Skip to main content
Français
Tarifs

WiFi sur les campus universitaires : eduroam, résidences universitaires et BYOD à grande échelle

Cette architecture de référence propose des stratégies de déploiement avancées pour le WiFi sur les campus universitaires, couvrant les mécanismes de fédération eduroam, la micro-segmentation VLAN par chambre dans les résidences universitaires et l'intégration automatisée de certificats BYOD à grande échelle. Elle fournit aux responsables informatiques et aux architectes réseau des conseils neutres vis-à-vis des fournisseurs et immédiatement exploitables pour renforcer la sécurité, réduire la charge du support technique et offrir une expérience de connectivité fluide dans les environnements académiques et résidentiels.

📖 8 min de lecture📝 1,940 mots🔧 2 exemples3 questions📚 10 termes clés

🎧 Écouter ce guide

Voir la transcription
Welcome to the Purple Technical Briefing. I'm your host, and today we're diving deep into the reference architecture for University Campus WiFi. We'll be covering eduroam federation, managing residence halls at scale, and BYOD onboarding for thousands of concurrent users. For IT directors and network architects in higher education, the campus network is mission-critical infrastructure. It's not simply about coverage anymore. It's about handling immense device density, securing the perimeter, and providing a frictionless user experience for tens of thousands of concurrent users — students, faculty, visiting researchers, and a growing fleet of IoT devices. Let's begin with eduroam. It's the backbone of academic mobility worldwide, operating in over 100 countries. But how does it actually work at scale? The architecture relies on an 802.1X framework paired with a hierarchical RADIUS proxy system. When a visiting student connects to your local eduroam SSID, your access point — acting as the Network Access Server — sends an EAP request to your campus RADIUS server. Your server inspects the realm: the domain portion after the at-symbol in the user's identity. If that realm doesn't match your local domain, your RADIUS server proxies the request up to a national proxy. In the UK, that's JANET. In Europe, it's GÉANT. That proxy then routes the request to the student's home institution. The home Identity Provider validates the credentials against its directory — Active Directory or LDAP — and sends an Access-Accept or Access-Reject message back down the chain. The golden rule here is what I call the 'Home Always Knows' principle. The visited institution never sees the password. Authentication always resolves at the home institution. This is a critical security property. If a visiting researcher from Edinburgh arrives at your campus in Bristol, your RADIUS server is simply a relay. You are never in possession of their credentials. This has important implications for troubleshooting. If a visiting user cannot connect, and your local RADIUS logs confirm the request is being forwarded outward, the problem lies upstream — either at the national proxy or at the home institution. Escalate accordingly. Now, let's talk about the most challenging RF environment on any campus: the residence hall. You have massive device density — sometimes three to five devices per student — concrete and masonry walls, fire doors, and a flood of consumer IoT devices including smart speakers, gaming consoles, streaming sticks, and wireless printers. The legacy approach of deploying a flat subnet across an entire building is a recipe for operational disaster. Broadcast storms, security vulnerabilities, and a degraded user experience are the inevitable outcomes. A single compromised device on a flat network has lateral movement access to every other device in the building. The modern architectural standard is Per-Room VLAN mapping. Using your Network Access Control system, you dynamically assign a unique VLAN to every individual dorm room or suite. When a student authenticates, RADIUS evaluates their identity and location attributes, and drops them into their specific micro-segment. We describe this as creating a Personal Area Network — a PAN — around each room. The student's phone can discover and communicate with their Apple TV or wireless printer, but they are completely isolated from the room next door. This architecture requires in-room AP deployments. Hallway access points are an anti-pattern for modern high-density environments. When APs are deployed in a long corridor, they can hear each other perfectly, causing severe co-channel interference. More critically, the RF signal must penetrate thick fire doors and masonry walls to reach devices inside the rooms — exactly where users are. The result is poor signal quality and low throughput precisely where it matters most. The correct approach is one AP per room, or one AP per two rooms in newer construction, with transmit power reduced to create clean RF boundaries. Now let's address BYOD onboarding. The start of the academic year is a high-stakes event for any university IT team. In the first 48 hours of term, you may need to onboard 10,000 or more devices. A manual or poorly designed onboarding process will overwhelm the helpdesk. I've seen institutions where the WiFi helpdesk queue hits 2,000 tickets within 24 hours of term starting. That is entirely avoidable. A scalable BYOD architecture moves away from manual PEAP configuration — where students must enter complex EAP settings by hand — and instead relies on automated certificate provisioning. The optimal flow uses an open onboarding SSID that restricts traffic to the captive portal and provisioning servers only. The student connects, gets redirected to a branded self-service portal, authenticates via Single Sign-On using their university credentials, and downloads a small