Skip to main content
简体中文

eduroam 与 802.1X:面向高等教育的安全 WiFi 认证

本权威技术参考指南阐述了 eduroam 和 802.1X 认证的架构、部署和安全。面向 IT 经理和网络架构师,涵盖实际实施步骤、EAP 方法选择,以及场馆运营商如何安全支持学术漫游。

📖 6 min read📝 1,343 words🔧 3 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
播客脚本:eduroam 与 802.1X — 高等教育的 WiFi 安全认证 时长:约 10 分钟 声音:英式英语,男声,高级顾问语调 — 自信、交谈式、权威 --- [引言 — 1 分钟] 欢迎回来。在接下来的十分钟里,我将带您了解 eduroam 和 802.1X — 它们是什么,在幕后如何运作,以及您的团队在部署或集成其中任何一个之前需要了解什么。 如果您是大学、学院或研究机构的 IT 经理、网络架构师或 CTO — 或者您是需要了解学术访客对您的无线基础设施有何期望的场馆运营商 — 那么这次简报就是为您准备的。 让我们从全局开始。eduroam 代表“教育漫游”。这是一项全球性的 WiFi 漫游服务,允许成员机构的学生、研究人员和员工在任何一个参与场所自动、安全地使用其归属机构的凭据连接到互联网。无需访客门户,无需代金券代码,无需向前台索要密码。 它自 2003 年开始运行,现已覆盖全球 100 多个国家的超过 10,000 家机构,并且是全球高等教育校园无线网络的事实标准。如果您的组织与大学有交集——无论是校园附近的酒店、举办学术活动的会议中心,还是大学城的公共图书馆——了解 eduroam 直接关系到您的网络策略。 --- [技术深入解读 — 5 分钟] 好的。让我们深入了解机制。 eduroam 建立在 IEEE 802.1X 之上——基于端口的网络访问控制标准。802.1X 定义了一个对设备进行认证后才授予其网络访问权限的框架。它最初是为有线以太网设计的,但可以很好地映射到无线网络,并且是我们所谓的 WPA2-Enterprise 或 WPA3-Enterprise 安全的基础。 802.1X 模型包含三个组件。第一个,Supplicant — 即尝试连接的设备。学生的笔记本电脑、研究员的手机。第二个,Authenticator — 即您的网络接入点或管理型交换机。它位于 supplicant 和网络其余部分之间,充当守门人。第三个,Authentication Server — 几乎总是一个 RADIUS 服务器。RADIUS 代表远程认证拨号用户服务。它是实际验证凭据的组件。 握手流程如下。学生的设备与无线接入点关联。接入点此时并不授予完整的网络访问权限——它打开一个所谓的受控端口,但只允许 EAP 流量通过。EAP 是可扩展认证协议。接入点代理设备与 RADIUS 服务器之间的 EAP 对话。RADIUS 服务器挑战设备,设备以凭据回应——通常是用户名和密码,或者证书——如果 RADIUS 服务器满意,它会发回一个 Access-Accept 消息。接入点随后开放完整的网络端口。在配置良好的部署中,整个交换过程不到两秒。 那么,eduroam 是如何叠加在这个基础上的呢?eduroam 使用一个层级化的 RADIUS 代理基础设施。每个参与的机构运行自己的 RADIUS 服务器——称为身份提供者(IdP)。当一名来自曼彻斯特大学的学生访问伦敦帝国理工学院并连接到 eduroam SSID 时,其设备以 username@manchester.ac.uk 的格式发送凭据。帝国理工学院的 RADIUS 服务器看到 realm——即 @ 符号之后的部分——并将认证请求向上游代理到国家级 RADIUS 服务器,在英国由 Jisc(国家科研和教育网络)运营。然后 Jisc 将请求路由到曼彻斯特大学的 RADIUS 服务器,后者验证凭据并返回接受或拒绝。整个链条在毫秒内完成解析。 正是这个代理链使得 eduroam 能够在没有机构间预共享秘密的情况下跨机构边界工作。链中的每一跳仅与其直接邻居使用共享的 RADIUS 秘密。学生的实际密码永远不会离开归属机构的 RADIUS 服务器——它被 EAP 隧道端到端保护。 说到 EAP 方法——这是很多部署出错的地方,请注意。eduroam 中最常见的 EAP 方法是 PEAP——受保护的 EAP——和 EAP-TLS。PEAP 将内部认证方法(通常是 MSCHAPv2)封装在 TLS 隧道中。它要求 RADIUS 服务器有一个服务器端证书,但客户端只需要用户名和密码。EAP-TLS 是更安全的选择——它使用双向证书认证,意味着服务器和客户端都出示证书。由于需要 PKI 来颁发客户端证书,大规模部署更难,但它基本上对凭据钓鱼免疫。 许多机构搞错的关键安全要求是客户端的证书验证。当设备使用 PEAP 连接到 eduroam 时,设备必须在提交凭据之前验证 RADIUS 服务器的证书。如果设备被错误配置为接受任何证书,攻击者就可以搭建一个广播 eduroam SSID 的恶意接入点,出示自签名证书,并收集凭据。这是一个已知的攻击向量。修复方法是通过 MDM 为受管理设备配置 supplicant 配置文件,或通过 eduroam 配置助手工具(CAT)为个人设备配置,以固定预期的证书颁发机构和服务器名称。 