Integração de Roteadores e Pontos de Acesso DrayTek Vigor com Purple WiFi

Este guia fornece instruções técnicas passo a passo para integrar roteadores DrayTek Vigor e pontos de acesso VigorAP com a plataforma de nuvem da Purple. Ele cobre a configuração do Captive Portal DrayTek para Guest WiFi, autenticação 802.1X para Staff WiFi seguro, configuração de Walled Garden e configuração de Multiple PSK (PPSK) DrayTek para segmentação de rede Multi-Tenant com atribuição dinâmica de VLAN. Projetado para instaladores de TI e administradores de rede de PMEs que implantam a Purple em locais de hospitalidade, varejo e multi-tenant.

📖 10 min de leitura📝 2,500 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Integration Briefing. Hoje estamos analisando os roteadores DrayTek Vigor e os pontos de acesso VigorAP e, especificamente, como integrá-los com a Purple WiFi. Este briefing é para gerentes de TI e arquitetos de rede que implantam redes de convidados, funcionários e multi-tenant em locais de PMEs e de médio porte.

Vamos começar com o contexto. O hardware da DrayTek é incrivelmente popular no varejo, na hospitalidade e em unidades habitacionais multifamiliares porque oferece recursos robustos de roteamento, VPN e sem fio a um preço competitivo. Quando você combina um roteador DrayTek Vigor com a Purple, você transforma uma conexão de internet padrão em uma Rede Baseada em Identidade. A Purple tem mais de 80.000 locais ativos e processa 440 milhões de logins por ano. Nós trazemos o Captive Portal, os relatórios analíticos e a camada de segurança. A DrayTek fornece a infraestrutura de borda confiável.

Vamos entrar na análise técnica detalhada. Como realmente fazemos isso funcionar? O núcleo da integração depende da autenticação RADIUS e do redirecionamento externo do Captive Portal.

Primeiro, a configuração do Guest WiFi. Você configurará o roteador DrayTek Vigor como um gateway de Hotspot Web Portal. Na interface do DrayOS, em Applications e RADIUS, você adiciona o IP do servidor RADIUS da Purple e o segredo compartilhado. Em seguida, em Hotspot Web Portal, você define o Portal Method como External Server e cola sua URL de acesso específica da Purple. O roteador DrayTek intercepta o tráfego de convidados, redireciona-o para a sobreposição de nuvem da Purple para autenticação e, em seguida, usa o RADIUS para conceder o acesso.

Uma etapa crítica aqui é o Walled Garden. Os convidados precisam alcançar os servidores da Purple antes de serem autenticados. Você deve configurar a guia Destination Domain no perfil de Hotspot da DrayTek para permitir o tráfego para os domínios de autenticação da Purple. Se você esquecer isso, a splash page simplesmente não carregará. Este é um dos erros mais comuns durante a implantação inicial.

Agora, e quanto ao Staff WiFi? Para acesso seguro da equipe, você não usa um Captive Portal. Você usa a autenticação 802.1X, que é o padrão IEEE para controle de acesso à rede baseado em porta. Nas configurações de Wireless LAN Security da DrayTek, você seleciona WPA2 barra 802.1X e aponta para o servidor RADIUS da Purple. Os dispositivos da equipe se autenticam perfeitamente usando PEAP e MS-CHAPv2. Isso elimina totalmente as senhas compartilhadas e permite revogar o acesso instantaneamente quando um funcionário sai. Não há necessidade de alterar a senha em todo o local.

Vamos falar sobre ambientes Multi-Tenant. Pense em acomodações estudantis, espaços de coworking ou concessões de varejo. Você precisa de segmentação de rede. A DrayTek lida com isso com VLANs e Multiple PSK, também conhecido como PPSK ou Private Pre-Shared Key. Você configura as VLANs no roteador DrayTek. Por exemplo, VLAN 10 para Guests, VLAN 20 para Staff e VLAN 30 para Tenants. Usando o recurso WPA2-PPSK da DrayTek nos VigorAPs, cada inquilino recebe uma senha exclusiva. Quando eles se conectam, o ponto de acesso vincula essa senha ao seu endereço MAC e os coloca em sua VLAN isolada. Isso significa que um inquilino de cafeteria no térreo de um hotel não consegue ver a rede interna do hotel, mesmo compartilhando o mesmo ponto de acesso físico.

La atribuição dinâmica de VLAN leva isso ainda mais longe. O servidor RADIUS da Purple pode retornar atributos RADIUS específicos quando um usuário se autentica. Esses são os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O roteador DrayTek lê esses valores e atribui dinamicamente o cliente autenticado à VLAN correta. Isso é Rede Baseada em Identidade na prática: a rede se adapta à identidade do usuário, e não o contrário.

