如何为 Cisco Meraki 配置 NAC 策略以实现 VLAN 导向

本权威指南为 IT 领导者、网络架构师和场所运营总监提供了一个实用、逐步的框架，用于在 Cisco Meraki 环境中配置 NAC 策略和 VLAN 导向。它涵盖了 802.1X 实施、通过 MAC 身份验证绕过隔离 IoT 设备，以及与 Purple 的访客 WiFi 分析平台的无缝集成，以确保酒店、零售和公共部门部署中安全、合规和高性能的网络分段。

📖 7 min read📝 1,719 words🔧 2 worked examples❓ 3 practice questions📚 9 key definitions

Listen to this guide

View podcast transcript

[INTRO]

主持人：欢迎回到 Purple 企业网络简报。我是主持人，今天我们要解决一个让许多 IT 总监夜不能寐的部署场景：如何为 Cisco Meraki 配置 NAC 策略以实现 VLAN 导向。

如果您管理的是一个庞大的场所——无论是 500 间客房的酒店、大型零售综合体还是高密度体育场——您已经知道扁平化网络就是受损的网络。您需要动态分段。您需要确保当设备连接到您的 SSID 时，它会被自动配置、认证并放入正确的 VLAN，无需人工干预。

在本简报中，我们将跳过学术理论，直接深入实用架构。我们将探讨如何实施 802.1X，如何处理无法运行申请者的 IoT 设备，以及如何将其与 Purple 的访客 WiFi 和分析平台无缝集成。让我们开始吧。

[TECHNICAL DEEP-DIVE]

主持人：让我们从架构开始。Meraki 环境中的 VLAN 导向依赖于网络访问控制，即 NAC。这里的目标很简单：一个 SSID，多种结果。我们不是广播用于员工、访客和 IoT 的单独 SSID——这会消耗宝贵的通话时间并降低性能——而是广播单个安全的 SSID。RADIUS 服务器和 Meraki 仪表板处理逻辑。

当设备与接入点关联时，AP 向 RADIUS 服务器发送访问请求。此时您的 NAC 策略引擎介入。RADIUS 服务器检查凭据、设备状态或 MAC 地址。然后它回复一个访问接受消息。但关键的是，它包括 RADIUS 属性——具体来说，隧道类型、隧道介质类型和隧道私有组 ID。最后一个属性告诉 Meraki AP 具体对该特定客户端的流量应用哪个 VLAN 标记。

那么，我们如何在 Meraki 仪表板中配置呢？

首先，导航到无线，然后配置，选择访问控制。选择目标 SSID，并将关联要求设置为带有 802.1X 的企业。这是安全的、基于身份的访问的基础。

接下来，您需要将 SSID 指向您的 RADIUS 服务器。在 RADIUS 服务器设置下，输入 IP 地址、端口——通常是 1812——和共享密钥。

但这里是 VLAN 导向的关键步骤：您必须向下滚动并确保 RADIUS 覆盖已启用用于 VLAN 分配。在现代 Meraki 部署中，通常将 VLAN 标记设置为使用来自 RADIUS 的 VLAN 标记。

现在，那些不支持 802.1X 的设备呢？您的 IP 摄像头、智能恒温器、销售点终端？这就是 MAC 身份验证绕过，即 MAB，发挥作用的地方。

使用 MAB，接入点使用设备的 MAC 地址作为用户名和密码。NAC 服务器根据端点数据库检查这一点。如果它与已知的 IoT 配置文件匹配，它会返回 IoT 网络的 VLAN ID——比如 VLAN 40。这将脆弱的旧设备与您的企业数据和访客流量完全隔离。

[IMPLEMENTATION RECOMMENDATIONS & PITFALLS]

主持人：现在，让我们谈谈部署的现实。我见过许多这样的部署，有一些常见的陷阱您需要避免。

首先：失败开放与失败关闭的困境。如果您的 RADIUS 服务器停机怎么办？如果失败关闭，没有人能进入网络。如果失败开放，每个人都会落到默认 VLAN 中。对于企业环境，尤其是零售和酒店业，您应该配置一个关键认证 VLAN。这提供基本的互联网访问，但在 NAC 服务器可到达之前限制对内部资源的访问。

