跳至主要内容

eduroam 和 802.1X:面向高等教育的安全 WiFi 身份验证

本权威技术参考指南详细介绍了 eduroam 和 802.1X 身份验证的架构、部署和安全性。本指南专为 IT 经理和网络架构师设计,内容涵盖实际部署步骤、EAP 方法选择,以及场所运营商如何安全地支持学术漫游。

📖 6 分钟阅读📝 1,343 🔧 3 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
播客脚本:eduroam 与 802.1X - 高等教育安全 WiFi 认证 时长:约 10 分钟 配音:英式英语,男性,资深顾问语气 - 自信、口语化、权威 --- [片头 - 1分钟] 欢迎回来。在接下来的十分钟里,我将带您了解 eduroam 和 802.1X - 它们是什么,其底层的实际运行机制,以及您的团队在部署或集成其中任何一项之前需要了解哪些信息。 如果您是高校、学院或科研机构的 IT 经理、网络架构师或 CTO,亦或是需要了解学术访客对您的无线基础设施有何期望的场馆运营商,那么本期内容正是为您准备的。 让我们先从大局看起。eduroam 代表“教育漫游”。它是一项全球性的 WiFi 漫游服务,允许来自成员机构的学生、研究人员和教职员工在任何参与该计划的场馆连接到互联网 - 自动、安全,且使用其本校的凭据。无需访客门户,无需凭证码,也无需向服务台询问密码。 该服务自 2003 年开始运行,目前已覆盖 100 多个国家的 10,000 多所机构,是全球高等教育校园无线网络的行业事实标准。如果您的组织与大学有交集 - 无论您是校园周边的酒店、举办学术活动的会议中心,还是大学城里的公共图书馆 - 了解 eduroam 都与您的网络策略直接相关。 --- [技术深度剖析 - 5分钟] 好的。让我们深入了解一下它的工作机制。 eduroam 是构建在 IEEE 802.1X 基础之上的 - 这是基于端口的网络访问控制标准。802.1X 定义了一个在允许设备访问网络之前对其进行身份验证的框架。它最初是为有线以太网设计的,但可以无缝映射到无线网络上,这也是我们所说的 WPA2 企业级(WPA2-Enterprise)或 WPA3 企业级(WPA3-Enterprise)安全性的基石。 802.1X 模型由三个部分组成。第一,客户端(Supplicant)- 即尝试连接的设备。例如学生的笔记本电脑、研究人员的手机。第二,认证器(Authenticator)- 即您的网络接入点(AP)或网管型交换机。它介于客户端和网络的其余部分之间,充当看门人的角色。第三,认证服务器(Authentication Server)- 几乎都是 RADIUS 服务器。RADIUS 代表远程用户拨号认证服务。它是实际验证凭据的组件。 以下是握手的工作原理:学生的设备与无线接入点关联。接入点尚未授予完整的网络访问权限 - 它会打开一个所谓的受控端口,但仅用于 EAP 流量。EAP 是可扩展身份验证协议。接入点代理设备与 RADIUS 服务器之间的 EAP 对话。RADIUS 服务器对设备进行挑战,设备以凭据(通常是用户名和密码或证书)进行响应。如果 RADIUS 服务器感到满意,它会发回一个 Access-Accept 消息。然后,接入点会打开完整的网络端口。在配置良好的部署中,整个交换过程只需不到两秒钟。 现在,eduroam 是如何在其上进行分层的?eduroam 使用分层 RADIUS 代理架构。每个参与机构都运行自己的 RADIUS 服务器 - 称为身份提供商或 IdP。例如,当来自曼彻斯特大学的学生访问伦敦帝国理工学院并连接到 eduroam SSID 时,他们的设备会以 username@manchester.ac.uk 的格式发送其凭据。