EnGenius Cloud Access Points Integration with Purple WiFi

Esta referência técnica detalha a integração passo a passo dos EnGenius Cloud Access Points e switches ECS com a plataforma de WiFi de convidados da Purple. Abrange o redirecionamento do Captive Portal de convidados através de uma página de splash externa, a configuração de Walled Garden, WiFi seguro para funcionários utilizando IEEE 802.1X e o isolamento de redes multi-tenant utilizando EnGenius MyPSK com atribuição dinâmica de VLAN. Os instaladores de TI e arquitetos de rede encontrarão sequências de configuração acionáveis, casos de estudo reais e uma estrutura de resolução de problemas para implementar a Purple em parques de hardware EnGenius.

📖 9 min de leitura📝 2,239 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

ARGUMENTO DE PODCAST: Integração de Access Points EnGenius Cloud com o Purple WiFi
Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico
Duração: Aproximadamente 10 minutos
Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário

[INTRODUÇÃO - 1 MINUTO]

Bem-vindo à Série de Briefing Técnico da Purple. Hoje abordamos algo que surge regularmente em implementações empresariais: a integração de access points EnGenius Cloud com a plataforma de guest WiFi da Purple.

Se gere um parque EnGenius, quer sejam access points da série ECW num hotel, numa cadeia de retalho ou num edifício de escritórios multi-inquilino, e deseja adicionar um Captive Portal personalizado com a sua marca, recolher dados de visitantes primários (first-party) e impor uma segmentação de rede adequada, este briefing é para si.

Nos próximos dez minutos, quero orientá-lo pelas quatro principais áreas de configuração: redirecionamento do Captive Portal de convidados, configuração do walled garden, WiFi seguro para colaboradores utilizando o 802.1X, e isolamento multi-inquilino utilizando o EnGenius MyPSK com atribuição dinâmica de VLAN. No final, terá uma imagem clara do que configurar exatamente, em que ordem, e onde estão as armadilhas comuns.

Vamos a isto.

[MERGULHO TÉCNICO PROFUNDO - 5 MINUTOS]

Comecemos pelo Captive Portal de convidados, o ponto de partida mais comum para qualquer operador de espaço.

O EnGenius Cloud suporta splash pages externas nativamente. Isso significa que, em vez de alojar uma página de início de sessão básica no próprio access point, redireciona os convidados não autenticados para o portal alojado na cloud da Purple. É aqui que vivem a marca, a recolha de dados, a gestão de consentimento e as análises.

Eis a sequência de configuração no EnGenius Cloud. Inicie sessão no seu painel EnGenius Cloud e navegue para Configure e, em seguida, SSID. Selecione o seu SSID de convidados. No separador Wireless, defina o tipo de segurança como Open ou WPA2 PSK, dependendo da sua preferência. O modo Open é o padrão para a maioria das implementações de guest WiFi. Em seguida, mude para o separador Captive Portal. Ative o Captive Portal e defina o Authentication Type para Custom RADIUS. Esta é a configuração fundamental. Indica ao access point para encaminhar os pedidos de autenticação para um servidor RADIUS externo, que neste caso é o endpoint RADIUS na cloud da Purple.

Agora introduza os dados do RADIUS da Purple. O IP do servidor RADIUS principal é fornecido no seu painel da Purple em Hardware Configuration. A porta de autenticação é a UDP 1812. A porta de accounting é a UDP 1813. Introduza o segredo partilhado. A Purple gera-o para si, e este deve ter pelo menos 22 carateres misturando maiúsculas, minúsculas, números e símbolos. Defina o identificador NAS para coincidir com o nome do seu espaço ou um identificador exclusivo que tenha definido na Purple.

De seguida, mude para o separador Splash Page. Selecione External Splash Page URL e insira o URL do portal Purple. Este é o URL que a Purple fornece para o seu local específico. Quando um visitante se liga ao SSID e abre um navegador, o ponto de acesso intercepta o pedido e redireciona-o para este URL, transmitindo parâmetros que incluem o endereço MAC do cliente, o endereço MAC do AP e o URL original que o visitante estava a tentar aceder.

Agora o walled garden. Esta é a lista de domínios e endereços IP que os visitantes podem aceder antes de se autenticarem. Sem ela, o próprio portal Purple não consegue carregar, porque o navegador do visitante não consegue aceder aos servidores da Purple. No EnGenius Cloud, o walled garden encontra-se em Captive Portal, depois em Advanced Settings e depois em Walled Garden. Precisa de adicionar o domínio do portal Purple, os endpoints de CDN da Purple e os endpoints de teste de captive portal do sistema operativo. Para dispositivos Apple, é captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Se falhar algum destes, os visitantes nessas plataformas não verão o portal de todo.

Se estiver a disponibilizar o login social através do Google ou Facebook, também precisa de incluir na lista de permissões os endpoints de OAuth para esses fornecedores. O Google exige, no mínimo, accounts.google.com, oauth2.googleapis.com e apis.google.com. O Facebook exige www.facebook.com, graph.facebook.com e connect.facebook.net. A documentação de suporte da Purple disponibiliza uma lista de walled garden atualizada para cada método de autenticação. Utilize-a como referência, pois estes domínios sofrem alterações.