第二：访客访问。您不希望通过 802.1X 管理访客设备。相反，您使用一个开放或预共享密钥 SSID，带有 Captive Portal。这就是 Purple 的专长。当访客连接时，他们被重定向到 Purple 托管的启动页面。Purple 处理认证——通常通过社交登录或简单的表格——并且捕获重要的第一方数据。然后，Meraki 仪表板配置为将这些未经身份验证的用户分配到一个高度受限的访客 VLAN，通常是 VLAN 30，并启用客户端隔离。

第三：交换机端口配置。如果您的有线基础设施未配置为支持，无线侧的 VLAN 导向就毫无用处。连接 Meraki AP 的交换机端口必须配置为中继，允许 AP 可能分配给客户端的所有潜在 VLAN。如果您忘记在中继端口上允许 VLAN 20，您的员工设备将成功认证但无法获取 IP 地址。

[RAPID-FIRE Q&A]

主持人：让我们根据常见客户问题进行快速问答。

问题一：我可以使用 Meraki 内置的云认证进行 VLAN 导向吗？可以，Meraki 云认证通过组策略支持动态 VLAN 分配，但对于有严格合规要求（如 PCI DSS）的复杂企业环境，推荐使用专用本地或云托管的 NAC，如 Cisco ISE 或 ClearPass。

问题二：这对漫游有何影响？如果在每个接入点都需要完整的 802.1X 认证，动态 VLAN 分配可能会引入漫游延迟。您必须启用快速 BSS 过渡，即 802.11r，以确保语音和视频应用的无缝漫游。

问题三：我们如何处理 MAC 随机化？现代智能手机随机化 MAC 地址以保护隐私。对于由 Purple 管理的访客网络，这通过 Captive Portal 流程优雅地处理。对于使用 802.1X 的员工网络，身份与证书或用户凭据绑定，而不是 MAC 地址，因此随机化不是问题。

[SUMMARY & NEXT STEPS]

主持人：总结一下，为 Cisco Meraki 配置 NAC 策略以实现 VLAN 导向是确保现代、高密度场所安全不可或缺的一步。它减少了 SSID 开销，隔离了脆弱的 IoT 设备，并确保符合 GDPR 和 PCI DSS 等框架。

记住黄金法则：企业设备使用 802.1X，IoT 使用 MAB，并为您的访客流量集成强大的 Captive Portal，如 Purple。确保您的中继端口配置正确，并始终规划 RADIUS 服务器冗余。

要获取完整的逐步指导，包括配置截图和架构图，请查看 Purple 网站上的完整技术指南。感谢收听 Purple 企业网络简报。保持安全，我们下次再见。

Key Takeaways

✓通过 NAC 进行动态 VLAN 导向可消除对多个 SSID 的需求，提高射频性能并简化多站点管理。
✓为所有企业设备使用带 EAP-TLS 的 IEEE 802.1X，实现强大的基于证书的认证。
✓实施 MAC 身份验证绕过（MAB），以安全引导和隔离无法支持 802.1X 的无头 IoT 设备。
✓连接 Meraki AP 到核心交换机的物理交换机端口必须配置为中继，并明确允许所有可能的 VLAN。
✓RADIUS 服务器必须返回所有三个 VLAN 属性——[64] 隧道类型、[65] 隧道介质类型和 [81] 隧道私有组 ID——以便 Meraki AP 应用正确的 VLAN 标记。
✓将访客网络与 Purple 的 Captive Portal 集成，确保安全、合规的访问，同时大规模捕获第一方分析数据。
✓始终配置关键认证 VLAN 和辅助 RADIUS 服务器，以在主要 NAC 服务器故障时保持基本连接和业务连续性。

