跳至主要內容
繁體中文

如何設定 802.1X WiFi 驗證:逐步指南

本技術指南提供設定 802.1X 企業級 WiFi 驗證的逐步說明。內容涵蓋 RADIUS 伺服器設定、憑證部署,以及針對高人流量場所 IT 主管的實用部署策略。

📖 5 分鐘閱讀📝 1,126 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
如何設定 802.1X WiFi 驗證:逐步指南 Purple 企業級 WiFi 智慧播客 [INTRODUCTION — 預估 1 分鐘] 歡迎回來。今天我將以資深解決方案架構師的身分發言。如果您正在收聽本期節目,您可能正準備著手一個涉及 802.1X 驗證的網路安全專案——這可能是因為您的合規團隊提出了要求、您的保險公司詢問過相關事宜,或者您剛剛接管了一個運行在共用 PSK 上的網路,而您深知這已不再安全。 那麼,讓我們直接進入正題。802.1X 是用於基於連接埠之網路存取控制的 IEEE 標準。它是企業級 WiFi 安全的骨幹——這種機制可確保在連接到您網路的每個裝置傳輸任何位元組的流量之前,都已獲得明確的身分識別與授權。對於根據 PCI DSS 處理付款卡資料的組織、根據 GDPR 和 NHS 資料安全標準運作的醫療保健環境,坦白說,對於任何運行多個無線基地台的組織而言,這都是正確的架構。 在接下來的十分鐘內,我將帶您了解技術架構、RADIUS 設定、憑證部署,以及在實際應用中可能變得複雜的真實場景。我們開始吧。 [TECHNICAL DEEP-DIVE — 預估 5 分鐘] 好的,802.1X 架構包含三個元件。首先是要求者(Supplicant)——也就是用戶端裝置,例如筆記型電腦、手機、IoT 感測器。接著是驗證者(Authenticator)——也就是您的無線基地台或網路交換器,有時也被稱為 NAS(網路存取伺服器)。最後是驗證伺服器(Authentication Server)——在企業部署中幾乎無一例外地是 RADIUS 伺服器。 以下是握手運作的方式。當裝置嘗試連線到受 802.1X 保護的 SSID 時,無線基地台不會直接放行。相反地,它會開啟一個稱為受控連接埠(Controlled Port)的通道——這是一個僅傳輸 EAP(擴充驗證協定)流量的受限通道。AP 向裝置發送 EAP-Request Identity。裝置回應其身分。接著,AP 將該回應封裝在 RADIUS Access-Request 封包中,轉發給 RADIUS 伺服器。RADIUS 伺服器執行驗證——根據 Active Directory、憑證存放區或您設定的任何身分識別後端檢查憑證——並傳回 Access-Accept 或 Access-Reject。只有在收到 Accept 時,AP 才會開啟完整的資料連接埠,並將裝置分配到適當的 VLAN。 現在,您在此處選擇的 EAP 方法至關重要。在企業部署中,您會遇到以下五種方法。 EAP-TLS 是黃金標準。用戶端和伺服器雙方都需要出示 X.509 憑證。這不涉及任何密碼。這是最安全的選項,也是最高級別 PCI DSS 合規性所要求的選項。缺點是您需要一個完整的 PKI(公開金鑰基礎架構)來核發和管理用戶端憑證。這意味著需要憑證授權單位(CA)、憑證生命週期管理,以及將憑證推送到每個裝置的機制。對於擁有 Microsoft Active Directory 和 Active Directory 憑證服務的組織而言,這非常容易實現。但對於沒有該基礎架構的組織,這是一筆重大的投資。 PEAP-MSCHAPv2 是實際應用中部署最廣泛的方法。它僅使用伺服器端憑證建立 TLS 通道,然後在該通道內傳輸使用者名稱和密碼憑證。它幾乎與開箱即用的所有裝置相容,透過 Windows Server 上的 NPS 直接與 Active Directory 整合,且不需要用戶端憑證。