Agora vamos passar para o WiFi seguro para colaboradores utilizando o 802.1X.

Este é um SSID separado. O tipo de segurança aqui é WPA2 Enterprise ou WPA3 Enterprise. No EnGenius Cloud, no separador SSID Wireless, selecione WPA2 Enterprise e, em seguida, escolha Custom RADIUS. Insira os mesmos detalhes do servidor RADIUS. O endpoint RADIUS da Purple, a porta 1812 e o segredo partilhado. A diferença em relação à configuração de visitantes é que aqui não existe captive portal. Os dispositivos dos colaboradores autenticam-se silenciosamente utilizando o protocolo IEEE 802.1X. O dispositivo apresenta um certificado ou nome de utilizador e palavra-passe ao servidor RADIUS, que os valida e devolve uma mensagem Access-Accept juntamente com os atributos de atribuição de VLAN.

Os atributos RADIUS que geram a atribuição dinâmica de VLAN são o Tunnel-Type definido como VLAN, o Tunnel-Medium-Type definido como 802 e o Tunnel-Private-Group-ID definido com o número da VLAN. Assim, se a VLAN dos seus colaboradores for a VLAN 20, o servidor RADIUS devolve o Tunnel-Private-Group-ID com o valor de 20. O ponto de acesso EnGenius lê este atributo e coloca automaticamente o dispositivo autenticado na VLAN 20. Isto significa que pode ter um único SSID a servir várias funções de colaboradores, finanças, operações, TI, prestadores de serviços, cada um a entrar numa VLAN diferente com base na sua pertença a grupos de diretório, tudo sem qualquer configuração manual de VLAN por dispositivo.

Para o método EAP, o PEAP-MSCHAPv2 é a escolha mais comum para ambientes que utilizam o Active Directory ou o Microsoft Entra ID. Requer um certificado no lado do servidor no servidor RADIUS e credenciais de utilizador/palavra-passe no cliente. O EAP-TLS é mais seguro. Utiliza certificados em ambos os lados. Contudo, requer uma infraestrutura PKI e uma implementação MDM para enviar os certificados para os dispositivos. Para a maioria dos operadores de espaços, o PEAP-MSCHAPv2 com validação estrita de certificados imposta via Política de Grupo (GPO) ou MDM é a escolha prática.

Agora, a parte tecnicamente mais interessante: EnGenius MyPSK e isolamento multi-tenant.

O MyPSK, também designado por PPSK ou Private Pre-Shared Key, resolve um problema específico em ambientes multi-tenant. Num empreendimento de arrendamento de longa duração, num escritório partilhado ou numa residência de estudantes, pretende-se que cada inquilino ou residente tenha a sua própria palavra-passe de WiFi exclusiva. Mas não se pretende criar um SSID separado para cada inquilino. Isso criaria congestionamento de radiofrequência e sobrecarga de gestão.

O MyPSK permite criar até 500 chaves pré-partilhadas exclusivas por SSID. Cada chave está associada a uma VLAN específica. Quando um residente se liga utilizando a sua chave exclusiva, o ponto de acesso coloca-o automaticamente na sua VLAN designada. O tráfego do Inquilino A nunca toca no segmento de rede do Inquilino B. A encriptação é também feita por utilizador. Cada chave gera uma Pairwise Master Key exclusiva, pelo que um inquilino não consegue desencriptar o tráfego de rede sem fios de outro inquilino, mesmo partilhando o mesmo SSID.

Na EnGenius Cloud, configura o MyPSK nas definições de segurança do SSID. Selecione WPA2 PSK ou WPA3 Personal e, em seguida, ative o MyPSK. Pode depois criar PSKs individualmente ou gerar automaticamente lotes de até 50 de cada vez. Para cada PSK, atribui um ID de VLAN e, opcionalmente, define uma data de expiração. Quando um contrato de arrendamento termina ou um estudante se licencia, basta expirar ou eliminar a sua PSK. O acesso é revogado imediatamente sem afetar nenhum outro inquilino.

Para a integração do Purple num ambiente MyPSK, os inquilinos virados para os visitantes ainda podem ser direcionados através de um Captive Portal na sua VLAN. Os funcionários e os inquilinos operacionais contornam o portal por completo. A segmentação de VLAN garante que os dados analíticos do Purple sejam corretamente atribuídos por segmento de rede.

[RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS]

Permita-me que lhe apresente a sequência de implementação que recomendo para uma primeira implementação sem falhas.

Comece pela arquitetura de VLAN antes de mexer na configuração de WiFi. Defina a VLAN 10 para visitantes, a VLAN 20 para funcionários, a VLAN 30 para inquilinos, ou qualquer que seja a numeração que se ajuste ao seu esquema existente. Configure primeiro estas VLANs nos seus switches ECS, com as atribuições adequadas de portas trunk e de acesso. Os pontos de acesso precisam de receber tráfego etiquetado (tagged) na porta de uplink para cada VLAN que planeia utilizar.

