Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

📖 9 min de leitura📝 2,079 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo à Série de Briefings Técnicos da Purple. Sou o vosso anfitrião e hoje vamos abordar um padrão de implementação que se está a tornar cada vez mais comum em hotéis, retalho e propriedades multi-tenant: a integração de pontos de acesso Grandstream GWN com a plataforma de WiFi de convidados da Purple.

Se é um MSP, uma equipa de TI interna ou um arquiteto de rede a quem foi confiada uma implementação de Grandstream GWN com o pedido de adicionar um Captive Portal personalizado com analítica, este episódio é para si. Vamos cobrir todo o ecossistema: redirecionamento da página de entrada (splash page) de convidados, configuração de walled garden, WiFi seguro para funcionários utilizando 802.1X e segmentação multi-tenant utilizando a funcionalidade Private Pre-Shared Key da Grandstream. Vamos a isso.

---

Primeiro, um pouco de contexto. A série GWN da Grandstream é uma gama sólida de pontos de acesso para o mercado médio. Temos o GWN7600 e o GWN7630 para implementações em interiores, o GWN7660 e o GWN7664 para ambientes Wi-Fi 6, e o GWN7610 como uma opção de montagem no teto para espaços de maior densidade. São geridos através do GWN Manager, que é um controlador local que instala num servidor Linux ou Windows, ou através do GWN ponto Cloud, que é a plataforma de gestão alojada na nuvem da Grandstream, agora renomeada como GDMS Networking.

A boa notícia para os MSPs é que ambas as plataformas de gestão suportam a configuração de Captive Portal nativamente. Pode criar a política do portal, personalizar a splash page e associá-la a um SSID inteiramente dentro do GWN Manager ou do GWN ponto Cloud. Mas para implementações empresariais onde necessita de captura de dados em conformidade com o GDPR, automação de marketing e analítica em tempo real, irá substituir esse portal nativo por uma plataforma externa. É aí que entra a Purple.

A Purple opera como uma sobreposição na nuvem (cloud overlay). Fica posicionada acima do seu hardware e fornece o Captive Portal, a camada de autenticação RADIUS, o motor de analítica e as ferramentas de marketing. A Purple suporta 80.000 locais ativos e processou 440 milhões de inícios de sessão apenas em 2024, pelo que a plataforma está mais do que comprovada em grande escala. A integração com o Grandstream GWN segue a mesma abordagem baseada em padrões que a Purple utiliza em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi.

---

Vamos entrar na arquitetura técnica. O fluxo de WiFi de convidados no Grandstream GWN com a Purple funciona da seguinte forma.

Um convidado liga-se ao seu SSID de convidados. O seu dispositivo envia um pedido HTTP para qualquer website. O ponto de acesso GWN intercepta esse pedido e emite um redirecionamento HTTP 302 para o URL do portal da Purple. O convidado acede à sua splash page personalizada, alojada pela Purple. Autentica-se, seja por e-mail, login social, verificação por SMS ou um formulário personalizado. A plataforma da Purple valida essa autenticação, regista o consentimento e os dados em conformidade com o GDPR e, em seguida, envia um RADIUS Access-Accept de volta para o ponto de acesso GWN. O AP concede acesso à Internet. Todo o fluxo demora cerca de três a cinco segundos desde a ligação até ao acesso à Internet.

Agora, os principais componentes de configuração do lado da Grandstream são: a política de Captive Portal, as definições da splash page, o walled garden e a associação do SSID. Deixe-me explicar cada um deles.

---

Passo um: configure a política de Captive Portal no GWN Manager ou no GWN ponto Cloud.

Navegue até Captive Portal, depois Policy List, e crie uma nova política. Dê-lhe um nome descritivo, algo como "Purple-Guest-Portal". Defina o Tipo de Autenticação para Servidor RADIUS. Verá então os campos para Endereço do Servidor RADIUS, Porta do Servidor RADIUS e Segredo do Servidor RADIUS. Introduza o endereço IP do servidor RADIUS da Purple e a porta 1812 para autenticação. O seu segredo partilhado provém da consola de administração do portal da Purple, na secção de configuração de hardware do local. Defina o Método de Autenticação RADIUS para PAP, que é o que o fluxo de Captive Portal da Purple utiliza.

Em Landing Page, defina para Redirecionar para Página Externa e introduza o URL de redirecionamento do portal da Purple. Este é o URL para o qual os convidados serão enviados quando se ligarem pela primeira vez. Mais uma vez, este provém da sua consola de administração da Purple.

Defina o tempo de Expiração para corresponder à política de sessão do seu local. Para um hotel, 24 horas é o habitual. Para um local de conferências, pode definir para a duração do evento. Para um ambiente de retalho, duas a quatro horas é o comum.

Ative o Modo Failsafe. Isto é importante. Se o ponto de acesso GWN não conseguir contactar o servidor RADIUS da Purple, o modo failsafe concede acesso à Internet de qualquer forma, em vez de bloquear todos os convidados. Para a maioria das implementações em hotelaria e retalho, uma breve interrupção do RADIUS não deve resultar na perda de conectividade de todos os convidados.

---

Passo dois: configure o walled garden.

O walled garden é a lista de domínios e endereços IP aos quais os convidados podem aceder antes de se autenticarem através do portal. Se errar aqui, os convidados verão uma página em branco ou um portal quebrado, e culparão o WiFi.

No GWN Manager, o walled garden é configurado sob a política de Captive Portal como Pre-Authentication Rules. Adicione os seguintes domínios como regras de permissão: o domínio do portal da Purple, que é portal ponto purple ponto ai; quaisquer domínios de CDN dos quais a splash page da Purple carrega recursos, incluindo cloudfront ponto net utilizando uma entrada wildcard; o endpoint de deteção de Captive Portal da Apple, captive ponto apple ponto com; e o endpoint de verificação de conectividade da Google, connectivitycheck ponto gstatic ponto com.

