让您的Cisco Meraki无线接入点与Purple这样的平台无缝协作,并非仅仅是插上电源那么简单。这需要先打好坚实的基础。部署不仅仅是硬件问题;它是一个云管理的生态系统,为客人和员工提供安全、基于身份的网络访问的基石。
为Meraki和Purple集成奠定基础
在您考虑配置SSID或允许用户连接之前,整个项目的成功取决于充分的准备工作。我反复看到这样的情况:部署停滞不前或遇到奇怪且难以诊断的问题。几乎每次都是因为忽略了一些关键的先决条件。
把这看作是基础工作。匆忙进行这一阶段是给自己制造麻烦的最快方式。
验证许可和固件
首先登录Meraki仪表板。务必检查您的许可状态。有效且激活的许可证才能让您的接入点与Meraki云端通信——如果没有它,您将无法配置或监控任何内容。这是硬性要求。
同样重要的是接入点上的固件版本。Meraki定期推送更新,这些更新不仅修补安全漏洞,还启用新功能。为了让Purple正常工作,您的AP(如常见的MR44或MR56型号)必须运行兼容的固件版本。这样才能解锁诸如 OpenRoaming 等高级功能,对于英国部署而言,还可以访问不那么拥挤的UNII-3频道,这在人流密集区域能起到显著作用。
一个常见的错误是假设全新硬件安装有最新固件。务必在仪表板上安排维护窗口,在触碰其他设置之前,先检查并更新您的AP。
规划网络拓扑和防火墙规则
在处理好许可和固件之后,就该审视您的网络架构了。我见过无数因这方面规划不当而导致的麻烦,例如访客设备从内部员工DHCP服务器获取IP地址。从一开始就使用VLAN进行合理的网络分段,对于将访客流量与企业网络隔离开来至关重要。
下面的流程图展示了准备Meraki无线接入点设置的基本步骤。
按照这条路径——验证许可证、配置防火墙并更新固件——是在问题发生前就预防最常见设置问题的最可靠方法。
最后,您需要告诉网络防火墙允许您的Meraki设备与Purple的云服务通信。这意味着要创建允许流量流向特定主机名和端口的规则。如果没有这些规则,来自 Captive Portal 或RADIUS服务器的身份验证请求就会失败,用户将无法连接。这是一个简单的步骤,但却常常被忽略。
对于那些希望进一步简化流程的人,您可以 了解更多关于通过与Meraki进行自动配置的信息 ,该功能可直接在Purple门户中处理许多初始任务。在这些基础工作上多花点时间,会让您的部署更加顺畅、安全,并为后续更高级的配置做好准备。
配置Meraki SSID以实现安全的访客和员工访问
既然我们已经完成了基础工作,现在该构建用户实际连接的无线网络了。成功的无线接入点meraki部署关键在于为不同的用户组创建不同的服务集标识符(SSID)。这不仅仅是给它们起不同的网络名称,而是要打造完全独立的上网体验,并拥有各自的安全策略。
我们继续以精品酒店为例。酒店需要为客人提供无摩擦的开放网络,同时为负责预订、酒店管理系统和销售点等工作的员工提供高度安全且无需密码的网络。我们将在Meraki仪表板上设置两个SSID,以满足这些截然不同的需求,并均与Purple集成,以管理访问权限和身份。这种分离是您的第一道防线,也是实现可靠网络隔离的关键步骤。
创建安全的员工网络
对于员工而言,主要目标就是彻底抛弃密码。共享密钥简直是安全噩梦和管理负担。相反,我们将创建一个使用WPA2-Enterprise和基于证书的身份验证的SSID,全部通过Purple进行管理,并与目录服务(如 Entra ID )集成。
首先,进入您的Meraki仪表板,导航到无线 > 配置 > SSID。选择一个未使用的SSID槽位并将其启用。
- SSID名称:这里清晰的命名规范至关重要。例如
HotelStaff_Secure,一眼就能看出其用途和适用对象。 - 安全性:选择
