【TechTarget中国原创】问:我们如何得知我们今天购买的802.11n WAP和NAC兼容呢?
答:有很多知名的网络访问控制(NAC)架构,包括Cisco NAC, Microsoft NAP, Trusted Computing Group TNC。这些架构内置了网络的NAC能力,使用以太网交换机和无线AP这样的设备来处理请求和实施访问控制。另外,还有很多生产商生产自己的NAC,从专门的网络设备生产商到终端安全代理。
这样的多样性使得无法说清某种产品是否是和NAC兼容的——一个更好的问题是问是否一个给定的产品是和一个给定的NAC架构或设备兼容。比如,Cisco NAC可以保护Cisco的网络设备。今天,CNAC兼容设备包括Cisco路由器,Catalyst交换机,Aironet的AP,和Cisco VPN 3000集中器。可以参考Cisco网站来找到CNAC兼容产品列表。
然而,一些人已经扩展了所有这些NAC架构和一些专用的NAC设备。尤其是大部分可以使用802.1X来处理第二层访问请求,通过标准 RADIUS将这些请求中继到NAC策略服务器上来做出决定。802.1X被用来支持介于一个802.1X请求者(发起访问请求的机器)和一个 802.1X认证服务器(用于允许或者拒绝访问的系统)之间的无限制对话。在这个对话中传递的消息使用扩展认证协议(EAP)来代表。今天,NAC架构使用不同的EAP类型和这些EAP绑定所传递的终端评估消息。然而,所有这些EAP都存在于标准802.1X中。
底线是:如果你打算实现NAC,购买支持标准802.1X/基于RADISU的端口访问控制的无线AP(和以太网交换机)。当检查Wi-Fi联盟检测认证时,寻找WPA-企业版支持和WPA2-企业版支持。这是你的WAP需要支持基本的NAC决定的基础。如果你计划将NAC更进一步,寻找以下特征:
- 802.1Q VLAN支持允许WAP在无线数据流进入有线网络前标识它
- RFC 3580支持允许WAP了解和应用NAC策略服务器返回的在RADISU访问回应中携带的VLAN的ID
- 虚拟AP能够同时支持多个SSID,使得同样的WAP同时支持开放访问和安全访问方式
- WLAN网内安全选项使得WLAN阻止未知的,潜在的感染病毒的或者恶意的用户和NAC认证的用户进行交互
这些特性并不保证即插即用的和你的WAP和所有NAC设备兼容。但是它会在将WAP和许多可能的NAC部署时提供给你一个非常好的选择。