權衡之處在於,如果使用者被誘騙連線到惡意 AP,它很容易受到憑證竊取攻擊——因為用戶端預設不會驗證伺服器憑證。您必須在要求者設定檔中強制執行伺服器憑證驗證。 EAP-TTLS 與 PEAP 類似,但在內部驗證方法上更具彈性。這在 Linux 環境以及需要支援舊版驗證後端的場景中很常見。 EAP-FAST 是 Cisco 針對 LEAP 的弱點而開發的。它使用受保護的存取憑證(PAC)而非憑證。如果您處於高度依賴 Cisco 的環境中,或者需要處理無法支援其他方法的舊版裝置,這才比較相關。 EAP-SIM 和 EAP-AKA 用於電信級部署——例如 OpenRoaming 或 Passpoint——其中驗證與 SIM 卡或 USIM 綁定。這些對於公共場所 WiFi 越來越重要,因為您希望在沒有 Captive Portal 的情況下實現無縫、安全的配置。 現在我們來談談 RADIUS 設定。無論您部署的是 Microsoft NPS、FreeRADIUS、Cisco ISE 還是 Aruba ClearPass,核心設定步驟都是相同的。 第一步,定義您的 RADIUS 用戶端——這些是您的無線基地台或無線區域網路控制器。每個用戶端都使用其 IP 地址和共用金鑰進行註冊。該共用金鑰用於驗證 AP 與伺服器之間的 RADIUS 訊息。請使用至少 22 個字元、隨機產生且每個 NAS 裝置唯一的金鑰。 第二步,設定您的網路原則。您在此處定義誰可以存取什麼。以 NPS 的術語來說,您正在建立一個符合條件(Active Directory 中的群組成員資格、裝置類型、當天時間)並分配屬性(VLAN ID、工作階段逾時、頻寬限制)的網路原則。您最常使用的 RADIUS 屬性是 VLAN 分配,具體而言是將 Tunnel-Type 設定為 VLAN,將 Tunnel-Medium-Type 設定為 802,並將 Tunnel-Private-Group-ID 設定為您的 VLAN 編號。 第三步,設定您的連線要求原則。這會告訴 NPS 如何處理傳入的 RADIUS 請求——是在本機進行驗證,還是轉發到另一台 RADIUS 伺服器。在分散式部署中,您可能在每個站點都設有 NPS 代理伺服器的中央 RADIUS 伺服器。 在憑證方面,對於 PEAP 和 EAP-TLS,您的 RADIUS 伺服器需要一個受您用戶端信任的伺服器憑證。最簡單的方法是使用來自公用 CA(DigiCert、Sectigo、Let's Encrypt)的憑證——因為這些根憑證已被所有主要作業系統信任。如果您使用的是內部 CA,則需要透過群組原則或您的 MDM 平台將根憑證推送到所有用戶端裝置。 特別是對於 EAP-TLS,您還需要用戶端憑證。在 Active Directory 環境中,您可以使用 ADCS 透過群組原則自動註冊,將憑證推送到已加入網域的裝置。對於 BYOD 裝置,您可以使用您的 MDM(Intune、Jamf、VMware Workspace ONE)來推送憑證和 WiFi 設定檔。 在無線基地台方面,設定非常簡單。您建立一個新的 SSID,將安全性設定為 WPA2-Enterprise 或 WPA3-Enterprise,將 RADIUS 驗證伺服器指向 UDP 連接埠 1812 上的 NPS IP,在 UDP 連接埠 1813 上設定 RADIUS 計費伺服器,輸入共用金鑰,並啟用動態 VLAN 分配(如果您正在使用它)。大多數企業級 AP 平台(Cisco Meraki、Aruba、Ruckus、Extreme)都有一個圖形化介面,一旦您的 RADIUS 伺服器準備就緒,設定大約需要十分鐘。 [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — 預估 2 分鐘] 好的,我們來談談部署最容易出錯的地方,因為這正是展現我顧問價值的地方。 最常見的失敗點是憑證驗證。我見過許多組織在伺服器端正確部署了 PEAP-MSCHAPv2,但卻將用戶端要求者設定檔設定為接受任何憑證。