从本地部署 RADIUS (NPS) 迁移至 RADIUS-as-a-Service
本权威指南详细介绍了从本地部署的 Microsoft Network Policy Server (NPS) 迁移到云原生 RADIUS-as-a-Service 模型的架构设计、实施方法和商业影响。它为 IT 领导者和网络架构师提供了实用的框架,以降低运维开销、消除单点故障,并确保分布式场所的企业身份验证安全。
收听本指南
查看播客转录

执行摘要
近二十年来,Microsoft 的网络策略服务器 (NPS) 一直是企业网络默认的 RADIUS 实现方式。然而,随着场所运营商在分布式站点(从零售连锁店到全球酒店集团)进行扩展,管理本地身份验证基础设施的运营负担已成为一项重大负担。
向 RADIUS-as-a-Service 迁移将身份验证从管理的硬件组件转变为消费型的云服务。这种架构转变消了独立 NPS 部署中固有的单点故障,免去了硬件更新周期,并为体育场馆和会议中心等高密度环境提供了所需的弹性可扩展性。对于 IT 经理和网络架构师,本指南提供了一种与供应商无关的结构化方法,用于将 802.1X 身份验证迁移到云端,且不会影响生产流量,确保符合 PCI-DSS 和 GDPR 规范,并将身份验证基础设施的运营支出降低高达 80%。
技术深度解析:架构与标准
要理解这次迁移,我们必须首先研究 IEEE 802.1X 基于端口的访问控制在交付方式上的架构转变。
本地 NPS 的局限性
在传统部署中,接入点作为网络接入服务器 (NAS),将身份验证请求转发到本地 NPS 服务器。NPS 服务器评估连接请求策略,对照身份源(通常是通过 LDAP 的 Active Directory)验证凭据,并返回 Access-Accept 或 Access-Reject 消息。
这种模式对现代网络带来了三个关键局限性:
- 硬件依赖与维护:NPS 需要专用的物理或虚拟机,需要持续进行补丁管理、容量规划和生命周期管理。
- 高可用性复杂性:实现冗余需要以故障转移对的形式部署 NPS,这使许可成本翻倍,却无法提供真正的地理冗余。
- 吞吐量瓶颈:在并发高峰期(如体育场观众入场或零售繁忙营业时间),单个 NPS 实例可能成为瓶颈,导致身份验证超时并降低用户体验。
云 RADIUS 架构
RADIUS-as-a-Service 抽象了身份验证层。云提供商运营着分布式、地理冗余的 RADIUS 服务器集群。NAS 指向这些云端点,请求会自动进行负载均衡。

传输安全:RadSec 的作用 当 RADIUS 迁移到云端时,身份验证流量会穿过公共互联网。虽然传统 RADIUS 依赖共享密钥和 MD5 哈希,但现代部署必须实施 RadSec(基于 TLS 的 RADIUS,RFC 6614)。RadSec 将整个 RADIUS 对话封装在 TLS 隧道中(通常为 TCP 端口 2083),提供等同于 HTTPS 的传输层加密,以及 NAS 与云端 RADIUS 端点之间的双向身份验证。
身份集成 云端 RADIUS 不需要您迁移用户目录。服务通常支持连接回本地 Active Directory 的 LDAPS,或者通过 SAML 或 SCIM 与 Azure Active Directory (Microsoft Entra ID) 进行原生 API 集成。这确保了您现有的用户生命周期管理流程保持不变。
对于利用 Guest WiFi 平台的场所,云端 RADIUS 可直接集成,为企业 802.1X 身份验证和访客网络访问提供统一的控制平面,并辅以先进的 WiFi Analytics 。
实施指南:5 阶段方法论
在不中断服务的情况下执行迁移,需要一种结构化、分阶段的方法。

第 1 阶段:审计和盘点
在进行任何更改之前,记录当前状态:
- RADIUS 客户端:识别每个 NAS(无线接入点、交换机、VPN 集中器)。
- 策略:记录现有的 NPS 连接请求和网络策略,包括用于 VLAN 分配的供应商特定属性 (VSA)。
- EAP 方法:确定正在使用哪些可扩展身份验证协议方法(例如 EAP-TLS, PEAP-MSCHAPv2)。
第 2 阶段:试点部署
置备云端 RADIUS 实例并配置非生产 SSID 或单个测试站点。验证身份目录集成(例如 Microsoft Entra ID 同步),并确认 EAP 方法端到端正常运行。
第 3 阶段:并行运行(降低风险)
将生产 NAS 设备配置为同时使用云端 RADIUS 服务器(主)和传统 NPS 服务器(备用)。保持此配置至少两周。监测身份验证成功率、延迟指标和记账数据流,以便在切换前发现任何策略差异。
第 4 阶段:切换
