什麼是 RADIUS 驗證?其運作原理為何?
本指南為管理企業與訪客 WiFi 部署的 IT 主管提供 RADIUS 驗證的權威技術參考。本指南將揭開 AAA 協定的神秘面紗,解釋 802.1X 與 EAP 方法如何協同運作,並詳細說明 Purple 的雲端平台如何為飯店、連鎖零售、體育場館及公共部門機構簡化部署。讀者將獲得清晰的實作路線圖、真實案例研究,以及從不安全的預共用金鑰遷移到強大、身分導向的網路存取控制架構所需的決策框架。
收聽此指南
查看播客逐字稿

執行摘要
對於多據點場所(飯店、零售連鎖店、體育場館和會議中心)的 IT 主管而言,為每日數以千計的使用者提供安全且可靠的 WiFi 存取是一項至關重要的服務,同時也伴隨著重大的營運與法規風險。過去針對訪客和員工網路使用單一預共用金鑰 (PSK) 的傳統做法,已不再是可行的安全防護手段。這會使企業面臨 PCI DSS 和 GDPR 合規性違規、營運中斷以及潛在資料外洩導致的商譽受損等風險。
現代的業界標準解決方案是透過 RADIUS (Remote Authentication Dial-In User Service) 協定來集中管理網路存取控制。RADIUS 為網路安全的三大支柱——驗證、授權和計費 (AAA)——提供了強大的架構,針對每位使用者和裝置實施基於身分的存取控制。藉由與現有的身分目錄(例如 Azure AD、Google Workspace 或 Okta)整合,RADIUS 可確保只有獲得授權的人員才能連線,並精確地根據其角色限制其存取權限。
本指南針對 RADIUS、其底層的 IEEE 802.1X 標準,以及 Purple 的 WiFi 智慧平台如何簡化部署複雜性,提供了實用且具操作性的概述。本指南專為需要在本季度(而非明年)做出實施決策的網路架構師和 IT 經理而編寫。

技術深度剖析
AAA 架構:驗證、授權與計費
RADIUS 採用用戶端-伺服器模型運作,並圍繞著 AAA 架構建置,這是網路安全中的基礎概念。深入了解每個元件對於成功部署至關重要。
驗證 (Authentication) 是驗證使用者身分的過程。當使用者嘗試連線到以 WPA2/WPA3-Enterprise 保護的 WiFi 網路時,其裝置(即請求端 Supplicant)會將憑證傳送到無線存取點(即驗證端 Authenticator)。驗證端本身不做出存取決定,而是將請求轉發給 RADIUS 伺服器。RADIUS 伺服器會對照已設定的身分來源(例如 Microsoft Active Directory、雲端 IdP 如 Okta,或本機使用者資料庫)來驗證這些憑證。驗證可以使用使用者名稱和密碼組合,或者為了獲得顯著提高的安全性,透過 EAP 方法(例如 EAP-TLS)使用數位憑證。
授權 (Authorization) 決定了已驗證使用者獲准執行的操作。根據網路管理員定義的策略,RADIUS 伺服器會將特定屬性傳回給驗證器。這些屬性決定了 VLAN 分配(將訪客流量與企業流量隔離)、頻寬限制以及存取時間限制。這種精細且動態的策略執行,是 RADIUS 相較於靜態 PSK 系統的核心優勢之一。
計費 (Accounting) 追蹤使用者在整個工作階段中的活動。RADIUS 伺服器會記錄連線時間戳記、工作階段持續時間、傳輸的數據量以及裝置的 MAC 位址。此稽核軌跡對於疑難排解、容量規劃和合規性報告極具價值。在 PCI DSS 4.0 規範下,記錄並監控所有對網路資源的存取是一項強制性的控制措施。

RADIUS 與 802.1X 如何協同工作
IEEE 802.1X 標準定義了基於連接埠的網路存取控制。在 WiFi 環境中,802.1X 允許存取點封鎖來自裝置的所有流量(驗證訊息除外),直到 RADIUS 伺服器確認授權為止。用戶端 (Supplicant) 與驗證器 (Authenticator) 之間的通訊使用可延伸驗證協定 (EAP),在區域網路中以 EAPOL (EAP over LAN) 的形式傳輸。接著,驗證器會使用 RADIUS 協定將此資訊轉發給 RADIUS 伺服器。
選擇何種 EAP 方法是一項關鍵的安全決策:
| EAP 方法 | 驗證類型 | 安全等級 | 建議使用場景 |
|---|---|---|---|
| EAP-TLS | 基於憑證 | 最高 | 企業託管裝置 — 黃金標準 |