這完全破壞了安全模型。每個要求者設定檔——無論是透過群組原則還是 MDM 推送——都必須指定信任的根 CA 和預期的伺服器名稱。否則,您將容易受到邪惡雙生攻擊。 第二個常見問題是 RADIUS 共用金鑰管理。我見過有些生產網路在運行時,共用金鑰仍設定為「radius」或廠商預設值。這些金鑰是您驗證基礎架構的關鍵。請隨機產生它們,將其儲存在金鑰管理器中,並定期輪換。 第三:VLAN 設定錯誤。動態 VLAN 分配功能強大——它允許您將員工裝置放在企業 VLAN 上,將承包商放在受限 VLAN 上,並將 IoT 裝置放在隔離的 VLAN 上,而這一切都來自同一個 SSID。但是,如果 RADIUS 屬性設定不正確,或者交換器 Trunk 連接埠沒有承載正確的 VLAN,裝置將無法連線或進入錯誤的區段。在投入生產環境之前,請在實驗室中對此進行徹底測試。 第四:備援。您的 RADIUS 伺服器現在是關鍵的基礎架構。如果它關機,就沒有人能連線。您在每個 AP 上至少需要設定一個主要和次要 RADIUS 伺服器。在大型部署中,請考慮使用具有健康監測功能的 RADIUS 代理叢集。 第五,這是針對旅宿和零售環境的特定建議:訪客與企業網路的隔離。您的 802.1X 企業 SSID 和您的訪客 WiFi SSID 應該完全隔離——不同的 VLAN、不同的防火牆原則、不同的 DNS。像 Purple 這樣的平台透過其專屬的 Captive Portal 和分析層來處理訪客端,而您的 802.1X 基礎架構則處理企業端。這些是互補而非競爭的系統。 [RAPID-FIRE Q&A — 預估 1 分鐘] 讓我快速解答一些我最常被問到的問題。 我可以在雲端管理的 AP 平台上運行 802.1X 嗎?可以——Meraki、Aruba Central 和 Ruckus Cloud 都支援。您在雲端控制面板中設定 RADIUS 伺服器詳細資訊,AP 會處理 EAP 代理。 我需要 Active Directory 嗎?不需要。FreeRADIUS 可以針對 LDAP、SQL 資料庫、純文字檔案甚至 REST API 進行驗證。但透過 NPS 進行 AD 整合是目前最常見的企業途徑。 不支援 802.1X 的 IoT 裝置該怎麼辦?使用 MAC 驗證略過(MAB)作為備用方案。裝置的 MAC 地址會作為使用者名稱和密碼發送到 RADIUS。它不如 EAP 安全,但它允許您在將 IoT 裝置保持在受限 VLAN 的同時對其進行配置。 802.1X 可以與 WPA3 搭配使用嗎?可以。WPA3-Enterprise 本質上就是具有 802.1X 驗證的 WPA3。它增加了更強的加密功能——在高度安全模式下為 192 位元——是新部署的推薦標準。 [SUMMARY AND NEXT STEPS — 預估 1 分鐘] 總結來說:802.1X 不是可有可無的。對於任何處理敏感資料、處理付款或在受監管環境中營運的組織而言,它是企業級 WiFi 安全的基準。其架構已非常成熟,工具也已完善,部署路徑非常清晰。 從選擇您的 EAP 方法開始——如果您需要快速見效和廣泛的相容性,請選擇 PEAP-MSCHAPv2;如果您擁有 PKI 基礎架構並需要最強的安全防護,請選擇 EAP-TLS。在動用任何 AP 之前,先設定好您的 RADIUS 伺服器並做好備援。在正式上線前,透過群組原則或 MDM 推送您的要求者設定檔。並保持您的訪客 WiFi 完全獨立——為該層級使用專門建置的平台。 如果您營運的是多場所環境——酒店、零售連鎖店、體育場館——複雜性會隨著站點數量而增加,但架構不會改變。關鍵在於具有站點本地備援的集中式 RADIUS,以及在您的裝置群中保持一致的、透過 MDM 推送的要求者設定檔。 感謝您的收聽。完整的書面指南、架構圖和設定檢查清單可在 purple.ai 取得。如果您正在規劃 802.1X 部署並希望討論您環境的具體細節,請直接與 Purple 團隊聯絡。

