利用集成工具為BYOD配置無線局域網(wǎng)

作者：時間：2013-03-25 來源：網(wǎng)絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

當涉及BYOD和無線局域網(wǎng)(WLAN)接入時，IT網(wǎng)絡團隊面臨著進退兩難的局面。他們沒有資源來手動配置數(shù)百臺個人設備，然而，要求用戶配置自己的客戶端通常會招致錯誤和安全問題。幸運的是，現(xiàn)在我們有工具可以自動化個人設備配置，甚至執(zhí)行不同水平的訪問政策。關鍵在于網(wǎng)絡團隊要整合這些工具來獲得必要的訪問控制。

本文引用地址：http://www.biyoush.com/article/153562.htm

現(xiàn)在，IT部門可以使用桌面管理系統(tǒng)和Active Directory組策略對象(AD GPO)來在企業(yè)配發(fā)的筆記本電腦上自動配置企業(yè)WLAN憑證和設置，不過，這些工具通常不能用于智能手機或平板電腦。

而有了新自動化WLAN聯(lián)網(wǎng)工具，用戶可以選擇一個指定的SSID，然后被導向到強制門戶初始頁面來登錄和接受服務條款。這可以立即將用戶路由到一些有限的訪客網(wǎng)絡，但這僅僅是第一步。一般情況下，企業(yè)需要更深入的工具來基于政策分配訪問權限，這也是配置工具發(fā)揮作用的地方。

用于WLAN訪問的自我配置工具

自動化WLAN聯(lián)網(wǎng)工具的目的是讓用戶自己配置連接，而無需IT人員的協(xié)助。很多Wi-Fi智能手機和平板電腦允許用戶配置網(wǎng)絡連接設置，包括企業(yè)級WPA2 EAP參數(shù)和服務器/用戶證書。例如，一旦用戶被允許訪問一個開放的企業(yè)“訪客”WLAN，他們就可以訪問URL來下載配置文件。這會變得很復雜，所以一些企業(yè)現(xiàn)在使用Cloudpath Networks的Xpress Connect等平臺，為Windows、Mac OSX、Ubuntu、Android和iOS用戶(包括非托管Windows BYOD的ActiveX)自動化基于門戶的WLAN連接。

這種方法通過最大限度地減少依賴關系以適應不同設備和所有權，自動化和簡化WLAN聯(lián)網(wǎng)。它甚至可以與企業(yè)目錄以及證書頒發(fā)機構整合，從而為每個認證用戶/設備來安裝不同的WLAN憑證。然而，這種方法并不支持配置更新或者持續(xù)的執(zhí)行，也不能擴展來滿足其他BYOD需求。

配置平臺深化WLAN接入政策

當與網(wǎng)絡中內置的流量檢測功能整合時，自動化WLAN聯(lián)網(wǎng)可以有具體的接入政策。在這種情況下，強制門戶網(wǎng)站可以為用戶提供相同的自行安裝鏈接，然后訪問游客網(wǎng)絡，然后，WLAN接入點(AP)可以通過客戶端分類政策配置，提供更為精確的網(wǎng)絡接入。

例如，Aerohive Networks的HiveAPs可以用客戶端分類政策配置，基于Wi-Fi MAC地址前綴、操作系統(tǒng)和設備域來自動重定向個人設備。這些分類可以用來將不同的防火墻規(guī)則應用到未知的Android平臺而不是已知的iPad。通過這種方法，已知的iPad可能會被重定向到一個平臺，根據(jù)看到的用戶名來為設備安裝iOS配置文件，而未知的設備將被重定向到一個門戶網(wǎng)站，在該網(wǎng)站中，用戶將接收個人PSK，從而加入個人WPA2安全的WLAN。

這種方法側重于利用網(wǎng)絡本身以及其流量內容來自動化WLAN聯(lián)網(wǎng)。結合WLAN流量檢測和防火墻功能與設備和OS指紋識別，簡化了用戶設備連接到網(wǎng)絡的步驟。不過，更廣泛的BYOD管理可能需要額外的步驟或者IT資源。

移動設備管理器(MDM)實現(xiàn)自動登陸

移動設備管理器(MDM)可以幫助IT部門部署更復雜的政策，它根據(jù)用戶或組、設備所有權、品牌和型號、操作系統(tǒng)級別、配置和完整性來分配接入權限。它們還可以更新設置來響應WLAN設計中持續(xù)的變化，以及執(zhí)行實時政策來解決BYOD誤用或破壞問題。

使用這種方法時，連接到開放企業(yè)“訪客”WLAN的用戶被重定向到MDM注冊頁面(另外，用戶可能會接收包含個性化注冊網(wǎng)址的電子郵件或短信通知)。在接入注冊頁面時，用戶被要求登錄或者提供一個激活碼，這樣一來，MDM可以比較用戶或組、所有權和設備詳細信息，從而確定配置。如果個人設備被接受，系統(tǒng)會發(fā)出一個設備證書，并給設備配置很多設置和應用，包括企業(yè)WLAN憑證和連接、企業(yè)VPN通道和企業(yè)郵件設置。

很多MDM產品支持完整的設備注冊，并可以用來自動化WLAN聯(lián)網(wǎng)，其中一些還專門與WLAN基礎設施集成。例如，Meraki為其企業(yè)云控制器客戶提供免費的基本款MDM。Aerohive與JAMF SoftwareLLC合作提供蘋果設備的自動化MDM注冊。Aruba Networks公司提供ClearPass接入管理系統(tǒng)設備，該設備可通過已發(fā)布的API與第三方MDM整合。

這些只是WLAN基礎設施與MDM及其他自動化BYOD接入配置工具整合的幾個例子。還有很多其他更多策略將會出現(xiàn)。如果你正在尋找一種方法來管理BYOD和WLAN接入，從詢問WLAN和MDM供應商的WLAN聯(lián)網(wǎng)辦法開始，確保他們考慮了自動化、靈活性和設備的多樣性。