跳至主要内容

故障排除 802.1X 身份验证失败(RADIUS/EAP)

本指南为 IT 经理、网络架构师和场所运营总监提供了一份关于诊断和解决 RADIUS 与 EAP 基础设施中 802.1X 身份验证失败的全面且可操作的参考资料。它涵盖了完整的身份验证链 - 从客户端配置错误、证书过期到 RADIUS 共享密钥不匹配和网络传输分片 - 并配有来自酒店和零售环境的真实案例研究。负责 PCI-DSS 合规性、WPA3 企业级部署和多站点网络访问控制的团队将发现可直接应用于其运营的结构化诊断框架、实施清单和风险缓解策略。

📖 13 分钟阅读📝 864 🔧 2 应用实例3 练习题📚 10 关键定义

收听本指南

查看播客转录
[INTRO — 1 minute] 欢迎来到 Purple 技术简报。我是主持人,Purple 的资深解决方案架构师。在接下来的十分钟里,我们将深入探讨现代企业无线网络面临的最常见且极具破坏性的问题之一:排查 802.1X 认证失败,特别是涉及 RADIUS 和可扩展身份验证协议(即 EAP)的故障。 如果您是负责管理酒店、零售连锁、体育场馆或公共部门机构 WiFi 基础设施的 IT 经理、网络架构师、CTO 或场馆运营总监,那么本次简报正是为您量身定制的。我们将舍弃学术理论,避开营销噱头,专注于您在本季度即可实施的实用、可操作的诊断步骤。 为什么这是一个关键的优先事项?如今,依赖预共享密钥(即 PSK)是一项重大的安全与合规风险。分布式企业资产必须向通过 WPA3-Enterprise 和 802.1X 实现的身份驱动型访问控制迁移。但是,当 802.1X 失败时,用户会被完全阻断,从而导致即时的业务停机。了解认证链在何处断裂是维持高安全、高可用网络的关键。 [TECHNICAL DEEP-DIVE — 5 minutes] 为了有效地排查 802.1X 故障,我们首先必须了解其三要素架构:客户端(Supplicant),即最终用户设备;认证器(Authenticator),即您的无线接入点或网管交换机;以及认证服务器(Authentication Server),通常是像 Cloud RADIUS 这样的 RADIUS 服务器。 当设备连接时,认证器会在第 2 层阻断所有数据流量,仅打开一个受控端口用于基于局域网的 EAP(即 EAPOL)交换。接入点充当无状态代理,将这些 EAP 数据包封装到端口 1812 上的 RADIUS Access-Request UDP 数据包中,并将其转发给 RADIUS 服务器。RADIUS 服务器与客户端协商 EAP 方法,对照您的身份目录(例如 Azure Active Directory、Okta 或 LDAP)验证凭据,然后返回 RADIUS Access-Accept 或 Access-Reject。 让我们来剖析一下整个链条中最常见的故障点。 首先,证书相关的问题。如果您正在运行 EAP-TLS - 双向证书认证的金牌标准 - 客户端和服务器都必须验证彼此的证书。如果客户端证书已过期、被吊销或不可信,RADIUS 服务器将发出 Access-Reject(访问拒绝)。反之,如果 RADIUS 服务器的证书过期,所有客户端将立即无法通过认证。这是一种常见的灾难性场景,会导致整个网络瘫痪。在 2025 年 1 月,一家大型连锁零售商因其 RADIUS 服务器证书在一夜之间过期,经历了全体员工网络瘫痪。在门店开业时,有超过三百个 POS 终端失去了网络连接。其根本原因在于部署了一个为期两年的证书后便被遗忘,且没有部署自动过期监控。 第二,客户端(Supplicant)配置错误。在基于凭据的方法(如 PEAP-MSCHAPv2)中,客户端必须配置为验证服务器的证书。如果客户端配置错误,或者禁用了证书验证,则该设备极易受到通过流氓接入点进行凭据窃取的影响。在混合设备环境中,客户端配置配置不匹配是导致单个连接失败的主要原因。 第三,RADIUS 共享密钥不匹配。认证器和 RADIUS 服务器使用共享密钥进行通信以加密 RADIUS 负载。如果该共享密钥不匹配,RADIUS 服务器将静默丢弃 Access-Request(访问请求)数据包。从接入点的角度来看,RADIUS 服务器无响应,从而导致对网络延迟或服务器宕机的错误诊断。这在基础设施迁移后尤为常见,此时 RADIUS 客户端配置已更新,但共享密钥未同步。 第四,网络传输问题。由于 RADIUS 使用 UDP 端口 1812 和 1813,它容易受到数据包丢失和分片的影响,尤其是在通过 WAN 连接传输到云端 RADIUS 服务器时。如果您的 WAN 具有较低的最大传输单元 - 即 MTU - 包含证书链的大型 EAP-TLS 数据包可能会超过 MTU 并被分片。如果防火墙或路由器丢弃了这些分片的 UDP 数据包,TLS 握手将静默失败。 第五,身份目录连接故障。如果您的 RADIUS 服务器由于 DNS 故障、防火墙规则更改或域控制器宕机而无法连接到您的 Active Directory 或 LDAP 目录,即使 RADIUS 服务器本身运行正常,所有认证尝试也将失败。 [实施建议与常见陷阱 - 2分钟] 为了减轻这些风险并确保稳健的 802.1X 部署,我们建议采取以下战略步骤。 首先,实施 RadSec - 即在 TCP 端口 2083 上运行的 基于 TLS 的 RADIUS。RadSec 将标准 RADIUS 数据包包裹在安全的 TLS 隧道中。这不仅可以确保通过公共互联网传输到 Cloud RADIUS 的身份验证流量的安全,而且由于它使用 TCP,还彻底消除了 UDP 数据包丢失和 MTU 分片问题。 其次,建立严格的证书生命周期管理流程。不要在您的 RADIUS 服务器上使用自签名证书。请使用受信任的公共证书颁发机构或企业 PKI,并设置自动监控,在证书过期前九十天向您的团队发出警报。 第三,使用 Microsoft Intune 或 Jamf 等移动设备管理 - 即 MDM - 平台标准化客户端配置。将预先配置好的 WiFi 配置文件推送到所有公司拥有的设备,确保启用服务器证书验证且根 CA 受信任。 第四,对于不支持 802.1X 客户端的遗留设备或物联网设备,实施 MAC 身份验证绕过 - 即 MAB。然而,由于 MAC 地址很容易被伪造,您必须通过严格的防火墙规则和持续的流量监控,将 MAB 设备隔离在受限的 VLAN 上。 [快速问答 - 1分钟] 让我们来解答一些我们经常收到场馆运营商提出的快速问答问题。 问题一:我们如何在不使他们的体验复杂化的情况下处理访客身份验证?回答:使用与 RADIUS 集成的 Captive Portal。该门户处理面向用户的注册,而 RADIUS 管理后端会话策略和带宽限制。Purple 的平台为酒店和零售运营商提供了这种精确的集成。 问题二:Cloud RADIUS 的延迟影响是什么?回答:微乎其微。全球分布的 Cloud RADIUS 服务通常在不到一百毫秒内完成身份验证往返。对于快速漫游场景,请确保在您的接入点上启用了 802.11r。 问题三:802.1X 如何支持 PCI-DSS 合规性?回答:它提供强大的单用户身份验证,并支持动态 VLAN 分配,以将持卡人数据环境与访客和员工网络隔离 - 满足 PCI-DSS 要求 1 和 8。 [总结和后续步骤 - 1分钟] 总而言之,对 802.1X 身份验证故障进行排除需要系统的方法。您必须隔离故障是发生在客户端、认证器还是 RADIUS 服务器上。通过监控 RADIUS 事件日志、验证证书链、通过 MDM 标准化客户端配置文件以及部署 RadSec,您可以构建一个高度安全、可靠且合规的无线基础设施。 您眼前的下一步是审计您当前的无线资产。识别所有仍在运行共享 PSK 的网络,并制定逐步迁移到 WPA3 企业版的计划。如果您已经运行了 802.1X,请立即查看您的证书到期日期,并验证在所有设备配置文件中是否严格执行了客户端证书验证。 感谢您收听本次 Purple 技术简报。如需获取更多技术指南,并了解 Purple 如何帮助保护和分析您场馆的无线网络,请访问 purple dot ai。保持安全,我们下期简报再见。

