EAP-TLS 對決 EAP-TTLS:您應該選擇哪種基於憑證的 WiFi 協定?
本指南針對 IEEE 802.1X 底下用於企業級 WiFi 驗證的 EAP-TLS 與 EAP-TTLS 進行了決定性的正面比較。它解釋了雙向憑證驗證與僅限伺服器端憑證通道之間的架構差異,並為 IT 經理、網路架構師和 CISO 提供了一個基於裝置管理能力和合規要求的明確決策框架。Purple 針對員工 WiFi 同時支援 EAP-TLS 與 EAP-TTLS 驗證路徑,本指南可協助企業在決定採用哪種方法之前,先瞭解基礎設施的權衡取捨。
收聽此指南
查看播客逐字稿

執行摘要
為您的 802.1X 部署選擇正確的 EAP 方法,決定了您的企業級 WiFi 是真正安全,還僅僅是紙面上合規。在 RFC 5216 中定義的 EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) 需要雙向憑證驗證:在授予網路存取權限之前,用戶端裝置和 RADIUS 伺服器都必須出示有效的 X.509 憑證。過程中完全不交換密碼。在 RFC 5281 中定義的 EAP-TTLS (Tunneled Transport Layer Security) 則僅需要伺服器端憑證來建立加密的 TLS 通道,用戶端在此通道內使用現有的目錄認證資料進行驗證。
對於管理零售連鎖、餐旅場所和公共部門組織基礎設施的 CTO 和網路架構師來說,這個決定歸結為一個問題:您是否管理這些裝置?如果您透過 MDM 控制裝置群,EAP-TLS 是明確的首選。如果您支援多元的 BYOD 環境或缺乏健全的公開金鑰基礎建設 (PKI),EAP-TTLS 則提供了一個務實且高度安全的替代方案。Purple 支援這兩種驗證路徑,適用於超過 80,000 個實體場所的 員工 WiFi 。

技術深度剖析
EAP-TLS 的架構
EAP-TLS 在 IEEE 802.1X 基於連接埠的存取控制框架內,以雙向驗證模型運作。每次驗證交換都包含三個核心元件:要求端 (用戶端裝置)、驗證端 (無線基地台) 以及驗證伺服器 (RADIUS 伺服器)。基地台本身不做出驗證決定。它扮演透明中繼的角色,將 EAP 訊息封裝到 RADIUS 封包中,並將其轉發給驗證伺服器。 EAP-TLS 握手程序如下。無線存取點向連線裝置發送 EAP-Request/Identity。裝置隨即回應其身分。RADIUS 伺服器以 EAP-TLS/Start 訊息啟動 TLS 握手。用戶端發送 ClientHello,宣告其支援的 TLS 加密套件。RADIUS 伺服器以 ServerHello、其 X.509 伺服器憑證以及憑證請求進行回應。用戶端會根據其信任的根 CA 存放區驗證伺服器憑證。若驗證失敗,握手即告終止 - 從而提供防範惡意無線存取點的保護。用戶端接著出示自己的 X.509 憑證。RADIUS 伺服器驗證用戶端憑證,檢查簽章鏈直至信任的根 CA,確認憑證未過期,並檢查憑證撤銷清單 (CRL) 或查詢 OCSP。只有在雙方都滿意時,才會建立 TLS 通道並授予網路存取權限。
由於不交換密碼,EAP-TLS 可以免受離線字典攻擊、認證資料填充和網路釣魚的威脅。它是唯一滿足 WPA3-Enterprise 192位元 (Suite B) 要求的 EAP 方法,且 PCI DSS 4.0 針對持卡人資料環境以及 NIST SP 800-120 針對高安全性無線部署,均強制要求或強烈推薦使用此方法。
**EAP-TLS 需要 PKI。**您至少需要一個離線根 CA 和一個線上發行 CA。根 CA 必須實施實體隔離,因為其私鑰是您整個憑證階層的主信任錨點。發行 CA 處理日常憑證發行並發佈 CRL。用戶端憑證是發給個別裝置而非使用者 - 這是一種裝置身分模型。這種區別對於 IoT 裝置、共享終端機和無螢幕系統至關重要。
EAP-TTLS 的結構
