利用集成工具為BYOD配置無(wú)線局域網(wǎng)

當(dāng)涉及BYOD和無(wú)線局域網(wǎng)(WLAN)接入時(shí)，IT網(wǎng)絡(luò)團(tuán)隊(duì)面臨著進(jìn)退兩難的局面。他們沒(méi)有資源來(lái)手動(dòng)配置數(shù)百臺(tái)個(gè)人設(shè)備，然而，要求用戶配置自己的客戶端通常會(huì)招致錯(cuò)誤和安全問(wèn)題。幸運(yùn)的是，現(xiàn)在我們有工具可以自動(dòng)化個(gè)人設(shè)備配置，甚至執(zhí)行不同水平的訪問(wèn)政策。關(guān)鍵在于網(wǎng)絡(luò)團(tuán)隊(duì)要整合這些工具來(lái)獲得必要的訪問(wèn)控制。

現(xiàn)在，IT部門可以使用桌面管理系統(tǒng)和Active Directory組策略對(duì)象(AD GPO)來(lái)在企業(yè)配發(fā)的筆記本電腦上自動(dòng)配置企業(yè)WLAN憑證和設(shè)置，不過(guò)，這些工具通常不能用于智能手機(jī)或平板電腦。

而有了新自動(dòng)化WLAN聯(lián)網(wǎng)工具，用戶可以選擇一個(gè)指定的SSID，然后被導(dǎo)向到強(qiáng)制門戶初始頁(yè)面來(lái)登錄和接受服務(wù)條款。這可以立即將用戶路由到一些有限的訪客網(wǎng)絡(luò)，但這僅僅是第一步。一般情況下，企業(yè)需要更深入的工具來(lái)基于政策分配訪問(wèn)權(quán)限，這也是配置工具發(fā)揮作用的地方。

用于WLAN訪問(wèn)的自我配置工具

自動(dòng)化WLAN聯(lián)網(wǎng)工具的目的是讓用戶自己配置連接，而無(wú)需IT人員的協(xié)助。很多Wi-Fi智能手機(jī)和平板電腦允許用戶配置網(wǎng)絡(luò)連接設(shè)置，包括企業(yè)級(jí)WPA2 EAP參數(shù)和服務(wù)器/用戶證書。例如，一旦用戶被允許訪問(wèn)一個(gè)開(kāi)放的企業(yè)“訪客”WLAN，他們就可以訪問(wèn)URL來(lái)下載配置文件。這會(huì)變得很復(fù)雜，所以一些企業(yè)現(xiàn)在使用Cloudpath Networks的Xpress Connect等平臺(tái)，為Windows、Mac OSX、Ubuntu、Android和iOS用戶(包括非托管Windows BYOD的ActiveX)自動(dòng)化基于門戶的WLAN連接。

這種方法通過(guò)最大限度地減少依賴關(guān)系以適應(yīng)不同設(shè)備和所有權(quán)，自動(dòng)化和簡(jiǎn)化WLAN聯(lián)網(wǎng)。它甚至可以與企業(yè)目錄以及證書頒發(fā)機(jī)構(gòu)整合，從而為每個(gè)認(rèn)證用戶/設(shè)備來(lái)安裝不同的WLAN憑證。然而，這種方法并不支持配置更新或者持續(xù)的執(zhí)行，也不能擴(kuò)展來(lái)滿足其他BYOD需求。

配置平臺(tái) 深化WLAN接入政策

當(dāng)與網(wǎng)絡(luò)中內(nèi)置的流量檢測(cè)功能整合時(shí)，自動(dòng)化WLAN聯(lián)網(wǎng)可以有具體的接入政策。在這種情況下，強(qiáng)制門戶網(wǎng)站可以為用戶提供相同的自行安裝鏈接，然后訪問(wèn)游客網(wǎng)絡(luò)，然后，WLAN接入點(diǎn)(AP)可以通過(guò)客戶端分類政策配置，提供更為精確的網(wǎng)絡(luò)接入。