configuration payload. That payload uses SCEP — the Simple Certificate Enrollment Protocol — or EST to request a unique client certificate from your campus Certificate Authority. Once the certificate is installed, the device automatically drops the onboarding connection and associates with the secure 802.1X network using EAP-TLS. This is the critical shift: you are decoupling WiFi authentication from the user's directory password. When a student changes their AD password — which many institutions force every 90 days — their WiFi connection is completely unaffected. The certificate remains valid for its full lifetime, typically one to four years. This single architectural decision eliminates the number one cause of WiFi helpdesk tickets in higher education. For headless IoT devices — gaming consoles, smart TVs, Chromecasts — that do not have a native 802.1X supplicant, you implement a self-service device registration portal. Students log in with their university credentials and register the MAC address of their device. Your NAC system uses MAC Authentication Bypass, or MAB, to authenticate that registered MAC address and place the device into the student's designated Per-Room VLAN. This ensures the Xbox in Room 214 is on the same micro-segment as the student's laptop and phone, enabling local discovery protocols to function correctly. Let me now walk through the key implementation steps for this architecture. First, standardise your identity store. Ensure your Active Directory or LDAP directory is clean, with well-defined groups for students, faculty, staff, and guests. This is foundational for policy enforcement. Garbage in, garbage out. Second, deploy a robust NAC solution with high availability. Your RADIUS infrastructure must handle peak loads without timeout failures. Implement load balancing across multiple RADIUS nodes, and tune EAP timers on your wireless LAN controller to accommodate slight proxy delays during peak periods. Third, configure your eduroam RADIUS proxies correctly. Establish secure tunnels to your national roaming operator and implement strict realm routing rules. You must prevent routing loops and ensure only valid, registered realms are proxied outward. Fourth, implement device registration for IoT. The self-service portal must be simple enough for a first-year student to use without IT assistance. Tie it directly to your NAC for automatic VLAN assignment. Fifth, optimise your RF design for high density. Commission a proper RF survey before deployment. In residence halls, plan for in-room coverage. In lecture theatres and libraries, use high-density APs with directional antennas and disable legacy data rates below 12 megabits per second to force clients to roam to the optimal AP. Now let's cover the common pitfalls and how to mitigate them. RADIUS timeout failures during peak onboarding are the most common operational issue. The mitigation is pre-emptive capacity planning: load test your RADIUS infrastructure before term starts, not during it. IoT device discovery failures are the second most common complaint. Students report that they cannot cast to their smart TVs. If devices are on separate VLANs, you need an mDNS gateway or Bonjour proxy service to forward multicast DNS traffic across the VLAN boundary. Configure this carefully — you want to allow discovery within a Per-Room VLAN, not broadcast it across the entire building. Rogue DHCP servers are a persistent threat. A student plugging a consumer router into a dorm room Ethernet port can take down the entire subnet. Enforce DHCP Snooping and BPDU Guard on all access switch ports without exception. Finally, let's talk about the business impact and ROI. Automated certificate-based BYOD onboarding can reduce WiFi-related helpdesk tickets by up to 70% during the critical start-of-term period. That translates directly to reduced staffing costs and faster resolution times for the tickets that do come in. Micro-segmentation through Per-Room VLANs dramatically reduces the blast radius of a compromised device. In a flat network, ransomware can propagate laterally across the entire building. In a micro-segmented architecture, it is contained to a single room's VLAN. By integrating network telemetry with analytics platforms, universities can make data-driven decisions about space utilisation, AP placement, and capacity planning. Real-time heatmaps and client association data can inform facilities management decisions about study space allocation and HVAC scheduling. Let me close with a rapid-fire summary of the key decisions every campus IT architect needs to make. On eduroam: use EAP-TLS for managed devices and EAP-TTLS or PEAP only as a fallback for unmanaged. Always monitor your RADIUS proxy logs, not just the local authentication logs. On residence halls: deploy in-room APs, implement Per-Room VLANs via NAC, and build a self-service IoT registration portal before the first day of term. On BYOD: automate certificate provisioning. Do not rely on users to manually configure 802.1X settings. The onboarding experience must be as simple as connecting to a consumer WiFi network. On IoT: treat IoT devices as a separate policy class. Register them by MAC, assign them to the correct micro-segment, and never put them on the same VLAN as managed endpoints. To summarise: the university campus WiFi challenge is fundamentally a policy and identity problem, not just a radio frequency problem. Get your identity infrastructure right, automate onboarding, and micro-segment your residential network. Those three decisions will define the quality of your campus connectivity for the next decade. Thank you for joining the Purple Technical Briefing. For further guidance on campus network architecture, guest WiFi solutions, and WiFi analytics, visit purple.ai.

