怎樣能夠在公司網(wǎng)絡(luò)中成功布置和撐持802.1X認(rèn)證協(xié)議關(guān)于網(wǎng)絡(luò)工程師來說是一個應(yīng)戰(zhàn)，本文“802.1X成功布置的六個竅門”將有一些竅門能夠協(xié)助你節(jié)約一些時刻和本錢。
1、思考運用免費或許低本錢的RAIUS效勞器
   關(guān)于小型和中型網(wǎng)絡(luò)，你不需求花太多錢在RADIUS(長途認(rèn)證撥號用戶效勞)效勞器上。首要查看你的路由器渠道、目錄效勞或許其他效勞能否供給RADIUS/AAA(身份認(rèn)證、授權(quán)和賬戶)。例如，若是你運轉(zhuǎn)Windows Server的Active Directory域，查看Windows Server 2003 R2以及更早版別的Internet Authentication Service(IAS，Internet身份驗證效勞)組件或許Windows Server 2008的Network Policy Server (NPS，網(wǎng)絡(luò)方針效勞器)組件。若是你當(dāng)時的效勞器不供給RADIUS功用，依然有許多免費和低成本的效勞器能夠挑選：
1.FreeRADIUS是完全免費的開源產(chǎn)物，能夠在Linux或許其他類UNIX的操作系統(tǒng)上運轉(zhuǎn)，它最多能夠撐持?jǐn)?shù)百萬用戶和懇求。在默許情況下，F(xiàn)reeRADIUS有一個命令行界面，設(shè)置更改是經(jīng)過修正裝備文件來完成的。其裝備是高度可定制的，而且，因為它是開源產(chǎn)物。你還能夠?qū)浖M(jìn)行代碼修正。
2.TekRADIUS是同享軟件效勞器，在Windows上運轉(zhuǎn)，而且供給一個GUI。該效勞器的根本功用是免費的，你還能夠采辦其他版別來獲取EAP-TLS和動態(tài)自簽名證書(用于受維護(hù)可擴(kuò)大身份驗證協(xié)議(PEAP)會話、VoIP計費以及其他公司功用)等功用。
還有兩個適當(dāng)?shù)捅惧X的商業(yè)產(chǎn)物包含ClearBox和Elektron，它們都在Windows上運轉(zhuǎn)，并供給30天免費試用。一些接入點乃至還嵌入了RADIUS效勞器，這關(guān)于小型網(wǎng)絡(luò)而言十分有用。例如，HP ProCurve 530或許ZyXEL NWA-3500，NWA3166或NWA3160-N。還有根據(jù)云核算的效勞，例如AuthenticateMyWiFI，能夠為802.1X供給保管RADIUS效勞器，關(guān)于哪些不想投入時刻和資源來樹立個人的效勞器的公司而言，這種效勞十分好用。

2、一起為有線網(wǎng)絡(luò)布置802.1X協(xié)議
你能夠布置802.1X認(rèn)證，僅僅期望經(jīng)過WPA或許WPA2安全的公司形式來十分好地維護(hù)你的無線局域網(wǎng)。但你也應(yīng)該思考為網(wǎng)絡(luò)的有線端布置802.1X認(rèn)證，盡管這并不能為有線銜接供給加密(思考IPsec來加密)，但它將需求那些接入以太網(wǎng)的人在拜訪網(wǎng)絡(luò)之前進(jìn)行身份驗證。