帝国理工学院的 RADIUS 服务器会看到域 - 即 @ 符号后面的部分 - 并将身份验证请求代理到国家 RADIUS 服务器,该服务器在英国由国家科研教育网络 Jisc 运营。然后,Jisc 将请求路由到曼彻斯特大学的 RADIUS 服务器,该服务器验证凭据并发回 Accept 或 Reject。整个链条在几毫秒内即可完成解析。 这种代理链使 eduroam 能够在跨机构边界工作,而无需机构之间有任何预共享密钥。链中的每个跃点仅与其次邻近节点使用共享的 RADIUS 密钥。学生的实际密码永远不会离开母校的 RADIUS 服务器 - 它受到 EAP 隧道的端到端保护。 谈到 EAP 方法 - 这是许多部署出错的地方,因此请注意。eduroam 中最常用的 EAP 方法是 PEAP(受保护的 EAP)和 EAP-TLS。PEAP 将内部身份验证方法(通常是 MSCHAPv2)封装在 TLS 隧道内。它要求在 RADIUS 服务器上具有服务器端证书,但客户端只需要用户名和密码。EAP-TLS 是更安全的选择 - 它使用双向证书身份验证,这意味着服务器和客户端都需要提供证书。由于您需要 PKI 来颁发客户端证书,因此大规模部署难度更大,但它基本上可以免受凭据钓鱼攻击。 许多机构忽视的关键安全要求是客户端证书验证。当设备使用 PEAP 连接到 eduroam 时,设备必须在提交凭据之前验证 RADIUS 服务器的证书。如果设备配置错误,导致其接受任何证书,攻击者就可以建立一个广播 eduroam SSID 的恶意接入点,提供自签名证书,并窃取凭据。这是一种已知的攻击途径。解决方法是配置您的请求程序配置文件 - 对于托管设备通过 MDM 进行配置,而对于个人设备,则通过名为 CAT 的 eduroam Configuration Assistant Tool 进行配置 - 以固定预期的证书颁发机构和服务器名称。 从标准角度来看,eduroam 部署预计需符合 eduroam 策略服务定义,该定义强制要求所有基于 TLS 的 RADIUS 连接必须使用 TLS 1.2 或更高版本,禁止使用弱 EAP 方法(如 EAP-MD5 或 LEAP),并要求所有 RADIUS 代理连接尽可能使用 RadSec(基于 TLS 的 RADIUS),而不是普通的 UDP RADIUS。这与英国的 NCSC 指南和美国的 NIST SP 800-120 一致。 还有一个值得注意的技术点:VLAN 分配。在架构良好的 eduroam 部署中,RADIUS Access-Accept 响应包含 VLAN 属性,这些属性会告知接入点将连接设备分配到哪个 VLAN。这使您可以对流量进行细分 - 将来访的学生置于仅允许访问互联网的受限制 VLAN 中,同时将您自己的员工路由到内部网络。这对于合规性至关重要,特别是当您受制于 PCI-DSS 或需要保持研究数据网络与普通互联网流量之间的隔离时。 --- [实施建议和常见陷阱 — 2 分钟] 让我为您提供一些实用的指导。 如果您是首次部署 eduroam,您首先应该联系您的国家 NREN - 在英国是 Jisc,在爱尔兰是 HEAnet,在美国是 Internet2。他们处理联盟成员资格,并将为您分配一个 RADIUS 域。如果不成为国家联盟的成员,您将无法参与 eduroam。 您的基础设施清单:您需要支持 802.1X 的接入点 - 任何来自 Cisco、Aruba、Juniper、Ruckus 或 Ubiquiti UniFi 的企业级设备都可以做到这一点。您需要一台 RADIUS 服务器 - FreeRADIUS 是开源标准,或者您可以使用 Microsoft NPS、Cisco ISE 或 Aruba ClearPass。