為訪客與員工 WiFi 網路配置 RADIUS 驗證
本技術參考指南概述了企業訪客和員工 WiFi 網路的 RADIUS 驗證架構、配置與部署。它為網路架構師和 IT 經理提供了構建安全、可擴展的無線存取控制系統所需的確切協定、安全標準與疑難排解方法。

執行摘要
在現代企業環境中,確保無線網路的安全是一項關鍵的營運要求。傳統的安全方法,例如共用的預共用金鑰 (PSK),會引入重大的安全漏洞。如果單一員工離開組織,或者訪客洩露了共用密碼,整個網路的安全狀況就會受到威脅。本指南詳細介紹了如何實施遠端用戶撥入驗證服務 (RADIUS) 以集中存取控制、執行精細的安全原則,並區隔訪客和員工的流量。
透過過渡到集中式 RADIUS 架構,組織可以為員工實施 802.1X 驗證 - 確保每台裝置都使用專屬、可撤銷的認證進行驗證 - 同時為訪客使用者利用安全的 Captive Portal 和 MAC 驗證繞過 (MAB)。此技術參考提供了部署彈性、企業級無線驗證基礎架構所需的架構藍圖、組態步驟和疑難排解架構。
技術深入探討
AAA 架構
RADIUS 在 AAA 架構上運作,該架構定義了存取控制的核心階段:
- 驗證 (Authentication):驗證嘗試連接到 WiFi 網路的使用者或裝置的身分。這是透過認證、數位憑證或權杖來實現的。
- 授權 (Authorization):決定授予已驗證實體的網路存取層級。這包括指派特定的 VLAN、套用存取控制清單 (ACL) 或執行頻寬限制。
- 計費 (Accounting):追蹤網路資源消耗,包括工作階段持續時間、傳輸的資料以及登入/登出時間。這些資料對於稽核、合規性和網路規劃至關重要。
- 稽核 (Auditing):審查收集的計費資料,以識別異常情況、安全漏洞或原則違規。
RADIUS 架構元件
標準企業 RADIUS 部署由三個主要元件組成:
- 要求項 (Supplicant):在使用者裝置(例如筆記型電腦、智慧型手機)上執行的用戶端軟體,用於請求存取網路並提供認證或憑證。
- 驗證器 (Network Access Server / NAS):控制對網路的實體存取的實體或虛擬網路裝置 - 通常是無線區域網路控制器 (WLC) 或基地台 (AP)。驗證器不決定認證是否有效;它充當代理,將驗證請求封裝成 RADIUS 封包並將其轉發給 RADIUS 伺服器。
- 驗證伺服器 (Authentication Server):中央伺服器(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass 或 Purple 的雲端 RADIUS 引擎),它向身分存放區(例如 Active Directory、LDAP 或雲端身分識別提供者)驗證認證,並向驗證器傳回 Access-Accept 或 Access-Reject 訊息。
員工 WiFi 的 EAP 方法
對於員工網路,在 802.1X 架構內會使用可延伸驗證協定 (EAP) 來協商驗證。兩種最常見的企業級 EAP 方法為:
- PEAP-MSCHAPv2 (Protected EAP):此方法使用伺服器的數位憑證,在用戶端 (supplicant) 與 RADIUS 伺服器之間建立安全且加密的 TLS 通道。在此安全通道內,系統會使用 MSCHAPv2 協定驗證使用者的使用者名稱和密碼。這非常受歡迎,因為它部署簡單,不需要在用戶端裝置上安裝憑證。
- EAP-TLS:目前最安全的驗證方法。它需要雙向驗證,代表 RADIUS 伺服器與用戶端裝置都必須出示有效的數位憑證。這消除了基於密碼的攻擊,但需要健全的公開金鑰基礎建設 (PKI) 來管理憑證的分發與撤銷。
Guest WiFi 驗證流程
