跳至主要內容

eduroam 與 802.1X:高等教育的安全 WiFi 驗證

本權威技術參考指南說明了 eduroam 與 802.1X 驗證的架構、部署與安全性。專為 IT 經理和網路架構師設計,內容涵蓋實際執行步驟、EAP 方法選擇,以及場地營運商如何安全地支援學術漫遊。

📖 6 分鐘閱讀📝 1,343 字數🔧 3 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
PODCAST SCRIPT: eduroam and 802.1X — Secure WiFi Authentication for Higher Education Runtime: approximately 10 minutes Voice: UK English, male, senior consultant tone — confident, conversational, authoritative --- [INTRO — 1 minute] 歡迎回來。在接下來的十分鐘內,我將帶您深入了解 eduroam 和 802.1X — 它們是什麼、在後台是如何運作的,以及您的團隊在部署或整合這兩者之前需要了解哪些資訊。 如果您是大學、大專院校或研究機構的 IT 經理、網路架構師或 CTO,又或者您是需要了解學術訪客對您的無線基礎設施有何期望的場域營運商,那麼這份簡報正是為您準備的。 讓我們從大局開始。eduroam 代表「教育漫遊(education roaming)」。它是一項全球 WiFi 漫遊服務,讓來自會員機構的學生、研究人員和教職員能夠在任何參與該計劃的場域自動、安全地連接到網際網路,且使用的是他們母校機構的憑證。無需 Captive Portal。無需憑證代碼。無需向櫃檯詢問密碼。 它自 2003 年開始運行,目前已覆蓋 100 多個國家的 10,000 多家機構,是全球高等教育校園無線網路的業界標準。如果您的組織與大學有交集 — 無論您是校園附近的飯店、舉辦學術活動的會議中心,還是大學城裡的公共圖書館 — 了解 eduroam 都與您的網路策略直接相關。 --- [TECHNICAL DEEP-DIVE — 5 minutes] 好的。讓我們進入技術細節。 eduroam 是建立在 IEEE 802.1X(基於連接埠的網路存取控制標準)之上的。802.1X 定義了一個在裝置獲准存取網路之前對其進行驗證的框架。它最初是為有線乙太網路設計的,但可以完美地對應到無線網路上,並且是我們所說的 WPA2-Enterprise 或 WPA3-Enterprise 安全性的基礎。 802.1X 模型有三個組成部分。第一,Supplicant(用戶端)— 也就是嘗試連線的裝置。例如學生的筆記型電腦、研究人員的手機。第二,Authenticator(驗證器)— 也就是您的網路存取點(AP)或網管型交換器。它介於用戶端和網路的其他部分之間,扮演守門人的角色。第三,Authentication Server(驗證伺服器)— 幾乎都是 RADIUS 伺服器。RADIUS 代表遠端使用者撥入驗證服務(Remote Authentication Dial-In User Service)。它是實際驗證憑證的組件。 以下是交握機制的運作方式。學生的裝置與無線存取點建立關聯。存取點此時尚未授予完整的網路存取權限,而是僅針對 EAP 流量開啟所謂的受控連接埠。EAP 即為可延伸驗證協定(Extensible Authentication Protocol)。存取點會在裝置與 RADIUS 伺服器之間代理 EAP 對話。RADIUS 伺服器向裝置發出挑戰,裝置則回應憑證(通常是使用者名稱與密碼,或是憑證)。若 RADIUS 伺服器驗證無誤,便會傳回 Access-Accept 訊息。接著,存取點才會開啟完整的網路連接埠。在配置完善的部署中,整個交換過程不超過兩秒。 