Skip to main content
简体中文

如何为WiFi认证设置RADIUS服务器

本权威指南为IT领导者和网络架构师提供了部署RADIUS服务器进行企业WiFi认证的全面蓝图。涵盖了本地部署与云托管部署之间的架构权衡、EAP方法选择、Active Directory集成以及动态VLAN分配。场馆运营商和IT团队将找到可行的实施步骤、真实案例研究和风险缓解策略,以便在本季度从不安全的PSK环境过渡到强大的802.1X基础设施。

📖 8 min read📝 1,860 words🔧 2 worked examples3 practice questions📚 9 key definitions

Listen to this guide

View podcast transcript
欢迎收听Purple的技术简报。今天我们要解决任何企业IT领导者都面临的关键基础设施决策:如何为WiFi认证设置RADIUS服务器。如果您正在管理一个大规模部署——无论是连锁酒店、零售网络还是庞大的大学校园——依赖简单的预共享密钥是一个重大的安全风险。我们需要802.1X,这意味着我们需要RADIUS。 让我们从背景开始。RADIUS,即远程认证拨入用户服务,充当网络的守门人。当设备尝试连接到WiFi接入点时,接入点充当认证者,将凭据转发给RADIUS服务器。服务器根据目录——如Active Directory或LDAP数据库——检查这些凭据,然后返回接受或拒绝消息。它是企业WiFi安全的基础,也是允许您大规模执行精细访问策略的机制。 现在让我们进入技术深度剖析。您将面临的第一个主要架构决策是选择本地RADIUS服务器还是云托管解决方案。过去,像Microsoft的网络策略服务器(NPS)或开源的FreeRADIUS这样的本地解决方案是标准。它们提供了对基础设施的完全控制,并且不依赖外部互联网连接进行认证。然而,它们需要专用硬件、持续维护和手动配置冗余。如果您有一个数据中心和一个人员配备齐全的IT团队,这是一种完全可行的方法。 另一方面,云端RADIUS解决方案越来越受欢迎,特别是对于零售连锁店或酒店场所等分布式环境。云端RADIUS完全抽象了硬件管理,提供内置的高可用性,并与Azure Active Directory或Okta等云身份提供商无缝集成。代价是认证需要可靠的互联网连接,并且有持续的订阅成本。对于一个运营着五十或一百个地点的场馆运营商,不在每个站点部署和维护本地服务器所带来的运营节省几乎肯定会超过该成本。 在部署RADIUS时,可扩展认证协议——EAP——是关键部分。它定义了客户端和服务器如何协商并执行认证。EAP-TLS是安全性的黄金标准,因为它在客户端和服务器上都使用数字证书,完全消除了密码的需要。这意味着即使攻击者捕获了认证交换,也没有可窃取的凭据。然而,部署客户端证书可能会带来沉重的管理负担。您需要一个公钥基础设施和一个MDM解决方案来将证书推送到每台设备。 PEAP-MSCHAPv2是最常见的替代方案。它使用服务器端证书建立加密的TLS隧道,用户在其中使用用户名和密码进行认证。这比EAP-TLS更容易部署,因为您只需要管理一个证书——服务器的证书。然而,这一点至关重要——如果客户端没有被严格配置为验证服务器的证书,它们就容易受到流氓接入点的攻击。攻击者可以搭建一个虚假的接入点,提供伪造的证书,并捕获凭据。这不是理论上的攻击。这是一个有据可查的现实威胁。 让我们谈谈实施建议和陷阱。第一个建议是在每台客户端设备上强制进行严格的证书验证。对Windows设备使用组策略对象,对macOS和移动设备使用MDM配置文件——无论是Intune、Jamf还是其他解决方案。配置文件必须准确指定要信任哪个证书颁发机构以及预期的服务器名称是什么。不要将此留给最终用户手动配置。 第二个建议是实施动态VLAN分配。与其将所有已认证的用户放在同一个扁平网络中,不如配置RADIUS服务器根据用户在目录中的组成员资格,指示接入点将用户放置到特定的VLAN上。这对于将企业设备与BYOD或宾客设备分段至关重要。财务团队的一名员工应该与当天来访的承包商位于不同的网络段上。 第三个建议涉及宾客访问。对于需要为访客提供WiFi的场馆——酒店、零售店、会议中心——将您的RADIUS基础设施与像Purple的Guest WiFi平台这样的Captive Portal解决方案集成是一个强大的组合。员工和企业设备通过802.1X静默认证,而宾客被引导到品牌化的门户进行认证。Purple的平台然后捕获第一方数据并提供访客行为分析,将您的网络从成本中心转变为商业智能资产。 现在是快问快答环节。第一个问题:我需要为RADIUS使用专用服务器吗?对于本地部署,是的,强烈建议在专用虚拟机上运行它,而不是与域控制器共享资源。认证是一个对延迟敏感的操作,资源争用可能导致间歇性故障,这些故障很难诊断。第二个问题:RADIUS能否处理打印机或物联网传感器等无头设备的认证?可以,通过MAC认证绕过(MAB)。这允许没有802.1X能力的设备基于其MAC地址进行认证。然而,由于MAC地址很容易被伪造,通过MAB认证的设备应始终放置在高度受限的VLAN上。第三个问题:如何处理RADIUS服务器冗余?始终部署至少两个RADIUS服务器——一个主服务器和一个辅助服务器。配置所有接入点,在主服务器不可达时自动故障转移到辅助服务器。对于云端RADIUS,这种冗余通常由提供商内置并管理。 总结一下今天简报的关键要点。预共享密钥不适用于企业WiFi。实施802.1X。根据您的IT资源、管理的地点数量以及现有的身份基础设施,选择部署模式——本地或云端。如果您是分布式且云优先的,云端RADIUS几乎肯定是正确答案。在客户端强制进行严格的证书验证。这是不可协商的。使用动态VLAN分配对网络进行分段。最后,考虑您的认证基础设施如何与更广泛的平台集成,以提供超越简单访问控制的业务价值。 进一步阅读,我们建议探索Purple关于配置802.1X WiFi认证以及使用强大的DNS策略保护网络的指南。谢谢收听。