摘要

对于企业场所——从高密度体育场到庞大的酒店综合体——扁平化网络就是受损的网络。广播多个 SSID 来隔离流量会降低射频性能，浪费宝贵的通话时间，并造成在跨站点部署中扩展性差的管理负担。现代标准是动态分段：广播单个安全的 SSID，并依赖网络访问控制（NAC）来自动分析、验证设备并将其引导到正确的 VLAN 中。

本指南为高级 IT 架构师和运营总监提供了一个实用的蓝图，用于在 Cisco Meraki 中配置 NAC 策略以实现 VLAN 导向。我们跳过学术理论，专注于部署现实：为企业设备实施 IEEE 802.1X，为无头 IoT 系统利用 MAC 身份验证绕过（MAB），并与游客 WiFi 平台（如 Purple）无缝集成，确保在零售、酒店和其他企业环境中安全、合规的访问。通过掌握这些配置，组织可以降低安全风险、确保 PCI DSS 合规性，并优化网络吞吐量——所有这些都来自单个集中管理的 SSID。

技术深度解析

动态 VLAN 导向架构

Meraki 环境中的 VLAN 导向依赖于三个核心组件之间的交互：Meraki 接入点（充当认证器）、客户端设备（申请者）和 NAC/RADIUS 服务器（认证服务器）。这种三方模型由 IEEE 802.1X 标准定义，构成了任何企业级访问控制部署的骨干。

当设备与网络关联时，AP 拦截流量并将访问请求转发到 RADIUS 服务器。认证成功后，RADIUS 服务器响应访问接受消息。关键的是，要实现 VLAN 导向，该消息必须包含特定的 IETF 标准 RADIUS 属性，指示 AP 应用哪个 VLAN：

RADIUS 属性	ID	值	用途
隧道类型	64	13（VLAN）	指定隧道协议
隧道介质类型	65	6（802）	指定传输介质
隧道私有组 ID	81	例如 `20`	指定目标 VLAN ID

当 Meraki AP 收到这些属性时，它会动态地将客户端流量标记为指定的 VLAN ID，然后再转发到交换机端口。此过程对最终用户透明，并在关联后的毫秒内完成。

认证机制

企业网络通常需要多层级的认证方法，因为任何场所中的设备种群都是异构的。三种主要机制是：

IEEE 802.1X（EAP-TLS 或 PEAP） 是企业员工设备的标准。认证基于数字证书（EAP-TLS）或安全凭据（PEAP-MSCHAPv2），提供强大的加密和身份验证。这是推荐用于任何受组织 MDM 平台管理的设备的方法。

MAC 身份验证绕过（MAB） 对于无头设备——IP 摄像头、POS 终端、楼宇管理传感器和智能电视——它们无法运行 802.1X 申请者至关重要。使用 MAC 地址作为标识符。虽然不如基于证书的认证安全（MAC 地址可以被欺骗），但 MAB 结合严格的 VLAN ACL 为隔离的 IoT 网段提供了可接受的安全态势。有关此主题的全面处理，请参阅我们的指南使用 NAC 和 MPSK 管理 IoT 设备安全。

Captive Portal 认证 用于访客访问。设备被置于受限的预认证状态，直到用户完成登录流程——通常是社交登录、电子邮件注册或简单的点击通过——由 Purple 等平台托管。这在引导设备进入隔离的访客 VLAN 的同时捕获第一方数据。

实施指南

步骤 1：规划 VLAN 架构

在操作 Meraki Dashboard 之前，先定义 VLAN 分段策略。典型的企业场所部署使用以下结构：

VLAN ID	名称	用途	认证方法
10	管理	网络基础设施	静态
20	员工	企业设备，内部系统	802.1X（EAP-TLS）
30	访客	访问者互联网接入	Captive Portal（Purple）
40	IoT	摄像头，传感器，智能设备	MAB
50	POS	支付终端（PCI 范围）	802.1X（证书）
999	隔离	失败的认证，未知设备	无