header_image.png

Résumé Exécutif

Pour les universités modernes, le réseau WiFi du campus n'est plus un simple agrément — c'est une infrastructure critique qui soutient la prestation académique, la vie étudiante et l'efficacité opérationnelle. À mesure que les établissements d'enseignement supérieur se développent, les équipes informatiques sont confrontées à une triade de défis réseau complexes : gérer la fédération fluide et sécurisée d'eduroam, concevoir des environnements micro-segmentés à haute densité dans les résidences universitaires, et automatiser l'intégration des appareils personnels (BYOD) pour des dizaines de milliers d'utilisateurs simultanés.

Ce guide de référence fournit aux dirigeants informatiques seniors, aux architectes réseau et aux directeurs des opérations de site un plan pratique et neutre vis-à-vis des fournisseurs pour la connectivité du campus. Nous examinons le modèle de proxy RADIUS hiérarchique qui alimente eduroam, détaillons la mise en œuvre de VLAN par chambre pour sécuriser les appareils des étudiants, et décrivons un cycle de vie robuste d'enregistrement des appareils. En adoptant ces normes architecturales, les institutions peuvent réduire considérablement la charge du support technique, assurer la conformité avec les réglementations de protection des données et offrir une expérience numérique fluide dans les espaces académiques et résidentiels. Les principes explorés ici sont également transférables aux environnements Hôtellerie et Santé où la connectivité multi-locataires à haute densité est un défi opérationnel quotidien.

Approfondissement Technique

L'architecture de fédération eduroam

eduroam (education roaming) est le service d'accès itinérant sécurisé et mondial développé pour la communauté internationale de la recherche et de l'éducation. Il permet aux étudiants, chercheurs et personnel des institutions participantes d'obtenir une connectivité internet sur le campus et lors de la visite d'autres institutions participantes, simplement en ouvrant leur ordinateur portable ou en connectant leur appareil mobile — aucune configuration manuelle n'est requise sur le site visité.

En coulisses, eduroam s'appuie sur un cadre d'authentification IEEE 802.1X couplé à une architecture de proxy RADIUS (Remote Authentication Dial-In User Service) hiérarchique. Lorsqu'un utilisateur tente de se connecter au SSID eduroam dans une institution visitée (le fournisseur de services, ou SP), le point d'accès local agit comme serveur d'accès réseau (NAS). Il transmet la demande d'authentification via le protocole d'authentification extensible (EAP) au serveur RADIUS du campus.

Si le domaine de l'utilisateur (par exemple, @university.edu) ne correspond pas au domaine local, le serveur RADIUS du campus transmet la demande à un proxy RADIUS national — JANET au Royaume-Uni, GÉANT au niveau paneuropéen. Le proxy national achemine la demande vers l'institution d'origine de l'utilisateur (le fournisseur d'identité, ou IdP), qui valide les identifiants par rapport à son magasin d'identités (Active Directory ou LDAP) et renvoie un message Access-Accept ou Access-Reject via la chaîne de proxy.

eduroam_architecture_diagram.png

Cette architecture garantit que les identifiants des utilisateurs ne sont jamais exposés à l'institution visitée, maintenant des normes strictes de sécurité et de confidentialité conformes aux exigences du GDPR. Le campus visité ne détient ni ne traite jamais le mot de passe de l'utilisateur — il n'est transmis et vérifié qu'à l'institution d'origine.

Micro-segmentation des résidences universitaires : VLAN par chambre

Les résidences universitaires présentent l'un des environnements RF les plus difficiles en matière de réseaux d'entreprise. La densité des appareils — souvent trois à cinq par étudiant — combinée à la prolifération de l'IoT grand public (enceintes intelligentes, consoles de jeux, clés de streaming, imprimantes sans fil), crée un environnement qui submerge rapidement les architectures réseau plates. Les réseaux de dortoirs traditionnels à sous-réseau unique génèrent un trafic de diffusion excessif, créent d'importantes vulnérabilités de sécurité et produisent une expérience utilisateur dégradée à mesure que les appareils se découvrent mutuellement dans tout le bâtiment.

