Passpoint (Hotspot 2.0)：安全无缝 WiFi 漫游综合指南

本指南为 IT 领导者和网络架构师提供了 Passpoint (Hotspot 2.0) 的全面技术概述，涵盖 IEEE 802.11u 标准、GAS/ANQP 发现协议、WPA3-Enterprise 安全以及 WBA OpenRoaming 联盟。它提供了一个供应商中立的实施框架，包括分阶段部署指南、来自酒店业和零售业的实际案例研究，并清晰分析了企业场馆运营商的 ROI 和合规性优势。

📖 8 min read📝 1,806 words🔧 2 worked examples❓ 3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript

您好，欢迎收听 Purple 技术简报。我是主持人，在接下来的十分钟里，我们将提供一项正在从根本上改变企业 WiFi 的技术的高级概述：Passpoint，即 Hotspot 2.0。如果您是 IT 经理、网络架构师或 CTO，本指南就是为您准备的。我们将排除干扰，为您提供可操作的见解。

第一部分：引言与背景

多年来，访客 WiFi 一直是必不可少的麻烦事。我们依赖笨重的 Captive Portal 和不安全的开放网络。它们给用户带来摩擦，给 IT 带来支持难题，并构成重大安全风险。Passpoint 是行业对此的回应。它是一项 Wi-Fi Alliance 标准，旨在创建安全、无缝、自动的连接体验，就像手机连接蜂窝网络一样。目标是什么？使连接 WiFi 变得像它应有的那样简单安全，无论您身处酒店、机场还是零售店。这不是一项遥望未来的技术；它现在已经存在，并且正在大规模部署。

第二部分：技术深度解析

那么，它在底层是如何工作的呢？Passpoint 的魔力在于 IEEE 802.11u 修正案。它允许设备在连接之前与 WiFi 接入点进行通信。这种预关联通信使用两个关键协议：GAS，即通用广告服务，作为传输层；以及 ANQP，即接入网络查询协议，作为查询本身。

流程如下：一个支持 Passpoint 的接入点广播一个信标，说“我支持 Hotspot 2.0”。您的手机看到这个信标，并使用 ANQP 询问：“您与谁有漫游协议？”接入点回应一个漫游联盟组织标识符 (RCOI) 列表。如果您的设备有一个包含匹配 RCOI 的配置文件——例如来自您的移动运营商或像 OpenRoaming 这样的联盟——它就知道可以信任该网络。

此时，它会启动一个使用 WPA2 或 WPA3-Enterprise 安全标准的完整的 802.1X 认证。这很关键。我们不是在谈论开放网络。每个设备都获得自己的加密连接。这消除了邪恶双胞胎或恶意接入点攻击的风险。您的 RADIUS 服务器处理认证，要么根据本地数据库检查凭证，要么将请求代理到漫游伙伴。

现在，区分 Passpoint 与 WBA OpenRoaming 至关重要。Passpoint 是汽车——技术协议。OpenRoaming 是全球高速公路系统——一个由无线宽带联盟管理的信任联盟。它允许场馆接受来自数千家身份提供商的凭证，而无需管理数千个双边协议。您可以单独使用 Passpoint，但不能在没有 Passpoint 的情况下使用 OpenRoaming。对于任何面向公众的大型场馆，OpenRoaming 是开启真正的全球无缝漫游的关键。

在配置方面，在 Cisco、Meraki 或 Aruba 等平台上，只需在企业 WLAN 上启用 Hotspot 2.0 功能，并且关键是要添加正确的 RCOI。为了最大兼容性，您需要包括标准免结算 RCOI 和传统 Cisco RCOI。

让我们谈谈实际部署。在酒店业，Passpoint 正在改变宾客体验。一位回头酒店客人走进门，他们的设备自动连接到酒店的安全网络。无需费力输入密码，无需 Captive Portal，无需致电前台。然后，酒店的忠诚度应用程序可以触发个性化的欢迎信息。这不是未来的愿望；如今，全球各大酒店连锁集团正在发生这种情况。

