北京 2012-05-21(中国商业电讯)--周树磊颓然坐到工位上再一次陷入郁闷之中,双手挠着头,眼神里充满了无助。这已经是最近一段时间第三次了!同一个问题连着三次出现,领导的语气一次强烈过一次!周树磊猜想最近可能是运气不太好,他甚至开始怀疑是不是自己的名字取得不太好,土木太盛。
其实事儿不大,说来也简单。行里本来上不准上外网,但领导们偶尔有需求也不能不满足,于是网络岗的人以周树磊为首接了几个无线AP,开条线路专门上外网,也算是领导们专线专用。一来二去AP越来越多,分行也都照着做,想刹也刹不住。后来行里默认了,但要求可控。原想着这些AP只给领导们用,谁想运维的那帮小子平时活干得不怎么样,破解倒是很有一套,密码破解了不说还能仿冒领导电脑的MAC地址上网,搞得领导们反而经常上不去。这不,连着三次,有行领导打电话过来问周树磊的领导上不了网是怎么回事,领导把这个责任最终算到了周树磊的头上。
按说MAC地址认证是通用做法,也算安全性比较高的手段,但架不住运维那个屋里的能人太多,三下五除二就破了障碍,因为MAC地址看起来都是合法的,出了事还找不着人。以太交换机上安全性倒是够高,用的是启明星辰的天珣做802.1X,开了用户、IP地址绑定,但支持无线802.1X的功能正在开发中,不知道现在是啥进展。想到这里周树磊拨通了天珣产品经理李想的电话。
“老李,无线802.1X你们还在做吗?”周树磊不抱多大希望。
“做完了啊,已经出版本了,6693,还想过两天出差回去跟你交流下呢。”
“别这两天了,就今天下午吧,我这里着急。”有点出乎意料的惊喜,周树磊恨不得马上见到李想,都没意识到对方在出差。
“行啊,那我先让我们的人过去给你介绍下,什么事啊这么急?”
“当面聊吧,下午两点啊,叫他直接过来找我就行。”
“行!”
放下电话周树磊有点莫名的兴奋和忐忑,兴奋的是有办法解决问题,忐忑的是不知道效果如何。下午,天珣的工程师准时出现,周树磊急急地抛出自己的问题。
其实周树磊关心的问题主要有两个,一是安全性,会不会启用了无线802.1X之后依然被破解。行里高手很多,再出岔子就难以交待了。二是兼容性,总行和分行都有AP,因为不是统一购买,品牌比较多,还有相当一部分是家用型的胖AP,兼容性有问题效果肯定大打折扣,也不好交待。但天珣工程师表示,他关心的问题都已经被天珣一一化解。
首先,安全性是最不用担心的,天珣不管有线802.1X还是无线802.1X都遵守标准协议,能有效避免重放攻击和嗅探。无线802.1X支持与有线802.1X相同的认证组合,现在该行有线使用用户IP绑定的组合条件,无线也能使用同样的认证条件。一来可以让用户保持原来的使用习惯,二来也增强了安全性,这种准入控制一旦实施就将让所有的破解手段失去用武之地。只是要升级客户端才行,领导那里会不会不好操作?但很快这个顾虑也被打消了,因为天珣升级支持指定终端静默升级,只在升级完成后提示,中间的过程用户没有感知。
其次,天珣无线802.1X准入能兼容多个品牌的胖AP、瘦AP,只要支持标准协议,天珣都可以实施802.1X准入,可以对业界各主流交换机品牌实施无线802.1X准入,家用型胖AP,如TP-Link等也均在支持之列。
最后一个让周树磊喜出望外的功能是,如果有人尝试用户口令失败,其信息将会被天珣客户端上报给服务器备查,这样一来那帮“坏小子”胆敢再以身试法,必定无处遁形。周树磊特别强调他一定会好好用这个功能,一天至少查三遍,逮着一个就让他周六周天加班并且自己负责伙食费。想到这里他感到少有的舒畅。
是夜,周树磊和启明星辰天珣的工程师加班到很晚,形成了一份整体解决方案,包括无线802.1X准入实施计划、实施步骤、新版本升级过程控制以及新版本增加功能对现有工作带来的便利。最后终稿时周树磊看着方案有点沾沾自喜,这次应该算是尘埃落定了吧。