如何在常見的存取點平台（Cisco、Aruba、Ubiquiti）上設定 WPA2-Enterprise

如何在常見的基地台平台（Cisco、Aruba 和 Ubiquiti）上設定 WPA2-Enterprise Purple WiFi 智慧簡報 [引言 — 約 1 分鐘] 歡迎來到 Purple WiFi 智慧系列。我是您的主持人，今天我們將直奔主題，探討企業客戶最常詢問的主題之一：如何在三個部署最廣泛的基地台平台上設定 WPA2-Enterprise — Cisco、Aruba 和 Ubiquiti。 無論您是擁有 500 間客房的飯店集團的 IT 總監、全國連鎖零售商的網路架構師，還是會議中心營運商的 CTO，這場簡報都非常適合您。我們不打算只談理論，而是要帶您了解做出部署決策、正確執行並避免即使是經驗豐富的團隊也會踩到的陷阱所需知道的一切。 讓我們開始吧。 [技術深挖 — 約 5 分鐘] 首先，快速釐清一下什麼是 WPA2-Enterprise，因為市場上對於 WPA2-Personal 和 WPA2-Enterprise 仍存在令人驚訝的混淆 — 而這種區別對於合規性和風險態勢至關重要。 WPA2-Personal（大多數人熟悉的版本）使用單一預共用金鑰。網路上的每個人都使用相同的密碼。這對家用網路來說沒問題。但對於需要每位使用者身分驗證、稽核軌跡以及能夠立即撤銷存取權限的商業環境來說，這絕對是不可接受的。 WPA2-Enterprise 定義於 IEEE 802.1X 之下，它將該共用金鑰替換為個別的身分驗證交換。每個使用者或裝置都會提供自己的憑證（無論是使用者名稱和密碼、數位憑證還是權杖），並且這些憑證在授予網路存取權限之前會由 RADIUS 伺服器進行驗證。基地台本身永遠看不到憑證。它純粹扮演驗證器的角色，在用戶端和 RADIUS 伺服器之間傳遞 EAP（可延伸驗證通訊協定）交換。這是一種從根本上更安全的架構，也是任何處理付款卡資料的環境中符合 PCI DSS 合規性的基本要求，同時也是 GDPR 強烈建議在無線網路上處理個人資料的組織所採用的標準。 現在，讓我們來談談這三個平台。 首先從 Cisco 開始。Cisco 的企業級 WiFi 產品組合（主要是 Catalyst 和 Meraki 系列）是大型部署的既定首選。Cisco DNA Center 提供集中式策略管理，而 Meraki 儀表板則為分散式資產提供雲端管理的便利性。要在 Cisco Catalyst 存取點上設定 WPA2-Enterprise，您需要透過 WLC（無線區域網路控制器）或 DNA Center 進行操作。關鍵步驟包括：在「安全性」下的「AAA」，然後在「RADIUS 驗證伺服器」中定義您的 RADIUS 伺服器；建立新的 WLAN 設定檔；將安全性策略設定為 WPA2，並將 802.1X 作為金鑰管理方法；然後將 RADIUS 伺服器與該 WLAN 綁定。關於 Cisco 的一個關鍵點：請確保您同時設定了 RADIUS 計費（accounting）與驗證。計費功能可提供合規性框架所需的每工作階段稽核軌跡。在 Meraki 上，此過程更加簡單：導覽至「無線」，然後至「SSIDs」，選擇您的目標 SSID，將安全性設定為「搭配我的 RADIUS 伺服器的 WPA2-Enterprise」，然後輸入您的 RADIUS 伺服器 IP、連接埠（通常驗證為 1812，計費為 1813）以及共用金鑰。Meraki 還支援直接從儀表板進行 RADIUS 測試，這在啟用階段非常有用。 接下來是 Aruba。Aruba Networks（現為 HPE 旗下品牌）是旅宿業和高等教育機構的主流選擇。Aruba Central 提供雲端管理，而 ArubaOS 則是底層平台。