如何在常见接入点平台（Cisco、Aruba、Ubiquiti）上配置WPA2-Enterprise

如何在常见接入点平台——Cisco、Aruba和Ubiquiti——上配置WPA2-Enterprise Purple WiFi 智能简报 [开场——约1分钟] 欢迎来到Purple WiFi智能系列。我是主持人，今天我们将直入正题，探讨企业客户最常问的问题之一：如何在三大最广泛部署的接入点平台——Cisco、Aruba和Ubiquiti——上配置WPA2-Enterprise。 无论您是拥有500间客房的酒店集团的IT总监、全国性零售连锁店的网络架构师，还是会议中心运营商的CTO，本简报都适合您。我们不会为了理论而谈理论。我们将带您了解做出部署决策、正确执行并避免即使是经验丰富的团队也会碰到的陷阱所需的一切。 让我们开始吧。 [技术深入探讨——约5分钟] 首先，快速对齐一下WPA2-Enterprise到底是什么，因为市场上对WPA2-Personal和WPA2-Enterprise之间仍有大量混淆——而这种区别对于合规性和风险态势至关重要。 WPA2-Personal——大多数人熟悉的版本——使用单个预共享密钥。网络上的每个人都使用相同的密码。这适用于家庭网络。但对于需要每用户认证、审计跟踪以及能够即时撤销访问权限的商业环境来说，这绝对不可接受。 WPA2-Enterprise，定义在IEEE 802.1X下，用单独的认证交换取代了共享密钥。每个用户或设备都提供自己的凭据——无论是用户名和密码、数字证书还是令牌——这些凭据在获得网络访问权限之前由RADIUS服务器验证。接入点本身永远不会看到凭据。它纯粹充当认证者，在客户端和RADIUS服务器之间传递EAP——可扩展认证协议——交换。这是一种根本更安全的架构，并且是任何处理支付卡数据的环境中符合PCI DSS要求的基本要求，也强烈推荐给通过无线网络处理个人数据的组织，以满足GDPR要求。 现在，让我们谈谈这三个平台。 从Cisco开始。Cisco的企业WiFi产品组合——主要是Catalyst和Meraki系列——是大型部署的惯用选择。Cisco DNA Center提供集中式策略管理，而Meraki仪表板为分布式场所提供云管理的简洁性。要在Cisco Catalyst接入点上配置WPA2-Enterprise，您将通过WLC——无线LAN控制器——或DNA Center进行操作。关键步骤如下：在“安全”下定义您的RADIUS服务器，然后选择AAA，然后配置RADIUS认证服务器；创建一个新的WLAN配置文件；将安全策略设置为WPA2，并使用802.1X作为密钥管理方法；并将RADIUS服务器绑定到该WLAN。关于Cisco的一个关键点是：确保同时配置RADIUS记账和认证。记账为您提供合规性框架所需的每会话审计跟踪。在Meraki上，过程更加直接——导航到“无线”，然后选择“SSID”，选择目标SSID，将安全设置为“带有我的RADIUS服务器的WPA2-Enterprise”，并输入RADIUS服务器IP、端口——通常认证为1812，记账为1813——和共享密钥。Meraki还支持直接从仪表板进行RADIUS测试，这在调试期间非常宝贵。 转向Aruba。Aruba Networks（现在属于HPE）是酒店业和高等教育领域的主导选择。Aruba Central提供云管理，而ArubaOS是底层平台。在Aruba上，WPA2-Enterprise配置位于SSID配置文件内。您将定义一个引用RADIUS服务器的AAA配置文件，然后将该AAA配置文件附加到您的虚拟AP配置文件。这里特别值得提及Aruba的ClearPass Policy Manager——它是Aruba自己的RADIUS和策略引擎，在设备分析、基于角色的访问控制和客户入职方面增加了显著功能。如果您运营一个混合环境，员工、承包商和访客都连接到相同的基础设施，ClearPass为您提供了合适的策略粒度来对他们进行分段。对于在员工和后台网络上部署WPA2-Enterprise，同时通过像Purple这样的平台运行单独的客户WiFi解决方案的酒店来说，Aruba的SSID分段与ClearPass相结合用于员工认证是一个非常清晰的架构。 现在Ubiquiti。Ubiquiti的UniFi平台在SMB和中端市场获得了显著的发展势头——并且在精品酒店业和零售业中越来越受欢迎——这得益于其有竞争力的价格和真正强大的管理界面。UniFi Network Controller是您进行繁重工作的地方。要在UniFi上配置WPA2-Enterprise，请导航到“设置”，然后选择“WiFi”，创建或编辑您的SSID，将安全设置为WPA2 Enterprise，并配置您的RADIUS配置文件——同样，IP地址、认证端口1812、记账端口1813和共享密钥。关于Ubiquiti的一个重要注意事项：它不像某些企业平台那样配备内置的RADIUS服务器。您将需要一个外部RADIUS服务器——无论是Windows Server NPS、FreeRADIUS，还是云RADIUS服务。