| PEAP-MSCHAPv2 | 基於憑證資訊 | 中等 | 正在向憑證過渡且以 Windows 為主的環境 |
| EAP-TTLS/PAP | 基於憑證資訊 | 中等 | 支援舊版裝置的混合作業系統環境 |
對於企業裝置,EAP-TLS 是目標狀態。它使用雙向憑證驗證 — 用戶端和伺服器皆須出示憑證 — 完全消除了密碼以及相關的憑證遭竊與網路釣魚風險。
RADIUS 連接埠與傳輸
預設情況下,RADIUS 使用 UDP 連接埠 1812 進行驗證與授權,並使用 UDP 連接埠 1813 進行計費。某些舊版部署會使用連接埠 1645 和 1646。自 RFC 6613 起,RADIUS 也可以在 TCP 上搭配 TLS 運作 (RadSec),這在雲端部署中越來越常被用於增強傳輸安全性。
實作指南
從 PSK 過渡到 RADIUS:五步驟路線圖
步驟 1:選擇您的 RADIUS 基礎架構。 選擇地端伺服器(適用於 Windows 環境的 Microsoft NPS、適用於開源部署的 FreeRADIUS)或雲端 RADIUS 服務。對於多據點企業,像 Purple 這樣的雲端 RADIUS 平台幾乎總是正確的選擇。它提供內建的高可用性、地理備援,並消除了伺服器管理的營運負擔。
步驟 2:整合您的身分來源。 將 RADIUS 伺服器連接到您組織的權威身分目錄。現代雲端 RADIUS 平台支援透過 SAML 或 LDAP 與 Azure AD、Google Workspace 和 Okta 進行直接整合。對於訪客使用者,身分來源通常是 CRM、物業管理系統 (PMS) 或專用的訪客 WiFi 平台。
步驟 3:設定網路硬體。 在您的無線區域網路控制器或無線基地台 (AP) 上,建立一個設定為 WPA2-Enterprise 或 WPA3-Enterprise 的新 SSID。將 SSID 指向您 RADIUS 伺服器的 IP 位址,並設定 共用金鑰 (shared secret) — 這是一個用於加密無線基地台與 RADIUS 伺服器之間通訊的密碼。此值在兩端必須完全一致;不一致是初始部署失敗最常見的原因之一。
步驟 4:定義授權原則。 在 RADIUS 伺服器上建立規則,將使用者群組對應到網路原則。飯店的典型原則設定可能包括:VLAN 10 上的員工擁有完整的內部存取權限;VLAN 30 上的承包商擁有受限的存取權限和 50 Mbps 的頻寬上限;VLAN 20 上的訪客僅能存取網際網路,且有 8 小時的工作階段限制。
步驟 5:上線使用者與裝置。 對於企業員工,透過您的 MDM 平台部署具有 802.1X 設定的 WiFi 設定檔。對於訪客,則部署 Captive Portal。Purple 的平台可自動化訪客上線流程 — 支援社群媒體登入、註冊表單和優惠券代碼 — 並建立會自動過期的臨時 RADIUS 使用者帳戶。

最佳實踐
採用 WPA3-Enterprise。 在硬體支援的情況下,WPA3-Enterprise 提供了比 WPA2-Enterprise 更顯著的安全改進,包括保護管理畫面 (PMF) 以及透過 192 位元安全模式提供更強大的加密。進行硬體稽核以識別需要韌體更新或更換的無線基地台。
針對企業裝置實施 EAP-TLS。 憑證型驗證可消除密碼這一安全漏洞。將您的 RADIUS 伺服器與您的 PKI 整合,或使用雲端憑證管理解決方案。透過 MDM 自動部署憑證,以將 IT 營運成本降至最低。
強制執行 VLAN 區隔。 透過 RADIUS 進行動態 VLAN 分配是符合 PCI DSS 規範和零信任(Zero Trust)架構的必要條件。確保您的網路交換器和防火牆強制執行跨 VLAN 路由原則,以防止訪客流量存取企業資源。
部署備援 RADIUS 基礎架構。 在您的存取點(AP)上至少設定一部主要和一部次要 RADIUS 伺服器。雲端 RADIUS 平台通常會自動提供此功能。請定期測試容錯移轉。
疑難排解與風險緩釋
| 故障模式 | 根本原因 | 解決方案 |
|---|---|---|
| 所有使用者皆被拒絕 | AP 與 RADIUS 伺服器之間的共用金鑰不相符 | 驗證 AP 和 RADIUS 伺服器設定上的共用金鑰 |
| 用戶端裝置出現憑證錯誤 | 用戶端不信任 RADIUS 伺服器憑證 | 透過 MDM 在所有用戶端裝置上安裝根 CA 憑證 |