訪客網路通常使用不同的流程,以在安全與使用者便利性之間取得平衡。訪客網路通常不使用 802.1X,而是利用 Open SSID 結合 Captive Portal。
當訪客連線時,驗證器會使用 MAC 驗證旁路 (MAB) 或重新導向原則,將使用者引導至由 Purple 等平台託管的 Captive Portal。一旦使用者在入口網站上完成註冊或登入程序,該入口網站平台就會與 RADIUS 伺服器通訊,接著 RADIUS 伺服器會向 WLC/AP 傳送 Access-Accept 訊息,授權該訪客的 MAC 地址在指定的工作階段持續時間內存取網路。
安全傳輸:RadSec
傳統的 RADIUS 流量是以純文字透過 UDP(驗證埠為 1812,計帳埠為 1813)傳送,僅使用共用金鑰對使用者密碼欄位進行混淆。這在透過公用 WAN 連線或網際網路路由驗證流量時會帶來安全風險。
為了解決此問題,應實作 RadSec (RADIUS over TLS)。RadSec 將標準 RADIUS 封包封裝在安全的 TLS 通道內(通常使用 TCP 埠 2083)。這可確保在本地網路與雲端 RADIUS 伺服器之間傳輸時,所有驗證與計帳資料(包括使用者名稱、MAC 地址和工作階段屬性)都經過完整加密。
實作指南
步驟 1:在伺服器上定義 RADIUS 用戶端
在任何網路裝置與 RADIUS 伺服器通訊之前,必須先將其註冊為用戶端。
- 登入您的 RADIUS 伺服器管理主控台。
- 導覽至 Clients(用戶端)或 Network Devices(網路裝置)區段。
- 為每個 WLC 或 AP 新增用戶端項目。
- 輸入驗證器的 IP 地址或子網路。
- 產生高熵值的共用金鑰。此金鑰必須至少包含 22 個字元,且混合大小寫字母、數字和特殊字元。避免使用簡單的字典單字。
步驟 2:設定無線區域網路控制器 (WLC) / 存取點 (AP)
設定您的無線硬體以指向 RADIUS 伺服器進行驗證與計費。
- 登入您的 WLC 或 AP 管理介面。
- 導覽至 安全性 > AAA > RADIUS > 驗證。
- 新增一台 RADIUS 驗證伺服器:
- 伺服器 IP 位址:輸入您的主要 RADIUS 伺服器的 IP 位址。
- 共用金鑰:輸入在步驟 1 中設定的精確共用金鑰。
- 連接埠:1812(如果使用 RadSec 則為 2083)。
- 逾時:設定為 5 秒以因應網路延遲。
- 重試次數:設定為 3。
- 導覽至 RADIUS 計費 並使用連接埠 1813(或 RadSec 的 2083)新增一個新的伺服器項目。
- 重複這些步驟以新增第二台(備用)RADIUS 伺服器,以實現高可用性。
步驟 3:設定員工 SSID (802.1X)
- 建立一個名為
Staff_Enterprise的新 SSID。 - 將安全性類型設定為 WPA3-Enterprise(如果需要支援舊型裝置,則設定為 WPA2/WPA3-Enterprise 過渡模式)。
- 選擇 802.1X 作為金鑰管理協定。
- 將此 SSID 與步驟 2 中設定的 RADIUS 驗證和計費伺服器建立關聯。
- 將此 SSID 對應到安全的員工 VLAN(例如:VLAN 10)。
步驟 4:設定帶有 Captive Portal 的訪客 SSID
- 建立一個名為
Guest_WiFi的新 SSID。 - 將安全性類型設定為 Open(或 Enhanced Open / OWE 以進行機會性無線加密)。
- 啟用 MAC 篩選 或 MAC 驗證 並將其指向 RADIUS 伺服器。
- 啟用 Captive Portal / 網頁入口 重新導向。
- 設定重新導向 URL 以指向 Purple captive portal 登入頁面。