L'approche standard de l'industrie est le mappage VLAN par chambre. Dans cette architecture, le système de contrôle d'accès réseau (NAC) attribue dynamiquement un VLAN unique à chaque chambre ou suite de dortoir. Lorsqu'un étudiant connecte son smartphone, son ordinateur portable ou son appareil IoT enregistré, le serveur RADIUS évalue l'identité de l'utilisateur et les attributs de localisation, les attribuant à leur micro-segment spécifique. Cela crée une expérience de réseau personnel (PAN) : les appareils de l'étudiant peuvent communiquer entre eux (par exemple, diffuser depuis un téléphone vers une Apple TV), mais sont complètement isolés des appareils de la chambre adjacente.

residence_hall_vlan_diagram.png

Pour gérer cela à grande échelle, les équipes informatiques doivent mettre en œuvre l'attribution dynamique de VLAN à l'aide de 802.1X pour les appareils compatibles (ordinateurs portables, smartphones), et le MAC Authentication Bypass (MAB) couplé à un portail d'enregistrement d'appareils pour les appareils IoT sans interface qui ne prennent pas en charge l'authentification d'entreprise. L'attribution de VLAN est renvoyée par le serveur RADIUS comme un attribut standard dans le message Access-Accept (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID).

Intégration BYOD à grande échelle

Au début de l'année universitaire, les universités connaissent des pics d'intégration massifs. Un processus BYOD manuel ou mal conçu submergera le support technique informatique en quelques heures. Une architecture évolutive repose sur le provisionnement automatisé de certificats plutôt que d'exiger des utilisateurs qu'ils configurent manuellement des paramètres EAP complexes ou qu'ils se souviennent de mettre à jour leur configuration WiFi chaque fois que leur mot de passe de répertoire change.

Le flux optimal utilise un SSID d'intégration ouvert qui restreint l'accès à un Captive Portal et aux serveurs de provisionnement nécessaires. Les utilisateurs s'authentifient via le Single Sign-On (SSO), unAprès quoi une charge utile de profil de système d'exploitation natif est téléchargée. Cette charge utile utilise SCEP (Simple Certificate Enrollment Protocol) ou EST (Enrollment over Secure Transport) pour demander un certificat client unique à l'autorité de certification du campus.

Une fois le certificat installé, l'appareil abandonne automatiquement la connexion d'intégration et s'associe au réseau sécurisé 802.1X (tel qu'eduroam) en utilisant EAP-TLS. Cela élimine les problèmes de connexion liés aux mots de passe — la principale cause des tickets d'assistance WiFi — et offre à l'équipe réseau une visibilité granulaire sur chaque appareil connecté.

byod_onboarding_flow.png

Pour les institutions gérant un mélange d'appareils personnels et appartenant à l'université, l'intégration du flux d'intégration avec une solution MDM (Mobile Device Management) permet de pousser automatiquement les profils de politique pendant l'étape de provisionnement du certificat, ce qui permet l'application de politiques par appareil sans interaction utilisateur supplémentaire.

Guide d'implémentation

Le déploiement de cette architecture nécessite une coordination minutieuse entre les équipes d'ingénierie réseau, de gestion des identités et de sécurité. La séquence suivante représente un ordre de déploiement éprouvé pour un projet de nouvelle installation (greenfield) ou de rafraîchissement majeur.

Étape 1 — Standardiser le référentiel d'identités. Assurez-vous que votre annuaire Active Directory ou LDAP est propre, avec des groupes bien définis pour les étudiants, le corps professoral, le personnel et les invités. Confirmez que l'appartenance aux groupes est exacte et que des processus automatisés de provisionnement et de déprovisionnement sont en place. C'est fondamental pour l'application des politiques : données erronées en entrée, résultats erronés en sortie.

Étape 2 — Déployer une solution NAC robuste. Implémentez un système de contrôle d'accès réseau (Network Access Control) capable de gérer des requêtes RADIUS à volume élevé, l'attribution dynamique de VLAN et le profilage des appareils. Assurez la redondance sur plusieurs nœuds dans des centres de données distincts. Testez la charge de l'infrastructure avant le début du semestre, pas pendant.

Étape 3 — Configurer les proxys RADIUS eduroam. Établissez des tunnels sécurisés vers votre opérateur d'itinérance national. Implémentez des règles de routage de domaine strictes pour éviter les boucles et assurez-vous que seuls les domaines valides et enregistrés sont acheminés vers l'extérieur. Configurez des alertes de surveillance pour la latence des proxys et les taux d'échec.