从标准角度,eduroam 部署应遵守 eduroam 策略服务定义,该定义要求所有 RADIUS over TLS 连接使用 TLS 1.2 或更高版本,禁止使用脆弱的 EAP 方法如 EAP-MD5 或 LEAP,并要求所有 RADIUS 代理连接尽可能使用 RadSec——即 RADIUS over TLS——而非普通的 UDP RADIUS。这与英国的 NCSC 指南和美国的 NIST SP 800-120 相一致。 另一个值得指出的技术点是:VLAN 分配。在一个架构良好的 eduroam 部署中,RADIUS 的 Access-Accept 响应包含 VLAN 属性,告诉接入点将连接的设备分配到哪个 VLAN。这使您能够对流量进行分段——将访客学生放在仅限互联网访问的受限 VLAN 中,而您自己的员工则被路由到内部网络。这对于合规性至关重要,特别是如果您需要遵守 PCI DSS 或需要保持研究数据网络与一般互联网流量之间的隔离。 --- [实施建议与常见误区 — 2 分钟] 让我为您提供一些实用指导。 如果您是首次部署 eduroam,您的第一步应该是联系您的国家级 NREN——在英国是 Jisc,在爱尔兰是 HEAnet,在美国是 Internet2。他们负责联盟成员资格,并将为您分配一个 RADIUS 域。您不能在未成为国家联盟成员的情况下参与 eduroam。 您的基础设施检查清单:您需要支持 802.1X 的接入点——任何来自 Cisco、Aruba、Juniper、Ruckus 或 Ubiquiti UniFi 的企业级设备都可以做到。您需要一个 RADIUS 服务器——FreeRADIUS 是开源标准,或者您可以使用 Microsoft NPS、Cisco ISE 或 Aruba ClearPass。您需要为 RADIUS 服务器提供一个有效的 TLS 证书,来自 eduroam 社区信任的 CA——通常是来自您机构 PKI 的证书或 eduroam 批准列表上的商业 CA。 我见过的最常见的三个部署失败是:第一,证书配置错误——要么是 RADIUS 证书已过期,要么是客户端 supplicant 配置文件未正确固定。第二,RADIUS 代理超时——如果您上游的 NREN 连接存在延迟问题,认证将超时,用户会看到看似凭据错误的连接失败。第三,VLAN 配置错误——访客用户最终进入错误的网络段,要么无法访问互联网,要么更糟的是,获得了不应有的内部资源访问权限。 在客户端,通过您的 MDM 平台将 eduroam CAT 配置文件部署到所有受管理设备。对于个人设备,显著地发布 CAT 安装程序链接。仅此一步就可以消除大部分支持工单。 对于那些不是高等教育机构但希望提供 eduroam 接入的场所——会议中心、酒店等——这个过程称为 eduroam 访客接入(eVA)。它允许非成员组织托管 eduroam SSID,并将认证代理到联盟,而无需成为完全成员。如果您经常举办学术会议或大学活动,这值得研究。 --- [快速问答 — 1 分钟] 一些我经常被问到的快速问题。 “eduroam 能完全取代我们的访客 WiFi 吗?” 不能。eduroam 仅对拥有成员机构凭据的用户有效。您仍然需要为其他人——访客、承包商、公众——提供一个独立的访客 WiFi 解决方案。 “eduroam 符合 GDPR 吗?” 是的,但有注意事项。联合架构意味着您的机构处理认证数据,但您需要确保您的隐私声明覆盖这一点,并且您的 RADIUS 日志得到适当处理。 “我们可以在 eduroam 中使用 WPA3 吗?” 可以。WPA3-Enterprise 与 802.1X 完全兼容,并推荐用于新部署。它为高安全环境增加了 192 位模式加密。 “eduroam 和 OpenRoaming 有什么区别?” OpenRoaming 是一项由无线宽带联盟推动的更广泛的行业倡议,使用相同的 802.1X 和 RADIUS 代理架构,但将漫游扩展到教育之外,涵盖商业场所。包括 Purple 在内的一些平台在其访客 WiFi 产品中支持 OpenRoaming。 --- [总结与后续步骤 — 1 分钟] 总结一下。eduroam 是一个成熟、治理良好、全球部署的 WiFi 漫游服务,建立在 802.1X 和层级化 RADIUS 代理基础设施之上。它提供每用户认证、强加密以及超过 10,000 家机构之间的无缝漫游——无需共享密码或 Captive Portal。 对于部署或升级校园无线网络的 IT 团队:在您的 PKI 可以支持的情况下,优先考虑 EAP-TLS 而非 PEAP,在所有客户端配置文件上强制证书验证,对所有 RADIUS 代理连接使用 RadSec,并将访客用户划分到专用的 VLAN 中。 对于场馆运营商:如果您经常接待学术访客,请研究 eduroam 访客接入。而且,无论您是否部署 eduroam,您的访客 WiFi 基础设施都应基于企业级 802.1X 原则构建——而不是共享 PSK。 如果您想更深入地了解这些内容——RADIUS 架构、EAP-TLS 的 PKI 设计,或者像 Purple 这样的平台如何与 eduroam 和 OpenRoaming 集成——完整的书面指南链接在节目备注中。 感谢收听。下次再见。 --- 脚本结束

