如何用802.1x和EAP连接局域网客户端

我需要一台专用的机器用来作为认证服务器并在局域网机器和无线设备上安装数字签名吗? 专家解答： 是的，802.1X支持各种认证方法和用户数据库，并且能被用来在相同的核心网络中为有线和无线局域网做认证。 在你的例子中，你需要基于已有的用户帐号和密码来认证用户。这就要求你有一台认证服务器,但这台服务器未必是专用的机器。比如，你可以在你的Windows主域控制器PC上运行一个RADIUS服务程序(如FreeRADIUS)。这台PC不一定是一台活动目录服务器，但它必须有一个包含所有合法的用户名及密码的列表。如果你不希望使用Windows域，你可以在你的RADIUS服务器上创建一个本地用户列表。 一旦你有了认证服务器和用户列表，你需要配置你的AP来中继802.1X的访问请求到这台认证服务器——这通常意味着在每个AP上配置认证服务器的IP地址和RADIUS的密码，同时使用相同的密码和属于你AP的IP地址范围来配置认证服务器。 最后，你需要选择一个EAP类型来支持用户名/密码认证。在Windows XP系统组成的网络里，最简单的EAP类型就是配备MS-CHAPv2的受保护的EAP(PEAP)。这种类型的802.1X客户端软件(被称为请求者)已经被包含在Windows XP SP2内，因此你无须为每个客户端做认证。但是，你的认证服务器需要对自身的认证，你需要配置客户端来识别和接受这台服务器的认证。自签名的认证可以使用开源代码如OpenSSL来生成。 一旦你配置好了所有这些，你就需要配置你的AP和以太网交换机来对所有连接要求使用802.1X。每个客户端(有线或者无线)在尝试连上局域网时，在获得一个IP地址可以和其它系统通信前，都被要求输入用户名和密码。 注意并不必要要求每个系统都使用802.1X来和你网络中的其他系统通信——只是在每个系统需要使用一个有效地址连接时才必要。比如，你可以将以太网客户端直接插入到未控制的局域网端口中，同时要求无线客户端使用WPA-Enterprise(802.1X)。只有无线客户端需要使用802.1X;有线客户端将使用未认证的方式访问网络。但是，当流量进入到那个网络，到达链路层时会访问相同的网络，并接受相同的访问控制。比如，如果一个特别的服务器在使用文件共享时要求用户登录到Windows域中，那么有线和无线客户端都要这么做，无论它们如何接入到网络中。 查看本文国际来源>>