跳至主要內容
繁體中文

EAP-TLS 對決 EAP-TTLS:您應該選擇哪種基於憑證的 Wi-Fi 協定?

本指南針對 IEEE 802.1X 架構下的企業級 Wi-Fi 驗證,對 EAP-TLS 與 EAP-TTLS 進行了權威的全面對比。它解釋了雙向憑證驗證與僅伺服器憑證通道之間的架構差異,並為 IT 經理、網路架構師和 CISO 提供了一個基於裝置管理能力和合規要求的清晰決策框架。Purple 支援員工 Wi-Fi 的 EAP-TLS 和 EAP-TTLS 驗證路徑,本指南可協助企業在決定採用任一方法之前,了解基礎設施的權衡取捨。

📖 9 分鐘閱讀📝 2,090 字數🔧 2 範例4 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
引言與背景資訊 (0:00 - 2:00) 您好,歡迎收看 Purple 的技術簡報。我是您的主持人,今天我們將為您深度剖析企業級 WiFi 驗證中 EAP-TLS 與 EAP-TTLS 之間關鍵的差異。如果您是網路架構師、IT 總監,或負責管理零售連鎖店、醫院或體育館等大型場館的基礎設施,本簡報正是為您量身打造。我們將排除干擾,直接探討安全架構、部署權衡,以及如何為您的環境選擇合適的協定。讓我們直接進入主題。 在深入探討協定本身之前,我們首先說明一下背景現狀。當今大多數企業 WiFi 部署仍依賴單一的共享密碼,即預共用金鑰(PSK)。網路上的每台裝置都使用相同的憑證。當員工離職或裝置遺失時,您有兩種選擇:為所有人更改密碼,或者承受離職員工或竊賊仍持有有效驗證資訊的風險。對於重視資安的企業來說,這兩種選擇都無法接受。 解決方案就是 802.1X,這是基於連接埠之網路存取控制的 IEEE 標準。802.1X 為每台裝置提供獨立的專屬驗證憑證。當裝置連線時,無線基地台(Access Point)不會直接授予存取權限。它會將驗證請求轉發至集中式的 RADIUS 伺服器,由該伺服器驗證憑證並通知無線基地台是否開放連接埠。這樣一來,即可實現可審計、可撤銷且針對單一裝置的存取控制。這正是 EAP-TLS 和 EAP-TTLS 建立的基石。 這兩種協定都是可延伸驗證協定方法(簡稱 EAP 方法),在 802.1X 架構下運行。問題不在於是否使用 802.1X,問題在於要在其中使用哪種 EAP 方法。這也正是我們今天要在這裡解答的問題。 EAP-TLS 技術深度解析 (2:00 - 5:30) 我們首先從 EAP-TLS 開始,其代表傳輸層安全性協定。EAP-TLS 定義於 RFC 5216 中,被廣泛視為無線驗證的金科玉律。其核心原則是雙向驗證。用戶端裝置與 RADIUS 伺服器都必須出示有效的 X.509 數位憑證以證明身分,然後才會授予網路存取權限。整個過程中完全不涉及密碼。完全沒有。 從安全性的角度來看,這至關重要。密碼可能會被釣魚竊取,可能被暴力破解,也可能因為員工在第三方服務重複使用相同密碼,在該服務發生資料外洩時遭到竊取。憑證無法被釣魚、無法被猜測,且綁定於特定裝置。如果惡意行為者想要入侵您的網路,他們需要取得實體裝置及其嵌入的加密私鑰。這是一個本質上完全不同的威脅模型。 讓我為您詳細說明 EAP-TLS 握手的過程,因為了解這個過程就能明白為什麼此協定如此安全。當裝置嘗試連線至 WiFi 網路時,存取點會傳送 EAP-Request 以要求取得裝置的身分。裝置會做出回應,接著存取點會將此回應轉發給 RADIUS 伺服器。RADIUS 伺服器會傳送 Server Hello 訊息及本身的 X.509 憑證,藉此啟動 TLS 握手。用戶端會根據其信任的根憑證授權單位 (Root CA) 存放區來驗證此伺服器憑證。如果驗證失敗,握手會立即終止,裝置也會拒絕連線。這就是防範 Evil Twin 攻擊的機制,可防止駭客設定惡意存取點來冒充您的網路。 如果伺服器憑證有效,用戶端接著會將自己的 X.509 憑證出示給 RADIUS 伺服器。RADIUS 伺服器會驗證用戶端憑證:檢查其簽章鏈結是否可追溯至信任的根憑證授權單位 (Root CA)、驗證憑證是否過期,並檢查憑證撤銷清單 (CRL) 以確保該憑證未被撤銷。只有在雙方都確認無誤後,才會建立 TLS 通道並傳送 EAP-Success 訊息以授予網路存取權限。整個交換過程使用 TLS 1.2 或 1.3,提供完美前向保密 (Perfect Forward Secrecy)。 然而,這種安全層級伴隨著營運上的要求:您需要公開金鑰基礎建設 (PKI)。至少需要一個離線的根憑證授權單位 (Root CA) 和一個線上的發行憑證授權單位 (Issuing CA)。根憑證授權單位應進行實體隔離 (air-gapped),因為其私鑰是整個憑證階層架構的主信任錨。發行憑證授權單位負責處理日常的憑證發行,並發佈憑證撤銷清單。至關重要的是,您需要一個能將用戶端憑證部署到網路中每台裝置的機制。對於擁有數千台裝置的系統而言,這意味著需要使用 SCEP (簡單憑證註冊協定) 將您的 PKI 與行動裝置管理 (MDM) 平台整合。當公司裝置註冊到 MDM 時,它會自動請求並接收其憑證,無需任何使用者互動。 實作情境 (5:30 - 8:00) 那麼,您應該部署哪種協定?這項決策幾乎完全取決於您的裝置管理能力和合規性要求。讓我為您提供一個實用的決策架構。 請問自己三個問題。第一:所有連線到此網路的裝置,是否都是透過 Microsoft Intune 或 Jamf 等 MDM 平台由公司管理的?如果是,代表您擁有部署用戶端憑證的基礎建設,而 EAP-TLS 就是正確的選擇。第二:此網路是否需要符合 PCI DSS 4.0、HIPAA 或 WPA3 Enterprise 192 位元的要求?如果是,EAP-TLS 是必選的協定。第三:您是否有很大比例的非受管或 BYOD 裝置?如果是,EAP-TTLS 是該網路區段最務實的選擇。 讓我給您兩個具體的真實世界場景。場景一:擁有四百家門市的全國性零售連鎖店。每個收銀終端和員工手持掃描儀都已註冊在 Microsoft Intune 中。該網路屬於 PCI DSS 4.0 的範圍。在此環境中,您部署 EAP-TLS。您建立私有 PKI,使用 Intune 透過 SCEP 將唯一的用戶端憑證推送到每台裝置,並配置您的 RADIUS 伺服器以檢查憑證撤銷清單。如果裝置被盜,您只需撤銷其憑證,它就會在幾分鐘內脫離網路。無需重設密碼。無需在四百個站點之間輪換共用密鑰。 場景二:擁有兩萬名學生使用個人筆記型電腦、智慧型手機和平板電腦的大型大學校園。IT 團隊無法在個人裝置上安裝憑證。在此環境中,EAP-TTLS 是務實的選擇。您在 RADIUS 伺服器上安裝受信任的憑證,與大學目錄服務整合,學生即可在安全通道內使用其現有的憑證進行驗證。它支援 Windows、macOS、Linux、Android 和 iOS,且用戶端無需任何額外軟體。 在許多大型企業中,答案實際上是兩者兼具。您為受管理的企業裝置部署 EAP-TLS,並為承包商、訪客和 BYOD 部署 EAP-TTLS 或獨立的安全網路。這是餐旅集團中常見的模式,其員工裝置受到管理並獲發憑證,而面向顧客的基礎設施則使用完全不同的驗證路徑。 快速問答 (8:00 - 9:00) 讓我針對我們經常從 CTO 和網路架構師那裡聽到的問題,提供一些快速解答。 問題一:WPA3 Enterprise 是否需要 EAP-TLS?如果您正在實施 WPA3 Enterprise 192 位元安全性套件,是的,EAP-TLS 是唯一允許的方法。它是唯一滿足 Wi-Fi Alliance WPA3-Enterprise 192 位元要求的 EAP 方法。 問題二:我們能否將 EAP-TTLS 用於 IoT 裝置?通常不行。無螢幕的 IoT 裝置(如輸液幫浦或環境感測器)通常缺乏處理複雜內部驗證方法的介面。EAP-TLS 實際上更適合 IoT,因為您可以在裝置預配置期間佈署憑證。裝置會自動進行驗證,無需使用者互動。 問題三:在 EAP-TLS 網路上使用 BYOD 表現如何?對於不受管理的個人裝置,EAP-TLS 在營運上相當困難。您可以使用引導式入口網頁來配置臨時憑證,但這會增加阻力。對於 BYOD,EAP-TTLS 或具有適當區隔的專用客用網路通常是正確的答案。 問題四:這與硬體廠商有何關係?EAP-TLS 和 EAP-TTLS 在所有主要的企業級 WiFi 硬體平台(Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi)上均受到支援。設定細節因平台而異,但底層標準是與廠商無關的。 摘要與後續步驟 (9:00 - 10:00) 總結來說,以下是您的核心重點。EAP-TLS 透過雙向憑證驗證提供最高的安全性。它完全消除了密碼風險,是託管裝置群和受監管環境的正確選擇。EAP-TTLS 透過伺服器端憑證和加密認證通道提供強大的安全性。它是混合或 BYOD 環境的正確選擇。這兩種協定都需要您在每個用戶端上強制執行伺服器憑證驗證。若沒有它,這兩種協定都無法保護您免受惡意存取點的侵害。而憑證生命週期管理是 EAP-TLS 的主要維運挑戰 — 從第一天起就透過 MDM 和 SCEP 實現自動化。 您的後續步驟?審計您目前的 802.1X 部署。如果您仍依賴共用密碼,請規劃您的遷移。檢查您的用戶端 supplicant 是否正在驗證伺服器憑證。如果您要在多個場域或分佈式場地進行部署,請考慮使用雲端託管的 RADIUS 服務以減輕維運負擔。感謝您收聽來自 Purple 的技術簡報。Purple 在我們超過 80,000 個實體場域中,為員工 WiFi 同時支援 EAP-TLS 和 EAP-TTLS 驗證路徑。欲了解更多詳細的部署指南,並了解我們的分析與身分識別平台如何與您的安全網路整合,請造訪 purple.ai。

