不同 RADIUS 伺服器設定的 PPSK 功能設定指南

最近的更新可能擴充了此 FAQ 中討論的功能。請前往您的產品支援頁面，選擇正確的硬體版本，並查看產品規格表或韌體部分，來取得產品的最新更新。

1. PPSK 介紹

Private Pre-Shared Key 私人共用金鑰（PPSK）是讓同一 SSID 上使用一個統一建立使用的 Pre-Shared Key。這些 Key 可以用於相同 SSID 下的小型網路，每個網路有不同的密碼，但共用同一個 Wi-Fi SSID。PPSK 支援在同一個 SSID 下使用多組密碼進行存取，每個使用者指派獨立的密碼。若有部分密碼外洩，只需更改外洩的密碼，避免對所有使用者造成影響，因此更能阻擋掉風險。同時，無線基地台與用戶端之間的驗證過程需要進行四方交握，這可以增加密碼的安全性。PPSK 分為無 RADIUS 的 PPSK 和有 RADIUS 的 PPSK 兩種類型。PPSK 功能需要在 Omada 控制器上進行設定。在進行設定之前，請確保 EAP 和 Omada 控制器都支援 PPSK。

這份指南將介紹如何在 Omada 控制器上使用內建的 RADIUS 伺服器以及其他 external （外部）RADIUS 伺服器（例如 FreeRadius、Rgnet、RoamingIQ 和 ElevenOS）來設定 PPSK。

1.1 應用場景

對於家庭場景，為每個 SSID 設定單一的 Pre-shared key（PSK）可以確保安全，而對於企業來說，使用同一個 PSK 很容易導致密碼外洩，造成安全性風險。 PPSK 可以為每個終端或使用者提供唯一的 PSK，進而提供比傳統 PSK 更安全的解決方案。 PPSK 主要有兩個用途：

1. 使用者可以依據需要擁有獨立的 Wi-Fi 密碼。
2. 用戶資料可在 VLAN 內傳輸，可廣泛應用於飯店、辦公室、學校、宿舍等等網路需求場景。

在使用者數量較多（例如 MDU）的場景中，MSP 可以使用 external （外部）RADIUS 伺服器（例如 FreeRadius、Rgnet、RoamingIQ 和 ElevenOS）為網路設定更多的 PPSK。

1.2 PPSK VLAN

PPSK 支援了動態 VLAN，每個 PSK 綁定到單一 VLAN，因此用戶端在使用 PSK 進行驗證後將被指派到特定的 VLAN。對於無 RADIUS 的 PPSK，可以在 SSID 的 PPSK 設定檔中設定 VLAN Assignment。對於有 RADIUS 的 PPSK，可以在 RADIUS 伺服器中指定 VLAN。與 Omada 控制器上的其他 VLAN 功能一起，可實現更靈活、更強大的網路規劃和管理。

1.3 PPSK without RADIUS

PPSK without RADIUS 是一種依據 WPA-Personal 加密的新加密方式，它會使用使用者的 MAC 位址進行驗證，並在驗證成功後將使用者指派到特定的 VLAN。在不使用 RADIUS 的情況下設定 PPSK 時，請在 WPA 模式下選擇適當的加密方法。

PPSK without RADIUS 設定步驟：

步驟 1：在 Omada 控制器上 建立新的無線網路，並選擇 PPSK without RADIUS 作為安全性。

步驟 2：按一下 PPSK 設定檔下拉清單中的 建立新的 PPSK 設定檔。

參數說明：

1.4 PPSK with RADIUS

使用 PPSK with RADIUS 是依據 WPA-Personal 加密和 MAC 的驗證。要連接到設定了 PPSK with RADIUS 的 SSID，使用者只需輸入指派的密碼即可存取網路。對於 PPSK with RADIUS，可以在 Omada 控制器上設定 SSID 的密碼。一個 SSID 可以設定多個密碼（最多 128 個）。在設定密碼的同時，還可以指定 MAC 地址和 VLAN，來實現雙重驗證和 VLAN 的指派。

