成功部署802.1X的六个诀窍.doc

成功部署802.1X的六个诀窍 成功部署802.1X的六个诀窍 PAGE / NUMPAGES 成功部署802.1X的六个诀窍 成功部署 802.1X 的六个诀窍 在网络中部署和支持 802.1X 认证协议是一个挑战，这里有一些技巧可以帮助你节省一些时间和成本。 1、考虑使用免费或者低成本的 RAIUS服务器 对于小型和中型网络，你不需要花太多钱在 RADIUS(远程认证拨号用户服务 ) 服务器上。首先检查你的路由器平台、目录 服务或者其他服务是否提供 RADIUS/AAA(身份认证、授权和账户 ) 。例如，如果你运行 WindowsServer 的 Active Directory 域，检查 组件或者  Windows Server 2003 R2 Windows Server 2008 的  以及更早版本的 Internet Authentication Service(IAS ，Internet 身份验证服务 ) Network Policy Server (NPS ，网络政策服务器 ) 组件。 如果你当前的服务器不提供 RADIUS功能，仍然有很多免费和低成本的服务器可以选择： FreeRADIUS是完全免费的开源产品，可以在 Linux 或者其他类 Unix 的操作系统上运行，它最多可以支持数百万用户和请求。在默认情况下，FreeRADIUS有一个命令行界面， 设置更改是通过编辑配置文件来实现的。 其配置是高度可定制的，并且，因为它是开源产品。你还可以对软件进行代码修改。 TekRADIUS是共享软件服务器，在 Windows上运行，并且提供一个 GUI。该服务器的基本功能是免费的，你还可以购买 其他版本来获取 EAP-TLS和动态自签名证书 ( 用于受保护可扩展身份验证协议 (PEAP)会话、VoIP 计费以及其他企业功能 ) 等功能。 还有两个相当低成本的商业产品包括 ClearBox 和 Elektron ，它们都在 Windows上运行，并提供 30 天免费试用。 一些接入点甚至还嵌入了 RADIUS服务器，这对于小型网络而言非常实用。 例如，HPProCurve 530 或者 ZyXELNWA-3500，NWA3166或 NWA3160-。N 还有基于云计算的服务，例如 AuthenticateMyWiFI ，可以为 802.1X 提供托管 RADIUS服务器，对于哪些不想投入时间和资源来建立自己的服务器的企业而言，这种服务非常好用。 2、同时为有线网络部署 802.1X 协议 你可能部署 802.1X 认证，只是希望通过 WPA或者 WPA2安全的企业模式来更好地保护你的无线局域网。但你也应该考虑 为网络的有线端部署 802.1X 认证，虽然这并不能为有线连接提供加密 ( 考虑 IPsec 来加密 ) ，但它将要求那些接入以太 网的人在访问网络之前进行身份验证。 3、购买数字证书 如果你已经为 802.1X 的 EAP类型部署了 PEAP，你还必须加载 RADIUS服务器以及数字证书 ( 用于可选的但非常重要的服 务器验证 ) ，这能有助于防止中间人攻击。 你可以通过你自己的 Certificate Authority( 证书颁发机构 ) 来创建一个自签名证书，但你的证书颁发机构的根证书必须被加载到最终用户的计算机和设备上以让他们来进行服务器验证。 通常，你可以将证书颁发机构的根证书分发到管理计算机，例如如果你运行的是 Windows Server 2003 或更高版本的 Active Directory ，你可以通过组策略来分发。然而，对于非域和 BYOD环境，证书必须手动安装或者以另一种方式来 分布。 你也可以考虑从受 Windows和其他操作系统信任的第三方证书颁发机构 ( 例如 VeriSign 、Comodo或者 GoDaddy)为你的 RADIUS服务器购买一个数字证书，这样你就不用担心分发根证书到计算机和设备的问题。 4、分布设置到非域设备 如果你运行的是 WindowsServer 2003 或更高版本的 Active Directory ，你通常可以通过组策略将网络设置 ( 包括 802.1X 和任何数字证书 ) 分发到 windows XP以及随后加入这个域的机器。但是对于不在域中的机器，例如用户自备的笔记本电 脑、智能手机和平板电脑，除了手动用户配置外，还有其他解决方案可供你选择。 请记住你要分布三个关键的东西：你的 RADIUS服务器使用的证书颁发机构的根证书，如果使用 EAP-TLS的话的用户证书，以及网络和 802.1X 设置。 你可以使用免费的 SU1X 802.1X配置部署工具用于 Windows XP(SP3)、Vista 和 Window