O portal de suporte da Purple tem um gerador dinâmico de walled garden em support ponto purple ponto ai. Selecione Grandstream da lista de hardware, escolha os seus métodos de autenticação e este gera a lista exata de domínios de que necessita. Utilize essa lista. Não tente construí-la manualmente do zero.

Uma decisão que precisa de tomar: inclui ou não o captive ponto apple ponto com no walled garden? Se o incluir, os dispositivos iOS não mostrarão o mini-browser Captive Network Assistant automaticamente. Os convidados precisarão de abrir um browser manualmente para aceder ao portal. Se o excluir, o iOS abre o mini-browser automaticamente quando o dispositivo se liga. Para a maioria das implementações em hotelaria, pretende que o mini-browser apareça, por isso deixe o captive ponto apple ponto com fora do walled garden.

---

Passo três: configure o SSID.

No GWN Manager, navegue até SSID e edite o seu SSID de convidados. Ative o Captive Portal e selecione a política que acabou de criar. Defina o SSID para WPA2-Personal com uma palavra-passe simples, ou configure-o como um SSID aberto se o seu local preferir essa abordagem. A segurança neste fluxo provém da autenticação do portal, não da palavra-passe do WiFi.

Ative o Isolamento de Clientes (Client Isolation). Isto impede que os convidados vejam os dispositivos uns dos outros na rede. É um requisito básico de segurança e uma consideração do PCI DSS se o seu local processar pagamentos com cartão na mesma infraestrutura.

Atribua o SSID à sua VLAN de convidados. A VLAN 10 é uma convenção comum para o tráfego de convidados. Certifique-se de que o seu switch e router a montante estão configurados para encaminhar essa VLAN para a Internet com as regras de firewall adequadas.

---

Agora vamos falar sobre o WiFi de funcionários utilizando 802.1X.

O IEEE 802.1X é o padrão para controlo de acesso à rede baseado em portas. Para o WiFi de funcionários, substitui a chave pré-partilhada comum por credenciais por utilizador, validadas num fornecedor de identidade. Quando um funcionário se liga, o ponto de acesso GWN atua como o autenticador, o seu dispositivo é o suplicante e o servidor RADIUS da Purple é o servidor de autenticação.

No GWN Manager, crie um SSID separado para os funcionários. Defina o Modo de Segurança para WPA2-Enterprise, o que ativa o 802.1X. Configure as definições do servidor RADIUS com o IP RADIUS da Purple, a porta 1812 e o seu segredo partilhado. Ative o RADIUS Accounting na porta 1813 para obter um registo de auditoria completo de quem se ligou, quando e por quanto tempo. Este registo de auditoria é o que necessita para a conformidade com o GDPR e para responder a quaisquer incidentes de segurança.

Para o método EAP, tem duas opções principais. O EAP-TLS utiliza certificados digitais tanto no servidor como no dispositivo cliente. É a opção mais segura, mas requer uma plataforma de Gestão de Dispositivos Móveis (MDM) para enviar os certificados para os dispositivos dos funcionários. Se tiver o Microsoft Intune ou o Jamf, o EAP-TLS é a escolha certa.

PEAP, que significa Protected EAP, utiliza um nome de utilizador e palavra-passe dentro de um túnel TLS encriptado. É mais fácil de implementar, particularmente para ambientes BYOD, mas deve garantir que os funcionários são instruídos para não aceitarem avisos de certificado. Um ponto de acesso falso pode recolher credenciais PEAP se os utilizadores ignorarem os erros de certificado.

Ative a atribuição dinâmica de VLAN nas definições do SSID. Quando esta opção está ativa, o servidor RADIUS pode retornar um ID de VLAN no pacote Access-Accept, e o AP GWN colocará o dispositivo de ligação nessa VLAN. Isto significa que pode ter um único SSID de funcionários mas segmentar automaticamente a equipa de TI para a VLAN 20, a gestão para a VLAN 21 e os dispositivos de ponto de venda para a VLAN 40, tudo com base na identidade do utilizador no diretório da Purple.

Os atributos RADIUS para VLAN dinâmica são: Tunnel-Type definido para VLAN, que é o valor de atributo 13; Tunnel-Medium-Type definido para IEEE-802, que é o valor de atributo 6; e Tunnel-Private-Group-ID definido para o número da VLAN como uma string. Estes três atributos no pacote Access-Accept são tudo o que o AP GWN necessita para direcionar o dispositivo para a VLAN correta.

---

Agora, a funcionalidade que é particularmente relevante para propriedades multi-tenant: as Private Pre-Shared Keys da Grandstream, ou PPSK.

O PPSK é um mecanismo que permite que um único SSID suporte múltiplas palavras-passe exclusivas, cada uma mapeada para uma VLAN ou política de rede diferente. Pense num bloco de apartamentos de arrendamento, num espaço de co-working ou num edifício de escritórios partilhados. Pretende um único SSID visível para todos, mas cada inquilino recebe a sua própria palavra-passe que o coloca no seu próprio segmento de rede isolado.

No GWN Manager, o PPSK é configurado sob as definições do SSID. Defina o Modo de Segurança para WPA2-Personal e, em seguida, ative o PPSK. Pode então criar entradas PSK individuais, cada uma com uma palavra-passe exclusiva e um ID de VLAN associado. Quando um dispositivo se liga utilizando a palavra-passe do Inquilino A, o AP coloca-o na VLAN 31. Quando um dispositivo utiliza a palavra-passe do Inquilino B, entra na VLAN 32. Os inquilinos partilham o mesmo SSID mas estão completamente isolados uns dos outros na camada de rede.

Para implementações maiores, a Grandstream também suporta PPSK com backend RADIUS. Neste modo, o AP envia o PSK como um atributo RADIUS para o servidor de autenticação, que o valida e retorna a atribuição de VLAN apropriada. É aqui que a funcionalidade Identity-Based Networks da Purple se integra diretamente. A Purple pode gerir a base de dados PPSK, validar chaves no seu diretório e retornar atribuições dinâmicas de VLAN, proporcionando-lhe uma gestão centralizada de centenas de credenciais de inquilinos a partir de uma única plataforma.