Passando para as Recomendações de Implantação e Armadilhas.

Recomendação um: Sempre use um backhaul cabeado para seus VigorAPs. Sistemas de distribuição sem fio, ou repetidores universais, não conseguem passar as tags VLAN 802.1Q necessárias para uma segmentação de rede adequada. Se você deseja uma rede de convidados isolada de sua LAN interna, precisa dessas tags VLAN intactas, e isso significa um cabo Ethernet físico de cada ponto de acesso de volta ao roteador DrayTek ou a um switch gerenciado.

Recomendação dois: Ative o AP-Assisted Mobility nos VigorAPs. Esse recurso desassocia de forma inteligente os clientes com sinal fraco, forçando-os a fazer roaming para um ponto de acesso mais próximo. Ele resolve o problema de 'sticky client' que afeta muitas implantações de PMEs. Em um ambiente de varejo, um cliente que caminha da frente da loja para os fundos deve fazer a transição perfeita entre os pontos de acesso. Sem o AP-Assisted Mobility, seu dispositivo pode se prender ao ponto de acesso frontal, mesmo quando o sinal estiver fraco.

Recomendação três: Planeje seu esquema de numeração de VLAN antes de começar. Alterar os IDs de VLAN após a implantação exige a reconfiguração do roteador, de todos os pontos de acesso e, potencialmente, de quaisquer switches gerenciados no caminho. Documente seu esquema claramente.

A maior armadilha? Esquecer de reiniciar o roteador DrayTek após aplicar as configurações de RADIUS e Hotspot. O DrayOS requer uma reinicialização para aplicar essas alterações específicas. Se você pular essa etapa, passará horas solucionando problemas de uma configuração que na verdade está correta, mas simplesmente ainda não está ativa. Isso está documentado no guia de suporte oficial da Purple para hardware DrayTek.

Vamos para um perguntas e respostas rápido.

Pergunta: Posso usar o servidor RADIUS interno do roteador Vigor?
Resposta: Você pode para autenticação 802.1X local, mas para a integração com a Purple, você deve usar os servidores RADIUS externos da Purple. É isso que permite o gerenciamento centralizado de políticas e os relatórios analíticos que a Purple fornece.

Pergunta: A DrayTek suporta direcionamento dinâmico de VLAN via RADIUS?
Resposta: Sim. O servidor RADIUS da Purple retorna os atributos Tunnel-Type e Tunnel-Private-Group-ID na autenticação. O roteador DrayTek lê esses atributos e atribui dinamicamente o cliente à VLAN correta.

Pergunta: O que acontece se o dispositivo iOS de um usuário usar um endereço MAC privado com o PPSK?
Resposta: A autenticação falhará. O perfil PPSK se vincula a um endereço MAC específico. Você deve instruir os usuários a desativar o Endereço Wi-Fi Privado para sua rede específica nas configurações do iOS para garantir uma conectividade estável.

Pergunta: Quais modelos DrayTek são suportados com a Purple?
Resposta: Os modelos atualmente suportados incluem as séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Verifique a documentação de suporte da Purple para obter a lista mais recente.

Para resumir. DrayTek e Purple juntas oferecem controle de rede de nível empresarial a preços acessíveis para PMEs. Você usa o Hotspot Web Portal para convidados, 802.1X para funcionários e PPSK com VLANs para inquilinos. Planeje suas VLANs com cuidado, configure seus Walled Gardens e sempre reinicie após aplicar as configurações de RADIUS. Use backhaul cabeado para seus pontos de acesso, ative o AP-Assisted Mobility e planeje a randomização de MAC em dispositivos iOS.

Obrigado por ouvir este briefing técnico. Configure seu hardware e nos vemos na plataforma Purple.

Principais conclusões

✓Os roteadores DrayTek Vigor usam o recurso Hotspot Web Portal com o modo External Server para redirecionar o tráfego de convidados para a splash page hospedada na nuvem da Purple para captura de dados em conformidade com a GDPR.
✓O Walled Garden (guia Dest Domain) deve listar todos os domínios de autenticação da Purple antes da implantação — entradas ausentes são a causa mais comum de falhas na splash page.
✓O Staff WiFi deve usar segurança WPA2/802.1X Enterprise, autenticando contra o servidor RADIUS da Purple, para eliminar senhas compartilhadas e permitir a revogação instantânea de acesso por usuário.
✓Ambientes multi-tenant usam DrayTek WPA2-PPSK nos VigorAPs para atribuir senhas exclusivas por inquilino, marcando dinamicamente o tráfego em VLANs isoladas no roteador Vigor.
✓Todos os VigorAPs devem se conectar ao roteador via Ethernet cabeada — os modos de repetidor sem fio removem as tags VLAN 802.1Q e quebram a segmentação de rede.
✓O DrayOS requer a reinicialização do roteador para aplicar quaisquer alterações nas configurações de RADIUS ou do Hotspot Web Portal — esta é uma etapa obrigatória, não opcional.
✓Ative o AP-Assisted Mobility nos VigorAPs para evitar o comportamento de 'sticky client' e garantir sessões estáveis do Captive Portal à medida que os usuários se movem pelo local.