EAP-TTLS 旨在提供強大的 802.1X 安全性,而無需在每個用戶端裝置上部署憑證的維運負擔。它分兩個階段工作。在第一階段,RADIUS 伺服器出示其憑證並建立安全的 TLS 通道。只有伺服器需要憑證。在第二階段,用戶端在該加密通道內使用內部驗證方法進行授權。常見的內部方法包括 PAP (Password Authentication Protocol)、CHAP 和 MS-CHAPv2。用戶端發送其使用者名稱和密碼,但由於此交換發生在 TLS 通道內,認證資料在傳輸中會被加密,絕不會暴露在空中。
EAP-TTLS 在 macOS、Linux、Android 和 iOS 跨平台提供了極佳的支援。唯一需要注意的是 Windows:內建的 Windows 請求者 (supplicant) 原生不支援將 EAP-TTLS 用於無線 802.1X。擁有大量 Windows 裝置的環境可能需要第三方請求者,這會增加維運複雜性。對於以 Windows 為主的環境,使用 MS-CHAPv2 的 PEAP 通常是更實際的選擇。
EAP-TTLS 的最大限制在於它無法消除密碼固有的風險。如果使用者選擇了強度不足的密碼,它仍然容易受到離線暴力破解攻擊。如果內部驗證使用 PAP,密碼會以明文形式在通道內傳送 - 雖然如果您信任您的 RADIUS 基礎架構,這是可以接受的,但這仍然是一個必須瞭解的重要信任模型。
逐項比較
| 功能 | EAP-TLS | EAP-TTLS |
|---|---|---|
| RFC 標準 | RFC 5216 | RFC 5281 |
| 需要用戶端憑證 | 是 | 否 |
| 需要伺服器憑證 | 是 | 是 |
| 驗證模型 | 雙向(雙方) | 僅伺服器 |
| 密碼風險 | 無 - 免密碼 | 加密通道中的密碼 |
| PKI 需求 | 完整 PKI (Root CA + Issuing CA + MDM) | 僅伺服器憑證 |
| WPA3-Enterprise 192-bit | 必要方法 | 不支援 |
| PCI DSS 4.0 合規相符性 | 強烈建議 | 搭配強大內部驗證時可接受 |
| BYOD 適用性 | 低(需要用戶端憑證) | 高(僅需憑證資訊) |
| IoT 裝置適用性 | 高(在預配時安裝憑證) | 低(無輸入憑證資訊的 UI) |
| Windows 原生支援 | 是 | 部分(通常需要第三方 Supplicant) |
| macOS/Linux/Android 支援 | 是 | 是 |
| 部署複雜度 | 高 | 中 |
實作指南
為託管裝置部署 EAP-TLS
部署 EAP-TLS 需要運作正常的 PKI 與 MDM 平台。在企業規模下,手動安裝憑證是不可行的。您必須使用 SCEP (Simple Certificate Enrolment Protocol) 或 EST (Enrolment over Secure Transport) 將您的 PKI 與 MDM 整合。當公司裝置進行註冊時,它會自動請求並接收其憑證,無需使用者介入。
在身分識別管理方面,Purple 在 Connect 授權下可作為 OpenRoaming 等服務的免費身分識別提供者,利用底層憑證與身分識別框架,促進不同地點之間的安全漫遊。
在 RADIUS 方面,請設定您的伺服器以根據內部 CA 驗證用戶端憑證,並檢查 CRL 或使用 OCSP 進行即時撤銷檢查。支援的 RADIUS 平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。Purple 的雲端覆蓋整合了 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 與 Fortinet 硬體。