O atributo RADIUS utilizado para a validação de PPSK é normalmente o atributo Tunnel-Password, ou um atributo específico do fabricante, dependendo da versão do firmware. Verifique as notas de lançamento da Grandstream para o seu firmware específico, uma vez que o mapeamento de atributos tem evoluído ao longo das versões do GWN Manager.

---

Deixe-me abordar os dois modos de falha mais comuns que vejo em implementações da Grandstream com portais externos.

O primeiro é o redirecionamento não funcionar. Um convidado liga-se ao SSID, abre um browser e recebe um erro de "site inacessível" em vez da página do portal. A causa mais provável é uma configuração incorreta do walled garden. A própria página do portal está a ser bloqueada na pré-autenticação. Abra as ferramentas de programador do seu browser num dispositivo de teste ligado ao SSID de convidados, analise o separador de rede e identifique quais os pedidos que estão a falhar. Adicione esses domínios às suas regras de pré-autenticação.

O segundo modo de falha é o tempo de espera esgotado (timeout) do RADIUS. O AP envia um Access-Request para o servidor RADIUS da Purple e não obtém resposta. Isto normalmente significa que uma firewall está a bloquear a porta UDP 1812 de saída da VLAN de gestão do AP para a gama de IPs RADIUS da Purple. Verifique as suas regras de firewall. Os endereços IP RADIUS da Purple estão documentados na consola de administração da Purple sob as definições do local. Certifique-se de que ambos os IPs RADIUS, primário e secundário, são permitidos.

Um terceiro que vale a pena mencionar: a VLAN Dinâmica não funciona. Os funcionários ligam-se e entram na VLAN errada. A causa mais comum é que a opção 'Enable Dynamic VLAN' não está selecionada nas definições do SSID no GWN Manager. É uma única caixa de seleção que é fácil de esquecer. A segunda causa é uma incompatibilidade do segredo partilhado. Se o segredo partilhado no AP não corresponder ao configurado na Purple, o AP descarta silenciosamente a resposta RADIUS e reverte para a VLAN predefinida.

---

Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto.

Cenário um: um hotel de 120 quartos. O hotel utiliza pontos de acesso GWN7660 geridos através do GWN ponto Cloud. Necessitam de um Captive Portal personalizado para convidados, uma rede segura para funcionários para a receção e limpeza, e uma VLAN de gestão separada para o sistema de gestão de propriedade.

A configuração utiliza três SSIDs: Guest WiFi na VLAN 10 com a política de Captive Portal da Purple; Staff WiFi na VLAN 20 com WPA2-Enterprise e autenticação PEAP contra o RADIUS da Purple; e um SSID Management oculto na VLAN 30 para terminais PMS. A atribuição dinâmica de VLAN no SSID de funcionários significa que os dispositivos de limpeza entram na VLAN 21 com acesso restrito à Internet, enquanto os dispositivos da receção entram na VLAN 20 com acesso total. O painel de analítica da Purple mostra ao operador do hotel a contagem diária de convidados, a duração das sessões e as taxas de aceitação para marketing, fornecendo à equipa de marketing os dados de que necessitam para realizar campanhas direcionadas.

Cenário dois: um bloco de apartamentos de arrendamento de 40 frações. O operador utiliza pontos de acesso GWN7630 com o GWN Manager local. Cada apartamento necessita da sua própria rede isolada. O operador utiliza PPSK com backend RADIUS. A Purple gere 40 credenciais exclusivas de inquilinos, cada uma mapeada para uma VLAN dedicada. Os residentes ligam-se ao SSID único "BuildingConnect" utilizando a palavra-passe da sua fração. O portal da Purple lida com o fluxo inicial de integração, recolhe o consentimento do residente e fornece ao operador analítica de ocupação e dados de envolvimento. Quando um residente se muda, o operador revoga a sua credencial PPSK na consola de administração da Purple e o acesso é imediatamente terminado. Não há necessidade de alterar a palavra-passe do SSID ou reconfigurar os APs.

---

Perguntas rápidas. Três perguntas que me fazem constantemente sobre implementações da Grandstream.

Pergunta um: Posso utilizar o GWN ponto Cloud em vez do GWN Manager para a integração com a Purple? Sim. A configuração do Captive Portal no GWN ponto Cloud é funcionalmente idêntica à do GWN Manager. Os caminhos dos menus são os mesmos. As definições de RADIUS e walled garden estão nos mesmos locais. O GWN ponto Cloud é a melhor escolha para MSPs que gerem múltiplos locais, uma vez que obtêm uma visão centralizada (single pane of glass) de todas as implementações.

Pergunta dois: A Purple suporta a analítica nativa da Grandstream juntamente com a sua própria? A Purple substitui a analítica nativa do Captive Portal pelo seu próprio conjunto de dados mais detalhado. Obtém contagens de sessões, tempos de permanência, taxas de aceitação, dados demográficos dos campos de formulário e integração com plataformas de marketing. A analítica nativa do GWN para desempenho de RF, estado do AP e contagem de clientes continua disponível no GWN Manager ou no GWN ponto Cloud juntamente com a analítica de portal da Purple.

Pergunta três: De que versão de firmware necessito nos APs GWN para PPSK com RADIUS? O PPSK com backend RADIUS requer o firmware GWN 1.0.19 ou superior na série GWN76xx. Verifique as notas de lançamento da Grandstream antes da implementação. Executar firmware desatualizado é a causa mais comum de comportamento inesperado em implementações de PPSK.

---

Para concluir. A integração de pontos de acesso Grandstream GWN com a Purple é uma implementação simples quando segue a sequência correta. Configure primeiro as definições do seu servidor RADIUS na política de Captive Portal. Construa o seu walled garden utilizando a ferramenta geradora de domínios da Purple. Associe a política ao seu SSID de convidados e ative o isolamento de clientes. Para o WiFi de funcionários, ative o WPA2-Enterprise com atribuição dinâmica de VLAN. Para propriedades multi-tenant, utilize PPSK com backend RADIUS e gira as credenciais centralmente através da Purple.