在运输业，Boingo 已在美国数十个主要机场部署了 Hotspot 2.0，为其用户提供无缝、安全的访问。乘客降落，关闭飞行模式，即可立即连接。这种体验与蜂窝漫游无异。

对于零售业，价值在于数据。Passpoint 部署提供了基于凭证的匿名客户访问数据——他们的访问频率、停留时间以及访问商店的哪些区域。这比来自开放网络的匿名数据丰富得多，而且无需 Captive Portal 表单的隐私开销即可收集。

第三部分：实施建议与陷阱

准备部署了吗？让我带您了解关键步骤和需要避免的陷阱。

首先，审计您的基础设施。您的接入点和控制器需要支持 802.11u。过去五到七年内生产的大多数企业级硬件都符合标准，但通常需要固件更新。不要跳过这一步。

其次，您的 RADIUS 服务器是最关键的组件。它必须高度可用。这里的单点故障将导致整个 Passpoint 认证中断。部署一个集群，或使用具有内置冗余的基于云的 RADIUS 服务。

第三，规划您的配置文件分发策略。用户如何将 Passpoint 配置文件安装到他们的设备上？对于酒店，将其集成到忠诚度应用程序中是黄金标准。对于公共体育场馆，依赖 OpenRoaming 和运营商配置文件更为现实。对于企业环境，您的移动设备管理平台可以自动推送。

一个常见的陷阱是防火墙配置。如果您加入像 OpenRoaming 这样的联盟，您需要允许 RadSec 流量——即通过 TLS 的 RADIUS——在 TCP 端口 2083 上。如果该端口被阻止，您的认证请求将无处可去。在上线前务必验证防火墙规则。

另一个陷阱是 RCOI 兼容性。为确保最大的设备兼容性，尤其是对于旧版 Android 设备和 Samsung 手机，您应该同时广播标准免结算 RCOI 和传统 Cisco RCOI。缺少其中一个可能会导致相当一部分用户无法自动连接。

最后，在全面推广之前，始终先在受控区域进行试点。酒店的一层楼或体育场馆的一个区域就足以验证您的配置，并在影响数千名用户之前解决任何问题。

第四部分：快速问答

让我们解答一些常见问题。

Passpoint 只适用于访客吗？不是。它完全可以用于员工，为在任何公司办公室或合作伙伴地点的 WiFi 访问提供单一的安全配置文件。

不支持 Passpoint 的旧设备呢？如果设备不支持 Passpoint，它根本看不到 Hotspot 2.0 广告。如果您选择广播一个单独的旧 SSID，它仍然可以连接。

Passpoint 会完全取代 Captive Portal 吗？对于已认证用户，是的。但是，您可能会在一个单独的、有限访问的 SSID 上保留一个 Captive Portal，供需要首次安装 Passpoint 配置文件的用户使用。

第五部分：总结与后续步骤

总结：Passpoint 是实现无缝安全 WiFi 的企业级解决方案。它提升用户体验，加强安全态势，并减轻 IT 团队的负担。通过利用 802.1X 和像 OpenRoaming 这样的联盟，它将您的 WiFi 从简单的实用工具转变为用于客户互动和业务分析的战略资产。

投资理由令人信服：降低 IT 支持成本、提高客人满意度评分、更丰富的数据用于决策，以及在 GDPR 和 PCI DSS 下显著更强的合规地位。

您的下一步是开始评估阶段。审计您的硬件，评估您的 RADIUS 设置，并定义您的身份策略。这是成功部署的基础。

感谢您收听本期 Purple 技术简报。要更深入地了解 Passpoint 和我们的企业 WiFi 智能平台，请访问 purple.ai。下次再见，保持连接，保持安全。