例如，Aerohive Networks的HiveAPs可以用客戶端分類政策配置，基于Wi-Fi MAC地址前綴、操作系統(tǒng)和設(shè)備域來(lái)自動(dòng)重定向個(gè)人設(shè)備。這些分類可以用來(lái)將不同的防火墻規(guī)則應(yīng)用到未知的Android平臺(tái)而不是已知的iPad。通過(guò)這種方法，已知的iPad可能會(huì)被重定向到一個(gè)平臺(tái)，根據(jù)看到的用戶名來(lái)為設(shè)備安裝iOS配置文件，而未知的設(shè)備將被重定向到一個(gè)門戶網(wǎng)站，在該網(wǎng)站中，用戶將接收個(gè)人PSK，從而加入個(gè)人WPA2安全的WLAN。

這種方法側(cè)重于利用網(wǎng)絡(luò)本身以及其流量?jī)?nèi)容來(lái)自動(dòng)化WLAN聯(lián)網(wǎng)。結(jié)合WLAN流量檢測(cè)和防火墻功能與設(shè)備和OS指紋識(shí)別，簡(jiǎn)化了用戶設(shè)備連接到網(wǎng)絡(luò)的步驟。不過(guò)，更廣泛的BYOD管理可能需要額外的步驟或者IT資源。

移動(dòng)設(shè)備管理器(MDM)實(shí)現(xiàn)自動(dòng)登陸

移動(dòng)設(shè)備管理器(MDM)可以幫助IT部門部署更復(fù)雜的政策，它根據(jù)用戶或組、設(shè)備所有權(quán)、品牌和型號(hào)、操作系統(tǒng)級(jí)別、配置和完整性來(lái)分配接入權(quán)限。它們還可以更新設(shè)置來(lái)響應(yīng)WLAN設(shè)計(jì)中持續(xù)的變化，以及執(zhí)行實(shí)時(shí)政策來(lái)解決BYOD誤用或破壞問(wèn)題。

使用這種方法時(shí)，連接到開(kāi)放企業(yè)“訪客”WLAN的用戶被重定向到MDM注冊(cè)頁(yè)面(另外，用戶可能會(huì)接收包含個(gè)性化注冊(cè)網(wǎng)址的電子郵件或短信通知)。在接入注冊(cè)頁(yè)面時(shí)，用戶被要求登錄或者提供一個(gè)激活碼，這樣一來(lái)，MDM可以比較用戶或組、所有權(quán)和設(shè)備詳細(xì)信息，從而確定配置。如果個(gè)人設(shè)備被接受，系統(tǒng)會(huì)發(fā)出一個(gè)設(shè)備證書，并給設(shè)備配置很多設(shè)置和應(yīng)用，包括企業(yè)WLAN憑證和連接、企業(yè)VPN通道和企業(yè)郵件設(shè)置。

很多MDM產(chǎn)品支持完整的設(shè)備注冊(cè)，并可以用來(lái)自動(dòng)化WLAN聯(lián)網(wǎng)，其中一些還專門與WLAN基礎(chǔ)設(shè)施集成。例如，Meraki為其企業(yè)云控制器客戶提供免費(fèi)的基本款MDM。Aerohive與JAMF SoftwareLLC合作提供蘋果設(shè)備的自動(dòng)化MDM注冊(cè)。Aruba Networks公司提供ClearPass接入管理系統(tǒng)設(shè)備，該設(shè)備可通過(guò)已發(fā)布的API與第三方MDM整合。

這些只是WLAN基礎(chǔ)設(shè)施與MDM及其他自動(dòng)化BYOD接入配置工具整合的幾個(gè)例子。還有很多其他更多策略將會(huì)出現(xiàn)。如果你正在尋找一種方法來(lái)管理BYOD和WLAN接入，從詢問(wèn)WLAN和MDM供應(yīng)商的WLAN聯(lián)網(wǎng)辦法開(kāi)始，確保他們考慮了自動(dòng)化、靈活性和設(shè)備的多樣性。