WEP(有线等效协议)已经被破解了，WPA(Wi-Fi保护接入协议)的安全性也好像是用绷带固定着。你的首席安全官建议升级到WPA2，这是很好的。但是，这个事情不可能在一个晚上完成。你如何让你已经安装的、过时的设备进行这种过渡呢?本期应用技巧提出一些进行这种过渡的可行的策略，让老式设备与具有多种安全功能的新设备和平共处。

升级你的设备

WPA2(WPA第二版)是Wi-Fi联盟对采用IEEE 802.11i安全增强功能的产品的认证计划。WPA2认证的产品自从2004年9月以来就上市了。目前，大多数企业和许多新的住宅Wi-Fi产品都支持 WPA2。截止到2006年3月，WPA2已经成为一种强制性的标准。

要确定你的产品是否支持WPA2，可查询Wi-Fi联盟认证产品列表。如果你的设备是老式设备，不是WPA1认证产品，你就要淘汰这种产品。如果不是立即淘汰的话也要很快淘汰这种产品。要把其它设备升级到WPA2，请查看你的厂商的技术支持网站，查询新的接入点硬件或者卡驱动程序。你需要出厂时间不超过两年的硬件设备。WPA2需要采用高级加密标准(AES)的芯片组。如果你要购买新的接入点，一定保证这些产品有WPA2认证。

升级你的软件

WPA2有两种风格：WPA2个人版和WPA2企业版。WPA2企业版需要一台具有802.1X功能的RADIUS(远程用户拨号认证系统)服务器。没有RADIUS服务器的SOHO用户可以使用WPA2个人版，其口令长度为20个以上的随机字符，或者使用McAfee无线安全或者 Witopia SecureMyWiFi等托管的RADIUS服务。

大多数企业喜欢使用自己内部的RADIUS服务器运行WPA2企业版。这类服务器包括思科ACS、FreeRADIUS、Funk Odyssey、Interlink RAD、Meetinghouse AEGIS、微软IAS或者Open.com Radiator。WPA和WPA2企业版的主要差别对RADIUS服务器几乎没有影响。因此，如果你已经在运行WPA，你也许不需要为WPA2升级额外的RADIUS服务器。

要运行这两个版本WPA2的任意一种版本，你还需要客户端软件。这种客户端软件也许包括操作系统补丁、一个802.1x申请或者新的无线网卡驱动程序。例如，Windows XP SP2已经支持WPA，但是，要使用WPA2，你还需要安装一个XP WPA2补丁。对于其它操作系统来说，你需要从你的无线设备厂商(如思科)或者第三方(如Funk、Meetinghouse、 wpa_supplicant、 Devicescape等公司)获得支持WPA2的客户端软件。WPA2客户端软件或者驱动程序也许永远不会出现在具有嵌入Wi-Fi功能的非典型设备中 (如WoWi-Fi手机和条形码扫描器)或者不支持AES的老式接口中。

实现共存

随着你升级到WPA2，你要开始逐步淘汰老式的、不安全的设备。现实地说，你可能要在一段时间里要继续支持WPA或者WEP。换句话说，你需要有一个你目前拥有的设备和WPA2设备之间共存的计划。

一个策略是把WPA2当作一个新的overlay网络。这就意味着与老式的接入点并排安装新的接入点，使用不同的安全策略和名称创建两个独立的无线局域网。这种方法代价昂贵，但是，如果你准备用下一代交换的无线局域网替代老式的无线局域网的时候，这样做还是有意义的。

另一个策略是更新现有接入点的硬件或者更换接入点，逐步升级你的无线局域网基础设施以支持WPA2。幸运的是WPA认证的产品必须要向下兼容正在使用之中的WPA产品。大多数企业级接入点都可以设置为同时支持新的和老的安全策略。过一段时间，随着老式客户端设备被淘汰或者升级，你可以撤销老的安全策略。

至少有两种方法能够实现这种多策略无线局域网：

如果你的无线局域网支持多个SSID，你可以为WPA2定义一个新的SSID，保留老的SSID和相关的安全策略。例如，当T-Mobile为其热点增加WPA的时候，它创建了一个新的SSID。运行T-Mobile连接管理器的客户现在通过与“tmobile1x”关联使用WPA企业版，同时，非WPA客户仍然能够与老的“tmobile”关联。在这种情况下，同一个物理接入点可能以多种虚拟接入点的方式出现，避免对老客户产生任何影响。

如果你的接入点支持WPA2混合模式，你可以扩展目前的SSID以支持多个安全策略。使用这种Wi-Fi联盟选择，接入点能够为播出几种密码 (如TKIP[WPA]、XXMP[WPA2])的一个SSID发送无线电信标。从接入点列表中选择一种密码取决于这个客户端软件。当然，这个客户端软件必须能够理解这个接入点的无线电信标。需要指出的是，由于TKIP是用于加密局域网广播/多播出的，老的WEP客户端软件在混合模式下也许不能工作。一些接入点提供其它厂商专有的选择，如思科的WPA过渡模式。如果你的无线局域网是相同性质的并且你的客户端设备组合不能得到其它替代方法的支持，你可以考虑厂商专有的选择。无论你采取什么方法实现这个目标，WPA2与较弱的安全措施共存应该是一种临时的步骤。在过渡期间，你也许要把WPA2和非WPA2通讯分开，使用不同的虚拟局域网标签标记来自老的和新的SSID的通讯，然后根据这些不同的标签来采用不同的通讯策略。为什么?攻击者喜欢容易摘到的水果。你的比较老的接入点、SSID和密码选择更容易吸引这些黑客的注意。

客户端设置

如果SOHO无线局域网向WPA2个人版过渡，客户端设置需要一些努力。一旦你拥有了升级的客户端软件，从设置菜单中选择“WPA2- PSK”，输入一组口令字段，你就可以运行了。如果你用Windows XP使用一个具有WPA2功能的卡，但是没有看到把“WPA2-PSK”当作一种设置选择，那就是你也许没有安装XP WPA2补丁。如果你已经安装了这个补丁，但是，仍然没有看到这个选择，你可能是丢失了WPA2卡驱动程序。不要被使用AES支持WPA的产品所欺骗。那不是WPA2。要使用WPA2个人版，卡和接入点必须要选择WPA2-PSK和AES。

在无线局域网向WPA2企业版过渡的情况下，特别是大型的无线局域网，升级客户端软件是一项繁重的工作。除了升级客户端软件之外，你必须要选择一种802.1X认证方式，发布(或者重新使用)客户证书，把你的RADIUS服务器与一个用户账户数据库捆绑在一起。好消息是如果你使用WPA企业版，你就已经覆盖了这些领域，不需要再做这些事情了。否则，请你阅读本应用技巧的姊妹篇“选择正确风格的802.1X”，继续进行你的WPA2企业版升级。