執行摘要

DrayTek Vigor 路由器與 VigorAP 基地台已廣泛部署於英國與歐洲成千上萬的中小型企業、零售及餐旅場所。當與 Purple 的雲端重疊網路整合時，這些硬體將成為「基於身分的網路」之基石 — 從單一平台即可收集第一方數據、保護內部資源並區隔多租戶流量。

本指南涵蓋四種部署情境：採用品牌專屬引導頁面與 RADIUS 驗證的 Guest WiFi 、使用 IEEE 802.1X 企業級安全驗證的員工 WiFi、允許驗證前流量的 Walled Garden 配置，以及利用 DrayTek 的 WPA2-PPSK 功能搭配動態 VLAN 分配的多租戶 WiFi。Purple 已在超過 80,000 個實際營運場地運行，且達到 99.999% 的可用性，並獲得 ISO 27001、GDPR 及 Cyber Essentials 認證 — 因此您場地面臨的安全與合規要求均已融入平台之中。

支援的 DrayTek 型號包括 Vigor 2862、2865、2866、2926、2927、2952、2962、3220 與 3910 系列。所有透過中央基地台管理 (APM) 進行管理的 VigorAP 基地台皆與此整合相容。

技術深入剖析

整合運作原理

DrayTek 與 Purple 的整合依賴兩種機制協同運作：外部 Captive Portal 重新導向與 RADIUS（遠端驗證撥入使用者服務）驗證。Purple 扮演集中化的身分提供者和原則引擎。DrayTek Vigor 路由器則作為網路存取伺服器 (NAS)，執行 Purple RADIUS 伺服器傳回的存取決策。

當訪客連線到 WiFi SSID 時，DrayTek 路由器會將裝置置於驗證前的狀態。它會攔截該裝置的 HTTP 流量，並透過 DrayOS 中的 Hotspot Web Portal 功能將其重新導向至 Purple 的雲端託管 splash page。使用者在 Purple 的平台上完成登入流程 — 可使用社群登入、電子郵件、簡訊，或受管理的授權提供者（如 Microsoft Entra ID、Okta 或 Google Workspace）。Purple 的 RADIUS 伺服器隨後會向 DrayTek 路由器回傳 Access-Accept 訊息，進而授予網際網路存取權限並在連接埠 1813 上啟動 RADIUS 計費。

Guest WiFi 與 DrayTek Captive Portal

DrayTek Hotspot Web Portal 是訪客驗證的核心機制。在 DrayOS 中，您可以設定 Hotspot Profile，其中定義了 portal 方法、驗證伺服器、工作階段限制和登陸頁面。將 Portal Method 設定為 External Server 會指示 DrayOS 將未驗證的用戶端重新導向至外部 URL — 在此處即為您的 Purple 存取 URL — 而非提供本機託管的頁面。 Hotspot Profile 中的 RADIUS 設定指向 Purple 的 RADIUS 伺服器 IP（連接埠 1812 用於驗證，連接埠 1813 用於計費）。共用金鑰必須與您的 Purple 場域儀表板中顯示的完全一致。此處不匹配是導致驗證失敗最常見的原因。

工作階段管理由 Expired Time After Activation 設定控制。對於大多數餐旅和零售部署，六個小時是實用的預設值。您可以將此設定與您的 Purple 工作階段逾時時間保持一致，以確保兩個系統之間的行為一致。

Walled Garden 設定

在訪客進行驗證之前，其裝置無法存取網際網路。然而，裝置必須能夠連線至 Purple 的伺服器以載入歡迎頁面（splash page）。Walled Garden（透過 DrayTek Hotspot Profile 中的 Dest Domain 索引標籤進行設定）定義了驗證前可存取的網域。

您必須將 Purple 的驗證網域新增至此清單中，每個索引一個。如果您使用的是社群登入提供商（例如 Google 或 Facebook）或受管理的識別資訊提供商（如 Microsoft Entra ID），則也必須包含其網域。未能正確設定 Walled Garden 是 DrayTek Captive Portal 無法顯示歡迎頁面最常見的單一原因。Purple 的支援文件提供了每種登入方式目前所需的網域清單。

使用 802.1X 安全保護員工 WiFi

對於內部員工而言，Captive Portal 並非合適的工具。共用的 WPA2 密碼存在安全性隱患：當員工離職時，您必須更新每台裝置上的密碼。IEEE 802.1X 企業級驗證完全解決了這個問題。