在 Aruba 上，WPA2-Enterprise 設定位於 SSID 設定檔中。您需要定義一個引用您的 RADIUS 伺服器的 AAA 設定檔，然後將該 AAA 設定檔附加到您的虛擬 AP 設定檔。Aruba 的 ClearPass Policy Manager 在此特別值得一提，它是 Aruba 自家的 RADIUS 和策略引擎，在裝置分析、角色型存取控制和訪客上網引導方面增添了強大功能。如果您執行的是混合環境，其中員工、承包商和訪客都連線到相同的基礎設施，ClearPass 可提供策略細緻度來對他們進行適當的區隔。對於在員工和後勤網路部署 WPA2-Enterprise，同時透過像 Purple 這樣的平台執行獨立訪客 WiFi 解決方案的飯店而言，Aruba 的 SSID 區隔結合用於員工驗證的 ClearPass 是一個非常乾淨俐落的架構。 現在來談談 Ubiquiti。Ubiquiti 的 UniFi 平台在中小企業和中階市場（以及越來越多的精品飯店與零售業）中獲得了極大的青睞，原因在於其具競爭力的價格定位和真正強大的管理介面。UniFi Network Controller 是您進行核心配置的地方。若要在 UniFi 上設定 WPA2-Enterprise，請導覽至 Settings（設定），然後點選 WiFi，建立或編輯您的 SSID，將安全性設定為 WPA2 Enterprise，並設定您的 RADIUS 設定檔——同樣需要輸入 IP 地址、驗證連接埠 1812、計費連接埠 1813 以及共用金鑰。關於 Ubiquiti 的一個重要考量是：它並不像某些企業級平台那樣內建 RADIUS 伺服器。您需要一個外部 RADIUS 伺服器——無論是 Windows Server NPS、FreeRADIUS 還是雲端 RADIUS 服務。這本身並不是一個限制，但這是一個需要提前規劃的依賴關係。對於較小規模的部署，UniFi Network Application 確實包含一個基礎的 RADIUS 伺服器，但對於生產環境，我一律建議使用專用的 RADIUS 執行個體。 在這三個平台中，EAP 方法的選擇都值得特別注意。PEAP 搭配 MSCHAPv2 是部署最廣泛的方法，因為它可以使用 Active Directory 認證，而不需要用戶端憑證。EAP-TLS 更為安全——它使用雙向憑證驗證——但它需要 PKI 基礎架構並將憑證部署到每個用戶端裝置，這會增加營運開銷。對於大多數企業部署而言，採用 PEAP-MSCHAPv2 搭配設定正確的 RADIUS 伺服器以及用戶端憑證驗證，是安全性和營運管理便利性之間的最佳平衡點。 [實作建議與常見陷阱 — 約 2 分鐘] 現在，讓我為您說明我在 WPA2-Enterprise 部署中看過最常見的三種失敗模式，以及如何避免它們。 第一：RADIUS 伺服器的可用性。您的 RADIUS 伺服器現在處於每次無線驗證的關鍵路徑上。如果它斷線，所有人都無法連線。這意味著您需要 RADIUS 備援——至少在每個存取點上設定主要和次要的 RADIUS 伺服器。大多數平台都原生支援此功能。在 Cisco 上，您可以設定具有容錯移轉功能的 RADIUS 伺服器群組。在 Aruba 上，AAA 設定檔支援多個 RADIUS 伺服器，並可自訂重試與逾時值。在 Ubiquiti 上，您可以在 RADIUS 設定檔中指定次要 RADIUS 伺服器。請務必執行此步驟。 第二點：憑證驗證。在我審查的部署中，有高到令人震驚的比例，其用戶端裝置被設定為接受任何 RADIUS 伺服器憑證。這完全破壞了安全模型——它會讓您暴露在邪惡雙生（evil twin）攻擊中，惡意存取點會偽裝成您的網路並竊取憑證。請從受信任的 CA 設定您的 RADIUS 伺服器憑證，並設定您的用戶端 supplicant 來驗證該憑證。