Étape 4 — Implémenter l'enregistrement des appareils pour l'IoT. Déployez un portail en libre-service où les étudiants peuvent enregistrer les adresses MAC de leurs consoles de jeu, téléviseurs intelligents et autres appareils sans interface utilisateur. Le portail doit être suffisamment simple à utiliser sans assistance informatique. Liez-le directement à votre NAC pour l'attribution automatique de VLAN via MAB.

Étape 5 — Optimiser la RF pour une haute densité. Commanditez une étude RF appropriée avant le déploiement. Dans les résidences universitaires, prévoyez une couverture AP dans les chambres. Désactivez les débits de données hérités inférieurs à 12 Mbps pour forcer les clients à se déplacer vers l'AP optimal. Configurez la puissance de transmission pour créer des limites RF claires entre les pièces.

Pour les zones publiques du campus — bibliothèques, syndicats étudiants, espaces extérieurs — envisagez d'utiliser des solutions Guest WiFi avec connexion sociale ou authentification par SMS pour les visiteurs qui n'ont pas d'identifiants eduroam. La surveillance de ces environnements avec WiFi Analytics permet une gestion de la capacité en temps réel et l'identification proactive des lacunes de couverture.

Bonnes pratiques

Exiger EAP-TLS pour les appareils gérés. Pour les actifs appartenant à l'université, utilisez exclusivement l'authentification par certificat. Elle offre le plus haut niveau de sécurité et prévient le vol d'identifiants. EAP-TTLS ou PEAP ne devraient être réservés qu'en tant que solution de secours pour les appareils personnels non gérés pendant une période de transition.

Appliquer DHCP Snooping et BPDU Guard. Un étudiant branchant un routeur grand public sur un port Ethernet de chambre de dortoir peut faire tomber l'ensemble du sous-réseau. Ces contrôles doivent être appliqués à tous les ports de commutateur d'accès sans exception.

Surveiller et analyser en continu. Utilisez WiFi Analytics pour surveiller l'utilisation des AP, le nombre de clients et les schémas d'itinérance. Ces données sont inestimables pour la planification de la capacité et l'identification des zones mortes RF dans les amphithéâtres et les bibliothèques. La corrélation des données de présence WiFi avec les métriques d'utilisation de l'espace permet des décisions de gestion des installations basées sur les données.

Tirer parti des services de localisation pour les opérations du campus. Implémentez l'intégration de Wayfinding dans l'application du campus pour aider les nouveaux étudiants à naviguer dans des bâtiments complexes et à localiser les espaces d'étude disponibles en fonction des données d'association AP en temps réel. Cela réduit la pression sur la signalisation physique et améliore l'expérience étudiante pendant les périodes de forte affluence.

S'aligner sur la planification de la transition WPA3. Bien que WPA2-Enterprise reste la norme dominante, planifiez votre cycle de renouvellement des AP pour prendre en charge WPA3-Enterprise (mode 192 bits pour les environnements de haute sécurité) et Enhanced Open (OWE) pour les SSID invités. WPA3 élimine la classe de vulnérabilités KRACK et offre une confidentialité persistante, ce qui est de plus en plus pertinent pour la conformité au GDPR.

Dépannage et atténuation des risques

Échecs de délai d'attente RADIUS pendant l'intégration de pointe. Pendant les premières 48 heures du semestre, les serveurs RADIUS peuvent être submergés, entraînant des délais d'authentification et un afflux d'appels au service d'assistance. Atténuation : Tests de charge préventifs, équilibrage de charge sur plusieurs nœuds RADIUS et réglage des temporisateurs EAP sur le contrôleur de réseau local sans fil pour compenser de légers retards de proxy.

Échecs de découverte d'appareils IoT. Les étudiants signalent fréquemment qu'ils ne peuvent pas diffuser sur leurs téléviseurs intelligents ou se connecter à des imprimantes sans fil. Atténuation : Si les appareils résident sur des VLAN séparés, configurez une passerelle mDNS ou un proxy Bonjour pour transférer des protocoles de découverte spécifiques à travers la limite du VLAN pour les paires de VLAN par chambre pertinentes. Assurez-vous que la passerelle est limitée aux VLAN de chambres individuelles, et non à l'ensemble du bâtiment.

Boucles de routage de proxy eduroam. Des règles de routage de domaine mal configurées peuvent entraîner des boucles de requêtes d'authentification entre les serveurs proxy, ce qui provoque des délais d'attente. Atténuation : Mettez en œuvre une liste blanche de domaines stricte et configurez la détection de boucles sur votre proxy RADIUS. Auditez régulièrement les tables de routage par rapport au registre de domaines publié par l'opérateur national.