在 DrayOS 中，導覽至 Wireless LAN > Security，並為您的員工 SSID 選取 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠和共用金鑰。員工裝置會使用 PEAP（受保護的擴充驗證協定）並以 MS-CHAPv2 作為內部方法進行驗證。這是 Windows、macOS、iOS 和 Android 裝置連線至企業無線網路所需的設定。

Purple 會在識別資訊層級撤銷存取權限。當員工離職時，您只需在您的識別資訊提供商（Microsoft Entra ID、Okta 或 Google Workspace）中停用其帳戶即可。Purple 的 RADIUS 伺服器會立即停止接受該帳戶的驗證請求。無需在整個場域中變更密碼。

如欲了解更多關於企業無線網路安全性架構的資訊，請參閱我們的企業級 WiFi 安全性：2026 年完整指南。

使用 DrayTek 多重 PSK 進行多租戶網路分割

多租戶環境（例如設有外包餐廳或零售空間的飯店、共同工作空間、學生宿舍以及建屋出租專案）需要租戶之間實施嚴格的網路隔離。專櫃中的顧客絕不能存取飯店的內部網路，且兩個零售租戶之間必須無法看到彼此的流量。

DrayTek 透過兩項互補的功能來解決此問題：VLAN 標記和 WPA2-PPSK (Private Pre-Shared Key)。

Vigor 路由器上的 VLAN 設定會將每個租戶分配到獨立的邏輯網路。前往 LAN > VLAN，啟用 VLAN 設定，並為每個租戶區段分配一個唯一的 VLAN ID。所有連接到 VigorAP 的 LAN 連接埠必須是所有相關 VLAN 的成員，實際上是以 802.1Q 幹線 (trunk) 連接埠運作。LAN > General Setup 中的 Inter-LAN Routing Table 可控制流量是否可以跨 VLAN 傳輸——為了實現租戶隔離，必須停用此功能。

VigorAP 上的 WPA2-PPSK 會為每個租戶分配一個唯一的密碼。無線基地台會將此密碼與裝置的 MAC 位址綁定。當裝置連接時，AP 會識別所使用的密碼，並用對應的 VLAN ID 標記流量。這使得單一 SSID 能夠同時為多個隔離的租戶網路提供服務，從而減少無線開銷並簡化終端使用者體驗。

透過 RADIUS 進行動態 VLAN 分配

對於需要根據使用者身分而非靜態密碼來驅動 VLAN 分配的部署，Purple 的 RADIUS 伺服器支援動態 VLAN 引導。當使用者進行驗證時，Purple 會在 Access-Accept 訊息中傳回三個 RADIUS 屬性：

RADIUS 屬性	值
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	VLAN ID (例如 "20")

DrayTek 路由器會讀取這些屬性，並將已驗證的用戶端分配到指定的 VLAN，無論他們連接到哪一個 SSID。這就是「基於身分的網路 (Identity-Based Networking)」：網路區段是由使用者的身分決定，而不是由他們輸入的密碼決定。

實作指南

部署前檢查清單

在開始之前，請確認以下事項：

項目	需求
DrayTek 韌體	最新穩定的 DrayOS 版本
Purple 場域	已在 Purple 控制面板中建立並啟用
RADIUS 憑證	從 Purple 取得的存取 URL、RADIUS 伺服器 IP、共用金鑰、NAS 識別碼
VLAN 計劃	已記錄 Guest、Staff 和每個租戶的 VLAN ID
VigorAP 回傳網路	已確認所有無線基地台皆使用實線乙太網路

步驟 1：在 DrayTek 路由器上設定 RADIUS

導覽至 DrayOS 網頁介面中的 Applications > RADIUS/TACACS+。在 External RADIUS 索引標籤上，啟用設定檔並輸入 Purple 的 RADIUS 伺服器 IP 位址、連接埠 (1812) 和共用金鑰。按一下 OK 儲存。路由器需要重新啟動才能套用此變更——請勿跳過此步驟。

步驟 2：建立 Captive Portal 設定檔

導覽至 Hotspot Web Portal > Profile Setup 並選擇一個可用的索引。依下列方式設定設定檔：

設定	值
啟用此設定檔	是
Portal Method	External Server
Captive Portal URL	您的 Purple 存取 URL
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	Purple RADIUS 伺服器 IP
Destination Port	1812
Shared Secret	您的 Purple 共用金鑰
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

點擊 OK 儲存。

步驟 3：設定 Walled Garden

點擊 Save and Next 進入 Dest Domain 頁籤。新增每個必要的 Purple 網域，每個索引一個。目前的網域列表請參閱支援文件中的 Purple Walled Garden 網域白名單。點擊 Save and Next 繼續。