As cinco coisas a acertar: RADIUS em UDP 1812 com um segredo partilhado correspondente; o walled garden a cobrir todos os domínios de recursos do portal; o isolamento de clientes ativado no SSID de convidados; a VLAN dinâmica ativada nas definições do SSID; e o firmware PPSK na versão 1.0.19 ou superior.

Acerte nestas cinco e terá uma implementação sólida e escalável que servirá o seu local durante anos. A equipa de integração da Purple pode validar a sua configuração antes de entrar em produção, e o tempo de atividade de 99,999% da plataforma significa que não terá de explicar falhas no portal aos hóspedes do hotel às duas da manhã.

Obrigado por ouvir. Para mais guias técnicos sobre integrações de WiFi empresarial, visite purple ponto ai. No próximo episódio, abordaremos a atribuição dinâmica de VLAN com o Microsoft Entra ID e a funcionalidade SecurePass da Purple. Até lá.

Principais Conclusões

✓Os pontos de acesso Grandstream GWN integram-se com a Purple via RADIUS (UDP 1812/1813) e redirecionamento HTTP 302 para fornecer Captive Portals seguros e personalizados para WiFi de convidados.
✓O walled garden (Pre-Authentication Rules) deve incluir todos os domínios do portal da Purple e recursos de CDN; utilize a ferramenta geradora dinâmica da Purple em support.purple.ai em vez de construir a lista manualmente.
✓Copie e cole sempre o segredo partilhado do RADIUS diretamente da consola de administração da Purple — uma única incompatibilidade de caracteres causa perdas silenciosas de pacotes que se apresentam como tempos de espera esgotados (timeouts), e não como erros de autenticação.
✓Ative a VLAN Dinâmica nas definições de SSID para permitir que o servidor RADIUS da Purple direcione os funcionários autenticados para o segmento de rede correto utilizando os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID.
✓O PPSK da Grandstream com backend RADIUS permite o isolamento multi-tenant a partir de um único SSID; requer o firmware GWN 1.0.19 ou superior e gestão centralizada de credenciais através da Purple.
✓Ative sempre o Isolamento de Clientes (Client Isolation) nos SSIDs de convidados para evitar movimentos laterais entre dispositivos e cumprir os requisitos do PCI DSS para locais que processam pagamentos com cartão.
✓O tempo de atividade de 99,999% da Purple e as certificações ISO 27001, GDPR, CCPA e Cyber Essentials tornam-na uma escolha em conformidade para implementações empresariais e do setor público em hardware Grandstream.

執行摘要

在企業級場域部署高效能無線網路，需要在無縫的使用者體驗與強大的技術安全之間取得平衡。對於使用 Grandstream GWN 架構的組織（涵蓋飯店、零售業到多租戶物業）而言，Grandstream Captive Portal 是使用者互動與存取控制的主要閘道。本指南提供逐步操作手冊，協助您將 Grandstream GWN 存取點與 Purple 的 Guest WiFi 和 WiFi Analytics 平台進行整合。

透過從基本的預共用金鑰升級為基於 RADIUS 的驗證與身分識別網路（Identity-Based Networks），您可以為訪客、員工和租戶提供安全且區隔的存取權限。本指南涵蓋關鍵的設定元件：RADIUS AAA 設定、HTTP 302 重新導向、圍牆花園（walled garden）例外規則、動態 VLAN 導向，以及 Private Pre-Shared Key (PPSK) 多租戶隔離。Purple 在全球超過 80,000 個實體場域運作，並在 2024 年處理了 4.4 億次登入（Purple 內部數據），證實該平台具備成熟的大規模運作能力。

技術深度解析

整合架構

Grandstream GWN 硬體與 Purple 之間的整合仰賴業界標準的 RADIUS 和 HTTP 重新導向協定。當使用者連線至訪客 SSID 時，GWN 存取點會攔截其初始 HTTP 請求，並向 Purple 託管的 Captive Portal URL 發送 HTTP 302 重新導向。使用者透過電子郵件、社群媒體登入、簡訊或自訂表單完成驗證後，Purple 會驗證該工作階段，並透過 UDP 連接埠 1812 將 RADIUS Access-Accept 封包傳回存取點，進而授予網路存取權限。RADIUS Accounting 則在 UDP 連接埠 1813 上執行，為 GDPR 和 PCI DSS 合規性提供完整的工作階段稽核軌跡。

Grandstream GWN 存取點可透過兩種平台之一進行管理。GWN Manager 是安裝在 Linux 或 Windows 伺服器上的地端控制器，適用於單一場域部署以及有數據主權需求的組織。GDMS Networking（前身為 GWN.Cloud）是 Grandstream 的雲端託管管理平台，深受需要從單一介面管理多個場域的 MSP 喜愛。這兩個平台提供完全相同的 Captive Portal 和 SSID 設定選項。

針對員工和租戶網路，架構則轉向 IEEE 802.1X 和 PPSK。在 802.1X 部署中，存取點充當驗證器，在連線裝置與 Purple 的 RADIUS 伺服器之間代理可延伸驗證協定（EAP）訊息。Purple 會比對其目錄驗證憑證，並可傳回廠商特定屬性（VSA）以動態將裝置導向至特定的 VLAN。這就是實務中的身分識別網路：單一 SSID、多個網路區段，完全由使用者身分決定。

針對多租戶環境，Grandstream 的 PPSK 功能允許單一 SSID 支援多個不重複的密碼。與 RADIUS 後端整合時，存取點會將輸入的 PSK 傳送至 Purple 進行驗證，從而實現集中式憑證管理和動態網路區隔，而無需廣播數十個 SSID。搭配 RADIUS 後端的 PPSK 功能需要在 GWN76xx 系列上使用 GWN 韌體版本 1.0.19 或更高版本。