| 間歇性驗證失敗 | RADIUS 伺服器過載或無法連線 | 部署次要 RADIUS 伺服器;檢視伺服器容量 |
| 訪客入口網站未重新導向 | Walled garden(圍牆花園)設定錯誤 | 確保入口網站 URL 和社群登入提供者網域已包含在 walled garden 中 |
| 工作階段過期後使用者無法重新連線 | 計費工作階段未正常終止 | 檢視 RADIUS 計費設定;檢查是否有過期未清除的工作階段 |
ROI 與企業效益
在多個維度上,部署 RADIUS 的商業效益都非常顯著。降低安全風險是最直接的好處:以身分識別存取取代共用 PSK,可消除最常見的 Wi-Fi 網路入侵途徑,進而可能避免英國企業平均達 340 萬英鎊的資料外洩成本。透過身分識別存取控制與完整計費記錄的結合,可確保符合 PCI DSS、GDPR 及特定產業法規的合規性。在大規模部署中,營運效率的提升非常顯著 —— 集中式原則管理意味著,在身分目錄中執行單一操作即可為新使用者啟用權限或撤銷離職員工的存取權限,而無需在數十個存取點上進行手動重新設定。最後,RADIUS 產生的計費數據為容量規劃提供了具實用價值的情報,使基礎架構的投資決策能夠基於實際使用數據,而非估算值。
關鍵定義
RADIUS (Remote Authentication Dial-In User Service)
一種在 RFC 2865 中標準化的網路協定,為連接到網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。它採用用戶端-伺服器模型運作,其中網路存取伺服器 (NAS) 是用戶端,而 RADIUS 伺服器是決策授權機構。
這是企業 WiFi 安全的核心引擎。當 IT 經理談到「遷移至 802.1X」時,他們幾乎總是在討論部署 RADIUS 伺服器。
802.1X
一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它定義了在 IEEE 802 網路上對可延伸驗證協定 (EAP) 的封裝,使驗證器(例如 WiFi 存取點)能夠在授予網路存取權限之前執行驗證。
這是讓 RADIUS 適用於 WiFi 的標準。在為「WPA2-Enterprise」設定 SSID 時,您就是在該 SSID 上啟用 802.1X。
AAA (Authentication, Authorization, Accounting)
一種用於智慧控制電腦資源存取、執行原則和審計使用情況的安全架構。驗證 (Authentication) 用於確認身分,授權 (Authorization) 用於決定允許的操作,計費 (Accounting) 用於記錄活動。
RADIUS 伺服器通常被稱為「AAA 伺服器」。理解這個架構是所有網路存取控制設計的概念基礎。
Supplicant
在 802.1X 架構中,Supplicant 是請求存取網路的用戶端裝置,例如筆記型電腦、智慧型手機或物聯網裝置。裝置上的 Supplicant 軟體負責處理 EAP 驗證交換。
在排查驗證失敗問題時,Supplicant 設定(例如筆記型電腦上的 WiFi 設定檔)通常是問題的根源。
Authenticator
在 802.1X 架構中,Authenticator 是執行存取控制的網路裝置,通常是無線存取點或乙太網路交換器。它在 Supplicant 和驗證伺服器之間轉發 EAP 訊息,但本身不做出驗證決策。
存取點是中繼器,而非決策者。這是一個關鍵的區別:AP 的工作是將請求轉發給 RADIUS,然後根據回應採取行動。
EAP (Extensible Authentication Protocol)
在 RFC 3748 中定義的一種驗證架構,支援多種驗證方法。EAP 本身並未定義特定的驗證機制;相反地,它提供了一種標準格式,用於協商和承載各種 EAP 方法(例如 EAP-TLS、PEAP、EAP-TTLS)。
設定 802.1X 時,您必須選擇一種 EAP 方法。在 EAP-TLS(憑證)和 PEAP(密碼)之間做出選擇,是 WiFi 部署中最具影響力的安全決策之一。
EAP-TLS (EAP Transport Layer Security)
一種基於憑證的 EAP 方法,使用 X.509 數位憑證在用戶端和 RADIUS 伺服器之間提供雙向驗證。它被廣泛認為是最安全的 EAP 方法,因為它完全免除了密碼。