WPA2-Enterprise with my RADIUS server。这是关键所在。您要将此指向Purple账户中的RADIUS详细信息,由Purple处理身份验证。 - Splash Page:确保此项设置为
None。身份验证由用户设备的证书处理,而非通过网页门户。
通过这种设置,员工的网络访问权限将直接与其在公司目录中的身份绑定。如果他们离职,在Entra ID中禁用其账户后,其网络访问权限将立即自动切断。再也不用手忙脚乱地修改密码了。
这种基于证书的方式实际上摒弃了传统密码,推动您的组织向零信任安全模型迈进。与在本地服务器上管理预共享密钥或个人用户账户相比,这是一次重大的升级。
构建无摩擦的访客网络
对于客人来说,优先事项完全相反:极其简单和便捷的连接。这里,我们将使用一个开放的SSID,并配备重定向至Purple进行身份验证的Captive Portal。这样,酒店就可以收集有价值的客人的数据(当然,需征得同意),并提供专业、品牌化的登录体验。
回到SSID配置页面,为您的访客网络选用另一个可用槽位。
- SSID名称:要让它显而易见且引人入胜。
HotelGuest_WiFi是一个常见且有效的选择。 - 安全性:选择
Open (no encryption)。这能消除客人连接时的初始障碍。 - Splash Page:这是关乎访客体验的最重要设置。选择
Click-through或Sign-on with...,并将其指向您Purple Captive Portal的自定义URL。
当客人连接时,他们的设备将自动重定向到这个门户。从那里,他们可以使用社交媒体账户、填入表单或您在Purple中设置的其他任何方式登录。此过程不仅为他们提供互联网访问,还为酒店提供了用于营销和提升客人体验的第一方数据,同时确保符合数据保护法规。
访客与员工SSID配置一览
为了更加清晰明了,这里快速比较一下我们如何处理这两种截然不同的网络。
通过在同一套无线接入点meraki硬件上实施这两个截然不同的SSID,您就营造出了一个既能为访客提供友好体验,又能为内部运营提供异常安全的网络环境。最棒的是,这一切都通过一个集中的云仪表板进行管理。
利用OpenRoaming激活下一代连接
虽然Captive Portal是访客参与的一个良好起点,但现在应该超越简单的登录。目标是从功能性交易转变为真正的无缝体验。这正是OpenRoaming发挥作用的地方,它将您的访客WiFi从一次性的连接转变为持久、安全且自动的握手。
想象一下,访客在您的场所连接一次后,当他们再次光临,甚至去往城里或另一个国家的其他合作商家时,他们的设备无需任何操作即可自动连接。这就是OpenRoaming的强大之处,它建立在 Passpoint 技术之上。实质上为您的客人提供了一张全球WiFi通行证,而让它在您的无线接入点meraki网络中通过Purple运行起来却出奇地简单。
在Purple门户中启用OpenRoaming
您的旅程从Purple门户内部开始。您可以在这里指示我们的平台开始广播OpenRoaming能力,只需点击几下即可启动。
在您的Purple账户中,只需导航到您要开启此功能的场所或分组。在网络管理部分下,您会找到OpenRoaming设置。
- 首先,为该场所启用OpenRoaming服务。
- 接下来,选择您希望支持的身份验证类型。
- 最后,将其关联到您之前配置的访客SSID。
这个简单的操作会指示Purple开始为支持Passpoint的设备生成必要的配置文件和凭证。实际上,Purple充当信任的中间人,在全球OpenRoaming联盟中为您的网络提供担保。
通过启用OpenRoaming,您从根本上改变了访客WiFi的价值主张。它从一项简单的便利设施,转变为一种无摩擦、加密的服务,从第一个数据包开始就培养忠诚度并增强安全性。