用於動態 VLAN 導向的 RADIUS 屬性

動態 VLAN 指派是由 Access-Accept 封包中傳回的三個標準 IETF RADIUS 屬性所控制。這些屬性必須在 Purple 的 RADIUS 使用者設定檔中針對每個角色或租戶進行設定：

屬性	值	說明
Tunnel-Type (64)	13 (VLAN)	將通道類型指定為 VLAN
Tunnel-Medium-Type (65)	6 (IEEE-802)	將介質指定為 IEEE 802
Tunnel-Private-Group-ID (81)	例如 "20"	目標 VLAN ID（字串格式）

Access-Accept 回應中必須同時存在這三個屬性。若缺少任何一個，GWN 存取點將忽略 VLAN 導向指令，並將裝置置於預設 VLAN 中。

實作指南

步驟 1：設定 Captive Portal 策略

無論您使用 GWN Manager 還是 GDMS Networking，請導覽至 Captive Portal > Policy List 並建立新策略。下表彙整了 Purple 整合所需的設定：

欄位	值	備註
Policy Name	Purple-Guest-Portal	使用具描述性的名稱
Authentication Type	RADIUS Server	啟用 RADIUS 驗證流程
RADIUS Server Address	[來自 Purple 管理主控台]	主要 RADIUS IP
RADIUS Server Port	1812	標準 RADIUS 驗證連接埠
RADIUS Server Secret	[來自 Purple 管理主控台]	完整複製並貼上
RADIUS Auth Method	PAP	Purple Captive Portal 所需
Landing Page	Redirect to External Page	啟用外部入口網站重新導向
Redirect URL	[來自 Purple 管理主控台]	您專屬的入口網站 URL
Expiration	24h（飯店）/ 4h（零售）	配合您的工作階段策略
Failsafe Mode	Enabled	若無法連線至 RADIUS 則授予存取權限

啟用 Failsafe Mode。如果 GWN 存取點無法連線至 Purple 的 RADIUS 伺服器，容錯安全模式將授予網際網路存取權限，而非阻擋所有訪客。對於飯店和零售業部署，短暫的 RADIUS 中斷應不應導致所有訪客失去連線。

步驟 2：設定 Walled Garden

Walled Garden 定義了裝置在進行驗證前可以存取的網域。未設定完整的 Walled Garden 是導致 Portal 頁面載入失敗最常見的原因。在 GWN Manager 中，Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中進行設定。

您至少必須包含：Purple Portal 網域 (portal.purple.ai)、CDN 資源網域 (*.cloudfront.net) 以及 Google 的連線檢查端點 (connectivitycheck.gstatic.com)。若要使用社群媒體登入，請新增相關社群平台的網域。

針對 captive.apple.com 的處理是刻意設計的。排除它可以讓裝置連線時自動觸發 iOS Captive Network Assistant (CNA) 迷你瀏覽器。如果您希望訪客手動開啟瀏覽器，則將其納入。對於大多數旅宿業部署，將其排除能提供更好的訪客體驗。

請使用位於 support.purple.ai 的 Purple 動態 Walled Garden 產生器。從硬體清單中選擇 Grandstream，選擇您的驗證方式，該工具就會產生您所需的確切網域清單。請勿手動建立此清單。

步驟 3：將 Captive Portal 與訪客 SSID 關聯

導覽至 SSID 設定並編輯您的訪客網路。啟用 Captive Portal 功能並選擇您建立的策略。將 SSID 指派給您指定的訪客 VLAN（通常慣用 VLAN 10）。啟用 Client Isolation（用戶端隔離）以防止訪客裝置互相通訊 — 這是任何處理刷卡交易的場所的基本安全要求，也是 PCI DSS 的考量因素。

步驟 4：使用 802.1X 設定安全的員工 WiFi

為員工建立一個獨立的 SSID。將安全模式設定為 WPA2-Enterprise 以啟用 IEEE 802.1X。將 RADIUS 伺服器設定指向 Port 1812 上的 Purple，並在 Port 1813 上啟用 RADIUS Accounting。此記帳數據提供了 GDPR 合規性和安全性事件回應所需的稽核軌跡。

針對 EAP 方法，請根據您的裝置管理能力進行選擇。EAP-TLS 使用雙向憑證驗證 — 這是最安全的選項，能完全消除憑證被盜的風險，但需要行動裝置管理平台（Microsoft Intune 或 Jamf）將憑證推送到裝置。PEAP 在加密的 TLS 通道內使用使用者名稱和密碼，對於 BYOD 環境較易部署，但需要對員工進行憑證警告相關的培訓。

在 SSID 設定中啟用 Dynamic VLAN。Purple 的 RADIUS 伺服器將回傳三個通道屬性，以將每個通過驗證的裝置引導至其指定的 VLAN。IT 員工進入 VLAN 20，管理階層進入 VLAN 21，POS 終端機進入 VLAN 40 — 全部來自同一個 SSID，完全由身分驅動。

如需有關員工網路策略的進一步指引，請參閱員工 WiFi 條款與細則：法律與合規要點。

步驟 5：設定多租戶 PPSK

針對多租戶環境，建立一個使用 WPA2-Personal 安全性的 SSID 並啟用 PPSK。若要使用 Purple 作為 PPSK 驗證的 RADIUS 後端，請在 SSID 的 PPSK 區段中設定 RADIUS 伺服器設定。Purple 會管理 PSK 資料庫、驗證每個金鑰並回傳適當的 VLAN 指派。

每個租戶都會收到一個專屬密碼。當他們連線時，AP 會將 PSK 傳送給 Purple，Purple 則回傳正確的 VLAN ID。租戶 A 進入 VLAN 31，租戶 B 進入 VLAN 32。他們共用相同的 SSID，但在網路層完全隔離。當租戶搬離時，直接在 Purple 的管理主控台中撤銷其憑證。存取權限會立即終止，無需重新設定 AP。