針對混合環境部署 EAP-TTLS
對於包含非託管裝置的環境,EAP-TTLS 是最佳選擇。您只需要在 RADIUS 伺服器上部署受信任的憑證即可。請確保您的 RADIUS 伺服器直接與您的目錄服務(Microsoft Entra ID、Okta 或 Google Workspace)整合,以驗證內部驗證憑證。請設定透過 MDM 部署的 WiFi 設定檔,以針對您特定的受信任 CA 強制執行伺服器憑證驗證。如果缺少此步驟,TLS 通道將無法防範惡意存取點(Rogue AP)。

最佳實踐
在每台用戶端強制執行伺服器憑證驗證
對於 EAP-TLS 和 EAP-TTLS 而言,最關鍵的設定步驟是在用戶端裝置上強制執行伺服器憑證驗證。如果裝置沒有針對特定的信任 CA 驗證 RADIUS 伺服器的憑證,它將會連線到呈現任何憑證的任何伺服器 - 包括惡意存取點。請務必在 MDM 部署的 WiFi 設定檔中指定信任的 CA 和預期的伺服器名稱。這項單一設定檢查是您目前可以實施的最有效安全性改進。
自動化憑證生命週期管理
憑證會過期。如果您沒有自動更新流程,當憑證同時過期時,您將面臨大規模的驗證失敗。使用 SCEP 或 EST 來自動進行更新,並在到期日之前提前設定監控警報。如果裝置遺失或員工離職,請立即撤銷憑證。設定您的 RADIUS 伺服器以檢查 CRL 或使用 OCSP 進行即時驗證。
按驗證方法進行網路分段
在大型或分散式環境中,考慮在不同的 SSID 上執行這兩種協定。企業託管裝置在專用的員工 WiFi SSID 上透過 EAP-TLS 進行驗證。承包商和 BYOD 裝置則在具有適當 VLAN 分段的獨立 SSID 上透過 EAP-TTLS 進行驗證。這種模式在 Premier Inn 和 Whitbread 等酒店集團中非常常見,其員工裝置受到管理並獲發憑證,而訪客基礎設施則使用獨立的驗證路徑。有關 SSID 架構的更多詳細資訊,請參閱我們的指南 三個 SSID 搞定一切:訪客、員工和物聯網的 WiFi 設計 。
同步所有基礎設施的時間
憑證驗證依賴於準確的系統時間。用戶端裝置或 RADIUS 伺服器上的時鐘偏差會產生「尚未生效」或「已過期」的憑證錯誤,這些錯誤很難診斷。確保所有基礎設施元件都與可靠的 NTP 伺服器保持同步。
故障排除與風險緩釋
未知的 CA 錯誤
如果 RADIUS 記錄顯示「未知的 CA」,則表示用戶端裝置不信任簽發 RADIUS 伺服器憑證的 CA。驗證您的 MDM 設定檔是否包含根 CA 憑證,且用戶端已設定為信任它。在 CA 輪替或憑證更新後,請重新將更新後的 CA 憑證套件推送至所有裝置。
EAP 方法不匹配
如果裝置連接到存取點但驗證失敗,請檢查用戶端上設定的 EAP 方法是否與 RADIUS 伺服器接受的方法一致。設定為 EAP-TLS 的裝置設定檔在僅設定 PEAP 的 RADIUS 伺服器上將會驗證失敗。
憑證過期導致的大規模失敗
如果大量裝置同時驗證失敗,請先檢查憑證的到期日。這是 EAP-TLS 部署中導致大規模 802.1X 失敗最常見的原因。請實施監控系統,在到期前 60 天、30 天和 7 天發送警報。
RADIUS 用戶端設定錯誤
每個存取點或無線控制器都必須定義為 RADIUS 用戶端,並設定正確的 IP 地址和共用金鑰。不匹配會導致驗證逾時,這通常會被誤歸因於 EAP 方法。請從第一天起就啟用詳細的 RADIUS 記錄。如需進一步的 WiFi 疑難排解指南,請參閱我們的指南 疑難排解公共 WiFi:修復「已連線但無網際網路」與快顯視窗重新導向失敗 。