这本身不是限制，但这是一个需要提前规划的依赖项。对于较小的部署，UniFi Network Application确实包含一个基本的RADIUS服务器，但对于生产环境，我总是建议使用专用的RADIUS实例。 在所有三个平台上，EAP方法的选择值得关注。PEAP with MSCHAPv2是最广泛部署的方法，因为它适用于Active Directory凭据，无需客户端证书。EAP-TLS更安全——它使用相互证书认证——但它需要PKI基础设施和向每个客户端设备部署证书，这增加了运营开销。对于大多数企业部署来说，使用正确配置的RADIUS服务器并在客户端进行证书验证的PEAP-MSCHAPv2是安全性和运营可管理性的适当平衡。 [实施建议和陷阱——约2分钟] 现在，让我介绍一下我在WPA2-Enterprise部署中看到的三种最常见的故障模式，以及如何避免它们。 第一：RADIUS服务器可用性。您的RADIUS服务器现在处于每个无线认证的关键路径上。如果它宕机，就没有人能连接。这意味着您需要RADIUS冗余——至少在每个接入点上配置主和辅助RADIUS服务器。大多数平台原生支持这一点。在Cisco上，您可以配置带有故障转移的RADIUS服务器组。在Aruba上，AAA配置文件支持多个RADIUS服务器，具有可配置的重试和超时值。在Ubiquiti上，您可以在RADIUS配置文件中指定辅助RADIUS服务器。不要跳过此步骤。 第二：证书验证。在我审查的部署中，有高得惊人的比例将客户端设备配置为接受任何RADIUS服务器证书。这完全破坏了安全模型——它使您面临邪恶双胞胎攻击，即恶意接入点冒充您的网络并收集凭据。从受信任的CA配置您的RADIUS服务器证书，并配置您的客户端请求者验证该证书。在Windows上，这通过组策略完成。在iOS和Android上，它通过MDM配置文件处理。对于任何处理敏感数据的环境，这是不可协商的。 第三：VLAN分配。WPA2-Enterprise支持动态VLAN分配——RADIUS服务器可以在Access-Accept消息中返回VLAN属性，根据用户的身份或角色将每个已认证的用户置于适当的网络分段中。这是802.1X架构最强大的功能之一，但它经常未被配置。如果您运营一个场所，员工、管理层和物联网设备都在同一物理基础设施上，动态VLAN分配是您在不管理多个SSID的情况下强制网络分段的方式。 关于Purple集成方面：如果您正在为员工和运营网络部署WPA2-Enterprise，并为访客连接运行Purple的客户WiFi平台，这两个系统可以干净地共存。Purple处理客户认证、数据捕获和分析层——包括场馆运营商用于运营决策的WiFi分析和人流量情报——而您的WPA2-Enterprise基础设施保护企业网络。关键是在接入点级别实现清晰的SSID和VLAN分离，所有三个平台都支持这一点。 [快速问答——约1分钟] 让我快速回答几个经常出现的问题。 我可以在相同的接入点上运行WPA2-Enterprise和客户网络吗？是的，绝对可以。所有三个平台都支持每个无线频段多个SSID，每个都有独立的安全策略。您的企业SSID运行WPA2-Enterprise；您的客户SSID可以通过Purple的captive portal运行，并具有适当的隔离。 我需要更换现有的接入点来部署WPA2-Enterprise吗？几乎肯定不需要。WPA2-Enterprise在企业级接入点上已经支持了十多年。如果您的硬件使用不超过八年并且运行当前固件，它将支持802.1X。 WPA2-Enterprise和WPA3-Enterprise有什么区别？WPA3-Enterprise增加了192位安全模式，使用Suite B加密，这对于政府和国防环境很重要。对于大多数商业部署，使用强大EAP方法的WPA2-Enterprise仍然是标准。WPA3过渡值得为新的部署做规划，但对大多数组织而言并不是紧急迁移。 云RADIUS是一个可行的选择吗？是的，而且越来越可行。像云中的Cisco ISE、Aruba ClearPass即服务，或像JumpCloud和Foxpass这样的第三方选项，将RADIUS作为托管服务提供，从而消除了基础设施开销。对于分布式场所——想想一个拥有200个门店的零售连锁店——云RADIUS可以显著降低运营复杂性。 [总结和后续步骤——约1分钟] 总结一下：WPA2-Enterprise是任何企业无线部署的无可争辩的基线。在Cisco、Aruba和Ubiquiti上的配置过程遵循相同的基本模式——定义您的RADIUS服务器，创建使用802.1X密钥管理的SSID，选择您的EAP方法，并在上线前进行测试。区别在于管理界面和每个平台周围的生态系统工具。 需要做好的三件事：RADIUS冗余、客户端证书验证和动态VLAN分配。做好这三件事，您就拥有了一个稳固、合规、可审计的无线安全态势。 对于您的后续步骤：如果您正在评估平台，请使用随附指南中的供应商比较框架。如果您准备部署，每个平台的分步配置演练在实施部分中。如果您正在考虑客户WiFi如何与企业网络配合，Purple平台文档详细介绍了集成架构。 感谢收听。下期简报再见。