header_image.png

執行摘要

對於企業網路而言,共用 PSK(預先共用金鑰)已不足以保護企業基礎設施的安全。隨著企業面臨更嚴格的合規性要求(PCI DSS、GDPR)以及不斷擴大的攻擊面,過渡到 802.1X 驗證已成為至關重要的安全任務。

本指南提供了一個實用且不限特定廠商的部署逐步說明,用於在企業存取點上設定 802.1X。我們涵蓋了核心架構——Supplicant、Authenticator 和 Authentication Server,以及憑證管理、RADIUS 設定和常見的部署陷阱。對於在零售、餐旅或公共部門環境中營運的 IT 經理和網路架構師,此參考指南提供了實施強大、基於身分的網路存取控制所需的具體步驟,同時保持企業和訪客流量的嚴格隔離。

請收聽下方的隨附播客簡報,獲取 10 分鐘的架構和實施策略概述。

技術深度剖析:802.1X 架構

IEEE 802.1X 標準定義了基於連接埠的網路存取控制。在無線網路環境中,它會阻止用戶端裝置傳送或接收數據流量,直到該裝置成功通過中央目錄的驗證。

architecture_overview.png

三大核心組件

  1. The Supplicant(用戶端裝置):筆記型電腦、智慧型手機或 IoT 裝置上請求存取的軟體。它必須支援所選的 EAP(可延伸驗證通訊協定)方法。
  2. The Authenticator(存取點 / WLC):充當守門人的網路裝置。它會開啟一個「受控連接埠」,在驗證成功之前僅允許 EAP 流量通過。
  3. The Authentication Server(RADIUS):驗證身分存放庫(如 Active Directory)憑證並傳回 Access-Accept 或 Access-Reject 訊息的中央伺服器(例如 Microsoft NPS、FreeRADIUS、Cisco ISE)。

EAP 方法:選擇合適的安全層級

EAP 方法的選擇決定了您的安全層級和部署複雜性。

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security):黃金標準。需要伺服器和用戶端憑證。不傳輸密碼。對於高安全要求的環境至關重要,但需要完整的公開金鑰基礎建設 (PKI)。
  • PEAP-MSCHAPv2 (Protected EAP):最常見的企業部署。使用伺服器端憑證建立安全的 TLS 通道,用戶端在該通道內傳送使用者名稱和密碼。部署較容易,但如果用戶端裝置未設定為嚴格驗證伺服器憑證,則容易受到憑證竊取的攻擊。
  • EAP-SIM/AKA:利用 SIM 卡憑證進行驗證。對於在 交通運輸 樞紐和大型公共場所中進行無縫上網引導越來越重要。

實施指南:逐步設定

部署 802.1X 需要在 RADIUS 伺服器、存取點和用戶端裝置之間進行協調設定。

步驟 1:RADIUS 伺服器準備

無論您使用的是 Microsoft 網路原則伺服器 (NPS) 還是其他替代方案,核心原則都是相同的。

  1. 定義 RADIUS 用戶端:在您的 RADIUS 伺服器中註冊每個存取點(或無線區域網路控制器)。分配一個強大的、隨機產生的共用密鑰(最少 22 個字元),以確保 AP 與 RADIUS 伺服器之間的通訊安全。
  2. 安裝伺服器憑證:對於 PEAP 或 EAP-TLS,在 RADIUS 伺服器上安裝 X.509 憑證。使用來自受信任的公共憑證授權單位 (CA) 的憑證可以簡化 BYOD 環境的部署,因為根憑證已被用戶端作業系統所信任。

步驟 2:原則設定

設定您的網路原則,以根據身分規定存取權限。

  1. 連線要求原則:定義 RADIUS 伺服器如何處理傳入的要求。通常,這涉及比對 NAS-Port-Type(無線 - IEEE 802.11)並在本地驗證要求。
  2. 網路原則:將 Active Directory 群組對應到網路存取權限。例如,將「網域電腦」群組對應到企業 VLAN。使用 RADIUS 屬性(Tunnel-Type=VLANTunnel-Medium-Type=802Tunnel-Private-Group-ID=[VLAN_ID])在驗證成功後動態分配 VLAN。

