在无线LAN认证系列文章的第一部分中，我们介绍了如何确保来宾无线网络安全。在第二部分，我们探讨无线LAN访问控制的方法，包括创建策略、设备识别和整合其他网络访问控制解决方案。

　　对于网络安全和无线LAN（WLAN）访问控制，企业已经取得了巨大的突破。最远可追溯到静态可破解的WEP密钥，然后是部署较强的认证和加密所需要的第三方Wi-Fi客户端和OS补丁。现在，一些Wi-Fi设备和现有的操作系统已经可以支持WPA2-Enterprise了，甚至电话等小型可识别设备也可提供支持。

　　即使有这样一些进步，（具备802.1X认证和AES加密的）WPA2-Enterprise仍然没有占据主导地位。802.1X需要整合很多组件，它们来自多个供应商，并且通常由不同部分管理。要想取得成功就必须要进行规划和协调，包括用户帐号管理、设备分配和网络整合。幸运的是，现在已经出现了更好的有助于解决无线LAN访问控制问题的工具。

　　从群组策略开始进行WLAN访问控制

　　虽然使用802.1X的企业往往能够很好地控制公司拥有的笔记本电脑，但这对其它无线设备则不可同日而语，特别是那些不由IT部门采购的设备。

　　IT经常会在发布笔记本电脑之前将它们添加到Active Directory，是通过使用Group Policy Objects自动配置802.1X参数来反映每个用户的组群成员身份而实现的。Windows 7、Vista和XP都支持802.1X群组策略，包括有线和无线客户，Microsoft Windows Server 2008 R2指南中有这方面的描述：

• Access Group Policy Extensions for 802.1X Wired and Wireless
• Configure 802.1X Wired Access Clients by using Group Policy Management
• Configure 802.1X Wireless Access Clients by using Group Policy Management

　　但是目前大多数工作人员使用的一些无线设备往往都不是运行在Windows上，甚至也不是IT部门购买的。有些IT部门将这种员工自行购买的大量的智能手机和平板电脑作为来宾设备对待。例如，当CFO从他们的笔记本电脑登录到无线LAN上时，他们可能被要求连接到公司的SSID，并提供基于他们身份和角色的802.1X的登录信息来获得访问权限。然而，当CFO使用他们的个人iPad登录到无线LAN时，可能会连接到只提供因特网访问的来宾SSID。这对于那些还没有处理员工自行购买设备的公司而言是一个“权宜之计”，但是这并不是一个理想的长期策略。

　　通过设备识别实施WLAN访问控制策略

　　为了解决这个问题，大量的网络和安全产品目前都使用了设备识别技术。通过观察MAC地址、协议、请求和响应，人们可以猜测（有一定自信的）一个设备的制造商、模型和OS。然后这个“指纹”可以根据访问控制、设备分配和策略目的将设备映射到群组中。

　　目前，Aruba Networks所拥有的Amigopod  Visitor Management Appliance (VMA)就是一个设备识别工具。该装置可以监控设备使用公司网络所发送的DHCP和HTTP。例如，通过检查这些流量，VMA云，区分CFO的公司笔记本电脑和他个人iPad，可以将每个识别的设备映射到正确的访问策略上。CFO的笔记本电脑可能由于其可信任状态而得到更宽松的访问权限，而iPad则只限于企业的邮件和内部网站的访问。然而，这两种设备发送的所有数据将受到WPA2-Enterprise的保护，其中使用802.1X来控制公司SSID的访问。

相关阅读：

无线LAN访问控制：管理用户及其设备(下)