您需要为您的 RADIUS 服务器提供一张由 eduroam 社区信任的 CA 颁发的有效 TLS 证书 - 通常是来自您机构的 PKI 或 eduroam 批准列表中的商业 CA 的证书。 我最常遇到的三种部署失败情况是:第一,证书配置错误 - 要么是 RADIUS 证书已过期,要么是客户端 supplicant 配置文件未正确绑定。第二,RADIUS 代理超时 - 如果您的上游 NREN 连接存在延迟问题,身份验证将会超时,用户会遇到看似凭据错误的连接失败。第三,VLAN 配置错误 - 访客用户最终进入了错误的网段,要么无法访问互联网,或者更糟糕的是,获得了访问他们不应该看到的内部资源的权限。 在客户端,请通过您的 MDM 平台将 eduroam CAT 配置文件部署到所有受管设备。对于个人设备,请在显眼位置发布 CAT 安装程序链接。这一个步骤就可以消除大部分支持工单。 对于非高等教育机构但希望提供 eduroam 访问的场馆(会议中心、酒店和类似场所),该流程被称为 eduroam 访客访问(即 eVA)。它允许非会员组织托管 eduroam SSID 并将身份验证代理给联盟,而无需成为正式会员。如果您经常举办学术会议或大学活动,这非常值得研究。 --- [快速问答 - 1分钟] 我经常被问到的常见问题。 “eduroam 能否完全取代我们的访客 WiFi?”不能。eduroam 仅适用于在会员机构拥有凭据的用户。您仍然需要为其他所有人(访客、承包商、公众)提供一个独立的访客 WiFi 解决方案。 “eduroam 是否符合 GDPR?”符合,但有一些注意事项。联盟架构意味着您的机构会处理身份验证数据,但您需要确保您的隐私声明涵盖了这一点,并且您的 RADIUS 日志得到了适当的处理。 “我们可以将 WPA3 与 eduroam 结合使用吗?”可以。WPA3-Enterprise 与 802.1X 完全兼容,是新部署的推荐标准。它为高安全性环境增加了 192 位模式加密。 “eduroam 和 OpenRoaming 有什么区别?”OpenRoaming 是来自无线宽带联盟(Wireless Broadband Alliance)的一项更广泛的行业倡议,它使用相同的 802.1X 和 RADIUS 代理架构,但将漫游从教育领域扩展到了商业场所。包括 Purple 在内的一些平台支持将 OpenRoaming 作为其访客 WiFi 产品的一部分。 --- [总结和后续步骤 - 1分钟] 总结一下。eduroam 是一种成熟、管理完善、在全球部署的 WiFi 漫游服务,它基于 802.1X 和分层 RADIUS 代理基础设施构建。它在超过 10,000 家机构中提供单用户身份验证、强加密和无缝漫游,无需共享密码或 Captive Portal。 对于部署或升级校园无线网络的 IT 团队:在您的 PKI 能够支持的情况下,优先选择 EAP-TLS 而非 PEAP;在所有客户端配置文件上强制执行证书验证;对所有 RADIUS 代理连接使用 RadSec;并将访客用户隔离到专用的 VLAN 中。 对于场所运营商:如果您定期接待学术访客,请研究 eduroam Visitor Access。无论您是否部署 eduroam,您的访客 WiFi 基础设施都应该构建在企业级 802.1X 原则之上 - 而不是共享 PSK。 如果您想深入了解其中任何内容 - RADIUS 架构、适用于 EAP-TLS 的 PKI 设计,或者像 Purple 这样的平台如何与 eduroam 和 OpenRoaming 集成 - 完整的书面指南已链接在节目简介中。 感谢您的收听。我们下期再见。 --- 脚本结束