header_image.png

执行摘要

对于高等教育机构以及为其师生提供服务的场所而言,提供安全、无缝的无线连接已不再是奢侈品,而是运营上的硬性要求。这一连接的标准便是 eduroam,一个基于 IEEE 802.1X 框架构建的全球漫游服务。

本指南为 IT 经理、网络架构师以及场馆运营总监提供一份全面的、技术中立的参考资料,用于理解、部署和排错 802.1X 与 eduroam。我们超越基础理论模型,深入探讨企业级校园 WiFi 的实际运作,包括证书管理、RADIUS 代理架构以及与更广泛的访客网络策略的集成。

无论您是在升级老旧的大学网络,还是在配置会议中心以支持学术访客,正确实施 802.1X 都能显著降低安全风险——尤其是凭证窃取——同时大幅减少支持工作量。对于传统高等教育之外的场所,理解这些标准对于评估诸如 OpenRoaming 等商业漫游联盟至关重要,它们共享相同的底层架构。

技术深入解读:802.1X 与 eduroam 架构

eduroam 的核心是 IEEE 802.1X 的实现,这是基于端口的网络访问控制标准。802.1X 最初为有线网络设计,但它构成了 WPA2-Enterprise 和 WPA3-Enterprise 安全的基础。

802.1X 三角模型

802.1X 框架依赖三个不同组件的交互来授权访问:

  1. Supplicant(请求方): 请求网络访问的客户端设备(例如学生的笔记本电脑或智能手机)。
  2. Authenticator(认证器): 网络接入设备(例如无线接入点或管理型交换机)。它充当守门人,在设备获得授权之前,阻止除认证消息外的所有流量。
  3. Authentication Server(认证服务器): 验证凭据的后端系统,几乎普遍采用 RADIUS(Remote Authentication Dial-In User Service)服务器。

当设备连接时,认证器建立一个受控端口。它在 Supplicant 和 Authentication Server 之间传递 Extensible Authentication Protocol (EAP) 消息。如果凭据有效,服务器返回一个 RADIUS Access-Accept 消息,认证器随之开放端口,允许标准 IP 流量通过。

architecture_overview.png

eduroam 的 RADIUS 代理层级

eduroam 的独特之处在于其联合架构。它允许用户在任何参与机构使用其归属凭据进行认证,而主办机构无需拥有这些凭据的副本。

这通过一个层级化的 RADIUS 代理链实现。当来自 username@university.ac.uk 的用户连接到主办场所的 eduroam SSID 时:

  1. 用户的设备以 username@university.ac.uk 的格式发送认证请求。
  2. 主办场所的 RADIUS 服务器检查 realm(@ 符号之后的部分)。识别出其为外部域后,它将请求代理到国家级顶级 RADIUS 服务器(由国家科研和教育网络 NREN 运营)。
  3. 国家级服务器将请求路由到归属机构的 RADIUS 服务器(university.ac.uk)。
  4. 归属机构验证凭据,并沿链路返回 Access-AcceptAccess-Reject 消息。

整个过程通常在不到两秒内完成。关键的是,用户的密码永远不会暴露给主办机构或中间的代理服务器;它被保护在直接由 supplicant 与归属 RADIUS 服务器建立的加密 EAP 隧道内。

EAP 方法:安全性与可部署性的权衡

EAP 方法的选择决定了加密隧道的形成方式以及凭据的交换方式。eduroam 策略服务定义严格限制可允许的方法,以确保安全。

  • PEAP (Protected EAP): 最常见的部署方式。它利用 RADIUS 服务器上的服务器端证书建立 TLS 隧道。然后客户端在此隧道内进行认证,通常使用 MSCHAPv2(用户名和密码)。它相对容易部署,但如果客户端未配置严格验证服务器证书,则容易受到恶意接入点攻击。
  • EAP-TLS: 安全性的黄金标准。它要求双向认证,即 RADIUS 服务器和客户端设备都必须出示有效证书。虽然免疫凭据钓鱼,但需要强大的公钥基础设施 (PKI) 来颁发和管理客户端证书,因此大规模部署更为复杂。

实施指南

部署 802.1X 和 eduroam 需要网络基础设施、身份管理和客户端配置之间的精心协调。

1. 基础设施准备

确保您的无线接入点和控制器支持 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何现代企业级硬件(Cisco、Aruba、Juniper 等)都能满足此要求。您还必须部署一个健壮的 RADIUS 基础设施(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass),能够处理预期的认证负载并代理请求。

2. 证书管理

对于 PEAP 部署,您的 RADIUS 服务器需要一个由客户端信任的证书颁发机构 (CA) 签发的 TLS 证书。请勿在生产环境的 eduroam 部署中使用自签名证书。证书必须定期更新,以防止认证中断。

3. 客户端配置(CAT 工具)

eduroam 部署中最常见的故障点是客户端配置错误。用户手动连接时,往往未能配置证书验证,从而容易遭受凭据收集攻击。

为缓解此风险,机构必须使用 eduroam 配置助手工具 (CAT) 或 MDM 解决方案来分发预配置的配置文件。这些配置文件会自动配置正确的 EAP 方法、固定预期的 RADIUS 服务器证书,并设置适当的内在认证协议。

4. VLAN 分配与分段

一个成熟的部署利用 RADIUS 属性根据用户身份动态分配 VLAN。

  • 内部用户: 分配到具有适当校园资源访问权限的内部 VLAN。
  • 访客用户: 分配到受限的访客 VLAN,仅提供互联网访问。

这种分段对于安全性和合规性至关重要,确保访客设备无法访问敏感的内部网络。

comparison_chart.png

最佳实践与技术中立建议

  • 优先采用 WPA3: 对于新部署,启用 WPA3-Enterprise 以获得强制性的 192 位加密和更好的离线字典攻击防护。
  • 强制证书验证: 要求使用配置配置文件(通过 CAT 或 MDM),以确保 supplicant 在传输凭据前严格验证 RADIUS 服务器证书。
  • 使用 RadSec: 在配置与国家级联盟的 RADIUS 代理连接时,使用 RadSec(RADIUS over TLS)而非普通的 UDP。这将加密代理流量,并提高广域网链路的可靠性。
  • 与访客解决方案集成: eduroam 仅服务于拥有学术凭据的用户。您必须为承包商、公众访客和活动参与者维持一个独立的、安全的 访客 WiFi 解决方案。
  • 审查相关基础设施: 确保您的底层网络安全。阅读我们的指南 通过强大的 DNS 和安全措施保护您的网络 以获取更多细节。如果为大学活动部署临时基础设施,请参阅 活动 WiFi:规划和部署临时无线网络 或葡萄牙语版本 Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias

故障排除与风险缓解

当认证失败时,系统化的故障排除至关重要。

  1. 隔离故障域: 确定故障是本地的(影响您自己网络上的用户)、远程的(影响您用户在别处)还是入站的(影响您网络上的访客)。
  2. 检查 RADIUS 日志: RADIUS 服务器日志是权威的事实来源。查找 Access-Reject 消息(表示凭据错误或策略违规)或超时(表示代理连接问题)。
  3. 验证证书有效性: 确保 RADIUS 服务器证书未过期,且完整的证书链被呈现给客户端。
  4. 监控上游延迟: 与国家级 RADIUS 代理之间的高延迟可能导致客户端超时,即使凭据正确也会连接失败。

投资回报与业务影响

对于高等教育机构,适当部署 eduroam 的投资回报体现在大幅减少的支持工单上。通过消除 Captive Portal 和手动输入密码,IT 帮助台会看到连接相关呼叫的显著下降。(Purple 对该领域的承诺显而易见;请参阅 Purple 任命教育副总裁 Tim Peers 彰显高等教育雄心 )。

对于商业场所——如 酒店业零售业医疗业交通业 ——支持 eduroam 访客接入 (eVA) 或类似的联盟(如 OpenRoaming),能为高价值人群提供无摩擦的体验。它确保学术访客能够自动、安全地连接,提高满意度,同时允许场所维持严格的网络分段。如果您的场所需要专用带宽来支持此需求,请考虑阅读 什么是专线?专为企业提供的互联网

在规划网络升级时,集成 802.1X 功能可确保基础设施为现代身份驱动的网络做好准备,为高级 WiFi 分析 和基于位置的服务奠定基础。

Key Definitions

802.1X

一项 IEEE 标准,用于基于端口的网络访问控制 (PNAC)。它为希望连接到 LAN 或 WLAN 的设备提供认证机制。

企业级 WiFi 安全的基础协议,以个性化认证取代共享密码 (PSK)。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为连接和使用网络服务的用户提供集中的认证、授权和计费 (AAA) 管理。

802.1X 部署中的后端服务器,实际检查用户凭据是否与目录(如 Active Directory)匹配。

EAP (Extensible Authentication Protocol)

一种认证框架,常用于无线网络和点对点连接。它提供各种认证机制的传输和使用。

客户端设备与 RADIUS 服务器在 802.1X 握手期间使用的通信语言。

Supplicant

尝试使用 802.1X 对网络进行认证的客户端设备(例如笔记本电脑、智能手机)或该设备上的软件。

请求访问的实体。其配置(特别是关于证书验证)对安全性至关重要。

Authenticator

通过传递 Supplicant 和 Authentication Server 之间的消息来促进 802.1X 认证过程的网络设备(例如无线接入点、以太网交换机)。

守门人,在 RADIUS 服务器放行之前阻止网络流量。

PEAP (Protected Extensible Authentication Protocol)

一种 EAP 方法,将 EAP 事务封装在通过服务器端证书建立的 TLS 隧道中,保护内部认证(通常是密码)。

eduroam 最常用的认证方法,在安全性与部署便利性之间取得平衡。

RadSec

一种通过 TCP 和 TLS 而非传统 UDP 传输 RADIUS 数据的协议。

推荐用于保护机构与国家级 eduroam 联盟之间的代理连接,防止认证流量被拦截。

Realm

用户身份中 '@' 符号之后的部分(例如,'user@university.ac.uk' 中的 'university.ac.uk')。

RADIUS 代理服务器用于确定在诸如 eduroam 的联合环境中将认证请求路由到哪里。

Worked Examples

一家毗邻主要大学的 400 间客房会议酒店经常举办学术研讨会。IT 总监希望允许来访的学者自动连接,无需使用酒店的标准 Captive Portal,但必须确保这些访客无法访问酒店的企业网络或标准访客网络 VLAN。

酒店应实施 eduroam 访客接入 (eVA) 或加入诸如 OpenRoaming 之类的商业联盟。

  1. 酒店在其企业接入点上配置一个新的 SSID('eduroam' 或 'OpenRoaming')。
  2. AP 配置为使用 WPA2-Enterprise/802.1X。
  3. 酒店部署一个本地 RADIUS 服务器,配置为将外部域的认证请求代理到国家级联盟(对于 eduroam)或 OpenRoaming 中心。
  4. 关键的是,本地 RADIUS 服务器被配置为在所有代理认证的 Access-Accept 消息中返回一个特定的 VLAN ID 属性。
  5. 接入点将这些已认证用户放置到一个隔离的、仅可访问互联网的 VLAN 上,与酒店的企业和标准访客流量完全分离。
Examiner's Commentary: 此方法正确利用 RADIUS 代理架构,将认证卸载到访客的归属机构。通过使用 RADIUS 属性进行动态 VLAN 分配,酒店保持了严格的网络分段,满足了安全要求,同时提供了无摩擦的用户体验。