步驟 4：設定工作階段與到達網頁設定

在最後的設定畫面上，設定：

設定	值
Expired Time After Activation	0 天, 6 小時, 0 分 (或您偏好的時長)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	您的 Purple 重新導向 URL
Applied Interfaces	選擇訪客 WiFi SSID

點擊 Finish 儲存。測試前請重新啟動路由器。

步驟 5：設定 VLAN 進行網路區隔

導覽至 LAN > VLAN 並啟用 VLAN Configuration。為每個網路區隔建立一個 VLAN 項目。將所有連接到 VigorAPs 的 LAN 連接埠指派為所有相關 VLAN 的成員 (trunk 設定)。導覽至 LAN > General Setup，並使用 Inter-LAN Routing Table 在需要時封鎖跨 VLAN 的存取。

步驟 6：為員工 WiFi 設定 802.1X

導覽至 Wireless LAN > Security 並選擇員工 SSID。將安全模式設定為 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠 1812 以及共用金鑰。儲存設定。

步驟 7：設定 PPSK 進行多租戶隔離

在每個 VigorAP 上，導覽至 Wireless LAN > Security Settings 並選擇 WPA2PPSK。點擊 PPSK 按鈕以新增項目。為每個租戶建立一個包含該租戶裝置 MAC 位址與唯一密碼的 PPSK 項目。請確保該密碼與您路由器設定中正確的 VLAN 相關聯。請注意，2.4GHz 和 5GHz 的 PPSK 設定檔在 VigorAPs 上是分開管理的。

最佳實踐

以下建議反映了 Purple 在 80,000 多個場所的部署經驗，其中包括餐旅、零售、醫療保健以及交通運輸環境。

所有 VigorAPs 請使用有線回傳。 無線分佈系統 (WDS) 和通用中繼模式無法傳遞 802.1Q VLAN 標籤。如果您需要進行網路區隔 - 在任何多租戶或混合用途的場所中這都是必須的 - 每個無線基地台都必須透過乙太網路連接到路由器或網管型交換器。

啟用 AP 輔助漫遊 (AP-Assisted Mobility)。DrayTek VigorAP 支援預先驗證 (Pre-Authentication) 和 PMK 快取 (PMK Caching)，以在用戶端在存取點之間漫遊時加速 802.1X 重新驗證。啟用 AP 輔助漫遊以主動斷開訊號強度弱的用戶端，強迫其連接至最近的 AP。這在顧客持續移動的零售環境中尤為重要。

在部署前規劃您的 VLAN 方案。部署後變更 VLAN ID 需要重新設定路由器、所有存取點以及路徑中的任何網管型交換器。在接觸硬體之前，請先記錄您的方案（例如：訪客使用 VLAN 10、員工使用 VLAN 20、租戶使用 VLAN 30+）。

同步 DrayTek 與 Purple 之間的工作階段逾時時間。如果 DrayTek 熱點設定檔在 6 小時後結束工作階段，而 Purple 的工作階段設定為 24 小時，使用者將在工作階段中途被重新導向至 Splash Page。請將兩者設為相同的值。

針對 PPSK 部署停用 MAC 隨機化。iOS 和 macOS 裝置預設會使用專用 Wi-Fi 位址（隨機化 MAC）。由於 DrayTek PPSK 會將密碼綁定到特定的 MAC 位址，隨機化將導致驗證失敗。請指示使用者針對您的網路停用此設定，或在您的上線流程中清楚記錄此步驟。

在 VigorAP 上使用頻段導引 (Band Steering)。啟用頻段導引以引導支援雙頻的裝置使用 5GHz 頻段。這可以減少 2.4GHz 頻段的擁塞，並提高所有已連線裝置的吞吐量。

如需深入瞭解企業無線安全架構，請參閱我們的指南 Enterprise WiFi Security: A Complete Guide for 2026 。如果您是在包含不同硬體廠商的多個站點進行部署，我們的 SonicWall TZ and SonicWave Integration with Purple WiFi 指南涵蓋了類似的整合模式。

疑難排解與風險緩釋

Splash Page 無法載入。最常見的原因是 Walled Garden 設定不完整。請驗證 Dest Domain 索引標籤中是否列出了所有必要的 Purple 網域。同時確認訪客 DHCP 整合池已啟用，且預先驗證的用戶端能正常進行 DNS 解析。請透過連接裝置並嘗試瀏覽已知的 HTTP URL 來進行測試。

RADIUS 驗證失敗。請檢查共用密鑰 (Shared Secret) 是否拼寫錯誤（區分大小寫）。確認 DrayTek 路由器已連接至網際網路，且未阻擋連接埠 1812 和 1813 上的輸出 UDP 流量。確認套用 RADIUS 設定後已重新啟動路由器。檢查 Purple 控制面板中的驗證記錄，以確認請求是否已到達 Purple 的伺服器。 客戶端被分配到錯誤的 VLAN。 請驗證 DrayTek 路由器與 VigorAP 之間的中繼埠（trunk port）設定。交換器連接埠必須允許特定的 VLAN 標籤。如果您使用的是無管理功能交換器，請確認它能傳遞 802.1Q 標記框架且未剝離標籤。檢查 PPSK 設定檔以確認密碼與 VLAN 的對應關係是否正確。

黏性用戶端未漫遊。 如果裝置未如預期在 VigorAP 之間漫遊，請驗證是否已啟用 AP 輔助行動功能（AP-Assisted Mobility），且 RSSI 閾值已針對您的場域進行適當設定。同時請確認所有 VigorAP 皆運行相同的韌體版本，因為版本不一致可能會影響漫遊行為。

iOS 裝置 PPSK 驗證失敗。 請確認使用者已在 設定 > WiFi > [網路名稱] > 專用 WiFi 位址 中針對您的特定網路停用了「專用 WiFi 位址」。PPSK 設定檔必須包含裝置的真實硬體 MAC 位址。

投資報酬率（ROI）與商業影響

將 DrayTek 硬體與 Purple 結合部署，可在營運效率、數據擷取和合規性三個方面帶來可衡量的回報。

營運效率。 802.1X 驗證消除了管理共用 WiFi 密碼的開銷。當員工離職時，您只需在 Microsoft Entra ID、Okta 或 Google Workspace 中停用其帳戶，Purple 的 RADIUS 伺服器便會立即停止接受其憑證，無需在整個場域中輪換密碼。對於擁有 50 家分店的零售連鎖店而言，單是這一項每年就能減少數百小時的 IT 額外開銷。

數據擷取與行銷投資報酬率。 每一位透過 Purple Captive Portal 連線的訪客都會提供經驗證的身份資訊——電子郵件地址、電話號碼或社群個人檔案。這些第一方數據會直接匯入 Purple 的 WiFi Analytics 平台，您可以在該平台追蹤停留時間、重複造訪率和行銷活動參與度。Purple 已在其網路中收集了 290 億個數據點。使用 Purple Engage 方案的場域報告指出，透過針對性的造訪後溝通，重複造訪率有了顯著增長。

合規性。 Purple 已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，並獲得 Cyber Essentials 認證。Captive Portal 強制執行自願選擇加入（conscious-choice opt-ins），確保數據收集符合 GDPR 要求。VLAN 區段將付款卡環境與訪客流量隔離，以支援 PCI DSS 合規性。對於醫療保健機構，患者與訪客的網路隔離符合 NHS 和 ICO 的數據處理指南。

如欲詳細了解 Purple 如何在場域環境中推動以數據分析為導向的決策，請參閱我們的 WiFi Analytics platform overview 。

Definições principais

Captive portal

Uma página web que intercepta o tráfego HTTP do usuário e exige interação — login, aceitação de termos ou envio de dados — antes de conceder acesso à rede.

O mecanismo que a Purple usa para capturar dados primários de convidados no Hotspot Web Portal da DrayTek. Configurado por meio do método de portal External Server no DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece autenticação, autorização e bilhetagem (AAA) centralizadas para acesso à rede.

O roteador DrayTek envia solicitações de autenticação para o servidor RADIUS da Purple na porta UDP 1812 e dados de bilhetagem (accounting) na porta 1813. O segredo compartilhado deve ser idêntico em ambos os lados.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta. Exige que os dispositivos se autentiquem com um servidor RADIUS antes de receberem acesso à rede.

Usado para Staff WiFi em hardware DrayTek. Elimina senhas compartilhadas e permite a revogação de acesso por usuário por meio do provedor de identidade.

VLAN

Virtual Local Area Network. Um segmento de rede lógico que isola o tráfego na Camada 2, mesmo quando os dispositivos compartilham a mesma infraestrutura física.

Usado em roteadores DrayTek Vigor para separar o tráfego de Guest, Staff e Tenant. Requer portas de tronco 802.1Q entre o roteador e os VigorAPs.

Walled Garden

Um conjunto de domínios ou intervalos de IP que usuários não autenticados podem acessar antes de concluir o fluxo do Captive Portal.

Configurado na guia Dest Domain do Perfil de Hotspot da DrayTek. Deve incluir os servidores de autenticação da Purple e quaisquer domínios de provedores de identidade usados para login.

PPSK

Private Pre-Shared Key. Um método de segurança no qual cada usuário ou dispositivo recebe uma senha exclusiva, em vez de compartilhar uma única senha de rede.

