您现在的位置:首页 > 基础知识基础知识

成功部署802.1X的六个诀窍

发布时间:2018-09-22 06:39:07  来源:大电流电感厂家   查看:

在网络中部署和支持802.1X认证协议是一个挑战,这里有一些技巧可以帮助你节省一些时间和成本。

1、考虑使用免费或者低成本的RAIUS服务器对于小型和中型网络,你不需要花太多钱在RADIUS(远程认证拨号用户服务)服务器上。首先检查你的路由器平台、目录服务或者其他服务是否提供RADIUS/AAA(身份认证、授权和账户)。例如,如果你运行Windows Server的Active Directory域,检查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS,Internet身份验证服务)组件或者Windows Server 2008的Network Policy Server (NPS,网络政策服务器)组件。如果你当前的服务器不提供RADIUS功能,仍然有很多免费和低成本的服务器可以选择:FreeRADIUS是完全免费的开源产品,可以在Linux或者其他类Unix的操作系统上运行,它最多可以支持数百万用户和请求。在默认情况下,FreeRADIUS有一个命令行界面,设置更改是通过编辑配置文件来实现的。其配置是高度可定制的,并且,因为它是开源产品。你还可以对软件进行代码修改。TekRADIUS是共享软件服务器,在Windows上运行,并且提供一个GUI。该服务器的基本功能是免费的,你还可以购买其他版本来获取EAP-TLS和动态自签名证书(用于受保护可扩展身份验证协议(PEAP)会话、VoIP计费以及其他企业功能)等功能。还有两个相当低成本的商业产品包括ClearBox和Elektron,它们都在Windows上运行,并提供30天免费试用。一些接入点甚至还嵌入了RADIUS服务器,这对于小型网络而言非常实用。例如,HP ProCurve 530或者ZyXEL NWA-3500,NWA3166或NWA3160-N。还有基于云计算的服务,例如AuthenticateMyWiFI,可以为802.1X提供托管RADIUS服务器,对于哪些不想投入时间和资源来建立自己的服务器的企业而言,这种服务非常好用。2、同时为有线网络部署802.1X协议你可能部署802.1X认证,只是希望通过WPA或者WPA2安全的企业模式来更好地保护你的无线局域网。但你也应该考虑为网络的有线端部署802.1X认证,虽然这并不能为有线连接提供加密(考虑IPsec来加密),但它将要求那些接入以太网的人在访问网络之前进行身份验证。
3、购买数字证书如果你已经为802.1X的EAP类型部署了PEAP,你还必须加载RADIUS服务器以及数字证书(用于可选的但非常重要的服务器验证),这能有助于防止中间人攻击。你可以通过你自己的Certificate Authority(证书颁发机构)来创建一个自签名证书,但你的证书颁发机构的根证书必须被加载到最终用户的计算机和设备上以让他们来进行服务器验证。通常,你可以将证书颁发机构的根证书分发到管理计算机,例如如果你运行的是Windows Server 2003或更高版本的Active Directory,你可以通过组策略来分发。然而,对于非域和BYOD环境,证书必须手动安装或者以另一种方式来分布。你也可以考虑从受Windows和其他操作系统信任的第三方证书颁发机构(例如VeriSign、Comodo或者GoDaddy)为你的RADIUS服务器购买一个数字证书,这样你就不用担心分发根证书到计算机和设备的问题。4、分布设置到非域设备如果你运行的是Windows Server 2003或更高版本的Active Directory,你通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。但是对于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户配置外,还有其他解决方案可供你选择。请记住你要分布三个关键的东西:你的RADIUS服务器使用的证书颁发机构的根证书,如果使用EAP-TLS的话的用户证书,以及网络和802.1X设置。你可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好,从已经设置好网络的PC中捕捉网络信息,然后这个工具将会创建一个向导,用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。此外,你可以配置它来添加/删除其他网络配置,修改网络优先事项,以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置,以及添加/删除网络打印机。用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。对于TTLS,它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案,你可以在web控制台定义你的网络设置,然后它会创建一个向导,你可以将其分发给用户。ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务,不支持分发任何用户证书。ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块,支持用户证书分发。对于一些移动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置,例如针对iOS的iPhone配置实用工具或者针对黑莓设备的Blackberry Enterprise Server Express。平面变压器厂家 | 平面电感厂家

关于车载充电机的断电保护测试车载充电机有一项测试项目叫断电保护,说的是当输出发生短路时,输入端要切断交流输入,请问这个如何实现?发生输出短路的时候关闭电源输出即可,为什么要切断输入交流呢不懂,可以用可控硅切不。 怎么样用可控硅来切断之?自恢复保险丝  PTC  CATALOG PAGS FOR POLYSWITCH SMD.rar(809.69 KB, 下载次数: 2)2014-8-17 11:48 上传点击

电源块LNK306PN的代换LNK306是一款比较经典的AC/DC电源转换芯片,但是在实际的运用中存在一些缺点,比如:1)电感有声响而且输出有纹波噪声;2)最多输出360mA的电流温度比较高有一些烫手;3)LNK306国产的质量

说一下功率型的 LED 封装基板不同功率型LED封装基板作为热与空气对流的载体,其热导率对LED的散热起着决定性作用。
DPC陶瓷基板以其优良的性能和逐渐降低的价格,在众多电子封装材料中显示出很强的竞争力,是未

CopyRight2014
大电流电感 | 大功率电感 | 扁平线圈电感 注塑加工厂