header_image.png

कार्यकारी सारांश (Executive summary)

अपने 802.1X डिप्लॉयमेंट के लिए सही EAP विधि चुनना यह तय करता है कि आपका एंटरप्राइज WiFi वास्तव में सुरक्षित है या केवल कागजों पर ही अनुपालन करता है। EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), जो RFC 5216 में परिभाषित है, को आपसी प्रमाणपत्र प्रमाणीकरण (mutual certificate authentication) की आवश्यकता होती है: नेटवर्क एक्सेस मिलने से पहले क्लाइंट डिवाइस और RADIUS सर्वर दोनों वैध X.509 प्रमाणपत्र प्रस्तुत करते हैं। किसी भी समय पासवर्ड का आदान-प्रदान नहीं किया जाता है। EAP-TTLS (Tunneled Transport Layer Security), जो RFC 5281 में परिभाषित है, को एक एन्क्रिप्टेड TLS टनल स्थापित करने के लिए केवल एक सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है, जिसके अंदर क्लाइंट मौजूदा निर्देशिका क्रेडेंशियल का उपयोग करके प्रमाणित होता है।

रिटेल चेन, हॉस्पिटैलिटी स्थलों और सार्वजनिक क्षेत्र के संगठनों में बुनियादी ढांचे का प्रबंधन करने वाले CTOs और नेटवर्क आर्किटेक्ट्स के लिए, यह निर्णय केवल एक प्रश्न पर निर्भर करता है: क्या आप उपकरणों का प्रबंधन करते हैं? यदि आप MDM के माध्यम से डिवाइस बेड़े को नियंत्रित करते हैं, तो EAP-TLS निश्चित विकल्प है। यदि आप एक विविध BYOD वातावरण का समर्थन करते हैं या एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) की कमी है, तो EAP-TTLS एक व्यावहारिक, अत्यधिक सुरक्षित विकल्प प्रदान करता है। Purple 80,000+ से अधिक लाइव स्थलों पर Staff WiFi के लिए दोनों प्रमाणीकरण पथों का समर्थन करता है।

comparison_chart.png

तकनीकी गहन विश्लेषण (Technical deep-dive)