header_image.png

执行摘要

对于企业环境——无论是庞大的大学校园、高密度体育场还是分布式零售连锁店——依赖预共享密钥(PSK)进行WiFi访问是一个重大的安全漏洞。一个泄露的凭据会暴露整个网络,撤销访问权限需要更改所有设备的密码。通过RADIUS(远程认证拨入用户服务)服务器实施802.1X认证可以完全消除这个问题:每个用户单独认证,可以即时撤销访问权限,并动态执行网络分段。

本指南为IT经理和网络架构师提供了部署RADIUS认证的明确路线图。我们涵盖了本地部署和云托管部署之间的架构权衡、可扩展认证协议(EAP)方法的配置,以及与Active Directory等目录服务的集成。我们还展示了强大的认证层如何与 Guest WiFi 解决方案集成,为访客提供无缝访问,同时捕获 WiFi Analytics ,将您的网络转化为商业智能资产。

技术深度剖析

802.1X架构

IEEE 802.1X标准定义了基于端口的网络访问控制(PNAC)。在无线环境中,它涉及三个主要角色协同工作:

角色 组件 职责
请求者 客户端设备(笔记本电脑、智能手机) 提供凭据以请求网络访问
认证者 WiFi接入点或控制器 执行访问控制;中继EAP消息
认证服务器 RADIUS服务器 验证凭据;返回接受/拒绝及策略属性

当请求者与接入点关联时,AP会阻止除EAP消息外的所有数据流量。AP将这些EAP消息封装在RADIUS数据包中,并转发给RADIUS服务器。服务器根据后端数据库(通常是LDAP或Active Directory)验证凭据,并返回 Access-AcceptAccess-Reject 消息。如果接受,AP会解除端口阻塞,客户端的流量即可自由流动。

architecture_overview.png

选择EAP方法

RADIUS部署的安全性在很大程度上取决于所选EAP方法。企业部署中最普遍的两种是:

EAP-TLS(传输层安全协议) 是黄金标准。它需要在RADIUS服务器和每个客户端设备上安装数字证书,完全消除了密码。即使攻击者捕获全部认证交换,也没有可提取的凭据。代价是管理开销:部署和管理客户端证书需要有效的公钥基础设施(PKI)和MDM解决方案(例如Microsoft Intune、Jamf)来将证书分发到终端设备。

PEAP-MSCHAPv2(受保护的可扩展认证协议) 是实践中最广泛部署的方法。它使用服务器端证书建立加密的TLS隧道,客户端在其中使用用户名和密码进行认证。这比EAP-TLS容易部署得多,因为只需要管理一个证书——服务器的证书。然而,它带有一个关键警告:如果客户端设备没有明确配置为验证RADIUS服务器的证书,它们就容易受到通过流氓接入点进行的中间人(MitM)攻击。

