SOHO网络中的802.1x

在企业环境中部署无线网络，使用802.1x进行验证是很简单的工作。那么，在SOHO无线网络中是否也可以存在基于802.1x的验证呢？

对于那些在企业环境中部署无线网络的客户来说，使用802.1x进行验证已经成为陈年旧事。然而，目前市场上仍然存在很多小型的运营环境，它们在无线基础设施方面的投资很少，但是，这些客户似乎并没有意识到自己已经拥有了可移植到WPA（Wi-Fi接入保护）的所有工具。

802.1x无线网络包括三个组成部分：RADIUS服务器、网络访问服务器和客户端设备。许多消费级接入点目前已经能够支持802.1x，并且配置起来非常容易。只要告诉它连接哪一台RADIUS服务器和用于保护服务器与接入点之间流量的共享密钥即可。此外，多数常用的操作系统，如Windows XP、Mac OS X和Linux都可以很方便地支持802.1x进行无线验证。

最大的难点在于RADIUS服务器。例如，您正在使用一个Windows域就可以部署证书服务和Internet验证服务，后者就是微软的RADIUS服务器。然而，如果您没有使用Windows域，选择就不太明确了。如果还有其他的硬件或者还有一套运行VMware的系统，就可以建立一套Linux系统并使用FreeRADIUS。这是一种非常优秀的开源RADIUS服务器。

在多数SOHO环境中，所有这些设置方式只会带来更多的麻烦，因为部署这些解决方案所需的时间可能比它们带来的好处更多，用户很可能会选择节省时间，而不是更高力度地去验证系统。如果客户端设备的数量较少，则使用WPA-PSK（或WPA2-PSK）更简便一些。它们都可以提供强大的密钥，要撤消某个用户的访问权限，修改起来也很容易。

使用802.1x，还有一些其他方式可供选择。这些方式所需要的额外硬件很少，有时根本不需要。例如，如果接入点能够兼容，就可以使用OpenWRT （http://openwrt.org）重新刷入固件。OpenWRT是一种Linux版本，支持许多常见的接入点。这种方法能够在接入点上直接安装FreeRADIUS，无须使用任何单独的系统。

还有一种更复杂的方式，即使用Wifiradis服务（http://www.wifiradis.net/）。基本上，Wifiradis是一种免费的外包式RADIUS服务，通过基于Web的接口来进行管理。然而，从安全角度考虑，这并不是一个好的解决方案，因为在每个会话中，服务器发送的用于保护流量的共享密钥是公开的。因此，如果有人在接入点和Wifiradis的服务器之间截获了您的流量，那么就有可能对您无线网络上的流量进行解密。

到目前为止，我们已经可以清楚地看到：建立802.1x验证无线网络并不困难。但毕竟存在一些烦琐的制约与部署程序。如果您的用户数量很少，最好还是继续使用WPA的预共享式密钥变体。