EAP-TLS की वास्तुकला

EAP-TLS, IEEE 802.1X पोर्ट-आधारित एक्सेस कंट्रोल फ्रेमवर्क के भीतर एक आपसी प्रमाणीकरण (mutual authentication) मॉडल पर काम करता है। प्रत्येक प्रमाणीकरण विनिमय में तीन मुख्य कारक होते हैं: सप्लिकेंट (क्लाइंट डिवाइस), ऑथेंटिकेटर (वायरलेस एक्सेस पॉइंट), और ऑथेंटिकेशन सर्वर (RADIUS सर्वर)। एक्सेस पॉइंट स्वयं प्रमाणीकरण निर्णय नहीं लेता है। यह एक पारदर्शी रिले के रूप में कार्य करता है, जो EAP संदेशों को RADIUS पैकेटों में समाहित करता है और उन्हें ऑथेंटिकेशन सर्वर पर भेजता है।

EAP-TLS हैंडशेक इस प्रकार आगे बढ़ता है। एक्सेस पॉइंट कनेक्ट होने वाले डिवाइस को एक EAP-Request/Identity भेजता है। डिवाइस अपनी पहचान के साथ प्रतिक्रिया देता है। RADIUS सर्वर EAP-TLS/Start संदेश के साथ TLS हैंडशेक शुरू करता है। क्लाइंट एक ClientHello भेजता है, जो इसके समर्थित TLS साइफर सुइट्स का विज्ञापन करता है। RADIUS सर्वर ServerHello, अपने X.509 सर्वर सर्टिफिकेट और एक सर्टिफिकेट अनुरोध के साथ प्रतिक्रिया देता है। क्लाइंट अपने विश्वसनीय रूट CA स्टोर के खिलाफ सर्वर सर्टिफिकेट को सत्यापित करता है। यदि सत्यापन विफल हो जाता है, तो हैंडशेक समाप्त हो जाता है - जो अनधिकृत (rogue) एक्सेस पॉइंट से सुरक्षा प्रदान करता है। इसके बाद क्लाइंट अपना स्वयं का X.509 सर्टिफिकेट प्रस्तुत करता है। RADIUS सर्वर क्लाइंट सर्टिफिकेट को सत्यापित करता है, विश्वसनीय रूट CA तक सिग्नेचर चेन की जांच करता है, सत्यापित करता है कि सर्टिफिकेट समाप्त नहीं हुआ है, और सर्टिफिकेट निरसन सूची (CRL) की जांच करता है या OCSP से पूछताछ करता है। केवल तभी जब दोनों पक्ष संतुष्ट होते हैं, TLS टनल स्थापित होती है और नेटवर्क एक्सेस प्रदान किया जाता है।

चूंकि किसी भी पासवर्ड का आदान-प्रदान नहीं होता है, इसलिए EAP-TLS ऑफलाइन डिक्शनरी हमलों, क्रेडेंशियल स्टफिंग और फ़िशिंग से सुरक्षित है। यह एकमात्र EAP तरीका है जो WPA3-Enterprise 192-bit (Suite B) आवश्यकताओं को पूरा करता है, और इसे कार्डधारक डेटा वातावरण के लिए PCI DSS 4.0 द्वारा और उच्च-सुरक्षा वायरलेस परिनियोजन के लिए NIST SP 800-120 द्वारा अनिवार्य या दृढ़ता से अनुशंसित किया गया है।

EAP-TLS के लिए एक PKI की आवश्यकता होती है। आपको कम से कम एक ऑफलाइन रूट CA और एक ऑनलाइन जारी करने वाले CA की आवश्यकता होती है। रूट CA एयर-गैप्ड होना चाहिए, क्योंकि इसकी प्राइवेट की (private key) आपके संपूर्ण सर्टिफिकेट पदानुक्रम के लिए मास्टर ट्रस्ट एंकर है। जारी करने वाला CA दैनिक सर्टिफिकेट जारी करने का काम संभालता है और CRL प्रकाशित करता है। क्लाइंट सर्टिफिकेट व्यक्तिगत उपकरणों को जारी किए जाते हैं, उपयोगकर्ताओं को नहीं - यह एक डिवाइस-आइडेंटिटी मॉडल है। यह अंतर IoT उपकरणों, साझा टर्मिनलों और हेडलेस सिस्टम के लिए महत्वपूर्ण है।

EAP-TTLS की संरचना

EAP-TTLS को हर क्लाइंट डिवाइस पर सर्टिफिकेट तैनात करने के परिचालन बोझ के बिना मजबूत 802.1X सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया था। यह दो चरणों में काम करता है। पहले चरण में, RADIUS सर्वर अपना सर्टिफिकेट प्रस्तुत करता है और एक सुरक्षित TLS टनल स्थापित करता है। केवल सर्वर को ही सर्टिफिकेट की आवश्यकता होती है। दूसरे चरण में, क्लाइंट एक आंतरिक प्रमाणीकरण पद्धति का उपयोग करके उस एन्क्रिप्टेड टनल के भीतर प्रमाणित होता है। सामान्य आंतरिक तरीकों में PAP (Password Authentication Protocol), CHAP, और MS-CHAPv2 शामिल हैं। क्लाइंट अपना उपयोगकर्ता नाम और पासवर्ड भेजता है, लेकिन क्योंकि यह आदान-प्रदान TLS टनल के भीतर होता है, क्रेडेंशियल ट्रांज़िट में एन्क्रिप्टेड होते हैं और कभी भी हवा में उजागर नहीं होते हैं।

EAP-TTLS macOS, Linux, Android, और iOS पर उत्कृष्ट क्रॉस-प्लेटफ़ॉर्म सहायता प्रदान करता है। चेतावनी Windows को लेकर है: इन-बिल्ट Windows सप्लिकेंट वायरलेस 802.1X के लिए EAP-TTLS को पूरी तरह से लागू नहीं करता है। अधिक Windows वाले वातावरणों को एक तृतीय-पक्ष सप्लिकेंट की आवश्यकता हो सकती है, जो परिचालन जटिलता को बढ़ाता है। Windows-केंद्रित वातावरणों के लिए, MS-CHAPv2 के साथ PEAP अक्सर अधिक व्यावहारिक विकल्प होता है।