为Passpoint配置您的Meraki SSID
在Purple准备就绪后,最后一步是配置您的Meraki访客SSID以宣告这些新功能。这包括在Meraki仪表板中启用名为802.11u的特定设置,这是一个IEEE标准,允许接入点在设备连接之前提供网络信息。
再次进入Meraki仪表板,找到您设置的访客SSID。
- 前往无线 > 配置 > 访问控制。
- 在访客SSID的“网络访问”部分找到。
- 将关联要求从“开放”更改为开放(带WPA2-Enterprise)。这看起来可能有点奇怪,但它正是实现安全Passpoint握手所必需的。
- 打开Hotspot 2.0 / Passpoint选项。
- 根据Purple配置指南,选择适当的操作员和设置。
保存这些更改后,您的Meraki接入点将开始广播必要的信息,以使支持Passpoint的设备能够发现并自动通过OpenRoaming连接到您的网络。您可以在我们的详细指南中 深入了解OpenRoaming的工作原理 。
在零售和酒店行业,访客体验至关重要,这种设置将带来游戏规则的改变。Cisco Meraki在这一领域是一股重要力量,在英国企业中,其客户互动平台(由无线硬件支持)占有4.48%的份额。这得益于其在云管理网络领域的主导地位,在收入和设备管理份额方面均占据多数,显示出有多少场所准备从这项技术中获益。您可以在ZoomInfo上了解更多Cisco Meraki的市场地位信息。通过在您的无线接入点meraki网络上激活此功能,您就接入了一个强大的生态系统,真正让您的场所脱颖而出。
集成目录服务实现零信任员工身份验证
员工WiFi的共享密码是巨大的安全漏洞和管理噩梦。是时候告别它们了。现代的方法是零信任安全模型,实现途径是将目录服务直接集成到您的无线接入点meraki网络中,并由Purple协调整个过程。
这意味着连接您已经在使用的平台,如Entra ID、Google Workspace或Okta。结果就是,网络访问权限完全基于用户在中央目录中的状态自动授予或撤销。这完全消除了对笨重、昂贵的本地RADIUS服务器的需求,使顶级安全性变得既易于实现又易于管理。
采用基于证书的身份验证
这种零信任策略的核心是基于证书的身份验证。每个员工的设备都会获得唯一的数字证书,而不是密码。可以将证书视为他们访问安全员工SSID的数字护照。当他们连接时,设备会出示此证书,Purple会立即对照您的目录服务进行验证。
整个过程对用户而言是不可见的。对他们来说,这是完全无缝的自动连接——无需记忆密码,也无需登录门户。对您的IT团队而言,这是一次重大的安全升级。
这种设置最强大的部分是访问权限的自动撤销。当您禁用了Entra ID中的一个用户或其账户被删除,其证书就会失效。其网络访问权限会被立即切断,您无需手动清理。
这种紧密集成弥补了一个巨大的安全漏洞,这个漏洞通常在员工离职后仍长期存在。为了更好地理解这里涉及的安全模型,您可以阅读我们关于 802.1X身份验证优势的详细指南 。
简化您的RADIUS设置
传统上,要实现这种安全级别,需要设置并维护专用的本地RADIUS服务器——这是一项以复杂性和持续维护而闻名的任务。通过云管理解决方案,情况不再是这样了。Purple实质上成为了您的云RADIUS提供商,简化了整个工作流程。
在Meraki仪表板中,您只需将WPA2-Enterprise员工SSID指向我们提供的RADIUS详细信息。Purple负责与您的目录服务(无论是Entra ID还是Okta)的所有通信。无需修补服务器,无需处理命令行带来的麻烦,也无需在您的通信室中放置单点故障。
这种云优先的方法也正是Cisco Meraki在英国依然保持强大地位的重要原因。市场分析显示其增长势头强劲,在关键时期市场价值同比增长约12.14%。像Purple这样的合作伙伴集成放大了这一价值,它提供了零信任访问,却无需应对传统RADIUS的痛苦,从而提升了从零售到医疗保健等行业的效率。