Key Takeaways

✓Passpoint (Hotspot 2.0) 是一项基于 IEEE 802.11u 的 Wi-Fi 联盟认证，支持自动安全的 WiFi 连接，无需手动选择 SSID 或 Captive Portal 登录。
✓该技术使用 GAS 和 ANQP 协议进行预关联网络发现，使设备能够在建立连接之前，使用漫游联盟组织标识符 (RCOI) 识别兼容网络。
✓所有 Passpoint 连接均通过 WPA2 或 WPA3-Enterprise 和 802.1X 认证进行保护，提供企业级加密，并消除恶意 AP 攻击的风险。
✓WBA OpenRoaming 是一个基于 Passpoint 的全球联盟，可在数千个网络之间实现大规模、可互操作的漫游，无需双边协议——这是大型公共场所的推荐方法。
✓成功部署需要三大支柱：符合 802.11u 标准的基础设施、高可用的 RADIUS 服务器以及将 Passpoint 配置文件分发到用户设备的明确策略。
✓投资理由令人信服：降低 IT 支持成本、显著提高客人满意度、更丰富的基于凭证的分析以及更严格的 GDPR 和 PCI DSS 合规态势。
✓为实现最大设备兼容性，请务必在您的 Passpoint WLAN 上同时广播标准 OpenRoaming RCOI (5A-03-BA) 和传统 Cisco RCOI (00-40-96)。

执行摘要

对于大型场馆的 IT 高管和网络架构师而言，提供无缝且安全的 WiFi 体验已不再是便利，而是核心运营要务。挑战在于消除 Captive Portal 和不安全开放网络的摩擦，同时保持强大的安全性并获取宝贵的用户洞察。Passpoint，即 Hotspot 2.0，直接解决了这一挑战。它是基于 IEEE 802.11u 标准的 Wi-Fi 联盟认证协议，使移动设备能够自动发现并认证到具有企业级 WPA3 安全性的 WiFi 网络，模拟蜂窝漫游的无缝体验。

本指南为决策者提供实用参考，深入探讨了 Passpoint 架构的技术细节、供应商中立的实施框架以及 ROI 分析。通过利用 Passpoint，组织可以显著提升访客体验、减少 IT 支持开销、加强安全态势，并开启数据驱动互动的新机遇——最终将 WiFi 基础设施从成本中心转变为战略资产。

技术深度解析

Passpoint 从根本上将 WiFi 连接模式从以网络为中心（连接到特定 SSID）转变为以用户为中心（连接到任何信任用户凭证的网络）。这是通过一系列预关联查询和基于已确立行业标准的强大安全框架实现的。

核心架构：GAS 和 ANQP

实现无缝发现的机制定义在 IEEE 802.11u 修正案中。在客户端设备尝试与接入点关联之前，它可以查询网络以确定是否存在漫游协议。这种预关联对话使用两个关键协议协同工作。 通用广告服务 (GAS) 为客户端站点和服务器之间在认证发生前的广告帧提供传输层。接入网络查询协议 (ANQP) 是查询协议本身，承载在 GAS 帧内。客户端设备使用 ANQP 向网络询问特定问题，最关键的是：它支持哪些漫游联盟或身份提供商？

连接流程如下。支持 Passpoint 的接入点 (AP) 在其信标帧中包含一个 互连元素，作为宣布 Hotspot 2.0 功能的标志。兼容设备发现此标志后，向 AP 发送包含 ANQP 查询的 GAS 请求。该查询询问网络支持哪些漫游联盟组织标识符 (RCOI)。如果 AP 的响应包含与设备上的配置文件匹配的 RCOI（例如来自移动运营商的配置文件或 WBA OpenRoaming 配置文件），设备将进行安全的 802.1X 握手。

安全：WPA3-Enterprise 和 802.1X

安全是 Passpoint 的基石。与通常位于开放的、未加密网络之上的 Captive Portal 不同，Passpoint 强制使用 WPA2-Enterprise 或 WPA3-Enterprise。这强制执行 802.1X 认证，其中每个用户的设备通过 RADIUS 服务器单独进行身份验证。此架构提供了与 PCI DSS 和 GDPR 合规义务直接相关的多个关键安全优势。