- 設定 Walled Garden(驗證前 ACL),以在驗證完成前允許流量前往 captive portal 網域、DNS 伺服器和必要的 CDN 資產。
- 將此 SSID 對應到隔離的訪客 VLAN(例如:VLAN 20)。
最佳實踐
高可用性與備援
務必將 RADIUS 伺服器部署為備援對(主要和次要)。確保這些伺服器位於不同的實體硬體或不同的雲端可用區域。將您的 WLC 設定為在主要伺服器無回應時,能順暢地容錯移轉到次要伺服器。在適當的情況下實作負載平衡,以平均分配驗證流量。
憑證管理
對於 PEAP 和 EAP-TLS 部署,RADIUS 伺服器憑證的有效性與信任至關重要。
- 針對訪客入口網頁與 PEAP 部署,請使用由受信任的公用憑證授權單位 (CA) 簽發的憑證,以防止使用者裝置上出現憑證警告提示。
- 對於 EAP-TLS,請建立專用的內部私有 CA,以簽發和管理用戶端與伺服器憑證。
- 密切監控憑證過期日期,並實作自動續期流程(例如 SCEP 或 ACME),以防止突然發生全網範圍的驗證失敗。
VLAN 區段
使用 VLAN 嚴格分割您的網路流量。訪客流量必須與企業資源完全隔離。在核心交換器或閘道器上實施防火牆規則,以防止訪客 VLAN 與員工/管理 VLAN 之間進行跨 VLAN 路由。僅允許訪客流量直接路由至網際網路。
工作階段逾時與計費間隔
配置適當的工作階段逾時,以防止過期工作階段佔用 IP 位址和網路資源。
- 對於員工網路,將工作階段逾時設定為 8 至 12 小時,以符合標準工作班次。
- 對於訪客網路,將工作階段逾時設定為較短的 2 至 4 小時。
- 將 RADIUS 計費過渡更新(interim-update)間隔配置為 10 或 15 分鐘。這可確保 RADIUS 伺服器定期收到有關裝置連線狀態和數據使用量的更新,而不會因計費封包過多而使伺服器超載。
疑難排解與風險緩釋
常見故障模式與解決方案
1. 共用金鑰不相符
- 症狀:WLC 記錄顯示「RADIUS 伺服器無回應」,且 RADIUS 伺服器記錄顯示「封包已捨棄 - 無效的驗證器」或「要求中的驗證器錯誤」。
- 根本原因:WLC 上配置的共用金鑰與 RADIUS 伺服器上配置的共用金鑰不相符。
- 緩釋措施:在兩部裝置上重新輸入共用金鑰,確保未複製到結尾空格或隱藏字元。
2. 憑證信任問題
- 症狀:用戶端裝置無法連線至員工 SSID,顯示「不受信任的伺服器憑證」或「連線被拒絕」等錯誤。
- 根本原因:用戶端裝置不信任簽署 RADIUS 伺服器憑證的 CA,或者憑證已過期。
- 緩釋措施:確保根 CA 和中介 CA 憑證已安裝在用戶端裝置的受信任根憑證存放區中。對於企業管理的裝置,請透過 MDM 或群組原則派送這些憑證。
3. 防火牆阻擋
- 症狀:RADIUS 伺服器未收到來自 WLC 的任何流量,即使已驗證路由無誤。
- 根本原因:中介防火牆阻擋了 UDP 連接埠 1812 和 1813。
- 緩釋措施:建立明確的防火牆規則,以允許 WLC 管理 IP 與 RADIUS 伺服器 IP 之間進行 UDP 1812 和 1813(或針對 RadSec 的 TCP 2083)流量。
4. 延遲引起的逾時
- 症狀:間歇性驗證失敗,特別是在尖峰時段或使用雲端 RADIUS 伺服器時。
- 根本原因:網路延遲超過 WLC 的 RADIUS 逾時臨界值,導致 WLC 判定伺服器已離線。
- 緩釋措施:將 WLC 的 RADIUS 逾時設定從預設值(通常為 2 秒)增加到 5 或 7 秒。最佳化 WAN 路由或部署本地 RADIUS 代理伺服器以快取驗證要求。
投資報酬率與商業效益
轉換至集中式 RADIUS 驗證模型可在多個關鍵領域帶來可衡量的商業價值:
- 降低營運開銷:消除了員工離職時手動輪替共享 WiFi 密碼的工作。在 Active Directory 或您的身分驗證提供商中可以立即停用使用者帳戶,進而立即撤銷其網路存取權限。
- 增強安全態勢:降低因憑證遭竊或未授權網路存取所導致的資料外洩風險。透過強制執行 802.1X 和憑證型驗證,企業可確保只有經過授權且符合規定的裝置才能存取敏感的公司資源。
- 最佳化場域營運:透過將訪客 WiFi 與 Purple 的雲端 RADIUS 平台整合,場域營運商能擷取寶貴的人口統計和行為數據。這些數據可用於設計精準的行銷活動、提升訪客參與度,並根據人流量分析最佳化實體空間利用率。
- 法規遵循:集中式的 RADIUS 計帳記錄提供網路存取的稽核軌跡,協助企業滿足 PCI-DSS、ISO 27001 和 GDPR 等標準的法規遵循要求。
關鍵定義
RADIUS
遠端使用者撥入驗證服務。一種網路協定,為連線和使用網路服務的使用者提供集中式的驗證、授權和計量管理。
它是用於將無線網路硬體與中央身分資料庫連線的業界標準協定。
Supplicant
要求存取網路並提供憑證或憑證書以供驗證的用戶端軟體或裝置(例如筆記型電腦、手機或平板電腦)。
Supplicant 必須支援 RADIUS 伺服器上設定的特定 EAP 方法,才能成功進行身分驗證。
Authenticator
控制網路實體存取並在 supplicant 與 RADIUS 伺服器之間充當代理的網路裝置(通常為無線區域網路控制器或基地台)。
Authenticator 本身並不驗證憑證;它僅將憑證轉發給 RADIUS 伺服器。
EAP-TLS
可延伸驗證協定 - 傳輸層安全性。一種極為安全的驗證方法,在用戶端和伺服器上皆使用雙向數位憑證來進行身分驗證。
它是員工 WiFi 網路上企業託管裝置的首選驗證方法。
PEAP-MSCHAPv2
搭配 Microsoft 挑戰信號握手驗證協定版本 2 的受保護可延伸驗證協定。一種基於憑證的驗證方法,可在加密的 TLS 通道內保護密碼傳輸的安全。
它廣泛用於員工網路,因為它不需要用戶端憑證,使其比 EAP-TLS 更易於佈署。
RadSec
一種透過將標準 RADIUS 封包封裝在傳輸層安全性 (TLS) 通道(通常在 TCP 連接埠 2083 上執行)內來保護 RADIUS 流量安全的協定。
對於驗證流量必須透過公用網際網路傳輸的雲端託管 WiFi 網路而言至關重要。
Captive Portal
在向新連接的無線使用者授予更廣泛的網路存取權限之前,向其顯示的網頁。它通常用於訪客驗證、接受服務條款以及收集行銷數據。
Purple 提供雲端裝載的 captive portal,可透過 RADIUS 與本機網路硬體整合。
MAC Authentication Bypass (MAB)
一種根據用戶端裝置的 MAC 位址啟用網路存取控制的機制。它通常用於不支援 802.1X 驗證的裝置。
常用於訪客 WiFi 網路,以允許裝置無縫重新連接,而無需反覆看到 Captive Portal。
範例
一家擁有 150 家門市的多據點零售品牌希望部署安全的員工 WiFi 網路。他們目前在所有門市中使用單一預共用金鑰 (PSK),該金鑰經常外洩。他們需要一個能與其現有 Microsoft Azure Active Directory (現為 Microsoft Entra ID) 整合的解決方案,並確保員工只能使用公司管理的筆記型電腦進行驗證。
為了解決此問題,我們將實作 WPA3-Enterprise 搭配 EAP-TLS 驗證,並透過雲端 RADIUS 服務與 Microsoft Entra ID 進行整合。
