随着企业规模增长,共享密码的WPA2-PSK模式逐渐暴露出管理漏洞:员工离职后难以更改密码、无法区分用户行为、访客与内网混用等问题。本文介绍如何升级到企业级802.1X认证。
WPA2-PSK的局限性
- 所有人共享同一密码,一旦泄露影响全员
- 无法追踪具体用户的网络行为
- 员工离职需更换密码并通知所有人
- 无法实现基于身份的网络访问控制
802.1X认证架构
802.1X需要三个组件:Supplicant(客户端,员工电脑/手机);Authenticator(认证方,企业AP或交换机);Authentication Server(认证服务器,RADIUS服务器,可用Windows Server NPS或开源FreeRADIUS)。
使用Windows NPS实现802.1X
- 在Windows Server上安装网络策略和访问服务角色
- 注册NPS到Active Directory
- 配置RADIUS客户端(填写AP的IP和共享密钥)
- 创建网络策略,允许特定AD安全组的用户通过认证
- 在AP管理界面将安全模式改为WPA2-Enterprise