那麼,eduroam 是如何疊加在此機制之上的?eduroam 採用階層式的 RADIUS 代理基礎架構。每個參與的機構都運行自己的 RADIUS 伺服器,稱為身分識別提供者(IdP)。當來自例如曼徹斯特大學(University of Manchester)的學生造訪倫敦帝國學院(Imperial College London)並連線至 eduroam SSID 時,其裝置會以 username@manchester.ac.uk 的格式傳送憑證。帝國學院的 RADIUS 伺服器會識別領域(即 @ 符號後面的部分),並將驗證請求向上代理至國家級 RADIUS 伺服器(在英國由國家研究與教育網路 Jisc 營運)。Jisc 接著將請求路由至曼徹斯特大學的 RADIUS 伺服器,由其驗證憑證並傳回 Accept 或 Reject。整個鏈結在毫秒內即可完成解析。 正是這種代理鏈結,讓 eduroam 能夠跨越機構邊界運作,而無需在機構之間預先共享任何金鑰。鏈結中的每個節點僅與其直接相鄰的節點共享 RADIUS 金鑰。學生的實際密碼絕不會離開其母校機構的 RADIUS 伺服器,因為它受到 EAP 通道的端到端保護。 談到 EAP 方法,這正是許多部署出錯的地方,請務必注意。eduroam 中最常用的 EAP 方法是 PEAP(受保護的 EAP)和 EAP-TLS。PEAP 在 TLS 通道內封裝了內部驗證方法(通常是 MSCHAPv2)。它需要在 RADIUS 伺服器端安裝伺服器端憑證,但用戶端只需要使用者名稱和密碼。EAP-TLS 是更安全的選擇,它採用雙向憑證驗證,意即伺服器和用戶端雙方都必須出示憑證。由於需要 PKI 來核發用戶端憑證,因此在大規模部署上較具挑戰性,但它基本上能完全免疫憑證網路釣魚。 許多機構容易出錯的關鍵安全性要求是用戶端憑證驗證。當裝置使用 PEAP 連線到 eduroam 時,該裝置必須在提交憑證之前驗證 RADIUS 伺服器的憑證。如果裝置設定錯誤而接受任何憑證,攻擊者就可以架設廣播 eduroam SSID 的惡意存取點、提供自我簽署憑證並竊取憑證。這是一個已知的攻擊媒介。解決方法是設定您的 supplicant 設定檔(針對受管理裝置透過 MDM,或針對個人裝置透過名為 CAT 的 eduroam 設定助理工具),以綁定預期的憑證授權單位和伺服器名稱。 從標準的角度來看,eduroam 部署預期要符合 eduroam 服務原則定義,該定義強制要求所有 RADIUS over TLS 連線使用 TLS 1.2 或更高版本、禁止使用 EAP-MD5 或 LEAP 等弱 EAP 方法,並要求所有 RADIUS 代理連線在可能的情況下使用 RadSec(RADIUS over TLS),而非純 UDP RADIUS。這符合英國 NCSC 指引和美國 NIST SP 800-120 的規範。 還有一個值得注意的技術點:VLAN 分配。在架構完善的 eduroam 部署中,RADIUS Access-Accept 回應包含 VLAN 屬性,這些屬性會告知存取點要將連線裝置分配到哪個 VLAN。這能讓您進行流量區隔——將來訪的學生放在僅限網際網路存取的受限 VLAN 中,而您自己的員工則被路由到內部網路。這對於合規性至關重要,特別是當您受到 PCI DSS 規範,或需要維持研究數據網路與一般網際網路流量之間的隔離時。 --- [實作建議與常見陷阱 — 2 分鐘] 讓我為您提供實用的指引。 如果您是首次部署 eduroam,您首先應該聯絡您的國家級 NREN——在英國是 Jisc,在愛爾蘭是 HEAnet,在美國是 Internet2。他們負責處理聯盟成員資格,並會為您分配一個 RADIUS 領域。若不成為您國家聯盟的成員,您就無法參與 eduroam。 您的基礎設施清單:您需要支援 802.1X 的存取點——任何來自 Cisco、Aruba、Juniper、Ruckus 或 Ubiquiti UniFi 的企業級設備都可以。