器 (Mikrotik RouterBoard 1100AHx2)、用於客戶端的 Ubiquiti Rockets(帶扇形天線)和用於客戶端 CPE 的 Ubiquiti NanoStations。
它們的安全性包括 CPE 的 WPA2-PSK,並且它們透過撥號 PPPoE 來提供存取。 PPPoE 使得控制用戶、斷開連接、將用戶隔離以防萬一他們不付費等變得輕而易舉。
但 PPPoE 在其他方面總是存在問題(MTU 問題、隧道隨機丟棄等)。所以我想讓事情盡可能純粹:沒有任何類型的隧道,只有裸露的乙太網路。
身份驗證可以透過 802.1x (EAP) 輕鬆解決,所有裝置都支援該協定。然後只需使用 DHCP(甚至 DHCPv6)分配 IP 位址即可。
但我的問題是802.1x身份驗證是基於使用者+密碼,而DHCP只使用MAC。因此,我需要一種方法來為每種類型的用戶提供特定池中的 IP - Freeradius 可以充當 DHCP 伺服器並執行此操作,但不可能使用 DHCP 的 802.1x 憑證 - 或者至少,我沒有找到辦法做到這一點。
我必須採取哪些選擇才能實現這一目標?新硬體不是一個選擇,解決方案必須盡可能自由和開源,並在 Linux 或 FreeBSD 上運行。
答案1
Freeradius 可以與不同的後端搭配使用,例如 SQL 或 LDAP。您可以維護使用者清單和一些在 Freeradius 中指定的 RADIUS 特定令牌,以指定子網路和/或帳戶狀態(活動、非活動、非付費等)。您需要真正深入研究 Freeradius 及其定制,但我知道這是可以做到的,特別是因為相當多的中型 ISP 運行類似於運營商 DHCP 之類的東西。