在 Windows 上，這是透過群組原則完成的。在 iOS 和 Android 上，則是透過 MDM 設定檔處理。對於任何處理敏感資料的環境，這都是不容妥協的。 第三點：VLAN 分配。WPA2-Enterprise 支援動態 VLAN 分配——RADIUS 伺服器可以在 Access-Accept 訊息中傳回 VLAN 屬性，根據每個已驗證使用者的身分或角色，將其放入適當的網路區段中。這是 802.1X 架構中最強大的功能之一，但經常未被設定。如果您的場域在同一個實體基礎設施上同時有員工、管理階層和 IoT 裝置，動態 VLAN 分配就是您在不管理多個 SSID 的情況下，強制執行網路區隔的方法。 在 Purple 整合方面：如果您正在為員工和營運網路部署 WPA2-Enterprise，並執行 Purple 的訪客 WiFi 平台以提供訪客連線，這兩個系統可以乾淨地共存。Purple 負責處理訪客驗證、資料收集和分析層——包括場域營運商用於營運決策的 WiFi 分析和客流量情報——而您的 WPA2-Enterprise 基礎設施則負責保護企業網路的安全。關鍵在於存取點層級的乾淨 SSID 和 VLAN 隔離，這三種平台都支援此功能。 [快速問答 — 約 1 分鐘] 讓我快速解答幾個經常出現的問題。 我可以在相同的存取點上執行 WPA2-Enterprise 和訪客網路嗎？是的，絕對可以。這三種平台都支援每個無線電頻段有多個 SSID，且每個 SSID 都具有獨立的安全原則。您的企業 SSID 執行 WPA2-Enterprise；您的訪客 SSID 則可以透過 Purple 的 Captive Portal 執行，並進行適當的隔離。 我需要更換現有的存取點才能部署 WPA2-Enterprise 嗎？幾乎肯定不需要。企業級存取點支援 WPA2-Enterprise 已經超過十年了。如果您的硬體使用時間少於八年且執行目前的韌體，它就會支援 802.1X。 WPA2-Enterprise 和 WPA3-Enterprise 有什麼區別？WPA3-Enterprise 使用 Suite B 密碼學新增了 192 位元安全模式，這與政府和國防環境相關。對於大多數商業部署，採用強大 EAP 方法的 WPA2-Enterprise 仍然是標準。WPA3 轉移值得在新的部署中進行規劃，但對大多數組織來說，這並不是一項緊急的遷移。雲端 RADIUS 是一個可行的選擇嗎？是的，而且越來越可行。像是雲端中的 Cisco ISE、作為服務的 Aruba ClearPass，或是 JumpCloud 和 Foxpass 等第三方選項，都將 RADIUS 作為託管服務提供，從而消除了基礎架構的開銷。對於分散式資產（例如擁有 200 個據點的零售連鎖店），雲端 RADIUS 可以顯著降低營運複雜性。 [摘要與後續步驟 — 大約 1 分鐘] 總結來說：WPA2-Enterprise 是任何企業無線部署不可妥協的基準。Cisco、Aruba 和 Ubiquiti 的設定流程都遵循相同的基本模式 — 定義您的 RADIUS 伺服器、使用 802.1X 金鑰管理建立您的 SSID、選擇您的 EAP 方法，並在正式上線前進行測試。其差異僅在於管理介面以及每個平台周邊的生態系統工具。 必須做對的三件事：RADIUS 備援、用戶端上的憑證驗證，以及動態 VLAN 分配。做好這三件事，您就能擁有穩固、合規且可稽核的無線安全態勢。 關於您的後續步驟：如果您正在評估平台，請使用隨附指南中的廠商比較框架。如果您已準備好進行部署，每個平台的逐步設定演練皆在實作章節中。如果您正在思考訪客 WiFi 如何與您的企業網路並存，Purple 平台文件詳細介紹了整合架構。 感謝您的收聽。我們在下一次簡報中再見。