怎么能够在企业网络中成功部署和支持802.1X认证协议对于网络工程师来说是一个挑战，本文“802.1X成功部署的六个诀窍”将有一些技巧可以帮助你节省一些时间和成本。

   1、考虑使用免费或者低成本的RAIUS服务器

   对于小型和中型网络，你不需要花太多钱在RADIUS(远程认证拨号用户服务)服务器上。首先检查你的路由器平台、目录服务或者其他服务是否提供RADIUS/AAA(身份认证、授权和账户)。例如，如果你运行Windows Server的Active Directory域，检查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS，Internet身份验证服务)组件或者Windows Server 2008的Network Policy Server (NPS，网络政策服务器)组件。

   如果你当前的服务器不提供RADIUS功能，仍然有很多免费和低成本的服务器可以选择：

   FreeRADIUS是完全免费的开源产品，可以在Linux或者其他类UNIX的操作系统上运行，它最多可以支持数百万用户和请求。在默认情况下，FreeRADIUS有一个命令行界面，设置更改是通过编辑配置文件来实现的。其配置是高度可定制的，并且，因为它是开源产品。你还可以对软件进行代码修改。

   TekRADIUS是共享软件服务器，在Windows上运行，并且提供一个GUI。该服务器的基本功能是免费的，你还可以购买其他版本来获取EAP-TLS和动态自签名证书(用于受保护可扩展身份验证协议(PEAP)会话、VoIP计费以及其他企业功能)等功能。

   还有两个相当低成本的商业产品包括ClearBox和Elektron，它们都在Windows上运行，并提供30天免费试用。

   一些接入点甚至还嵌入了RADIUS服务器，这对于小型网络而言非常实用。例如，HP ProCurve 530或者ZyXEL NWA-3500，NWA3166或NWA3160-N。

   还有基于云计算的服务，例如AuthenticateMyWiFI，可以为802.1X提供托管RADIUS服务器，对于哪些不想投入时间和资源来建立自己的服务器的企业而言，这种服务非常好用。

   2、同时为有线网络部署802.1X协议

   你可能部署802.1X认证，只是希望通过WPA或者WPA2安全的企业模式来更好地保护你的无线局域网。但你也应该考虑为网络的有线端部署802.1X认证，虽然这并不能为有线连接提供加密(考虑IPsec来加密)，但它将要求那些接入以太网的人在访问网络之前进行身份验证。

   3、购买数字证书

   如果你已经为802.1X的EAP类型部署了PEAP，你还必须加载RADIUS服务器以及数字证书(用于可选的但非常重要的服务器验证)，这能有助于防止中间人攻击。

   你可以通过你自己的Certificate Authority(证书颁发机构)来创建一个自签名证书，但你的证书颁发机构的根证书必须被加载到最终用户的计算机和设备上以让他们来进行服务器验证。

   通常，你可以将证书颁发机构的根证书分发到管理计算机，例如如果你运行的是Windows Server 2003或更高版本的Active Directory，你可以通过组策略来分发。然而，对于非域和BYOD环境，证书必须手动安装或者以另一种方式来分布。

   你也可以考虑从受Windows和其他操作系统信任的第三方证书颁发机构(例如VeriSign、Comodo或者GoDaddy)为你的RADIUS服务器购买一个数字证书，这样你就不用担心分发根证书到计算机和设备的问题。

[1] [2] 下一页