步驟 3:存取點設定

在您的無線基礎設施(例如 Meraki、Aruba、Cisco)上設定 SSID。

  1. 建立一個新的 SSID 並選擇 WPA2-EnterpriseWPA3-Enterprise
  2. 輸入您的主要和次要 RADIUS 伺服器的 IP 位址。
  3. 輸入在步驟 1 中定義的共用密鑰。
  4. 如果您的 RADIUS 伺服器正在推送 VLAN 屬性,請啟用動態 VLAN 分配

步驟 4:用戶端 Supplicant 佈署

這是最關鍵且最常被忽視的步驟。不要依賴使用者手動設定其裝置。

  • 企業裝置:使用群組原則物件 (GPO) 或您的行動裝置管理 (MDM) 平台來推送 Wi-Fi 設定檔。該設定檔必須指定受信任的根 CA 和您 RADIUS 伺服器的確切伺服器名稱,以防止邪惡雙生仔 (Evil Twin) 攻擊。
  • BYOD:實施引導入口網站或 MDM 解決方案,以將安全設定檔推送給員工—自有設備。

最佳實踐與產業標準

為確保部署穩健,請遵循以下架構最佳實踐:

  1. 嚴格的憑證驗證:絕不允許用戶端盲目接受任何伺服器憑證。這是 PEAP 憑證竊取的主要管道。
  2. 隔離訪客流量:您的 802.1X 基礎架構是供企業內部存取使用。訪客流量必須保持完全隔離。部署專用的 Guest WiFi 平台,並配備其專屬的 Captive Portal 和分析層。正如我們在 透過強大的 DNS 與安全性保護您的網路 指南中所討論的,邏輯隔離是網路防禦的根本。
  3. 實施備援機制:RADIUS 是一項關鍵路徑服務。請部署主要與次要 RADIUS 伺服器。在大型 零售 連鎖店等分散式環境中,請考慮部署本地 RADIUS 代理,以便在 WAN 連線中斷時維持生存能力。

疑難排解與風險緩釋

當部署失敗時,通常歸因於以下幾種常見的設定錯誤:

  • RADIUS 逾時錯誤:通常是由於 AP 與 RADIUS 伺服器之間的共用金鑰(Shared Secret)不匹配,或是防火牆規則阻擋了 UDP 連接埠 1812(驗證)和 1813(計費)所致。
  • 用戶端遭拒:請檢查 RADIUS 事件記錄(例如:Windows 事件檢視器 -> 自訂檢視 -> 伺服器角色 -> 網路原則與存取服務)。尋找事件識別碼 6273。常見原因包括用戶端憑證過期,或用戶端無法信任伺服器的憑證鏈結。
  • VLAN 指派失敗:如果驗證成功但用戶端未取得 IP 位址,請確認連接到 AP 的交換器連接埠已設定為 Trunk 連接埠,並允許動態指派的 VLAN 通過。

投資報酬率(ROI)與業務影響

實施 802.1X 可帶來顯著的營運與安全 ROI:

  • 風險緩釋:消除因單一 PSK 遭破解而導致整個企業網路受駭的風險,直接支援 PCI DSS 和 GDPR 合規工作。
  • 營運效率:集中化存取控制。當員工離職時,停用其 Active Directory 帳戶即可立即撤銷其 WiFi 存取權限。無需在整個企業中輪替 PSK。
  • 網路能見度:提供精細的能見度,確切掌握在網路上以及他們使用的是什麼設備,從而實現更好的容量規劃和威脅獵捕。

對於體育場館或 旅宿餐飲 場所等複雜、高密度的環境,同時管理企業安全與訪客存取極具挑戰性。透過使用 802.1X 保護企業資產,並利用強大的 WiFi Analytics 平台處理訪客流量,IT 主管可以提供安全、具擴充性的連線服務,同時滿足企業與客戶的需求。如需了解管理高密度環境的深入見解,請參閱我們的 動物園與主題樂園 WiFi:高人流量場域連線指南