Révocation de certificats à grande échelle. Lorsqu'un étudiant quitte l'établissement, son certificat doit être révoqué rapidement pour empêcher tout accès continu au réseau. Atténuation : Mettez en œuvre l'agrafage OCSP (Online Certificate Status Protocol) et assurez-vous que la CRL (Certificate Revocation List) de votre CA est publiée et accessible à vos serveurs RADIUS. Automatisez la révocation dans le cadre du processus de désactivation des étudiants.

ROI et impact commercial

Investir dans une architecture WiFi de campus robuste et automatisée génère des retours significatifs et mesurables sur plusieurs dimensions.

Métrique Référence (Architecture héritée) Cible (Architecture moderne) Amélioration
Tickets WiFi au service d'assistance (Semaine 1) 2,000–3,000 600–900 ~70 % de réduction
Temps moyen d'intégration d'un nouvel appareil 15–30 minutes (manuel) 3–5 minutes (automatisé) ~80 % de réduction
Rayon d'impact d'un incident de sécurité Sous-réseau de bâtiment entier VLAN de pièce unique Maîtrisé
Coût de déploiement d'AP par pièce Élevé (modèle couloir) Modéré (en chambre, faible puissance) Comparable avec de meilleurs résultats

Réduction du volume du service d'assistance. L'intégration automatisée de BYOD basée sur des certificats peut réduire les tickets d'assistance liés au WiFi jusqu'à 70 % pendant la période critique de début de trimestre, libérant ainsi le personnel informatique pour se concentrer sur des tâches à plus forte valeur ajoutée.

Amélioration de la posture de sécurité. La micro-segmentation et l'authentification 802.1X réduisent considérablement le rayon d'impact d'un appareil compromis, atténuant le risque de mouvement latéral par rançongiciel — une menace croissante dans les environnements d'enseignement supérieur.

Gestion de campus axée sur les données. En intégrant les données réseau avec les Capteurs et les plateformes d'analyse, les universités peuvent optimiser l'utilisation de l'espace, ajuster les horaires CVC en fonction de l'occupation et améliorer les opérations globales du campus. La même infrastructure WiFi Analytics utilisée pour la gestion du réseau devient un atout stratégique pour la planification des installations et du patrimoine.

Les modèles architecturaux décrits dans ce guide — micro-segmentation, intégration automatisée et identité fédérée — sont directement applicables au-delà de l'enseignement supérieur. Les environnements de Commerce de détail bénéficient des mêmes principes de segmentation BYOD pour les appareils du personnel, et les réseaux de Santé exigent une rigueur équivalente pour l'isolation des IoT médicaux. Les principes SD-WAN qui sous-tendent la connectivité WAN du campus sont explorés plus en détail dans Les avantages clés du SD-WAN pour les entreprises modernes .

Pour les organisations cherchant à étendre l'intelligence basée sur le WiFi aux flux de travail d'automatisation marketing et d'engagement, les principes de déclenchement basé sur la présence sont détaillés dans Automatisation marketing événementielle déclenchée par la présence WiFi .

Écoutez le briefing audio :

Termes clés et définitions

RADIUS Proxy

A server that forwards authentication requests between a Network Access Server (NAS) and the final authentication server (IdP), routing based on the user's realm.

Crucial for eduroam federation. When a visiting user's realm does not match the local domain, the campus RADIUS server proxies the request outward through the national hierarchy to the home institution.

EAP-TLS (Extensible Authentication Protocol — Transport Layer Security)

An 802.1X authentication method requiring both a server-side certificate (on the RADIUS server) and a client-side certificate (on the endpoint device). No passwords are transmitted.

The gold standard for BYOD security in higher education. Eliminates password-related WiFi helpdesk tickets and provides mutual authentication, preventing rogue AP attacks.

Micro-segmentation

The practice of dividing a network into small, isolated segments — typically at the VLAN level — to limit lateral movement and reduce the attack surface.

Applied in residence halls via Per-Room VLANs to isolate student devices from one another, preventing ransomware propagation and enforcing privacy between residents.

MAC Authentication Bypass (MAB)

A fallback authentication method that uses a device's MAC address as its identity when the device does not support 802.1X.

Essential for connecting IoT devices (gaming consoles, smart TVs, printers) in dormitories to the secure network. The MAC must be pre-registered in the NAC to receive a valid VLAN assignment.