header_image.png

执行摘要

对于在酒店、零售连锁店、体育场馆和公共场所管理企业 WiFi 的 IT 领导者而言,802.1X 认证是网络准入控制的支柱 - 一旦出现故障,其影响将是立竿见影且在运营上极其严重的。单个配置错误的 supplicant 配置文件、过期的 RADIUS 证书或不匹配的共享密钥都可能同时阻止数百名用户,从而引发支持升级、收入损失以及潜在的合规性违规。

IEEE 802.1X 定义了基于端口的网络准入控制,在 OSI 模型的第 2 层运行。它与可扩展身份验证协议(EAP)和 RADIUS 服务器配合使用,在授予网络访问权限之前对每个设备进行身份验证。该协议支持多种 EAP 方法 - EAP-TLS、PEAP-MSCHAPv2、EAP-TTLS 和 EAP-FAST - 每种方法都具有独特的安全配置文件、证书要求和操作复杂性。

本指南提供了一个结构化的诊断框架,用于解决跨三组件身份验证链的 802.1X 故障:Supplicant(终端设备)、Authenticator(接入点或交换机)和 Authentication Server(RADIUS)。它包括实际案例研究、快速分类决策树、符合 PCI-DSS v4.0 和 WPA3-Enterprise 标准的实施最佳实践,以及源自酒店和零售部署的实际案例库。

对于在员工网络之外还部署了 Guest WiFi 的组织而言,了解 802.1X 在何处中断 - 以及如何快速修复它 - 是直接的运营和商业优先事项。


技术深度剖析

802.1X 身份验证架构

architecture_overview.png

IEEE 802.1X 标准定义了一个三组件模型,该模型管理着每一次企业 WiFi 身份验证交换。了解每个组件的角色是进行有效故障排除的前提条件。

Supplicant 是最终用户设备 - 笔记本电脑、智能手机、平板电脑或 POS 终端。它运行一个软件组件(supplicant 客户端,内置于 Windows、macOS、iOS 和 Android 的操作系统中),该组件发起 EAP 交换并向网络提交凭据。Supplicant 配置 - 特别是 EAP 方法、证书信任设置和凭据来源 - 是身份验证故障最常见的原因之一。

Authenticator(认证器)是无线接入点或托管交换机。至关重要的是,Authenticator 不做认证决定。它作为一个无状态中继,在 RADIUS 服务器发出授权决定之前,阻止受控端口上的所有数据流量。它在无线或有线介质上使用 EAPOL (EAP over LAN) 帧与 Supplicant 进行通信,并通过 UDP 端口 1812(认证)和 1813(计费)使用 RADIUS Access-Request 和 Access-Accept/Reject 数据包与 RADIUS 服务器进行通信。

Authentication Server(认证服务器)是 RADIUS 服务器。这是进行实际凭据验证的地方。RADIUS 服务器与 Supplicant 协商 EAP 方法,对照身份目录(Active Directory、Azure AD、Okta 或 LDAP)验证凭据,并返回带有可选 VLAN 分配属性的 Access-Accept,或带有原因代码的 Access-Reject。在现代部署中,这越来越多地是一种云托管服务 - 参见 如何使用云 RADIUS 实施 802.1X 认证 获取完整的实施指南。

EAP 方法对比

eap_method_comparison.png

EAP 不是单一的认证方法,而是一个支持多种内部方法的框架。EAP 方法的选择直接影响安全态势、证书基础设施要求以及您可能遇到的故障类型。

EAP 方法 证书要求 安全级别 部署复杂度 主要使用场景
EAP-TLS 双向(客户端 + 服务器) 最高 高(需要 PKI + MDM) 托管的公司设备
PEAP-MSCHAPv2 仅服务器端 中等 中等 集成 AD 的环境
EAP-TTLS 仅服务器端 中等 中等 混合系统 BYOD 环境
EAP-FAST 无(使用 PAC) 中高 遗留设备支持

采用 EAP-TLS 的 WPA3-Enterprise 是目前托管公司设备群的行业最佳实践。对于并行部署 Guest WiFi 和员工网络的场所 - 这在 HospitalityRetail 环境中很常见 - 典型的做法是采用混合方案:公司设备使用 EAP-TLS,访客使用带有 RADIUS 后端的 Captive Portal

认证流程:分步解析

理解 802.1X 交互的确切顺序对于准确定位故障发生的位置至关重要。流程如下:

  1. Supplicant 与 SSID 关联。Authenticator 打开一个受控端口,阻止所有非 EAP 流量。
  2. Authenticator 向 Supplicant 发送 EAP-Request/Identity。
  3. Supplicant 回应 EAP-Response/Identity(用户或设备身份)。
  4. 认证器(Authenticator)将此内容封装在 RADIUS Access-Request 中,并将其转发给 RADIUS 服务器。
  5. RADIUS 服务器发布 Access-Challenge,提出 EAP 方法(例如 EAP-TLS 或 PEAP)。
  6. 申请者(Supplicant)和 RADIUS 服务器通过由认证器中继的多次 Access-Request / Access-Challenge 往返,协商 EAP 方法并交换凭据。
  7. RADIUS 服务器根据身份目录验证凭据,并返回 Access-Accept(带有可选的 VLAN 分配属性)或 Access-Reject(带有原因代码)。
  8. 如果被接受,认证器将打开受控端口,设备即可获得网络访问权限。对于 WPA2/WPA3-Enterprise,随后将进行四次握手以派生会话加密密钥。

该序列中任何步骤的失败都会产生不同的症状特征。将症状映射到具体步骤是快速分流的基础。

常见故障模式和诊断指标

故障模式 1:证书过期(服务器或客户端)

这是生产 802.1X 部署中最具破坏性的单一故障模式。当 RADIUS 服务器的 TLS 证书过期时,每个客户端都会同时发生身份验证失败 - 导致网络完全中断。当客户端证书过期时(在 EAP-TLS 部署中),单个设备会失败,而其他设备仍可继续正常进行身份验证。

诊断指标: NPS/RADIUS 事件日志显示原因代码 22(“客户端证书已过期或尚未生效”)或原因代码 16(“由于用户凭据不匹配,身份验证失败”)。在 Windows NPS 上,检查安全事件日志中的事件 ID 6273。在 FreeRADIUS 上,在调试输出中查找 TLS Alert read:fatal:certificate expired

解决方案: 更新过期的证书,并通过 MDM 将更新后的 CA 证书推送到所有客户端。实施设有 90 天告警阈值的自动证书过期监控。

故障模式 2:RADIUS 共享密钥不匹配

共享密钥用于在认证器和 RADIUS 服务器之间对 RADIUS 消息进行身份验证。不匹配会导致 RADIUS 服务器静默丢弃 Access-Request 数据包。从 AP 的角度来看,RADIUS 服务器表现为无响应。

诊断指标: AP 日志显示 RADIUS 服务器超时和重新传输。RADIUS 服务器未显示失败尝试的相应日志条目 - 请求在处理前就被丢弃了。在 RADIUS 服务器接口上进行 Wireshark 抓包,将显示端口 1812 上传入的 UDP 数据包被静默丢弃。

解决方案: 在认证器(AP/控制器配置)和 RADIUS 服务器(NAS 客户端配置)上验证并同步共享密钥。使用至少 32 个字符的强随机生成密钥。实施 RadSec(RADIUS over TLS),以便为云 RADIUS 部署消除共享密钥依赖。

故障模式 3:申请者配置文件配置错误

在 PEAP-MSCHAPv2 部署中,必须将客户端配置为针对受信任的 CA 验证 RADIUS 服务器的证书。如果禁用了证书验证 - 这是初始部署过程中的常见快捷方式 - 网络很容易受到流氓 AP 凭据收集攻击。如果信任了错误的 CA,或者服务器证书的 CN/SAN 与配置的服务器名称不匹配,则身份验证将失败。

诊断指标: 个别设备失败,而其他设备成功。RADIUS 日志显示 EAP-TLS 握手失败或 PEAP 隧道建立失败。在 Windows 上,操作日志中的 WLAN-AutoConfig 事件 ID 8001 或 8002 表示客户端侧失败。

解决方案: 通过 MDM(Microsoft Intune、Jamf 或同等工具)部署标准化的 WiFi 配置文件。确保配置文件中包含受信任的 CA 证书,并强制执行服务器证书验证。切勿在生产环境中禁用证书验证。

故障模式 4:网络传输问题(MTU 分片)

EAP-TLS 交换涉及完整证书链的传输,这可能会产生大型 RADIUS 数据包。如果验证器与云 RADIUS 服务器之间的 WAN 路径具有较低的 MTU(在某些 MPLS 或 SD-WAN 配置中很常见),这些数据包可能会被分片。许多防火墙和状态检测设备会丢弃分片的 UDP 数据包,导致 TLS 握手静默停滞。

诊断指标: 通过 WAN 连接的站点上的 EAP-TLS 身份验证会间歇性或持续失败,而具有本地 RADIUS 的站点则成功。数据包捕获显示 RADIUS Access-Request 数据包在 WAN 接口处被分片。当 RADIUS 服务器位于本地 LAN 上时,身份验证成功。

解决方案: 部署 RadSec(在 TCP 端口 2083 上基于 TLS 的 RADIUS)。TCP 原生处理分片和重传,从而完全消除此故障模式。或者,调整 WAN 接口上的 MTU,或在服务器上配置 RADIUS 分片参数。

故障模式 5:身份目录连接失败

RADIUS 服务器必须能够访问身份目录(Active Directory、LDAP、Azure AD)以验证凭据。DNS 故障、防火墙规则更改或域控制器宕机都将导致所有身份验证尝试失败,即使 RADIUS 服务本身运行正常也是如此。

诊断指标: RADIUS 服务器日志显示已收到身份验证尝试,但失败并显示 "Cannot contact the LDAP server"(无法联系 LDAP 服务器)或同等错误。NPS 事件 ID 6273,原因代码为 16 或 66。如果未显式监控目录连接,RADIUS 服务器自身的健康状况监控可能无法发现此问题。

解决方案: 针对 RADIUS 到目录的连接路径实施专用的健康状况监控。配置多个域控制器或 LDAP 副本作为故障转移目标。对于云 RADIUS 部署,确保在您的可用性监控中包含身份提供商集成(Azure AD Connect、LDAP 代理)。


实施指南

阶段 1:部署前验证

在大规模部署 802.1X 之前,请验证以下先决条件。跳过此阶段是导致部署后失败的主要原因。

首先,确认您的 RADIUS 服务器证书是由您资产中所有客户端设备平台都信任的 CA 颁发的。在 Windows 上,这意味着 CA 必须位于“受信任的根证书颁发机构”存储区中。在 iOS 和 Android 上,必须通过 MDM 配置文件显式分发 CA 证书。请勿在生产环境中使用自签名证书。