header_image.png

执行摘要

对于高等教育机构以及为教职工和学生提供服务的场所而言,提供安全、无缝的无线连接不再是奢求,而是一项业务必选项。这种连接的标准是 eduroam,这是一种基于 IEEE 802.1X 框架构建的全球漫游服务。

本指南为 IT 经理、网络架构师和场所运营总监提供了全面、中立的参考,用于理解、部署和排除 802.1X 和 eduroam 故障。我们超越了基础理论模型,深入探讨了企业级校园 WiFi 在实践中是如何运行的,包括证书管理、RADIUS 代理架构以及与更广泛的访客网络策略的集成。

无论您是升级老旧的大学网络,还是配置会议中心以支持学术访问,正确实施 802.1X 都可以显著降低安全风险(尤其是凭证窃取),同时大幅降低支持开销。对于传统高等教育之外的场所,理解这些标准对于评估共享相同底层架构的 OpenRoaming 等商业漫游联盟至关重要。

技术深度剖析:802.1X 和 eduroam 架构

eduroam 的核心是 IEEE 802.1X 的一种实现,即基于端口的网络访问控制标准。802.1X 最初是为有线网络设计的,但它构成了 WPA2-EnterpriseWPA3-Enterprise 安全性的基础。

802.1X 三角模型

802.1X 框架依靠三个不同组件的交互来授权访问:

  1. 客户端(Supplicant): 请求网络访问的客户端设备(例如学生的笔记本电脑或智能手机)。
  2. 认证器(Authenticator): 网络访问设备(例如无线接入点或网管交换机)。它扮演看门人的角色,在设备获得授权之前,阻止除认证消息之外的所有流量。
  3. 认证服务器(Authentication Server): 验证凭证的后端系统,几乎普遍使用 RADIUS(远程用户拨号认证服务)服务器。

当设备连接时,认证器建立一个受控端口。它在客户端和认证服务器之间转发可扩展身份验证协议(EAP)消息。如果凭证有效,服务器将返回一个 RADIUS Access-Accept 消息,并且认证器打开端口以允许标准 IP 流量通过。

architecture_overview.png

eduroam 的 RADIUS 代理层次结构

让 eduroam 脱颖而出的是其联邦式架构。它允许用户在任何参与机构使用其家庭机构凭据进行身份验证,而托管机构无需保留这些凭据的任何副本。

这是通过 RADIUS 代理的分层链实现的。当来自 username@university.ac.uk 的用户在托管场所连接到 eduroam SSID 时:

  1. 用户的设备发送格式为 username@university.ac.uk 的身份验证请求。
  2. 托管场所的 RADIUS 服务器检查领域(@ 符号后面的部分)。识别出这是一个外部域名后,它将请求代理发送给国家顶级 RADIUS 服务器(由国家科研教育网,即 NREN 运营)。
  3. 国家服务器将请求路由到家庭机构的 RADIUS 服务器(university.ac.uk)。
  4. 家庭机构验证凭据,并在链条中返回 Access-AcceptAccess-Reject 消息。

整个过程通常在两秒钟内完成。至关重要的是,用户的密码永远不会暴露给托管机构或中间代理服务器;它在请求方与家庭 RADIUS 服务器之间直接建立的加密 EAP 隧道内受到保护。

EAP 方法:安全性与可部署性之间的权衡

EAP 方法的选择决定了加密隧道如何形成以及凭据如何交换。eduroam 策略服务定义严格限制了允许使用的方法,以确保安全性。

  • PEAP (Protected EAP): 最常见的部署方法。它在 RADIUS 服务器上使用服务器端证书来建立 TLS 隧道。然后,客户端在该隧道内部进行身份验证,通常使用 MSCHAPv2(用户名和密码)。它相对容易部署,但如果客户端未配置为严格验证服务器证书,则容易受到恶意接入点攻击。
  • EAP-TLS 安全性的黄金标准。它需要双向身份验证,这意味着 RADIUS 服务器和客户端设备都必须出示有效的证书。虽然它对凭据网络钓鱼免疫,但它需要强大的公钥基础设施 (PKI) 来颁发和管理客户端证书,这使得大规模部署更加复杂。

实施指南

部署 802.1X 和 eduroam 需要网络基础设施、身份管理和客户端配置之间的精心协调。

1. 基础设施准备

确保您的无线接入点和控制器支持 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何现代企业级硬件(Cisco、Aruba、Juniper 等)都能满足这一要求。您还必须部署一个强大的 RADIUS 基础设施(如 FreeRADIUS、Cisco ISE 或 Aruba ClearPass),以便能够处理预期的身份验证负载并进行请求代理。

