高校全球漫游服务的部署安装教程（入口 流程）(2025参考)

一、服务基础与联盟加入

eduroam（education roaming）是全球教育科研机构共建的无线漫游联盟服务，通过安全加密技术实现跨机构网络认证。高校需先通过本国教育科研网（如中国教科网CERNIC）提交加入申请，经审核后成为联盟成员。部署前需确认校园网络具备802.1X认证能力，并协调国际漫游运营商（RO）完成域名注册与层级关联。

二、技术架构搭建

核心是部署RADIUS代理服务器（RPS），建立分层认证体系。高校需配置两台冗余RADIUS服务器作为身份提供者（IdP），分别连接国家级的联邦层RADIUS服务器（FLR）。服务器需支持EAP协议（推荐PEAP或EAP-TTLS），并配置证书链：
1. 安装根证书，确保与全球eduroam根证书机构兼容；
2. 配置领域路由，将用户认证请求按域名（如@xxx.edu.cn）转发至所属机构IdP；
3. 设置访问策略，限制访客带宽并隔离校内核心网络。

三、本地配置实施

在校园无线控制器中新增SSID "eduroam"，启用WPA2-Enterprise加密和802.1X认证：
1. 认证方式选择"受保护的EAP（PEAP）"，关闭服务器证书强制验证；
2. 阶段2身份验证设为"GTC"或"MSCHAPv2"；
3. 配置RADIUS服务器IP与共享密钥，关联至IdP服务器群组。

四、测试与账号开通

完成部署后需进行三类验证：
1. 校内测试：使用外校联盟账号（如user@partner.edu）连接eduroam，确认认证跳转至对方IdP；
2. 外访测试：本校账号（学工号@xxx.edu.cn）在联盟院校尝试接入；
3. 自动化开通：对接校园认证系统（如LDAP），师生通过统一身份认证平台自助激活漫游权限，密码同步至eduroam系统。

五、维护与注意事项

日常运维需监控RADIUS服务器状态及国际链路延迟。制定访问规则：禁止本校用户在校内使用eduroam，限制单用户并发终端数。为访客提供简明指引：连接SSID后输入原机构账号（含域名）及密码，移动端需手动选择"不验证CA证书"。定期更新联盟成员清单，确保跨域认证路径有效。