其次,验证所有验证器(AP 和交换机)与 RADIUS 服务器之间在 UDP 端口 1812 和 1813 上的网络连接。在部署到生产 SSID 之前,使用 RADIUS 测试客户端(例如 Linux 上的 radtest 或 Windows 上的 NPS 测试工具)来确认端到端身份验证。

第三,验证您的身份目录集成。确认 RADIUS 服务器可以针对您的目录执行 LDAP 绑定和组内成员身份查询。使用服务账户进行测试,并验证在 Access-Accept 响应中是否返回了预期的 VLAN 分配属性。

阶段 2:EAP 方法选择和证书策略

对于受管的公司设备,部署 EAP-TLS 并通过 MDM 分发客户端证书。这消除了凭据盗窃风险,并提供了最强大的身份验证态势。确保您的 MDM 平台配置为在过期前自动更新客户端证书。

对于包含非受管或 BYOD 设备的环境,PEAP-MSCHAPv2 是务实的选择。在所有客户端配置文件中强制进行服务器证书验证。切勿在禁用证书验证的情况下分发 WiFi 配置文件。

对于无法运行 802.1X 客户端的传统设备(物联网传感器、旧版 POS 终端),实施 MAC 地址验证绕过 (MAB) 作为备用方案。将 MAB 设备分配到具有显式防火墙规则的高度受限 VLAN 中,以此限制它们仅能访问其所需的网络服务。

阶段 3:部署与监控

采用分阶段的方法进行部署:先在 20 到 50 台设备的受控组中进行试点,验证身份验证日志,确认 VLAN 分配,并在扩展到整个资产之前验证计费记录。对于大型场馆部署 - 体育场、会议中心、酒店 - 这种分阶段的方法对于控制任何配置错误的影响范围至关重要。

实施对以下内容的持续监控:RADIUS 服务器证书过期(提前 90 天提醒)、RADIUS 服务器可用性和响应时间、按 SSID 和站点划分的身份验证成功/失败率,以及身份目录连接性。对于受监管审计约束的 医疗保健零售 环境,确保将 RADIUS 计费日志保留所需的时间(在 PCI-DSS 下通常为 12 个月)。 对于 交通运输 和大型公共场所部署,请考虑部署具有自动故障转移功能的多余 RADIUS 服务器。单个 RADIUS 服务器是整个网络准入控制基础设施的单点故障。


最佳实践

failure_diagnostic_flowchart.png

以下最佳实践源自 IEEE 802.1X、WPA3企业级规范、PCI-DSS v4.0 要求以及企业场馆部署的运营经验。

证书生命周期管理是最高优先级的运营控制。为所有 RADIUS 服务器证书实施自动化监控,并在过期前 90、60 和 30 天发出警报。对于 EAP-TLS 部署,通过您的 MDM 平台将此监控扩展到客户端证书群。证书过期是生产环境中 802.1X 部署导致大规模身份验证中断的首要原因。

RadSec 部署应作为任何 RADIUS 流量跨越公共互联网或广域网(WAN)的 802.1X 部署的默认设置。RadSec (RFC 6614) 将 RADIUS 封装在基于 TCP 的 TLS 中,从而提供传输安全性,消除 UDP 分片问题,并免除对共享密钥的依赖。大多数现代云 RADIUS 平台和企业级 AP 厂商都支持 RadSec。

MDM 强制客户端配置文件消除了请求方(supplicant)配置错误的最大单一来源。所有公司拥有的设备都应通过 MDM 接收其 WiFi 配置文件,而不是通过手动配置。配置文件必须包含受信任的 CA 证书,强制进行服务器证书验证,并指定正确的 EAP 方法和内部身份验证设置。

通过动态 VLAN 分配进行网络分段是符合 PCI-DSS 规范的强制性控制措施,也是零信任网络架构的基石。配置 RADIUS 授权策略,以便根据组群成员身份将用户分配到相应的 VLAN - 员工分配到企业 VLAN,访客分配到隔离的仅限互联网 VLAN,IoT 设备分配到受限的管理 VLAN。这限制了任何单一受损设备的波及范围。

RADIUS 计费日志保留提供了 PCI-DSS 需求 10 所需的审计追踪,并且对于安全事件后的取证调查至关重要。确保计费日志捕获会话开始/停止事件、用户身份、设备 MAC 地址、分配的 VLAN、会话持续时间和数据量。将 RADIUS 计费与您的 SIEM 集成,以进行实时异常检测。

对于在部署 802.1X 的同时部署 WiFi Analytics 的组织,单用户身份验证数据与分析的结合提供了一个强大的运营智能层 - 从而实现单会话级别的停留时间分析、容量规划和异常检测。


故障排除与风险缓解

快速分类框架

当报告 802.1X 身份验证失败时,第一个诊断问题决定了整个故障排除路径:这是影响单个用户/设备,还是影响网络上的所有用户?

如果故障同时影响所有用户,则根本原因几乎肯定在基础设施级别:RADIUS 服务器证书过期、RADIUS 服务器宕机、配置更改后共享密钥不匹配,或验证器与 RADIUS 服务器之间的连接故障。请首先检查 RADIUS 服务器可用性和证书有效性。

如果故障影响单个用户或设备,则根本原因几乎肯定在客户端级别:客户端证书过期(EAP-TLS)、客户端(supplicant)配置文件配置错误、凭据不正确或设备特定的软件问题。请首先检查客户端的证书存储和客户端(supplicant)配置。

诊断工具集

以下工具对于跨不同基础设施组件进行 802.1X 故障排除至关重要。

工具 平台 使用场景
NPS 事件日志(事件 ID 6272/6273) Windows Server RADIUS 身份验证成功/失败及原因代码
WLAN-AutoConfig 操作日志 Windows 客户端 客户端 EAP 交换失败
CAPI2 事件日志 Windows 客户端 证书验证失败
debug radius authentication Cisco IOS/WLC 验证器上的 RADIUS 交换调试
radiusd -X FreeRADIUS 包含 EAP 协商的完整调试输出
Wireshark(EAPOL 过滤器) 任何 客户端 EAP 帧数据包捕获
Wireshark(EAP 过滤器) 任何 服务器端 RADIUS 数据包捕获
radtest Linux 手动 RADIUS 身份验证测试