EAP-TTLS की सबसे बड़ी सीमा यह है कि यह पासवर्ड के अंतर्निहित जोखिमों को समाप्त नहीं करता है। यदि कोई उपयोगकर्ता कमज़ोर पासवर्ड चुनता है, तो वह बाद में ऑफ़लाइन ब्रूट फ़ोर्स के प्रति संवेदनशील रहता है। यदि आंतरिक प्रमाणीकरण PAP का उपयोग करता है, तो पासवर्ड टनल के भीतर प्लेनटेक्स्ट में भेजा जाता है - जो तब स्वीकार्य है जब आप अपने RADIUS इन्फ्रास्ट्रक्चर पर भरोसा करते हैं, लेकिन इसे एक ट्रस्ट मॉडल के रूप में समझना आवश्यक है।

आमने-सामने तुलना

विशेषता EAP-TLS EAP-TTLS
RFC मानक RFC 5216 RFC 5281
क्लाइंट प्रमाणपत्र आवश्यक हाँ नहीं
सर्वर प्रमाणपत्र आवश्यक हाँ हाँ
प्रमाणीकरण मॉडल आपसी (दोनों पक्ष) केवल-सर्वर
पासवर्ड का जोखिम कोई नहीं - पासवर्ड रहित एन्क्रिप्टेड टनल में पासवर्ड
PKI आवश्यकता पूर्ण PKI (रूट CA + जारीकर्ता CA + MDM) केवल सर्वर प्रमाणपत्र
WPA3-Enterprise 192-bit आवश्यक विधि समर्थित नहीं
PCI DSS 4.0 संरेखण दृढ़ता से अनुशंसित मजबूत आंतरिक प्रमाणीकरण के साथ स्वीकार्य
BYOD उपयुक्तता कम (क्लाइंट प्रमाणपत्र की आवश्यकता होती है) उच्च (केवल क्रेडेंशियल्स)
IoT डिवाइस उपयुक्तता उच्च (स्टेजिंग पर प्रमाणपत्र प्रदान किया गया) कम (क्रेडेंशियल इनपुट के लिए कोई UI नहीं)
Windows मूल समर्थन हाँ आंशिक (अक्सर तृतीय-पक्ष सप्लीकेंट की आवश्यकता होती है)
macOS/Linux/Android समर्थन हाँ हाँ
परिनियोजन जटिलता उच्च मध्यम

कार्यान्वयन गाइड

प्रबंधित फ़्लीट के लिए EAP-TLS तैनात करना

EAP-TLS को तैनात करने के लिए एक कार्यात्मक PKI और एक MDM प्लेटफॉर्म की आवश्यकता होती है। मैन्युअल प्रमाणपत्र स्थापना एंटरप्राइज़ स्तर पर व्यवहार्य नहीं है। आपको SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) या EST (एनरोलमेंट ओवर सिक्योर ट्रांसपोर्ट) का उपयोग करके अपने PKI को अपने MDM के साथ एकीकृत करना होगा। जब एक कॉर्पोरेट डिवाइस नामांकित होता है, तो यह उपयोगकर्ता के हस्तक्षेप के बिना स्वचालित रूप से अपने प्रमाणपत्र का अनुरोध करता है और प्राप्त करता है।

पहचान प्रबंधन के लिए, Connect लाइसेंस के तहत OpenRoaming जैसी सेवाओं के लिए Purple एक निःशुल्क पहचान प्रदाता के रूप में कार्य करता है, जो अंतर्निहित प्रमाणपत्र और पहचान ढांचे का उपयोग करके विभिन्न स्थानों पर सुरक्षित रोमिंग की सुविधा प्रदान करता है।

RADIUS की ओर, अपने आंतरिक CA के विरुद्ध क्लाइंट प्रमाणपत्रों को मान्य करने और रीयल-टाइम निरसन जाँच के लिए CRL की जाँच करने या OCSP का उपयोग करने के लिए अपने सर्वर को कॉन्फ़िगर करें। समर्थित RADIUS प्लेटफॉर्म में FreeRADIUS, Microsoft NPS और Cisco ISE शामिल हैं। Purple का क्लाउड ओवरले Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet हार्डवेयर के साथ एकीकृत होता है।

मिश्रित परिवेशों के लिए EAP-TTLS तैनात करना

अप्रबंधित उपकरणों वाले परिवेशों के लिए EAP-TTLS इष्टतम विकल्प है। आपको केवल अपने RADIUS सर्वर पर एक विश्वसनीय प्रमाणपत्र तैनात करने की आवश्यकता है। सुनिश्चित करें कि आपका RADIUS सर्वर आंतरिक प्रमाणीकरण क्रेडेंशियल्स को मान्य करने के लिए सीधे आपकी निर्देशिका सेवा - Microsoft Entra ID, Okta, या Google Workspace - के साथ एकीकृत हो। अपने MDM-तैनात WiFi प्रोफाइल को अपने विशिष्ट विश्वसनीय CA के विरुद्ध सर्वर प्रमाणपत्र सत्यापन लागू करने के लिए कॉन्फ़िगर करें। इस चरण के बिना, TLS टनल दुष्ट एक्सेस पॉइंट्स के खिलाफ कोई सुरक्षा प्रदान नहीं करती है।

decision_framework.png

सर्वोत्तम प्रथाएं

प्रत्येक क्लाइंट पर सर्वर प्रमाणपत्र सत्यापन लागू करें

EAP-TLS और EAP-TTLS दोनों के लिए सबसे महत्वपूर्ण कॉन्फ़िगरेशन चरण क्लाइंट डिवाइस पर सर्वर प्रमाणपत्र सत्यापन को लागू करना है। यदि कोई डिवाइस किसी विशिष्ट विश्वसनीय CA के विरुद्ध RADIUS सर्वर के प्रमाणपत्र को सत्यापित नहीं करता है, तो यह किसी भी प्रमाणपत्र को प्रस्तुत करने वाले किसी भी सर्वर से जुड़ जाएगा - जिसमें एक दुष्ट एक्सेस पॉइंट भी शामिल है। हमेशा अपने MDM-नियोजित WiFi प्रोफाइल में विश्वसनीय CA और अपेक्षित सर्वर नाम निर्दिष्ट करें। यह एकल कॉन्फ़िगरेशन जांच सबसे प्रभावी सुरक्षा सुधार है जिसे आप आज लागू कर सकते हैं।