關鍵定義

802.1X

一種用於基於連接埠之網路存取控制的 IEEE 標準,為希望連接到 LAN 或 WLAN 的裝置提供驗證機制。

企業級 WiFi 安全的基礎協定,取代了易受攻擊的共用密碼。

Supplicant

請求存取網路的用戶端裝置或軟體應用程式。

IT 團隊必須透過 MDM 管理要求者(Supplicant)設定,以確保安全連線。

Authenticator

透過在要求者(Supplicant)和驗證伺服器之間充當代理,來促進驗證過程的網路裝置(無線基地台或交換器)。

設定了 RADIUS 伺服器 IP 和共用金鑰,以安全地轉發 EAP 流量。

RADIUS

遠端使用者撥入驗證服務(Remote Authentication Dial-In User Service);一種提供集中式驗證、授權和計費(AAA)管理的網路協定。

後端伺服器(如 Microsoft NPS),實際根據目錄驗證使用者的憑證。

EAP (Extensible Authentication Protocol)

一種常用於無線網路和點對點連線的驗證架構,支援多種驗證方法。

要求者(Supplicant)與 RADIUS 伺服器之間溝通的「語言」。

EAP-TLS

一種使用傳輸層安全(TLS)的 EAP 方法,需要伺服器端和用戶端憑證進行雙向驗證。

目前最安全的方法,通常在高度安全或機密環境中被強制要求使用。

PEAP

受保護的擴充驗證協定(Protected Extensible Authentication Protocol);將 EAP 封裝在加密且經過驗證的 TLS 通道中。

部署最廣泛的企業級方法,僅需伺服器端憑證,在安全性與部署簡易性之間取得平衡。

Dynamic VLAN Assignment

RADIUS 伺服器根據已驗證使用者的目錄群組成員資格,指示無線基地台將其放入特定 VLAN 的過程。

對於分割網路流量(例如隔離 HR、工程和 IoT 裝置)至關重要,同時僅廣播單一企業 SSID。

範例

一家擁有 300 間客房的奢華酒店需要保護其後勤營運網路(員工平板電腦、VoIP 電話、管理用筆記型電腦)的安全,同時將其與訪客網路完全隔離。他們目前對員工使用單一 PSK。

  1. 部署與酒店現有 Active Directory 連結的 Microsoft NPS。
  2. 設定 PEAP-MSCHAPv2,在 NPS 伺服器上使用公用憑證(例如 DigiCert)以簡化平板電腦的配置。
  3. 在 AP 上建立 802.1X SSID(「Hotel_Ops」)。
  4. 使用酒店的 MDM 平台將「Hotel_Ops」WiFi 設定檔推送到所有員工的平板電腦和筆記型電腦,並明確設定該設定檔以信任 DigiCert 根憑證授權單位(CA)並驗證 NPS 伺服器名稱。
  5. 維持現有的開放式訪客 SSID,透過 Purple 的 Captive Portal 進行條款接受與數據分析,確保訪客 VLAN 無法路由至營運 VLAN。
考官評語: 此方法在安全性與部署複雜性之間取得了平衡。藉由在 RADIUS 伺服器上使用公用憑證,酒店避免了部署完整 PKI 的開銷,同時消除了共用 PSK 的風險。透過 VLAN 和不同的驗證機制嚴格隔離訪客與企業流量,符合酒店銷售點(POS)系統的 PCI DSS 要求。

一所大學校園正在遷移至 802.1X,需要為 15,000 名使用各種作業系統的學生支援龐大的 BYOD 環境。

  1. 部署具有負載平衡功能且強健的 RADIUS 叢集(例如 FreeRADIUS 或 Cisco ISE)。
  2. 實施 PEAP-MSCHAPv2 以實現廣泛的裝置相容性。
  3. 部署配置入口網站(例如 SecureW2),自動設定學生的裝置要求者(Supplicant)以使用正確的 EAP 設定並信任大學的 RADIUS 伺服器憑證。
  4. 透過 RADIUS 屬性使用動態 VLAN 分配,根據學生在校園中的位置將其放入適當的子網路中,以管理廣播網域。
考官評語: 在高等教育中,BYOD 是首要挑戰。依賴學生手動設定必然會導致大量的服務台工單和不安全的設定(使用者接受無效憑證)。配置入口網站是此處成功的關鍵因素,可確保要求者被鎖定以防止憑證遭竊取。