合規性與法規接軌
對於資訊安全長(CISO)和網路架構師而言,在決定使用 EAP-TLS 還是 EAP-TTLS 時,了解法規環境至關重要。EAP 方法的選擇會直接影響您在多個關鍵架構中的合規狀態。
PCI DSS 4.0 (支付卡產業資料安全標準) 要求在持卡人資料環境中的無線網路實施強式加密驗證。要求 8.3 規定所有對 CDE 的存取都必須進行多因素驗證,且在範圍內的無線網路必須利用強驗證機制。採用憑證型雙向驗證的 EAP-TLS 絕對符合這項要求。如果內部驗證得到妥善保護,且強制執行伺服器憑證驗證,則採用 MS-CHAPv2 的 EAP-TTLS 是可接受的,但 EAP-TLS 是更穩健且更易於通過稽核的選擇。 HIPAA (醫療保險可攜性與責任法案) 要求涵蓋實體實施技術安全保護措施,以保護在電子通訊網路上傳輸的電子保護健康資訊 (ePHI)。HIPAA 安全規則並未強制規定特定協定,但對於傳輸 ePHI 的無線網路,其對加密和存取控制的期望顯著偏向於為託管醫療裝置群部署 EAP-TLS,並為員工裝置部署強制執行伺服器憑證驗證的 EAP-TTLS。
WPA3-Enterprise 192-bit (亦稱為 Suite B 或 CNSA 模式) 是 Wi-Fi Alliance WPA3 認證中的最高安全層級。它規定將 EAP-TLS 作為唯一允許的驗證方法,要求使用 TLS 1.2 或更高版本並搭配特定的加密套件 (ECDHE 搭配 P-384、AES-256-GCM),且需要 ECDSA 或 RSA-3072 憑證。針對政府、國防或關鍵基礎設施應用部署 WPA3-Enterprise 192-bit 的企業組織必須使用 EAP-TLS。 ISO 27001 並未強制規定特定協定,但要求組織針對網路資源實施適當的存取控制。使用 EAP-TLS 或 EAP-TTLS (強制執行伺服器憑證驗證) 的 802.1X 部署可滿足附錄 A.9.1 與 A.13.1 的網路存取控制要求。
投資報酬率與企業影響
遷移至 EAP-TLS 需要在 PKI 和 MDM 整合方面進行初始投資,但它消除了密碼重設的營運開銷,以及因憑證遭破解而導致網路遭入侵的財務風險。對於擁有 400 家分店的零售連鎖店而言,在共用 PSK 網路上單一個被破解的密碼就可能危及整個資產。EAP-TLS 完全消除了該攻擊途徑。
對於多租戶環境和交通樞紐,安全驗證可確保只有授權使用者才能存取網路頻寬,進而最佳化基礎設施利用率。透過 RADIUS 憑證屬性進行的動態 VLAN 分配可實現加密強制執行的網路分段,確保裝置根據憑證屬性放置在正確的網路分段上,而不是依賴 SSID 選擇或 MAC 地址過濾。
Purple 的 WiFi Analytics 平台與這兩種驗證路徑整合,可讓您掌握整個資產中的裝置數量、工作階段持續時間和網路利用率。如需特定行業的部署指南,請探索我們針對 Hospitality 、 Retail 、 Healthcare 以及 Transport 的資源。
關鍵定義
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
RFC 5216 中定義的 802.1X 驗證方法,要求用戶端設備和 RADIUS 伺服器均出示有效的 X.509 憑證。不交換任何密碼。驗證是雙向且具備加密綁定的。
企業無線安全的黃金標準。WPA3-Enterprise 192-bit 所必需,並強烈建議用於 PCI DSS 4.0 持卡人數據環境。
EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)