3、采辦數(shù)字證書
若是你現(xiàn)已為802.1X的EAP類型布置了PEAP，你還有必要加載RADIUS效勞器以及數(shù)字證書(用于可選的但十分重要的效勞器驗證)，這能有助于避免中間人進(jìn)犯。你能夠經(jīng)過你個人的Certificate Authority(證書頒布組織)來創(chuàng)立一個自簽名證書，但你的證書頒布組織的根證書有必要被加載到最終用戶的核算機(jī)和設(shè)備上以讓他們來進(jìn)行效勞器驗證。一般，你能夠?qū)⒆C書頒布組織的根證書分發(fā)到管理核算機(jī)，例如若是你運轉(zhuǎn)的是Windows Server 2003或更高版別的Active Directory，你能夠經(jīng)過組策略來分發(fā)。可是，關(guān)于非域和BYOD環(huán)境，證書有必要手動裝置或許以另一種辦法來散布。你也能夠思考從受Windows和其他操作系統(tǒng)信賴的第三方證書頒布組織(例如VeriSign、Comodo或許GoDaddy)為你的RADIUS效勞器采辦一個數(shù)字證書，這樣你就不用憂慮分發(fā)根證書到核算機(jī)和設(shè)備的難題。

4、散布設(shè)置到非域設(shè)備
若是你運轉(zhuǎn)的是Windows Server 2003或更高版別的Active Directory，你一般能夠經(jīng)過組策略將網(wǎng)絡(luò)設(shè)置(包含802.1X和任何數(shù)字證書)分發(fā)到windows XP以及隨后參加這個域的機(jī)器。可是關(guān)于不在域中的機(jī)器，例如用戶自備的筆記本電腦、智能手機(jī)和平板電腦，除了手動用戶裝備外，還有其他解決方案可供你挑選。 你能夠運用免費的SU1X 802.1X裝備布置東西用于Windows XP(SP3)、Vista和Windows 7。你需求進(jìn)入設(shè)置和偏好，從現(xiàn)已設(shè)置好網(wǎng)絡(luò)的PC中捕捉網(wǎng)絡(luò)信息，然后這個東西將會創(chuàng)立一個導(dǎo)游，用戶能夠在其核算機(jī)上運轉(zhuǎn)這個導(dǎo)游以主動裝備網(wǎng)絡(luò)和其他設(shè)置。該東西撐持根證書以及網(wǎng)絡(luò)和802.1X設(shè)置的分發(fā)。此外，你能夠裝備它來增加/刪去其他網(wǎng)絡(luò)裝備，修正網(wǎng)絡(luò)優(yōu)先事項，以及敞開NAP/SoH。該東西乃至還能夠為IE和Firefox裝備主動或手動代理效勞器設(shè)置，以及增加/刪去網(wǎng)絡(luò)打印機(jī)。 用于802.1X裝備布置的商業(yè)產(chǎn)物包含XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。XpressConnect撐持根證書、其他用戶證書以及網(wǎng)絡(luò)和Windows、Mac OS X、Linux、Android和iOS設(shè)備上的802.1X(PEAP、TLS和TTLS(通道傳輸層安全))設(shè)置的散布。關(guān)于TTLS，它還撐持SecureW2 TTLS客戶端的裝置。XpressConnect是一個根據(jù)云核算的解決方案，你能夠在WEB控制臺界說你的網(wǎng)絡(luò)設(shè)置，然后它會創(chuàng)立一個導(dǎo)游，你能夠?qū)⑵浞职l(fā)給用戶。ClearPass QuickConnect和ClearPass Onboard都撐持根證書和網(wǎng)絡(luò)以及Windows、Mac OS X、Linux、Android和iOS設(shè)備上的802.1X(PEAP、TLS和TTLS)的分發(fā)。ClearPass QuickConnect 是根據(jù)云核算的效勞，不撐持分發(fā)任何用戶證書。ClearPass Onboard是對準(zhǔn)ClearPass Policy Manager渠道的軟件模塊，撐持用戶證書分發(fā)。 關(guān)于一些挪動操作系統(tǒng)，也有專門的解決方案可供你用于分發(fā)802.1X和其他網(wǎng)絡(luò)設(shè)置，例如對準(zhǔn)iOS的iPhone裝備有用東西或許對準(zhǔn)黑莓設(shè)備的Blackberry Enterprise Server Express。

