在思科交換機上用802.1x驗證機制管理網(wǎng)絡(luò)設(shè)備

責任編輯：FLORA |來源：企業(yè)網(wǎng)D1Net 2011-09-20 08:39:20 本文摘自：至頂網(wǎng)

多年前，由于價格和產(chǎn)品技術(shù)的問題，很少有員工將自己家的設(shè)備帶到企業(yè)網(wǎng)絡(luò)環(huán)境中使用。那時候的IT產(chǎn)品都比較昂貴，人們使用起來也比較愛惜，不會拿著到處走。除了價格因素外，IT產(chǎn)品的體積也是一個很大的因素。我的第一臺電腦，是從Radio Shack 公司購買的TRS-80 。那是我們六年級時在學(xué)校計算機房使用的設(shè)備。別說帶著這樣的電腦到處走了，就是把那些軟盤帶走我都覺得太沉。實際上，那個時候很少有人用這些電腦來辦公，更沒有人想到讓這些電腦聯(lián)網(wǎng)。

回想當年的TRS-80，那時候我使用Model 1，即處理器頻率調(diào)整為1.77 MHz的模式。與現(xiàn)在的計算機處理器水平相比，每個人都能看出這些年計算機的發(fā)展速度。我的iPhone 4時鐘頻率是1 GHz，體積也比TRS-80小了不知多少倍。當然，現(xiàn)在誰都能看出TRS-80根本無法與iPhone 4相比，但是我要說的重點不在于此。由于消費級電子產(chǎn)品的便攜性，企業(yè)的IT部門正在面對一個前所未有的難題，即如何管理這些每天都有可能接入企業(yè)網(wǎng)絡(luò)的個人電子產(chǎn)品。

問題

從消費者的角度看，這并不算是個問題。電子郵件、日程安排、電話簿、互聯(lián)網(wǎng)搜索信息等都可以隨身攜帶，這是多么有效率啊。我無法否認這一點。但是從企業(yè)的角度看，情況就不這么樂觀了。雖然如今很多企業(yè)網(wǎng)絡(luò)都能夠讓員工的智能設(shè)備和便攜計算機接入，但是這些設(shè)備可能導(dǎo)致以下問題：

員工的個人設(shè)備并沒有擁有企業(yè)所使用的軟件的許可權(quán)。

· 支持程序的規(guī)范化問題。

· 系統(tǒng)和軟件補丁升級不能維持在同一個水平。

· 安全防線模糊。

· 浪費網(wǎng)絡(luò)帶寬成本。

解決方案

有很多方案可以解決此類問題。接下來我就推薦其中一種，即802.1x的解決方案。它可以實現(xiàn)網(wǎng)絡(luò)設(shè)備的身份驗證。最初這種方案是用來在有線網(wǎng)絡(luò)中驗證交換機的，后來逐漸被應(yīng)用到無線網(wǎng)絡(luò)。由于802.1x屬于IEEE標準，因此你可以在各個品牌的交換機上進行802.1x的配置。下面我就以Cisco交換機為例，教大家如何配置。配置過程很簡單，但是首先需要具備一些條件。

必備條件：

· 安裝客戶端軟件

· 交換機提供驗證器

· 驗證服務(wù)器，即 Cisco Access Control Server (ACS).

配置步驟

第一步：客戶端

1. 假設(shè)你使用的是 Windows系統(tǒng)，要配置客戶端，只需要簡單的打開“網(wǎng)絡(luò)連接”，右鍵點擊你所希望開啟802.1x認證的連接項目。然后點擊“屬性”。

2. 在“認證”選項卡中，勾選“使用IEEE802.1x進行網(wǎng)絡(luò)連接控制”項目。

3. 接下來，在 EAP類型中，點擊Extensible Authentication Protocol 類型。這里你必須知道驗證服務(wù)器是如何配置的。

第二步：驗證器

記住，驗證器是一臺交換機，因此你可以用下面這種方式簡單配置。

從交換機的 CLI界面進入全局配置模式Global Configuration Mode.