您需要一台 RADIUS 伺服器——FreeRADIUS 是開源標準,或者您也可以使用 Microsoft NPS、Cisco ISE 或 Aruba ClearPass。您需要為您的 RADIUS 伺服器取得一張有效的 TLS 憑證,該憑證必須來自受 eduroam 社群信任的憑證授權單位(CA)——通常是來自您機構的 PKI 或 eduroam 認可清單上的商業 CA。 我最常遇到的三種部署失敗原因包括:第一,憑證設定錯誤——不是 RADIUS 憑證已過期,就是用戶端 supplicant 設定檔未正確釘選。第二,RADIUS 代理逾時——如果您的上游 NREN 連線有延遲問題,驗證將會逾時,使用者會看到看似憑證錯誤的連線失敗。第三,VLAN 設定錯誤——來訪使用者最終進入錯誤的網路區段,導致無法存取網際網路,或者更糟的是,存取了他們不應看到的內部資源。 在用戶端方面,請透過您的 MDM 平台將 eduroam CAT 設定檔部署到所有受管理裝置。對於個人裝置,請在顯眼處發佈 CAT 安裝程式連結。光是這一個步驟就能消除大部分的支援工單。 對於非高等教育機構但希望提供 eduroam 存取服務的場所(例如會議中心、飯店等),此流程稱為 eduroam Visitor Access(簡稱 eVA)。它允許非會員組織託管 eduroam SSID 並將驗證代理至聯盟,而無需成為正式會員。如果您經常舉辦學術會議或大學活動,這非常值得研究。 --- [快速問答 — 1 分鐘] 我經常被問到的常見問題。 「eduroam 可以完全取代我們的訪客 WiFi 嗎?」不行。eduroam 僅適用於在會員機構擁有憑證的使用者。您仍然需要為其他所有人(訪客、承包商、一般大眾)提供獨立的訪客 WiFi 解決方案。 「eduroam 符合 GDPR 規範嗎?」符合,但有注意事項。聯盟架構意味著您的機構會處理驗證資料,但您需要確保您的隱私權聲明涵蓋此內容,且您的 RADIUS 記錄已得到妥善處理。 「我們可以在 eduroam 中使用 WPA3 嗎?」可以。WPA3-Enterprise 與 802.1X 完全相容,是新部署的推薦標準。它為高安全性環境增加了 192 位元模式加密。 「eduroam 和 OpenRoaming 有什麼區別?」OpenRoaming 是來自無線寬頻聯盟(Wireless Broadband Alliance)更廣泛的產業倡議,它使用相同的 802.1X 和 RADIUS 代理架構,但將漫遊服務從教育領域擴展到商業場所。包括 Purple 在內的一些平台,皆支援將 OpenRoaming 作為其訪客 WiFi 方案的一部分。 --- [總結與後續步驟 — 1 分鐘] 總結來說,eduroam 是一個成熟、管理完善且在全球部署的 WiFi 漫遊服務,建立在 802.1X 和分層 RADIUS 代理基礎架構之上。它提供單一使用者驗證、強大加密以及在 10,000 多個機構之間的無縫漫遊——無需共用密碼或 Captive Portal。 對於部署或升級校園無線網路的 IT 團隊:在您的 PKI 可以支援的情況下,優先選擇 EAP-TLS 而非 PEAP;在所有用戶端設定檔上強制執行憑證驗證;對所有 RADIUS 代理連線使用 RadSec;並將來訪使用者隔離到專用的 VLAN 中。 對於場域營運商而言:如果您經常接待學術訪客,請研究 eduroam Visitor Access。無論您是否部署 eduroam,您的訪客 WiFi 基礎架構都應該建立在企業級的 802.1X 原則上,而非共享的 PSK。 如果您想深入了解其中的任何內容——包括 RADIUS 架構、適用於 EAP-TLS 的 PKI 設計,或是像 Purple 這樣的平台如何與 eduroam 和 OpenRoaming 整合——完整版的書面指南已連結在節目資訊欄中。 感謝您的收聽。我們下次見。 --- 腳本結束