使用iPSK处理传统设备
当然,并非网络上的所有设备都足够智能以支持 802.1X 身份验证。例如条形码扫描器、旧网络打印机或专用物联网传感器。这些设备通常无法处理数字证书,但您又不能让它们置身于开放的网络中。
这正是使用身份预共享密钥( iPSK )的完美场景。这是一种巧妙的方式,可以在旧技术与现代安全标准之间架起一座桥梁。
具体说明如下:
- 每个设备唯一的密钥:您通过Purple为每个“无头”设备生成唯一的密钥,而不是对所有设备使用同一个密码。
- 独立身份:每个密钥都与特定的设备绑定,因此您拥有完全的可见性。您将准确知道网络上的每个扫描器或打印机分别是谁。
- 安全隔离:您可以将这些设备连接到标准的WPA2-Personal SSID,但仍可应用特定的网络策略或将它们分配至其专属VLAN,从而使它们与企业流量安全地分隔开来。
使用iPSK可以确保无线接入点meraki网络上的每一个设备,无论其能力如何,都被记录在案并安全连接。这是一种实用且有效的方法,可以在不牺牲安全性或可见性的前提下,将您的传统硬件纳入零信任框架中。
优化网络性能和分段
在配置好安全的SSID和诸如OpenRoaming等功能之后,就该深入了解并优化您的网络性能了。设计精良的网络就是高性能的网络,对于任何无线接入点meraki部署而言,这意味着掌握网络分段和射频(RF)管理。
做好这一点,可以确保每个用户都能获得快速、稳定的连接,这对于任何依赖WiFi运营或盈利的场所都至关重要。我所见过的最常见也是最严重的错误之一,就是让访客、员工和物联网流量全部混在同一个网络中。这不仅会造成性能瓶颈,还是一个重大的安全风险。我们可以使用虚拟局域网(VLAN)在网络中创建独立、专用的通道来解决这个问题。
使用VLAN实现安全的网络分段
合理的网络分段是保证安全性和性能的最佳实践。当您将每个SSID分配给各自的VLAN时,您实际上是在不同流量类型之间筑起了数字墙。这对于防止“横向移动”至关重要,所谓横向移动是指访客网络上的设备可能会窥探并尝试与安全员工网络上的设备通信。
在Meraki仪表板中,我们通过VLAN标记来实现这一点。
- 访客SSID:将其分配给一个专用的访客VLAN。这会将所有访客流量引导至特定的IP子网,该子网应配备自己的DHCP服务器和严格的防火墙规则,以阻止访问任何内部公司资源。
- 员工SSID:应将其分配给您的公司VLAN,使其能够可信地访问内部服务器、打印机和应用程序。
- 物联网SSID(使用iPSK):这些设备也需要自己的独立VLAN。这样可以将像智能传感器或数字标牌等可能脆弱的设备与敏感的企业数据完全隔离开来。
正确实施这一点至关重要。我见过一些部署,由于VLAN配置错误,访客设备意外地从公司DHCP服务器获取IP地址——这是一个简单但必须避免的严重错误。
可以把VLAN想象成在网络中创建独立的、专属的俱乐部。“访客俱乐部”的成员不能溜进“员工专用休息室”。这种隔离是构建安全有序网络架构的基础。
当然,即使是最好的无线设置,也离不开互联网连接的支持。确保拥有 稳定的NBN连接并带有4G备份 ,防止因网络中断导致Meraki网络停摆,始终是明智之举。
高级射频调谐和信道规划
优化电波与组织数据同样重要。在购物中心、体育场馆或酒店等繁忙场所,射频干扰是导致WiFi信号不佳的罪魁祸首之一。此时,策略性的信道规划和Meraki的射频配置文件就成为了必不可少的工具。
Meraki的Auto RF功能能够出色地动态调整信道和功率水平以避开干扰。然而,对于极高密度的场所,您可以通过创建自定义射频配置文件来获得更精细的控制。这些配置文件可让您设置诸如最低比特率、禁用旧的遗留数据速率(这些速率会拖慢所有人)、以及微调频带引导以将更多客户端推向速度更快、不那么拥挤的5GHz频段等操作。
