跳至主要內容
繁體中文

使用 RADIUS 進行動態 VLAN 分配:按角色細分使用者

本指南針對使用 RADIUS 屬性實作動態 VLAN 分配提供了全面的技術概述。其中詳細說明了企業場域如何為員工、訪客和 IoT 設備自動進行網路分段,以增強安全性並減少手動設定的開銷。

📖 5 分鐘閱讀📝 1,035 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收看 Purple 技術簡報。我是您的主持人,今天我們將深入探討多場域營運商的一項關鍵架構主題:利用 RADIUS 進行動態 VLAN 分配。 如果您正在管理跨飯店、零售連鎖店或大型公共場所的網路,您一定深知手動進行網路區隔的痛苦。您有員工裝置、訪客裝置,以及數量不斷增加的 IoT 感測器。將它們全部放在同一個扁平網路中是安全上的噩夢,但為每個連接埠或 SSID 手動分配靜態 VLAN 又無法擴充規模。 這就是 RADIUS 發揮作用的地方。透過利用 802.1X 驗證和 RADIUS 屬性(特別是 Tunnel-Private-Group-ID),您可以在使用者和裝置通過驗證的確切時刻,自動將其分配到正確的 VLAN。 讓我們來剖析一下技術機制。當裝置與存取點(AP)關聯時,它會啟動 EAP 交換。驗證器(通常是您的 AP 或交換器)會將此資訊轉發給您的 RADIUS 伺服器。如果憑證有效,RADIUS 伺服器就會傳回 Access-Accept 訊息。 但神奇的地方在於:在該 Access-Accept 封包中,您可以設定 RADIUS 伺服器以包含三個特定的 IETF 標準屬性。第一,Tunnel-Type 設定為 VLAN,其值為 13。第二,Tunnel-Medium-Type 設定為 IEEE-802,值為 6。第三,Tunnel-Private-Group-ID,其中包含實際的 VLAN ID 字串,例如代表員工的 "10" 或代表訪客的 "20"。 當存取點收到此訊息時,它會動態地為該使用者的流量標記該 VLAN ID。結果呢?單一 SSID 就能安全地為多個不同的使用者群組提供服務,將他們放入具有各自防火牆規則和頻寬限制的隔離網路區段中。 接下來談談實作。無論您使用的是 Cisco Catalyst、Aruba ClearPass 還是 Ubiquiti UniFi,核心原則都是相同的,儘管具體語法有所不同。 以飯店場景為例,櫃台人員登入後會被分配到安全的員工 VLAN,並可存取物業管理系統。訪客透過 Captive Portal 連線,並被分配到啟用了用戶端隔離功能(client isolation)的隔離訪客 VLAN。同時,智慧溫控器透過 MAC 驗證旁路(MAB)進行驗證,並被分配到一個鎖定的 IoT VLAN,該 VLAN 只能存取特定的控制伺服器。 這種架構不僅僅是為了方便,更是為了降低風險和符合合規性。如果您處理付款,PCI DSS 會要求對您的銷售點(POS)終端機進行嚴格的區隔。動態 VLAN 可確保即使 POS 裝置被移至不同的連接埠,它仍能保持安全區隔。 但有哪些潛在陷阱?最常見的故障模式是 RADIUS 無法使用。如果您的存取點無法連線至 RADIUS 伺服器,裝置就無法進行驗證。您必須設定容錯移轉機制。大多數企業級 AP 都支援「關鍵 VLAN」或「容錯移轉 VLAN」設定。如果 RADIUS 逾時,AP 會將裝置放入受限的 VLAN 中,該 VLAN 可能僅允許存取網際網路,從而在不妥協內部安全性的情況下維持業務運作。 另一個陷阱是跨站點的 VLAN 命名不一致。如果 VLAN 10 在站點 A 是「員工(Staff)」,但在站點 B 是「訪客(Guest)」,動態分配將會導致混亂。在實施此功能之前,請先在全球範圍內標準化您的 VLAN ID。 總結來說:透過 RADIUS 進行動態 VLAN 分配,將網路存取從手動繁瑣的工作轉變為自動化、具擴充性的安全性原則。它能減少 SSID 膨脹、強制執行基於角色的存取控制,並簡化合規性。 感謝您參與本次技術簡報。如需深入瞭解企業級 WiFi 架構,請參閱 Purple 網站上的指南專區。