Depois configure os SSIDs no EnGenius Cloud por esta ordem: primeiro o SSID de convidados, porque é o mais simples. Valide o redirecionamento do Captive Portal para a Purple antes de prosseguir. A seguir, configure o SSID dos colaboradores com 802.1X. Teste com um dispositivo conhecido antes de implementar em toda a infraestrutura. Por fim, configure o MyPSK se necessitar de isolamento multi-tenant.

As armadilhas. Primeiro, o walled garden. Esta é a principal causa de falhas na implementação de Captive Portals. Se os convidados não conseguirem aceder ao portal, verifique primeiro o walled garden. Segundo, a divergência no segredo partilhado do RADIUS. O segredo partilhado deve ser idêntico tanto na configuração do EnGenius Cloud como na configuração do servidor RADIUS da Purple. Uma diferença de um único caráter faz com que todas as autenticações falhem silenciosamente. Terceiro, a configuração do trunk de VLAN no switch. Se a porta do switch ECS que liga ao ponto de acesso não estiver configurada como trunk transportando todas as VLANs necessárias, a atribuição dinâmica de VLAN irá falhar. Quarto, a validação de certificados nos clientes 802.1X. Se os dispositivos dos colaboradores não estiverem configurados para validar o certificado do servidor RADIUS, ficam vulneráveis a roubo de credenciais através de pontos de acesso falsos. Imponha isto através de Política de Grupo para Windows e perfis MDM para todos os restantes.

[PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO]

Algumas perguntas que ouço regularmente sobre implementações da EnGenius e Purple.

Posso usar o RADIUS do EnGenius Cloud em vez do RADIUS da Purple? Sim, para autenticação interna. Mas para WiFi de convidados com as análises e o portal da Purple, precisa de apontar para o endpoint RADIUS da Purple. Ambos podem coexistir em SSIDs diferentes.

O MyPSK funciona com WPA3? Sim. A EnGenius suporta WPA3 e o modo misto WPA2/WPA3 com MyPSK, para que os dispositivos compatíveis com WPA3 obtenham autenticação SAE enquanto os dispositivos mais antigos recorrem ao WPA2 PSK, tudo utilizando a mesma chave por utilizador.

A Purple suporta a contabilidade (accounting) RADIUS para dados de sessão? Sim. Ative o servidor de accounting na configuração RADIUS do EnGenius Cloud, apontando para o endpoint de accounting da Purple em UDP 1813. Isto envia a duração da sessão e o volume de dados para as análises da Purple.

[RESUMO E PRÓXIMOS PASSOS - 1 MINUTO]

Para resumir. Os pontos de acesso EnGenius Cloud integram-se de forma limpa com a plataforma de WiFi de convidados da Purple através de quatro camadas de configuração. O redirecionamento do Captive Portal de convidados utiliza RADIUS Personalizado e um URL de splash page externo a apontar para a Purple. A lista de permissões do walled garden garante que o portal carrega antes da autenticação. O WiFi dos colaboradores utiliza WPA2 Enterprise com 802.1X e atribuição dinâmica de VLAN através de atributos RADIUS. E o isolamento multi-tenant utiliza o EnGenius MyPSK para atribuir chaves únicas por utilizador vinculadas a VLANs específicas, com datas de expiração opcionais para acessos com limite de tempo.

A Purple opera em 80.000 locais e processou 440 milhões de inícios de sessão apenas em 2024. A plataforma é certificada pela norma ISO 27001, em conformidade com o GDPR, e independente do hardware, razão exata pela qual funciona perfeitamente com a EnGenius a par de Cisco Meraki, HPE Aruba, Ruckus e o resto do ecossistema de hardware empresarial.

Se está pronto para implementar, comece com o guia de configuração do walled garden na documentação de suporte da Purple e, em seguida, conclua a configuração do SSID no EnGenius Cloud. O guia passo a passo completo está disponível em purple.ai. Obrigado por ouvir.

Principais Conclusões

✓O EnGenius Cloud integra-se com a Purple através de RADIUS Personalizado (UDP 1812/1813) e um URL de splash page externa configurado nas definições de Captive Portal do SSID.
✓Um Walled Garden corretamente configurado é o elemento mais crítico para implementações de Captive Portal - deve incluir os endpoints de verificação do SO, os domínios de CDN da Purple e todos os domínios OAuth de login social.
✓O IEEE 802.1X com WPA2/WPA3 Enterprise oferece autenticação de funcionários segura e sem palavra-passe, com atribuição dinâmica de VLAN baseada em atributos RADIUS Tunnel-Private-Group-ID.
✓O EnGenius MyPSK oferece isolamento de multi-inquilinos num único SSID, atribuindo PSKs e VLANs exclusivas a utilizadores individuais, suportando até 500 chaves por SSID com datas de expiração opcionais.
✓Configure as portas trunk do switch ECS antes de configurar os SSIDs - a atribuição dinâmica de VLAN falha silenciosamente se o switch não conseguir transportar a VLAN atribuída.
✓O PEAP-MSCHAPv2 só é seguro com uma validação rigorosa do certificado do servidor imposta via Política de Grupo ou MDM - implemente isto antes de qualquer lançamento de 802.1X.
✓A Purple processa 440 milhões de logins anualmente em mais de 80 000 espaços e possui certificação ISO 27001, está em conformidade com o GDPR e é agnóstica em termos de hardware em equipamentos Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