Realm

The domain portion of a user's Network Access Identifier (NAI), typically the part after the '@' symbol (e.g., 'university.edu' in 'student@university.edu').

RADIUS proxy servers use the realm to route eduroam authentication requests to the correct home institution. Misconfigured realm routing is a common cause of eduroam failures for visiting users.

SCEP (Simple Certificate Enrollment Protocol)

A protocol that enables network devices to automatically request and receive digital certificates from a Certificate Authority.

Used in BYOD onboarding flows to automatically provision client certificates to student devices without manual IT intervention, enabling EAP-TLS authentication at scale.

mDNS Gateway (Bonjour Proxy)

A service that forwards Multicast DNS packets across different subnets or VLANs, enabling device discovery protocols to function in segmented networks.

Required in Per-Room VLAN architectures when a student's phone (on the wireless VLAN) needs to discover their smart TV (on the wired VLAN) within the same room's micro-segment.

Network Access Control (NAC)

A security solution that enforces policy on devices seeking to access a network, controlling admission based on identity, device health, and context.

The central orchestration layer in a campus WiFi architecture. NAC handles 802.1X authentication, dynamic VLAN assignment, device profiling, and MAB for IoT devices.

Supplicant

The software component on an endpoint device that handles the 802.1X authentication exchange with the network.

Built into modern operating systems (Windows, macOS, iOS, Android). When troubleshooting eduroam connection failures, the supplicant configuration — specifically the EAP method and server certificate validation settings — is the first place to investigate.

WPA3-Enterprise

The latest generation of the Wi-Fi Protected Access enterprise security standard, introducing 192-bit cryptographic strength and eliminating vulnerabilities present in WPA2.

Relevant for campus network refresh planning. WPA3-Enterprise provides forward secrecy via ECDHE key exchange, meaning captured traffic cannot be decrypted retroactively even if a certificate is later compromised.

Études de cas

A university is upgrading a 500-bed residence hall built in the 1970s. Students are complaining that they cannot see their wireless printers or cast to their smart TVs, while the IT security team is concerned about the flat /22 subnet currently serving the entire building. How should the network be redesigned?

Phase 1 — Network Redesign: Replace the flat /22 subnet with a Per-Room VLAN architecture. Assign a unique VLAN ID (e.g., VLANs 1000–1499) to each room. Configure the NAC to dynamically assign the correct VLAN based on the student's authenticated identity and their room assignment in the student records system.

Phase 2 — Device Registration Portal: Deploy a self-service portal where students register the MAC addresses of headless devices (printers, smart TVs, gaming consoles). The portal authenticates the student via SSO and records the MAC-to-room mapping in the NAC database.

Phase 3 — MAB Configuration: Configure switch ports and the residential SSID to use MAC Authentication Bypass for registered devices. When a registered MAC connects, RADIUS returns the student's Per-Room VLAN assignment, placing the device in the correct micro-segment.

Phase 4 — mDNS Gateway: Configure the wireless controller's mDNS gateway to proxy Bonjour and SSDP discovery traffic within each Per-Room VLAN boundary, enabling casting and printing without cross-room exposure.

Phase 5 — AP Refresh: Replace hallway APs with in-room units. Reduce transmit power to 8–12 dBm to create clean RF cells and reduce co-channel interference.

Notes de mise en œuvre : This approach resolves both the security concern and the usability complaint simultaneously. Micro-segmentation eliminates the massive broadcast domain of the /22 subnet, significantly improving security and network performance. By placing all of a student's devices — including registered IoT devices — into a single Per-Room VLAN, local discovery protocols (Bonjour, SSDP) function normally within the room's micro-segment, restoring casting and printing without exposing those devices to the rest of the building. The mDNS gateway is the critical enabling component that is most frequently overlooked in initial deployments.

During the first week of term, a 15,000-student university's IT helpdesk receives over 2,500 WiFi tickets in 48 hours. The majority are from students who changed their university portal password and are now unable to connect to eduroam. The current authentication method is PEAP-MSCHAPv2. What is the architectural change required, and how should it be rolled out?

Root Cause: PEAP-MSCHAPv2 authenticates using the user's AD password. When the password changes, the stored WiFi profile credential becomes invalid, breaking the connection.

Architectural Change: Transition from PEAP-MSCHAPv2 to EAP-TLS (certificate-based authentication).