客户端设备与接入点之间的所有流量都单独加密，消除了被动窃听的风险。由于认证基于可信凭证和证书，用户可以免受“邪恶双胞胎”攻击，即恶意行为者广播虚假 SSID 以拦截流量。没有预共享密钥 (PSK)，一旦泄露，可能会使整个网络遭受横向移动的风险。

Passpoint 与 OpenRoaming：关键区别

必须区分 Passpoint 标准与 WBA OpenRoaming 框架，因为这两个术语经常被混为一谈。最贴切的类比是汽车与高速公路系统的区别。

Passpoint 是车辆：允许设备自动发现并连接到网络的技术标准 (IEEE 802.11u) 和 Wi-Fi Alliance 认证。OpenRoaming 是高速公路：由无线宽带联盟 (WBA) 管理的全球联盟框架，它在数千个身份提供商 (IdP)（例如移动运营商和设备制造商）与接入网络提供商 (ANP)（例如酒店、体育场馆和零售连锁店）之间创建了一个信任生态系统。私有的 Passpoint 部署可以在没有 OpenRoaming 的情况下运行，但参与 OpenRoaming 则需要 Passpoint。

功能	传统开放 WiFi	Captive Portal	Passpoint (Hotspot 2.0)
安全标准	无（开放）	视情况而定（通常开放）	WPA3-Enterprise (802.1X)
用户体验	手动选择 SSID	需要登录页面	全自动
跨场所漫游	无	每次都重新认证	无缝
数据收集	匿名	基于表单（GDPR 风险）	基于凭证
PCI DSS 对齐	差	中等	强

实施指南

部署 Passpoint 是一个结构化过程，从评估到基础设施配置、试点测试和全面推广。分阶段方法确保平稳过渡，并最大程度减少对现有用户的干扰。

第一阶段：评估与规划（2 周）。 从全面的网络审计开始，验证您现有的 WiFi 硬件是否支持所需的 IEEE 802.11u 功能。过去五到七年内生产的大多数企业级硬件都符合标准，但通常需要进行固件更新。同时，评估您的 RADIUS 基础设施的容量、高可用性以及处理基于证书的 EAP 方法的能力。定义您的身份策略：您是针对忠诚度计划数据库对用户进行身份验证、与移动运营商合作伙伴集成，还是加入 WBA OpenRoaming 联盟？

第二阶段：基础设施配置（3 周）。 向所有 AP 和控制器推出固件更新。配置 RADIUS 服务器以支持所选 EAP 类型 - EAP-TLS 是基于证书的认证最安全选项，而 EAP-TTLS 提供了更灵活的替代方案。如果参与 OpenRoaming，请获取必要的 WBA PKI 证书。创建一个专用的 WLAN 配置文件，配置为 WPA3-Enterprise 并启用 Hotspot 2.0 功能，包括相关的 RCOI。为了最大程度实现设备兼容性，同时广播标准免结算 RCOI（5A-03-BA）和传统 Cisco RCOI（00-40-96）。

第三阶段：试点部署（2 周）。 在您的场馆中指定一个有限的受控区域——单层楼、特定会议室或零售店的一个区域——进行试点。在 iOS、Android 和 Windows 平台上搭载测试设备。密切监控 RADIUS 日志和网络性能，验证无缝发现、认证和 AP 间漫游。

第四阶段：全面推广和配置文件分发（4 周）。 将验证过的配置应用到场馆内的所有 AP。确定您的配置文件分发策略：集成到品牌移动应用程序中是酒店业和零售业的黄金标准，而 MDM 平台是企业环境的适当渠道。培训 IT 支持人员新的架构和常见故障排除程序。

