802.1X网络配置与相关标准资源指南

### 802.1X 网络配置与相关标准资源指南 #### 1. 802.1X 实验室学习建议 在实验室中学习 802.1X（有线或无线）时，推荐从 Windows NPS 入手。它能在任何微软服务器平台上免费启用，默认使用与供应商无关的标准 RADIUS 属性，且没有大量特定供应商的网络准入控制（NAC）功能需要筛选，如配置文件、姿态评估和第三方集成等。 多数产品（包括 NPS）都可通过向导或逐步引导来配置 802.1X 策略，建议在所有平台上都采用这种方式。 #### 2. 构建 802.1X 安全网络的组件 ##### 2.1 支持企业级 SSID 安全配置文件的 Wi-Fi 基础设施 首要要求是 Wi-Fi 产品支持 SSID 的 WPA 企业级（802.1X）安全配置文件。企业级产品通常都支持 WPA2 和/或 WPA3 企业级安全，但消费级和住宅 ISP 提供的无线路由器不太可能具备此功能。若要使用包括 WPA3 企业级在内的最新功能，可能需要升级产品固件，最终应能看到 WPA2 企业级、WPA3 企业级以及支持两者的 WPA3 企业级过渡模式选项。 ##### 2.2 支持 802.1X/EAP 的端点 早期 802.1X 时代，操作系统无原生支持，需安装单独的客户端软件。如今，基于用户的操作系统（如 Windows、苹果、安卓）都内置了 802.1X 客户端，非用户设备（如打印机、VoIP 电话和物联网设备）可能是例外。 对于笔记本电脑、平板电脑和智能手机，通常无需安装或进行重大更改就能支持 802.1X，但可能需要更新软件和/或网卡驱动以支持最新 Wi-Fi 标准。其他设备（如打印机、VoIP 电话等企业设备）大多也支持 802.1X，只是可能需要更多更新和配置工作。 VoIP 电话常需从电话控制器推送软件升级，并在电话控制器中进行额外配置以支持 802.1X。许多 VoIP 电话系统最初配置为双启动 DHCP 模式，切换到 802.1X 认证的 VoIP 电话时，建议省略双启动功能，使用 LLDP - MED 与 802.1X 结合，以实现更简化和一致的操作。 ##### 2.3 为指定连接配置端点的方法 连接到 802.1X 安全 SSID 的端点，应考虑批量推送设置的最佳选项。手动配置可实现，但不具扩展性，且同一平台不同版本的 802.1X 配置设置可能不同。 常见企业端点的配置推送选项包括： - 活动目录组策略（或类似目录策略） - 移动设备管理（MDM，适用于笔记本电脑、平板电脑、智能手机） - VoIP 控制器（适用于 VoIP 电话） - 打印机群管理工具 一般在端点上需指定以下内容： - EAP 内外层方法（如带 MSCHAPv2 的 EAP - PEAP 或 EAP - TLS） - 加密级别 - 信任的服务器证书或证书颁发机构（CA）根 - 是否自动连接 - 凭证或证书选择（对于 EAP - PEAP，是否传递 Windows 凭证或提示用户；对于 EAP - TLS，使用哪个证书） - 是否验证 RADIUS 服务器证书（应始终选择“是”） - 是否启用快速重连 端点的 PEAP 快速重连设置不会影响基本功能，它只是绕过内层认证方法以实现更快的 Wi-Fi 漫游体验。多数 Wi-Fi 制造商建议启用快速重连，若出现问题再进行调整。 不同客户端操作系统处理 802.1X 输入的方式不同，部分（尤其是智能手机）更擅长自动感知和自动配置端点的 802.1X 配置。 ##### 2.4 端点设备证书颁发 使用设备证书进行认证的端点，有多种自动化证书注册和颁发方式。无头设备（如打印机和网络基础设施）可使用微软网络设备注册服务（NDES）与 SCEP。 - 域管理的计算机和服务器可通过活动目录证书服务自动注册。 - 非域管理的端点（包括自带设备、苹果设备、Chromebook 等）可通过 MDM 产品和/或特定供应商的入职产品进行管理。 ##### 2.5 支持 RADIUS 的认证服务器 需要支持 RADIUS 协议的认证服务器，如微软网络策略服务器（NPS）服务、思科身份服务引擎（ISE）、阿鲁巴 ClearPass 策略管理器、FreeRADIUS、Pulse Secure Steel - Belted RADIUS 等。 认证服务器常支持本地账户，但最常见的实现方式是将 RADIUS 服务器连接到现有用户存储库（如微软活动目录或其他 LDAP 服务）。具备 NAC 功能的供应商产品（如思科 ISE、阿鲁巴 ClearPass、Fortinet FortiNAC 和 Forescout）在某些用