header_image.png

执行摘要

对于高等教育机构以及为其师生提供服务的场所而言,提供安全、无缝的无线连接已不再是奢侈品,而是运营上的硬性要求。这一连接的标准便是 eduroam,一个基于 IEEE 802.1X 框架构建的全球漫游服务。

本指南为 IT 经理、网络架构师以及场馆运营总监提供一份全面的、技术中立的参考资料,用于理解、部署和排错 802.1X 与 eduroam。我们超越基础理论模型,深入探讨企业级校园 WiFi 的实际运作,包括证书管理、RADIUS 代理架构以及与更广泛的访客网络策略的集成。

无论您是在升级老旧的大学网络,还是在配置会议中心以支持学术访客,正确实施 802.1X 都能显著降低安全风险——尤其是凭证窃取——同时大幅减少支持工作量。对于传统高等教育之外的场所,理解这些标准对于评估诸如 OpenRoaming 等商业漫游联盟至关重要,它们共享相同的底层架构。

技术深入解读:802.1X 与 eduroam 架构

eduroam 的核心是 IEEE 802.1X 的实现,这是基于端口的网络访问控制标准。802.1X 最初为有线网络设计,但它构成了 WPA2-EnterpriseWPA3-Enterprise 安全的基础。

802.1X 三角模型

802.1X 框架依赖三个不同组件的交互来授权访问:

  1. Supplicant(请求方): 请求网络访问的客户端设备(例如学生的笔记本电脑或智能手机)。
  2. Authenticator(认证器): 网络接入设备(例如无线接入点或管理型交换机)。它充当守门人,在设备获得授权之前,阻止除认证消息外的所有流量。
  3. Authentication Server(认证服务器): 验证凭据的后端系统,几乎普遍采用 RADIUS(Remote Authentication Dial-In User Service)服务器。

当设备连接时,认证器建立一个受控端口。它在 Supplicant 和 Authentication Server 之间传递 Extensible Authentication Protocol (EAP) 消息。如果凭据有效,服务器返回一个 RADIUS Access-Accept 消息,认证器随之开放端口,允许标准 IP 流量通过。

architecture_overview.png

eduroam 的 RADIUS 代理层级

eduroam 的独特之处在于其联合架构。它允许用户在任何参与机构使用其归属凭据进行认证,而主办机构无需拥有这些凭据的副本。

这通过一个层级化的 RADIUS 代理链实现。当来自 username@university.ac.uk 的用户连接到主办场所的 eduroam SSID 时:

  1. 用户的设备以 username@university.ac.uk 的格式发送认证请求。
  2. 主办场所的 RADIUS 服务器检查 realm(@ 符号之后的部分)。识别出其为外部域后,它将请求代理到国家级顶级 RADIUS 服务器(由国家科研和教育网络 NREN 运营)。
  3. 国家级服务器将请求路由到归属机构的 RADIUS 服务器(university.ac.uk)。
  4. 归属机构验证凭据,并沿链路返回 Access-AcceptAccess-Reject 消息。

整个过程通常在不到两秒内完成。关键的是,用户的密码永远不会暴露给主办机构或中间的代理服务器;它被保护在直接由 supplicant 与归属 RADIUS 服务器建立的加密 EAP 隧道内。

EAP 方法:安全性与可部署性的权衡

EAP 方法的选择决定了加密隧道的形成方式以及凭据的交换方式。eduroam 策略服务定义严格限制可允许的方法,以确保安全。

  • PEAP (Protected EAP): 最常见的部署方式。它利用 RADIUS 服务器上的服务器端证书建立 TLS 隧道。然后客户端在此隧道内进行认证,通常使用 MSCHAPv2(用户名和密码)。它相对容易部署,但如果客户端未配置严格验证服务器证书,则容易受到恶意接入点攻击。
  • EAP-TLS 安全性的黄金标准。它要求双向认证,即 RADIUS 服务器和客户端设备都必须出示有效证书。虽然免疫凭据钓鱼,但需要强大的公钥基础设施 (PKI) 来颁发和管理客户端证书,因此大规模部署更为复杂。