一所大学的 IT 团队注意到学生账户泄露事件激增。调查显示,学生们正在连接一家当地咖啡馆广播 'eduroam' SSID 的恶意接入点。该恶意 AP 使用自签名证书,通过 PEAP 收集凭据。

IT 团队必须立即在所有客户端设备上强制实施严格的证书验证。

  1. 他们必须停止建议学生手动连接 SSID 并“接受证书警告”。
  2. 为 BYOD 设备部署 eduroam 配置助手工具 (CAT),并更新受管理设备的 MDM 配置文件。
  3. 这些配置文件将 supplicant 配置为仅信任签发大学 RADIUS 服务器证书的特定证书颁发机构 (CA),并验证服务器的通用名称 (CN)。
  4. 一旦配置完成,如果学生的设备遇到恶意 AP,由于恶意证书与固定的 CA/CN 不匹配,EAP 隧道建立将失败,从而阻止凭据传输。
Examiner's Commentary: 此场景凸显了 PEAP 部署中最关键的漏洞。解决方案正确指出修复在于客户端配置。依赖用户教育识别伪造证书是无效的;技术控制(配置文件固定)是强制性的。

一家零售连锁店希望利用其现有的依赖开放 SSID 和 Captive Portal 的访客 WiFi 基础设施,在 50 个地点提供 OpenRoaming。

该零售连锁店必须升级其网络以支持 802.1X 和 RADIUS 代理。

  1. 网络团队启用一个新的 SSID,广播 OpenRoaming 联盟 OI(组织标识符)。
  2. 他们将接入点配置为通过 802.1X 进行认证。
  3. 他们将中央 RADIUS 服务器配置为将请求代理到 OpenRoaming 联盟中心。
  4. 他们确保其互联网回程能够支持预期的自动化连接增长,必要时升级到专用专线。
Examiner's Commentary: 这凸显了从 Captive Portal 转向联合 802.1X 模型需要根本性的架构变更,特别是实施 RADIUS 代理以及处理增加的自动化连接的能力。

Practice Questions

Q1. 您的大学正在部署一个新的无线网络。CISO 要求通过恶意接入点进行的凭据钓鱼在数学上必须不可能。您必须选择哪种 EAP 方法?

Hint: 考虑哪种方法依赖密码,哪种方法完全依赖加密密钥。

View model answer

您必须选择 EAP-TLS。与 PEAP 不同,PEAP 依赖 TLS 隧道内的密码,而 EAP-TLS 要求双向证书认证。由于客户端设备使用加密证书而非密码进行认证,因此没有凭据可供恶意接入点钓鱼。

Q2. 一位来访的研究员抱怨无法连接到您的 eduroam 网络。您的本地用户连接正常。您检查本地 RADIUS 服务器日志,发现请求已到达,但在收到 Access-Accept 之前超时。最可能的原因是什么?

Hint: 考虑访客用户与本地用户的认证请求路径。

View model answer

最可能的原因是您的本地 RADIUS 服务器与国家级 NREN RADIUS 代理之间存在连接性或延迟问题。因为本地用户直接对您的服务器进行认证,所以不受影响。访客用户的请求必须向上游代理,超时表明来自归属机构的响应未能及时返回。

Q3. 您是一家毗邻大型大学的零售连锁店的网络架构师。您希望通过 eduroam 访客接入 (eVA) 为学生提供无缝 WiFi,但必须遵守 PCI DSS 对销售终端的要求。如何安全地集成 eVA?

Hint: 802.1X 如何让网络接入点在认证后区分流量?

View model answer

您通过配置 RADIUS 服务器将所有成功的 eVA 认证分配到专用的、仅限互联网的访客 VLAN 来集成 eVA。来自 RADIUS 服务器的 Access-Accept 消息必须包含特定的 VLAN ID。这确保了学生设备与销售终端使用的符合 PCI 标准的 VLAN 完全隔离,满足合规要求。