如需深入瞭解企業級 WiFi 安全架構，請參閱企業級 WiFi 安全性：2026 年完整指南。

最佳實踐

務必設定 RADIUS Accounting。 在訪客和員工 SSID 的 Port 1813 上啟用記帳。記帳數據能為 Purple 的分析儀表板提供工作階段持續時間和造訪頻率，並提供 GDPR 要求的稽核軌跡。若沒有記帳，您只有驗證記錄，而沒有工作階段記錄。

複製並貼上共用金鑰。 RADIUS 共用金鑰不相符會導致無線基地台靜默丟棄封包。AP 會判定為逾時，而非驗證失敗。這是新部署中最常見的設定錯誤。請直接從 Purple 管理主控台複製金鑰。

使用 Purple 的 Walled Garden 產生器。 現代 Portal 頁面會從多個 CDN 網域、社群媒體登入 SDK 和分析指令碼載入資源。手動建立 Walled Garden 並不可靠。support.purple.ai 上的產生器會根據您的驗證方式納入所有必要的網域。

在無線基地台端隔離訪客流量。 用戶端隔離（Client Isolation）是任何訪客 SSID 不可妥協的基本要求。它能防止訪客裝置之間的橫向移動，且對於在相同網路基礎架構上處理刷卡交易的場所而言，是 PCI DSS 的合規要求。

在部署結合 RADIUS 的 PPSK 之前驗證韌體。 結合 RADIUS 後端的 PPSK 需要 GWN 韌體 1.0.19 或更高版本。執行過時的韌體是 PPSK 部署中出現非預期行為最常見的原因。請在部署前檢查韌體版本，而非部署後。

對於零售業部署，請確保您的訪客 SSID VLAN 與任何付款網路區段設有防火牆隔離。對於醫療保健環境，請確保患者或訪客 WiFi 與臨床系統隔離。對於交通運輸樞紐，請考慮與平均停留時間相符的工作階段過期策略。

疑難排解與風險緩釋

症狀：Splash Page 無法載入，回傳「無法連線至網站」錯誤。 Walled Garden 封鎖了 Portal 頁面的資源。請連線測試裝置，開啟瀏覽器開發者工具，檢查網路（Network）分頁，並找出被封鎖的要求。新增將失敗的網域新增至 Captive Portal 策略中的預先驗證規則（Pre-Authentication Rules）。

症狀：訪客已通過驗證，但存取點（AP）逾時並拒絕網際網路存取。 可能是防火牆阻擋了從 AP 的管理 VLAN 到 Purple 的 RADIUS IP 範圍的外網 UDP 1812 流量，或者是共享金鑰（shared secret）不相符。請先檢查防火牆規則。接著確認雙方的共享金鑰完全一致。

症狀：員工裝置進入了預設 VLAN，而非其獲分配的 VLAN。 SSID 設定中的「啟用動態 VLAN（Enable Dynamic VLAN）」核取方塊未勾選。這是一個很容易被忽略的單一核取方塊。第二個原因則是共享金鑰不相符，導致 AP 默默忽略了 RADIUS 回應。

症狀：iOS 裝置未顯示 Captive Portal 迷你瀏覽器。 captive.apple.com 網域被包含在圍牆花園（walled garden）中。iOS 裝置在連線時會探測此網域。如果收到 200 回應，它會判定網際網路已可存取，因而不會觸發 CNA。請將其從圍牆花園中移除，以恢復自動 CNA 行為。

症狀：PPSK 租戶進入了錯誤的 VLAN。 請確認 GWN 韌體版本為 1.0.19 或更高版本。確認 PPSK RADIUS 後端已啟用且共享金鑰相符。檢查 Purple 的 PSK RADIUS 使用者設定檔是否傳回正確的 Tunnel-Private-Group-ID 屬性。

投資報酬率（ROI）與業務影響

將 Grandstream GWN 硬體與 Purple 整合，能將 WiFi 從沉沒成本轉化為可衡量的企業資產。透過將一般開放式網路替換為經身分驗證的 Captive Portal，場域得以收集第一方數據並推動會員計畫成長。Purple 已在其網路中收集了 290 億個數據點（Purple 內部數據），為營運商提供了衡量自身表現的基準。

在旅宿業環境中，Purple 的分析功能可讓訪客造訪頻率、停留時間和同意訂閱率（opt-in rates）一目了然。使用 Purple Engage 方案的飯店營運商可以針對回訪訪客進行細分，以開展精準行銷活動，進而提高直接訂房率並減少對 OTA（線上旅行社）的依賴。在零售業環境中，來自 WiFi 數據的人流量分析能讓店長將客流模式與銷售業績進行關聯分析。

802.1X 和 PPSK 的實施透過自動化網路存取控制，降低了 IT 服務台的維運開銷。免除共享密碼消除了定期更換密碼的營運成本，也降低了憑證共享的安全風險。對於多租戶營運商而言，PPSK 搭配 Purple 的集中式管理，意味著啟用新租戶只需幾分鐘，而非數小時。

Purple 的 99.999% 可用性（Purple 內部數據）以及 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證，意味著該平台符合最嚴苛的企業與公共部門營運商的合規要求。如需完整了解訪客 WiFi 分析功能，請參閱 WiFi Analytics 。

Definições Principais

Captive Portal

Uma página web que intercepta o tráfego HTTP não autenticado de um dispositivo ligado, forçando o utilizador a interagir ou a autenticar-se antes de conceder acesso à Internet. O Captive Portal da Grandstream utiliza o redirecionamento HTTP 302 para enviar os utilizadores para um URL de portal externo.

O mecanismo principal para a captura de dados de convidados, aceitação dos termos de serviço e controlo de acesso em locais públicos.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que opera sobre UDP e que fornece gestão centralizada de Autenticação, Autorização e Contabilidade (AAA). A autenticação corre na porta 1812, a contabilidade na porta 1813.