第五阶段：优化和监控（持续进行）。 利用网络分析监控漫游模式、认证成功率以及设备类型分布。使用此数据优化用户体验，并探索与 CRM、PMS 或营销自动化平台进行更深层集成的机会。进行定期安全审计，以保持符合 PCI DSS 和 GDPR 要求。

最佳实践

在酒店业、零售业和运输业的大规模 Passpoint 部署中，出现了几条供应商中立的最佳实践。

广播多个 RCOI 对兼容性至关重要。标准免结算 RCOI（5A-03-BA）涵盖了注册了 OpenRoaming 的大多数现代设备，而传统 Cisco RCOI（00-40-96）对运行 OneUI 的旧版 Android 设备和 Samsung 手机至关重要。忽略传统 RCOI 可能会无声地排除掉相当大一部分用户群。

WPA3-Enterprise 应作为所有新部署的默认设置。虽然 WPA2-Enterprise 仍受支持，但 WPA3 引入了受保护管理帧 (PMF) 作为强制性功能，为防范解除认证攻击提供了额外的保护层。

对于拥有忠诚度或访客应用程序的品牌来说，将 Passpoint 配置文件安装直接集成到应用程序中是最有效的分发机制。配置文件可以在用户首次登录时自动推送，创建完全无摩擦的登录体验，在后续访问时无需用户进行任何操作。

通过 VLAN 进行网络分割是合规性方面不可或缺的最佳实践。Passpoint 流量应与内部企业网络以及处理支付卡数据的任何系统隔离，以确保清晰的 PCI DSS 范围边界。

故障排除和风险缓解

在部署前了解最常见的故障模式可显著降低上线出现问题的风险。

最常见的问题是设备无法自动连接。根本原因几乎总是客户端设备上的 Passpoint 配置文件丢失、格式不正确或已过期。验证配置文件是否正确安装，以及其指定的 RCOI 是否与网络广播的 RCOI 匹配。在 iOS 上，可以通过“设置”应用检查配置文件；在 Android 上，该过程因制造商而异。

认证失败是第二常见的问题。RADIUS 服务器日志是权威的诊断工具。失败通常源于不正确的凭证格式、过期的证书或与上游身份提供商之间的信任关系中断。加入 OpenRoaming 时，确保 WBA 根证书已正确安装在 RADIUS 服务器的信任存储中。

防火墙配置错误是一个容易被忽视的部署阻塞风险。必须允许 RadSec 流量（TCP 端口 2083）在 RADIUS 服务器与任何联盟漫游伙伴或 OpenRoaming 代理服务器之间通过。在上线前明确验证此规则。

RADIUS 基础设施的高可用性是最关键的运营风险。RADIUS 服务器中断将阻止所有 Passpoint 认证，实际上会使所有已注册用户的网络瘫痪。部署集群或地理冗余的 RADIUS 服务器对，并在生产推广前测试故障转移机制。

ROI 和业务影响

实施 Passpoint 可在多个领域带来可衡量的业务价值，使投资案例对 IT 和更广泛的业务都具有吸引力。

最直接的运营效益是降低 IT 支持成本。通过消除用户手动选择 SSID、输入密码或在会话超时后重新认证的需要，Passpoint 大幅减少了与 WiFi 相关的支持工单数量。对于大型酒店或会议中心而言，这可以显著减少前台和 IT 帮助台的工作量。

客人满意度是一个直接且可衡量的结果。在酒店业，WiFi 质量始终位列客人满意度调查的最重要因素之一。无缝、自动的连接体验——特别是对于无须任何操作即可识别并连接的回访客人——能产生强大的正面印象，推动忠诚度和回头客。

从匿名开放网络数据到基于凭证的 Passpoint 数据的转变释放了巨大的分析价值。场馆可以了解访问频率、按位置划分的停留时间以及设备人口统计数据，其精确度是 Captive Portal 根本无法实现的。当这些数据与 CRM 和营销平台集成时，可以实现个性化互动，通过定向促销和追加销售机会推动增量收入。