प्रमाणपत्र जीवनचक्र प्रबंधन को स्वचालित करें

प्रमाणपत्रों की अवधि समाप्त हो जाती है। यदि आपके पास स्वचालित नवीनीकरण प्रक्रिया नहीं है, तो प्रमाणपत्रों की अवधि एक साथ समाप्त होने पर आपको बड़े पैमाने पर प्रमाणीकरण विफलताओं का सामना करना पड़ेगा। नवीनीकरण को स्वचालित करने के लिए SCEP या EST का उपयोग करें, और समाप्ति तिथियों से काफी पहले निगरानी अलर्ट कॉन्फ़िगर करें। यदि कोई डिवाइस खो जाता है या कोई कर्मचारी चला जाता है, तो प्रमाणपत्र को तुरंत निरस्त कर दें। रीयल-टाइम सत्यापन के लिए CRL की जांच करने या OCSP का उपयोग करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें।

प्रमाणीकरण विधि द्वारा अपने नेटवर्क को विभाजित करें

बड़े या वितरित परिवेशों में, अलग-अलग SSID पर दोनों प्रोटोकॉल चलाने पर विचार करें। कॉर्पोरेट प्रबंधित डिवाइस एक समर्पित स्टाफ WiFi SSID पर EAP-TLS के माध्यम से प्रमाणित होते हैं। ठेकेदार और BYOD डिवाइस उपयुक्त VLAN विभाजन के साथ एक अलग SSID पर EAP-TTLS के माध्यम से प्रमाणित होते हैं। यह पैटर्न प्रीमियर इन और व्हिटब्रेड जैसे आतिथ्य समूहों में आम है, जहां स्टाफ उपकरणों को प्रबंधित और प्रमाणपत्र जारी किए जाते हैं, जबकि मेहमानों के लिए बुनियादी ढांचा एक अलग प्रमाणीकरण पथ का उपयोग करता है। SSID आर्किटेक्चर के बारे में अधिक जानकारी के लिए, हमारा गाइड देखें Three SSIDs to rule them all: the WiFi design for guest, staff and IoT

सभी बुनियादी ढांचे में समय को सिंक्रनाइज़ करें

प्रमाणपत्र सत्यापन सटीक सिस्टम समय पर निर्भर करता है। क्लाइंट उपकरणों या RADIUS सर्वरों पर घड़ी का विचलन 'अभी तक मान्य नहीं' या 'समय समाप्त' प्रमाणपत्र त्रुटियां उत्पन्न करता है जिनका निदान करना कठिन होता है। सुनिश्चित करें कि सभी बुनियादी ढांचा घटक विश्वसनीय NTP सर्वरों के साथ सिंक्रनाइज़ हों।

समस्या निवारण और जोखिम शमन

अज्ञात CA त्रुटियां

यदि RADIUS लॉग 'अज्ञात CA' दिखाते हैं, तो क्लाइंट डिवाइस उस CA पर भरोसा नहीं करता है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है। सत्यापित करें कि आपके MDM प्रोफ़ाइल में रूट CA प्रमाणपत्र शामिल है और उस पर भरोसा करने के लिए सप्लीकेंट को कॉन्फ़िगर किया गया है। CA रोटेशन या प्रमाणपत्र नवीनीकरण के बाद, अपडेट किए गए CA बंडल को सभी उपकरणों पर फिर से पुश करें।

EAP विधि बेमेल

यदि डिवाइस एक्सेस पॉइंट से कनेक्ट होते हैं लेकिन प्रमाणीकरण विफल हो जाता है, तो जांचें कि क्लाइंट पर कॉन्फ़िगर की गई EAP विधि RADIUS सर्वर द्वारा स्वीकार की जाने वाली विधि से मेल खाती है। EAP-TLS के लिए सेट किया गया डिवाइस प्रोफ़ाइल केवल PEAP के लिए कॉन्फ़िगर किए गए RADIUS सर्वर पर विफल हो जाएगा।

सर्टिफिकेट की समय सीमा समाप्त होने के कारण सामूहिक विफलताएं

यदि बड़ी संख्या में डिवाइस एक साथ प्रमाणित होने में विफल रहते हैं, तो सबसे पहले सर्टिफिकेट की समाप्ति तिथियों की जांच करें। यह EAP-TLS डिप्लॉयमेंट में बड़े पैमाने पर 802.1X विफलताओं का सबसे आम कारण है। ऐसा मॉनिटरिंग सिस्टम लागू करें जो समाप्ति से 60 दिन, 30 दिन और सात दिन पहले अलर्ट भेजे।

RADIUS क्लाइंट का गलत कॉन्फ़िगरेशन

प्रत्येक एक्सेस पॉइंट या वायरलेस कंट्रोलर को सही IP एड्रेस और शेयर्ड सीक्रेट के साथ RADIUS क्लाइंट के रूप में परिभाषित किया जाना चाहिए। बेमेल होने के कारण प्रमाणीकरण टाइमआउट होता है जिसे अक्सर गलत तरीके से EAP विधि के कारण मान लिया जाता है। पहले दिन से ही विस्तृत RADIUS लॉगिंग सक्षम करें। अधिक WiFi समस्या निवारण मार्गदर्शन के लिए, हमारी गाइड Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures देखें।

अनुपालन और नियामक संरेखण

CISOs और नेटवर्क आर्किटेक्ट्स के लिए EAP-TLS बनाम EAP-TTLS का निर्णय लेने के लिए नियामक परिदृश्य को समझना आवश्यक है। EAP विधि का चयन सीधे कई प्रमुख फ्रेमवर्क में आपके अनुपालन की स्थिति को प्रभावित करता है।