对于英国的部署来说,一项最近的法规变更堪称游戏规则的改变者。Cisco Meraki在ETSI域中引入UNII-3信道支持(随固件版本29.1推出),这一变化带来了变革性的影响。在此之前,英国站点仅拥有四个非DFS的5GHz信道。现在,受支持的AP可以使用诸如155等额外信道,而无需顾虑DFS的延迟。
对于场所管理者来说,这意味着您的无线接入点meraki硬件,如MR57-HW或CW9162I,现在可以使用更多的频谱,从而大幅提升容量并减少干扰。您可以 在Meraki社区论坛上了解更多关于英国UNII-3更新的信息 。通过应用这些分段和射频优化技术,您将把您的设置从基础网络提升到真正的企业级无线体验。
您的Meraki与Purple之常见问题解答
当您将两个复杂的平台(如无线接入点meraki网络和Purple)集成在一起时,自然会有些疑问。您旨在打造无缝、安全的体验,正确把握每个细节至关重要。
在部署过程中,我们经常听到IT团队询问一些相似的问题。因此,我们在这里收集了最常见的问题,为您提供快速、实用的解答,帮助您避开潜在的陷阱,并充分利用您的设置。
我可以在现有的Meraki接入点上使用Purple吗?
是的,您几乎肯定可以。Purple经过设计,能够与各种 Meraki AP 顺畅集成。您无需为了启动而购买全新硬件。
关键要求是您的Meraki仪表板具有适当的许可,且您的接入点运行兼容的固件版本。这使它们能够与外部系统进行通信,以实现RADIUS集成和自定义Captive Portal等功能。正如我们前面提到的,保持固件更新是解锁这些高级功能的硬性要求。
启用OpenRoaming会造成安全风险吗?
常见的误解是,由于连接是“自动”的,因此它必然不太安全。实际上,情况恰恰相反——它显著提升了安全性。
传统的开放式访客网络可能成为一个真正的薄弱环节,但OpenRoaming从第一个数据包开始就使用稳健的WPA2/WPA3-Enterprise加密。身份验证由受信任的身份提供者处理,这意味着用户流量永远不会通过未加密的信道发送。这比任何典型的Captive Portal登录都更安全、更专业。
当员工离职时会发生什么?
他们的网络访问权限会被立即切断。这是您从集成目录服务(如 Entra ID 或 Okta )与Purple协同工作中获得的最强大的安全胜利之一。
当您在公司的目录中禁用或删除一个用户账户时,该更改会同步到Purple。他们的网络身份验证证书会立即失效。他们的设备将无法再连接到安全员工SSID。这是一种零信任方法,可弥补由于残留访问凭证而留下的巨大安全漏洞。
如何连接不支持802.1X的设备?
这是一个非常现实的问题。并非网络上的每个设备都是现代智能手机或笔记本电脑。想想您的网络打印机、条形码扫描器或各种物联网传感器。对于这些,我们依赖身份预共享密钥(iPSK)。
之前我们详细介绍过的这个功能,是一个完美的变通方案。这里快速回顾一下它为何如此有效:
- 唯一的设备身份:您直接在Purple仪表板中为每个特定设备生成唯一的预共享密钥。
- 安全连接:这些设备随后可以安全地连接到标准的WPA2-Personal SSID,而无需在设备端进行任何复杂配置。
- 保持分段:关键的是,即使采用这种更简单的连接方法,您仍然可以自动将这些设备放置到它们自己隔离的VLAN中,使它们远离敏感的的企业流量。
使用iPSK意味着您不必为了传统或无头设备而牺牲安全性。它巧妙地将所有硬件纳入您的安全、集中管理的无线接入点meraki框架中,确保网络上没有盲点。
准备好通过基于身份的访问改变您的网络了吗?了解Purple如何能替代密码、保障网络安全,并为每个人提供无缝的连接体验。 立即探索Purple的解决方案 。