在计划的维护窗口期间,从 NAS 设备中删除传统 NPS 备用配置。完全过渡到云端基础设施。确保您的回滚程序已记录并经过测试。
第 5 阶段:停用
在稳定运行 30 天后,安全地停用传统 NPS 服务器并回收计算资源。
最佳实践与合规性
在设计您的云端 RADIUS 架构时,请遵循以下标准:
- 强制使用 RadSec:如果您的 NAS 硬件支持 RadSec (TCP 2083),切勿使用标准 UDP 1812/1813 通过公共互联网发送 RADIUS 流量。
- 证书信任链:确保客户端设备信任颁发云 RADIUS 服务器证书的证书颁发机构 (CA)。在迁移前,通过 MDM 或组策略将根 CA 推送到受管理设备。
- 合规态势:选择保持 SOC 2 Type II 认证和 ISO 27001 认证的云 RADIUS 提供商。这可以显著简化您的年度 PCI-DSS 评估,特别是对于 零售 和 酒店/餐饮 环境。
如需更广泛的网络设计原则,请参阅我们的指南: 商业 WiFi 设置:2026 年指南 和 了解 RSSI 和信号强度以实现最佳信道规划 。
故障排除与风险缓解
| 故障模式 | 根本原因 | 缓解策略 |
|---|---|---|
| 身份验证超时 | 防火墙阻止出站 UDP 1812/1813 或 TCP 2083。 | 验证边界防火墙规则是否允许出站流量流向云 RADIUS 提供商的特定 IP 范围。 |
| 证书信任错误 | 客户端设备的信任库中缺少根 CA。 | 在第 3 阶段(并行运行)之前,通过 MDM/GPO 部署根 CA。 |
| VLAN 分配失败 | 云策略中厂商特定属性 (VSA) 映射不正确。 | 在第 1 阶段,将 NPS 中确切的 VSA 字符串格式复制到云 RADIUS 策略引擎中。 |
| WAN 中断影响 | 失去互联网连接导致无法访问云 RADIUS。 | 部署冗余 WAN 链路,或部署对已知设备缓存凭据的本地 RADIUS 代理。 |
ROI 与业务影响
迁移到 RADIUS-as-a-Service 可带来可衡量的业务成果:
- 降低成本:消除了硬件采购、Windows Server 许可以及用于补丁和维护的工程时间。典型的运营成本 (OpEx) 可降低 60-80%。
- 可靠性 SLA:与单站点 NPS 部署典型的 97-98% 可用性相比,云提供商提供有财务保障的 99.99% 可用性 SLA。
- 灵活性:无需配置本地身份验证硬件即可立即让新站点上线,从而缩短 交通 枢纽和 医疗保健 机构的部署时间表。
听听我们的高级顾问团队在这一 10 分钟简报中讨论战略影响:
关键定义
RADIUS (远程用户拨号认证服务)
一种网络协议,为连接和使用网络服务的用户提供集中的认证、授权和计费 (AAA) 管理。
企业 WiFi 网络在授予网络访问权限之前用于验证用户凭据的核心协议。
NPS (网络策略服务器)
Microsoft 对 RADIUS 服务器和代理的实现,作为 Windows Server 中的一个角色捆绑在一起。
组织正在积极迁移的陈旧本地基础设施,以减少维护开销。
NAS (网络接入服务器)
作为网络网关并向 RADIUS 服务器传递身份验证请求的设备。
在无线环境中,NAS 通常是指 WiFi 接入点或无线局域网控制器。
RadSec (RADIUS over TLS)
RFC 6614 中定义的一种协议,通过使用 TLS 加密的 TCP 连接传输 RADIUS 数据包。
云 RADIUS 部署的关键,确保凭据数据在通过公共互联网传输时得到加密。
EAP (可扩展身份验证协议)
无线网络和点对点连接中经常使用的身份验证框架。
决定客户端和服务器如何安全地交换凭据(例如,通过 EAP-TLS 交换证书,或通过 PEAP 交换密码)。
VSA (厂商特定属性)
硬件厂商在 RADIUS 协议内定义的自定义属性,用以支持专有功能。
迁移过程中的关键;VSA 通常用于动态地将已验证的用户分配到特定的网络 VLAN。
LDAPS (基于 SSL 的轻量级目录访问协议)
一种用于查询和修改目录服务(如 Active Directory)的安全协议。
供云端 RADIUS 服务使用,以便在不将用户目录迁移到云端的情况下,安全地查询本地身份库。
802.1X
一种用于基于端口的网络准入控制(PNAC)的 IEEE 标准。
使用 RADIUS 的底层标准,以确保只有通过身份验证的设备才能将流量传输到企业 LAN 或 WLAN。
应用实例
一个拥有 200 家酒店的集团目前在每个站点运行本地 NPS 服务器,用于员工 802.1X 身份验证。他们正在向 Microsoft Entra ID 迁移,并希望退役本地服务器。他们应该如何处理这一迁移?
