利用集成工具為BYOD配置無(wú)線(xiàn)局域網(wǎng)

當涉及BYOD和無(wú)線(xiàn)局域網(wǎng)(WLAN)接入時(shí)，IT網(wǎng)絡(luò )團隊面臨著(zhù)進(jìn)退兩難的局面。他們沒(méi)有資源來(lái)手動(dòng)配置數百臺個(gè)人設備，然而，要求用戶(hù)配置自己的客戶(hù)端通常會(huì )招致錯誤和安全問(wèn)題。幸運的是，現在我們有工具可以自動(dòng)化個(gè)人設備配置，甚至執行不同水平的訪(fǎng)問(wèn)政策。關(guān)鍵在于網(wǎng)絡(luò )團隊要整合這些工具來(lái)獲得必要的訪(fǎng)問(wèn)控制。

現在，IT部門(mén)可以使用桌面管理系統和Active Directory組策略對象(AD GPO)來(lái)在企業(yè)配發(fā)的筆記本電腦上自動(dòng)配置企業(yè)WLAN憑證和設置，不過(guò)，這些工具通常不能用于智能手機或平板電腦。

而有了新自動(dòng)化WLAN聯(lián)網(wǎng)工具，用戶(hù)可以選擇一個(gè)指定的SSID，然后被導向到強制門(mén)戶(hù)初始頁(yè)面來(lái)登錄和接受服務(wù)條款。這可以立即將用戶(hù)路由到一些有限的訪(fǎng)客網(wǎng)絡(luò )，但這僅僅是第一步。一般情況下，企業(yè)需要更深入的工具來(lái)基于政策分配訪(fǎng)問(wèn)權限，這也是配置工具發(fā)揮作用的地方。

用于WLAN訪(fǎng)問(wèn)的自我配置工具

自動(dòng)化WLAN聯(lián)網(wǎng)工具的目的是讓用戶(hù)自己配置連接，而無(wú)需IT人員的協(xié)助。很多Wi-Fi智能手機和平板電腦允許用戶(hù)配置網(wǎng)絡(luò )連接設置，包括企業(yè)級WPA2 EAP參數和服務(wù)器/用戶(hù)證書(shū)。例如，一旦用戶(hù)被允許訪(fǎng)問(wèn)一個(gè)開(kāi)放的企業(yè)“訪(fǎng)客”WLAN，他們就可以訪(fǎng)問(wèn)URL來(lái)下載配置文件。這會(huì )變得很復雜，所以一些企業(yè)現在使用Cloudpath Networks的Xpress Connect等平臺，為Windows、Mac OSX、Ubuntu、Android和iOS用戶(hù)(包括非托管Windows BYOD的ActiveX)自動(dòng)化基于門(mén)戶(hù)的WLAN連接。

這種方法通過(guò)最大限度地減少依賴(lài)關(guān)系以適應不同設備和所有權，自動(dòng)化和簡(jiǎn)化WLAN聯(lián)網(wǎng)。它甚至可以與企業(yè)目錄以及證書(shū)頒發(fā)機構整合，從而為每個(gè)認證用戶(hù)/設備來(lái)安裝不同的WLAN憑證。然而，這種方法并不支持配置更新或者持續的執行，也不能擴展來(lái)滿(mǎn)足其他BYOD需求。

配置平臺 深化WLAN接入政策

當與網(wǎng)絡(luò )中內置的流量檢測功能整合時(shí)，自動(dòng)化WLAN聯(lián)網(wǎng)可以有具體的接入政策。在這種情況下，強制門(mén)戶(hù)網(wǎng)站可以為用戶(hù)提供相同的自行安裝鏈接，然后訪(fǎng)問(wèn)游客網(wǎng)絡(luò )，然后，WLAN接入點(diǎn)(AP)可以通過(guò)客戶(hù)端分類(lèi)政策配置，提供更為精確的網(wǎng)絡(luò )接入。

例如，Aerohive Networks的HiveAPs可以用客戶(hù)端分類(lèi)政策配置，基于Wi-Fi MAC地址前綴、操作系統和設備域來(lái)自動(dòng)重定向個(gè)人設備。這些分類(lèi)可以用來(lái)將不同的防火墻規則應用到未知的Android平臺而不是已知的iPad。通過(guò)這種方法，已知的iPad可能會(huì )被重定向到一個(gè)平臺，根據看到的用戶(hù)名來(lái)為設備安裝iOS配置文件，而未知的設備將被重定向到一個(gè)門(mén)戶(hù)網(wǎng)站，在該網(wǎng)站中，用戶(hù)將接收個(gè)人PSK，從而加入個(gè)人WPA2安全的WLAN。

這種方法側重于利用網(wǎng)絡(luò )本身以及其流量?jì)热輥?lái)自動(dòng)化WLAN聯(lián)網(wǎng)。結合WLAN流量檢測和防火墻功能與設備和OS指紋識別，簡(jiǎn)化了用戶(hù)設備連接到網(wǎng)絡(luò )的步驟。不過(guò)，更廣泛的BYOD管理可能需要額外的步驟或者IT資源。

移動(dòng)設備管理器(MDM)實(shí)現自動(dòng)登陸

移動(dòng)設備管理器(MDM)可以幫助IT部門(mén)部署更復雜的政策，它根據用戶(hù)或組、設備所有權、品牌和型號、操作系統級別、配置和完整性來(lái)分配接入權限。它們還可以更新設置來(lái)響應WLAN設計中持續的變化，以及執行實(shí)時(shí)政策來(lái)解決BYOD誤用或破壞問(wèn)題。

使用這種方法時(shí)，連接到開(kāi)放企業(yè)“訪(fǎng)客”WLAN的用戶(hù)被重定向到MDM注冊頁(yè)面(另外，用戶(hù)可能會(huì )接收包含個(gè)性化注冊網(wǎng)址的電子郵件或短信通知)。在接入注冊頁(yè)面時(shí)，用戶(hù)被要求登錄或者提供一個(gè)激活碼，這樣一來(lái)，MDM可以比較用戶(hù)或組、所有權和設備詳細信息，從而確定配置。如果個(gè)人設備被接受，系統會(huì )發(fā)出一個(gè)設備證書(shū)，并給設備配置很多設置和應用，包括企業(yè)WLAN憑證和連接、企業(yè)VPN通道和企業(yè)郵件設置。

很多MDM產(chǎn)品支持完整的設備注冊，并可以用來(lái)自動(dòng)化WLAN聯(lián)網(wǎng)，其中一些還專(zhuān)門(mén)與WLAN基礎設施集成。例如，Meraki為其企業(yè)云控制器客戶(hù)提供免費的基本款MDM。Aerohive與JAMF SoftwareLLC合作提供蘋(píng)果設備的自動(dòng)化MDM注冊。Aruba Networks公司提供ClearPass接入管理系統設備，該設備可通過(guò)已發(fā)布的API與第三方MDM整合。

這些只是WLAN基礎設施與MDM及其他自動(dòng)化BYOD接入配置工具整合的幾個(gè)例子。還有很多其他更多策略將會(huì )出現。如果你正在尋找一種方法來(lái)管理BYOD和WLAN接入，從詢(xún)問(wèn)WLAN和MDM供應商的WLAN聯(lián)網(wǎng)辦法開(kāi)始，確保他們考慮了自動(dòng)化、靈活性和設備的多樣性。