執行摘要

header_image.png

對於多場域營運商而言,手動管理網路分段是一項重大的營運瓶頸。隨著餐旅、零售和公共部門環境中連接設備數量的增加,依賴每個連接埠的靜態 VLAN 設定或廣播數十個 SSID 已變得難以維持。本指南將探討如何利用 RADIUS 的動態 VLAN 分配,在驗證時根據角色自動對使用者和設備進行分段。透過傳遞特定的 RADIUS 屬性(例如 Tunnel-Pvt-Group-ID),網路架構師可以動態地將使用者分配到正確的 VLAN,從而執行嚴格的安全政策、確保符合 PCI DSS 等標準,並大幅減少手動 IT 開銷。

技術深度解析

動態 VLAN 分配依賴 IEEE 802.1X 標準進行基於連接埠的網路存取控制,並結合 RADIUS(遠端使用者撥入驗證服務)伺服器進行集中式驗證、授權和計費 (AAA)。當用戶端設備嘗試連接到網路時,驗證器(通常是無線存取點或網路交換器)會充當媒介,透過可延伸驗證協定 (EAP) 將用戶端的憑證轉發給 RADIUS 伺服器。

如果憑證有效,RADIUS 伺服器會回應 Access-Accept 訊息。動態 VLAN 分配的關鍵機制是在此 Access-Accept 封包中包含特定的 IETF 標準 RADIUS 屬性。三個基本屬性為:

  1. Tunnel-Type (Attribute 64): 必須設定為 VLAN(值為 13)。
  2. Tunnel-Medium-Type (Attribute 65): 必須設定為 IEEE-802(值為 6)。
  3. Tunnel-Private-Group-ID (Attribute 81): 這包含實際的 VLAN ID 字串(例如 "10"、"20"、"Guest_VLAN")。

當驗證器收到這些屬性時,它會動態地為使用者的流量加上指定的 VLAN ID 標籤,無論他們連接到哪個實體連接埠或 SSID,都能將其放入適當的網路分段中。

radius_vlan_architecture.png

此架構可實現基於角色的網路存取控制。單一 SSID 可以安全地為多個不同的使用者群組提供服務,將他們放入具有各自防火牆規則、頻寬限制和路由政策的隔離網路分段中。例如,Purple 的 Guest WiFi 解決方案通常與 RADIUS 整合,以確保訪客被分配到隔離的 VLAN 中,從而保護內部資源。

實作指南

部署動態 VLAN 分配需要在 RADIUS 伺服器和網路基礎架構(無線基地台或交換器)上進行設定。雖然各家廠商(例如 Cisco ISE、Aruba ClearPass、FreeRADIUS)的確切語法有所不同,但核心原理是一致的。

步驟 1:RADIUS 伺服器設定

設定您的 RADIUS 伺服器,使其根據使用者群組或裝置設定檔傳回所需的屬性。例如,您可以建立如下原則:

  • 如果使用者群組 = "Staff",則傳回 Tunnel-Private-Group-ID = "10"。
  • 如果使用者群組 = "Contractors",則傳回 Tunnel-Private-Group-ID = "20"。
  • 如果裝置類型 = "IoT Sensor"(透過 MAC 驗證旁路),則傳回 Tunnel-Private-Group-ID = "30"。

步驟 2:驗證器設定(無線基地台/交換器)

設定您的網路裝置以查詢 RADIUS 伺服器並處理傳回的屬性。這通常包括:

  1. 定義 RADIUS 伺服器 IP 位址和共用金鑰。
  2. 在相關的 SSID 或交換器連接埠上啟用 802.1X 驗證。
  3. 啟用動態 VLAN 分配(有時稱為 "AAA Override" 或 "RADIUS VLAN assignment")。

廠商特定注意事項

  • Cisco: 在 WLC 上,確保在 WLAN 設定中啟用了 "AAA Override"。對於交換器,請設定 authentication port-control autodot1x pae authenticator
  • Aruba: 在 ArubaOS 中,確保 AAA 設定檔已設定 "RADIUS Server",且伺服器群組已設定為處理用於衍生 VLAN 的伺服器規則。
  • Ubiquiti UniFi: 在 UniFi Network 應用程式中,啟用 "RADIUS MAC Authentication" 或 "WPA2/WPA3 Enterprise",並確保在網路設定中勾選了 "Enable RADIUS assigned VLAN"。

vlan_segmentation_comparison.png

最佳實踐

為確保部署的穩健性與可擴充性,請遵循以下產業標準建議:

  1. 全球標準化 VLAN ID: 各站點之間不一致的 VLAN 命名是一個重大陷阱。如果 VLAN 10 在站點 A 是 "Staff",但在站點 B 是 "Guest",動態分配將會導致混亂。在實施動態分配之前,請建立全球統一的 VLAN 編號配置。
  2. 實施備援機制: RADIUS 無法使用是關鍵的故障模式。在您的無線基地台(AP)上設定 "critical VLAN" 或 "fallback VLAN"。如果無法連線至 RADIUS 伺服器,AP 應將裝置放入受限的 VLAN(例如僅允許網際網路存取),在不損害內部安全性的情況下維持連線。
  3. 對無介面裝置使用 MAC 驗證旁路 (MAB):Sensors 或智慧溫控器等 IoT 裝置通常無法進行 802.1X 驗證。使用 MAB 根據這些裝置的 MAC 位址進行驗證,並將其分配到受控管的 IoT VLAN。
  4. 善用分析工具: 使用 Purple 的 WiFi Analytics 等平台來監控驗證趨勢、識別異常,並根據基於角色的使用模式來優化網路效能。

疑難排解與風險緩釋

在實作動態 VLAN 分配時,請準備好排解常見問題:

  • 用戶端被歸入預設 VLAN: 這通常發生在 RADIUS 伺服器未能傳送正確的屬性,或者驗證器未設定為處理這些屬性(例如:停用了「AAA 覆寫」)。請使用封包擷取來驗證 Access-Accept 訊息的內容。
  • 驗證逾時: 如果裝置無法驗證,請檢查驗證器與 RADIUS 伺服器之間的網路連線。驗證共用金鑰,並確保 RADIUS 伺服器已將該驗證器設定為有效的用戶端。
  • DHCP 問題: 在裝置被動態分配到 VLAN 之後,它必須取得該子網路的 IP 位址。請確保 DHCP 伺服器已針對所有動態 VLAN 進行正確設定,且在必要時已配置 IP 協助程式位址。

投資報酬率與商業影響

實作動態 VLAN 分配可減少手動設定的開銷並降低安全風險,從而帶來顯著的投資報酬率。

  • 營運效率: 無需再為每個連接埠手動設定靜態 VLAN,或為不同的使用者群組廣播多個 SSID,為 IT 團隊節省了數小時的行政工作。
  • 增強安全性: 實施嚴格的基於角色的存取控制,確保受侵害的裝置或未授權的使用者與關鍵業務系統隔離。這對於符合 零售 環境中的 PCI DSS 等標準至關重要。
  • 提升使用者體驗: 為員工和訪客提供無縫的驗證體驗,因為他們只需連線到單一 SSID,即可自動獲得適當的網路存取權限。

收聽我們的技術簡報播客以獲取更多見解:

如需更多關於保護網路安全的資訊,請參閱我們的指南: 802.1X 驗證:在現代裝置上保護網路存取

關鍵定義

動態 VLAN 分配

在驗證過程中,根據裝置的識別身分或角色,自動將其分配至特定的虛擬區域網路 (VLAN),而非根據其物理連接點。

這對於企業環境中具備擴充性的網路分段至關重要,可免除手動設定連接埠的需求。

RADIUS (遠端使用者撥入驗證服務)

一種網路協定,為連線並使用網路服務的使用者提供集中式的驗證、授權與計費 (AAA) 管理。

評估憑證並制定網路原則(包括 VLAN 分配)的核心引擎。

802.1X

一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準,為希望連接至 LAN 或 WLAN 的裝置提供驗證機制。

允許裝置在獲得存取權限之前,安全地將憑證傳輸至網路基礎架構的框架。

Tunnel-Private-Group-ID

RADIUS 屬性 81,用於指定驗證器應分配給使用者工作階段的 VLAN ID 或 VLAN 名稱。

RADIUS 回應中指定網路分段的特定資料欄位。

MAC 驗證繞過 (MAB)

一種用於驗證不支援 802.1X 的裝置(如印表機或 IoT 感測器)的技術,透過使用其 MAC 位址作為其識別身分。

對於將無螢幕/無周邊裝置整合至動態分段網路架構中至關重要。

驗證器

促進用戶端與 RADIUS 伺服器之間驗證程序的網路裝置(例如無線存取點或交換器)。

負責執行 RADIUS 伺服器所傳回之 VLAN 分配原則的裝置。

Access-Accept

傳送至驗證器的 RADIUS 訊息,表示使用者的憑證有效且應授予存取權限。

此封包攜帶了關鍵的 VLAN 分配屬性。

AAA 覆寫

許多驗證器(如 Cisco WLC)上的設定選項,允許 RADIUS 伺服器覆寫裝置上設定的預設 VLAN 或原則。

必須啟用此功能,動態 VLAN 分配才能正常運作。

範例

一家擁有 500 間客房的奢華飯店需要為訪客、員工和 IoT 設備(智慧恆溫器和門鎖)進行網路分段。他們目前廣播 5 個不同的 SSID,導致嚴重的同頻干擾並使訪客感到困惑。動態 VLAN 分配如何解決這個問題?

該飯店應將 SSID 整合為兩個:"Hotel_Guest"(Open/Captive Portal)和 "Hotel_Secure"(802.1X)。對於 "Hotel_Secure",員工使用其企業憑證進行驗證。RADIUS 伺服器會比對 Active Directory 驗證憑證,並傳回 Tunnel-Private-Group-ID = "10"(員工 VLAN)。對於無法使用 802.1X 的 IoT 設備,網路則使用 MAC 驗證繞過 (MAB)。RADIUS 伺服器會識別恆溫器和門鎖的 MAC 位址,並傳回 Tunnel-Private-Group-ID = "30"(IoT VLAN)。訪客連接到 "Hotel_Guest",並透過標準的 Captive Portal 工作流程被分配到 VLAN 20,這可以與 Purple 的 Hospitality 解決方案整合。

考官評語: 這種方法大幅減少了 SSID 的開銷,進而提高了射頻效能。針對 IoT 設備使用 MAB 是無介面用戶端的標準因應方案。成功的關鍵因素在於確保 RADIUS 伺服器擁有最新的 IoT MAC 位址資料庫。

一家大型連鎖零售商正在 50 個據點部署銷售點 (POS) 終端機。為了符合 PCI DSS 規範,這些終端機必須與企業和訪客網路嚴格隔離。即使終端機被移至不同的連接埠,動態 VLAN 分配如何確保合規性?

