WEP已经破解了，WPA是解决这个问题的方法，而且你的CSO建议将其升级为WPA2。不错的建议，但是这并非一朝一夕的事。你如何转移你遗留设备的安装基础？本节技巧中，为转移工作提出了一个可行的策略，允许具有不同安全特性的新旧设备和平共存。

　　升级设备

　　WPA版本2(WPA2)是Wi-Fi联盟认证项目，专为那些执行IEEE 802.11i 安全强化的产品而开发的。自2004年9月以来，就产生了WPA2认证的产品。今天，大多数企业和许多新住宅性Wi-Fi产品都支持WPA2，并且从2006年3月起，WPA2是强制使用的。

　　为了确定你的设备是否兼容WPA2，可以查询Wi-Fi联盟认证产品列表。如果你的设备比较陈旧，而且不是WPA (版本1)认证的产品，那么让这个设备退休——如果不能立即更换，也要尽快更换。核查厂商的技术支持网站中的接入点固件或者插件驱动程序，进而对其它设备进行升级。你需要的硬件应该是使用不超过两年的；WPA2需要执行高级加密标准（AES）的芯片集。如果你正在购买新的接入点，确保它们是经过WPA2认证的。

　　升级软件

　　WPA2有两个流行版本：WPA2-个人版和WPA2-企业版。WPA2-企业版需要一个802.1X-capable RADIUS服务器。没有RADIUS的小型办公室或家庭办公室可以使用带有20+随机字符密码的WPA2-个人版，或者使用诸如McAfee Wireless Security或者Witopia SecureMyWiFi 的主机RADIUS服务。

　　大多数企业更喜欢用其内部的RADIUS服务器，比如Cisco ACS、FreeRADIUS、Funk Odyssey、Interlink RAD、Meetinghouse AEGIS、Microsoft IAS、或者Open.com Radiato，来运行WPA2-企业版。WPA和WPA2-企业版的差异几乎不会影响到RADIUS服务器，这样，如果你已经运行WPA，WPA2的升级可能不需要其它额外的RADIUS。

　　运行这两种版本的WPA2，你都需要客户端软件。这可能涉及到操作系统的补丁、802.1X申请、和/或者新的无线网卡驱动程序。比如，虽然Windows XP SP2已经支持WPA，但是使用WPA2要求安装XP WPA2补丁。对于其它操作系统，你需要WPA2-capable客户端软件，这些可以从无线经销商（例如，思科）或者第三方（比如，Funk、Meetinghouse、wpa_supplicant、Devicescape）那里获得。WPA2客户端和驱动程序可能永远不会支持内嵌有Wi-Fi的非典型设备（比如，VoWi-Fi phones、bar code scanners）和老化的适配器，这样的适配器根本无法支持AES。

　　兼容

　　当你升级为WPA2时，就要开始逐步淘汰老化、安全性不佳的设备。实际上，你可能需要继续支持WPA和/或WEP一段时间。换句话说，你需要制定一个计划，以确保你现在拥有的设备与WPA2能够共兼容。

　　策略之一就是作为一个新的覆盖网络来部署WPA2。这意味着与旧的接入点并行安装新的接入点，用不同的安全策略和名称（扩展服务集标识符、a.k.a.服务集标识符（SSID））创建两个独立的无线局域网。虽然这种方法比较昂贵，但是如果无论如何你已经准备好一个“升降机”式的升级——比如，当用下一代交换式无线局域网置换遗留下来的无线局域网时——这种方法便可以发挥作用。

　　另一个策略是在现有的接入点上升级固件和/或置换接入点，逐步升级你的无线局域网基础设施，以支持WPA2。所幸的是，WPA2认证的产品必须支持WPA，以反向地兼容同类产品。大多数商业级接入点可以配置为既支持旧的安全策略，同时也支持新的安全策略。随着时间的推移，停止使用或者升级原有客户端，你就可以消除旧的安全策略。

　　这种多策略的无线局域网至少可以用两种方法实现：

• 如果你的接入点支持多个服务集标识符，那么为WPA2确定一个新的服务集标识符，保护旧的服务集标识符和相关的安全策略。比如，当T-Mobile将WPA添加到其热点上时，它就创建了一个新的服务集标识符。对于那些运行T-Mobile的连接管理器的客户端，只要与“tmobile1x”联合，现在就可以使用WPA-企业版；而非WPA客户端仍然可以与旧的“tmobile”联合。在这种情况下，相同的物理接入点可以呈现为多个虚拟接入点，避免对较旧的客户端产生任何影响。
• 如果你的接入点支持WPA2的混合模式，你可以扩展现有的服务集标识符，进而支持多个安全策略。有了这个Wi-Fi联盟的WPA2选项，接入点就可以通过某个服务集标识符发送信标，告知几个密码（比如，TKIP [WPA]、CCMP [WPA2]）。客户可以从接入点列表中选择一个密码，这个客户当然必须能够理解接入点的信标。请注意，由于TKIP适用于对局域网广播/多点发送进行加密，因此，旧的WEP客户端可能不能在混合模式下工作。

　　一些接入点提供了其它厂商专用的选项，比如Cisco的WPA转移模式。如果你的无线局域网是同源的，并且你的客户设备组合不能由其它设备支持，考虑使用厂商专有的选项。

　　不论你怎么实现，WPA2与较弱的安全措施相兼容应该是临时的一步。在过渡期间，你可能需要将WPA2和非WPA2分隔开来——比如，对来源于旧服务集标识符和新服务集标识符的信息流分别应用不同的虚拟局域网标签，然后，使用以这些标签为基础的不同信息流策略。为什么呢？因为攻击者喜欢挂的较低的果实；比较旧的接入点、服务集标识符和密码选项更容易吸引他们的注意力。

　　配置客户端

　　SOHO的无线局域网发展为WPA2-个人版时，客户端的配置几乎不需要费多少力气。只要你已经升级了客户端软件，从配置菜单中选择“WPA2-PSK”，输入一组密码，那么你就可以继续进行配置了。如果你正在Windows XP中使用WPA2-capable网卡，那么不要将WPA2-PSK视为一个配置选项，因为你尚未安装XP WPA2补丁。如果你已经安装了补丁，但是没有看到这个选项，你就漏掉了WPA2网卡驱动器。另外，不要被采用AES支持WPA的产品所迷惑——这并不是WPA2。要使用WPA2-个人版，网卡和接入点都必须选择WPA2-PSK 和AES。

　　无线局域网发展为WPA2-企业版时，尤其是大型的无线局域网，升级客户端是一项艰巨的任务。除了升级客户端软件，你必须选用一个802.1X认证方法、发行（或者重新使用）客户证书、并且将RADIUS服务器连接到一个用户帐户数据库中。好消息是，如果你已经配置了WPA-企业版，那么你的工作就已经涵盖了这一方面，就无需再进行这项工作。否则，请阅读我们的相关技巧“选择合适的802.1X版本”，并继续对你的WPA2-企业版进行升级。