Passpoint and OpenRoaming: 完整指南
本技術參考指南針對企業 WiFi 網路中的 Passpoint (Hotspot 2.0) 和 WBA OpenRoaming 架構提供全面分析。內容詳述了建立安全、無摩擦的訪客連線所需的底層驗證協定、架構元件和部署策略。網路架構師和 IT 領導者將學習如何設計、實作這些標準並進行疑難排解,以便在維持企業級安全性的同時,消除手動登入的障礙。
📚 核心系列的一部分:多租戶 WiFi →

執行摘要
企業連線需求已從手動、基於 Captive Portal 的訪客存取,轉變為自動化、安全且無摩擦的登入流程。Passpoint(由 Wi-Fi Alliance 定義為 Hotspot 2.0)與 OpenRoaming(由 Wireless Broadband Alliance 協調)代表了這一轉變的標準化。透過利用 IEEE 802.11u 協定與 WPA3 企業級安全性,這些技術允許行動裝置自動發現、驗證並連線到安全的 WiFi 網路,無需使用者手動干預。
本指南為計畫在大型場館、零售環境和企業園區部署這些技術的網路架構師和 IT 總監提供權威參考。我們將探討底層的密碼學握手、同盟架構,以及將這些標準整合到現有無線基礎架構中所需的實際設定步驟。藉由採用這些框架,企業可以消除傳統訪客入口網站的摩擦,同時顯著增強其無線安全防護能力。
技術深度剖析
要了解 Passpoint 和 OpenRoaming,必須先剖析管理其運作的底層協定。Passpoint 的核心是 IEEE 802.11u,這是 802.11 標準的修正案,使無線裝置能夠在建立關聯之前發現網路服務。
在過去,用戶端裝置必須與存取點(AP)關聯並取得 IP 位址,才能查詢網路功能。透過 802.11u,這種發現發生在預先關聯狀態下,使用存取網路查詢協定(ANQP)進行查詢。
802.11u 發現流程
當啟用 Passpoint 的裝置掃描無線電波時,它會偵測到包含 Interworking 元素的信標。此元素表示該 AP 支援 802.11u 並播送其網路類型(例如:私有、免費公開、收費公開)。用戶端裝置隨後發送 ANQP 查詢以請求特定參數,例如:
- 漫遊聯盟組織識別碼(OIs): 由 IEEE 分配的全球唯一識別碼,代表特定的漫遊合作夥伴或同盟。
- 場館名稱與場館群組: 描述物理位置的中介資料(例如:「第二航廈」或「體育場」)。
- IP 位址類型可用性: 關於 IPv4 或 IPv6 是否可用,以及是否套用 NAT 的資訊。
如果用戶端裝置擁有包含相符漫遊聯盟 OI 的設定檔,它就會啟動驗證流程,而不會提示使用者。
OpenRoaming 同盟架構
OpenRoaming 作為 Passpoint 之上的全球同盟層運作。它建立了由 Wireless Broadband Alliance (WBA) 管理的安全公開金鑰基礎建設(PKI)。此同盟允許身分識別提供者(IDP) - 例如行動網路業者、裝置製造商(Apple、Google)和企業身分識別系統 - 與網路提供者安全地進行對等互連。
驗證是使用 WPA3-Enterprise(或用於相容舊版系統的 WPA2-Enterprise)搭配 Protected Extensible Authentication Protocol (PEAP) 或 Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 來執行。AP 作為驗證器,將 EAP 封包封裝至 RADIUS(遠端使用者撥入驗證服務)或 RadSec (RADIUS over TLS) 封包中,並將其轉發給身分識別提供者。
RadSec 在 OpenRoaming 中是強制要求的,用以確保本機網路的 RADIUS 代理與全球 IDP 之間透過公開網際網路進行的通訊安全。RadSec 使用 TCP 連接埠 2083 與 TLS 加密,確保使用者憑證和驗證屬性在跨越中間傳輸提供者傳輸期間保持機密。
實作指南
部署 Passpoint 和 OpenRoaming 需要在無線控制器 (WLC)、RADIUS 基礎架構以及 DNS/防火牆設定中採取系統化的方法。
步驟 1:網路基礎架構稽核
確保您的 AP 和 WLC 支援 802.11u 和 Passpoint 版本 2 或 3。驗證您的 RADIUS 伺服器支援 RadSec (RFC 6614)。如果您舊有的 RADIUS 伺服器不支援 RadSec,您必須在 DMZ 中部署 RadSec 代理(例如 FreeRADIUS 或專用閘道)。
步驟 2:防火牆設定
