我们在车间底楼部署802.11n无线网络，重新规划工作台和工作间，精简过程。你建议用什么无线访问控制方法，既允许一些主要员工访问，同时防止工人利用个人设备访问公司网络？

　　像这类无线访问控制，我会建议在所有支持802.11n（包括个人和企业版WPA2）的Wi-Fi设备上都内置访问控制功能。WPA2个人版需要每个设备提供一串来自密码的预共享密钥。例如，在你车间底楼的设备可能需要提供一个相同的20个字符的随机字符串，而这是在部署期间配置并且只有你的IT部门知道。这类方法通常与MAC地址过滤相结合，因此只有有正确预共享密钥的已知设备才能被授权访问。然而，MAC地址过滤机制很容易绕过 ，同样预共享密钥太短很容易被猜到。

　　WPA2企业版需要每个设备完成一个802.1X登录机制，它可以支持多种认证方式。例如，在你车间底楼的每个设备可能需要通过一个唯一的数字证书来认证其身份。或是每个设备可能需要提供一个唯一的用户和密码，这在一开始部署时就已配置并且只有你的IT部门知道。通过这种Wi-Fi访问控制方式，你可以知道哪台个人设备登录了。当和证书结合使用，WPA2-企业版很少受到密码共享和重利用的攻击，而这是很普遍的问题——员工知道一个有效的用户名和密码或预共享密钥，然后个人设备进行配置。

　　但是你还是想让一些主要员工通过个人设备访问公司网络。一个常见的做法是创建单独命名的网络（SSID））和在你的有线网络里建立相应的VLAN。IT管理的设备会在安装时使用证书并且配置成访问“MachineNet”，而个人设备则通过其他认证访问“SpecialNet”。这样，主要员工不会得到“MachineNet”的预共享密钥，除非他们把设备提交给IT。

　　如果你既想要网络访问保护，又想有一个安全简单的方式让主要员工注册他们个人的设备到“SpecialNet.”实现安全访问。询问你的WLAN或NAC厂家看他们是否出售来宾管理功能或是注册通道来支持移动的个人设备通过授权和Wi-Fi。另一个网络访问保护和无线访问控制方法是使用移动设备管理软件来管理这些任务。