步骤 2：配置交换机基础设施

在配置无线设置之前，必须先准备好有线基础设施。连接到 Meraki AP 的交换机端口必须配置为中继端口，允许 AP 可能动态分配的所有 VLAN。这是部署失败中最常见的疏忽。

在 Meraki Dashboard 中，导航到 交换机 > 监控 > 交换机端口，选择连接到 AP 的端口，将类型设置为 Trunk，配置 本征 VLAN（通常是您的管理 VLAN），并在 允许的 VLAN 字段中明确指定所有潜在的客户端 VLAN（例如 20,30,40,50,999）。

步骤 3：为 802.1X 配置 Meraki SSID

导航到 无线 > 配置 > 访问控制，然后选择目标 SSID。在 网络访问 下，选择 带 802.1X 的企业。向下滚动到 RADIUS 服务器 部分，添加 NAC 服务器详细信息：IP 地址、端口（身份验证默认为 1812，计费为 1813）和共享密钥。为了冗余，添加辅助 RADIUS 服务器。

步骤 4：启用 RADIUS 覆盖以进行 VLAN 标记

这是使 Meraki AP 能够接受来自 NAC 服务器的 VLAN 分配的关键步骤。在同一 访问控制 页面上，滚动到 寻址和流量 部分。将 客户端 IP 分配 设置为 桥接模式——这确保客户端从其分配的 VLAN 中的本地 DHCP 服务器获取 IP 地址，而不是从 AP 的 NAT 获取。在 VLAN 标记 下，选择 使用 RADIUS 的 VLAN 标记。

步骤 5：使用 Purple 配置访客访问

对于访客网络，创建一个单独的 SSID，配置为开放关联和 Captive Portal 集成。将 网络访问 设置为 开放（无加密），并配置 启动页 指向您的 Purple 门户 URL。设置 VLAN 标记 将所有预认证流量分配到专用的、隔离的访客 VLAN（例如 VLAN 30），并启用 客户端隔离 以防止访客设备之间的横向移动。Purple 的 WiFi 分析平台将处理认证流程和数据捕获。

最佳实践

实施带有关键认证 VLAN 的失败关闭状态。 如果 RADIUS 服务器不可达，不要失败打开并授予完全网络访问权限。配置一个关键认证 VLAN，提供基本的互联网连接，但阻止对所有内部资源的访问，直到 NAC 服务器恢复。这对于零售环境尤其重要，因为 POS 终端必须在 RADIUS 中断期间继续处理支付。

启用快速 BSS 过渡（802.11r）以实现无缝漫游。 动态 VLAN 分配可能会在漫游期间引入延迟，因为设备必须在每个 AP 重新认证。启用 802.11r 可确保整个场馆的语音和视频应用无缝切换。对于酒店环境，客人不断在物业中移动，这一点是不可谈判的。了解 WiFi 频率：2026 年 WiFi 频率指南也有助于优化密集部署的信道规划。

积极隔离 IoT 流量。 切勿将 IoT 设备与企业或访客流量混合。使用 MAB 识别这些设备，并将它们引导到具有严格第 3 层防火墙规则的专用 VLAN，仅允许设备操作所需的特定端口和目的地。受感染的 IP 摄像头绝不能能够到达您的 POS 网络或企业文件服务器。

在企业 SSID 上强制使用 WPA3。 在设备兼容性允许的情况下，将企业 SSID 配置为使用 WPA3-Enterprise。这提供更强的加密，并消除与 WPA2 PMKID 攻击相关的漏洞。

故障排除与风险缓解

常见故障模式

客户端无法获取 IP 地址。 这几乎总是交换机端口配置问题。验证连接到 AP 的交换机端口配置为中继，并且动态分配的 VLAN 在该中继上被允许。还要验证 DHCP 服务器在该 VLAN 上有活动作用域，并且 DHCP 中继代理（如果适用）配置正确。

认证超时。 如果设备在 802.1X 握手期间超时，请检查 Meraki AP 与 RADIUS 服务器之间的网络延迟。高延迟可能导致 EAP 定时器超时。如果发生此情况，Meraki Dashboard 的 事件日志 将显示 8021x_auth_timeout 事件。