NPS 原因代码参考

Microsoft NPS 事件 ID 6273(身份验证失败)包含一个直接标识失败原因的原因代码。在运维中最重大的代码包括:

原因代码 描述 可能的根本原因
16 由于用户凭据不匹配,身份验证失败 密码错误、客户端证书过期或目录查询失败
22 客户端证书已过期或尚未生效 客户端证书过期 - 检查 MDM 证书更新
23 用户账户已过期 AD 账户过期 - 检查账户状态
48 连接请求与任何配置的策略都不匹配 RADIUS 策略配置错误 - 检查 NPS 网络策略
66 用户尝试使用匹配网络策略上未启用的身份验证方法 客户端与服务器之间的 EAP 方法不匹配

风险缓解:证书过期灾难

最常见且最可预防的 802.1X 停机是 RADIUS 服务器证书过期。2025 年 1 月,一家大型连锁零售店在周一凌晨 3:00 其 RADIUS 服务器证书过期时,经历了彻底的员工网络停机。到上午 9:00,45 家门店的 300 多个销售终端(POS)失去了网络连接。该证书在两年前部署,当时没有进行自动化监控,并且在团队重组期间遗漏了更新提醒。

缓解措施非常简单:实施与您的告警平台(PagerDuty、OpsGenie 或同等平台)集成的自动化证书过期监控。将告警阈值设置为 90、60 和 30 天。在 IT 运维指南中将证书更新指定为专人负责的职责。对于云 RADIUS 平台,请核实提供商是否代表您管理证书更新 - 这是托管服务与自建服务之间的关键区别。


投资回报率与业务影响

认证停机的成本

对于场所运营商而言,802.1X 认证失败会直接转化为可衡量的业务影响。在 酒店 环境中,员工网络停机会影响物业管理系统、销售终端和客户服务交付。在 零售 环境中,POS 终端认证失败会导致交易完全中断。在会议中心和体育场,高峰活动期间的认证失败会立即产生显眼的服务故障。

在一家拥有 200 间客房的酒店中,一次持续 30 分钟的认证停机 - 影响 PMS 访问、餐厅 POS 和礼宾台终端 - 通常会带来超过 £5,000 的直接运营中断成本,这甚至还未将客户体验影响和潜在的 SLA 罚款计算在内。

合规价值

对于符合 PCI-DSS v4.0 范围的组织,妥善部署的 802.1X 基础设施可直接满足多项要求:要求 1(网络访问控制)、要求 7(限制对系统组件的访问)、要求 8(识别用户并对访问进行认证)以及要求 10(记录并监控所有访问)。而替代方案 - 共享 PSK 网络 - 无法满足这四项要求,并会带来重大的审计合规风险。

对于受数据保护条例约束的公共部门组织和 医疗保健 部署,单用户认证和全面的记账日志提供了证明符合访问控制义务所需的审计轨迹。

衡量成功

正常运行的 802.1X 部署的关键绩效指标包括:认证成功率(目标 >99.5%)、平均认证时间(云 RADIUS 目标 <150ms)、证书过期事件(目标为零)以及 RADIUS 服务器可用性(目标 99.9%)。这些指标应当在您的网络管理平台中进行跟踪,并作为每月网络运营例会的一部分进行审查。 对于使用 WiFi Analytics 的组织,将 802.1X 单个用户会话数据与分析相结合,可提供额外的商业智能:准确的停留时间测量、设备类型分布和网络利用率模式,从而为容量规划和场所运营决策提供依据。

如需了解有关相关网络准入控制解决方案的更多信息,请参阅 2026 年 10 大最佳网络准入控制 (NAC) 解决方案Cisco 无线 AP:2026 年产品与部署指南 。对于学校和教育部署, 学校中的 WiFi:2026 年管理员与 IT 指南 涵盖了多用户教育环境中的 802.1X 实施。

关键定义

802.1X

IEEE 802.1X 是一种基于端口的网络访问控制标准,定义了在 OSI 模型第 2 层运行的身份验证框架。它会阻止来自设备的所有网络流量,直到 RADIUS 服务器使用 EAP 作为凭据交换协议对其进行肯定身份验证。它适用于有线以太网和无线 (WiFi) 网络。

IT 团队将 802.1X 视为 WPA2-Enterprise 和 WPA3-Enterprise SSID 的身份验证机制。它是实现单用户身份验证、动态 VLAN 分配以及符合 PCI-DSS 合规性所需的审核轨迹的标准。

RADIUS (Remote Authentication Dial-In User Service)

一种客户端 - 服务器网络协议 (RFC 2865),为网络访问提供集中的身份验证、授权和计费 (AAA) 管理。在 802.1X 部署中,RADIUS 服务器根据标识目录验证用户凭据,并将 Access-Accept 或 Access-Reject 响应返回给验证器。它通过 UDP 端口 1812(身份验证)和 1813(计费)运行。

RADIUS 服务器是 802.1X 中的决策组件。当身份验证失败时,RADIUS 服务器日志中会包含标识根本原因的代码。常见的实现包括 Microsoft NPS、FreeRADIUS 和云托管服务。

EAP (Extensible Authentication Protocol)

一个协议框架 (RFC 3748),定义了 802.1X 中使用的一组身份验证方法。EAP 本身不是一种身份验证方法,而是一个支持多种内部方法的容器,包括 EAP-TLS、PEAP-MSCHAPv2、EAP-TTLS 和 EAP-FAST。EAP 方法由客户端和 RADIUS 服务器之间协商确定;验证器在不解析 EAP 帧的情况下转发它们。

EAP 方法的选择决定了部署的安全状况和操作复杂性。EAP-TLS 需要 PKI 和 MDM 基础设施,但提供了最强大的安全性。PEAP-MSCHAPv2 部署更简单,但需要严格的证书验证以防止凭据窃取。

Supplicant

最终用户设备(笔记本电脑、智能手机、POS 终端)上启动 802.1X 身份验证交换的软件组件。在 Windows 上,客户端作为 WLAN AutoConfig 或 Wired AutoConfig 服务内置在 OS 中。在 iOS 和 Android 上,它通过设备的 WiFi 配置配置文件进行管理。

客户端(Supplicant)配置错误 - 特别是在 PEAP 部署中禁用了证书验证 - 是身份验证失败和安全漏洞最常见的原因之一。通过 MDM 标准化客户端配置是一项关键的操作控制。