- 部署一个通过 SAML/SCIM 与 Microsoft Entra ID 进行原生集成的云 RADIUS 服务。
- 配置云 RADIUS 策略,将 Microsoft Entra ID 组(例如“前台”、“管理层”)映射到特定的 VLAN VSA。
- 在试点酒店,配置无线接入点以使用 RadSec 连接到云 RADIUS 端点。
- 通过 Microsoft Intune 将云 RADIUS 服务器的根证书(Root CA)推送到所有员工设备。
- 在试点站点运行并行身份验证,然后分阶段在其余 199 家酒店中进行推广。
一个可容纳 50,000 人的体育场在重大活动期间,其企业 SSID 上会出现身份验证失败,原因是其本地 NPS 服务器无法处理数千台设备同时漫游的吞吐量。
- 审计现有的 NPS 策略和 EAP 方法。
- 部署一个能够自动扩展以处理高每秒身份验证数 (APS) 的云 RADIUS 服务。
- 建立从云 RADIUS 服务到体育场本地 Active Directory 的 LDAPS 连接。
- 更新体育场的高密度无线局域网控制器,使其指向云 RADIUS 端点作为主身份验证服务器。
练习题
Q1. 您的组织正在迁移到 Cloud RADIUS。安全团队要求任何身份验证流量都不能通过互联网以明文形式发送,也不能使用已弃用的哈希算法(如 MD5)。您必须在无线 LAN 控制器上配置什么协议?
提示:寻找在 TLS 隧道中封装 RADIUS 的协议。
查看标准答案
您必须配置 RadSec(RADIUS over TLS)。RadSec 在 NAS 和云端 RADIUS 服务器之间的 TCP 端口 2083 上建立 TLS 隧道,提供传输层加密和双向身份验证,从而满足安全团队的要求。
Q2. 在迁移的第 3 阶段(并行运行)期间,您注意到用户能够成功向云端 RADIUS 服务器进行身份验证,但未被分配到正确的网络分段中。最可能存在的配置差距是什么?
提示:RADIUS 服务器如何告诉接入点使用哪个网络分段?
查看标准答案
用于动态 VLAN 分配的供应商特定属性(VSA)未在云端 RADIUS 策略中正确配置。您必须确保在云环境中复制旧版 NPS 服务器中使用的确切 VSA 字符串,以便 NAS 知道为用户分配哪个 VLAN。
Q3. 客户端设备在针对新的云端 RADIUS 服务进行 EAP-TLS 身份验证时反复失败,但针对旧版 NPS 服务器时工作正常。设备日志显示“不受信任的服务器”错误。您该如何解决此问题?
提示:EAP-TLS 要求客户端信任服务器的身份。
查看标准答案
客户端设备的受信任根证书存储区中没有签发云端 RADIUS 服务器证书的根证书颁发机构(CA)。您必须使用移动设备管理(MDM)解决方案或组策略将根 CA 部署到客户端设备。
继续阅读本系列
RADIUS-as-a-Service 对混合员工队伍的安全益处
本技术参考指南阐述了 RADIUS-as-a-Service 如何为分布式场所的混合员工队伍保障网络访问安全。它涵盖了用云端托管身份验证服务取代本地 RADIUS 基础设施的架构、安全益处和部署步骤。对于酒店、零售连锁店、体育场馆和公共部门组织的 IT 经理和网络架构师,本指南提供了在本季度评估并实施云 RADIUS 迁移所需的证据。
将 RADIUS-as-a-Service 与云目录(Azure AD 和 Google Workspace)进行集成
本技术参考指南详细介绍了如何将 RADIUS-as-a-Service 与云目录(Microsoft Entra ID 和 Google Workspace)进行集成,以实现企业级 WiFi 认证。它涵盖了从本地 NPS 到云原生 RADIUS 的架构转变、基于证书的 EAP-TLS 认证部署,以及在酒店、零售和公共部门环境中保障无线访问安全的运营最佳实践。对于已经投资于云身份的 IT 经理和网络架构师,本指南填补了目录管理与物理网络安全之间的空白。
如何使用 Cloud RADIUS 实现 802.1X 认证
本技术参考指南提供了一个在分布式企业资产中部署 Cloud RADIUS 实现 802.1X 认证的全面框架。它详细介绍了确保网络访问安全所需的架构、EAP 方法选择、部署顺序以及风险缓解策略,同时消除了本地基础设施的运营开销。