您现在的位置:首页 > 基础知识基础知识

成功部署802.1X的六个诀窍

发布时间:2018-09-22 06:39:07  来源:大电流电感厂家   查看:

在网络中部署和支持802.1X认证协议是一个挑战,这里有一些技巧可以帮助你节省一些时间和成本。

1、考虑使用免费或者低成本的RAIUS服务器对于小型和中型网络,你不需要花太多钱在RADIUS(远程认证拨号用户服务)服务器上。首先检查你的路由器平台、目录服务或者其他服务是否提供RADIUS/AAA(身份认证、授权和账户)。例如,如果你运行Windows Server的Active Directory域,检查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS,Internet身份验证服务)组件或者Windows Server 2008的Network Policy Server (NPS,网络政策服务器)组件。如果你当前的服务器不提供RADIUS功能,仍然有很多免费和低成本的服务器可以选择:FreeRADIUS是完全免费的开源产品,可以在Linux或者其他类Unix的操作系统上运行,它最多可以支持数百万用户和请求。在默认情况下,FreeRADIUS有一个命令行界面,设置更改是通过编辑配置文件来实现的。其配置是高度可定制的,并且,因为它是开源产品。你还可以对软件进行代码修改。TekRADIUS是共享软件服务器,在Windows上运行,并且提供一个GUI。该服务器的基本功能是免费的,你还可以购买其他版本来获取EAP-TLS和动态自签名证书(用于受保护可扩展身份验证协议(PEAP)会话、VoIP计费以及其他企业功能)等功能。还有两个相当低成本的商业产品包括ClearBox和Elektron,它们都在Windows上运行,并提供30天免费试用。一些接入点甚至还嵌入了RADIUS服务器,这对于小型网络而言非常实用。例如,HP ProCurve 530或者ZyXEL NWA-3500,NWA3166或NWA3160-N。还有基于云计算的服务,例如AuthenticateMyWiFI,可以为802.1X提供托管RADIUS服务器,对于哪些不想投入时间和资源来建立自己的服务器的企业而言,这种服务非常好用。2、同时为有线网络部署802.1X协议你可能部署802.1X认证,只是希望通过WPA或者WPA2安全的企业模式来更好地保护你的无线局域网。但你也应该考虑为网络的有线端部署802.1X认证,虽然这并不能为有线连接提供加密(考虑IPsec来加密),但它将要求那些接入以太网的人在访问网络之前进行身份验证。
3、购买数字证书如果你已经为802.1X的EAP类型部署了PEAP,你还必须加载RADIUS服务器以及数字证书(用于可选的但非常重要的服务器验证),这能有助于防止中间人攻击。你可以通过你自己的Certificate Authority(证书颁发机构)来创建一个自签名证书,但你的证书颁发机构的根证书必须被加载到最终用户的计算机和设备上以让他们来进行服务器验证。通常,你可以将证书颁发机构的根证书分发到管理计算机,例如如果你运行的是Windows Server 2003或更高版本的Active Directory,你可以通过组策略来分发。然而,对于非域和BYOD环境,证书必须手动安装或者以另一种方式来分布。你也可以考虑从受Windows和其他操作系统信任的第三方证书颁发机构(例如VeriSign、Comodo或者GoDaddy)为你的RADIUS服务器购买一个数字证书,这样你就不用担心分发根证书到计算机和设备的问题。4、分布设置到非域设备如果你运行的是Windows Server 2003或更高版本的Active Directory,你通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。但是对于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户配置外,还有其他解决方案可供你选择。请记住你要分布三个关键的东西:你的RADIUS服务器使用的证书颁发机构的根证书,如果使用EAP-TLS的话的用户证书,以及网络和802.1X设置。你可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好,从已经设置好网络的PC中捕捉网络信息,然后这个工具将会创建一个向导,用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。此外,你可以配置它来添加/删除其他网络配置,修改网络优先事项,以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置,以及添加/删除网络打印机。用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。对于TTLS,它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案,你可以在web控制台定义你的网络设置,然后它会创建一个向导,你可以将其分发给用户。ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务,不支持分发任何用户证书。ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块,支持用户证书分发。对于一些移动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置,例如针对iOS的iPhone配置实用工具或者针对黑莓设备的Blackberry Enterprise Server Express。

高效率和超宽输入电压范围DC-DC变换器的设计方一个隔离DC/DC变换器的参数之一是该变换器能够正常工作的输入电压范围。对于那些应用于48V输入电信市场的工业标准砖型产品,其输入电压范围通常是36V~75V,或输入电压的最高值和最低值之比为2:1。

基于CAN总线的客车信息集成系统的设计1 引言随着电子技术的不断发展,汽车电子技术也迅速的发展了起来,汽车上各种电子控制单元的数目也不断地增加,连接导线显著增多,因而提高控制单元间通信的可靠性和降低导线成本已成为迫切需要解决的问题。在20

一种基于DSP+FPGA的控制系统方案设计 一、前言  本文提到的控制系统控制通信设备的正常工作,是整个通信设备的重要组成部分。该控制系统要实现的功能为: 接收外来的信息、实时采集输入的信号,控制设备的工作状态、参数、频率、电压及完成设备的

CopyRight2014
大电流电感 | 大功率电感 | 扁平线圈电感