向 OpenRoaming RadSec 代理伺服器開放輸出 TCP 連接埠 2083。確保您的 RADIUS 伺服器上正確設定了 DNS 解析,因為 RadSec 依賴動態委派發現系統 (DDDS) 和 NAPTR 記錄來尋找適當的 IDP。
步驟 3:憑證取得
從授權的憑證授權單位 (CA) 取得經 WBA 批准的 RadSec 憑證。此憑證對於本機 RadSec 代理與 OpenRoaming 聯盟代理商之間的雙向 TLS (mTLS) 驗證至關重要。
步驟 4:無線控制器設定
- 建立安全的 SSID: 設定新的 SSID 或修改現有的 SSID 以使用 WPA3-Enterprise(或 WPA2/WPA3 過渡模式)。
- 啟用 802.11u (Interworking): 在 SSID 上啟用 Interworking 功能。
- 設定 HESSID: 設定同質 ESSID(通常是其中一個 AP 無線電的 MAC 位址),以唯一識別該網路群組。
- 新增漫遊聯盟 OI: 新增 OpenRoaming 漫遊聯盟 OI。標準的 OI 為:
5A-03-BE-00-00(免結算,身分由 Google、Apple 或行動電信業者驗證)5A-03-BE-00-01(已結算,用於商業漫遊協議)
- 設定 ANQP 參數: 定義場地名稱、場地群組和網路類型。
步驟 5:RADIUS/RadSec 代理設定
將您的本機 RADIUS 伺服器設定為 RadSec 代理。定義路由規則,將包含 OpenRoaming OI 或特定領域網域模式的驗證請求轉發至 OpenRoaming RadSec 閘道。
最佳實務
為確保部署穩定且高效能,請遵循以下產業標準建議:
- **SSID 整合:**請勿為 Passpoint 或 OpenRoaming 建立專用的 SSID。相反地,應將它們合併到單一且安全的企業級 SSID 中。這能最大程度地減少信標(beacon)開銷並節省寶貴的空口時間(airtime)。
- **憑證管理:**為您的 RadSec 憑證實施自動化憑證更新流程。逾期的憑證會立即停止所有 OpenRoaming 認證。
- **通道規劃:**由於 Passpoint 依賴於關聯前的 ANQP 交換,用戶端裝置會花費更多時間進行掃描和查詢。請最佳化您的 5 GHz 和 6 GHz 通道規劃,以減少衝突並確保快速的探測回應(probe response)。
- **領域過濾(Realm Filtering):**在您的 RadSec 代理伺服器上實施嚴格的領域過濾,以防止不必要的認證流量淹沒聯盟網路。僅轉發符合有效 OpenRoaming 模式的請求。
- **使用者體驗一致性:**確保您的實體場域指標和數位行銷素材告知使用者,他們可以透過 OpenRoaming 自動連線,進而減少對未加密開放式 SSID 的依賴。
疑難排解與風險緩釋
常見故障模式與解決方案
問題:用戶端裝置無法自動連線
- **根本原因:**WLC 上遺失或設定錯誤的漫遊聯盟組織識別碼(Roaming Consortium OIs),或者用戶端裝置未安裝正確的設定檔。
- **緩釋措施:**使用封包分析器擷取信標與探測回應訊框。驗證 802.11u 互連(Interworking)元素是否包含正確的 OI。確保透過 MDM 或佈署入口網站正確佈署用戶端設定檔。
問題:RadSec 連線失敗
- **根本原因:**防火牆阻擋了 TCP 連接埠 2083,或者 RadSec 憑證無效或已逾期。
- **緩釋措施:**在 RADIUS 代理伺服器的 WAN 介面上進行封包擷取。驗證 TLS 握手(handshake)是否成功完成。檢查憑證撤銷清單(CRL)狀態。
問題:認證過程中發生高延遲
- **根本原因:**地理位置遙遠的 IDP,或 NAPTR 記錄的 DNS 解析速度過慢。
- **緩釋措施:**實施 DNS 記錄的本機快取,並確保您的 RADIUS 代理伺服器到區域 OpenRoaming 中樞擁有低延遲的路徑。
投資報酬率(ROI)與業務影響
過渡到 Passpoint 與 OpenRoaming 可在三個主要維度上提供可衡量的業務價值:營運效率、安全性態與數據智慧。
營運效率
透過自動化連線流程,場域因訪客 WiFi 相關支援需求而產生的工單數量顯著減少。櫃檯接待人員與 IT 服務台花費在排查 Captive Portal 失敗和密碼問題的時間更少。
安全性態
傳統的開放式訪客網路會讓使用者暴露於竊聽和中間人攻擊的風險中。Passpoint 強制使用企業級加密(WPA2/WPA3 Enterprise),保護所有空中傳輸流量。這能保護使用者與場域,免受與資料外洩相關的法律責任。### 數據智慧