实施指南

部署 802.1X 和 eduroam 需要网络基础设施、身份管理和客户端配置之间的精心协调。

1. 基础设施准备

确保您的无线接入点和控制器支持 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何现代企业级硬件(Cisco、Aruba、Juniper 等)都能满足此要求。您还必须部署一个健壮的 RADIUS 基础设施(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass),能够处理预期的认证负载并代理请求。

2. 证书管理

对于 PEAP 部署,您的 RADIUS 服务器需要一个由客户端信任的证书颁发机构 (CA) 签发的 TLS 证书。请勿在生产环境的 eduroam 部署中使用自签名证书。证书必须定期更新,以防止认证中断。

3. 客户端配置(CAT 工具)

eduroam 部署中最常见的故障点是客户端配置错误。用户手动连接时,往往未能配置证书验证,从而容易遭受凭据收集攻击。

为缓解此风险,机构必须使用 eduroam 配置助手工具 (CAT) 或 MDM 解决方案来分发预配置的配置文件。这些配置文件会自动配置正确的 EAP 方法、固定预期的 RADIUS 服务器证书,并设置适当的内在认证协议。

4. VLAN 分配与分段

一个成熟的部署利用 RADIUS 属性根据用户身份动态分配 VLAN。

  • 内部用户: 分配到具有适当校园资源访问权限的内部 VLAN。
  • 访客用户: 分配到受限的访客 VLAN,仅提供互联网访问。

这种分段对于安全性和合规性至关重要,确保访客设备无法访问敏感的内部网络。

comparison_chart.png

最佳实践与技术中立建议

  • 优先采用 WPA3: 对于新部署,启用 WPA3-Enterprise 以获得强制性的 192 位加密和更好的离线字典攻击防护。
  • 强制证书验证: 要求使用配置配置文件(通过 CAT 或 MDM),以确保 supplicant 在传输凭据前严格验证 RADIUS 服务器证书。
  • 使用 RadSec: 在配置与国家级联盟的 RADIUS 代理连接时,使用 RadSec(RADIUS over TLS)而非普通的 UDP。这将加密代理流量,并提高广域网链路的可靠性。
  • 与访客解决方案集成: eduroam 仅服务于拥有学术凭据的用户。您必须为承包商、公众访客和活动参与者维持一个独立的、安全的 访客 WiFi 解决方案。
  • 审查相关基础设施: 确保您的底层网络安全。阅读我们的指南 通过强大的 DNS 和安全措施保护您的网络 以获取更多细节。如果为大学活动部署临时基础设施,请参阅 活动 WiFi:规划和部署临时无线网络 或葡萄牙语版本 Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias

故障排除与风险缓解

当认证失败时,系统化的故障排除至关重要。

  1. 隔离故障域: 确定故障是本地的(影响您自己网络上的用户)、远程的(影响您用户在别处)还是入站的(影响您网络上的访客)。
  2. 检查 RADIUS 日志: RADIUS 服务器日志是权威的事实来源。查找 Access-Reject 消息(表示凭据错误或策略违规)或超时(表示代理连接问题)。
  3. 验证证书有效性: 确保 RADIUS 服务器证书未过期,且完整的证书链被呈现给客户端。
  4. 监控上游延迟: 与国家级 RADIUS 代理之间的高延迟可能导致客户端超时,即使凭据正确也会连接失败。

投资回报与业务影响

对于高等教育机构,适当部署 eduroam 的投资回报体现在大幅减少的支持工单上。通过消除 Captive Portal 和手动输入密码,IT 帮助台会看到连接相关呼叫的显著下降。(Purple 对该领域的承诺显而易见;请参阅 Purple 任命教育副总裁 Tim Peers 彰显高等教育雄心 )。

对于商业场所——如 酒店业零售业医疗业交通业 ——支持 eduroam 访客接入 (eVA) 或类似的联盟(如 OpenRoaming),能为高价值人群提供无摩擦的体验。它确保学术访客能够自动、安全地连接,提高满意度,同时允许场所维持严格的网络分段。如果您的场所需要专用带宽来支持此需求,请考虑阅读 什么是专线?专为企业提供的互联网