RFC 5281 中定義的 802.1X 驗證方法,僅需要伺服器端憑證即可建立加密的 TLS 通道。用戶端在通道內使用次要的內部驗證方法(通常是使用者名稱和密碼)進行驗證。
BYOD 環境和混合作業系統網路的首選,在這些環境中部署用戶端憑證在營運上是不切實際的。
802.1X
一種用於基於連接埠之網路存取控制的 IEEE 標準,為連接到 LAN 或 WLAN 的設備提供驗證機制。它定義了申請者、驗證者和驗證伺服器的角色。
使企業網路能夠驗證個別設備而不是依賴單一共享密碼的基礎框架。EAP-TLS 和 EAP-TTLS 均在此框架內運作。
RADIUS (Remote Authentication Dial-In User Service)
一種網路協定,為連接到網路服務的使用者提供集中式的驗證、授權和計費管理。在 802.1X 部署中,RADIUS 伺服器是驗證憑證或認證資料的驗證伺服器。
用以驗證憑證或密碼並指示存取點是否授予或拒絕網路存取的伺服器組件。支援的平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。
PKI (Public Key Infrastructure)
建立、管理、分發、使用、存儲和撤銷數位憑證所需的一套角色、政策、硬體、軟體和程序。典型的企業 PKI 由離線根 CA 和線上發行 CA 組成。
簽發 EAP-TLS 驗證中所使用的用戶端和伺服器憑證所需的後端基礎架構。沒有 PKI,就無法部署 EAP-TLS。
MDM (Mobile Device Management)
IT 部門用於監控、管理和保護員工行動設備與筆記型電腦的軟體。Microsoft Intune 和 Jamf 等 MDM 平台可以自動向已註冊的設備部署憑證和 WiFi 設定檔。
對於大規模自動化部署 EAP-TLS 用戶端憑證至關重要。若不整合 MDM,在數千台設備上手動安裝憑證在營運上是不可能的。
SCEP (Simple Certificate Enrollment Protocol)
一種用於自動向網路設備簽發數位憑證的協定。MDM 平台使用 SCEP 在無使用者互動的情況下,靜默地向已註冊的企業設備要求並安裝憑證。
EAP-TLS 部署中免手動憑證佈署的標準機制。受 Microsoft Intune、Jamf 和大多數企業 MDM 平台支援。
CRL (Certificate Revocation List)
由發行憑證授權單位在其預定到期日之前撤銷的數位憑證清單。RADIUS 伺服器會檢查 CRL,以驗證連線裝置的憑證是否仍然有效。
一種可讓您透過撤銷其憑證,立即使遭竊或遭入侵的設備無法存取網路的機制。RADIUS 伺服器應配置為頻繁檢查 CRL,或使用 OCSP 進行即時驗證。
X.509
定義公鑰憑證格式的 ITU-T 標準。EAP-TLS 和 EAP-TTLS 都使用 X.509 憑證進行伺服器驗證。EAP-TLS 還需要在用戶端裝置上安裝 X.509 憑證。
所有企業 PKI 部署中使用的憑證格式。當 IT 團隊在 802.1X 的上下文中提到「數位憑證」時,他們指的是 X.509 憑證。
內部驗證方法
在由 EAP-TTLS 建立的加密 TLS 通道內使用的次要驗證協定。常見的內部方法包括 PAP(密碼驗證協定)、CHAP 和 MS-CHAPv2。
選擇內部驗證方法會影響 EAP-TTLS 部署的安全性。PAP 在通道內以純文字傳送密碼;MS-CHAPv2 使用查問回應機制。通道會加密所有內部驗證流量。
範例
一家擁有 400 家分店的連鎖零售商需要保護其銷售點(POS)終端機和員工手持掃描儀的安全。該環境屬於 PCI-DSS 4.0 的範圍。所有裝置均已註冊於 Microsoft Intune。他們應該部署哪種協定,關鍵的設定步驟是什麼?
