WEP设置监听阻挠VoIP中止衔接

运用严厉的加密办法

　　WLAN布置最主要的妨碍之一是无线等效隐私(WEP)加密――一种单薄的、独立的加密办法。并且，附加安全解决方案的复杂性让许多IT办理人员都无法选用最先进的WLAN安全技能。思科一致无线网络将安全组件整合到了一个简略的战略办理器之中，由其在每个WLAN的基础上定制整个体系的安全战略。为了便于衔接客户端，制造商一般不会对接入点的无线加密办法进行设置。可是在布置结束之后，很简单忘掉这个过程――这是WLAN被未经授权的人员破解或许盗用的最常见原因。因而，您应当在布置结束之后当即设置一个无线安全加密办法。思科主张您运用最安全的无线加密机制――IEEE802.11i或许VPN。

　　IEEE802.11i(当接入点经过Wi-Fi联盟认证时，它也被称为WPA2)为数据加密选用了高档加密规范(AES)。AES是现在最严厉的加密规范，能够代替WEP。您应当尽或许运用结合AES的WPA2。它的前身WPA是一种由Wi-Fi联盟认证的过渡性安全规范，其时802.11i还处于审阅阶段。WPA为加密运用了暂时密钥完整性协议(TKIP);TKIP是一种能够大幅度加强无线安全的加密办法，一起答应传统的802.11b客户端进行晋级，然后维护了客户的出资。虽然AES被视为愈加严厉的加密办法，可是值得一提的是，TKIP从来没有被“破解”过。思科主张将WPA作为备用加密规范。假如您具有的是能够晋级的老式客户端，您能够运用该规范。关于那些无法从WEP晋级到TKIP的客户端，“专用客户端的代替安全战略”一节将介绍维护它们的代替战略。

　　留意：802.11i规范、WPA2和WPA都需求凭仗RADIUS服务器来为每个客户端供给仅有的、轮换的加密密钥。思科一致无线网络能够与思科安全拜访操控服务器(ACS)，以及其他制造商的、兼容802.11i和WPA的RADIUS服务器进行互操作。别的，与其他有必要运用第三方软件来支撑IEEE802.11i功用的客户端不同，思科客户端能够在安全WPA或许WPA2方式下，直接衔接到思科一致无线网络基础设施。有必要指出的是，WPA2和WPA的个人版别并不需求凭仗RADIUS服务器。因而，思科主张将其用于维护家庭或许小型办公室/家庭办公室(SOHO)布置。

　　思科兼容扩展方案有助于保证多种WLAN客户端设备能够兼容和支撑思科WLAN基础设施产品的立异功用。因而，IT办理人员能够放心肠布置WLAN――即便在这些WLAN需求为多种客户端设备供给服务时。思科兼容扩展是一项重要的方案，能够供给无线网络所需求的端到端功用、RF办理、服务质量(QoS)和安全功用。经过该方案完成的一些重要的安全改善包含思科LEAP、PEAP和EAP-FAST方式，以及针对推迟灵敏型运用(例如WLAN语音)的安全快速周游和密钥缓存。其间部分功用现已规范组织逐渐选用，思科也在它们经过审阅之后供给给客户。

　　由于客户端功用关于整个网络的安全性具有重要的含义，思科和Intel环绕思科兼容扩展方案展开了亲近的协作。作为一个战略联盟协作伙伴，Intel现已凭仗它的CentrinoMobile技能到达了思科兼容状况。这项技能已用于许多的笔记本电脑。包含Acer、Dell、Fujitsu、IBM、HP和Toshiba在内的许多笔记本电脑供给商都供给了思科兼容笔记本电脑。

　　在客户端和网络之间布置双向身份验证

　　原始的802.11规范所短少的别的一项重要功用是网络和客户端之间的双向身份验证。WPA和IEEE802.11i添加了这项功用。这两项协议都为客户端和网络之间的双向身份验证选用了IEEE802.1X。

　　专用客户端的代替安全战略

　　假如客户端由于过于陈腐或许驱动程序不兼容而无法支撑802.11i、WPA2或许WPA，您或许无法运用这些加密和身份验证类型。在这种情况下，VPN能够作为维护无线客户端衔接的备用解决方案。经过运用VPN，以及运用多个SSID和VLAN进行网络分段(详见下文)，能够为具有多种不同客户端的网络供给一个强壮的解决方案。IP安全(IPSec)和SSLVPN能够供给与802.11i和WPA相似的安全等级。思科无线局域网操控器能够停止IPSecVPN地道，消除会集VPN服务器的潜在瓶颈。别的，思科一致无线网络支撑跨过子网的通明周游，因而那些对推迟灵敏的运用(例如无线IP语音[VoIP]或许Citrix)在周游时不会由于推迟过长而中止衔接。

　　假如这些办法都无法运用，您应当设置WEP。虽然WEP简单遭到一些来自互联网的东西的要挟，可是它至少能够对随意监听者起到必定的震慑效果。加上根据VLAN的用户分段(详见下文)，WEP能够有效地消除安全要挟。思科WLAN解决方案还支撑本地和RADIUSMAC过滤，这种办法适用于具有一个已知的802.11接入卡MAC地址列表的小型客户端群组。假如运用这种办法，就应当当即为采纳愈加严厉的安全办法拟定方案。

　　不管挑选何种无线安全解决方案，思科无线局域网操控器和选用轻型接入点协议(LWAPP)的CiscoAironet接入点之间的一切第二层有线通讯，都能够经过将数据经由LWAPP地道传输而得到维护。作为进一步的安全措施，也运用禁用功用，在到达由操作员限制的身份验证测验失利次数之后，阻止第二层拜访恳求。