執行摘要

企業 WiFi 若依賴共用的預先共用金鑰，會使場域面臨重大的安全性風險，且無法收集有價值的首方數據。本指南詳細說明 EnGenius Cloud Access Points 與 Purple 的 Guest WiFi 平台的整合，旨在為旅宿餐飲、零售及多租戶環境提供安全、隔離且可衡量的無線網路。透過為員工實施 IEEE 802.1X 驗證、透過 EnGenius MyPSK 為住戶與租戶進行動態 VLAN 分配，以及為訪客提供雲端託管的 Captive Portal，IT 團隊可以執行嚴格的存取控制，同時將無線基礎設施轉化為商業智慧資產。

Purple 每年在 80,000 多個實體場域處理 4.4 億次登入（Purple 內部數據，2024 年）。該平台已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，且不受硬體品牌限制，這也正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 完美整合的原因。本指南涵蓋在 EnGenius Cloud 硬體上部署 Purple 所需的四個配置層：訪客 Captive Portal 重導向、Walled Garden 設定、安全員工 WiFi，以及使用 EnGenius MyPSK 的多租戶隔離。

技術深度解析

架構概述

EnGenius Cloud 與 Purple 之間的整合依賴於標準 RADIUS 協定與 HTTP 重導向。當訪客在啟用 Captive Portal 的 SSID 上連線至 EnGenius ECW 存取點（AP）時，AP 會攔截第一個 HTTP 請求，並將瀏覽器重導向至 Purple 的雲端託管歡迎頁面。此重導向會向該入口網站傳遞多個參數（包括 client_mac、ap_mac 與 userurl），Purple 會使用這些參數來追蹤工作階段並回傳驗證決策。

針對員工與營運設備，其架構則從 Captive Portal 重導向轉變為基於 IEEE 802.1X 連接埠的網路存取控制。EnGenius 存取點作為驗證器，透過 UDP 連接埠 1812 將可延伸驗證協定（EAP）訊息轉發至 Purple 的 RADIUS 伺服器。驗證成功後，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，指示 AP 將該裝置放置在正確的網路區段中。

層級	SSID 類型	驗證方法	VLAN 分配
Guest WiFi	Open 或 WPA2 PSK	透過自訂 RADIUS 的 Purple Captive Portal	靜態（例如 VLAN 10）
Staff WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP 或 EAP-TLS)	透過 RADIUS 屬性動態分配
多租戶	搭配 MyPSK 的 WPA2/WPA3 PSK	每使用者 PSK	每金鑰 VLAN 綁定

EnGenius Cloud 平台

EnGenius Cloud 是一個雲端管理的網路平台，支援 ECW 系列無線基地台（包括 ECW220、ECW230 和 ECW520 WiFi 7 機型）以及 ECS 系列管理型交換器。此平台為組織內所有裝置提供了一個集中式儀表板，用於管理 SSID、RADIUS 設定、VLAN 標記以及 Captive Portal 設定。EnGenius Cloud 支援三種基於 RADIUS 的 Captive Portal 認證類型：EnGenius Authentication（使用內建的 Cloud RADIUS）、Custom RADIUS（指向外部伺服器，例如 Purple）以及憑證服務（Voucher Service）。

對於企業級部署，與 Purple 進行整合時，正確的認證類型為 Custom RADIUS。此模式會指示無線基地台將認證請求代理傳送至 Purple 的 RADIUS 端點，從而啟用 Purple 的入口網站、分析和數據擷取功能。

EnGenius MyPSK 與多租戶隔離

在建案出租住宅、學生宿舍、服務式辦公室或共享工作空間等環境中，為每個租戶廣播獨立的 SSID 會降低無線射頻效能。每增加一個 SSID 都會產生信標訊框（beacon frames），消耗空中傳輸時間並減少可用於數據流量的容量。EnGenius MyPSK（亦稱為 PPSK 或個人預共用金鑰）透過在單一 SSID 上允許高達 500 個不重複的 PSK 來解決此問題。

每個金鑰都綁定至特定的 VLAN。當住戶使用其專屬金鑰連線時，無線基地台會自動將其置於指定的網路區段中。加密是針對每位使用者的：每個金鑰都會產生一個不重複的成對主金鑰（PMK），因此即使租戶共用相同的 SSID，其中一個租戶也無法解密另一個租戶的空中傳輸流量。相較於單一共用 PSK（任何知道密碼的使用者都可以解密網路上所有流量），這是一個根本上的安全性優勢。

MyPSK 金鑰支援到期日設定，非常適合有時間限制的存取情境：學生的金鑰在學年結束時過期、承包商的金鑰在其約期結束時過期，而會議出席者的金鑰則在活動最後一天的午夜過期。