PCI DSS 4.0 (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड) को कार्डधारक डेटा परिवेश में वायरलेस नेटवर्क के लिए मजबूत क्रिप्टोग्राफिक प्रमाणीकरण की आवश्यकता होती है। आवश्यकता 8.3 CDE तक की सभी पहुंच के लिए मल्टी-फैक्टर प्रमाणीकरण को अनिवार्य बनाती है, और दायरे में आने वाले वायरलेस नेटवर्क को मजबूत प्रमाणीकरण तंत्र का उपयोग करना चाहिए। सर्टिफिकेट-आधारित म्यूचुअल प्रमाणीकरण के साथ EAP-TLS इस आवश्यकता को निश्चित रूप से पूरा करता है। MS-CHAPv2 के साथ EAP-TTLS स्वीकार्य है यदि आंतरिक प्रमाणीकरण ठीक से सुरक्षित है और सर्वर सर्टिफिकेट सत्यापन लागू किया गया है, लेकिन EAP-TLS अधिक मजबूत और ऑडिटर-अनुकूल विकल्प है।

HIPAA (हेल्थ इंश्योरेंस पोर्टेबिलिटी एंड अकाउंटेबिलिटी एक्ट) के तहत कवर की गई संस्थाओं के लिए तकनीकी सुरक्षा उपाय लागू करना आवश्यक है जो इलेक्ट्रॉनिक संचार नेटवर्क पर प्रसारित होने वाली इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी (ePHI) की रक्षा करते हैं। HIPAA सुरक्षा नियम विशिष्ट प्रोटोकॉल को अनिवार्य नहीं करता है, लेकिन ePHI ले जाने वाले वायरलेस नेटवर्क के लिए एन्क्रिप्शन और एक्सेस कंट्रोल की उम्मीद प्रबंधित चिकित्सा उपकरण बेड़े के लिए EAP-TLS और स्टाफ उपकरणों के लिए लागू सर्वर सर्टिफिकेट सत्यापन के साथ EAP-TTLS के पक्ष में मजबूती से झुकी हुई है।

WPA3-Enterprise 192-bit (जिसे सुइट B या CNSA मोड के रूप में भी जाना जाता है) Wi-Fi Alliance के WPA3 सर्टिफिकेशन का उच्चतम सुरक्षा स्तर है। यह एकमात्र अनुमत प्रमाणीकरण विधि के रूप में EAP-TLS को अनिवार्य करता है, विशिष्ट सिफर सुइट्स (P-384 के साथ ECDHE, AES-256-GCM) के साथ TLS 1.2 या उच्चतर की आवश्यकता होती है, और ECDSA या RSA-3072 सर्टिफिकेट की आवश्यकता होती है। सरकारी, रक्षा, या महत्वपूर्ण बुनियादी ढांचा अनुप्रयोगों के लिए WPA3-Enterprise 192-bit तैनात करने वाले संगठनों को EAP-TLS का उपयोग करना चाहिए। ISO/IEC 27001 विशिष्ट प्रोटोकॉल को अनिवार्य नहीं करता है, लेकिन संगठनों को नेटवर्क संसाधनों के लिए उपयुक्त एक्सेस नियंत्रण लागू करने की आवश्यकता होती है। EAP-TLS या EAP-TTLS (लागू सर्वर प्रमाणपत्र सत्यापन के साथ) में से किसी एक के साथ 802.1X परिनियोजन (deployment) Annex A.9.1 और A.13.1 की नेटवर्क एक्सेस नियंत्रण आवश्यकताओं को पूरा करता है।

ROI और व्यावसायिक प्रभाव

EAP-TLS पर माइग्रेट करने के लिए PKI और MDM एकीकरण में शुरुआती निवेश की आवश्यकता होती है, लेकिन यह पासवर्ड रीसेट के परिचालन ओवरहेड और क्रेडेंशियल से समझौता होने के कारण होने वाले नेटवर्क ब्रीच के वित्तीय जोखिम को समाप्त करता है। 400 स्टोर वाली एक रिटेल चेन के लिए, साझा PSK नेटवर्क पर एक सिंगल कॉम्प्रोमाइज्ड पासवर्ड पूरे एस्टेट को खतरे में डाल सकता है। EAP-TLS उस अटैक वेक्टर को पूरी तरह से समाप्त कर देता है।

मल्टी-टेनेंट वातावरण और ट्रैवल हब के लिए, सुरक्षित प्रमाणीकरण (authentication) यह सुनिश्चित करता है कि केवल अधिकृत उपयोगकर्ता ही नेटवर्क बैंडविड्थ का उपयोग करें, जिससे बुनियादी ढांचे (infrastructure) के उपयोग को अनुकूलित किया जा सके। RADIUS प्रमाणपत्र विशेषताओं के माध्यम से डायनामिक VLAN असाइनमेंट क्रिप्टोग्राफिक रूप से लागू नेटवर्क सेगमेंटेशन को सक्षम बनाता है, जिससे SSID चयन या MAC address फ़िल्टरिंग पर निर्भर रहने के बजाय प्रमाणपत्र गुणों के आधार पर उपकरणों को सही नेटवर्क सेगमेंट पर रखा जा सकता है।

Purple का WiFi Analytics प्लेटफ़ॉर्म दोनों प्रमाणीकरण पथों के साथ एकीकृत होता है, जो आपके पूरे एस्टेट में डिवाइस की संख्या, सत्र की अवधि (session durations) और नेटवर्क उपयोग की दृश्यता प्रदान करता है। क्षेत्र-विशिष्ट परिनियोजन मार्गदर्शन के लिए, हॉस्पिटैलिटी , रिटेल , हेल्थकेयर , और ट्रांसपोर्ट के लिए हमारे संसाधनों को एक्सप्लोर करें।

關鍵定義

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

RFC 5216 中定義的 802.1X 驗證方法,要求用戶端設備和 RADIUS 伺服器雙方均出示有效的 X.509 憑證。不交換密碼。驗證是雙向且具備密碼學綁定的。

企業無線安全金鑰標準。WPA3-Enterprise 192-bit 必備,並強烈推薦用於 PCI DSS 4.0 持卡人資料環境。

EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)

RFC 5281 中定義的 802.1X 驗證方法,僅需要伺服器端憑證即可建立加密的 TLS 隧道。用戶端在隧道內使用次要的內部驗證方法(通常為使用者名稱和密碼)進行驗證。