部署 EAP-TLS。步驟 1:建立一個雙層 PKI,包含一個實體隔離的離線根 CA 和一個線上發行 CA。步驟 2:使用針對所有 POS 和掃描儀裝置的 SCEP 憑證設定檔來設定 Microsoft Intune。步驟 3:部署 RADIUS 伺服器(Microsoft NPS 或雲端 RADIUS),並將其設定為對照內部 CA 驗證用戶端憑證。步驟 4:在 RADIUS 伺服器上啟用 CRL 檢查或 OCSP。步驟 5:透過 Intune 推送 WiFi 設定檔,其中指定 SSID、EAP-TLS 作為驗證方法、受信任的根 CA 以及預期的 RADIUS 伺服器名稱。步驟 6:在推廣到所有 400 個站點之前,先以 10 台裝置的試點小組進行測試。步驟 7:建立憑證過期監控流程,並在過期前 60 天、30 天和 7 天發出警報。
一個大型大學校園需要為 20,000 名使用個人筆記型電腦、智慧型手機和平板電腦(BYOD)混合裝置的學生提供安全的 WiFi。IT 團隊無法在個人裝置上安裝憑證。該大學使用 Microsoft Entra ID 進行身分識別管理。他們應該部署哪種協定?
部署以 MS-CHAPv2 作為內部驗證方法的 EAP-TTLS,並透過 RADIUS 與 Microsoft Entra ID 進行整合。步驟 1:向所有主要作業系統都信任的公共 CA 取得伺服器憑證,或部署內部 CA 並透過大學的裝置管理工具為託管裝置分發根憑證。步驟 2:將 RADIUS 伺服器設定為使用 LDAP 或 RADIUS 代理對照 Microsoft Entra ID 進行驗證。步驟 3:為學生建立 WiFi 入網指南,其中指定 SSID、EAP-TTLS、MS-CHAPv2 以及受信任的 CA。步驟 4:在 Entra ID 層級強制執行強密碼策略,並考慮為初始註冊啟用多因素驗證。步驟 5:設定 WiFi 設定檔以強制執行伺服器憑證驗證,並指定受信任的 CA 和 RADIUS 伺服器名稱。
練習題
Q1. 您正在為 50 個辦公室位置的 5,000 台公司筆記型電腦部署 EAP-TLS。透過 Microsoft Intune 推送 WiFi 設定檔後,裝置無法連線。RADIUS 伺服器記錄為每次失敗的驗證嘗試顯示「Unknown CA」。最可能的原因是什麼,以及您如何解決?
提示:請考慮用戶端側的憑證驗證鏈,以及 MDM 設定檔除了 EAP 方法設定之外,還必須包含哪些內容。
查看標準答案
用戶端裝置未設定為信任發行 RADIUS 伺服器憑證的內部憑證授權單位。MDM WiFi 設定檔必須包含根 CA 憑證(以及任何中間 CA 憑證),並設定 supplicant 信任它們以進行伺服器驗證。若沒有此設定,用戶端會拒絕 RADIUS 伺服器的憑證並終止交握。解決方案:更新 Intune WiFi 設定檔,在「用於伺服器驗證的根憑證」設定下包含受信任的根 CA 憑證,然後重新將設定檔推送至所有裝置。
Q2. 您的組織已為混合的 BYOD 環境部署 EAP-TTLS。在安全性審查期間,您的滲透測試團隊示範了他們可以透過使用自我簽署憑證設定 rogue 存取點來擷取使用者認證。在不遷移至 EAP-TLS 的情況下,您如何修補此漏洞?