Authenticator

在 802.1X 部署中实施基于端口的访问控制的网络设备(无线接入点或托管交换机)。验证器不做出身份验证决策 - 它作为申请方(使用 EAPOL)和 RADIUS 服务器(使用 RADIUS)之间的中继。在 RADIUS 服务器发出 Access-Accept 之前,它会阻止受控端口上的所有非 EAP 流量。

验证器(Authenticator)的配置 - 特别是 RADIUS 服务器的 IP/主机名、共享密钥和超时设置 - 是导致故障的常见原因。在基础设施更改后,务必验证验证器的 RADIUS 客户端配置是否与 RADIUS 服务器的 NAS 客户端配置相匹配。

EAPOL(LAN 上的 EAP)

用于在有线或无线介质上在申请方和验证方之间传输 EAP 帧的协议。EAPOL 帧是第 2 层帧(以太网类型 0x888E),不需要 IP 连接。验证方将 EAPOL 帧封装到 RADIUS 数据包中,以便转发到身份验证服务器。

EAPOL 在客户端的 Wireshark 捕获中可见。在无线数据包捕获中筛选 EAPOL 帧使工程师能够观察 EAP 交换并确定身份验证在哪个步骤失败。

RadSec(基于 TLS 的 RADIUS)

RADIUS 协议(RFC 6614)的扩展,它将 RADIUS 数据包封装在通过 TCP 端口 2083 的 TLS 隧道中。RadSec 为传输跨越不可信网络(例如从公共互联网到云 RADIUS 服务器)的 RADIUS 流量提供传输安全性,消除 UDP 分片问题,并消除数据包身份验证对共享密钥的依赖。

RadSec 是云 RADIUS 部署的推荐传输方式。它同时解决了两个常见的故障模式:导致 EAP-TLS 握手失败的 MTU 分片问题,以及跨分布式站点的共享密钥管理复杂性。

动态 VLAN 分配

一种 RADIUS 授权功能,允许 RADIUS 服务器根据用户的组群成员身份或设备类型,指示验证方将经过身份验证的设备放置在特定的 VLAN 上。RADIUS 服务器在 Access-Accept 响应中返回 VLAN 分配属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)。

动态 VLAN 分配是在 802.1X 部署中实施网络隔离的机制。它是满足 PCI-DSS 合规性(隔离持卡人数据环境)的强制性控制,也是零信任网络架构的基石。RADIUS 策略中配置错误的 VLAN 属性是导致用户在身份验证后被分配到错误网络段的常见原因。

MAC 身份验证绕过 (MAB)

一种后备身份验证机制,允许没有 802.1X 申请方的设备在 RADIUS 交换中使用其 MAC 地址作为用户名和密码进行身份验证。由于 MAC 地址可以被伪造,MAB 提供的安全保证极低,因此应仅用于确实无法支持 802.1X 的设备。

传统 IoT 设备、旧版 POS 终端和网络打印机通常需要 MAB。通过 MAB 进行身份验证的设备必须放置在具有明确防火墙规则的严格限制 VLAN 上。切勿将 MAB 用作可以支持 802.1X 设备的便利捷径。

NPS(网络策略服务器)

Microsoft 的 RADIUS 服务器实现,包含在 Windows Server 中。NPS 支持 PEAP-MSCHAPv2、EAP-TLS 和 EAP-TTLS,并与 Active Directory 本地集成以进行凭据验证。身份验证失败会作为事件 ID 6273(失败)和 6272(成功)记录到 Windows 安全事件日志中,并带有标识具体失败原因的因由代码。

NPS 是以 Windows 为中心的本地企业环境中最广泛部署的 RADIUS 服务器。NPS 服务器上的安全事件日志是此类环境中 802.1X 故障的主要诊断工具。确保为成功和失败事件均启用了 NPS 审核策略。

应用实例

一家拥有 12 家物业、450 间客房的酒店集团在所有站点部署了采用 PEAP-MSCHAPv2 的 WPA2 企业级,并在每个地点使用本地 Windows NPS 服务器。在网络基础设施升级后,IT 团队报告称,三个站点的员工无法通过公司 SSID 进行身份验证。Captive Portal 网络上的访客不受影响。受影响站点的 NPS 服务器正在运行,并且 Windows 安全事件日志显示事件 ID 为 6273,原因代码为 16。最可能的原因是什么,团队应如何解决?

NPS 事件 ID 6273 上的原因代码 16 表示由于凭据不匹配导致身份验证失败 - 但在影响多个站点的基础设施升级后停机的背景下,最可能的原因不是用户密码错误,而是新配置的接入点或无线控制器与 NPS 服务器之间的 RADIUS 共享密钥不匹配。

第 1 步:在其中一个受影响站点的 NPS 服务器上,导航至 RADIUS 客户端和服务器 > RADIUS 客户端,并验证为每个 AP 或无线控制器 IP 地址配置的共享密钥。将其与 AP/控制器上的 RADIUS 服务器配置进行比较。

第 2 步:如果共享密钥匹配,请检查 NPS 网络策略是否已正确配置为允许 PEAP-MSCHAPv2。导航至策略 > 网络策略,打开相关策略,并验证 Microsoft: Protected EAP (PEAP) 是否已被列为允许的身份验证方法,且内部方法为 EAP-MSCHAPv2。

第 3 步:如果策略正确,请检查 NPS 连接请求策略,以确认请求是否在本地处理(未转发到远程 RADIUS 服务器)。验证条件是否与来自新 AP 硬件的传入 RADIUS 属性相匹配。

第 4 步:在 AP/控制器上启用 RADIUS 计费调试,并验证 Access-Request 数据包是否正发送到正确的 NPS 服务器 IP 和端口 1812。如果没有请求到达 NPS 服务器,则问题出在验证器配置中,而不是 RADIUS 服务器中。

第 5 步:如果请求到达 NPS 但被拒绝并显示原因代码 16,且凭据确认正确,请检查是否可以从 NPS 服务器访问 Active Directory 域控制器。指向 DC 的 DNS 或连接性问题会导致 NPS 无法使用此原因代码验证凭据。

解决方案:在大多数升级后的场景中,根本原因是配置新 AP 硬件时引入了共享密钥不匹配。在所有 RADIUS 客户端和 NPS 服务器之间同步共享密钥。考虑迁移到 RadSec 以完全消除共享密钥管理。