BYOD 環境和混合作業系統網路的首選,在這些環境中部署用戶端憑證在營運上是不切實際的。

802.1X

一種用於基於連接埠之網路存取控制的 IEEE 標準,為連接到 LAN 或 WLAN 的設備提供驗證機制。它定義了申請者 (supplicant)、驗證者 (authenticator) 和驗證伺服器 (authentication server) 的角色。

使企業網路能夠驗證個別設備而非依賴單一共享密碼的基礎架構。EAP-TLS 和 EAP-TTLS 均在此架構下運作。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接到網路服務的使用者提供集中式的驗證、授權和計費管理。在 802.1X 部署中,RADIUS 伺服器是驗證憑證或認證資料的驗證伺服器。

驗證憑證或密碼並指示存取點授予或拒絕網路存取的伺服器組件。支援的平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。

PKI (Public Key Infrastructure)

建立、管理、分發、使用、儲存和撤銷數位憑證所需的一套角色、策略、硬體、軟體和程序。典型的企業 PKI 由離線根 CA 和線上發行 CA 組成。

發行 EAP-TLS 驗證中所使用之用戶端和伺服器憑證所需的後端基礎架構。若沒有 PKI,則無法部署 EAP-TLS。

MDM (Mobile Device Management)

IT 部門用於監控、管理和保護員工行動設備與筆記型電腦的軟體。Microsoft Intune 和 Jamf 等 MDM 平台可以自動將憑證和 WiFi 設定檔部署到已註冊的設備。

對於大規模自動化部署 EAP-TLS 用戶端憑證至關重要。若不整合 MDM,在數千台設備上手動安裝憑證在營運上是不可能的。

SCEP (Simple Certificate Enrollment Protocol)

一種用於自動向網路設備發行數位憑證的協定。MDM 平台使用 SCEP 在無需使用者互動的情況下,無聲地在已註冊的企業設備上要求並安裝憑證。

EAP-TLS 部署中免手動憑證佈署的標準機制。受到 Microsoft Intune、Jamf 和大多數企業 MDM 平台的支援。

CRL (Certificate Revocation List)

由發行憑證授權單位在預定到期日之前撤銷的數位憑證清單。RADIUS 伺服器會檢查 CRL,以驗證連線裝置的憑證是否仍然有效。

一種透過撤銷憑證來立即阻止遭竊或受損設備存取網路的機制。RADIUS 伺服器應設定為頻繁檢查 CRL,或使用 OCSP 進行即時驗證。

X.509

一個定義公開金鑰憑證格式的 ITU-T 標準。EAP-TLS 和 EAP-TTLS 都使用 X.509 憑證進行伺服器驗證。EAP-TLS 還要求在用戶端裝置上安裝 X.509 憑證。

所有企業 PKI 部署中使用的憑證格式。當 IT 團隊在 802.1X 的上下文中提到「數位憑證」時,指的是 X.509 憑證。

內部驗證方法

在 EAP-TTLS 建立的加密 TLS 通道內使用的次要驗證協定。常見的內部方法包括 PAP(密碼驗證協定)、CHAP 和 MS-CHAPv2。

內部驗證方法的選擇會影響 EAP-TTLS 部署的安全特性。PAP 在通道內以純文字傳送密碼;MS-CHAPv2 則使用挑戰回應機制。該通道會加密所有內部驗證流量。

範例

一家擁有 400 家分店的連鎖零售商需要保護其端點銷售系統(POS)終端和員工手持掃描器。該環境屬於 PCI DSS 4.0 的範圍。所有裝置均已註冊於 Microsoft Intune。他們應該部署哪種協定?關鍵的設定步驟是什麼?

部署 EAP-TLS。步驟 1:建立一個雙層 PKI,包含一個實體隔離(air-gapped)的離線根 CA 和一個線上發行 CA。步驟 2:設定 Microsoft Intune,並針對所有 POS 和掃描器裝置配置 SCEP 憑證設定檔。步驟 3:部署 RADIUS 伺服器(Microsoft NPS 或雲端 RADIUS),並將其設定為對照內部 CA 驗證用戶端憑證。步驟 4:在 RADIUS 伺服器上啟用 CRL 檢查或 OCSP。步驟 5:透過 Intune 推送 Wi-Fi 設定檔,指定 SSID、將 EAP-TLS 作為驗證方法、受信任的根 CA 以及預期的 RADIUS 伺服器名稱。步驟 6:在推廣到所有 400 個站點之前,先以 10 台裝置的試點小組進行測試。步驟 7:建立憑證到期監控流程,並在到期前 60 天、30 天和 7 天發出警報。

考官評語: EAP-TLS 是正確的選擇,因為 PCI DSS 4.0 強烈建議在持卡人數據環境中的無線網路使用雙向憑證驗證。對 POS 裝置使用密碼(EAP-TTLS)會引入無法接受的憑證竊取風險。透過 SCEP 進行 MDM 整合至關重要 — 在 400 個站點上手動安裝憑證在營運上是不可能的。在這種情況下,最常見的故障點是忘記在 Intune Wi-Fi 設定檔中強制執行伺服器憑證驗證,這會使裝置即使部署了 EAP-TLS,仍容易受到 Evil Twin 攻擊。

一個大型大學校園需要為 20,000 名使用個人筆記型電腦、智慧型手機和平板電腦(BYOD)的學生提供安全的 Wi-Fi。IT 團隊無法在個人裝置上安裝憑證。該大學使用 Microsoft Entra ID 進行身分管理。他們應該部署哪種協定?