O motor de backend que valida as credenciais tanto para Captive Portals como para redes empresariais 802.1X. A Purple opera servidores RADIUS com os quais os pontos de acesso GWN comunicam diretamente.

Walled garden

Uma lista predefinida de endereços IP e domínios aos quais um dispositivo pode aceder antes de concluir o processo de autenticação do Captive Portal. Configurado como Pre-Authentication Rules no GWN Manager.

Essencial para permitir que os dispositivos carreguem os recursos da página do portal, recursos de CDN, endpoints de login social e sondas de deteção de Captive Portal do sistema operativo.

IEEE 802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se ligam a uma LAN ou WLAN. Utiliza EAP para trocar credenciais entre o dispositivo (suplicante) e o servidor RADIUS (servidor de autenticação) através do ponto de acesso (autenticador).

Substitui as palavras-passe partilhadas por credenciais por utilizador para um acesso seguro ao WiFi de funcionários e corporativo. Necessário para redes de funcionários em conformidade com o GDPR e PCI DSS.

PPSK

Private Pre-Shared Key; uma funcionalidade que permite que um único SSID suporte múltiplas palavras-passe exclusivas, cada uma associada a políticas de rede ou VLANs específicas. O Grandstream GWN suporta PPSK com armazenamento local ou validação de backend RADIUS.

Utilizado em ambientes multi-tenant, como apartamentos, espaços de coworking e escritórios partilhados, para isolar utilizadores sem transmitir múltiplos SSIDs.

Atribuição dinâmica de VLAN

O processo em que um servidor RADIUS retorna três atributos específicos no pacote Access-Accept (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para direcionar um dispositivo autenticado para uma VLAN designada. Deve ser explicitamente ativado nas definições de SSID do GWN.

Permite que as equipas de TI consolidem SSIDs enquanto mantêm uma segmentação de rede rigorosa para diferentes grupos de utilizadores, departamentos ou inquilinos.

Isolamento de clientes

Uma funcionalidade de segurança sem fios que impede que os dispositivos ligados ao mesmo ponto de acesso comuniquem diretamente entre si na Camada 2.

Uma configuração obrigatória para redes de convidados para proteger os utilizadores de ataques peer-to-peer e cumprir os requisitos do PCI DSS para locais que processam pagamentos com cartão.

EAP-PEAP

Protected Extensible Authentication Protocol; um método EAP 802.1X que encapsula a troca de autenticação dentro de um túnel TLS encriptado utilizando um nome de utilizador e palavra-passe. O túnel TLS externo protege as credenciais internas contra a interceção.

Comumente utilizado para redes de funcionários BYOD onde a implementação de certificados de cliente (EAP-TLS) não é operacionalmente viável. Requer formação dos funcionários sobre a validação de certificados para evitar ataques de APs falsos (rogue APs).

Modo Failsafe

Uma definição do Captive Portal do GWN que concede acesso à Internet aos dispositivos que se ligam se o ponto de acesso não conseguir contactar o servidor RADIUS configurado. Impede que uma falha do RADIUS bloqueie todo o acesso de convidados.

Recomendado para implementações em hotelaria e retalho onde a conectividade dos convidados é crítica para o negócio e uma breve interrupção do RADIUS não deve resultar numa interrupção total do serviço.

GWN Manager

A plataforma de gestão local de nível empresarial da Grandstream para pontos de acesso da série GWN. Instalada num servidor local Linux ou Windows, fornece configuração completa de Captive Portal, SSID, RADIUS e PPSK.

Preferido para implementações num único local e organizações com requisitos de soberania de dados. O GDMS Networking é o equivalente alojado na nuvem para implementações de MSPs em múltiplos locais.

Exemplos Práticos

Um hotel de 120 quartos precisa de implementar um portal de convidados personalizado, uma rede segura para funcionários com segmentação de VLAN ao nível do departamento para o serviço de limpeza (housekeeping) e receção, e uma VLAN de gestão separada para o sistema de gestão de propriedade (PMS). O hotel utiliza pontos de acesso Grandstream GWN7660 geridos através do GDMS Networking.

Configure três SSIDs no GDMS Networking. Primeiro, crie 'Guest WiFi' atribuído à VLAN 10. Crie uma política de Captive Portal com o Tipo de Autenticação definido para Servidor RADIUS, apontando para o IP RADIUS da Purple na porta 1812 com o segredo partilhado da consola de administração da Purple. Defina a Página de Destino (Landing Page) para Redirecionar para Página Externa com o URL do portal da Purple. Ative o Modo Failsafe e o Isolamento de Clientes (Client Isolation). Segundo, crie 'Staff WiFi' com segurança WPA2-Enterprise (802.1X). Configure o RADIUS na porta 1812 e o Accounting na porta 1813. Ative a VLAN Dinâmica. No diretório da Purple, configure as contas de limpeza para retornar Tunnel-Private-Group-ID = 21 e as contas da receção para retornar VLAN 20. Terceiro, crie um SSID 'Management' oculto na VLAN 30 com WPA2-Personal para os terminais PMS. Construa o walled garden utilizando a ferramenta geradora da Purple, excluindo captive.apple.com para acionar o CNA do iOS.

Comentário do Examinador: Esta arquitetura segmenta eficazmente três grupos de utilizadores distintos, minimizando a sobrecarga de SSIDs. A utilização de direcionamento dinâmico de VLAN para os funcionários elimina a necessidade de transmitir SSIDs separados para cada departamento, reduzindo a interferência de RF e simplificando o ambiente sem fios. O painel de analítica da Purple fornece ao operador do hotel a contagem diária de convidados, a duração das sessões e as taxas de aceitação (opt-in) de marketing, fornecendo à equipa de marketing dados acionáveis sem qualquer infraestrutura adicional.

Um bloco de apartamentos de arrendamento de 40 frações necessita de acesso isolado à rede para cada inquilino, com a capacidade de revogar instantaneamente o acesso quando um inquilino se muda. O operador utiliza pontos de acesso GWN7630 com o GWN Manager local (on-premise) e pretende minimizar o número de SSIDs visíveis no edifício.