實作指南

步驟 1：定義您的 VLAN 架構

在設定任何 SSID 之前，請先在您的 ECS 交換器上定義 VLAN 結構。典型的部署會使用三個 VLAN：

VLAN ID	用途	存取原則
VLAN 10	訪客 WiFi	僅限網際網路，與企業區域網路隔離
VLAN 20	員工 WiFi	完整企業區域網路存取權限
VLAN 30	租戶/住戶 WiFi	獨立的每租戶區段

步驟 2：配置訪客 Captive Portal（EnGenius Captive Portal 設定）

這是部署帶有 Purple 的 EnGenius Splash Page 的主要配置。

登入您的 EnGenius Cloud 控制面板： cloud.engenius.ai 。
導覽至 Configure > SSID 並選擇您的訪客網路（例如 "VenueGuest"）。
在 Wireless 索引標籤下，將安全性類型（Security Type）設定為 Open。這是訪客 WiFi 的標準設定；訪客是在 Portal 層進行識別與驗證，而非在關聯層。
切換至 Captive Portal 索引標籤並啟用 Portal。
將驗證類型（Authentication Type）設定為 Custom RADIUS。
輸入 Purple RADIUS 伺服器詳細資訊：

欄位	值
RADIUS 伺服器 IP	於 Purple 控制面板的硬體配置（Hardware Configuration）中提供
驗證連接埠 (Authentication Port)	UDP 1812
計費連接埠 (Accounting Port)	UDP 1813
共用金鑰 (Shared Secret)	由 Purple 產生的 22 個以上字元的字串
NAS 識別碼 (NAS Identifier)	您的場地名稱或 Purple 場地 ID

切換至 Splash Page 索引標籤。
選擇 External Splash Page URL。
輸入您場地的 Purple Portal URL（格式：https://portal.purple.ai/[venue-id]）。
按一下 Apply。

步驟 3：配置 Walled Garden

必須配置 Walled Garden（EnGenius 訪客 WiFi 白名單），以允許在驗證前存取載入 Portal 所需的網域。導覽至 Captive Portal > Advanced Settings > Walled Garden 並新增以下項目：

Purple 基礎架構：

*.purple.ai
*.purpleportal.net

作業系統 Captive Portal 探測（強制性）：

captive.apple.com (iOS 和 macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

社群登入（若啟用）：

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

請務必使用網域名稱而非靜態 IP 位址。社群登入供應商使用動態 IP 範圍和任播（Anycast）路由；隨著 CDN 位址的變更，靜態 IP 白名單效能將會逐漸下降。

步驟 4：配置安全員工 WiFi (802.1X)

用於員工 WiFi 的 EnGenius RADIUS 設定採用 WPA2 Enterprise，以提供憑證型、無密碼的驗證。

建立新的 SSID（例如 "VenueStaff"）。
在 Wireless 索引標籤下，將安全性類型設定為 WPA2 Enterprise。
選擇 Custom RADIUS 並輸入 RADIUS 伺服器 IP、連接埠 1812 以及共用金鑰。
不需要 Captive Portal。員工裝置會透過 802.1X 自動在背景完成驗證。
配置您的 RADIUS 伺服器，使其在 Access-Accept 上傳回以下屬性：

RADIUS 屬性	值
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (或您的員工 VLAN ID)

關於 EAP 方法的選擇：對於使用 Microsoft Entra ID 或 Active Directory 的環境，PEAP-MSCHAPv2 是最實用的選擇。EAP-TLS 透過完全消除密碼來提供更強的安全性，但需要公開金鑰基礎建設（PKI）和 MDM 解決方案來部署用戶端憑證。請務必透過群組原則（Windows）或 MDM 設定檔（macOS、iOS、Android），在所有用戶端裝置上強制執行嚴格的伺服器憑證驗證，以防止惡意存取點竊取憑證。

步驟 5：配置 EnGenius MyPSK 以實現多租戶隔離

適用於多租戶環境的 EnGenius MyPSK 設定：

建立一個新的 SSID（例如 "VenueResident"）。
在 Wireless 索引標籤下，將安全類型設定為 WPA2 PSK 或 WPA3 Personal。
啟用 MyPSK（Private PSK）。
按一下 Add PSK 建立個別的金鑰，或使用 Auto-Generate 一次批次產生最多 50 個金鑰。
為每個 PSK 分配一個 VLAN ID，並可選擇設定 Start Date（開始日期）和 Expiration Date（過期日期）。
將每個唯一的 PSK 分發給對應的租戶或住戶。

當租戶的租約結束時，刪除或使其 PSK 過期。存取權限會立即被撤銷，且不會影響網路上的任何其他租戶。

最佳實踐

在 802.1X 用戶端上強制執行嚴格的憑證驗證。 只有當用戶端設定為針對信任的 CA 驗證 RADIUS 伺服器的憑證時，PEAP-MSCHAPv2 才是安全的。如果沒有此設定，惡意存取點可能會呈現欺詐性憑證並竊取認證資訊。請透過 Windows 的群組原則物件（GPO）以及所有其他平台的 MDM 組態設定檔來部署驗證設定。對於任何受法規監管環境中的部署，這是不可妥協的要求。