EAP-TLS 是企業裝置驗證的金科玉律。部署它需要公開金鑰基礎建設 (PKI) 來發行和管理用戶端憑證,這也是為什麼雲端憑證管理解決方案越來越受歡迎的原因。
Captive Portal
一個攔截使用者連線至公共 WiFi 網路的網頁,要求他們在獲得網際網路存取權限之前完成特定操作,例如接受服務條款、輸入憑證或透過社群媒體帳戶進行驗證。
Captive Portal 與 RADIUS 協同運作以提供訪客 WiFi。Portal 是面向使用者的介面;RADIUS 則是後端驗證引擎,用於驗證使用者工作階段並執行存取原則。
VLAN (Virtual Local Area Network)
在實體網路基礎建設中建立的邏輯網路區段。VLAN 允許網路管理員隔離來自不同使用者群組(例如訪客、員工和物聯網裝置)的流量,即使他們共用相同的實體硬體。
透過 RADIUS 進行動態 VLAN 分配是在企業 WiFi 中實現網路分割的機制。這是符合 PCI DSS 規範和零信任架構的基本要求。
Shared Secret
在 RADIUS 用戶端(存取點)和 RADIUS 伺服器上設定的密碼,用於驗證雙方的通訊並加密 RADIUS 屬性值。兩端的密碼必須完全相同。
在初始部署期間,共用金鑰不一致是導致 RADIUS 驗證失敗最常見的原因之一。請務必使用複製貼上,而不是手動輸入此值。
範例
一間擁有 500 間客房的飯店需要為房客、會議與會者和員工提供安全的 WiFi。房客應享有流暢無阻的登入體驗,而員工則需要安全存取內部物業管理和銷售點(POS)系統。該飯店使用 Oracle OPERA 作為其物業管理系統(PMS)。
部署與飯店 Oracle OPERA PMS 整合的 Purple 雲端 RADIUS 平台。配置三個獨立的 SSID:「Hotel-Guest」、「Conference-WiFi」和「Staff-Internal」。「Staff-Internal」SSID 設定為採用 EAP-TLS 的 WPA3-Enterprise。數位憑證透過 MDM 平台(例如 Jamf 或 Microsoft Intune)部署到所有飯店擁有的裝置,為員工啟用無密碼、無縫的驗證。「Hotel-Guest」SSID 使用與 OPERA 整合的品牌化 Captive Portal。在辦理入住時,OPERA 會自動建立一個臨時 RADIUS 使用者帳戶,其憑證在房客住宿期間有效。房客會收到一個 QR code 或一封包含直接連線連結的歡迎電子郵件。「Conference-WiFi」SSID 使用 Purple 平台內的憑證(voucher)系統,允許活動協調員為其與會者產生獨特、具時效性的存取碼。所有三個 SSID 均使用動態 VLAN 分配,以執行嚴格的流量隔離。
一家在英國擁有 200 家門市的零售連鎖店希望汰換其不安全、共享密碼的房客 WiFi 網路。行銷團隊需要從門市訪客那裡取得選擇性加入(opt-in)的人口統計數據,以支援精準行銷活動。IT 團隊則使用 Azure Active Directory 進行所有企業身分識別管理。
使用集中化、範本化的設定,在所有 200 家門市部署 Purple 的雲端 RADIUS 和房客 WiFi 平台。針對房客存取,在專用的房客 SSID 上設定品牌化的 Captive Portal。該入口網站提供透過社群媒體帳戶(Facebook、Google)或簡單註冊表單進行的驗證,並在符合 GDPR 的情況下收集選擇性加入的行銷同意。Purple 的平台將這些數據匯總到一個集中式的分析儀表板中,為行銷團隊提供訪客人口統計資料、停留時間和重複造訪率。針對企業員工,將 RADIUS 伺服器與現有的 Azure AD 租戶整合。員工使用其 Azure AD 憑證透過 PEAP 連線到獨立的「Staff」SSID,並針對最高風險的角色制定逐步遷移至採用憑證之 EAP-TLS 的計劃。所有房客流量都隔離在專用的 VLAN 上,無法存取門市的內部網路或 EPOS 系統,從而滿足 PCI DSS 網路隔離要求。
練習題
Q1. 您是一家大型會議中心的 IT 架構師。一家大型科技公司正在租用您的場地舉辦為期三天、有 5,000 名與會者參加的會議。客戶有一個硬性要求:與會者可以連接到安全、高效能的 WiFi 網路,而無需每天手動輸入密碼。客戶使用 Okta 作為其身分識別提供者。您會如何設計此驗證解決方案?