在规划网络升级时,集成 802.1X 功能可确保基础设施为现代身份驱动的网络做好准备,为高级 WiFi 分析 和基于位置的服务奠定基础。

關鍵定義

802.1X

一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它為希望連接到 LAN 或 WLAN 的裝置提供驗證機制。

企業級 WiFi 安全性的基礎協定,以個人化驗證取代共享密碼 (PSK)。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接和使用網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。

802.1X 部署中的後端伺服器,實際負責根據目錄(如 Active Directory)檢查使用者的憑證。

EAP (Extensible Authentication Protocol)

一種常用於無線網路和點對點連接的驗證框架。它提供各種驗證機制的傳輸和使用。

在 802.1X 握手期間,用戶端裝置與 RADIUS 伺服器之間進行通訊的語言。

Supplicant

嘗試使用 802.1X 向網路進行驗證的用戶端裝置(例如筆記型電腦、智慧型手機)或該裝置上的軟體。

請求存取的實體。其設定(特別是關於憑證驗證)對於安全性至關重要。

Authenticator

透過在 Supplicant 與驗證伺服器之間傳遞訊息,來促進 802.1X 驗證程序的網路裝置(例如無線存取點、乙太網路交換器)。

在 RADIUS 伺服器發出綠燈訊號之前,阻止網路流量的守門者。

PEAP (Protected Extensible Authentication Protocol)

一種 EAP 方法,它將 EAP 交易封裝在利用伺服器端憑證建立的 TLS 通道中,以保護內部驗證(通常是密碼)。

eduroam 最常用的驗證方法,在安全性與部署便利性之間取得平衡。

RadSec

一種透過 TCP 和 TLS(而非傳統 UDP)傳輸 RADIUS 資料的協定。

建議用於保護機構與國家 eduroam 聯盟之間的代理連線,防止驗證流量被攔截。

Realm

使用者身分中位於 "@" 符號之後的部分(例如 "user@university.ac.uk" 中的 "university.ac.uk")。

RADIUS 代理伺服器在 eduroam 等聯盟環境中,用來決定將驗證請求路由至何處的依據。

範例

一間鄰近知名大學、擁有 400 間客房的會議酒店經常舉辦學術研討會。其 IT 總監希望讓來訪的學者能夠自動連線,而無需使用酒店標準的 Captive Portal,但必須確保這些訪客無法存取酒店的企業網路或標準訪客網路 VLAN。

該酒店應導入 eduroam Visitor Access (eVA) 或加入 OpenRoaming 等商業聯盟。

  1. 酒店在其企業級無線基地台(AP)上設定一個新的 SSID(「eduroam」或「OpenRoaming」)。
  2. AP 設定為使用 WPA2-Enterprise/802.1X
  3. 酒店部署一台本地 RADIUS 伺服器,設定為將外部領域的驗證請求代理(Proxy)至國家聯盟(針對 eduroam)或 OpenRoaming 樞紐。
  4. 至關重要的是,本地 RADIUS 伺服器設定為在所有代理驗證的 Access-Accept 訊息中傳回特定的 VLAN ID 屬性。
  5. 無線基地台將這些已驗證的使用者分配到一個隔離的、僅限網際網路的 VLAN,與酒店的企業和標準訪客流量完全區隔。
考官評語: 此方法正確利用了 RADIUS 代理架構,將驗證工作分流至訪客的母機構。透過 RADIUS 屬性進行動態 VLAN 分配,酒店能維持嚴格的網路區隔,在滿足安全需求的同時,提供無摩擦的使用者體驗。

某大學 IT 團隊發現學生帳戶遭到破解的次數激增。調查顯示,學生在當地一家咖啡店連線到了廣播「eduroam」SSID 的惡意無線基地台。該惡意 AP 正使用自我簽署憑證,透過 PEAP 收集憑證資訊。