練習題

Q1. 您的組織正在使用 PEAP-MSCHAPv2 部署 802.1X。在測試期間,使用者回報他們在首次連線時被提示要「接受憑證」。您應該如何解決此問題?

提示:請考慮允許使用者對網路基礎架構做出信任決策的安全影響。

查看標準答案

您必須設定用戶端要求者(Supplicant)設定檔(透過 MDM 或群組原則),以明確信任核發 RADIUS 伺服器憑證的根 CA,並驗證特定的伺服器名稱。依賴使用者手動接受憑證會訓練他們忽略安全警告,並使網路容易受到邪惡雙生(Evil Twin,憑證竊取)攻擊。

Q2. 您需要保護一批倉庫條碼掃描器的安全。它們支援 WPA2-Enterprise,但沒有安裝用戶端憑證或加入 Active Directory 的機制。最安全的部署方法是什麼?

提示:評估不需要用戶端憑證但仍提供加密驗證的 EAP 方法。

查看標準答案

部署 PEAP-MSCHAPv2。在您的目錄中為掃描器建立一個專用的服務帳戶。為 RADIUS 伺服器設定伺服器憑證以建立 TLS 通道,並設定掃描器在通道內使用該服務帳戶憑證進行驗證。確保 RADIUS 原則將此服務帳戶限制在特定的隔離倉庫 VLAN 中。

Q3. 設定 AP 和 RADIUS 伺服器後,用戶端裝置成功通過驗證(在 RADIUS 記錄中確認為 Access-Accept),但它們無法取得 IP 地址且無法存取網路。最可能的基礎架構問題是什麼?

提示:驗證已成功,這意味著 802.1X 階段已完成。問題出在隨後的網路配置階段。

查看標準答案

最可能的問題是實體網路上的 VLAN 設定錯誤。如果 RADIUS 伺服器使用動態 VLAN 分配將用戶端放入特定 VLAN(例如 VLAN 20),則連接無線基地台的交換器連接埠必須設定為允許 VLAN 20 的 802.1Q Trunk 連接埠。如果 VLAN 沒有 Trunk 到 AP,用戶端的 DHCP 請求將會被捨棄。

繼續閱讀本系列

各大廠商的 Per-Device PSK 比較:iPSK、DPSK、MPSK 與 PPSK(以及 WPA3 支援)

針對 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme、Fortinet 和 Ubiquiti UniFi 的 per-device PSK 實作進行全面比較。了解 WPA3-SAE 如何影響 per-device 金鑰策略,以及何時該部署過渡模式或轉移至 802.1X。

閱讀指南 →

Captive Portal 驗證方式比較

本權威技術參考指南評估了五種核心 Captive Portal 驗證方式在架構、營運及合規性方面的權衡。它為網路架構師、IT 總監和行銷經理提供了所需的量化數據與決策框架,以在企業場域中平衡訪客登入摩擦與數據收集需求。

閱讀指南 →

什麼是 MAC 位址驗證?何時該使用以及何時該避免使用

本權威技術參考指南涵蓋企業 WiFi 環境中的 MAC 位址驗證 — 說明基於 RADIUS 的 MAC 驗證在 Layer 2 的運作方式、其固有的安全性漏洞(包括 MAC 欺騙以及作業系統層級 MAC 隨機化的影響),以及其作為管理 IoT 和無螢幕(headless)裝置有效工具的具體營運情境。本指南為餐飲旅宿、零售、醫療保健和公共場所的 IT 經理與網路架構師提供具體可行的部署指引,並包含實際案例、決策框架,以及與 Purple 的顧客 WiFi 和分析平台的整合情境。

閱讀指南 →