成功部署802.1X的六個訣竅

在網絡中部署和支持802.1X認證協議是一個挑戰，這里有一些技巧可以幫助你節省一些時間和成本。

1、考慮使用免費或者低成本的RAIUS服務器

對于小型和中型網絡，你不需要花太多錢在RADIUS(遠程認證撥號用戶服務)服務器上。首先檢查你的路由器平臺、目錄服務或者其他服務是否提供RADIUS/AAA(身份認證、授權和賬戶)。例如，如果你運行Windows Server的Active Directory域，檢查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS，Internet身份驗證服務)組件或者Windows Server 2008的Network Policy Server (NPS，網絡政策服務器)組件。

如果你當前的服務器不提供RADIUS功能，仍然有很多免費和低成本的服務器可以選擇：

FreeRADIUS是完全免費的開源產品，可以在Linux或者其他類Unix的操作系統上運行，它最多可以支持數百萬用戶和請求。在默認情況下，FreeRADIUS有一個命令行界面，設置更改是通過編輯配置文件來實現的。其配置是高度可定制的，并且，因為它是開源產品。你還可以對軟件進行代碼修改。

TekRADIUS是共享軟件服務器，在Windows上運行，并且提供一個GUI。該服務器的基本功能是免費的，你還可以購買其他版本來獲取EAP-TLS和動態自簽名證書(用于受保護可擴展身份驗證協議(PEAP)會話、VoIP計費以及其他企業功能)等功能。

還有兩個相當低成本的商業產品包括ClearBox和Elektron，它們都在Windows上運行，并提供30天免費試用。

一些接入點甚至還嵌入了RADIUS服務器，這對于小型網絡而言非常實用。例如，HP ProCurve 530或者ZyXEL NWA-3500，NWA3166或NWA3160-N。

還有基于云計算的服務，例如AuthenticateMyWiFI，可以為802.1X提供托管RADIUS服務器，對于哪些不想投入時間和資源來建立自己的服務器的企業而言，這種服務非常好用。

2、同時為有線網絡部署802.1X協議

你可能部署802.1X認證，只是希望通過WPA或者WPA2安全的企業模式來更好地保護你的無線局域網。但你也應該考慮為網絡的有線端部署802.1X認證，雖然這并不能為有線連接提供加密(考慮IPsec來加密)，但它將要求那些接入以太網的人在訪問網絡之前進行身份驗證。

3、購買數字證書

如果你已經為802.1X的EAP類型部署了PEAP，你還必須加載RADIUS服務器以及數字證書(用于可選的但非常重要的服務器驗證)，這能有助于防止中間人攻擊。

你可以通過你自己的Certificate Authority(證書頒發機構)來創建一個自簽名證書，但你的證書頒發機構的根證書必須被加載到最終用戶的計算機和設備上以讓他們來進行服務器驗證。

通常，你可以將證書頒發機構的根證書分發到管理計算機，例如如果你運行的是Windows Server 2003或更高版本的Active Directory，你可以通過組策略來分發。然而，對于非域和BYOD環境，證書必須手動安裝或者以另一種方式來分布。

你也可以考慮從受Windows和其他操作系統信任的第三方證書頒發機構(例如VeriSign、Comodo或者GoDaddy)為你的RADIUS服務器購買一個數字證書，這樣你就不用擔心分發根證書到計算機和設備的問題。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]