2. 证书管理

对于 PEAP 部署,您的 RADIUS 服务器需要一个由客户端信任的证书颁发机构 (CA) 颁发的 TLS 证书。切勿在生产环境的 eduroam 部署中使用自签名证书。证书必须定期更新,以防止身份验证中断。

3. 客户端配置(CAT 工具)

eduroam 部署中最常见的失败点是客户端配置错误。当用户进行手动连接时,他们通常无法配置证书验证,从而容易受到凭证窃取攻击。

为了降低这一风险,机构必须使用 eduroam 配置助手工具 (CAT) 或 MDM 解决方案来分发预先配置好的配置文件。这些配置文件会自动配置正确的 EAP 方法、锁定预期的 RADIUS 服务器证书,并设置适当的内部身份验证协议。

4. VLAN 分配与隔离

成熟的部署会使用 RADIUS 属性,根据用户身份动态分配 VLAN。

  • 内部用户: 分配到内部 VLAN,并拥有对校园资源的适当访问权限。
  • 来访用户: 分配到受限的访客 VLAN,仅提供互联网访问权限。

这种隔离对于安全性和合规性至关重要,可确保来访设备无法访问敏感的内部网络。

comparison_chart.png

最佳实践与厂商无关的建议

  • 优先使用 WPA3: 对于新部署,启用 WPA3-Enterprise 以获得强制性的 192 位加密和对离线字典攻击的更好防护。
  • 强制执行证书验证: 要求使用配置文件(通过 CAT 或 MDM),以确保 supplicant 在传输凭证之前严格验证 RADIUS 服务器证书。
  • 使用 RadSec: 在配置到国家联盟的 RADIUS 代理连接时,使用 RadSec (RADIUS over TLS) 而不是普通的 UDP。这可以对代理流量进行加密,并提高广域网链路上的可靠性。
  • 与访客解决方案整合: eduroam 仅服务于拥有学术凭证的用户。您必须为承包商、公众成员和活动参与者维护一个独立的、安全的 Guest WiFi 解决方案。
  • 审查相关基础设施: 确保您的底层网络安全。阅读我们的指南 使用强大的 DNS 和安全保护您的网络 以了解更多详情。如果要为大学活动部署临时基础设施,请参阅 活动 WiFi:规划和部署临时无线网络 或葡萄牙语版本 活动 WiFi:Planeamento e Implementação de Redes Sem Fios Temporárias

故障排除与风险缓解

当身份验证失败时,系统性的故障排除至关重要。

  1. 隔离故障域: 确定故障是本地的(影响您自己网络上的用户)、远程的(影响您在其他地方的用户),还是入站的(影响您网络上的访客)。
  2. 检查 RADIUS 日志: RADIUS 服务器日志是权威的信息源。查找 Access-Reject 消息(表示凭据错误或违反策略)或超时(表示代理连接问题)。
  3. 验证证书有效性: 确保 RADIUS 服务器证书未过期,并且向客户端展示了完整的证书链。
  4. 监控上行延迟: 到国家 RADIUS 代理的高延迟会导致客户端超时,从而导致即使凭据正确也无法建立连接。

投资回报率(ROI)与业务影响

对于高等教育机构而言,妥善部署 eduroam 的回报体现在支持工单的大幅减少。通过消除 Captive Portal 和手动密码输入,IT 服务台在连接相关呼叫方面看到了显著下降。(Purple 对该领域的承诺显而易见;请参阅 Purple 任命 Tim Peers 为教育副总裁,突显其高等教育雄心 )。