最后，不应低估 Passpoint 的合规性和风险缓解价值。在 GDPR 和 PCI DSS 监管日益严格的环境下，WPA3-Enterprise 的企业级安全提供了比开放或基于 PSK 的网络明显更强的安全态势。这降低了数据泄露的风险以及相关的财务和声誉后果。

Key Definitions

IEEE 802.11u

对 IEEE 802.11 WiFi 标准的修订，支持客户端设备与接入点在建立关联之前进行网络发现和信息交换。它是支撑 Passpoint 的基础标准。

在评估用于 Passpoint 部署的 WiFi 硬件时，IT 团队应验证接入点和控制器在其技术规格中明确列出了 IEEE 802.11u 支持。其存在确认硬件能够实现 Hotspot 2.0 功能。

ANQP (Access Network Query Protocol)

客户端设备用于在关联之前查询支持 Hotspot 2.0 的接入点的信息的协议，包括其漫游伙伴、场馆名称、IP 地址类型可用性和网络能力。

在故障排除期间，网络架构师可以使用无线数据包分析器检查 ANQP 帧，确认 AP 正确通告其漫游联盟 OI，并且客户端正在接收和处理响应。

RCOI (Roaming Consortium Organizational Identifier)

一个唯一标识符，代表一组具有漫游协议的网络提供商。客户端设备仅当 AP 广播的 RCOI 与其已安装 Passpoint 配置文件中指定的 RCOI 匹配时，才会尝试连接到 Passpoint 网络。

这是 Passpoint 部署中最关键的配置参数。不正确或缺失 RCOI 是设备无法自动连接的最常见原因。标准 OpenRoaming RCOI 是 5A-03-BA；传统 Cisco RCOI 是 00-40-96。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议，为连接到网络服务的用户提供集中式认证、授权和计费 (AAA) 管理。在 Passpoint 部署中，RADIUS 服务器是核心认证引擎。

RADIUS 服务器是 Passpoint 部署中最关键的基础设施。其可用性直接决定 Passpoint 网络的可用性。IT 团队应以高可用性集群方式部署 RADIUS 并主动监控。

EAP (Extensible Authentication Protocol)

用于 802.1X 网络的认证框架，支持多种认证方法。与 Passpoint 一起使用的常见 EAP 类型包括 EAP-TLS（基于证书，最高安全性）、EAP-TTLS（隧道凭证）和 EAP-SIM/AKA（基于 SIM 卡，由移动运营商使用）。

EAP 方法的选择决定了部署的安全级别和操作复杂性。EAP-TLS 需要 PKI 来颁发客户端证书，这在操作上要求较高，但提供最强的安全性。EAP-TTLS 是企业部署中常见且更易管理的替代方案。

WBA (Wireless Broadband Alliance)

一个全球行业组织，旨在促进可互操作无线服务的采用。WBA 管理 OpenRoaming 联盟，包括其 PKI、策略框架以及身份提供商和接入网络提供商的加入。

当场馆运营商决定加入 OpenRoaming 时，他们即进入受 WBA 管辖的法律和技术框架。这包括签署参与协议、获取 WBA PKI 证书以及配置其网络以符合 OpenRoaming 技术规范。

Identity Provider (IdP)

创建、维护和管理身份信息并向依赖方提供认证服务的实体。在 Passpoint/OpenRoaming 生态系统中，IdP 包括移动运营商（例如 Verizon、EE）、设备制造商（例如 Samsung）和企业。

理解 IdP 模型对于确定 Passpoint 部署范围至关重要。场馆运营商（作为接入网络提供商）不需要管理用户身份；它通过漫游联盟将该职责委托给可信 IdP。

RadSec (RADIUS over TLS)

一种通过传输层安全 (TLS) 隧道来保护 RADIUS 通信的协议，通常在 TCP 端口 2083 上运行。它取代了传统的基于 UDP 的 RADIUS 传输，为 RADIUS 流量提供加密和相互认证。