在 Walled Garden 中使用動態 DNS 解析。 Google、Apple 和 Meta 的 OAuth 和 CDN 端點使用的是動態 IP 範圍。請將 Walled Garden 條目配置為網域名稱，並確保您的 EnGenius Cloud 控制器能對其進行動態解析。隨著 CDN IP 的更替，靜態 IP 白名單將會導致驗證失敗。

使用 MAC 驗證繞過（MAB）隔離 IoT 裝置。 印表機、顯示器和 IoT 感測器等無介面裝置無法透過 802.1X 進行驗證。請使用 MAC 驗證繞過（MAB）來識別它們，並將其放入受限制的 VLAN 中，同時配合防火牆規則以防止橫向移動。MAB並非一種安全控制手段，而是一種裝置識別機制。請將經 MAB 驗證的裝置視為不受信任的裝置。

實作 RADIUS 計費。 在 EnGenius Cloud 的 RADIUS 配置中啟用計費伺服器，將其指向 Purple 在 UDP 1813 上的計費端點。這會將工作階段持續時間、數據量和裝置資訊傳送到 Purple 的 WiFi Analytics 平台，提供證明基礎建設投資價值的場地使用率數據。

每季審查 Walled Garden。 OAuth 提供商與 CDN 會變更其網域結構。Apple 在 2023 年曾兩次更新其登入網域。請將 Walled Garden 的每季審查納入您的營運行事曆。如需企業 WiFi 安全實務的進一步指引，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

症狀：Captive Portal 無法在 iOS 裝置上載入。 原因：captive.apple.com 未加入 Walled Garden。iOS 使用此端點來偵測 Captive Portal 的存在並觸發 Captive Network Assistant。若缺少此端點，裝置會報告「無網際網路連線」，且永遠不會開啟 Portal 瀏覽器。解決方法：在 EnGenius Cloud 的「Captive Portal > 進階設定」中，將 captive.apple.com 新增至 Walled Garden。

症狀：驗證無聲無息地失敗 - RADIUS 沒有傳回回應。 原因：EnGenius Cloud 與 Purple RADIUS 伺服器設定之間的共用金鑰（Shared Secret）不一致。單一字元的差異就會導致所有驗證請求被捨棄。解決方法：在兩個系統中重新輸入共用金鑰。請從純文字來源複製貼上，以避免隱形字元的置換。

症狀：802.1X 用戶端已驗證，但未收到 IP 地址。 原因：ECS 交換器上行鏈路連接埠未設定為 Trunk 埠，或者 RADIUS 伺服器傳回的 VLAN 在該 Trunk 上不被允許。解決方法：驗證交換器連接埠設定。該連接埠必須是 Trunk 埠，且承載 RADIUS 回應中所參照的所有 VLAN。

症狀：MyPSK 用戶端已連線，但可以接觸到其他租戶的裝置。 原因：SSID 上未啟用用戶端隔離（Client Isolation），或者交換器上的 VLAN 設定未能正確隔離各個區段。解決方法：在 EnGenius Cloud 的 SSID 中啟用用戶端隔離。驗證上游路由器或防火牆上，每個 VLAN 是否都設定了適當的跨 VLAN 路由規則。

症狀：社群媒體登入按鈕有載入，但驗證失敗。 原因：Walled Garden 中遺漏了一個或多個 OAuth 提供商的子網域。Google 與 Meta 在其驗證流程中使用了多個子網域。解決方法：從未驗證的裝置上擷取瀏覽器主控台（Console）輸出，以識別哪個網域被封鎖。將遺漏的網域新增至 Walled Garden。請參閱 Purple 的 Walled Garden 網域白名單文件以取得最新列表。

投資報酬率（ROI）與業務影響

將 Purple 與 EnGenius Cloud 協同部署，能將無線基礎設施從成本中心轉變為數據資產。場地營運商可透過訪客自願同意的選擇，收集完全合規的第一方人口統計數據，進而實現精準的行銷活動與可衡量的參與度。對於 IT 團隊而言，轉向 802.1X 與 MyPSK 消除了管理共用密碼的營運開銷，減少了與存取問題相關的支援工單，並提供了網路使用狀況的精細可視性。

對於旅宿業營運商而言，Premier Inn（Purple 的知名客戶）利用顧客 WiFi 數據來提高忠誠度計劃的參與度，並個性化發送訪問後的溝通訊息。對於零售環境，結合來自 Purple 的 WiFi Analytics 平台的客流量分析與停留時間數據，可提供商品陳列洞察，獨立於安全效益之外，證明了基礎設施投資的合理性。

在多租戶環境中，MyPSK 消除了解決每個租戶需要獨立實體網路基礎設施的需求。單台 EnGenius ECW 基地台即可在單一 SSID 上為 500 個隔離的租戶提供服務，從而降低硬體成本並簡化日常管理。當租戶搬離時，其 PSK 會在幾秒鐘內被刪除，無需更改密碼，也不會對其他住戶造成影響。

Purple 的平台與硬體無關，這意味著相同的 Purple 設定、分析和數據擷取層可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上運行。如果您的資產中混合了 EnGenius 和其他廠商，Purple 可為所有設備提供單一管理介面來進行顧客 WiFi 管理。如需相關部署指南，請參閱我們的 DrayTek Vigor 整合指南。

Definições Principais

Captive portal

Uma página web que interseta o primeiro pedido HTTP de um utilizador após se ligar a uma rede WiFi e que exige a sua autenticação ou a aceitação de termos antes de conceder acesso à Internet.