不正确的 VLAN 分配。 使用 Meraki Dashboard 的 事件日志 查看 RADIUS 访问接受消息。验证 NAC 服务器是否正在发送正确的 Tunnel-Private-Group-ID 属性。如果缺少或不正确，问题在于 NAC 策略配置，而不是 Meraki AP。大多数 NAC 平台（Cisco ISE、ClearPass）提供详细的 RADIUS 认证日志，显示返回的确切属性。

MAC 随机化破坏 MAB。 现代 iOS 和 Android 设备默认随机化其 MAC 地址。对于由 Purple 管理的访客网络，通过 Captive Portal 流程优雅地处理此问题——身份由用户登录建立，而不是 MAC 地址。对于使用 MAB 的 IoT 设备，确保在端点数据库中注册实际的硬件 MAC 地址，因为这些设备不会随机化。

投资回报与业务影响

实施 NAC 驱动的 VLAN 导向为跨多个维度的企业场所提供可衡量的业务价值：

业务成果	机制	可衡量的影响
降低运营开销	更少的 SSID 需要管理	SSID 数量减少 60-70%
增强安全态势	自动化微分段	缩小违规影响范围
合规性支持	基于身份的访问控制	PCI DSS、GDPR、ISO 27001 对齐
访客数据捕获	Purple Captive Portal 集成	规模化第一方数据
网络性能	减少管理帧开销	提高高密度区域的吞吐量

对于医疗保健和交通运营商来说，仅合规性论点就证明了投资的合理性。能够证明患者记录存储在严格隔离的 VLAN 上，或票务系统与公共 WiFi 隔离，这是一种重大的风险缓解措施，既满足内部审计也满足外部监管要求。

对于酒店和零售运营商，与 Purple 的访客 WiFi 平台集成将访客网络从成本中心转变为创收资产。每个经过认证的访客会话都成为一个数据点，馈入营销自动化、忠诚度计划和场所分析——而底层 NAC 策略确保访客流量永远不会触及内部系统。

收听简报

要深入了解部署策略和常见陷阱，请收听我们 10 分钟的技术简报播客：

Key Definitions

网络访问控制（NAC）

一种安全架构，对试图访问网络资源的设备强制执行策略，通常在授予访问权限并分配网络分段之前评估身份、设备状态和合规状态。

IT 团队部署 NAC 平台（如 Cisco ISE 或 Aruba ClearPass）作为中央策略引擎，根据设备是谁或什么以及其状态来决定它属于哪个 VLAN。