Implemente um único SSID chamado 'BuildingConnect' com segurança WPA2-Personal e ative o PPSK com backend RADIUS. Certifique-se de que o firmware do GWN está na versão 1.0.19 ou superior. Configure as definições do servidor RADIUS na secção PPSK para apontar para a Purple. Na consola de administração da Purple, crie 40 credenciais PSK exclusivas, cada uma mapeada para uma VLAN (por exemplo, VLAN 101 para a Fração 101, VLAN 102 para a Fração 102). Quando um residente se liga utilizando a palavra-passe da sua fração, o AP GWN envia o PSK para a Purple, que o valida e retorna Tunnel-Private-Group-ID = 101. O residente entra na sua VLAN isolada. Quando um residente se muda, revogue a credencial na consola de administração da Purple. O acesso termina imediatamente sem qualquer reconfiguração do AP.

Comentário do Examinador: O PPSK com um backend RADIUS é a solução ideal para ambientes multi-tenant. Oferece aos residentes a simplicidade de uma palavra-passe WiFi padrão, ao mesmo tempo que proporciona um isolamento de nível empresarial. A gestão centralizada de credenciais na Purple significa que o operador pode escalar para centenas de frações sem gerir configurações individuais de SSID. A capacidade de revogação instantânea é uma vantagem operacional significativa em relação às implementações de PSK tradicionais, onde a alteração de uma palavra-passe partilhada perturbaria todos os residentes ligados.

Perguntas de Prática

Q1. Configurou a política de Captive Portal no GWN Manager com o IP RADIUS da Purple e o segredo partilhado corretos, mas os convidados estão a reportar um erro de 'site inacessível' quando o browser abre após a ligação ao SSID. Qual é a causa mais provável e como a diagnostica?

Dica: Considere o que controla quais os domínios a que um dispositivo pode aceder antes de se autenticar através do portal.

Ver resposta modelo

O walled garden (Pre-Authentication Rules) está incompleto ou mal configurado. O ponto de acesso está a bloquear o dispositivo de aceder ao domínio do portal da Purple ou aos recursos de CDN que a página do portal carrega. Para diagnosticar: ligue um dispositivo de teste ao SSID de convidados, abra as ferramentas de programador do browser, navegue até ao separador de rede e tente carregar o URL do portal. Identifique quais os pedidos que retornam erros de ligação. Adicione esses domínios às Pre-Authentication Rules. Utilize o gerador de walled garden da Purple em support.purple.ai para gerar a lista completa de domínios para o hardware Grandstream.

Q2. O seu hotel pretende que os convidados com iOS vejam automaticamente o mini-browser do Captive Portal assim que se ligam ao WiFi de convidados, sem necessidade de abrir um browser manualmente. Como configura o walled garden para alcançar isto?

Dica: Considere como o iOS determina se uma rede tem acesso à Internet quando se liga pela primeira vez.

Ver resposta modelo

Deve excluir captive.apple.com do walled garden. Quando um dispositivo iOS se liga a uma rede, este testa captive.apple.com. Se o teste receber uma resposta 200 OK (o que significa que o domínio está acessível), o iOS assume que a rede tem acesso à Internet e não aciona o mini-browser Captive Network Assistant (CNA). Se o teste for bloqueado ou redirecionado, o iOS reconhece a rede como cativa e abre automaticamente o CNA. Ao manter captive.apple.com fora do walled garden, o teste é interceptado e redirecionado, acionando o CNA automaticamente.

Q3. Um funcionário liga-se ao SSID 802.1X utilizando as suas credenciais. Os registos de autenticação da Purple mostram uma resposta Access-Accept bem-sucedida com os atributos corretos da VLAN 20. No entanto, o funcionário é colocado na VLAN 1 (a predefinida). Que definição do GWN Manager deve ser verificada?

Dica: O servidor RADIUS está a autorizar corretamente o utilizador e a retornar os atributos de VLAN. O problema está do lado do ponto de acesso.

Ver resposta modelo

A caixa de seleção 'Enable Dynamic VLAN' nas definições de SSID dentro do GWN Manager não está selecionada. Mesmo quando a Purple retorna os atributos corretos de Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID no pacote Access-Accept, o ponto de acesso GWN irá ignorá-los a menos que a VLAN Dinâmica esteja explicitamente ativada. Navegue até à configuração do SSID, localize a definição de Dynamic VLAN, ative-a e guarde. O funcionário deverá então ser colocado na VLAN correta na sua próxima ligação.

Q4. Um operador de arrendamento habitacional pretende implementar PPSK com a Purple como backend RADIUS nos seus pontos de acesso Grandstream GWN7630 com o firmware 1.0.17. Um inquilino reporta que consegue ligar-se ao SSID mas é colocado na VLAN errada. O que deve verificar primeiro?

Dica: Existem duas causas potenciais aqui: uma é um problema de versão de firmware, a outra é um problema de configuração.

Ver resposta modelo

A primeira coisa a verificar é a versão do firmware. O PPSK com backend RADIUS requer o firmware GWN 1.0.19 ou superior na série GWN76xx. O firmware 1.0.17 pode não suportar corretamente a atribuição de VLAN PPSK baseada em RADIUS. Atualize o firmware para a versão 1.0.19 ou superior antes de prosseguir com a resolução de problemas. Se o firmware estiver correto, verifique se o backend RADIUS do PPSK está ativado nas definições do SSID, se o segredo partilhado corresponde à configuração da Purple e se o perfil de utilizador RADIUS da Purple para o PSK específico está a retornar o atributo Tunnel-Private-Group-ID correto.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Este guia de referência detalha a integração passo a passo de Cisco Catalyst 9800 WLCs com a Purple WiFi. Abrange a External Web Authentication para portais cativos de convidados, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK for segmentação de VLAN dinâmica multi-tenant.

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.