考官评语: 此场景测试了在特定上下文中而非孤立地解释 NPS 原因代码的能力。原因代码 16 具有模糊性 - 它既涵盖凭据失败,也涵盖目录连接失败 - 但结合上下文(基础设施更新后、多个站点、访客未受影响)有力地指向了配置更改,而非凭据问题。关键的诊断见解是访客未受影响:Captive Portal 网络使用不同的身份验证路径,因此故障特定于 802.1X/RADIUS 路径。一种有条不紊的方法 - 从 RADIUS 服务器日志开始,向后追溯到验证器 - 比从最终用户凭据重置开始更有效率。迁移到 RadSec 的建议解决了在 12 个属性中进行大规模共享密钥管理的潜在运营风险。

一家拥有 85 家门店的大型零售连锁店部署了通过 Microsoft Entra ID(前称 Microsoft Intune 证书管理)管理的带有客户端证书的 EAP-TLS。在周一早上,IT 服务台收到大量来自门店经理的报告,称员工设备无法连接到企业 WiFi 网络。该问题同时影响所有门店。RADIUS 服务器日志显示具有“TLS Alert: certificate expired”(TLS 警报:证书已过期)消息的 Access-Reject 响应。RADIUS 服务器本身运行正常,且其自身的证书在接下来的 18 个月内有效。发生了什么情况,紧急修复路径是什么?

RADIUS 服务器日志中的“TLS Alert: certificate expired”消息,结合所有 85 家门店同时发生故障且 RADIUS 服务器证书有效的事实,表明部署到员工设备的客户端证书已过期。在 EAP-TLS 中,客户端和服务器都需要提供证书。如果客户端证书已过期,RADIUS 服务器将拒绝 TLS 握手并发出 Access-Reject。

紧急修复(0 - 2 小时):

步骤 1:通过检查受影响设备上的证书过期日期来确认诊断。在 Windows 上,打开 certmgr.msc,导航至 Personal > Certificates(个人 > 证书),并检查 WiFi 身份验证证书的过期日期。如果已过期,则确认了根本原因。

步骤 2:在 Microsoft Intune 中,导航至 Devices > Configuration Profiles(设备 > 配置配置文件),并找到用于 WiFi 身份验证的 SCEP 或 PKCS 证书配置文件。检查证书有效期和续订阈值设置。

步骤 3:如果证书配置文件配置为自动续订,请检查设备最近是否能够连接到 Intune 管理服务。如果设备处于离线状态或未注册,则可能未发生自动续订。

步骤 4:通过在 Intune 中触发设备同步来强制进行证书续订(Devices > All Devices > Sync)。对于无法连接到 WiFi 的设备,确保它们有备用连接路径(移动数据或有线以太网)以访问 Intune 服务进行续订。

步骤 5:作为证书续订期间的临时措施,考虑为受影响的门店创建一个临时的 PEAP-MSCHAPv2 SSID 以恢复运营能力。这应被视为临时过渡,而非永久解决方案。

长期预防:

将 Intune 证书配置文件配置为在证书剩余寿命的 20% 时进行续订(例如,对于 1 年期证书,在过期前大约 73 天进行续订)。针对带有证书过期原因代码的 RADIUS Access-Reject 事件实施 SIEM 警报。将证书过期监控加入到您的每月 IT 运营审查中。

考官评语: 此场景展示了最常见且在操作上最严重的 802.1X 故障模式:大规模客户端证书过期。关键的诊断线索是所有站点同时发生故障,以及 RADIUS 日志中特定的 "证书已过期" 错误。RADIUS 服务器证书有效这一事实立即将诊断范围缩小到客户端。该解决方案既需要立即进行修复(恢复连接),也需要进行根本原因分析(为什么自动更新失败)。临时回退到 PEAP 是一项务实的操作决策,应明确限制时间并记录在案。长期预防措施解决了系统性差距:证书生命周期管理必须被视为一流的操作流程,而不是事后才想到的事情。

练习题

Q1. 您的组织运营着一个拥有 60,000 个座位的体育场,在大厅、贵宾套房和后台区域部署了 800 个接入点。员工设备使用 EAP-TLS,其证书通过 Jamf 进行管理。在一场大型活动期间,多个区域内 15% 的员工设备报告身份验证失败。RADIUS 服务器日志显示 Access-Reject 响应。其余 85% 的员工正在正常进行身份验证。您的诊断方法是什么?最可能的根本原因是什么?

提示:局部失败模式(15% 的设备失败,而不是全部)是关键的诊断信号。重点关注是什么将失败的设备与成功的设备区分开来 - 设备型号、OS 版本、证书颁发日期或 Jamf 注册状态。

查看标准答案

部分失败的模式立即排除了基础设施层面的原因(RADIUS 服务器证书过期、共享密钥不匹配或服务器中断会影响所有设备)。根本原因几乎可以肯定是一部分客户端证书已过期或未能更新。

诊断方法:提取 RADIUS 服务器日志并过滤 Access-Reject 事件。记录失败设备的设备身份(证书 CN 或 MAC 地址)。在 Jamf 中,交叉引用这些设备与证书配置文件的部署状态。检查失败的设备是否具有相同的证书颁发日期 - 如果它们都是在同一批次中注册的,则它们可能具有相同的过期日期。

最可能的根本原因:同时颁发的一批客户端证书已到期。最近注册的设备具有有效的证书,并且正在正常进行身份验证。

解决方案:在 Jamf 中,识别受影响的设备并触发证书更新推送。确保将证书配置文件配置为具有适当的更新阈值(证书有效期的 20%)。对于由于无法进行身份验证而无法通过 WiFi 访问 Jamf MDM 服务的设备,在活动期间提供临时有线以太网连接或临时 PEAP SSID。活动结束后,针对具有证书过期原因代码的 RADIUS Access-Reject 事件实施 SIEM 警报,以防止再次发生。

Q2. 一家拥有 35 家门店的区域零售连锁店正在从本地 NPS 服务器迁移到云 RADIUS 服务。在三家门店进行试点期间,EAP-TLS 身份验证在两家门店正常工作,但在第三家门店间歇性失败。第三家门店通过 MPLS WAN 链路连接到云 RADIUS 服务。身份验证失败并不一致 - 有些尝试成功,有些失败。云 RADIUS 提供商确认服务运行状况良好,且日志显示有部分 Access-Request 数据包到达,但没有发送相应的 Access-Accept。最可能的原因是什么?