IT 團隊將網路交換器設定為在所有邊緣連接埠上都需要進行 802.1X 驗證。POS 終端機則設定了用於 EAP-TLS 驗證的憑證。當終端機連接到任何連接埠時,它會向 RADIUS 伺服器進行驗證。RADIUS 伺服器會驗證該憑證並傳回 Tunnel-Private-Group-ID = "40"(PCI VLAN)。交換器會動態地將該連接埠分配給 VLAN 40,並套用僅允許與付款處理閘道通訊的嚴格 ACL。

考官評語: 這是利用動態 VLAN 達成合規性的教科書範例。透過將 VLAN 分配與設備身分(透過憑證)而非實體連接埠綁定,該零售連鎖店不論實體移動、新增或變更,都能維持 PCI DSS 合規性。

練習題

Q1. 您正在大學校園中部署動態 VLAN 分配。RADIUS 伺服器已成功發送 Access-Accept 訊息,且教職員的 Tunnel-Private-Group-ID 已設為 '50'。然而,教職員的裝置仍被分配到 SSID 上設定的預設 VLAN(VLAN 1)。最可能的原因是什麼?

提示:檢查無線存取點(AP)或控制器上的設定。

查看標準答案

最可能的原因是驗證器(無線區域網路控制器或存取點)未針對該特定 SSID 啟用「AAA Override」(或同等設定,例如「啟用 RADIUS 分配的 VLAN」)。即使 RADIUS 伺服器發送了正確的屬性,除非明確指示驗證器處理動態分配,否則它會忽略這些屬性並使用預設設定。

Q2. 一家醫院需要將數百台新型智慧輸液幫浦連接到網路。這些裝置不支援 802.1X 請求方(supplicant)。IT 團隊該如何確保這些裝置能自動分配到安全且隔離的臨床 IoT VLAN 中?

提示:考慮網路如何識別不具備 802.1X 功能的裝置。

查看標準答案

IT 團隊應實作 MAC 驗證旁路(MAB)。必須將所有輸液幫浦的 MAC 位址新增至 RADIUS 伺服器的資料庫中。當幫浦連接到網路時,交換器或 AP 將使用其 MAC 位址作為驗證身分。RADIUS 伺服器將識別該 MAC 位址,並傳回包含臨床 IoT VLAN 之 Tunnel-Private-Group-ID 的 Access-Accept 訊息。

Q3. 您的企業網路高度依賴動態 VLAN 分配。在一次例行維護期間,主要和次要 RADIUS 伺服器暫時無法連線。必須進行何種設定,才能確保關鍵業務裝置維持一定程度的連線能力?

提示:在交換器或 AP 上尋找與驗證失敗或備援方案相關的功能。

查看標準答案

網路基礎架構必須設定「關鍵 VLAN」(Critical VLAN)或「後備 VLAN」(Fallback VLAN)。當驗證器偵測到 RADIUS 伺服器失效(無法連線)時,它會自動將連接的裝置放入此預先定義的關鍵 VLAN 中。此 VLAN 應套用嚴格的 ACL,可能僅允許網際網路存取或存取必要的修復服務,以在不暴露內部網路的情況下確保基本連線。

繼續閱讀本系列

飯店客房 WiFi 管理:整合 PMS、Captive Portal 與品牌標準

本技術指南詳細介紹如何建構企業級飯店 WiFi 網路,重點關注 VLAN 切割、用於自動化工作階段管理的 PMS 整合,以及符合 GDPR 規範之數據收集的 Captive Portal 最佳化。

閱讀指南 →

如何設定訪客 WiFi:企業級安全設定指南

本權威指南為 IT 主管和網路架構師提供了部署安全企業級訪客 WiFi 的決定性藍圖。內容涵蓋核心架構、WPA3 遷移、VLAN 網路區隔以及 Captive Portal 整合,旨在保護內部系統的同時,合規地收集第一方數據。

閱讀指南 →

管理員工 WiFi 頻寬:流量整形、QoS 與減少流量

本指南詳細介紹了在企業級場所中管理員工 WiFi 頻寬的實用方法。內容涵蓋流量整形、QoS 實施,以及如何部署 Purple Shield 在無需升級硬體基礎設施的情況下減輕網路負載。

閱讀指南 →