虽然，WPA和WPA2-企业版本提供了功能强大的无线局域网访问控制，但是配置802.1X对员工和预算有限制的企业而言具有压倒性的吸引力。从外包到开源，再到预共享密码，本文中，TechTarget中国的特约专家描述了几个不太复杂或者费用较低的相关产品。

　　外包802.1X服务

　　WPA和WPA2-企业版本使用802.1X端口访问控制框架，验证无线用户。在企业网络中一般可以一起找到带有认证服务器的框架，比如RADIUS服务器、Windows活动目录、RSA SecurID 认证管理员和认证授权。没有认证服务器，并且不愿意安装认证服务器的公司可以将这个组件外包到服务提供商，比如McAfee或者Witopia。

　　这些供应商提供管理Wi-Fi认证服务。你的接入点可以通过TLS信道、跨因特网，将802.1X/受保护EAP的信息转发到供应商的RADIUS服务器，而不是咨询你的本地RADIUS服务器。在准许或者拒绝访问你的无线局域网之前，这个服务器可以验证工作站的身份和密码。通过管理员网络入口，可以在你的帐户中添加或者移除用户名。

　　这些服务的细节有些差异——比如，McAfee使用安装好的客户端软件或者客户向导来配置802.1X参数，而Witopia用入门指导自己进行安装。McAfee用与WPA-企业版相一致的参数来配置你的接入点，而Witopia是由你自己来为WPA 或者 WPA2-企业版配置接入点。无论哪种方法，基本的设置都非常简单。外包802.1X服务，你就可以比配置“个人”预共享机密略多一些的精力便可以实现“企业”安全。

　　有了管理服务，就又出现了费用问题。Witopia SecureMyWiFi开始一个接入点和五个用户，每年需要29美元。为了包括多于五个接入点和20个用户（每年84美元），需要进行报价。对于一个受保护的网络，小型企业的McAfee无线安全每月需要4.95美元；对于五个或者五个以上的网络，每月降到了3.99美元。通常都会有试用版下载、促销和批量折扣，因此要查看供应商的网站，以了解现在的价格。

　　构建你自己的802.1X基础设施

　　一些公司宁可构建自己的认证服务器，但是缺少预算来购买商业版的RADIUS产品。另一种方法就是考虑使用免费的RADIUS服务器，比如FreeRADIUS或者TinyPEAP。但是不要欺骗你自己：配置自己的RADIUS服务器需要更多的硬件、技术人员、以及至少需要一些辛勤工作。

　　为了运行FreeRADIUS，你需要额外的运行Linux、FreeBSD、OpenBSD、OSF/Unix 或者Solaris的时间和服务器硬件。FreeRADIUS是在GNU通用公共许可证下发布的，这就意味着FreeRADIUS可以免费下载和安装。当作为无线认证服务器使用时，FreeRADIUS可以处理EAP-MD5、EAP-SIM、EAP-TLS、EAP-TTLS、EAP-PEAP和LEAP的访问请求。你可以决定安全策略、服务器配置和用户证书。但是如果你一旦付出了努力，你就会拥有一个灵活的RADIUS服务器，可以用于其它用途，比如远程用户VPN认证。为无线网配置FreeRADIUS的相关建议可以在这里找到。

　　另外，TinyPEAP是一个特殊用途的RADIUS执行工具，可以在Linksys WRT54G/GS无线路由器或者Win32系统上运行。当TinyPEAP安装在兼容的Linksys路由器上时，它可以格式化（over-write）厂商的固件，用一个带有非常小的内置服务器创建一个路由器。当TinyPEAP安装在Windows系统上时，可以创建一个小型的RADIUS后台程序，附近的无线路由器可以进行咨询。在这两种情况下，TinyPEAP都只支持受保护EAP认证，对照用户名和密码的本地列表，检查802.1X请求。尽管TinyPEAP并不开源，但是测试版的二进制文件可以免费下载。

　　完全跳过802.1X

　　一些受到802.1X的全部理念吸引的公司使用WPA或者WPA2-个人版。当以功能强大的预共享密钥（PSK）为基础时，这些“个人版”的措施仍然代表WEP的一种改进。

　　当PSK太短或者由字典中可以找到的单词组成时，就可以很容易猜到。攻击者一般只需要捕获一些合法用户在连接到无线局域网时交换的信息包，然后运行一个字典式攻击工具，比如CoWPAtty。为了预防这种攻击，选择一个至少由20个随机的字母数字字符组成的PSK值。为了获得最佳效果，使用一个随机密码发生器，并且确保包括数字和混合的密码（比如，T2adREfasACach64a6Us）。

　　不论你的PSK多么的随机或者有多长，每个连接到你无线局域网中的用户必须知道这个密码，或者将其配置到他们的系统中。设定好的密码可以使得生活更便捷，因为他们无需记住或者正确地输入一长串的随机字符。但是如果一些人丢失了笔记本或者密码无人看管时，这个设定好的密码就会受到威胁。另一方面，提示输入PSK增加了如下情况发生的机率：用户将密码告知客户、将密码写在便签上或者透漏整个无线局域网的密码。

　　虽然，定期更新你的无线局域网PSK可以减少风险，但是，组密码最终只能到此为止。如果你的公司真正在乎如何使外界无法进入你的无线局域网——或者及时了解什么人在哪个端点正在使用你的无线局域网——那么，升级到WPA或者WPA2-企业版。