Rollout Plan:

  1. Deploy a Campus Certificate Authority (or integrate with an existing PKI) and configure SCEP/EST endpoints.
  2. Stand up a BYOD onboarding tool (vendor-neutral options include FreeRADIUS with a custom portal, or commercial solutions). Configure it to authenticate via SSO and provision client certificates.
  3. Create an 'Onboarding' SSID (open, captive-portal restricted) alongside the existing eduroam SSID.
  4. Communicate to students: 'Connect to Onboarding-WiFi, follow the steps, and your WiFi will never break when you change your password again.'
  5. Once certificate adoption reaches >80%, disable PEAP-MSCHAPv2 on the RADIUS server and enforce EAP-TLS only.
  6. Set certificate lifetime to 2 years with automated renewal 30 days before expiry.
Notes de mise en œuvre : Password churn is the single leading cause of WiFi helpdesk tickets in higher education. The transition to EAP-TLS decouples WiFi authentication from the AD password lifecycle entirely. The phased rollout — running both methods in parallel during the transition — is essential to avoid a mass outage. The certificate renewal automation is equally critical: a certificate expiry event without automated renewal creates the same helpdesk spike as a password change, just on a 2-year cycle instead of a 90-day one.

Analyse de scénario

Q1. A visiting researcher from the University of Amsterdam arrives at your campus in London. They connect to the eduroam SSID but receive an 'Authentication Failed' error. Your local RADIUS logs confirm the Access-Request is being forwarded to the national proxy, but no response is received within the timeout window. Where is the most likely point of failure, and what is your escalation path?

💡 Astuce :Apply the 'Home Always Knows' principle. Your local infrastructure is functioning correctly if the request is leaving your campus.

Afficher l'approche recommandée

Since the local RADIUS server is successfully proxying the request outward, the local campus infrastructure is functioning correctly. The most likely failure points are: (1) the national proxy (JANET) is unable to route to the Dutch national proxy (SURFnet), or (2) the researcher's home institution RADIUS server is offline or misconfigured. The escalation path is: first, contact your national roaming operator (JANET) with the timestamp and realm (@uva.nl) to check proxy routing logs. Second, advise the researcher to contact their home institution's IT helpdesk, as the issue is almost certainly on their side. Do not spend time troubleshooting your own RADIUS infrastructure.

Q2. You are designing the WiFi for a new 1,000-bed residence hall. The facilities team wants to install APs in the hallways to save on cabling and installation costs. Provide a technical argument against this approach and specify the recommended alternative.

💡 Astuce :Consider RF attenuation through fire doors and masonry, co-channel interference in long corridors, and the implications for Per-Room VLAN architecture.

Afficher l'approche recommandée

Hallway deployments are an anti-pattern for modern high-density residential environments for three reasons. First, RF signals must penetrate thick fire-rated doors and masonry walls to reach devices inside rooms, resulting in poor signal quality and low throughput precisely where users are located. Second, APs deployed in a long corridor have clear line-of-sight to each other, causing severe co-channel interference that degrades performance for all clients. Third, the hallway model makes Per-Room VLAN micro-segmentation architecturally ambiguous — a hallway AP serves multiple rooms simultaneously, complicating dynamic VLAN assignment. The recommended approach is in-room AP deployment: one AP per room for new builds, or one AP per two rooms in modern construction with thin partition walls. Transmit power should be set to 8–12 dBm to create clean RF cells. While the upfront cabling cost is higher, the operational savings from reduced helpdesk volume and improved user experience deliver a positive ROI within the first academic year.

Q3. A student registers their PlayStation 5 MAC address in the device registration portal. The console is connected via the residential SSID but cannot discover the student's phone for Remote Play. Both devices are confirmed to be on the same Per-Room VLAN. What is the most likely configuration issue?

💡 Astuce :Consider the wireless controller's client isolation settings and the protocols used by device discovery.

Afficher l'approche recommandée

The most likely cause is that client isolation (also called AP isolation or wireless isolation) is enabled on the residential SSID. Client isolation prevents wireless clients on the same SSID from communicating directly with each other, even if they are on the same VLAN. This is a common security default that is appropriate for guest networks but counterproductive in a Per-Room VLAN environment where device-to-device communication is intentional. The fix is to disable client isolation specifically on the residential SSID (or create a policy exception for the Per-Room VLAN range). If the console is on the wired network and the phone is on wireless, the issue may instead be an mDNS gateway not forwarding Sony's device discovery protocol (SSDP/UPnP) across the wired-to-wireless boundary within the same VLAN.

À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Passwordless WiFi
RADIUS-as-a-Service
WPA-Enterprise
Captive Portal Software
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Support et conseils
Calculateur de ROI
Calculateur de prix
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies