Integrazione dei router DrayTek Vigor e degli access point con Purple WiFi

Questa guida fornisce istruzioni tecniche dettagliate per integrare i router DrayTek Vigor e gli access point VigorAP con la piattaforma cloud di Purple. Copre la configurazione del Captive Portal DrayTek per Guest WiFi, l'autenticazione 802.1X per Staff WiFi sicuro, la configurazione del Walled Garden e la configurazione DrayTek Multiple PSK (PPSK) per la segmentazione della rete Multi-Tenant con assegnazione VLAN dinamica. Progettata per installatori IT e amministratori di rete di PMI che distribuiscono Purple in contesti ricettivi, retail e strutture multi-tenant.

📖 10 minuti di lettura📝 2,500 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al briefing sull'integrazione di Purple. Oggi parleremo dei router DrayTek Vigor e degli access point VigorAP, e in particolare di come integrarli con Purple WiFi. Questo briefing è rivolto a responsabili IT e architetti di rete che implementano reti per ospiti, personale e multi-tenant in ambienti PMI e del mercato medio.

Iniziamo con il contesto. L'hardware DrayTek è incredibilmente diffuso nel retail, nell'ospitalità e nei complessi residenziali perché offre solide funzionalità di routing, VPN e wireless a un prezzo competitivo. Quando si associa un router DrayTek Vigor a Purple, si trasforma una normale connessione Internet in una rete basata sull'identità (Identity-Based Network). Purple è presente in oltre 80.000 sedi attive e gestisce 440 milioni di accessi all'anno. Noi forniamo il Captive Portal, le analisi e il livello di sicurezza. DrayTek fornisce l'infrastruttura edge affidabile.

Entriamo nei dettagli tecnici. Come facciamo a farlo funzionare concretamente? Il cuore dell'integrazione si basa sull'autenticazione RADIUS e sul reindirizzamento esterno del Captive Portal.

In primo luogo, la configurazione del Guest WiFi. Configurerete il router DrayTek Vigor come gateway per l'Hotspot Web Portal. Nell'interfaccia DrayOS, alla voce Applications e RADIUS, aggiungete l'IP del server RADIUS di Purple e il segreto condiviso. Successivamente, in Hotspot Web Portal, impostate il Portal Method su External Server e incollate l'URL di accesso specifico di Purple. Il router DrayTek intercetta il traffico degli ospiti, lo reindirizza all'overlay cloud di Purple per l'autenticazione e quindi utilizza il RADIUS per concedere l'accesso.

Un passaggio fondamentale in questo caso è il Walled Garden. Gli ospiti devono poter raggiungere i server di Purple prima di essere autenticati. È necessario configurare la scheda Destination Domain nel profilo DrayTek Hotspot per consentire il traffico verso i domini di autenticazione di Purple. Se saltate questo passaggio, la splash page semplicemente non si caricherà. Questo è uno degli errori più comuni durante l'implementazione iniziale.

Ora, che dire dello Staff WiFi? Per un accesso sicuro del personale, non si usa un Captive Portal. Si utilizza l'autenticazione 802.1X, che è lo standard IEEE per il controllo dell'accesso alla rete basato su porta. Nelle impostazioni di sicurezza della Wireless LAN di DrayTek, selezionate WPA2 slash 802.1X e indirizzatelo al server RADIUS di Purple. I dispositivi dello staff si autenticano in modo trasparente utilizzando PEAP e MS-CHAPv2. Questo elimina del tutto le password condivise e consente di revocare l'accesso istantaneamente quando un dipendente lascia l'azienda. Non è necessario cambiare la password in tutta la struttura.

Parliamo di ambienti Multi-Tenant. Pensate a studentati, spazi di coworking o concessioni retail. Avete bisogno di segmentazione della rete. DrayTek gestisce questo aspetto con le VLAN e il Multiple PSK, noto anche come PPSK o Private Pre-Shared Key. Configurate le VLAN sul router DrayTek. Ad esempio, VLAN 10 per gli ospiti, VLAN 20 per lo staff e VLAN 30 per i tenant. Utilizzando la funzionalità WPA2-PPSK di DrayTek sui VigorAP, ogni tenant riceve una passphrase univoca. Quando si connettono, l'access point associa quella passphrase al loro indirizzo MAC e li inserisce nella loro VLAN isolata. Ciò significa che un tenant di una caffetteria al piano terra di un hotel non può vedere la rete interna dell'hotel, anche se condividono lo stesso access point fisico.

L'assegnazione dinamica della VLAN spinge questo concetto oltre. Il server RADIUS di Purple può restituire attributi RADIUS specifici quando un utente si autentica. Si tratta degli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. Il router DrayTek legge questi valori e assegna dinamicamente il client autenticato alla VLAN corretta. Questa è la rete basata sull'identità in pratica: la rete si adatta all'identità dell'utente, non il contrario.

Passiamo alle raccomandazioni di implementazione e alle insidie.

Raccomandazione uno: utilizzate sempre un backhaul cablato per i vostri VigorAP. I sistemi di distribuzione wireless, o ripetitori universali, non possono trasmettere i tag VLAN 802.1Q richiesti per una corretta segmentazione della rete. Se desiderate una rete ospiti isolata dalla LAN interna, avete bisogno che i tag VLAN rimangano intatti, e questo significa un cavo Ethernet fisico da ciascun access point al router DrayTek o a uno switch gestito.

Raccomandazione due: abilitate l'AP-Assisted Mobility sui VigorAP. Questa funzione disassocia in modo intelligente i client con un segnale debole, costringendoli a eseguire il roaming verso un access point più vicino. Risolve il problema dello sticky client che affligge molte installazioni di PMI. In un ambiente retail, un acquirente che cammina dalla parte anteriore a quella posteriore del negozio dovrebbe passare da un access point all'altro senza interruzioni. Senza l'AP-Assisted Mobility, il suo dispositivo potrebbe rimanere agganciato all'access point anteriore anche quando il segnale è debole.

Raccomandazione tre: pianificate lo schema di numerazione delle VLAN prima di iniziare. La modifica degli ID VLAN dopo l'implementazione richiede la riconfigurazione del router, di tutti gli access point e potenzialmente di tutti gli switch gestiti lungo il percorso. Documentate chiaramente il vostro schema.

L'insidia più grande? Dimenticare di riavviare il router DrayTek dopo aver applicato le configurazioni RADIUS e Hotspot. DrayOS richiede un riavvio per applicare queste modifiche specifiche. Se saltate questo passaggio, passerete ore a risolvere i problemi di una configurazione che in realtà è corretta ma semplicemente non è ancora attiva. Questo è documentato nella guida di supporto ufficiale di Purple per l'hardware DrayTek.

Facciamo una sessione di domande e risposte rapide.

Domanda: posso utilizzare il server RADIUS interno del router Vigor?
Risposta: potete farlo per l'autenticazione 802.1X locale, ma per l'integrazione con Purple dovete utilizzare i server RADIUS esterni di Purple. Questo è ciò che consente la gestione centralizzata delle policy e le analisi fornite da Purple.

Domanda: DrayTek supporta l'instradamento dinamico delle VLAN tramite RADIUS?
Risposta: sì. Il server RADIUS di Purple restituisce gli attributi Tunnel-Type e Tunnel-Private-Group-ID al momento dell'autenticazione. Il router DrayTek li legge e assegna dinamicamente il client alla VLAN corretta.

Domanda: cosa succede se il dispositivo iOS di un utente utilizza un indirizzo MAC privato con il PPSK?
Risposta: l'autenticazione fallirà. Il profilo PPSK si associa a uno specifico indirizzo MAC. È necessario istruire gli utenti a disabilitare l'opzione Indirizzo WiFi privato per la vostra rete specifica nelle impostazioni di iOS per garantire una connettività stabile.

Domanda: quali modelli DrayTek sono supportati con Purple?
Risposta: i modelli attualmente supportati includono le serie 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Consultate la documentazione di supporto di Purple per l'elenco più aggiornato.

Per riassumere. DrayTek e Purple insieme offrono un controllo di rete di livello enterprise a prezzi adatti alle PMI. Utilizzate l'Hotspot Web Portal per gli ospiti, l'802.1X per lo staff e il PPSK con le VLAN per i tenant. Mappate attentamente le VLAN, configurate i walled garden e riavviate sempre dopo aver applicato le impostazioni RADIUS. Utilizzate il backhaul cablato per i vostri access point, abilitate l'AP-Assisted Mobility e pianificate la casualizzazione del MAC sui dispositivi iOS.

Grazie per aver ascoltato questo briefing tecnico. Configurate il vostro hardware e ci vediamo sulla piattaforma Purple.

Punti chiave

✓I router DrayTek Vigor utilizzano la funzionalità Hotspot Web Portal con la modalità External Server per reindirizzare il traffico degli ospiti verso la splash page ospitata sul cloud di Purple per un'acquisizione dei dati conforme al GDPR.
✓Il Walled Garden (scheda Dest Domain) deve elencare tutti i domini di autenticazione Purple prima dell'implementazione: le voci mancanti sono la causa più comune di errore nel caricamento della splash page.
✓Lo Staff WiFi dovrebbe utilizzare la sicurezza WPA2/802.1X Enterprise, autenticandosi sul server RADIUS di Purple, per eliminare le password condivise e consentire la revoca immediata dell'accesso per singolo utente.
✓Gli ambienti multi-tenant utilizzano DrayTek WPA2-PPSK sui VigorAP per assegnare passphrase univoche per ciascun tenant, taggando dinamicamente il traffico in VLAN isolate sul router Vigor.
✓Tutti i VigorAP devono connettersi al router tramite Ethernet cablata: le modalità ripetitore wireless rimuovono i tag VLAN 802.1Q e interrompono la segmentazione della rete.
✓DrayOS richiede il riavvio del router per applicare qualsiasi modifica alle configurazioni RADIUS o Hotspot Web Portal: questo è un passaggio obbligatorio, non opzionale.
✓Abilita l'AP-Assisted Mobility sui VigorAP per prevenire il comportamento dello sticky client e garantire sessioni stabili del Captive Portal mentre gli utenti si spostano all'interno della struttura.

執行摘要

DrayTek Vigor 路由器與 VigorAP 基地台已廣泛部署於英國與歐洲成千上萬的中小型企業、零售及餐旅場所。當與 Purple 的雲端重疊網路整合時，這些硬體將成為「基於身分的網路」之基石 — 從單一平台即可收集第一方數據、保護內部資源並區隔多租戶流量。

本指南涵蓋四種部署情境：採用品牌專屬引導頁面與 RADIUS 驗證的 Guest WiFi 、使用 IEEE 802.1X 企業級安全驗證的員工 WiFi、允許驗證前流量的 Walled Garden 配置，以及利用 DrayTek 的 WPA2-PPSK 功能搭配動態 VLAN 分配的多租戶 WiFi。Purple 已在超過 80,000 個實際營運場地運行，且達到 99.999% 的可用性，並獲得 ISO 27001、GDPR 及 Cyber Essentials 認證 — 因此您場地面臨的安全與合規要求均已融入平台之中。

支援的 DrayTek 型號包括 Vigor 2862、2865、2866、2926、2927、2952、2962、3220 與 3910 系列。所有透過中央基地台管理 (APM) 進行管理的 VigorAP 基地台皆與此整合相容。

技術深入剖析

整合運作原理

DrayTek 與 Purple 的整合依賴兩種機制協同運作：外部 Captive Portal 重新導向與 RADIUS（遠端驗證撥入使用者服務）驗證。Purple 扮演集中化的身分提供者和原則引擎。DrayTek Vigor 路由器則作為網路存取伺服器 (NAS)，執行 Purple RADIUS 伺服器傳回的存取決策。

當訪客連線到 WiFi SSID 時，DrayTek 路由器會將裝置置於驗證前的狀態。它會攔截該裝置的 HTTP 流量，並透過 DrayOS 中的 Hotspot Web Portal 功能將其重新導向至 Purple 的雲端託管 splash page。使用者在 Purple 的平台上完成登入流程 — 可使用社群登入、電子郵件、簡訊，或受管理的授權提供者（如 Microsoft Entra ID、Okta 或 Google Workspace）。Purple 的 RADIUS 伺服器隨後會向 DrayTek 路由器回傳 Access-Accept 訊息，進而授予網際網路存取權限並在連接埠 1813 上啟動 RADIUS 計費。

Guest WiFi 與 DrayTek Captive Portal

DrayTek Hotspot Web Portal 是訪客驗證的核心機制。在 DrayOS 中，您可以設定 Hotspot Profile，其中定義了 portal 方法、驗證伺服器、工作階段限制和登陸頁面。將 Portal Method 設定為 External Server 會指示 DrayOS 將未驗證的用戶端重新導向至外部 URL — 在此處即為您的 Purple 存取 URL — 而非提供本機託管的頁面。 Hotspot Profile 中的 RADIUS 設定指向 Purple 的 RADIUS 伺服器 IP（連接埠 1812 用於驗證，連接埠 1813 用於計費）。共用金鑰必須與您的 Purple 場域儀表板中顯示的完全一致。此處不匹配是導致驗證失敗最常見的原因。

工作階段管理由 Expired Time After Activation 設定控制。對於大多數餐旅和零售部署，六個小時是實用的預設值。您可以將此設定與您的 Purple 工作階段逾時時間保持一致，以確保兩個系統之間的行為一致。

Walled Garden 設定

在訪客進行驗證之前，其裝置無法存取網際網路。然而，裝置必須能夠連線至 Purple 的伺服器以載入歡迎頁面（splash page）。Walled Garden（透過 DrayTek Hotspot Profile 中的 Dest Domain 索引標籤進行設定）定義了驗證前可存取的網域。

您必須將 Purple 的驗證網域新增至此清單中，每個索引一個。如果您使用的是社群登入提供商（例如 Google 或 Facebook）或受管理的識別資訊提供商（如 Microsoft Entra ID），則也必須包含其網域。未能正確設定 Walled Garden 是 DrayTek Captive Portal 無法顯示歡迎頁面最常見的單一原因。Purple 的支援文件提供了每種登入方式目前所需的網域清單。

使用 802.1X 安全保護員工 WiFi

對於內部員工而言，Captive Portal 並非合適的工具。共用的 WPA2 密碼存在安全性隱患：當員工離職時，您必須更新每台裝置上的密碼。IEEE 802.1X 企業級驗證完全解決了這個問題。

在 DrayOS 中，導覽至 Wireless LAN > Security，並為您的員工 SSID 選取 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠和共用金鑰。員工裝置會使用 PEAP（受保護的擴充驗證協定）並以 MS-CHAPv2 作為內部方法進行驗證。這是 Windows、macOS、iOS 和 Android 裝置連線至企業無線網路所需的設定。

Purple 會在識別資訊層級撤銷存取權限。當員工離職時，您只需在您的識別資訊提供商（Microsoft Entra ID、Okta 或 Google Workspace）中停用其帳戶即可。Purple 的 RADIUS 伺服器會立即停止接受該帳戶的驗證請求。無需在整個場域中變更密碼。

如欲了解更多關於企業無線網路安全性架構的資訊，請參閱我們的企業級 WiFi 安全性：2026 年完整指南。

使用 DrayTek 多重 PSK 進行多租戶網路分割

多租戶環境（例如設有外包餐廳或零售空間的飯店、共同工作空間、學生宿舍以及建屋出租專案）需要租戶之間實施嚴格的網路隔離。專櫃中的顧客絕不能存取飯店的內部網路，且兩個零售租戶之間必須無法看到彼此的流量。

DrayTek 透過兩項互補的功能來解決此問題：VLAN 標記和 WPA2-PPSK (Private Pre-Shared Key)。

Vigor 路由器上的 VLAN 設定會將每個租戶分配到獨立的邏輯網路。前往 LAN > VLAN，啟用 VLAN 設定，並為每個租戶區段分配一個唯一的 VLAN ID。所有連接到 VigorAP 的 LAN 連接埠必須是所有相關 VLAN 的成員，實際上是以 802.1Q 幹線 (trunk) 連接埠運作。LAN > General Setup 中的 Inter-LAN Routing Table 可控制流量是否可以跨 VLAN 傳輸——為了實現租戶隔離，必須停用此功能。

VigorAP 上的 WPA2-PPSK 會為每個租戶分配一個唯一的密碼。無線基地台會將此密碼與裝置的 MAC 位址綁定。當裝置連接時，AP 會識別所使用的密碼，並用對應的 VLAN ID 標記流量。這使得單一 SSID 能夠同時為多個隔離的租戶網路提供服務，從而減少無線開銷並簡化終端使用者體驗。

透過 RADIUS 進行動態 VLAN 分配

對於需要根據使用者身分而非靜態密碼來驅動 VLAN 分配的部署，Purple 的 RADIUS 伺服器支援動態 VLAN 引導。當使用者進行驗證時，Purple 會在 Access-Accept 訊息中傳回三個 RADIUS 屬性：

RADIUS 屬性	值
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	VLAN ID (例如 "20")

DrayTek 路由器會讀取這些屬性，並將已驗證的用戶端分配到指定的 VLAN，無論他們連接到哪一個 SSID。這就是「基於身分的網路 (Identity-Based Networking)」：網路區段是由使用者的身分決定，而不是由他們輸入的密碼決定。

實作指南

部署前檢查清單

在開始之前，請確認以下事項：

項目	需求
DrayTek 韌體	最新穩定的 DrayOS 版本
Purple 場域	已在 Purple 控制面板中建立並啟用
RADIUS 憑證	從 Purple 取得的存取 URL、RADIUS 伺服器 IP、共用金鑰、NAS 識別碼
VLAN 計劃	已記錄 Guest、Staff 和每個租戶的 VLAN ID
VigorAP 回傳網路	已確認所有無線基地台皆使用實線乙太網路

步驟 1：在 DrayTek 路由器上設定 RADIUS

導覽至 DrayOS 網頁介面中的 Applications > RADIUS/TACACS+。在 External RADIUS 索引標籤上，啟用設定檔並輸入 Purple 的 RADIUS 伺服器 IP 位址、連接埠 (1812) 和共用金鑰。按一下 OK 儲存。路由器需要重新啟動才能套用此變更——請勿跳過此步驟。

步驟 2：建立 Captive Portal 設定檔

導覽至 Hotspot Web Portal > Profile Setup 並選擇一個可用的索引。依下列方式設定設定檔：

設定	值
啟用此設定檔	是
Portal Method	External Server
Captive Portal URL	您的 Purple 存取 URL
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	Purple RADIUS 伺服器 IP
Destination Port	1812
Shared Secret	您的 Purple 共用金鑰
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

點擊 OK 儲存。

步驟 3：設定 Walled Garden

點擊 Save and Next 進入 Dest Domain 頁籤。新增每個必要的 Purple 網域，每個索引一個。目前的網域列表請參閱支援文件中的 Purple Walled Garden 網域白名單。點擊 Save and Next 繼續。

步驟 4：設定工作階段與到達網頁設定

在最後的設定畫面上，設定：

設定	值
Expired Time After Activation	0 天, 6 小時, 0 分 (或您偏好的時長)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	您的 Purple 重新導向 URL
Applied Interfaces	選擇訪客 WiFi SSID

點擊 Finish 儲存。測試前請重新啟動路由器。

步驟 5：設定 VLAN 進行網路區隔

導覽至 LAN > VLAN 並啟用 VLAN Configuration。為每個網路區隔建立一個 VLAN 項目。將所有連接到 VigorAPs 的 LAN 連接埠指派為所有相關 VLAN 的成員 (trunk 設定)。導覽至 LAN > General Setup，並使用 Inter-LAN Routing Table 在需要時封鎖跨 VLAN 的存取。

步驟 6：為員工 WiFi 設定 802.1X

導覽至 Wireless LAN > Security 並選擇員工 SSID。將安全模式設定為 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠 1812 以及共用金鑰。儲存設定。

步驟 7：設定 PPSK 進行多租戶隔離

在每個 VigorAP 上，導覽至 Wireless LAN > Security Settings 並選擇 WPA2PPSK。點擊 PPSK 按鈕以新增項目。為每個租戶建立一個包含該租戶裝置 MAC 位址與唯一密碼的 PPSK 項目。請確保該密碼與您路由器設定中正確的 VLAN 相關聯。請注意，2.4GHz 和 5GHz 的 PPSK 設定檔在 VigorAPs 上是分開管理的。

最佳實踐

以下建議反映了 Purple 在 80,000 多個場所的部署經驗，其中包括餐旅、零售、醫療保健以及交通運輸環境。

所有 VigorAPs 請使用有線回傳。 無線分佈系統 (WDS) 和通用中繼模式無法傳遞 802.1Q VLAN 標籤。如果您需要進行網路區隔 - 在任何多租戶或混合用途的場所中這都是必須的 - 每個無線基地台都必須透過乙太網路連接到路由器或網管型交換器。

啟用 AP 輔助漫遊 (AP-Assisted Mobility)。DrayTek VigorAP 支援預先驗證 (Pre-Authentication) 和 PMK 快取 (PMK Caching)，以在用戶端在存取點之間漫遊時加速 802.1X 重新驗證。啟用 AP 輔助漫遊以主動斷開訊號強度弱的用戶端，強迫其連接至最近的 AP。這在顧客持續移動的零售環境中尤為重要。

在部署前規劃您的 VLAN 方案。部署後變更 VLAN ID 需要重新設定路由器、所有存取點以及路徑中的任何網管型交換器。在接觸硬體之前，請先記錄您的方案（例如：訪客使用 VLAN 10、員工使用 VLAN 20、租戶使用 VLAN 30+）。

同步 DrayTek 與 Purple 之間的工作階段逾時時間。如果 DrayTek 熱點設定檔在 6 小時後結束工作階段，而 Purple 的工作階段設定為 24 小時，使用者將在工作階段中途被重新導向至 Splash Page。請將兩者設為相同的值。

針對 PPSK 部署停用 MAC 隨機化。iOS 和 macOS 裝置預設會使用專用 Wi-Fi 位址（隨機化 MAC）。由於 DrayTek PPSK 會將密碼綁定到特定的 MAC 位址，隨機化將導致驗證失敗。請指示使用者針對您的網路停用此設定，或在您的上線流程中清楚記錄此步驟。

在 VigorAP 上使用頻段導引 (Band Steering)。啟用頻段導引以引導支援雙頻的裝置使用 5GHz 頻段。這可以減少 2.4GHz 頻段的擁塞，並提高所有已連線裝置的吞吐量。

如需深入瞭解企業無線安全架構，請參閱我們的指南 Enterprise WiFi Security: A Complete Guide for 2026 。如果您是在包含不同硬體廠商的多個站點進行部署，我們的 SonicWall TZ and SonicWave Integration with Purple WiFi 指南涵蓋了類似的整合模式。

疑難排解與風險緩釋

Splash Page 無法載入。最常見的原因是 Walled Garden 設定不完整。請驗證 Dest Domain 索引標籤中是否列出了所有必要的 Purple 網域。同時確認訪客 DHCP 整合池已啟用，且預先驗證的用戶端能正常進行 DNS 解析。請透過連接裝置並嘗試瀏覽已知的 HTTP URL 來進行測試。

RADIUS 驗證失敗。請檢查共用密鑰 (Shared Secret) 是否拼寫錯誤（區分大小寫）。確認 DrayTek 路由器已連接至網際網路，且未阻擋連接埠 1812 和 1813 上的輸出 UDP 流量。確認套用 RADIUS 設定後已重新啟動路由器。檢查 Purple 控制面板中的驗證記錄，以確認請求是否已到達 Purple 的伺服器。 客戶端被分配到錯誤的 VLAN。 請驗證 DrayTek 路由器與 VigorAP 之間的中繼埠（trunk port）設定。交換器連接埠必須允許特定的 VLAN 標籤。如果您使用的是無管理功能交換器，請確認它能傳遞 802.1Q 標記框架且未剝離標籤。檢查 PPSK 設定檔以確認密碼與 VLAN 的對應關係是否正確。

黏性用戶端未漫遊。 如果裝置未如預期在 VigorAP 之間漫遊，請驗證是否已啟用 AP 輔助行動功能（AP-Assisted Mobility），且 RSSI 閾值已針對您的場域進行適當設定。同時請確認所有 VigorAP 皆運行相同的韌體版本，因為版本不一致可能會影響漫遊行為。

iOS 裝置 PPSK 驗證失敗。 請確認使用者已在 設定 > WiFi > [網路名稱] > 專用 WiFi 位址 中針對您的特定網路停用了「專用 WiFi 位址」。PPSK 設定檔必須包含裝置的真實硬體 MAC 位址。

投資報酬率（ROI）與商業影響

將 DrayTek 硬體與 Purple 結合部署，可在營運效率、數據擷取和合規性三個方面帶來可衡量的回報。

營運效率。 802.1X 驗證消除了管理共用 WiFi 密碼的開銷。當員工離職時，您只需在 Microsoft Entra ID、Okta 或 Google Workspace 中停用其帳戶，Purple 的 RADIUS 伺服器便會立即停止接受其憑證，無需在整個場域中輪換密碼。對於擁有 50 家分店的零售連鎖店而言，單是這一項每年就能減少數百小時的 IT 額外開銷。

數據擷取與行銷投資報酬率。 每一位透過 Purple Captive Portal 連線的訪客都會提供經驗證的身份資訊——電子郵件地址、電話號碼或社群個人檔案。這些第一方數據會直接匯入 Purple 的 WiFi Analytics 平台，您可以在該平台追蹤停留時間、重複造訪率和行銷活動參與度。Purple 已在其網路中收集了 290 億個數據點。使用 Purple Engage 方案的場域報告指出，透過針對性的造訪後溝通，重複造訪率有了顯著增長。

合規性。 Purple 已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，並獲得 Cyber Essentials 認證。Captive Portal 強制執行自願選擇加入（conscious-choice opt-ins），確保數據收集符合 GDPR 要求。VLAN 區段將付款卡環境與訪客流量隔離，以支援 PCI DSS 合規性。對於醫療保健機構，患者與訪客的網路隔離符合 NHS 和 ICO 的數據處理指南。

如欲詳細了解 Purple 如何在場域環境中推動以數據分析為導向的決策，請參閱我們的 WiFi Analytics platform overview 。

Definizioni chiave

Captive Portal

Una pagina web che intercetta il traffico HTTP di un utente e richiede un'interazione (accesso, accettazione dei termini o invio di dati) prima di concedere l'accesso alla rete.

Il meccanismo utilizzato da Purple per acquisire i dati di prima parte degli ospiti sul DrayTek Hotspot Web Portal. Configurato tramite il metodo del portale External Server in DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce autenticazione, autorizzazione e contabilità (AAA) centralizzate per l'accesso alla rete.

Il router DrayTek invia richieste di autenticazione al server RADIUS di Purple sulla porta UDP 1812 e i dati di accounting sulla porta 1813. Il segreto condiviso deve corrispondere su entrambi i lati.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta. Richiede che i dispositivi si autentichino con un server RADIUS prima di ottenere l'accesso alla rete.

Utilizzato per Staff WiFi su hardware DrayTek. Elimina le password condivise e consente la revoca dell'accesso per singolo utente tramite l'identity provider.

VLAN

Virtual Local Area Network. Un segmento di rete logico che isola il traffico al Livello 2, anche quando i dispositivi condividono la stessa infrastruttura fisica.

Utilizzato sui router DrayTek Vigor per separare il traffico di Guest, Staff e Tenant. Richiede porte trunk 802.1Q tra il router e i VigorAP.

Walled Garden

Un insieme di domini o intervalli IP a cui gli utenti non autenticati possono accedere prima di completare il flusso del Captive Portal.

Configurato nella scheda Dest Domain del profilo DrayTek Hotspot. Deve includere i server di autenticazione di Purple e tutti i domini dell'identity provider utilizzati per l'accesso.

PPSK

Private Pre-Shared Key. Un metodo di sicurezza in cui a ciascun utente o dispositivo viene assegnata una passphrase univoca, anziché condividere un'unica password di rete.

Utilizzato sui VigorAP DrayTek per assegnare dispositivi multi-tenant a VLAN specifiche. La passphrase è associata all'indirizzo MAC del dispositivo.

AP-Assisted Mobility

Una funzionalità di DrayTek VigorAP che monitora la potenza del segnale del client e disassocia attivamente i client al di sotto di una soglia RSSI definita, spingendoli a eseguire il roaming verso un punto di accesso più vicino.

Fondamentale per installazioni retail e ricettive in cui gli utenti si spostano all'interno della struttura. Previene il comportamento dello sticky client che causa l'interruzione delle sessioni del Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Un metodo EAP 802.1X che incapsula lo scambio di autenticazione in un tunnel TLS, proteggendo le credenziali in transito.

Il metodo EAP utilizzato per Staff WiFi su hardware DrayTek. Combinato con MS-CHAPv2 come metodo di autenticazione interno per dispositivi Windows, macOS, iOS e Android.

Assegnazione VLAN dinamica

Un meccanismo in cui il server RADIUS restituisce gli attributi VLAN nel messaggio Access-Accept e il dispositivo di rete assegna automaticamente il client autenticato alla VLAN specificata.

Il server RADIUS di Purple restituisce gli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. Il router DrayTek applica l'assegnazione della VLAN in base all'identità dell'utente.

Esempi pratici

Un boutique hotel di 150 camere sta implementando un router DrayTek Vigor 2865 con sei access point VigorAP 903. Hanno la necessità di fornire un Guest WiFi personalizzato con acquisizione dati, uno Staff WiFi sicuro per 40 dipendenti e una rete isolata per un ristorante in affitto al piano terra. Il responsabile IT dell'hotel non ha mai configurato l'autenticazione 802.1X in precedenza.

Il responsabile IT crea tre VLAN sul Vigor 2865: VLAN 10 per gli ospiti (192.168.10.0/24), VLAN 20 per lo staff (192.168.20.0/24) e VLAN 30 per il ristorante (192.168.30.0/24). Il routing inter-LAN è disabilitato tra tutti e tre i segmenti. Tutte e sei le unità VigorAP 903 sono collegate tramite Ethernet e gestite tramite la gestione centralizzata degli AP (Central AP Management) sul router. Vengono trasmessi tre SSID: 'Hotel Guest' (VLAN 10, Hotspot Web Portal che punta a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X che punta al RADIUS di Purple) e 'Restaurant' (VLAN 30, WPA2-PPSK con una passphrase specifica per i dispositivi POS del ristorante). L'inserimento PPSK del ristorante associa gli indirizzi MAC dei POS alla VLAN 30. Il responsabile IT registra il tenant Microsoft Entra ID dell'hotel con Purple, consentendo allo staff di autenticarsi con le proprie credenziali aziendali esistenti. Il Walled Garden viene configurato con tutti i domini Purple richiesti. Dopo aver riavviato il router, il responsabile IT testa ciascun SSID e conferma la corretta assegnazione della VLAN tramite la tabella dei lease DHCP del router.

Commento dell'esaminatore: Questa configurazione separa correttamente tre distinte popolazioni di utenti utilizzando il metodo di autenticazione appropriato per ciascuna. Gli ospiti utilizzano un Captive Portal per l'acquisizione dei dati e il consenso conforme al GDPR. Lo staff utilizza l'802.1X per l'accesso basato su credenziali collegato al proprio provider di identità esistente, eliminando la necessità di una password separata. Il ristorante utilizza il PPSK per isolare i dispositivi POS senza richiedere la configurazione del client 802.1X su hardware headless. Il backhaul cablato garantisce che i tag VLAN vengano preservati lungo tutto il percorso.

Una catena di negozi con 80 punti vendita sta riscontrando bassi tassi di completamento del Captive Portal. Le analisi mostrano che il 40% degli acquirenti che si connettono all'SSID del Guest WiFi non raggiunge mai la splash page. La catena utilizza router DrayTek Vigor 2865 e access point VigorAP 912C. I layout dei negozi sono ampi, con access point posizionati a entrambe le estremità del piano.

L'amministratore di rete indaga su due cause principali. In primo luogo, esegue un audit della configurazione del Walled Garden in tutti gli 80 siti utilizzando VigorACS 3, la piattaforma di gestione centralizzata di DrayTek. Rileva che in 23 siti mancano due dei domini di autenticazione Purple richiesti, causando il timeout della splash page per gli acquirenti su quelle reti. Aggiorna quindi i profili Hotspot a livello centrale tramite VigorACS 3. In secondo luogo, abilita l'AP-Assisted Mobility su tutti i VigorAP con una soglia RSSI di -75 dBm. Questo costringe i dispositivi degli acquirenti a passare all'AP più vicino mentre si muovono all'interno del negozio, prevenendo il problema dello sticky client che causava l'interruzione delle sessioni del Captive Portal a metà dell'autenticazione. Dopo entrambe le modifiche, il tasso di completamento del portale sale dal 60% all'89% in tutta la rete di negozi.

Commento dell'esaminatore: Questo esempio illustra due diverse modalità di errore che si presentano entrambe come bassi tassi di completamento del portale. La configurazione errata del Walled Garden impedisce del tutto il caricamento della splash page. Il comportamento dello sticky client causa interruzioni della sessione a metà del flusso. La gestione centralizzata tramite VigorACS 3 è l'approccio corretto per una rete multi-sito: controllare manualmente 80 router singolarmente sarebbe impraticabile. L'AP-Assisted Mobility è il meccanismo specifico di DrayTek che risolve il problema del roaming; affidarsi alle decisioni di roaming lato client non è affidabile negli ambienti retail.

Domande di esercitazione

Q1. Hai configurato il DrayTek Hotspot Web Portal e lo hai indirizzato all'URL di accesso di Purple. Le impostazioni RADIUS sono corrette. Tuttavia, quando i client si connettono all'SSID del Guest WiFi, i loro browser segnalano un timeout di connessione e la splash page non si carica mai. Qual è la causa più probabile e qual è il primo passo per diagnosticarla?

Suggerimento: I client in uno stato di pre-autenticazione hanno un accesso alla rete fortemente limitato. Considera quale traffico consente il router prima del completamento dell'autenticazione.

Visualizza risposta modello

La causa più probabile è una configurazione del Walled Garden incompleta o mancante. Il router DrayTek blocca tutto il traffico proveniente da client non autenticati, ad eccezione dei domini esplicitamente elencati nella scheda Dest Domain. Se i domini di autenticazione di Purple non sono elencati, il browser del client non può raggiungere il server della splash page. Il primo passaggio diagnostico consiste nel navigare nel profilo Hotspot, fare clic sulla scheda Dest Domain e verificare che siano presenti tutti i domini Purple richiesti. Effettua un controllo incrociato con la whitelist dei domini del Walled Garden di Purple nella documentazione di supporto. Un secondo controllo consiste nel confermare che il DNS si risolva correttamente per i client pre-autenticati.

Q2. Uno spazio di coworking ha 12 aziende associate che condividono un singolo DrayTek Vigor 2865 e quattro access point VigorAP 912C. Ogni azienda deve essere isolata dalle altre, ma il gestore della struttura desidera trasmettere un solo SSID per evitare di intasare l'elenco WiFi sui dispositivi dei membri. Come progetti questa architettura?

Suggerimento: Considera come DrayTek gestisce le passphrase univoche su un singolo SSID e quale configurazione aggiuntiva è necessaria per imporre l'isolamento tra le aziende.

Visualizza risposta modello

Configura WPA2-PPSK sui VigorAP con un singolo SSID. Crea 12 VLAN sul Vigor 2865, una per azienda. Per ogni azienda, crea una voce PPSK che associ una passphrase univoca agli indirizzi MAC dei dispositivi di quell'azienda e li assegni alla VLAN dedicata. Disabilita il routing inter-VLAN nella tabella Inter-LAN Routing per impedire il traffico tra aziende diverse. I dispositivi di ciascuna azienda si connettono allo stesso SSID utilizzando la loro passphrase univoca e il VigorAP li inserisce automaticamente nella loro VLAN isolata. Per le aziende con più dispositivi, ogni dispositivo necessita della propria voce PPSK con il proprio indirizzo MAC specifico e la passphrase aziendale condivisa.

Q3. Dopo un aggiornamento di routine del firmware su un DrayTek Vigor 2865, i membri dello staff segnalano che i loro laptop non riescono più a connettersi all'SSID dello Staff WiFi. L'SSID è visibile, mas l'autenticazione non va a buon fine. Il Guest WiFi continua a funzionare normalmente. Quali sono le tre cause più probabili e in quale ordine dovresti esaminarle?

Suggerimento: Il Guest WiFi utilizza un meccanismo di autenticazione diverso rispetto allo Staff WiFi. Isola quale livello dello stack 802.1X si è interrotto.

Visualizza risposta modello

Le tre cause più probabili sono: (1) L'aggiornamento del firmware ha ripristinato la configurazione del server RADIUS per l'SSID WPA2/802.1X - vai su Wireless LAN > Security, conferma che l'IP del server RADIUS e il segreto condiviso siano ancora corretti e riavvia se apporti modifiche. (2) L'aggiornamento del firmware ha modificato il metodo EAP o le impostazioni della porta RADIUS - verifica che la porta 1812 sia ancora configurata e che il router possa raggiungere il server RADIUS di Purple su quella porta. (3) L'aggiornamento del firmware ha introdotto una modifica del certificato che causa il fallimento della convalida EAP-TLS sui dispositivi client - controlla la dashboard di Purple per le voci del registro di autenticazione per vedere se le richieste raggiungono il server. Indaga in questo ordine: prima la configurazione RADIUS (la più comune dopo un aggiornamento del firmware), poi la connettività di rete al server RADIUS e infine i problemi relativi al certificato o al metodo EAP.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.