Usado em DrayTek VigorAPs para atribuir dispositivos multi-tenant a VLANs específicas. A senha é vinculada ao endereço MAC do dispositivo.

AP-Assisted Mobility

Um recurso do DrayTek VigorAP que monitora a força do sinal do cliente e desassocia ativamente os clientes abaixo de um limite de RSSI definido, incentivando-os a fazer roaming para um ponto de acesso mais próximo.

Crítico para implantações de varejo e hospitalidade onde os usuários se movem pelo local. Evita o comportamento de 'sticky client' que causa quedas de sessão do Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Um método EAP 802.1X que encapsula a troca de autenticação em um túnel TLS, protegendo as credenciais em trânsito.

O método EAP usado para Staff WiFi em hardware DrayTek. Combinado com MS-CHAPv2 como o método de autenticação interno para dispositivos Windows, macOS, iOS e Android.

Dynamic VLAN assignment

Um mecanismo no qual o servidor RADIUS retorna atributos de VLAN na mensagem Access-Accept, e o dispositivo de rede atribui automaticamente o cliente autenticado à VLAN especificada.

O servidor RADIUS da Purple retorna os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O roteador DrayTek aplica a atribuição de VLAN com base na identidade do usuário.

Exemplos práticos

Um hotel boutique de 150 quartos está implantando um roteador DrayTek Vigor 2865 com seis pontos de acesso VigorAP 903. Eles precisam fornecer Guest WiFi personalizado com captura de dados, Staff WiFi seguro para 40 funcionários e uma rede isolada para um restaurante arrendado no térreo. O gerente de TI do hotel nunca configurou o 802.1X antes.

O gerente de TI cria três VLANs no Vigor 2865: VLAN 10 para convidados (192.168.10.0/24), VLAN 20 para funcionários (192.168.20.0/24) e VLAN 30 para o restaurante (192.168.30.0/24). O roteamento inter-LAN é desativado entre todos os três segmentos. Todas as seis unidades VigorAP 903 são conectadas via Ethernet e gerenciadas por meio do Central AP Management no roteador. Três SSIDs são transmitidos: 'Hotel Guest' (VLAN 10, Hotspot Web Portal apontando para a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X apontando para o RADIUS da Purple) e 'Restaurant' (VLAN 30, WPA2-PPSK com uma senha específica para os dispositivos de PDV do restaurante). A entrada PPSK do restaurante vincula os endereços MAC dos PDVs à VLAN 30. O gerente de TI registra o tenant do Microsoft Entra ID do hotel com a Purple, permitindo que a equipe se autentique com suas credenciais corporativas existentes. O Walled Garden é configurado com todos os domínios necessários da Purple. Após reiniciar o roteador, o gerente de TI testa cada SSID e confirma a atribuição correta de VLAN por meio da tabela de concessão DHCP do roteador.

Comentário do examinador: Esta configuração separa corretamente três populações distintas de usuários usando o método de autenticação apropriado para cada uma. Os convidados usam um Captive Portal para captura de dados e consentimento em conformidade com a GDPR. A equipe usa 802.1X para acesso baseado em credenciais vinculado ao seu provedor de identidade existente, eliminando a necessidade de uma senha separada. O restaurante usa PPSK para isolar dispositivos de PDV sem exigir a configuração de cliente 802.1X em hardware headless. O backhaul cabeado garante que as tags VLAN sejam preservadas em todo o processo.

Uma rede de varejo com 80 lojas está enfrentando baixas taxas de conclusão do Captive Portal. Os relatórios analíticos mostram que 40% dos clientes que se conectam ao SSID de Guest WiFi nunca chegam à splash page. A rede usa roteadores DrayTek Vigor 2865 e pontos de acesso VigorAP 912C. O layout das lojas é grande, com pontos de acesso em ambas as extremidades do piso.

O administrador de rede investiga duas causas raiz. Primeiro, ele audita a configuração do Walled Garden em todos os 80 sites usando o VigorACS 3, a plataforma de gerenciamento central da DrayTek. Ele descobre que 23 sites não possuem dois dos domínios de autenticação exigidos pela Purple, fazendo com que a splash page expire para os clientes nessas redes. Ele atualiza os perfis de Hotspot centralmente via VigorACS 3. Segundo, ele ativa o AP-Assisted Mobility em todos os VigorAPs com um limite de RSSI de -75 dBm. Isso força os dispositivos dos clientes a fazer roaming para o AP mais próximo enquanto se movem pela loja, evitando o problema de 'sticky client' (cliente persistente) que fazia com que as sessões do Captive Portal caíssem no meio da autenticação. Após ambas as alterações, a taxa de conclusão do portal sobe de 60% para 89% em toda a rede de lojas.