提示:在特定的 WAN 连接站点上出现间歇性失败,结合云 RADIUS 提供商看到部分而非全部数据包的情况,强烈表明是网络传输问题,而不是配置错误。

查看标准答案

在连接到 WAN 的站点上出现间歇性故障,且云 RADIUS 提供商发现数据包序列不完整,这是 MTU 分片的典型特征。EAP-TLS 证书链会产生较大的 RADIUS 数据包,这些数据包可能会超出 MPLS WAN 链路的 MTU。当这些数据包被分片时,云 RADIUS 服务器可能会收到第一个分片,但收不到后续分片,从而导致 TLS 握手停滞并最终超时。

诊断确认:在受影响门店的 WAN 接口上进行 Wireshark 抓包。过滤端口 1812 上的 UDP 流量。在 RADIUS 交互中寻找分片的 IP 数据包。比较成功门店与故障门店的数据包大小。

解决方案 1(首选):将受影响的站点迁移到 RadSec(TCP 端口 2083 上的 RADIUS over TLS)。TCP 本身支持分片和重传,可以彻底消除这种故障模式。大多数云 RADIUS 提供商和现代 AP 厂商都支持 RadSec。

解决方案 2:将受影响门店 WAN 接口上的 MTU 降低,以匹配 MPLS 路径 MTU,从而确保 RADIUS 数据包不被分片。这是一个不够优雅的解决方案,因为它会影响 WAN 链路上的所有流量。

解决方案 3:配置 RADIUS 服务器以使用更小的 TLS 记录大小,从而减少数据包分片。这是某些 RADIUS 实现中提供的一种服务器端配置选项。

长期建议:作为云 RADIUS 部署的一部分,将所有站点迁移到 RadSec。这消除了分片风险,加密了传输中的 RADIUS 流量,并消除了共享密钥管理的复杂性。

Q3. 一家会议中心的 IT 总监正计划进行网络升级,以支持针对员工的 WPA3-Enterprise 和 802.1X,以及针对活动代表的 Captive Portal。该场馆每年举办 200 多场活动,代表人数从 50 到 5,000 人不等。该 IT 团队的内部网络专业知识有限,且没有现有的 PKI 基础设施。该总监希望为员工实施 802.1X,但担心运营复杂性。应该推荐什么 EAP 方法?需要什么基础设施?需要减轻哪些关键运营风险?

提示:考虑运营限制:内部专业知识有限、没有现有的 PKI,以及需要一个能够可靠维护的解决方案。平衡安全要求与运营可行性。

查看标准答案

鉴于运营限制(内部专业知识有限且没有现有的 PKI),建议用于员工身份验证的 EAP 方法是 PEAP-MSCHAPv2,而不是 EAP-TLS。虽然 EAP-TLS 提供了卓越的安全保障,但它需要 PKI 基础设施和 MDM 平台来进行证书分发。在没有这些基础设施的情况下,部署 EAP-TLS 会带来重大的运营风险:证书过期管理将变成一个手动过程,且团队缺乏在压力下解决证书链问题的专业知识。

PEAP-MSCHAPv2 直接与 Active Directory(或 Azure AD)集成,仅需要服务器端证书,并且可由没有深厚 PKI 专业知识的团队进行日常运营管理。只要在所有客户端设备上严格强制执行服务器证书验证,这种安全折中就是可以接受的——这是防止通过恶意接入点进行凭据收集的不可协商的控制措施。

所需基础设施:云 RADIUS 服务(以避免本地服务器管理)、用于 RADIUS 服务的来自受信任公共 CA 的服务器证书、用于向员工设备部署 WiFi 配置文件的 MDM 解决方案(Microsoft Intune 或等效方案),以及作为身份目录的 Active Directory 或 Azure AD。

需要降低的关键运营风险:

  1. 客户端禁用证书验证:通过强制执行证书验证的 MDM 部署所有 WiFi 配置文件。切勿允许在员工设备上手动配置 WiFi 配置文件。

  2. RADIUS 服务器证书过期:设置带 90 天警报的自动化监控。对于云 RADIUS 服务,请验证提供商是否管理证书更新——这是一个关键的选择标准。

  3. 大型活动期间的容量:确保云 RADIUS 服务的大小适合峰值并发身份验证负载。在 5,000 名代表参加的活动期间,如果员工设备同时重新进行身份验证(例如,在网络重启后),RADIUS 服务必须能够处理这种突发流量。

  4. 访客/员工网络隔离:确保 Captive Portal 访客网络和 802.1X 员工网络处于独立的 VLAN 上,并具有适当的防火墙规则。如果任何员工网络设备处理付款卡数据,这是 PCI DSS 的要求。

继续阅读本系列

故障排除 Captive Portal 重定向:解决访客 WiFi 连接失败问题

当访客连接到您的 WiFi 但无法访问互联网时,原因几乎总是配置错误的 Captive Portal 重定向,而不是硬件故障。本指南为 IT 经理、网络架构师和 CTO 提供深入的技术参考,以诊断和解决完整的故障链:从系统级连接性探测和 HSTS 证书冲突,到 RADIUS 授权间隙和 DHCP 耗尽。它将每种故障模式映射到具体的修复方案,并展示了 Purple 的硬件无关云端覆盖层如何消除 Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks 和 Fortinet 部署中的这些问题。

阅读指南 →

公共 WiFi 故障排查:解决“已连接但无互联网连接”以及欢迎页面重定向失败问题

本权威技术参考指南解释了 Captive Portal 检测的底层机制,并详细介绍了导致访客 WiFi 无法连接的六种主要失效模式。它为 IT 经理和网络架构师提供了一个实用的故障排查框架,以解决 HTTP 重定向问题、DNS 冲突以及 MAC 随机化带来的挑战。

阅读指南 →

高密度无线网络上 DHCP 超时的十大原因

本权威技术参考指南确定了高密度无线网络上 DHCP 超时的十大原因,并提供了可操作的、与厂商无关的补救策略。该指南专为高级 IT 领导者、网络架构师和场馆运营总监设计,涵盖了深入的工程原理、分步实施工作流程和可衡量的业务成果。了解如何消除连接瓶颈并优化您的无线基础设施,从而在要求苛刻的企业环境中提供无缝的 WiFi 连接。

阅读指南 →