为什么小公司也得重视网络认证
很多小型公司觉得,网络认证是大企业才需要操心的事。员工少,设备不多,随便设个Wi-Fi密码就完事了。可现实是,前阵子隔壁创业团队就出了事——实习生用个人手机连内网,不小心中了钓鱼链接,整个财务系统被拖进局域网扫描范围。看似小事,结果差点酿成数据外泄。
小型公司资源有限,但安全不能省。一套简单有效的网络认证机制,不仅能管住接入权限,还能在出问题时快速定位源头。
从最基础的802.1X开始
别一听标准就头大,802.1X其实没那么复杂。它就像公司前台的门禁系统:员工刷卡(认证),前台确认身份后开门(放行网络)。没人刷卡,哪怕连上了Wi-Fi信号,也上不了网。
实现这个,你需要三样东西:支持802.1X的交换机或无线AP、一台认证服务器(比如FreeRADIUS)、以及终端设备上的证书或账号配置。
搭建一个轻量级RADIUS服务
在Linux服务器上装FreeRADIUS,几条命令就能跑起来:
sudo apt update
sudo apt install freeradius freeradius-utils配置用户文件 /etc/freeradius/3.0/users,加一行:
alice Cleartext-Password := "letmein123"
Service-Type = Framed-User,
Framed-Protocol = PPP重启服务后,alice 就可以用账号密码在支持EAP的企业Wi-Fi中登录了。
用VLAN隔离不同角色
行政、技术、访客,不该看到同样的网络内容。通过认证后,可以按角色分配到不同VLAN。比如访客只能上公网,技术部才能访问Git服务器。
在RADIUS返回属性里加上:
Reply-Message = "Welcome, alice!",
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "100"交换机收到这个ID,自动把用户扔进VLAN 100,策略就生效了。
手机和访客怎么办
不是所有设备都支持802.1X。这时候可以用Captive Portal——连上Wi-Fi后弹出登录页,输验证码或微信一键登录。
开源方案如CoovaChilli配合Splash页面,部署在树莓派上都能跑。生成一次性密码发给访客,用完即废,比贴个“password: office2024”在墙上靠谱多了。
别忘了日志和审计
谁在什么时候连了网络,必须能查。FreeRADIUS默认记录在 /var/log/freeradius/radius.log。写个简单的脚本每天打包归档:
#!/bin/bash
LOG_DIR=/var/log/freeradius
DATE=$(date +"%Y%m%d")
tar -czf ${LOG_DIR}/radius-${DATE}.tar.gz ${LOG_DIR}/radius.log存三个月,既不占空间,又能应对突发排查。
成本控制小技巧
小公司不用一上来就买Cisco全套。国产企业级AP像TP-Link Omada、Huawei AirEngine都支持标准RADIUS对接。服务器用旧电脑装Proxmox,虚拟出RADIUS和日志主机,零新增硬件也能跑通。
关键是把认证逻辑跑起来,再逐步优化。哪怕先从Wi-Fi登录页起步,也比裸奔强。