问问Infra大佬，访客用无线认证网关采购问题

Gato_shin

公司要拿现有的混乱的WPA-PSK无线网下手了，搞员工的RADIUS对接AD认证（这部分我们其实可以自己搭，用Windows Server挺无脑的），还有就是访客认证。

现状是硬件用的思科家的AC和AP，这货不支持Portal协议（华三之流倒都支持，干了），咨询了几个做Portal协议Solution的都说不支持做不了。

原厂的ISE觉得可能太贵，就问他们推荐哪家三方，然后给推了*盾。

约来公司聊了一下，功能倒是没问题，我们这点儿小需求就跟玩儿似的。其实主要需求差不多就是短期访客的扫码认证（通过员工授权并记录，以备审核和追溯）以及长期派驻的外包的定时临时账户这两样。

但是初步探了一下价格，日均50个访客授权张嘴要六位数。

第一感觉是卧槽要这么多钱吗，好像之前瞄到ISE也没更贵？

于是问问各位Infra的大佬，配思科无线系统用的访客认证设备（软硬皆可）还有啥不贵的方案么，还有有没有实施过ISE的给指点个大概的价位参考一下？

谢过。

好多大象啊

不能protal的话，如果支持ipoe配合重定向也能做到一样的效果，不过需要网关支持重定向和高级acl

Gato_shin

好多大象啊 发表于 2018-3-8 18:18
不能protal的话，如果支持ipoe配合重定向也能做到一样的效果，不过需要网关支持重定向和高级acl ...

思科的AC支持重定向和ACL
ipoe我先去了解一下，謝

wave14

搭车问一下，酒店那种第一次打开网页，输入用户名或者手机号，实现认证上网的解决方案叫什么？

好多大象啊

wave14 发表于 2018-3-11 16:39
搭车问一下，酒店那种第一次打开网页，输入用户名或者手机号，实现认证上网的解决方案叫什么？ ...

就是protal，也有部分 ipoe/dot1x 配合重定向的。本质上就是网关这里先让dhcp分配地址给你，然后这个ip地址任何的http/https包都重定向到本地的web以及3a服务器让你认证，通过之后重新分ip或者自动修改acl的动作从重定向改成permit加account。当然web服务器和3a服务器可以分开用额外的ssl通道通信提高安全性，dhcp服务器也能从网关分离，使用dhcp relay提高安全性