高校全球漫游服务的部署安装教程（入口 流程）(2025参考)

一、部署前提条件

高校需具备教育网（CERNET）接入资质，校园无线网络覆盖完善，并拥有支持802.1X认证的无线控制器（如Aruba、Cisco等）。同时需部署RADIUS认证服务器（如FreeRADIUS），确保与校园统一身份认证系统（如LDAP/AD）对接，实现账号统一管理。

二、申请加入eduroam联盟

通过中国教育和科研计算机网（CERNET）提交加入申请，填写机构域名、网络管理员信息及技术联系人。审核通过后，获取国家顶级RADIUS代理服务器（FLR）配置参数，并完成机构域名（如xxx.edu.cn）在eduroam全球数据库的注册。

三、本地系统配置

1. RADIUS服务器设置：在本地RADIUS服务器安装eduroam配置文件，配置证书链（需信任全球eduroam根证书），设置realm路由规则（如将@xxx.edu.cn指向本地认证模块）。同步配置FLR服务器地址及共享密钥，启用EAP-PEAP或EAP-TTLS认证协议。

2. 无线网络部署：在无线控制器新建SSID "eduroam"，安全类型选择"WPA2-Enterprise"，加密方式为AES。指定RADIUS服务器IP及端口（默认1812），配置802.1X认证参数，关闭本地MAC绑定功能。

四、用户账号管理

1. 账号格式标准化：用户身份统一为"学工号@机构域"（如20230001@xxx.edu.cn），密码与校园网统一认证系统同步。需在RADIUS服务器映射本地账号规则（如去除域名后缀匹配学工号）。

2. 权限控制：通过RADIUS属性（如Filter-Id）限制漫游用户带宽（如10Mbps）或访问时段，禁止访问校内敏感资源（如财务系统）。

五、测试与维护

1. 本地验证：使用测试账号连接校内eduroam，通过RADIUS日志确认认证流程（需经历：终端→本地RADIUS→FLR→返回结果）。

2. 跨域测试：协调联盟成员机构（如邻近高校）进行漫游测试，验证realm解析及证书信任链。

3. 运维监控：部署Nagios/Zabbix监控RADIUS服务状态，定期更新根证书（有效期通常2-3年），及时同步FLR策略变更。

完成部署后，需向师生发布使用指南：外访时搜索"eduroam"信号，输入完整账号（含域名）及校园网密码即可自动接入。注意本校账号不可在本校使用eduroam，且需遵守访问地的网络管理政策。