在無線LAN認證系列文章的第一部分中，我們介紹了如何確保來賓無線網絡安全。在第二部分，我們探討無線LAN訪問控制的方法，包括創(chuàng)建策略、設備識別和整合其他網絡訪問控制解決方案。

對于網絡安全和無線LAN（WLAN）訪問控制，企業(yè)已經取得了巨大的突破。最遠可追溯到靜態(tài)可破解的WEP密鑰，然后是部署較強的認證和加密所需要的第三方Wi-Fi客戶端和OS補丁。現(xiàn)在，一些Wi-Fi設備和現(xiàn)有的操作系統(tǒng)已經可以支持WPA2-Enterprise了，甚至電話等小型可識別設備也可提供支持。

即使有這樣一些進步，（具備802.1X認證和AES加密的）WPA2-Enterprise仍然沒有占據(jù)主導地位。802.1X需要整合很多組件，它們來自多個供應商，并且通常由不同部分管理。要想取得成功就必須要進行規(guī)劃和協(xié)調，包括用戶帳號管理、設備分配和網絡整合。幸運的是，現(xiàn)在已經出現(xiàn)了更好的有助于解決無線LAN訪問控制問題的工具。

從群組策略開始進行WLAN訪問控制

雖然使用802.1X的企業(yè)往往能夠很好地控制公司擁有的筆記本電腦，但這對其它無線設備則不可同日而語，特別是那些不由IT部門采購的設備。

IT經常會在發(fā)布筆記本電腦之前將它們添加到Active Directory，是通過使用Group Policy Objects自動配置802.1X參數(shù)來反映每個用戶的組群成員身份而實現(xiàn)的。Windows 7、Vista和XP都支持802.1X群組策略，包括有線和無線客戶，Microsoft Windows Server 2008 R2指南中有這方面的描述：

Access Group Policy Extensions for 802.1X Wired and Wireless

Configure 802.1X Wired Access Clients by using Group Policy Management

Configure 802.1X Wireless Access Clients by using Group Policy Management

但是目前大多數(shù)工作人員使用的一些無線設備往往都不是運行在Windows上，甚至也不是IT部門購買的。有些IT部門將這種員工自行購買的大量的智能手機和平板電腦作為來賓設備對待。例如，當CFO從他們的筆記本電腦登錄到無線LAN上時，他們可能被要求連接到公司的SSID，并提供基于他們身份和角色的802.1X的登錄信息來獲得訪問權限。然而，當CFO使用他們的個人iPad登錄到無線LAN時，可能會連接到只提供因特網訪問的來賓SSID。這對于那些還沒有處理員工自行購買設備的公司而言是一個“權宜之計”，但是這并不是一個理想的長期策略。

通過設備識別實施WLAN訪問控制策略

為了解決這個問題，大量的網絡和安全產品目前都使用了設備識別技術。通過觀察MAC地址、協(xié)議、請求和響應，人們可以猜測（有一定自信的）一個設備的制造商、模型和OS。然后這個“指紋”可以根據(jù)訪問控制、設備分配和策略目的將設備映射到群組中。

目前，Aruba Networks所擁有的Amigopod  Visitor Management Appliance (VMA)就是一個設備識別工具。該裝置可以監(jiān)控設備使用公司網絡所發(fā)送的DHCP和HTTP。例如，通過檢查這些流量，VMA云，區(qū)分CFO的公司筆記本電腦和他個人iPad，可以將每個識別的設備映射到正確的訪問策略上。CFO的筆記本電腦可能由于其可信任狀態(tài)而得到更寬松的訪問權限，而iPad則只限于企業(yè)的郵件和內部網站的訪問。然而，這兩種設備發(fā)送的所有數(shù)據(jù)將受到WPA2-Enterprise的保護，其中使用802.1X來控制公司SSID的訪問。

這個例子還漏掉了一個問題：CFO的iPad如何配置才能訪問公司的SSID？手動配置是一種可能，但是顯然自動化分配會更好一些。

自動化的Wi-Fi客戶分配和配置文件

在這個例子中，我們的CFO可能先將他的iPad連接到訪客SSID，并且訪問了提供VMA自動登入頁面。VMA將為我們CFO的iPad生成一個配置文件，并通過郵件或SMS發(fā)送。通過點擊所包含的URL，CFO可以安裝802.1X參數(shù)和證書，從而使能夠iPad訪問公司的SSID。

事實上，現(xiàn)在很多產品都提供這種類型的自動化Wi-Fi客戶端分配功能。對于iPad和其他iOS設備，Apple的iPhone Configuration Utility可以生成（可選擇鎖定和加密的）Wi-Fi配置文件，它們可以發(fā)送到用戶，發(fā)布在網站上，或者通過支持iOS4原生MDM的移動設備管理器即時安裝。

后者適用于AirWatch、BoxTone、MobileIron、Sybase和其他的類型的設備，可以與企業(yè)的Active Directory注冊整合在一起，同時為每個已經批準的iPad生成證書。如果有一臺iPad丟失了，那么所有安裝的MDM文件（包括Wi-Fi設置）都會被刪除。然而，MDM并不局限于支持Apple設備——其中很多都可以用來注冊和分配Androids、BlackBerrys以及員工擁有的筆記本電腦和上網本。

整合802.1X認證和網絡訪問控制

由于有了一種有效新無線設備識別方法，在沒有IT協(xié)助的情況下使用WPA2-Enterprise進行登記并為每個員工應用恰當?shù)脑L問策略并不是一件困難的事。但是如果WPA2與NAC整合到一起，那么策略的實施效果更佳。

接入端（AP）和控制器經過簡單的配置就可以將請求轉發(fā)到802.1X認證服務器上——其中有很多甚至已經內置在使用本地帳戶數(shù)據(jù)庫的認證服務器上了。為了簡化多個供應商設備的互操作性，Wi-Fi Alliance現(xiàn)在對所有WPA2-Enterprise 認證的產品進行了Extensible Authentication Protocol (EAP)類型測試，包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-SIM、EAP-AKA和EAP-FAST。

然而，在沒有使用NAC的情況下，802.1X可以作為簡單交換使用：如果出錯您就會無法連接無線LAN；如果成功，您就可以獲得您所在用戶/群組的對應訪問權限（通常是通過RFC 3580 VLAN標簽實現(xiàn)）。但是，如果與NAC一起使用時，802.1X就可以根據(jù)用戶/群組的身份和設備安全狀態(tài)來執(zhí)行策略決定。雖然NAC可以在沒有802.1X的情況下執(zhí)行，但是這二種技術一起使用就可以實現(xiàn)更強大的企業(yè)無線LAN訪問控制。