5、維護(hù)802.1X客戶端設(shè)置
802.1X很簡單遭到中間人進(jìn)犯，例如，進(jìn)犯者能夠經(jīng)過修正后的RADIUS效勞器來設(shè)置一個重復(fù)的Wi-Fi信號，然后讓用戶銜接，以捕捉和盯梢用戶的登錄信息。可是，你能夠經(jīng)過安全地裝備客戶端核算機(jī)和設(shè)備來阻礙這種類型的進(jìn)犯。在Windows中，你需求查看EAP特點中啟用/裝備的三個要害的設(shè)置:
   ● 驗證效勞器證書：該設(shè)置應(yīng)該啟用。應(yīng)該從列表框中挑選你的RADIUS效勞器運用的證書頒布組織，者能夠保證用戶銜接到的網(wǎng)絡(luò)運用的RADIUS效勞器具有由證書頒布組織頒布的效勞器證書。
   ● 銜接到這些效勞器：該設(shè)置應(yīng)該啟用。應(yīng)該輸入你的RADIUS效勞器的證書上列出的域，者能夠保證客戶端只能與具有效勞器證書的RADIUS效勞器通訊。
   ● 不要提示用戶授權(quán)新效勞器或許可信證書頒布組織：應(yīng)該啟用以主動回絕方位RADIUS效勞器，而不是提示用戶他們具有承受和銜接的才能。
在Windows Visat和更高版別中，前兩個設(shè)置應(yīng)該在用戶第一次登入時，主動啟用和裝備。可是，最終一個設(shè)置應(yīng)該手動啟用，或許經(jīng)過組策略或許其他分發(fā)辦法來啟用。在Windows XP中，用戶有必要手動裝備一切設(shè)置，或許你也能夠運用組策略或許其他分發(fā)辦法。關(guān)于不一樣的挪動設(shè)備，802.1X設(shè)置在挪動操作系統(tǒng)間有所不一樣。例如，Android只供給根本的802.1設(shè)置，而裝置和挑選RADIUS效勞器的根證書以履行效勞器驗證功用歸于可選功用。iOS答應(yīng)你擬定證書/域稱號，還能夠疏忽其他證書以進(jìn)步效勞器驗證的可靠性。

6、維護(hù)RADIUS效勞器
不要忘了RADIUS效勞器的安全性難題，究竟它是處置驗證的首要效勞器。思考專門運用一個獨自的效勞器來作為RADIUS效勞器，保證其防火墻被確定，并對坐落另一臺效勞器上的RADIUS效勞器用的任何數(shù)據(jù)庫銜接運用加密連接。當(dāng)生成同享隱秘時，你需求輸入到NAS(網(wǎng)絡(luò)接入效勞器)客戶端列表或許RADIUS效勞器數(shù)據(jù)庫，運用強(qiáng)壯的隱秘。因為用戶不用曉得或許記住它們，能夠運用十分長且雜亂的隱秘。請記住，大多數(shù)RADIUS效勞器和NAS設(shè)備最多撐持32個字符。因為802.1X很簡單遭到中間人進(jìn)犯，尤其是用戶暗碼，所以請保證用戶暗碼的安全性。若是你有一個相似Active Directory的目錄效勞，你能夠履行暗碼方針以保證暗碼滿足雜亂和定時替換。

總結(jié)
請記住，應(yīng)該對你網(wǎng)絡(luò)的有線和無線有些都思考選用802.1X。在選購效勞器之前，保證你沒有RADIUS功用，然后再思考免費的或許低本錢的效勞器。為了減輕布置作業(yè)，能夠思考從第三方證書頒布組織采辦效勞器的數(shù)字證書。思考運用協(xié)助主動化非域核算機(jī)和設(shè)備的裝備作業(yè)的解決方案。最終，但并非不重要的一點，保證你的802.1X效勞器和客戶端設(shè)置得到安全裝備。