PPSK with RADIUS 設定步驟：

步驟 1：建立新的無線網路，然後在 Omada 控制器上，選擇 PPSK with RADIUS 作為其安全性。

步驟 2：在 RADIUS 設定檔下拉選單中點擊 建立新的 RADIUS 設定檔，然後依照您的架構輸入正確連線資訊。

參數說明：

2. Omada 控制器上內建的 RADIUS 伺服器設定

Omada 控制器和 Omada Pro 控制器內建 RADIUS 伺服器，用於綁定 MAC 認證的 Generic Radius，省去了用戶搭建 External RADIUS 伺服器的麻煩。預設情況下，內建伺服器的 IP 位址與控制器的 IP 位址相同，驗證通訊埠為 1812。驗證密碼​​由使用者自訂。

設定步驟：

步驟 1：前往 全域檢視 -> 伺服器設定 來啟用內建 RADIUS 伺服器。

步驟 2：建立使用 RADIUS 設定 PPSK 的 SSID，並選擇內建 Radius 設定檔作為 RADIUS 設定檔。

請注意：當安全性選擇 PPSK with RADIUS 使用時，僅有 Omada Pro 控制器可以選擇內建的 RADIUS 伺服器（Built-in Radius Profile） 做使用。

步驟 3：建立 PPSK 設定檔。設定用於 SSID 連線的密碼並指定 MAC 位址和 VLAN。

3. FreeRadius 設定步驟

3.1 daloradius 網頁管理設定

步驟 1：前往 Management > New User。

步驟 2：在 Account Info 的 Username Authentication 部分中，輸入使用者名稱和密碼，即為裝置的 MAC 位址。MAC 位址的格式應與以下相同。

步驟 3：前往 Attributes 並選擇 Quickly Locate Attribute with Autocomplete Input。

步驟 4：從下拉選單中選擇 Attribute，然後選擇 Add Attribute。

步驟 5：新增 Tunnel-Password Attribute，並輸入將密碼於 Value 欄位中作為使用 SSID 連線時的密碼。

步驟 6: 新增「Tunnel-Type」、「Tunnel-Medium-Type」和「Tunnel-Private-Group-Id」Attribute 並分別輸入值，啟用 PPSK VLAN assignment。

3.2 CLI 設定

users：存放用於管理和授權使用者資訊的檔案。

cd /etc/raddb：用於進入包含 users 檔案的目標資料夾的指令。

vim users：用於編輯檔案的指令。

esc / w / q：用於儲存設定並退出編輯模式的指令。

reboot：用於重新啟動 FreeRadius 伺服器來使設定完成生效的指令。

DEFAULT Auth-Type = Accept 指令表示任何 MAC 位址的裝置都可以使用該密碼進行驗證。

FreeRadius 伺服器的驗證通訊埠和密碼可以在 /etc/raddb/site-available/default 檔案中自訂。該指令將在 Free Radius 伺服器重啟後生效。使用 systemctl restart freeradius 指令可以手動重新啟動伺服器。

4. FAQ

案例一：

在伺服器設定過程中，有許多原因可能導致用戶端-伺服器驗證或網路連線失敗。以下是一些可能導致無線用戶端無法連接到 RADIUS 伺服器的常見原因。您可以依照故障排除步驟來解決遇到的問題：

1. 請參閱中的故障排除步驟 無法連線到 EAP WiFi。

2. 檢查 EAP 韌體和 Omada 控制器版本， 確認您的 EAP 韌體和 Omada 控制器版本支援 PPSK 功能。

3. 檢查 RADIUS 伺服器的連線。驗證 RADIUS 設定是否正確，RADIUS 伺服器是否在線上，EAP 設備與 RADIUS 伺服器之間的連接是否是通的。

4.確認 Omada 控制器上啟用 PPSK 的 SSID 與 RADIUS 伺服器上設定的 SSID 一致。

案例二：

如果客戶端連線失敗，應該檢查 Omada 控制器上的哪些設定？

1. 可能與 Radius 伺服器有相容性問題。請嘗試將 PMF 設定變更為“啟用”或“停用”，然後重新連線。

2. 當 SSID 安全類型為 PPSK RADIUS，且認證類型為Generic Radius（未綁定 MAC 或 EKMS）時，將 PMF 設定為「Mandatory」可能會導致客戶端關聯失敗。請變更 PMF 設定並重新連線。