WiFi 认证与 RADIUS 服务器详解

快速概要

• 适用场景：中大型园区/办公楼部署企业级 WLAN，需集中控制身份认证与访问策略
• 关键标准：IEEE 802.1X、EAP、RADIUS、WPA2-Enterprise / WPA3-Enterprise
• 成功要素：冗余 RADIUS、统一账户体系、灵活的策略下发能力、完备的审计日志

场景概览

企业级 Wi-Fi 借助 RADIUS（Remote Authentication Dial-In User Service）实现集中认证、授权与计费。常见拓扑为客户端通过接入点（AP）或无线控制器（WLC）发起 802.1X/EAP 验证，请求被转发至 RADIUS 服务器，后者再对接身份源（AD/LDAP/数据库）与策略引擎，依据结果返回接入控制、VLAN、QoS、ACL 等属性。

认证流程拆解

1. EAPOL 握手：终端接入 AP 后触发 802.1X，进行 EAP over LAN（EAPOL）握手，协商所支持的 EAP 方法（PEAP、EAP-TLS、EAP-TTLS 等）。
2. Access-Request：AP 将终端提供的凭证或证书封装成 RADIUS Access-Request 请求，转发至 RADIUS 服务器。
3. 多轮挑战：若选用口令类方式（如 PEAP-MSCHAPv2），RADIUS 会发出 Access-Challenge，要求客户端继续完成身份质询；证书类的 EAP-TLS 则直接进行双向证书验证。
4. 授权策略：认证通过后，RADIUS Access-Accept 可携带属性（Attribute-Value Pair），例如 <code>Tunnel-Type=VLAN</code>、<code>Filter-Id</code>、<code>Session-Timeout</code> 等，用于控制 VLAN、ACL、会话时长等。
5. 计费与审计：启用计费时，AP 会定期发送 Accounting-Start/Interim-Update/Stop，以便对接 AAA 系统进行额度统计与审计留痕。

策略设计要点

• 身份源统一：结合企业目录（AD/LDAP）或身份管理平台，统一生命周期与权限粒度，防止孤立账号。
• 设备画像与分级：区分 BYOD、公司终端、访客设备，可用证书 + MDM 标记，实现动态 VLAN 或 NAC 分区。
• 加密与协议选择：WPA2-Enterprise 为主流组合，建议优先部署 WPA3-SAE/EAP-TLS，增强抵御离线暴力破解能力。
• 高可用性：部署双活 RADIUS 节点（主备或负载均衡），AP 端配置超时时间与重试策略，避免单点故障。
• 日志合规：将 RADIUS 日志集中送入 SIEM，记录用户、设备、时间、策略等字段，满足安全审计要求。

部署实践建议

• 服务器端：FreeRADIUS 是常用开源方案，可配合 daloRADIUS Web 控制台；商用场景亦可采用 Cisco ISE、HPE Aruba ClearPass、华为 Agile Controller 等套件。
• 接入网络：确保 AP/WLC 支持 802.1X 与 WPA3，启用动态 VLAN 分配，实现办公、访客、物联网网络的安全隔离。
• 证书体系：若采用 EAP-TLS，需搭建企业 CA，自动向受管终端下发证书，并定期轮换、吊销。
• 测试验证：在上线前使用 <code>eapol_test</code>、<code>radtest</code> 等工具进行脚本化测试，覆盖成功、失败、锁定等场景。
• 运维监控：关注 RADIUS 进程、数据库连接池、响应时间，使用 Prometheus/InfluxDB 收集指标，提前发现瓶颈。

常见问题排查

• 认证阶段失败：查看 RADIUS 日志（<code>radiusd -X</code> 或 <code>journalctl -u freeradius</code>），定位 EAP 方法不匹配、证书不可信等问题。
• 策略未生效：确认 AP 是否支持相应的 RADIUS 属性，必要时在控制器侧启用 “Dynamic VLAN” 或 “RFC 3580” 兼容模式。
• 终端体验差：排查 802.11 无线参数，优化漫游（Fast BSS Transition）与带宽分配，避免频繁重连导致认证风暴。
• WPA3 兼容性：对不支持 SAE 的旧终端启用混合模式（WPA2/WPA3 Transition Mode），同时监控安全策略是否被弱化。

WPA3 技术加固

• 个人网络（SAE）：基于同时认证（Simultaneous Authentication of Equals），为家庭/小型办公场景提供更强的密码防护能力。
• 企业级安全套件：启用 192-bit 安全模式，结合 GCMP-256 与 HMAC-SHA-384，适用于对加密强度有合规要求的行业。
• 开放网络保护：OWE（Opportunistic Wireless Encryption）在免密网络中为每个终端建立独立加密信道，防止数据窃听。
• 物联网易用性：Wi-Fi Easy Connect 使用二维码或 NFC 完成无屏设备入网，建议与设备身份白名单联动，避免被滥用。

References

• FreeRADIUS 社区案例：https://zhuanlan.zhihu.com/p/415384971
• WiFiDog 无线认证指南：https://www.wifidog.pro/2015/03/27/wifidog%E9%85%8D%E7%BD%AE%E6%8C%87%E5%8D%97.html
• 华为无线 RADIUS 部署经验：https://blog.csdn.net/wj2555111/article/details/105857460
• 使用 hostapd 搭建 802.1X RADIUS：https://www.cnblogs.com/osnosn/p/10593297.html
• 华为百科：WPA3 认证与加密特性：https://info.support.huawei.com/info-finder/encyclopedia/zh/WPA3.html
• 百度百科：WPA3 简介：https://baike.baidu.com/item/WPA3/22331346