- 建立私有 CA:部署雲端公開金鑰基礎建設 (PKI) 或利用現有的 Active Directory 憑證服務 (AD CS) 部署,向所有公司管理的筆記型電腦發行裝置憑證。
- 憑證分發:配置組織的行動裝置管理 (MDM) 系統 (例如 Microsoft Intune),以自動將根 CA 憑證和唯一的用戶端憑證分發到每台受管理的筆記型電腦。用戶端憑證必須在主體替代名稱 (SAN) 中包含裝置的主機名稱或序號。
- 配置雲端 RADIUS 伺服器:設定與 Microsoft Entra ID 整合的雲端 RADIUS 服務。配置 RADIUS 伺服器以根據受信任的私有 CA 驗證傳入的用戶端憑證。
- 配置 WLC/AP:在每個零售門市的無線控制器上,配置一個名為
Retail_Staff的新 SSID。將安全性設定為 WPA3-Enterprise,並使用 RadSec (TCP 連接埠 2083) 將驗證指向雲端 RADIUS 伺服器 IP,以確保透過公用網際網路傳輸的驗證流量安全。 - 定義存取原則:在 RADIUS 伺服器上建立一項原則,僅在用戶端憑證有效、憑證未被撤銷 (透過 CRL 或 OCSP 檢查) 且裝置識別身分在 Microsoft Entra ID 中存在且處於作用中狀態時才允許存取。
一個可容納高達 20,000 名同時在線使用者的型會議中心需要部署訪客 WiFi 網路。該網路必須透過 Captive Portal 提供無縫的登入體驗,實施 3 小時的工作階段限制以防止頻寬佔用,並收集符合 GDPR 規範的行銷同意書。其基礎建設由 Cisco Catalyst WLC 組成。
我們將佈署一個開放式 SSID,並結合 MAC 驗證繞過 (MAB) 以及與 Purple 平台整合的 captive portal 重新導向。
- 設定訪客 SSID:在 Cisco WLC 上,建立一個名為
Convention_Guest的 SSID。將安全性設定為開放(Open)。啟用 MAC 過濾,並選擇與 Purple 關聯的 RADIUS 伺服器群組。 - 設定重新導向:在 WLC 上設定 Web Auth 策略,將未經身分驗證的使用者重新導向至 Purple 的 captive portal URL:
https://portal.purplewifi.net/...。 - 設定 Walled Garden:在 WLC 上建立一個名為
GUEST_RED_ACL的存取控制清單 (ACL)。此 ACL 必須允許 DNS 流量(UDP 連接埠 53)、DHCP 流量(UDP 連接埠 67 和 68),以及往返 Purple IP 範圍和 CDN 的流量。所有其他 HTTP/HTTPS 流量都必須被重新導向。 - 設定 RADIUS 計量:在 WLC 上啟用 RADIUS 計量,指向 Purple 的計量伺服器,並將過渡更新(interim-update)間隔設定為 10 分鐘。
- 設定工作階段限制:在 Purple Hub 控制面板上,設定存取流程以執行 3 小時的工作階段逾時。一旦使用者完成登入並接受符合 GDPR 規範的行銷條款,Purple 的 RADIUS 伺服器就會向 Cisco WLC 發送一個 Access-Accept 封包,其中包含設定為 10800 秒(3 小時)的
Session-Timeout屬性。 - 重新驗證流程:3 小時後,WLC 會終止該工作階段。如果使用者嘗試重新連線,他們會被重新導向回 captive portal 以重新進行身分驗證。
練習題
Q1. 某組織最近更新了其 RADIUS 伺服器上的 SSL 憑證。此後,幾台公司管理的 Windows 筆記型電腦立即無法連接到員工 WiFi 網路,而 macOS 和 iOS 裝置則可以順利連接。此問題最可能的原因是什麼,應如何解決?
