不同 RADIUS 伺服器設定的 PPSK 功能設定指南
最近的更新可能擴充了此 FAQ 中討論的功能。請前往您的產品支援頁面,選擇正確的硬體版本,並查看產品規格表或韌體部分,來取得產品的最新更新。
1. PPSK 介紹
Private Pre-Shared Key 私人共用金鑰(PPSK)是讓同一 SSID 上使用一個統一建立使用的 Pre-Shared Key。這些 Key 可以用於相同 SSID 下的小型網路,每個網路有不同的密碼,但共用同一個 Wi-Fi SSID。PPSK 支援在同一個 SSID 下使用多組密碼進行存取,每個使用者指派獨立的密碼。若有部分密碼外洩,只需更改外洩的密碼,避免對所有使用者造成影響,因此更能阻擋掉風險。同時,無線基地台與用戶端之間的驗證過程需要進行四方交握,這可以增加密碼的安全性。PPSK 分為無 RADIUS 的 PPSK 和有 RADIUS 的 PPSK 兩種類型。PPSK 功能需要在 Omada 控制器上進行設定。在進行設定之前,請確保 EAP 和 Omada 控制器都支援 PPSK。
這份指南將介紹如何在 Omada 控制器上使用內建的 RADIUS 伺服器以及其他 external (外部)RADIUS 伺服器(例如 FreeRadius、Rgnet、RoamingIQ 和 ElevenOS)來設定 PPSK。
1.1 應用場景
對於家庭場景,為每個 SSID 設定單一的 Pre-shared key(PSK)可以確保安全,而對於企業來說,使用同一個 PSK 很容易導致密碼外洩,造成安全性風險。 PPSK 可以為每個終端或使用者提供唯一的 PSK,進而提供比傳統 PSK 更安全的解決方案。 PPSK 主要有兩個用途:
- 使用者可以依據需要擁有獨立的 Wi-Fi 密碼。
- 用戶資料可在 VLAN 內傳輸,可廣泛應用於飯店、辦公室、學校、宿舍等等網路需求場景。
在使用者數量較多(例如 MDU)的場景中,MSP 可以使用 external (外部)RADIUS 伺服器(例如 FreeRadius、Rgnet、RoamingIQ 和 ElevenOS)為網路設定更多的 PPSK。
1.2 PPSK VLAN
PPSK 支援了動態 VLAN,每個 PSK 綁定到單一 VLAN,因此用戶端在使用 PSK 進行驗證後將被指派到特定的 VLAN。對於無 RADIUS 的 PPSK,可以在 SSID 的 PPSK 設定檔中設定 VLAN Assignment。對於有 RADIUS 的 PPSK,可以在 RADIUS 伺服器中指定 VLAN。與 Omada 控制器上的其他 VLAN 功能一起,可實現更靈活、更強大的網路規劃和管理。
1.3 PPSK without RADIUS
PPSK without RADIUS 是一種依據 WPA-Personal 加密的新加密方式,它會使用使用者的 MAC 位址進行驗證,並在驗證成功後將使用者指派到特定的 VLAN。在不使用 RADIUS 的情況下設定 PPSK 時,請在 WPA 模式下選擇適當的加密方法。
PPSK without RADIUS 設定步驟:
步驟 1:在 Omada 控制器上 建立新的無線網路,並選擇 PPSK without RADIUS 作為安全性。
步驟 2:按一下 PPSK 設定檔下拉清單中的 建立新的 PPSK 設定檔。
參數說明:
參數 |
說明 |
參數要求 |
名稱 |
PPSK 設定檔的名稱。單一設定檔可以包含多個 PPSK。 |
名稱的長度應介於 1 到 64 個字元之間。 |
名稱(PPSK1) |
PPSK 項目的名稱。 |
名稱的長度應介於 1 到 64 個字元之間。 |
密碼 |
用於存取網路的密碼。 |
The length of the passphrase should be between 8 and 63 characters. |
MAC 位址 |
與密碼綁定的 MAC 位址。只有擁有指定 MAC 位址的裝置才能使用該密碼進行 WiFi 驗證。此設定是可選填的。如果未設定,任何裝置都可以使用該密碼連接到 WiFi。 |
MAC 位址應該是 unicast 的。 |
VLAN ASSIGNMENT |
與密碼綁定的 VLAN。使用這個密碼進行身份驗證的用戶端將會被指派到特定的 VLAN。 |
VLAN ID 應在 1-4094 範圍內。 |
1.4 PPSK with RADIUS
使用 PPSK with RADIUS 是依據 WPA-Personal 加密和 MAC 的驗證。要連接到設定了 PPSK with RADIUS 的 SSID,使用者只需輸入指派的密碼即可存取網路。對於 PPSK with RADIUS,可以在 Omada 控制器上設定 SSID 的密碼。一個 SSID 可以設定多個密碼(最多 128 個)。在設定密碼的同時,還可以指定 MAC 地址和 VLAN,來實現雙重驗證和 VLAN 的指派。