> 关键安全说明:未能对客户端设备实施严格的证书验证实际上会使PEAP-MSCHAPv2的安全优势失效。攻击者可以部署一个流氓AP,提供伪造的证书,并以明文形式捕获用户凭据。这不是理论上的风险——这是一个有据可查的攻击向量,已经在真实环境中被利用。

实施指南

步骤1:架构决策——本地部署与云端RADIUS

第一个决策是在哪里托管RADIUS基础设施。这主要是一个运营和成本问题,而不是安全问题——两种模式都可以安全部署。

comparison_chart.png

本地RADIUS(例如Microsoft NPS、FreeRADIUS、Cisco ISE)适用于拥有专门IT人员、现有本地目录基础设施以及严格的数据主权或合规性要求的组织。它不依赖互联网连接进行认证,这对于无法保证互联网正常运行的环境来说是一个显著优势。

云端RADIUS 越来越成为分布式环境的首选模式—— 零售 连锁店、 酒店 集团和 交通 枢纽,在这些地方在每个位置部署服务器在运营上不切实际。云端RADIUS原生集成云身份提供商(Azure AD、Google Workspace、Okta),并提供内置的高可用性和全球可扩展性。

步骤2:安装和配置RADIUS服务器

对于使用Microsoft NPS的本地部署(在以Windows为中心的环境中最常见的选择):

  1. 通过服务器管理器安装网络策略服务器角色。
  2. 在Active Directory中注册NPS服务器,以允许其读取用户的拨入属性。
  3. 为每个接入点或无线控制器创建一个RADIUS客户端条目,指定AP的IP地址和强大且唯一的共享机密。
  4. 配置网络策略,定义访问条件(例如用户组成员资格)和约束(例如EAP方法、会话超时)。
  5. 配置连接请求策略以本地处理请求。

对于Linux上的FreeRADIUS

  1. 通过软件包管理器安装:sudo apt-get install freeradius freeradius-ldap
  2. 配置/etc/freeradius/3.0/clients.conf以定义RADIUS客户端(AP)及其共享机密。
  3. 配置/etc/freeradius/3.0/mods-available/ldap中的LDAP模块,以指向您的Active Directory或LDAP服务器。
  4. 启用LDAP模块:sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/
  5. /etc/freeradius/3.0/mods-available/eap中定义EAP方法。

步骤3:配置接入点

在您的无线控制器或单个接入点上:

  1. 定义RADIUS服务器IP地址和认证端口(默认:UDP 1812)。
  2. 配置共享机密——使用至少22个字符,混合字母数字和特殊字符。每个位置或AP组使用唯一的机密。
  3. 配置SSID以使用WPA2-EnterpriseWPA3-Enterprise安全模式,并启用802.1X密钥管理。
  4. 配置辅助RADIUS服务器以实现故障转移。

步骤4:目录集成

对于本地AD集成,RADIUS服务器必须加入域或具有LDAP读取权限。确保用于LDAP绑定的服务账户具有最低所需权限。对于云端RADIUS,配置与您的身份提供商(IdP)的基于API的同步或SAML/OIDC集成。

在您的目录中定义清晰的用户组,因为这些组将驱动授权策略。推荐的分组结构:

VLAN 访问级别
Corp_Staff VLAN 10 完整内部网络
Corp_Contractors VLAN 20 互联网 + 特定内部资源
Corp_IoT VLAN 30 隔离,仅设备特定端口
Corp_Guests VLAN 100 仅通过Captive Portal访问互联网

步骤5:客户端配置和证书验证

这是运营中最关键的一步。使用Windows的组策略(GPO)和macOS/iOS/Android的MDM配置文件,将WiFi配置静默推送到受管设备。配置文件必须指定:

  • 颁发RADIUS服务器证书的根CA
  • 预期的服务器名称(服务器证书的CN或SAN)。
  • EAP方法和内部认证协议。

对于非受管的BYOD设备,提供清晰的自助入职说明,最好通过网络访问控制(NAC)门户提供。

步骤6:实施动态VLAN分配

配置RADIUS服务器在Access-Accept响应中返回VLAN分配属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = IEEE-802 (6)
  • Tunnel-Private-Group-Id = ``