IT 團隊必須立即在所有用戶端裝置上強制執行嚴格的憑證驗證。

  1. 他們必須停止建議學生手動連線至 SSID 並「接受憑證警告」。
  2. 他們針對 BYOD 裝置部署 eduroam Configuration Assistant Tool (CAT),並針對受管理裝置更新 MDM 設定檔。
  3. 這些設定檔將 supplicant 設定為僅信任核發該大學 RADIUS 伺服器憑證的特定憑證授權單位 (CA),並驗證伺服器的一般名稱 (CN)。
  4. 設定完成後,如果學生的裝置遇到惡意 AP,EAP 通道建立將會失敗,因為惡意憑證與固定的 CA/CN 不符,從而阻止憑證資訊的傳送。
考官評語: 此情境突顯了 PEAP 部署中最關鍵的安全漏洞。該解決方案正確指出解決辦法在於用戶端設定。依賴使用者教育來識別偽造憑證是無效的;強制執行技術控制(設定檔固定)是必須的。

某零售連鎖店希望利用其現有的客用 WiFi 基礎設施(目前依賴帶有 Captive Portal 的開放式 SSID),在 50 個據點提供 OpenRoaming 服務。

該零售連鎖店必須升級其網路以支援 802.1X 和 RADIUS 代理。

  1. 網路團隊啟用一個廣播 OpenRoaming 聯盟 OI(組織識別碼)的新 SSID。
  2. 他們將無線基地台設定為透過 802.1X 進行驗證。
  3. 他們將其中央 RADIUS 伺服器設定為將請求代理至 OpenRoaming 聯盟樞紐。
  4. 他們確保其網際網路後端連線能夠支援預期增加的自動連線,必要時可升級至專線。
考官評語: 這突顯了從 Captive Portal 轉移到同盟 802.1X 模式需要根本性的架構變更,特別是 RADIUS 代理的實作以及處理增加的自動連線的能力。

練習題

Q1. 您的大學正在部署一個新的無線網路。資訊安全長(CISO)要求必須在數學上完全不可能透過惡意存取點進行憑證網路釣魚。您必須選擇哪種 EAP 方法?

提示:考慮哪種方法依賴密碼,而哪種方法完全依賴密碼學金鑰。

查看標準答案

您必須選擇 EAP-TLS。與依賴 TLS 通道內密碼的 PEAP 不同,EAP-TLS 需要雙向憑證驗證。由於用戶端裝置是使用密碼學憑證而非密碼進行驗證,因此惡意存取點無法竊取任何憑證。

Q2. 一位來自其他大學的訪問學者抱怨無法連線到您的 eduroam 網路。您的本地使用者連線完全正常。您檢查了本地 RADIUS 伺服器記錄,發現請求已到達,但在收到 Access-Accept 之前就逾時了。最可能的起因是什麼?

提示:思考來訪使用者與本地使用者在驗證請求路徑上的差異。

查看標準答案

最可能的起因是您的本地 RADIUS 伺服器與國家級 NREN RADIUS 代理伺服器之間的連線或延遲問題。因為本地使用者是直接向您的伺服器進行驗證,所以不受影響。訪問學者的請求必須向上傳遞代理,而逾時表示來自其母校機構的回應未能在規定時間內傳回。

Q3. 您是一家鄰近大型大學的連鎖零售商的網路架構師。您希望使用 eduroam Visitor Access (eVA) 為學生提供無縫的 WiFi,但您的銷售點(POS)終端機必須符合 PCI DSS 規範。您該如何安全地整合 eVA?

提示:802.1X 如何讓網路存取點在驗證後區分流量?

查看標準答案

您可透過設定 RADIUS 伺服器將所有成功的 eVA 驗證指派到專用的、僅限網際網路的訪客 VLAN 來整合 eVA。來自 RADIUS 伺服器的 Access-Accept 訊息必須包含特定的 VLAN ID。這可確保學生的裝置與 POS 終端機所使用的符合 PCI 規範的 VLAN 完全隔離,從而滿足合規性要求。

eduroam 與 802.1X:高等教育的安全 WiFi 驗證 | 技術指南 | Purple