I. Wired Equivalent Privacy (WEP):
1. Các vấn đề cần xem xét khi triển khai 802.1X:
- Giải pháp 802.1X yêu cầu phải có AAA server để cung cấp xác thực theo người dùng. AAA server thường được đặt ở trung tâm dữ liệu (data center) đã được bảo vệ. Vì nó nằm ở layer 3 và có tốc độ chuyển mạch của đường dây (wire-speed) nên bạn có thể đo đạt được độ trễ của mạng giữa biên mạng (network edge) và data center vào khoảng vài milisecond hay thậm chí microsecond.
- Việc triển khai 802.1X trở nên phức tạp hơn khi phải triển khai qua kết nối WAN. Kết nối WAN thường có băng thông (bandwidth) thấp hơn so với kết nối LAN và kết quả là nghẽn có thể xuất hiện trên những kết nối này. Nghẽn có thể có những ảnh hưởng đáng kể lên xác thực 802.1X vì nó có thể drop (hủy bỏ) những gói tin RADIUS làm cho việc xác thực của trạm client bị time out như được minh họa trong hình dưới.
- Bạn có thể hạn chế ảnh hưởng bằng 2 cách sau:
+ Sử dụng QoS để ưu tiên các gói tin 802.1X RADIUS được truyền qua kết nối WAN
+ Cài đặt AAA server cục bộ ở chi nhánh
Ưu tiên gói tin 802.1X RADIUS sử dụng IP QoS:
- Phương pháp này cung cấp độ ưu tiên cho các gói tin 802.1X khi kết nối WAN xảy ra nghẽn. Đối với các mạng đã triển khai QoS để hỗ trợ các ứng dụng VoIP thì hầu như chúng ta không cần cấu hình gì thêm.
- VoIP thường có giá trị IP Precedence bằng 5 và giá trị DSCP (Differentiated Service Code Point) là EF (Expedited Forwarding). Video có IP Precedence bằng 4 và DSCP là AF41 đến AF43. Các giao thức điều khiển cuộc gọi VoIP (MGCP hay H.323) có IP Precedence bằng 3 và DSCP là AF31 đến AF33. Các gói tin 802.1X RADIUS có thể được xem như là control traffic nên có thể xếp vào IP Precedence bằng 3 và DSCP là AF31 đến AF33. Bảng dưới đây tóm tắt các giá trị này.
- Việc sử dụng QoS để ưu tiên traffic của 802.1X RADIUS không giải quyết được hết mọi vấn đề liên quan đến việc xác thực từ xa. Các vấn đề sau vẫn luôn tồn tại:
+ Không có dịch vụ WAN (WAN outage) + Độ trễ của WAN
- Nếu kết nối WAN bị đứt thì trạm client không thể truy cập vào WLAN cũng như tài nguyên cục bộ. Với kết nối WAN có độ trễ rất cao như vệ tinh cũng có những
ảnh hưởng xấu đến quá trình xác thực vì nó có thể làm cho việc xác thực bị time out làm cho hiệu năng hoạt động của station bị giảm sút nghiêm trọng.
Xác thực cục bộ ở chi nhánh:
- Xác thực cục bộ ở chi nhánh dường như là một giải pháp tốt để giải quyết vấn đề, nhưng nó cũng không phải là một công cụ chữa được bách bệnh. Việc triển khai AAA server ở chi nhánh có những vấn đề sau:
+ Chi phí – Đối với những công ty có nhiều chi nhánh thì cần ít nhất 1 server ở mỗi chi nhánh
+ Khả năng quản lý
- Số lượng authentication server có thể lên đến hàng ngàn tùy thuộc vào sự triển khai
- Việc phải tái tạo lại cơ sở dữ liệu người dùng cho một lượng lớn các chi nhánh có thể là một vấn đề khó thực hiện
- Việc truy cập của admin có thể là một vấn đề nếu như các admin ở chi nhánh cần thường xuyên truy cập vào server trung tâm
- Một số nhà sản xuất như Cisco đã tích hợp authentication server vào trong AP để giúp người dùng tiết kiệm chi phí và những rắc rối liên quan đến việc quản lý AAA server cục bộ như được minh họa trong hình dưới