接入点读取这些属性,并将已认证的客户端放置到指定的VLAN上——当用户角色或位置发生变化时,无需手动重新配置。

最佳实践

冗余是不可妥协的。 部署至少两个RADIUS服务器(主和辅助),并配置所有接入点自动故障转移。对于本地部署,考虑将辅助服务器放置在不同的物理位置或可用区。RADIUS中断意味着无人能够认证,这对于受802.1X保护的SSID来说是完全的网络中断。

主动监控证书过期。 RADIUS服务器证书过期是突然大规模认证失败的最常见原因之一。实施监控,在过期前至少30天提醒管理员。这适用于服务器证书以及证书链中的所有中间CA证书。

将共享机密视为关键凭据。 AP和RADIUS服务器之间的共享机密加密RADIUS数据包。每个位置或AP组使用唯一的机密,将其存储在机密管理器中,并定期轮换。请参阅我们的指南 使用强大的DNS和安全性保护您的网络 ,了解更广泛的网络安全卫生建议。

符合合规框架。 对于受PCI DSS约束的环境(例如零售支付网络),802.1X认证直接支持网络访问控制和审计日志记录的要求。对于GDPR合规,RADIUS记账日志(端口1813)提供了关于谁访问了网络、从何处访问以及何时访问的详细审计跟踪——这对于事件响应非常宝贵。对于 医疗保健 环境,通过动态VLAN分配进行网络分段支持HIPAA对保护电子受保护健康信息(ePHI)的要求。

故障排除与风险缓解

故障模式 症状 解决方案
证书过期 突然大规模认证失败 监控过期;续签并重新部署证书
NTP不同步 间歇性EAP-TLS失败 确保RADIUS服务器和域控制器同步到同一NTP源
LDAP连接丢失 当AD不可达时认证失败 部署冗余域控制器;配置RADIUS缓存最近的认证
共享机密不正确 AP日志显示RADIUS timeoutBad authenticator 验证AP和RADIUS服务器上的机密是否匹配
客户端证书不匹配 特定设备的EAP-TLS失败 验证客户端证书由受信任的CA颁发;检查证书有效期
未分配VLAN 用户已认证但在错误的网络段上 验证RADIUS属性是否正确返回;检查AP VLAN配置

要更深入地了解802.1X配置过程本身, 如何配置802.1X WiFi认证:分步指南 提供了详细的、针对特定供应商的配置演练。

投资回报率与业务影响

从PSK转移到RADIUS支持的802.1X需要在配置方面进行初始投资,可能还需要云解决方案的许可或本地部署的硬件。投资回报率(ROI)的情况很明确:

风险缓解:根据IBM数据泄露成本报告,英国数据泄露的平均成本超过300万英镑。被泄露的PSK可能暴露整个网络。802.1X将影响范围限制在单个被泄露的用户帐户,该帐户可以通过目录在几秒钟内被禁用。

运营效率:动态VLAN分配消除了随着员工角色变化而进行的手动网络重新配置。新员工入职只需将其添加到正确的AD组——网络访问会自动跟随。

合规态势:对于受PCI DSS、ISO 27001或Cyber Essentials Plus约束的组织,802.1X是审计员期望看到的直接控制措施。部署它可以增强您的合规态势,并减少审计整改成本。

宾客体验和分析:对于场馆运营商,将用于员工认证的RADIUS与Purple的 Guest WiFi 平台集成用于访客访问,创建了一个统一的分层访问模型。员工通过802.1X静默认证;客人通过品牌化的Captive Portal连接。Purple的 WiFi Analytics 平台然后提供关于访客停留时间、回头率和参与度指标的实时可见性——这些数据直接为营销支出和场馆运营决策提供信息。

进一步阅读,请参阅 Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo 了解葡萄牙语实施指南,以及 什么是专线?专用企业互联网 了解确保底层连接满足企业要求的指导。

Key Definitions

RADIUS(远程认证拨入用户服务)

一种网络协议,为连接到网络服务的用户提供集中的认证、授权和计费(AAA)管理。定义于RFC 2865。

在授予WiFi访问权限之前,根据目录验证用户凭据的核心服务器组件。每个使用802.1X的企业WiFi部署都需要RADIUS服务器。

802.1X

基于端口的网络访问控制(PNAC)的IEEE标准。它为希望连接到LAN或WLAN的设备提供认证机制,阻止所有非EAP流量,直到认证成功。

定义了Supplicant、Authenticator和Authentication Server如何通信的总体框架标准。当IT团队提到“企业WiFi安全”时,他们通常指的是具有802.1X的WPA2/WPA3-Enterprise。