提示:思考在內部驗證之前會發生什麼事,以及用戶端側的什麼設定可防止與不受信任的伺服器建立 TLS 通道。
查看標準答案
存在此漏洞是因為用戶端裝置未設定為驗證 RADIUS 伺服器的憑證。修補程式:更新所有 WiFi 設定檔(託管裝置透過 MDM,BYOD 則透過新的新手引導指南),以強制執行伺服器憑證驗證。在設定檔中指定受信任的 CA 和預期的 RADIUS 伺服器名稱。以此方式設定的用戶端將拒絕與任何無法出示由指定受信任 CA 簽署之憑證的伺服器建立 TLS 通道,從而消除 rogue 存取點攻擊媒介。
Q3. 一家醫院的 IT 主管希望為其醫療 IoT 裝置(輸液幫浦、病患監視器、環境感測器)部署 802.1X。他們正在考慮 EAP-TTLS,因為他們認為憑證管理過於複雜。為什麼這種推理是有缺陷的,正確的方法是什麼?
提示:考慮無螢幕的 IoT 裝置如何處理驗證提示,以及當裝置無法輸入認證時會發生什麼事。
查看標準答案
此推理存在兩個漏洞。首先,大多數無螢幕的醫療 IoT 設備沒有輸入憑據的整合式使用者介面,這使得使用使用者名稱/密碼進行內部驗證的 EAP-TTLS 在運作上無法執行。其次,在實際應用中,EAP-TLS 對於 IoT 設備反而更簡單:憑證可以在部署前的設備整備階段進行配置,隨後設備會自動進行驗證,無需任何使用者互動。正確的方法是使用 EAP-TLS,並透過整備階段所使用的設備管理系統來配置憑證。這也符合 HIPAA 對醫療保健環境中強效無線驗證的要求。
Q4. 您是一家擁有 200 家物業的酒店集團的網路架構師。您需要為 3,000 台託管員工設備(已註冊於 Intune)確保 Staff WiFi 的安全,同時也需要為攜帶個人筆記型電腦的承包商和第三方廠商提供安全的 WiFi。請設計其驗證架構。
提示:請考慮單一 SSID 搭配單一 EAP 方法是否能同時服務這兩類群體,以及這兩種使用者類型會帶來哪些網路分段影響。
查看標準答案
部署兩個獨立的 SSID,並配置不同的驗證方法與 VLAN 分配。SSID 1 (Staff WiFi):採用 EAP-TLS,憑證透過 Intune SCEP 推送,VLAN 分配至員工網路區段,可完全存取酒店管理系統。SSID 2 (承包商 WiFi):採用 EAP-TTLS 搭配 MS-CHAPv2,憑據透過獨立的目錄或 Microsoft Entra ID 中的限時承包商帳戶進行驗證,VLAN 分配至僅限網際網路的隔離區段,無法存取內部系統。兩個 SSID 都必須強制執行伺服器憑證驗證。此架構為員工提供最高的安全性,同時為承包商提供實用的驗證方法,且網路分段可確保受損的承包商憑據無法接觸到內部的酒店管理系統。
繼續閱讀本系列
為訪客與員工 WiFi 網路配置 RADIUS 驗證
本技術參考指南概述了企業訪客和員工 WiFi 網路的 RADIUS 驗證架構、配置與部署。它為網路架構師和 IT 經理提供了構建安全、可擴展的無線存取控制系統所需的確切協定、安全標準與疑難排解方法。
Passpoint and OpenRoaming: 完整指南
本技術參考指南針對企業 WiFi 網路中的 Passpoint (Hotspot 2.0) 和 WBA OpenRoaming 架構提供全面分析。內容詳述了建立安全、無摩擦的訪客連線所需的底層驗證協定、架構元件和部署策略。網路架構師和 IT 領導者將學習如何設計、實作這些標準並進行疑難排解,以便在維持企業級安全性的同時,消除手動登入的障礙。
如何在大專院校實施 SCEP 以實現安全的 BYOD 與網路註冊
本技術指南為網路架構師和 IT 經理提供了一個與廠商無關的藍圖,用於部署基於 SCEP 的憑證註冊,以保護大專院校校園網路的安全。它詳細介紹了如何從基於密碼的 PEAP 遷移到 802.1X EAP-TLS、自動化 BYOD 註冊,以及實施強大的 VLAN 區隔。