摘要：天珣的無線802.1X支持與有線802.1X相同的認證組合，如果采用用戶IP綁定的組合條件，這種準入控制將讓所有的破解手段失去用武之地。

周樹磊頹然坐到工位上再一次陷入郁悶之中，雙手撓著頭，眼神里充滿了無助。這已經是最近一段時間第三次了！同一個問題連著三次出現，領導的語氣一次強烈過一次！周樹磊猜想最近可能是運氣不太好，他甚至開始懷疑是不是自己的名字取得不太好，土木太盛。

其實事兒不大，說來也簡單。行里本來上不準上外網，但領導們偶爾有需求也不能不滿足，于是網絡崗的人以周樹磊為首接了幾個無線AP，開條線路專門上外網，也算是領導們專線專用。一來二去AP越來越多，分行也都照著做，想剎也剎不住。后來行里默認了，但要求可控。原想著這些AP只給領導們用，誰想運維的那幫小子平時活干得不怎么樣，破解倒是很有一套，密碼破解了不說還能仿冒領導電腦的MAC地址上網，搞得領導們反而經常上不去。這不，連著三次，有行領導打電話過來問周樹磊的領導上不了網是怎么回事，領導把這個責任最終算到了周樹磊的頭上。

按說MAC地址認證是通用做法，也算安全性比較高的手段，但架不住運維那個屋里的能人太多，三下五除二就破了障礙，因為MAC地址看起來都是合法的，出了事還找不著人。以太交換機上安全性倒是夠高，用的是啟明星辰的天珣做802.1X，開了用戶、IP地址綁定，但支持無線802.1X的功能正在開發中，不知道現在是啥進展。想到這里周樹磊撥通了天珣產品經理李想的電話。

“老李，無線802.1X你們還在做嗎？”周樹磊不抱多大希望。

“做完了啊，已經出版本了，6693，還想過兩天出差回去跟你交流下呢。”

“別這兩天了，就今天下午吧，我這里著急。”有點出乎意料的驚喜，周樹磊恨不得馬上見到李想，都沒意識到對方在出差。

“行啊，那我先讓我們的人過去給你介紹下，什么事啊這么急？”

“當面聊吧，下午兩點啊，叫他直接過來找我就行。”

“行！”

放下電話周樹磊有點莫名的興奮和忐忑，興奮的是有辦法解決問題，忐忑的是不知道效果如何。下午，天珣的工程師準時出現，周樹磊急急地拋出自己的問題。

其實周樹磊關心的問題主要有兩個，一是安全性，會不會啟用了無線802.1X之后依然被破解。行里高手很多，再出岔子就難以交待了。二是兼容性，總行和分行都有AP，因為不是統一購買，品牌比較多，還有相當一部分是家用型的胖AP，兼容性有問題效果肯定大打折扣，也不好交待。但天珣工程師表示，他關心的問題都已經被天珣一一化解。

首先，安全性是最不用擔心的，天珣不管有線802.1X還是無線802.1X都遵守標準協議，能有效避免重放攻擊和嗅探。無線802.1X支持與有線802.1X相同的認證組合，現在該行有線使用用戶IP綁定的組合條件，無線也能使用同樣的認證條件。一來可以讓用戶保持原來的使用習慣，二來也增強了安全性，這種準入控制一旦實施就將讓所有的破解手段失去用武之地。只是要升級客戶端才行，領導那里會不會不好操作？但很快這個顧慮也被打消了，因為天珣升級支持指定終端靜默升級，只在升級完成后提示，中間的過程用戶沒有感知。

其次，天珣無線802.1X準入能兼容多個品牌的胖AP、瘦AP，只要支持標準協議，天珣都可以實施802.1X準入，可以對業界各主流交換機品牌實施無線802.1X準入，家用型胖AP，如TP-Link等也均在支持之列。

最后一個讓周樹磊喜出望外的功能是，如果有人嘗試用戶口令失敗，其信息將會被天珣客戶端上報給服務器備查，這樣一來那幫“壞小子”膽敢再以身試法，必定無處遁形。周樹磊特別強調他一定會好好用這個功能，一天至少查三遍，逮著一個就讓他周六周天加班并且自己負責伙食費。想到這里他感到少有的舒暢。

是夜，周樹磊和啟明星辰天珣的工程師加班到很晚，形成了一份整體解決方案，包括無線802.1X準入實施計劃、實施步驟、新版本升級過程控制以及新版本增加功能對現有工作帶來的便利。最后終稿時周樹磊看著方案有點沾沾自喜，這次應該算是塵埃落定了吧。