提示:請考慮不同作業系統如何驗證伺服器憑證,以及憑證授權單位 (CA) 鏈的角色。
查看標準答案
最可能的原因是新的 RADIUS 伺服器憑證是由受影響的 Windows 筆記型電腦不信任的其他憑證授權單位 (CA) 或中介 CA 簽發的,或者 Windows 群組原則配置為驗證與特定伺服器名稱或根 CA 的連接,而這與新憑證不相符。macOS 和 iOS 裝置通常較為寬鬆,或者會提示使用者手動信任新憑證,而 Windows 企業配置則會在不提示的情況下嚴格阻止與不信任憑證的連接。若要解決此問題,請確認新 CA 的根憑證和中介憑證已透過群組原則或 MDM 分發到所有 Windows 裝置,並更新無線設定檔配置以信任新的 CA。
Q2. 在某大型體育場的尖峰時段,訪客 WiFi 使用者反映他們已成功完成 Captive Portal 註冊,但未被重導向至網際網路。相反地,他們反覆看到 Captive Portal 登入頁面。WLC 記錄顯示「RADIUS authentication timeout」。您會如何診斷並解決此問題?
提示:分析 RADIUS 封包的路徑以及無線控制器上的逾時設定。
查看標準答案
這是典型的延遲引起的逾時問題。在尖峰時段,高流量會導致 WAN 鏈路擁塞或 RADIUS 伺服器上的 CPU 使用率過高,從而延遲 RADIUS Access-Accept 回應。由於 WLC 的預設逾時設定過低(通常為 2 秒),WLC 會認為 RADIUS 伺服器離線並斷開工作階段,從而迫使使用者回到 Captive Portal。若要診斷,請檢查尖峰時段 RADIUS 封包的來回時間 (RTT)。若要解決:1) 將 WLC 上的 RADIUS 逾時時間增加到 5 或 7 秒。2) 將重試次數增加到 3 次。3) 在 WAN 閘道上實施服務品質 (QoS),以將 RADIUS 流量(UDP 1812/1813)優先於一般訪客網際網路流量。
Q3. 安全稽核顯示,訪客 WiFi 使用者可以存取網路交換器和 WLC 的內部管理介面。訪客網路配置為具有 Captive Portal 的 Open SSID。必須進行哪些架構變更才能修復此安全性漏洞?
提示:思考網路分割以及應在哪裡執行存取控制策略。
查看標準答案
若要修復此安全性漏洞,必須執行嚴格的網路分割。首先,確保將訪客 SSID 對應到專用的訪客 VLAN(例如 VLAN 20),該 VLAN 與員工 VLAN 和管理 VLAN(交換器和 WLC 所在之處)完全隔離。其次,在核心路由器或閘道上配置存取控制清單 (ACL) 或防火牆規則,以阻止源自訪客 VLAN 且目的地為任何內部私有 IP 子網路(RFC 1918 範圍)的所有流量,特別是針對網路基礎架構的管理 IP。訪客 VLAN 應該只具有通往網際網路以及預先驗證所需的特定 DNS 伺服器和 Captive Portal IP 的路由路徑。
繼續閱讀本系列
Passpoint and OpenRoaming: 完整指南
本技術參考指南針對企業 WiFi 網路中的 Passpoint (Hotspot 2.0) 和 WBA OpenRoaming 架構提供全面分析。內容詳述了建立安全、無摩擦的訪客連線所需的底層驗證協定、架構元件和部署策略。網路架構師和 IT 領導者將學習如何設計、實作這些標準並進行疑難排解,以便在維持企業級安全性的同時,消除手動登入的障礙。
如何在大專院校實施 SCEP 以實現安全的 BYOD 與網路註冊
本技術指南為網路架構師和 IT 經理提供了一個與廠商無關的藍圖,用於部署基於 SCEP 的憑證註冊,以保護大專院校校園網路的安全。它詳細介紹了如何從基於密碼的 PEAP 遷移到 802.1X EAP-TLS、自動化 BYOD 註冊,以及實施強大的 VLAN 區隔。
Server RADIUS:企業的完整指南
本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。