O mecanismo principal para a integração de convidados, recolha de dados e gestão de consentimento em conformidade com o GDPR nas implementações da Purple. A EnGenius Cloud suporta páginas de Captive Portal internas e externas.

Walled Garden

A lista de permissões explícita de domínios e endereços IP com os quais um dispositivo cliente pode comunicar antes de se autenticar com sucesso através do Captive Portal.

Necessário para permitir que os dispositivos alcancem os servidores do portal Purple, os pontos de extremidade de deteção do SO e os fornecedores de identidade de terceiros, tais como o Google ou o Microsoft Entra ID, antes da conclusão da autenticação.

EnGenius MyPSK

Uma funcionalidade que permite aos administradores de rede criar várias Pre-Shared Keys exclusivas num único SSID, cada uma vinculada a uma VLAN específica para isolamento de rede.

Utilizado em ambientes multi-tenant para fornecer segmentos de rede seguros e isolados sem transmitir múltiplos SSIDs. Suporta até 500 chaves exclusivas por SSID com datas de expiração opcionais.

Atribuição dinâmica de VLAN

O processo no qual um servidor RADIUS instrui um ponto de acesso a colocar um dispositivo autenticado numa VLAN específica com base na pertença a um grupo de diretório, utilizando o atributo Tunnel-Private-Group-ID.

Permite que um único SSID 802.1X segmente o tráfego de forma segura para diferentes funções de funcionários automaticamente, sem configuração manual de VLAN por dispositivo.

IEEE 802.1X

Uma norma IEEE para Network Access Control baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN, utilizando EAP para transportar credenciais para um servidor RADIUS.

A base da segurança WiFi empresarial para redes de funcionários, substituindo palavras-passe partilhadas vulneráveis por validações de credenciais ou certificados individualizados.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Faturação para acesso à rede.

O protocolo utilizado pelos pontos de acesso EnGenius para comunicar com os servidores de autenticação da Purple. A autenticação utiliza a porta UDP 1812; a faturação utiliza a porta UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2; um método 802.1X que cria um túnel TLS utilizando um certificado do lado do servidor, no qual as credenciais de utilizador e palavra-passe são trocadas.

O método de implementação 802.1X mais comum para ambientes que utilizam Active Directory ou Microsoft Entra ID. Requer uma validação rigorosa de certificados de servidor nos clientes para evitar o roubo de credenciais.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação 802.1X que requer certificados digitais tanto no servidor RADIUS como em cada dispositivo cliente, eliminando totalmente as palavras-passe.

O método 802.1X mais seguro, recomendado para ambientes de alta segurança. Requer uma Infraestrutura de Chaves Públicas e uma solução MDM para implementar certificados de cliente.

Identificador NAS

Network Access Server Identifier; um atributo de string incluído nos pedidos RADIUS para identificar o ponto de acesso ou controlador que origina o pedido de autenticação.

Configurado na EnGenius Cloud para corresponder ao identificador do local na plataforma Purple, garantindo que os dados de análise e de sessão sejam atribuídos à localização correta.

PMK

Pairwise Master Key; a chave criptográfica derivada de um PSK e do nome do SSID, utilizada para encriptar a sessão sem fios entre um cliente específico e um ponto de acesso.

Nas implementações MyPSK, cada PSK exclusivo gera um PMK distinto, impedindo que um inquilino decifre o tráfego de outro, mesmo no mesmo SSID.

Exemplos Práticos

Um hotel de 200 quartos necessita de fornecer acesso WiFi contínuo aos convidados, acesso seguro aos funcionários do hotel e redes isoladas para três concessões de retalho no lobby, tudo utilizando os mesmos access points EnGenius ECW e switches ECS.

Implementar três SSIDs no mesmo hardware. SSID 1 (VenueGuest): Segurança aberta com RADIUS personalizado a apontar para o endpoint RADIUS da Purple. URL da página de splash externa configurado para o portal Purple. Walled Garden preenchido com sondas de SO, domínios CDN da Purple e endpoints Google OAuth. VLAN 10 atribuída estaticamente. SSID 2 (VenueStaff): WPA2 Enterprise com RADIUS personalizado. Sem Captive Portal. O servidor RADIUS devolve o Tunnel-Private-Group-ID 20 para todos os funcionários, com subgrupos (finanças, operações, manutenção) mapeados para as VLANs 21, 22 e 23, respetivamente. SSID 3 (VenueRetail): WPA2 PSK com MyPSK ativado. Três PSKs exclusivas criadas, cada uma vinculada às VLANs 31, 32 e 33. Datas de expiração definidas para coincidir com o período de arrendamento de cada concessão. A porta de uplink do switch ECS está configurada como um trunk que transporta as VLANs 10, 20-23 e 31-33.