PPSK with RADIUS 設定步驟:
步驟 1:建立新的無線網路,然後在 Omada 控制器上,選擇 PPSK with RADIUS 作為其安全性。
步驟 2:在 RADIUS 設定檔下拉選單中點擊 建立新的 RADIUS 設定檔,然後依照您的架構輸入正確連線資訊。
參數說明:
參數 |
說明 |
參數要求 |
名稱 |
RADIUS 設定檔的名稱。 |
名稱的長度應介於 1 到 64 個字元之間。 |
VLAN Assignment |
點擊核選框來允許 RADIUS 伺服器依據使用者提供的密碼將無線網路的使用者指派到特定的 VLAN。 |
點擊核選框。 |
Authentication Server IP |
RADIUS 伺服器的 IP 位址。 |
Class A/B/C 合法 IP 位址。 |
Authentication Port |
RADIUS 驗證用的服務埠號。 |
1-65535。 |
Authentication Password |
用於連接到 RADIUS 伺服器的密碼。 |
ASCII code(0-127)。 |
2. Omada 控制器上內建的 RADIUS 伺服器設定
Omada 控制器和 Omada Pro 控制器內建 RADIUS 伺服器,用於綁定 MAC 認證的 Generic Radius,省去了用戶搭建 External RADIUS 伺服器的麻煩。預設情況下,內建伺服器的 IP 位址與控制器的 IP 位址相同,驗證通訊埠為 1812。驗證密碼由使用者自訂。
設定步驟:
步驟 1:前往 全域檢視 -> 伺服器設定 來啟用內建 RADIUS 伺服器。
步驟 2:建立使用 RADIUS 設定 PPSK 的 SSID,並選擇內建 Radius 設定檔作為 RADIUS 設定檔。
請注意:當安全性選擇 PPSK with RADIUS 使用時,僅有 Omada Pro 控制器可以選擇內建的 RADIUS 伺服器(Built-in Radius Profile) 做使用。
步驟 3:建立 PPSK 設定檔。設定用於 SSID 連線的密碼並指定 MAC 位址和 VLAN。
3. FreeRadius 設定步驟
3.1 daloradius 網頁管理設定
步驟 1:前往 Management > New User。
步驟 2:在 Account Info 的 Username Authentication 部分中,輸入使用者名稱和密碼,即為裝置的 MAC 位址。MAC 位址的格式應與以下相同。
步驟 3:前往 Attributes 並選擇 Quickly Locate Attribute with Autocomplete Input。
步驟 4:從下拉選單中選擇 Attribute,然後選擇 Add Attribute。
步驟 5:新增 Tunnel-Password Attribute,並輸入將密碼於 Value 欄位中作為使用 SSID 連線時的密碼。
步驟 6: 新增「Tunnel-Type」、「Tunnel-Medium-Type」和「Tunnel-Private-Group-Id」Attribute 並分別輸入值,啟用 PPSK VLAN assignment。
3.2 CLI 設定
users:存放用於管理和授權使用者資訊的檔案。
cd /etc/raddb:用於進入包含 users 檔案的目標資料夾的指令。
vim users:用於編輯檔案的指令。
esc / w / q:用於儲存設定並退出編輯模式的指令。
reboot:用於重新啟動 FreeRadius 伺服器來使設定完成生效的指令。
DEFAULT Auth-Type = Accept 指令表示任何 MAC 位址的裝置都可以使用該密碼進行驗證。
FreeRadius 伺服器的驗證通訊埠和密碼可以在 /etc/raddb/site-available/default 檔案中自訂。該指令將在 Free Radius 伺服器重啟後生效。使用 systemctl restart freeradius 指令可以手動重新啟動伺服器。
4. FAQ
在伺服器設定過程中,有許多原因可能導致用戶端-伺服器驗證或網路連線失敗。以下是一些可能導致無線用戶端無法連接到 RADIUS 伺服器的常見原因。您可以依照故障排除步驟來解決遇到的問題:
1. 請參閱中的故障排除步驟 無法連線到 EAP WiFi。
2. 檢查 EAP 韌體和 Omada 控制器版本, 確認您的 EAP 韌體和 Omada 控制器版本支援 PPSK 功能。
3. 檢查 RADIUS 伺服器的連線。驗證 RADIUS 設定是否正確,RADIUS 伺服器是否在線上,EAP 設備與 RADIUS 伺服器之間的連接是否是通的。
如果上述步驟未能解決問題,請聯繫 TP-Link 技術支援 來取得進一步協助。
這篇faq是否有用?
您的反饋將幫助我們改善網站