當與 Purple 等平台整合時,Passpoint 可讓場域流暢地識別回訪訪客。由於裝置會自動連線,場域無需要求使用者重複開啟瀏覽器並登入,即可擷取精確的停留時間與造訪頻率指標。這種持續的數據流可實現高度精準的即時互動策略。
關鍵定義
Passpoint
Wi-Fi 聯盟的一項認證計劃(基於 Hotspot 2.0),使行動裝置能夠自動發現並連線至具有企業級安全性的 WiFi 網路。
它為無縫訪客引導奠定了技術基礎。
OpenRoaming
由無線寬頻聯盟(WBA)建立的全球漫遊聯盟,允許使用者使用信任的身分安全且自動地連線至 WiFi 網路。
它作為 Passpoint 之上的策略和身分識別層。
ANQP
接入網路查詢協定。一種行動裝置在與 AP 關聯之前,用來發現網路功能的查詢 - 回應協定。
對於 802.11u 中的關聯前發現至關重要。
802.11u
IEEE 802.11 標準的修訂版,增加了與外部網路互通的功能,從而實現關聯前發現。
使 Passpoint 成為可能的實體層和 MAC 層標準。
RadSec
RADIUS over TLS (RFC 6614)。一種透過在 TCP 上的 TLS 通道內封裝 RADIUS 封包來確保其安全的協定。
OpenRoaming 強制要求使用,以確保透過公網傳輸的驗證流量安全。
Roaming Consortium OI
漫遊聯盟組織識別碼。由 IEEE 分配的唯一十六進位識別碼,用於識別特定的漫遊聯盟或合作夥伴。
AP 用於宣傳其接受哪些漫遊憑證。
HESSID
同質 ESSID。在 AP 上設定的 48 位元 MAC 位址,用於識別屬於同一網路或場域的一組 AP。
幫助用戶端裝置理解多個 AP 屬於同一個管理網域。
EAP-TLS
可擴充驗證協定 - 傳輸層安全。一種使用數位憑證進行雙向驗證的驗證協定。
Passpoint 支援的安全係數最高的驗證方法。
範例
大型體育場部署需要設定 Cisco Catalyst 9800 無線控制器,以支援 OpenRoaming (免結算) 以及現有的企業 SSID。網路架構師必須確保用戶端裝置能使用正確的 Roaming Consortium OI 自動發現並連線至網路。
要在 Cisco Catalyst 9800 WLC 上實作此設定,請遵循以下配置步驟:
- 定義 ANQP 伺服器設定檔 (ANQP Server Profile):
wireless profile anqp openroaming-anqp-profile
venue-name english "Stadium Main Bowl"
venue-group assembly venue-type arena
network-auth-type redirect-url "https://portal.purple.ai"
ip-type ipv4-nat ipv6-no-address
- 建立 Roaming Consortium 設定檔並新增 OpenRoaming 免結算 OI (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
roaming-consortium-oi 5A03BE0000
- 設定 Hotspot 2.0 (Passpoint) 設定檔:
wireless profile hotspot openroaming-hotspot-profile
anqp-server-profile openroaming-anqp-profile
roaming-consortium-profile openroaming-roaming-profile
hessid 00:11:22:33:44:55
- 將 Hotspot 設定檔套用至目標 WLAN 設定檔:
wlan openroaming-wlan 1 openroaming-ssid
security wpa wpa3
security wpa akm eap
hotspot-profile openroaming-hotspot-profile
no shutdown
- 使用 CLI 驗證設定:
show wireless profile hotspot detailed openroaming-hotspot-profile
某多據點零售連鎖店希望從傳統的 Captive Portal 轉移到混合模式。他們希望使用 OpenRoaming 進行無縫連線,同時利用 Purple 的分析平台來追蹤訪客行為,並根據停留時間投放精準行銷活動。
此解決方案需要設定 RadSec 代理伺服器,以便將驗證請求路由至 OpenRoaming 聯盟,同時將計費數據傳送至 Purple 雲端平台。