Comentário do examinador: Este exemplo ilustra dois modos de falha distintos que se apresentam como baixas taxas de conclusão do portal. A configuração incorreta do Walled Garden impede totalmente o carregamento da splash page. O comportamento de 'sticky client' causa quedas de sessão no meio do fluxo. O gerenciamento central via VigorACS 3 é a abordagem correta para uma rede de vários sites — auditar manualmente 80 roteadores individualmente seria inviável. O AP-Assisted Mobility é o mecanismo específico da DrayTek que resolve o problema de roaming; depender de decisões de roaming do lado do cliente não é confiável em ambientes de varejo.

Questões práticas

Q1. Você configurou o Hotspot Web Portal da DrayTek e o apontou para a URL de acesso da Purple. As configurações de RADIUS estão corretas. No entanto, quando os clientes se conectam ao SSID de Guest WiFi, seus navegadores relatam um tempo limite de conexão (timeout) e a splash page nunca carrega. Qual é a causa mais provável e qual é o primeiro passo para diagnosticá-la?

Dica: Clientes em estado de pré-autenticação têm acesso à rede altamente restrito. Considere qual tráfego o roteador permite antes que a autenticação seja concluída.

Ver resposta modelo

A causa mais provável é uma configuração incompleta ou ausente do Walled Garden. O roteador DrayTek bloqueia todo o tráfego de clientes não autenticados, exceto para os domínios explicitamente listados na guia Dest Domain. Se os domínios de autenticação da Purple não estiverem listados, o navegador do cliente não conseguirá alcançar o servidor da splash page. O primeiro passo de diagnóstico é navegar até o Perfil de Hotspot, acessar a guia Dest Domain e verificar se todos os domínios exigidos pela Purple estão presentes. Faça o cruzamento de informações com a Lista de Permissões de Domínios do Walled Garden da Purple na documentação de suporte. Uma verificação secundária é confirmar se o DNS está resolvendo corretamente para clientes pré-autenticados.

Q2. Um espaço de coworking tem 12 empresas membros compartilhando um único DrayTek Vigor 2865 e quatro pontos de acesso VigorAP 912C. Cada empresa precisa ser isolada das outras, mas o gerente do local deseja transmitir apenas um SSID para evitar poluir a lista de WiFi nos dispositivos dos membros. Como você projeta essa arquitetura?

Dica: Considere como a DrayTek lida com senhas exclusivas em um único SSID e qual configuração adicional é necessária para impor o isolamento entre as empresas.

Ver resposta modelo

Configure o WPA2-PPSK nos VigorAPs com um único SSID. Crie 12 VLANs no Vigor 2865, uma para cada empresa. Para cada empresa, crie uma entrada PPSK que vincule uma senha exclusiva aos endereços MAC dos dispositivos dessa empresa e os atribua à sua VLAN dedicada. Desative o roteamento inter-VLAN na Tabela de Roteamento Inter-LAN para evitar o tráfego entre empresas. Os dispositivos de cada empresa se conectam ao mesmo SSID usando sua senha exclusiva, e o VigorAP os coloca automaticamente em sua VLAN isolada. Para empresas com vários dispositivos, cada dispositivo precisa de sua própria entrada PPSK com seu endereço MAC específico e a senha compartilhada da empresa.

Q3. Após uma atualização de firmware de rotina em um DrayTek Vigor 2865, os membros da equipe relatam que seus laptops não conseguem mais se conectar ao SSID de Staff WiFi. O SSID está visível, mas a autenticação falha. O Guest WiFi continua funcionando normalmente. Quais são as três causas mais prováveis e em que ordem você deve investigá-las?

Dica: O Guest WiFi usa um mecanismo de autenticação diferente do Staff WiFi. Isole qual camada da pilha 802.1X apresentou falha.

Ver resposta modelo

As três causas mais prováveis são: (1) A atualização de firmware redefiniu a configuração do servidor RADIUS para o SSID WPA2/802.1X — navegue até Wireless LAN > Security, confirme se o IP do servidor RADIUS e o segredo compartilhado ainda estão corretos e reinicie se fizer alguma alteração. (2) A atualização de firmware alterou o método EAP ou as configurações de porta RADIUS — verifique se a porta 1812 ainda está configurada e se o roteador consegue alcançar o servidor RADIUS da Purple nessa porta. (3) A atualização de firmware introduziu uma alteração de certificado que está fazendo com que a validação EAP-TLS falhe nos dispositivos clientes — verifique o painel da Purple em busca de entradas de log de autenticação para ver se as solicitações estão chegando ao servidor. Investigue nesta ordem: primeiro a configuração do RADIUS (mais comum após uma atualização de firmware), depois a conectividade de rede com o servidor RADIUS e, por fim, problemas de certificado ou método EAP.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).