RadSec 是 OpenRoaming 框架的强制性组件。IT 团队必须确保防火墙规则明确允许 RADIUS 服务器与 OpenRoaming 代理服务器之间的 TCP 端口 2083。这是一个经常被忽视的配置步骤，可能会阻止所有联盟认证。

Worked Examples

一家拥有 500 间客房的豪华酒店及大型会议中心希望替换其传统的 Captive Portal 系统。目标是为酒店客人、会议参与者和员工提供无缝、安全的 WiFi，同时通过酒店的忠诚度应用程序实现个性化互动。

推荐的方法是与酒店忠诚度计划集成的分阶段 Passpoint 部署。首先对现有的 Cisco Meraki 网络进行全面审计，确认所有 AP 支持 Hotspot 2.0。配置酒店的 RADIUS 服务器，使用 EAP-TTLS 根据忠诚度计划的会员数据库对忠诚度会员进行身份验证。更新酒店的移动应用程序，包含 Passpoint 配置文件安装流程，在用户首次登录时自动触发。创建两个不同的 WLAN 配置文件：一个用于客人和忠诚度会员，广播酒店特定的 RCOI；另一个用于会议参与者，使用 WBA OpenRoaming RCOI（5A-03-BA），以便来自不同组织的参与者无需预先注册即可自动连接。在忠诚度应用程序中，配置一个触发器，在客人到达时通过 Passpoint 连接事件检测，发送个性化的欢迎通知，包括房间号和预订餐厅的链接。

Examiner's Commentary: 此解决方案有效，因为它以定制方法处理了多个用户群体。忠诚度应用程序作为 Passpoint 配置文件的无摩擦分发渠道，同时增强了应用程序的价值主张。通过在会议中心使用 OpenRoaming，酒店避免了为数千名临时访客管理凭证的极大复杂性，并为活动组织者提供了引人注目的服务。将连接事件与个性化欢迎通知集成是将网络基础设施投资转化为直接收入和互动工具的典型示例。

一家在全国拥有 300 家门店的大型零售连锁店使用基本的开放访客 WiFi 网络。他们面临网络滥用、用户体验差以及无法收集有意义的客户数据等挑战。他们需要一个可集中管理的可扩展、安全的解决方案。

零售商应实施与 WBA OpenRoaming 联盟的 Passpoint 解决方案，通过集中式云平台进行管理。用企业级硬件（如 HPE Aruba Networking，通过 Aruba Central 管理）替换现有的消费级接入点。部署基于云的 RADIUS 基础设施，以便在所有 300 个地点实现可扩展性和简化管理。在 Aruba Central 上配置 WLAN 配置文件，启用 Passpoint 并广播 OpenRoaming RCOI。RADIUS 服务器将所有认证请求代理到 OpenRoaming 联盟，这意味着任何拥有其移动运营商提供的 Passpoint 配置文件的购物者都可以在 300 家门店中的任何一家自动安全连接，无需任何预先注册。利用 RADIUS 计费日志中的匿名、基于凭证的数据，按店铺区域分析客流量和停留时间，而无需通过 Captive Portal 收集个人信息，从而显著简化 GDPR 合规性。

Examiner's Commentary: 对于大型分布式环境，集中式基于云的管理方法与 OpenRoaming 相结合是最具可扩展性和成本效益的解决方案。它将身份管理的复杂性外包给 OpenRoaming 联盟，消除了零售商维护自身用户凭证数据库的需要。这种方法为数百万购物者提供安全、无缝的体验，同时传递有价值的商业智能。GDPR 合规益处尤为显著：由于用户是通过其运营商凭证而不是表单进行身份验证的，零售商避免了收集和存储个人数据，大幅降低了其监管风险。