- 設定本地 RadSec 代理伺服器 (例如 FreeRADIUS) 以與 OpenRoaming 閘道建立 TLS 連線:
home_server openroaming_radsec {
type = auth+acct
ipaddr = radsec.openroaming.org
port = 2083
proto = tcp
tls {
private_key_file = /etc/raddb/certs/radsec.key
certificate_file = /etc/raddb/certs/radsec.pem
ca_file = /etc/raddb/certs/wba_ca.pem
}
}
- 設定計費伺服器以複製計費封包,並將其轉發至 Purple 的 RADIUS 計費端點:
home_server purple_accounting {
type = acct
ipaddr = acct.purpleportal.net
port = 1813
secret = PurpleSharedSecret
}
realm openroaming {
auth_pool = openroaming_radsec
acct_pool = purple_accounting
}
- 在 WLC 上,確保已啟用 RADIUS 計費,並設定為每 300 秒傳送一次過渡更新。這能確保即使使用者未主動開啟瀏覽器,Purple 也能持續收到停留時間數據。
練習題
Q1. 網路工程師注意到 Android 裝置會自動連線至 OpenRoaming SSID,但 iOS 裝置卻會提示使用者手動選取網路。此行為最可能的原因是什麼?
提示:考量設定檔在不同行動作業系統上的部署與信任方式。
查看標準答案
最可能的原因是 iOS 裝置未安裝所需的 OpenRoaming 設定檔,或者設定檔的憑證承載資料不被 iOS 信任。Android 裝置通常預裝了來自裝置製造商或電信業者設定的 OpenRoaming 設定檔。而 iOS 則需要透過 MDM、佈署應用程式或像 Purple 這樣的入口網站來進行明確的設定檔安裝,以信任根憑證授權單位並將 Roaming Consortium OI 與 SSID 進行關聯。
Q2. 在 RadSec 代理伺服器 WAN 介面上的封包擷取過程中,您觀察到傳送至連接埠 2083 的 TCP SYN 封包,但未收到 SYN-ACK。您應該採取哪些疑難排解步驟?
提示:專注於網路路徑與防火牆設定。
查看標準答案
- 驗證連外防火牆原則是否允許從 RadSec 代理伺服器 IP 到目的地 OpenRoaming 閘道的 TCP 連接埠 2083 流量。
- 檢查是否有中間安全設備(例如 IPS 或深層封包檢測防火牆)阻擋或丟棄該流量。
- 確認透過 DNS NAPTR 記錄解析的目的地 IP 位址是否正確且可達。
- 執行 traceroute(追蹤路徑)以識別封包丟棄發生在傳輸路徑中的哪個位置。
Q3. 為什麼在部署 Passpoint 和 OpenRoaming 時,整合 SSID 被視為最佳實踐?忽略此建議的技術影響是什麼?
提示:思考空中傳輸時間效率與信標開銷。
查看標準答案
SSID 整合至關重要,因為在 AP 上設定的每個 SSID 都必須廣播自己的信標訊框(beacon frames),且通常是以最低支援的強制資料傳輸率進行。為 Passpoint/OpenRoaming 建立專用的 SSID 會增加信標開銷,消耗寶貴的空口時間並降低整體網路容量。透過將 Passpoint 整合到現有的安全企業級 SSID 中,AP 即可在現有的信標訊框內播送 802.11u 參數,從而節省空口時間並維持最佳的頻道效率。
繼續閱讀本系列
為訪客與員工 WiFi 網路配置 RADIUS 驗證
本技術參考指南概述了企業訪客和員工 WiFi 網路的 RADIUS 驗證架構、配置與部署。它為網路架構師和 IT 經理提供了構建安全、可擴展的無線存取控制系統所需的確切協定、安全標準與疑難排解方法。
如何在大專院校實施 SCEP 以實現安全的 BYOD 與網路註冊
本技術指南為網路架構師和 IT 經理提供了一個與廠商無關的藍圖,用於部署基於 SCEP 的憑證註冊,以保護大專院校校園網路的安全。它詳細介紹了如何從基於密碼的 PEAP 遷移到 802.1X EAP-TLS、自動化 BYOD 註冊,以及實施強大的 VLAN 區隔。
Server RADIUS:企業的完整指南
本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。