VLAN 导向（动态 VLAN 分配）

在成功认证后，无论客户端连接到哪个物理端口或 SSID，自动将其分配到特定虚拟局域网（VLAN）的过程。

对于高密度场所至关重要，以减少广播 SSID 的数量，同时在访客、员工和 IoT 设备群之间保持严格的安全隔离。

IEEE 802.1X

一种用于基于端口的网络访问控制的 IEEE 标准，为希望连接到局域网或无线局域网的设备提供认证机制，使用可扩展认证协议（EAP）框架。

为企业笔记本电脑和员工智能手机认证的黄金标准，确保只有具有有效凭据或证书的经过验证的用户才能访问内部资源。

MAC 身份验证绕过（MAB）

一种备用认证方法，当设备无法支持 802.1X 时，将其 MAC 地址用作其身份凭据。MAC 地址作为用户名和密码发送给 RADIUS 服务器。

对于引导无头 IoT 设备——打印机、摄像头、传感器和 POS 终端——进入安全、分段的网络至关重要，无需用户干预。

RADIUS（远程认证拨入用户服务）

一种网络协议，为连接到网络服务的用户和设备提供集中式认证、授权和计费（AAA）管理。

Meraki AP 用于与 NAC 服务器通信的协议。AP 发送访问请求消息；NAC 服务器响应访问接受（包括 VLAN 属性）或访问拒绝。

Captive Portal

一个用户在获得完全网络访问权限之前必须查看并与之交互的网页。通常用于接受条款、登录或数据捕获。

在酒店、零售和公共部门环境中引导访客用户的主要方法。像 Purple 这样的平台托管 Captive Portal，捕获分析数据并强制执行服务条款。

客户端隔离

一种无线安全功能，可防止连接到同一 SSID 或 VLAN 的设备直接相互通信，强制所有流量通过网关。

访客 VLAN 的强制性设置，以防止恶意行为者扫描或攻击其他客人的设备。应在任何预期存在不受信任设备的 SSID 上启用。

快速 BSS 过渡（802.11r）

IEEE 802.11 修正案，通过预缓存认证密钥实现从接入点到接入点的快速安全切换，将漫游延迟从数百毫秒减少到 50 毫秒以下。

在用户移动的场所中，当使用 802.1X 和动态 VLAN 分配时，必须启用此功能，以防止语音通话或视频流在用户在接入点之间移动时中断。

EAP-TLS（可扩展认证协议 - 传输层安全）

802.1X 框架内的一种相互认证方法，在客户端和认证服务器上都使用数字证书，为无线认证提供最高级别的安全性。

推荐用于 PCI DSS 范围内的设备以及凭据盗窃风险显著的任何环境的认证方法。需要 PKI 基础设施来颁发和管理客户端证书。

Worked Examples

一家 400 间客房的酒店需要部署安全的无线网络。他们要求员工安全访问内部预订系统，客人通过品牌 Captive Portal 访问互联网，客房内的智能电视连接到本地媒体服务器。他们希望最小化 SSID 广播开销，以确保高密度区域的最佳性能。

IT 团队应部署两个 SSID。SSID 1：“Hotel_Secure”配置为 802.1X。员工使用由酒店 PKI 颁发的企业证书通过 EAP-TLS 进行认证。NAC 服务器（Cisco ISE）识别员工身份并返回 RADIUS 属性，将其分配到 VLAN 20（员工），该 VLAN 完全可访问 PMS 和预订系统。缺乏 802.1X 功能的智能电视使用 MAC 身份验证绕过（MAB）进行配置。NAC 服务器识别电视的 MAC OUI 前缀并将它们分配到 VLAN 40（IoT），该 VLAN 具有仅允许访问媒体服务器端口 8080 和互联网的 ACL。SSID 2：“Hotel_Guest”配置为开放式，带有 Purple Captive Portal。客人连接后被重定向到 Purple 启动页，成功社交登录或电子邮件注册后，被分配到 VLAN 30（访客），启用客户端隔离。Purple 平台捕获第一方数据，用于酒店的 CRM 和营销自动化。

Examiner's Commentary: 这种方法完美地平衡了安全性和性能。通过将员工和 IoT 合并到一个 802.1X SSID 上并使用动态 VLAN 导向，该场所减少了管理开销和射频干扰。访客 SSID 保持独立，以允许 Captive Portal 流程所需的开放关联。通过客户端隔离来隔离访客流量确保了合规性并防止横向移动。IoT VLAN ACL 遵循最小权限原则——电视只能到达其所需的内容。

一家零售连锁店正在 50 家门店推出新的无线销售点（POS）终端。这些设备必须严格隔离，以符合 PCI DSS 要求。然而，IT 团队担心，如果中央 RADIUS 服务器在交易高峰时段离线，会发生什么情况。

POS 终端应连接到启用 802.1X 的 SSID，利用基于证书的认证（EAP-TLS）来确保强大的身份验证。NAC 策略将这些设备引导到专用的、高度受限的 POS VLAN（VLAN 50），并设置第 3 层防火墙规则，仅允许到支付网关 IP 所需端口的流量。为了减轻 RADIUS 服务器故障的风险，IT 团队必须在 Meraki 接入点上配置关键认证 VLAN。如果 AP 在配置的超时时间内无法联系 RADIUS 服务器，它将自动将 POS 终端放置到这个关键 VLAN 中。此 VLAN 应配置有严格的 ACL，仅允许到基本支付处理网关的流量，确保交易可以继续，同时阻止所有其他网络访问。每个位置的辅助 RADIUS 服务器提供了额外的冗余层。