部署 EAP-TTLS,並使用 MS-CHAPv2 作為內部驗證方法,透過 RADIUS 與 Microsoft Entra ID 整合。步驟 1:從所有主要作業系統都信任的公共 CA 獲取伺服器憑證,或者部署內部 CA 並透過大學的裝置管理工具為託管裝置分發根憑證。步驟 2:設定 RADIUS 伺服器,使用 LDAP 或 RADIUS 代理對照 Microsoft Entra ID 進行驗證。步驟 3:為學生建立一個 Wi-Fi 啟用指南,指定 SSID、EAP-TTLS、MS-CHAPv2 和受信任的 CA。步驟 4:在 Entra ID 層級強制執行強密碼策略,並考慮為首次註冊啟用多因素驗證。步驟 5:設定 Wi-Fi 設定檔以強制執行伺服器憑證驗證,並指定受信任的 CA 和 RADIUS 伺服器名稱。

考官評語: EAP-TTLS 在此處是務實的選擇。針對 20,000 台未託管的個人設備管理 PKI 在營運上是不可能的。EAP-TTLS 為憑證提供了安全隧道,保護其免受空中攔截,同時支援包括 Windows、macOS、Linux、Android 和 iOS 在內的多種作業系統。在此情境中,關鍵風險是學生錯誤設定其設備以跳過伺服器憑證驗證。發佈包含確切設定步驟的清晰上線指南,並使用公開受信任的伺服器憑證,可顯著降低此風險。

練習題

Q1. 您正在為分佈在 50 個辦公據點的 5,000 台企業筆記型電腦部署 EAP-TLS。透過 Microsoft Intune 推送 WiFi 設定檔後,裝置無法連線。RADIUS 伺服器記錄顯示每次失敗的驗證嘗試皆為「未知 CA」(Unknown CA)。最可能的原因是什麼,您該如何解決?

提示:請考慮用戶端的憑證驗證鏈,以及 MDM 設定檔中除了 EAP 方法設定之外,還必須包含哪些內容。

查看標準答案

用戶端裝置未設定為信任發行 RADIUS 伺服器憑證的內部憑證授權單位(CA)。MDM WiFi 設定檔必須包含根 CA 憑證(以及任何中間 CA 憑證),並設定 supplicant 信任它們以進行伺服器驗證。若無此設定,用戶端會拒絕 RADIUS 伺服器的憑證並終止交握。解決方案:更新 Intune WiFi 設定檔,在「用於伺服器驗證的根憑證」設定下納入信任的根 CA 憑證,然後重新推送設定檔至所有裝置。

Q2. 您的組織已針對混合式 BYOD 環境部署 EAP-TTLS。在一次安全性審查中,您的滲透測試團隊展示了他們可以透過使用自我簽署憑證設定虛假存取點(Rogue AP)來擷取使用者憑證。在不遷移至 EAP-TLS 的情況下,您該如何修補此漏洞?

提示:思考在內部驗證之前會發生什麼事,以及用戶端的何種設定能阻止與不安全、未受信任的伺服器建立 TLS 通道。

查看標準答案

此漏洞存在的原因是用戶端裝置未設定為驗證 RADIUS 伺服器的憑證。修補方案:更新所有 WiFi 設定檔(託管裝置透過 MDM,BYOD 則透過新的引導指南),以強制執行伺服器憑證驗證。在設定檔中指定信任的 CA 和預期的 RADIUS 伺服器名稱。以此方式設定的用戶端將拒絕與任何無法出示由指定信任 CA 簽署之憑證的伺服器建立 TLS 通道,從而消除了虛假存取點的攻擊管道。

Q3. 某家醫院的 IT 總監希望為其醫療 IoT 裝置(輸液幫浦、病患監視器、環境感測器)部署 802.1X。他們正在考慮 EAP-TTLS,因為他們認為憑證管理過於複雜。為什麼這種推理是有缺陷的?正確的做法又是什麼?

提示:請考慮無螢幕的 IoT 裝置如何處理驗證提示,以及當裝置無法輸入憑證時會發生什麼事。

查看標準答案

此推論存在兩個漏洞。首先,大多數無螢幕的醫療 IoT 裝置都沒有可輸入憑證的使用者介面,這使得在運作上根本無法執行包含帳號/密碼內部驗證的 EAP-TTLS。其次,在實務上,EAP-TLS 對於 IoT 而言反而更簡單:憑證可以在部署前的裝置整備階段進行配置,隨後裝置無需任何使用者互動即可自動完成驗證。正確的做法是採用 EAP-TLS,並透過整備階段所使用的裝置管理系統配置憑證。這同時也滿足了醫療照護環境中 HIPAA 對於強效無線驗證的要求。

Q4. 您是一家擁有 200 家物業的酒店集團的網路架構師。您需要為 3,000 台已註冊於 Intune 的託管員工裝置保障 Staff WiFi 的安全,同時也需要為攜帶自備筆電(BYOD)的承包商和第三方供應商提供安全的 WiFi。請設計其驗證架構。

提示:請考慮單一 SSID 搭配單一 EAP 方法是否能同時服務這兩類群體,以及這兩種類型的使用者會帶來哪些網路分段的影響。

查看標準答案

部署兩個獨立的 SSID,並搭配不同的驗證方法與 VLAN 分配。SSID 1 (Staff WiFi):採用 EAP-TLS,透過 Intune SCEP 推送憑證,VLAN 分配至員工網路區段,可完整存取酒店管理系統。SSID 2 (Contractor WiFi):採用 EAP-TTLS 搭配 MS-CHAPv2,憑證對比獨立的目錄或 Microsoft Entra ID 中的限時承包商帳戶進行驗證,VLAN 分配至僅限網際網路的隔離區段,無法存取內部系統。兩個 SSID 都必須強制執行伺服器憑證驗證。此架構能給予員工最高層級的安全保障,同時為承包商提供實用的驗證方式,且網路分段可確保受侵害的承包商憑證無法觸及內部酒店管理系統。

繼續閱讀本系列

Server RADIUS: a comprehensive guide for businesses

本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。

閱讀指南 →

Aruba ClearPass vs. Purple WiFi: 比較功能與協同部署

一份詳盡的技術指南,深入剖析 Aruba ClearPass 與 Purple WiFi 的協同部署架構。內容涵蓋 RADIUS 代理設定、動態 VLAN 分配,以及在企業級網路存取控制(NAC)旁,提供安全且具備分析功能的訪客網路之最佳實踐。

閱讀指南 →

Cisco ISE 與 Purple WiFi:如何比較及協同工作

本指南說明 Cisco ISE 與 Purple WiFi 如何在企業網路中扮演不同但互補的角色。它詳細介紹了如何使用 Cisco ISE 進行安全的 802.1X 企業存取,同時利用 Purple 進行符合 GDPR 規範的訪客 WiFi、行銷分析和 CRM 整合。

閱讀指南 →