Practice Questions

Q1. 您是一家大型国际机场的网络架构师。任务是改善乘客 WiFi 体验，当前使用的是缓慢、繁琐的 Captive Portal。机场有数十家不同的航空公司，乘客来自世界各地，设备来自数百家不同的运营商。您推荐实施 Passpoint 的策略是什么？

Hint: 考虑用户的多样性以及对全球互操作解决方案的需求。如何避免管理与数百家移动运营商的双边漫游协议的操作负担？

View model answer

最佳策略是部署通过 Passpoint 认证的网络并加入 WBA OpenRoaming 联盟。这使得机场能够接受来自众多身份提供商（包括主要的全球移动运营商和设备制造商）的凭证，而无需协商个别漫游协议。实施包括将机场的 WiFi 基础设施升级为兼容 Passpoint（支持 802.11u 且具有最新固件的 AP），配置 RADIUS 服务器通过 RadSec 将认证请求代理到 OpenRoaming 网络，并广播标准 OpenRoaming RCOI (5A-03-BA) 以及传统 Cisco RCOI (00-40-96) 以实现兼容性。这为大多数旅客提供无缝、安全、自动的连接体验，大幅提高满意度评分并减少与 WiFi 相关的支持负担。

Q2. 一所大型大学校园希望将其安全的 Eduroam WiFi 服务扩展到周边学生密集的咖啡馆和当地企业。目标是让学生和教职员工能够从校园网络无缝漫游到这些合作场馆。您将如何使用 Passpoint 来实现这一目标？

Hint: Eduroam 本身是一个基于 802.1X 的漫游联盟。考虑如何将大学的身份信任扩展到第三方场馆，而无需这些场馆直接管理学生凭证。

View model answer

这是一个非常适合私有 Passpoint 联盟的用例。大学充当中心身份提供商。合作咖啡馆和商店成为接入网络提供商。大学的 IT 部门为合作场馆提供对基于云的 RADIUS 代理的访问，该代理配置为信任大学的主 RADIUS 服务器。咖啡馆的 AP 配置为广播一个专为此“校园社区”网络指定的特定 RCOI。然后，大学更新学生和教职员工设备上的 Passpoint 配置文件（通过大学的 MDM 平台分发），以包含这个新的 RCOI。当学生进入合作咖啡馆时，他们的设备识别出 RCOI，发起 802.1X 连接，咖啡馆的网络将认证代理回大学的可信 RADIUS 服务器。学生自动安全连接；咖啡馆从不直接处理学生凭证。

Q3. 您的组织已在其公司总部部署了 Passpoint。在试点阶段，Android 设备连接成功，但大量公司配发的 iPhone 无法自动连接。最可能的原因是什么？您将如何系统地排除故障？

Hint: 设备操作系统处理 Passpoint 配置文件的方式不同。在企业环境中，考虑如何创建、签名配置文件并将其分发到受管理的 iOS 设备。

View model answer

最可能的原因是受管理 iPhone 上的 Passpoint 配置文件存在问题。企业环境中的 iOS 设备通常通过 MDM 平台进行管理，并且 Passpoint 配置文件必须正确构造为 Apple 配置描述文件 (.mobileconfig)。系统故障排除过程为：(1) 检查 MDM 控制台，确认配置文件已成功推送到受影响的设备；(2) 在测试 iPhone 上，导航到“设置”>“通用”>“VPN 和设备管理”，验证配置文件已安装且未显示错误；(3) 在测试 iPhone 上手动安装一个已知良好的手动创建的配置文件，以确定问题是出在配置文件内容还是 MDM 传递机制上；(4) 检查 RADIUS 服务器日志，查找来自故障 iPhone 的认证尝试——拒绝原因（例如“客户端证书不受信任”、“未知 EAP 类型”）将确定特定的配置错误；(5) 验证 RADIUS 服务器的受信任根证书是否包含在 MDM 推送的配置文件中，因为 iOS 要求明确信任 EAP 认证中使用的服务器证书。