Examiner's Commentary: 该解决方案展示了对企业环境中风险缓解的成熟理解。通过关键认证 VLAN 实施的故障关闭方法确保了关键操作——收款——的业务连续性，而不会损害整体安全态势或违反 PCI DSS 合规要求。使用 EAP-TLS 而非 PEAP 消除了凭据盗窃的风险，强烈建议用于任何 PCI 范围内的设备。

Practice Questions

Q1. 一家医院的 IT 总监报告说，新安装的无线 IP 摄像头无法连接到配置为 802.1X 的“Med_Secure”SSID。摄像头不支持基于证书的认证，也没有用户界面。应如何调整网络架构以安全地引导这些设备？

Hint: 考虑当无头设备无法运行 802.1X 申请者时，如何对其进行配置并认证。

View model answer

IT 团队必须在 NAC 服务器上使用 MAC 身份验证绕过（MAB）。摄像头的 MAC 地址应添加到端点数据库中，并配置为“IoT_Camera”。当摄像头尝试连接时，NAC 服务器将使用 MAC 地址作为认证凭据，并返回 RADIUS 属性，将摄像头引导到隔离的 IoT VLAN。应对此 VLAN 应用严格的第 3 层 ACL，仅允许到摄像头管理服务器的流量，并阻止所有其他内部网络访问。医院还应考虑使用 DHCP 指纹识别作为辅助配置方法，以验证设备类型是否与已注册 MAC 地址的预期配置文件匹配。

Q2. 在对一家零售连锁店进行网络审计时，发现动态 VLAN 上的员工笔记本电脑通过 802.1X 成功认证（事件日志显示具有正确 VLAN ID 的访问接受消息），但没有获取 IP 地址。单独 SSID 上的访客设备运行正常。最可能的配置错误是什么，您将如何解决？

Hint: 认证是成功的——问题在于应用 VLAN 标记后的数据路径中。

View model answer

最可能的问题是连接 Meraki AP 到核心交换机的物理交换机端口配置不正确。虽然 AP 成功认证了客户端并用员工 VLAN ID 标记了流量，但交换机端口可能配置为接入端口（或中继端口但缺少员工 VLAN 在其允许列表中）。交换机端口必须配置为中继，并且动态分配的员工 VLAN 必须明确列在允许的 VLAN 中。IT 团队应在 Meraki Dashboard 中导航到交换机 > 监控 > 交换机端口，选择连接到 AP 的端口，验证其设置为 Trunk 类型，并确认员工 VLAN ID 包含在“允许的 VLAN”字段中。

Q3. 一个体育场希望在活动期间为 50,000 名球迷提供无缝 WiFi，同时安全连接销售点终端和数字标牌。当前的网络团队提议广播五个不同的 SSID 来隔离流量。为什么对于高密度环境来说这是一个糟糕的设计，推荐的架构是什么？

Hint: 考虑管理帧对高密度环境中无线通话时间的影响。

View model answer

广播五个 SSID 会产生过多的管理帧开销——每个 SSID 都需要自己的信标帧，由每个接入点以固定间隔广播。在像体育场这样拥有数百个 AP 的高密度环境中，这种管理帧开销会消耗大量可用通话时间，直接降低用户数据的可用吞吐量。推荐的方法是广播最多两个 SSID：一个 Open SSID，带有 Purple Captive Portal，用于 50,000 名球迷，将他们引导到带有客户端隔离的访客 VLAN；一个启用 802.1X 的安全 SSID，用于所有企业设备。NAC 策略将根据其身份动态将 POS 终端引导到符合 PCI 标准的 VLAN，将数字标牌引导到 IoT VLAN，而无需额外的 SSID。