请求者(Supplicant)

客户端设备——更准确地说,是该设备上的802.1X软件栈——通过向网络提供凭据来启动认证过程。

在Windows上,内置的请求者是无线自动配置服务。在macOS和iOS上,它内置于操作系统中。确保请求者配置正确(尤其是证书验证)是部署问题的最常见来源。

认证者(Authenticator)

网络设备——通常是WiFi接入点或无线控制器——充当请求者和RADIUS服务器之间的中介,根据认证结果执行访问控制。

AP会阻止端口上的所有数据流量,直到它从RADIUS服务器接收到Access-Accept。它还会从Access-Accept响应中读取RADIUS属性(例如VLAN分配),并将其应用于会话。

EAP(可扩展认证协议)

一种在RFC 3748中定义的认证框架,为请求者和认证服务器之间的各种认证方法(TLS、PEAP、TTLS等)提供了标准化的传输机制。

EAP是客户端和RADIUS服务器之间交流的“语言”。EAP方法的选择(EAP-TLS与PEAP)决定了认证系统的安全强度和部署复杂性。

PEAP(受保护的可扩展认证协议)

一种EAP方法,首先使用服务器证书建立TLS隧道,然后在该加密隧道内执行二次认证(通常是使用用户名/密码的MSCHAPv2)。

最常见的企业WiFi认证方法,因为它在安全性和部署简便性之间取得了平衡。只需要服务器端证书,因此比EAP-TLS更容易推广。

动态VLAN分配

一种RADIUS功能,服务器在Access-Accept响应中包含VLAN特定属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-Id),指示AP将已认证的客户端放置到特定的VLAN上。

允许单个SSID为具有不同安全需求的多个用户群体提供服务。无需为不同的用户组广播多个SSID,从而减少射频开销并简化用户体验。

共享机密

预先配置的文本字符串,只有认证者(AP)和RADIUS服务器知道,用于签名和加密RADIUS数据包,确保通信的完整性和真实性。

一个关键的安全配置要素。如果共享机密弱或泄露,攻击者可能伪造RADIUS Access-Accept响应,授予未经授权的网络访问。每个位置使用唯一的机密,并将其存储在机密管理器中。

MAC认证绕过(MAB)

一种回退认证机制,使用设备的MAC地址作为其身份凭据,为不支持802.1X请求者的设备启用网络访问。

用于无头设备(打印机、物联网传感器、IP摄像头)。由于MAC地址是公开可见且容易被伪造,MAB提供设备识别而不是强认证。始终与受限的VLAN分配结合使用。

Worked Examples

一家拥有500个地点的全国零售连锁店需要为店长的平板电脑和POS终端实施安全的WiFi。他们目前在所有门店使用一个单一的PSK,该PSK经常被未经授权的员工和承包商共享。他们使用Azure AD进行身份管理,并且在分支机构没有专门的IT人员。

部署一个与Azure AD直接集成的云端RADIUS解决方案。这消除了在500个地点部署和管理本地RADIUS服务器的需要。IT团队使用Microsoft Intune将所有店长的平板电脑和POS终端推送一个配置为PEAP-MSCHAPv2的WiFi配置文件,严格强制验证云端RADIUS服务器的证书。云端RADIUS策略在授予访问权限之前检查用户的Azure AD组成员资格:'Store_Managers'组获得VLAN 10(完整的POS和后台访问),'Contractors'组获得VLAN 20(仅互联网访问)。当承包商的服务结束时,将其从Azure AD组中移除,会立即撤销他们在所有500个地点的WiFi访问权限——无需更改PSK。

Examiner's Commentary: 此方法解决了核心漏洞(共享PSK),同时承认了运营限制(没有分支机构IT人员,Azure AD环境)。云端RADIUS提供了必要的可扩展性,并与现有的身份提供商原生集成。使用动态VLAN分配确保即使承包商的设备在其服务结束后仍在现场,将其从目录组中移除是撤销访问所需的唯一操作。

一家拥有400间客房的市中心酒店需要为员工(前台、客房部、管理层)和客人提供安全的WiFi。员工需要访问物业管理系统(PMS)和内部服务器。客人仅需要互联网访问。酒店有一个单一的本地Windows Server环境。