提示:考慮如何為來自單一外部組織的大量使用者提供無縫、免密碼的體驗。思考基於憑證的驗證,以及如何與第三方身分識別提供者整合以進行限時活動。
查看標準答案
最佳解決方案是為會議配置一個專用的 SSID,並設定為 WPA3-Enterprise 搭配 EAP-TLS。在活動期間,透過 SAML 聯盟將您的雲端 RADIUS 平台與客戶的 Okta 租戶整合。在會議開始前,引導與會者前往一次性上線入口網站,在此使用其 Okta 認證進行驗證。驗證成功後,系統會產生一個唯一的數位憑證並安裝在他們的裝置上。在會議的其餘時間,他們的裝置會自動且安全地連接到該 SSID,無需任何進一步的使用者互動。憑證的有效期與會議持續時間一致,並在結束時自動撤銷。這在維持強大安全性的同時,提供了無縫、免密碼的體驗,並利用了客戶現有的身分識別基礎架構,而不是建立一個獨立的認證系統。
Q2. 一家私立醫院需要為患者和訪客提供 WiFi,但必須確保此流量與臨床系統、電子健康紀錄和醫療設備所使用的網路完全隔離,以符合 HIPAA 和 NHS DSP Toolkit 的要求。哪項 RADIUS 功能對實現此隔離最為關鍵?您會如何配置它?
提示:專注於 AAA 架構的「授權 (Authorization)」支柱。關鍵不僅在於驗證使用者,還在於控制他們在驗證後可以存取的範圍。考慮 RADIUS 如何將網路原則傳達給存取點。
查看標準答案
最關鍵的功能是透過 RADIUS 授權原則進行動態 VLAN 分配。您可以在網路基礎架構上建立一個專用的「Patient-Guest」VLAN(例如 VLAN 50),並配置防火牆規則,僅允許網際網路存取,並明確拒絕所有前往臨床網路 VLAN 的流量。在 RADIUS 伺服器上,建立一條授權原則,將任何驗證到患者 WiFi SSID 的使用者分配到 VLAN 50,不論其認證為何。RADIUS 伺服器會透過 Access-Accept 訊息中的 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 屬性,將此分配傳達給存取點。存取點隨後會在連接點將使用者的流量放入 VLAN 50。這確保了即使患者的裝置遭到入侵,也沒有通往臨床系統的網路路徑 — 這是符合 HIPAA 合規性和臨床網路安全的基本要求。
Q3. 您的組織已在整個企業園區中部署了 802.1X 搭配 RADIUS。一名員工回報,他們無法從新筆記型電腦連接到企業 WiFi,但可以從智慧型手機和之前的筆記型電腦成功連接。IT 服務台已確認該員工的帳戶在 Azure AD 中處於啟用狀態。您的診斷方法是什麼?最有可能的三個根本原因是什麼?
提示:此問題是特定於裝置的,而非特定於使用者的 — 使用者可以從其他裝置進行驗證。這將問題縮小到裝置配置、裝置憑證或裝置的 supplicant 設定。請從 RADIUS 伺服器記錄開始著手。
查看標準答案
診斷方法是首先檢查 RADIUS 伺服器的驗證記錄,尋找對應於新筆記型電腦 MAC 地址的 Access-Reject 訊息。拒絕原因代碼將指出根本原因。最有可能的三個原因包括:(1) 遺失或無效的用戶端憑證 — 如果部署使用 EAP-TLS,新筆記型電腦可能尚未透過 MDM 佈署憑證。檢查裝置是否已註冊到 MDM 平台,以及憑證部署原則是否已套用。(2) 錯誤的 WiFi 設定檔 — 新筆記型電腦可能具有錯誤的 802.1X supplicant 設定,例如錯誤的 EAP 方法、不正確的 RADIUS 伺服器憑證信任配置或錯誤的使用者名稱格式。驗證 WiFi 設定檔是否與標準企業範本相符。(3) 裝置尚未在身分識別目錄中註冊 — 某些 RADIUS 原則會針對 Azure AD 進行裝置合規性檢查。如果新筆記型電腦尚未完成 Azure AD 加入和裝置註冊,即使使用者的帳戶處於啟用狀態,也可能無法通過此檢查。
繼續閱讀本系列
如何在大專院校實施 SCEP 以實現安全的 BYOD 與網路註冊
本技術指南為網路架構師和 IT 經理提供了一個與廠商無關的藍圖,用於部署基於 SCEP 的憑證註冊,以保護大專院校校園網路的安全。它詳細介紹了如何從基於密碼的 PEAP 遷移到 802.1X EAP-TLS、自動化 BYOD 註冊,以及實施強大的 VLAN 區隔。
Server RADIUS:企業的完整指南
本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。
Aruba ClearPass vs. Purple WiFi: 比較功能與協同部署
一份詳盡的技術指南,深入剖析 Aruba ClearPass 與 Purple WiFi 的協同部署架構。內容涵蓋 RADIUS 代理設定、動態 VLAN 分配,以及在企業級網路存取控制(NAC)旁,提供安全且具備分析功能的訪客網路之最佳實踐。