对于商业场所 - 例如 酒店业零售业医疗保健交通运输 - 支持 eduroam 访客接入(eVA)或 OpenRoaming 等类似联盟,可为高价值人群提供无缝体验。它确保学术访客自动、安全地连接,在提高满意度的同时允许场所维持严格的网络隔离。如果您的场所需要专用带宽来支持这一需求,请考虑阅读 什么是专线?为企业打造的互联网

在规划网络升级时,集成 802.1X 功能可确保您的基础设施为现代身份驱动型网络做好准备,为高级 WiFi Analytics 和基于位置的服务奠定基础。

关键定义

802.1X

一项基于端口的网络准入控制(PNAC)的 IEEE 标准。它为希望连接到局域网(LAN)或无线局域网(WLAN)的设备提供了一种身份验证机制。

企业级 WiFi 安全的基础协议,用于替代共享密码(PSKs),实现个性化身份验证。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为连接和使用网络服务的用户提供集中的认证、授权和计费(AAA)管理。

802.1X 部署中的后端服务器,实际负责根据目录(如 Active Directory)核对用户凭据。

EAP (Extensible Authentication Protocol)

一种常用于无线网络和点对点连接的身份验证框架。它用于传输和使用各种身份验证机制。

在 802.1X 握手期间,客户端设备与 RADIUS 服务器之间所使用的通信语言。

Supplicant

尝试使用 802.1X 对网络进行身份验证的客户端设备(例如笔记本电脑、智能手机)或该设备上的软件。

请求访问的实体。其配置(特别是关于证书验证)对于安全至关重要。

Authenticator

通过在 Supplicant 和身份验证服务器之间传递消息,来协助 802.1X 身份验证过程的网络设备(例如无线接入点、以太网交换机)。

在 RADIUS 服务器发出绿灯信号之前阻止网络流量的安全把关者。

PEAP (Protected Extensible Authentication Protocol)

一种 EAP 方法,它将 EAP 事务封装在利用服务器端证书建立的 TLS 隧道中,从而保护内部身份验证(通常是密码)。

eduroam 最常用的身份验证方法,在安全性和部署便利性之间取得了平衡。

RadSec

一种用于通过 TCP 和 TLS(而非传统的 UDP)传输 RADIUS 数据的协议。

推荐用于保障机构与国家 eduroam 联盟之间代理连接的安全,防止身份验证流量被拦截。

Realm

用户身份中位于 "@" 符号后面的部分(例如 "user@university.ac.uk" 中的 "university.ac.uk")。

在 eduroam 等联盟环境中,RADIUS 代理服务器用其来确定将身份验证请求路由到何处。

应用实例

一家毗邻一所重点大学、拥有 400 间客房的会议酒店经常举办学术研讨会。IT 总监希望允许来访的学者自动连接,而无需使用酒店的标准 Captive Portal,但必须确保这些访客无法访问酒店的企业网络或标准访客网络 VLAN。

该酒店应部署 eduroam Visitor Access (eVA) 或加入类似 OpenRoaming 的商业联盟。

  1. 酒店在其企业接入点上配置一个新的 SSID("eduroam" 或 "OpenRoaming")。
  2. 将 AP 配置为使用 WPA2-Enterprise/802.1X
  3. 酒店部署一个本地 RADIUS 服务器,配置为将外部领域的身份验证请求代理到国家联盟(针对 eduroam)或 OpenRoaming 中心。
  4. 至关重要的是,本地 RADIUS 服务器配置为在针对所有代理身份验证的 Access-Accept 消息中返回特定的 VLAN ID 属性。
  5. 接入点将这些已验证身份的用户置于一个隔离的、仅限互联网的 VLAN 中,与酒店的企业和标准访客流量完全隔离。
考官评语: 此方法正确利用了 RADIUS 代理架构,将身份验证工作卸载给访客的归属机构。通过使用基于 RADIUS 属性的动态 VLAN 分配,酒店保持了严格的网络隔离,在满足安全要求的同时提供了无缝的用户体验。