在专用的Windows Server虚拟机上部署Microsoft NPS。在无线基础设施上配置两个SSID:'Hotel_Staff'(WPA2-Enterprise,802.1X)和'Hotel_Guest'(开放或WPA2-Personal,重定向到Captive Portal)。对于员工SSID,NPS根据Active Directory验证凭据,并返回动态VLAN分配:'Management' AD组 → VLAN 10(完全访问),'FrontDesk' → VLAN 20(PMS访问),'Housekeeping' → VLAN 30(仅互联网+排班应用)。对于客人,将Captive Portal与Purple的Guest WiFi平台集成,以提供品牌化的登录体验,收集第一方数据(电子邮件、营销同意),并获得关于停留时间和回头率等的分析。双SSID模型将员工和客人的流量在网络层完全分离。

Examiner's Commentary: 双SSID模型是此处正确的方法,而不是使用具有复杂策略路由的单一SSID。它提供了清晰的运营分离,并简化了故障排除。将Purple集成用于客人SSID是商业上明智的决定:它将客人网络从成本中心转变为数据捕获和营销渠道,并通过回头率和电子邮件营销参与度提供可衡量的ROI。

Practice Questions

Q1. 您的组织正在将2,000台Windows笔记本电脑从共享PSK迁移到带有PEAP-MSCHAPv2的802.1X。您的安全团队指出PEAP容易受到通过流氓接入点进行的凭据收集攻击。缓解此风险的最重要的配置步骤是什么,以及如何大规模部署它?

Hint: 考虑是什么阻止客户端信任提供自签名证书的欺诈RADIUS服务器。

View model answer

关键步骤是在每个客户端设备上强制进行严格的服务器证书验证。使用组策略对象(GPO),向所有2,000台笔记本电脑推送一个WiFi配置文件,指定:(1)颁发RADIUS服务器证书的确切根CA证书,(2)预期的服务器名称(CN/SAN),以及(3)客户端不得提示用户信任新证书。这确保了即使攻击者部署一个带有欺诈证书的流氓AP,客户端也将拒绝TLS握手并拒绝发送凭据。没有此配置,PEAP对流氓AP攻击没有提供有意义的保护。

Q2. 一位医院IT总监需要为300台不支持802.1X的医疗物联网设备(输液泵、监测设备)提供网络访问。这些设备与员工工作站位于同一无线基础设施上。RADIUS基础设施应如何处理这些设备,以及必须采取哪些网络控制措施?

Hint: 思考适用于无头设备的认证方法,以及如何弥补其固有的弱点。

View model answer

在RADIUS服务器上为这些特定设备配置MAC认证绕过(MAB)。将每个设备的MAC地址注册到专用的Active Directory组或RADIUS数据库中。由于MAC地址容易被伪造,RADIUS服务器必须使用动态VLAN分配,将所有通过MAB认证的设备放置到一个专用的、高度受限的VLAN(例如VLAN 30 - IoT)上。该VLAN应通过防火墙仅允许与特定医疗服务器IP地址通信,并阻止所有其他流量,包括互联网访问和与员工VLAN的横向移动。员工工作站通过802.1X认证,并放置在一个单独的VLAN上。这种架构满足了HIPAA对ePHI邻近设备的网络分段要求。

Q3. 您是一家拥有50个场馆的连锁餐厅的网络架构师。使用云端RADIUS,49个场馆的认证工作正常,但一个特定场馆报告所有设备都无法认证。云端RADIUS管理门户显示没有来自该场馆的认证请求到达。您的诊断方法是什么?

Hint: 如果RADIUS服务器完全没有收到请求,问题出在认证者和服务器之间的通信路径上——而不是认证逻辑本身。

View model answer

由于RADIUS服务器从该场馆收到的请求为零,故障位于接入点和云端RADIUS服务器之间。按顺序进行诊断步骤:(1)验证场馆AP或无线控制器上配置的RADIUS服务器IP地址和端口(UDP 1812)——此处的拼写错误是最常见的原因。(2)检查该场馆的本地防火墙或路由器规则,确认出站UDP 1812流量被允许发送到云端RADIUS IP范围。(3)验证AP上配置的共享机密与云端RADIUS门户中为该场馆配置的机密是否匹配——不匹配会导致RADIUS服务器静默丢弃数据包。(4)检查场馆的互联网连接是否正常——云端RADIUS需要可靠的互联网连接。在AP或上游路由器上运行数据包捕获将确认RADIUS数据包是否正在发送以及是否收到响应。