Comentário do Examinador: Esta abordagem minimiza o overhead de SSIDs para três transmissões, reduzindo a interferência de canais partilhados, enquanto impõe um isolamento rigoroso de Layer 2 entre convidados, funcionários e inquilinos terceiros. A atribuição dinâmica de VLAN para funcionários elimina a reconfiguração manual quando os funcionários mudam de função. As datas de expiração do MyPSK automatizam a revogação de acesso para as concessões de retalho sem necessitar de intervenção de TI.

Um campus universitário que está a implementar a EnGenius Cloud relata que os estudantes que tentam iniciar sessão no portal de convidados da Purple utilizando as suas contas Google Workspace estão a receber um erro no browser após clicarem no botão de início de sessão da Google. A página do portal em si carrega corretamente.

O carregamento da página do portal confirma que os domínios CDN da Purple estão corretamente na lista de permissões. A falha no passo de início de sessão da Google indica que um ou mais domínios Google OAuth estão em falta no Walled Garden. Navegue até EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden e adicione: accounts.google.com, oauth2.googleapis.com, apis.google.com e *.gstatic.com. O wildcard gstatic.com é necessário porque a Google serve as suas bibliotecas JavaScript do lado do cliente a partir deste CDN. Após atualizar o Walled Garden, teste com um dispositivo não autenticado e capture a saída da consola do browser para confirmar que nenhum outro domínio está bloqueado.

Comentário do Examinador: As falhas de OAuth no passo do fornecedor (em vez de no passo de carregamento do portal) são quase universalmente causadas por configurações incompletas do Walled Garden. O Captive Portal intercepta a chamada HTTPS para o fornecedor de identidade, a menos que o domínio seja explicitamente contornado. A utilização de entradas wildcard (*.gstatic.com) é a abordagem pragmática para fornecedores que utilizam múltiplos subdomínios CDN, desde que a sua versão da EnGenius Cloud suporte entradas wildcard no Walled Garden.

Perguntas de Prática

Q1. Implementa um Captive Portal da Purple em pontos de acesso EnGenius ECW. Os convidados com Android reportam que os seus dispositivos mostram "Ligado, sem internet" e o portal nunca aparece. Os convidados com iOS no mesmo SSID veem o portal corretamente. Qual é o erro de configuração mais provável e como o resolve?

Dica: O Android e o iOS utilizam diferentes endpoints de verificação de Captive Portal.

Ver resposta modelo

O Android utiliza o connectivitycheck.gstatic.com como o seu endpoint de verificação de Captive Portal. O iOS utiliza o captive.apple.com. Se os convidados com iOS veem o portal mas os convidados com Android não, o connectivitycheck.gstatic.com está em falta no Walled Garden. Adicione-o no EnGenius Cloud em Captive Portal > Advanced Settings > Walled Garden. Adicione também o connectivitycheck.android.com e o www.google.com , uma vez que o Android utiliza múltiplos URLs de verificação dependendo da versão do dispositivo.

Q2. Um espaço configura o 802.1X num SSID EnGenius. Os dispositivos dos funcionários autenticam-se com sucesso (os registos do servidor RADIUS mostram Access-Accept), mas os dispositivos recebem um endereço APIPA 169.x.x.x em vez de um IP corporativo. Qual é a causa mais provável?

Dica: O servidor RADIUS está a aceitar a autenticação, pelo que o problema ocorre a jusante da autenticação.

Ver resposta modelo

O servidor RADIUS está a devolver um atributo Tunnel-Private-Group-ID que especifica um ID de VLAN. O ponto de acesso EnGenius está a tentar etiquetar o tráfego do cliente com essa VLAN, mas a porta de uplink no switch ECS não está configurada como uma porta trunk que transporte essa VLAN. O dispositivo é colocado numa VLAN sem servidor DHCP acessível. Correção: configure a porta de uplink do switch ECS como trunk, permitindo explicitamente o ID de VLAN devolvido pelo servidor RADIUS.

Q3. Um gestor de propriedades build-to-rent pergunta por que razão recomenda o EnGenius MyPSK em vez de criar um SSID separado para cada uma das 80 unidades residenciais. Apresente uma justificação técnica.

Dica: Considere o impacto dos beacons de SSID no desempenho de WiFi.

Ver resposta modelo

Cada SSID transmite pacotes beacon em intervalos regulares (normalmente a cada 100ms). Num ambiente denso, 80 SSIDs gerariam uma sobrecarga constante de beacons, consumindo um tempo de antena significativo, reduzindo a capacidade disponível para o tráfego de dados real e degradando o desempenho para todos os utilizadores. A maioria dos pontos de acesso empresariais também impõe um limite prático de 8 a 16 SSIDs por rádio. O MyPSK oferece o mesmo isolamento (cada residente numa VLAN exclusiva com uma chave de encriptação exclusiva) utilizando um único SSID, eliminando totalmente a sobrecarga de beacons. O PMK por utilizador também impede que os residentes decifrem o tráfego uns dos outros, o que um único PSK partilhado não consegue evitar.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Este guia de referência detalha a integração passo a passo de Cisco Catalyst 9800 WLCs com a Purple WiFi. Abrange a External Web Authentication para portais cativos de convidados, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK for segmentação de VLAN dinâmica multi-tenant.

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.