一所大学的 IT 团队发现受损的学生账户数量激增。调查显示,学生正在连接到一个在当地咖啡馆广播 "eduroam" SSID 的流氓接入点。该流氓 AP 正在使用自签名证书通过 PEAP 窃取凭证。

IT 团队必须立即在所有客户端设备上强制执行严格的证书验证。

  1. 他们必须停止建议学生手动连接到 SSID 并 "接受证书警告"。
  2. 他们为 BYOD 设备部署 eduroam Configuration Assistant Tool (CAT),并为受管理设备更新 MDM 配置文件。
  3. 这些配置文件将请求方配置为仅信任签发大学 RADIUS 服务器证书的特定证书颁发机构 (CA),并验证服务器的公用名 (CN)。
  4. 配置完成后,如果学生的设备遇到流氓 AP,由于流氓证书与固定好的 CA/CN 不匹配,EAP 隧道建立将失败,从而阻止凭证的传输。
考官评语: 此场景突出了 PEAP 部署中最关键的安全漏洞。该解决方案正确地指出修复方法是客户端配置。依靠用户教育来发现虚假证书是无效的,技术控制(配置文件绑定)是强制性的。

一家零售连锁店希望使用其现有的访客 WiFi 基础设施在 50 个营业网点提供 OpenRoaming,该基础设施目前依赖于带有 Captive Portal 的开放式 SSID。

该零售连锁店必须升级其网络以支持 802.1X 和 RADIUS 代理。

  1. 网络团队启用一个广播 OpenRoaming 联盟 OI(组织标识符)的新 SSID。
  2. 他们将接入点配置为通过 802.1X 进行身份验证。
  3. 他们配置其中央 RADIUS 服务器,以将请求代理到 OpenRoaming 联盟中心。
  4. 他们确保其互联网回传能够支持预期增加的自动连接,必要时可能会升级到专用租用线路。
考官评语: 这表明,从 Captive Portal 转向联合 802.1X 模式需要根本性的架构变革,具体而言是部署 RADIUS 代理以及处理增加的自动连接的能力。

练习题

Q1. 您的大学正在部署一个新的无线网络。CISO 要求必须在数学上完全消除通过流氓接入点进行凭据钓鱼的可能性。您必须选择哪种 EAP 方法?

提示:考虑哪种方法依赖密码,而哪种方法完全依赖加密密钥。

查看标准答案

您必须选择 EAP-TLS。与依赖 TLS 隧道内密码的 PEAP 不同,EAP-TLS 需要双向证书身份验证。因为客户端设备使用加密证书而非密码进行身份验证,所以流氓接入点无法钓鱼获取任何凭据。

Q2. 一位来自其他大学的访问学者抱怨无法连接到您的 eduroam 网络。而您的本地用户连接正常。您检查了本地 RADIUS 服务器日志,看到请求已到达,但在收到 Access-Accept 之前超时了。最可能的原因是什么?

提示:思考访客用户与本地用户的身份验证请求所经过的路径有何不同。

查看标准答案

最可能的原因是您的本地 RADIUS 服务器与国家 NREN RADIUS 代理之间的连接或延迟问题。因为本地用户直接在您的服务器上进行身份验证,所以他们不受影响。访问学者的请求必须向上游进行代理传送,而超时表明来自其母校机构的响应未能及时返回。

Q3. 您是某家邻近大型大学的零售连锁店的网络架构师。您希望为使用 eduroam 访客接入(eVA)的学生提供无缝的 WiFi,但您的收银终端必须符合 PCI DSS 规范。您该如何安全地集成 eVA?

提示:802.1X 如何允许网络接入点在身份验证后区分流量?

查看标准答案

您可以通过配置 RADIUS 服务器将所有成功的 eVA 身份验证分配给专用的、仅限互联网的访客 VLAN 来集成 eVA。来自 RADIUS 服务器的 Access-Accept 消息必须包含特定的 VLAN ID。这确保了学生设备与销售终端系统(POS)所使用的符合 PCI 标准的 VLAN 完全隔离,满足合规性要求。