在《无线LAN访问控制：管理用户及其设备(上)》中，我们举了一个例子，一家公司CFO将公司笔记本电脑和个人iPad连接到网络中的所获得的不同访问权限，这是通过设备识别来实现的，但是这个例子还漏掉了一个问题：CFO的iPad如何配置才能访问公司的SSID？手动配置是一种可能，但是显然自动化分配会更好一些。

　　自动化的Wi-Fi客户分配和配置文件

　　在这个例子中，我们的CFO可能先将他的iPad连接到访客SSID，并且访问了提供VMA自动登入页面。VMA将为我们CFO的iPad生成一个配置文件，并通过邮件或SMS发送。通过点击所包含的URL，CFO可以安装802.1X参数和证书，从而使能够iPad访问公司的SSID。

　　事实上，现在很多产品都提供这种类型的自动化Wi-Fi客户端分配功能。对于iPad和其他iOS设备，Apple的iPhone Configuration Utility可以生成（可选择锁定和加密的）Wi-Fi配置文件，它们可以发送到用户，发布在网站上，或者通过支持iOS4原生MDM的移动设备管理器即时安装。

　　后者适用于AirWatch、BoxTone、MobileIron、Sybase和其他的类型的设备，可以与企业的Active Directory注册整合在一起，同时为每个已经批准的iPad生成证书。如果有一台iPad丢失了，那么所有安装的MDM文件（包括Wi-Fi设置）都会被删除。然而，MDM并不局限于支持Apple设备——其中很多都可以用来注册和分配Androids、BlackBerrys以及员工拥有的笔记本电脑和上网本。

　　整合802.1X认证和网络访问控制

　　由于有了一种有效新无线设备识别方法，在没有IT协助的情况下使用WPA2-Enterprise进行登记并为每个员工应用恰当的访问策略并不是一件困难的事。但是如果WPA2与NAC整合到一起，那么策略的实施效果更佳。

　　接入端（AP）和控制器经过简单的配置就可以将请求转发到802.1X认证服务器上——其中有很多甚至已经内置在使用本地帐户数据库的认证服务器上了。为了简化多个供应商设备的互操作性，Wi-Fi Alliance现在对所有WPA2-Enterprise 认证的产品进行了Extensible Authentication Protocol (EAP)类型测试，包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-SIM、EAP-AKA和EAP-FAST。

　　然而，在没有使用NAC的情况下，802.1X可以作为简单交换使用：如果出错您就会无法连接无线LAN；如果成功，您就可以获得您所在用户/群组的对应访问权限（通常是通过RFC 3580 VLAN标签实现）。但是，如果与NAC一起使用时，802.1X就可以根据用户/群组的身份和设备安全状态来执行策略决定。虽然NAC可以在没有802.1X的情况下执行，但是这二种技术一起使用就可以实现更强大的企业无线LAN访问控制。

相关阅读：

无线LAN访问控制：管理用户及其设备(上)