Alcatel-Lucent OmniAccess Stellar 与访客 WiFi：配合 Purple 进行 Captive Portal 设置

欢迎阅读 Purple 技术简报。今天我们将介绍 Alcatel-Lucent Enterprise OmniAccess Stellar 与 Purple WiFi 的集成。本简报面向需要部署安全、可扩展且智能的无线网络的 IT 经理、网络架构师和场所运营总监。 让我们先了解一下背景。您拥有一个场所。可能是一家酒店、一个零售连锁店或一个体育场。您已经投资了 ALE OmniAccess 硬件。现在，您需要从该基础设施中挖掘商业价值。您需要捕获第一方数据、安全地细分用户，并提供无缝的入网体验。这就是 Purple 云覆盖的作用所在。 Purple 在全球 80,000 多个活跃场所运行，并在 2024 年处理了超过 4.4 亿次登录。它与硬件无关，这意味着它可以运行在您现有的 ALE 基础设施之上，无需更换任何硬件。整个身份验证和数据捕获逻辑都驻留在 Purple 云中。 此集成的核心依赖于 RADIUS。当访客进入您的场所并连接到开放的访客 WiFi SSID 时，ALE AP 会拦截其网络流量。它不会让他们直接访问互联网，而是将其浏览器重定向到 Purple 托管的 Captive Portal。这就是您的品牌展示页（Splash page）。您可以在这里展示您的品牌、收集电子邮件地址，或通过 Facebook、LinkedIn 或 Google 提供社交登录。 用户提交其详细信息后，Purple 云 RADIUS 服务器会对其进行身份验证，并向 ALE AP 发送一个 Access-Accept 消息。然后，AP 会释放防火墙规则并授予互联网访问权限。整个流程不到三秒即可完成。 现在，让我们深入了解技术细节。我们该如何实际配置它？ 首先，您需要在 OmniVista 或 Stellar 管理界面中配置 RADIUS 服务器设置。您将输入 Purple RADIUS IP 地址，将身份验证端口设置为 1812，并将计费端口设置为 1813。至关重要的是，确保启用 RADIUS 计费，且间隔为 300 秒。这就是将会话数据反馈给 Purple 以进行分析和合规性日志记录的关键。 接下来是 Walled Garden。这会影响很多部署。在用户通过身份验证之前，他们无法访问互联网。但他们需要访问 Purple 门户才能登录。您必须在身份验证前访问列表中将 Purple 域名列入白名单。核心域名包括 region1.purpleportal.net、venuewifi.com 和 cloudfront.net。如果您使用 Facebook 或 LinkedIn 登录，也必须将他们的域名列入白名单。如果 Walled Garden 配置错误，Captive Portal 将无法加载。毫无疑问。 对于 SSID 配置，创建一个新的无线网络，将安全级别设置为 Open，并启用 External Captive Portal 选项。将重定向 URL 指向您特定的 Purple 品牌展示页 URL，您可以在 Purple 门户的场所硬件设置下找到该 URL。 让我们转向更高级的场景：多租户 WiFi。想象一个联合办公空间或学生公寓。您有多个租户，他们需要自己安全、隔离的网络。您不想广播 20 个不同的 SSIDs。这会破坏您的射频性能，并造成糟糕的用户体验。 解决方案是 PPSK（Private Pre-Shared Keys）结合动态 VLAN 引导。您只需广播一个安全的 SSID。但每个租户都会获得一个唯一的密码。当租户 A 输入其密码时，ALE AP 会将该请求发送到 Purple RADIUS 服务器。Purple 会识别该密码，对用户进行身份验证，并发送回 Access-Accept 消息。 但这里是重要部分。该消息包含特定的 RADIUS 属性。属性 64 表示 Tunnel-Type，设置为 13 表示 VLAN。属性 65 表示 Tunnel-Medium-Type，设置为 6 表示以太网。属性 81，即 Tunnel-Private-Group-ID，其中包含实际的 VLAN ID。ALE AP 收到此消息后，直接将租户 A 接入 VLAN 30。当租户 B 使用不同的密码登录时，他们会接入 VLAN 40。一个 SSID，完全的二层（Layer 2）隔离。这就是实践中的基于身份的网络（Identity-Based Networking）。 让我们来看一个真实的例子。一家拥有 200 间客房的酒店在其现有的 ALE OmniAccess Stellar AP 上部署了这种架构。他们需要将酒店客人、后台员工和一楼餐厅作为三个完全独立的网络段进行服务。他们没有部署三个 SSIDs，而是使用 PPSK 配合动态 VLAN 引导。结果是单个 SSID、三个隔离的 VLAN，并且与之前多 SSID 的方法相比，大幅降低了管理开销。 现在让我们讨论实施建议和常见陷阱。 第一，保持硬件无关的设计。在 Purple 中构建您的策略，而不是在本地控制器上。这允许您以后扩展或更换硬件厂商，而无需从头重建您的安全策略。 第二，注意固件版本。确保您的 ALE AP 运行的固件明确支持通过 RADIUS 进行动态 VLAN 分配。较旧的 Stellar 固件版本可能无法完全支持 Tunnel-Private-Group-ID 属性。请在部署前查看 ALE 发行说明。 第三，DNS 是您的朋友也是您的敌人。如果您的 Captive Portal 未显示，请首先检查您的 DHCP 范围。如果客户端没有接收到有效的 DNS 服务器，他们就无法解析门户 URL，整个过程就会停止。这是 Captive Portal 部署中最常见的支持问题。 第四，对于使用 802.1X 的安全员工 WiFi，在大多数环境下请使用 PEAP 配合 MSCHAPv2，或者在基于证书的部署中使用 EAP-TLS。Purple RADIUS 服务器支持这两种协议。员工设备通过 Microsoft Entra ID 或 Okta 进行身份验证，然后 RADIUS 服务器返回员工网络段相应的 VLAN 分配。 让我们进行一次快速问答环节。 问题：我可以在零售环境中使用这种集成来实现 PCI-DSS 合规性吗？ 答：是的。通过使用动态 VLAN 引导，您可以确保 POS 设备始终置于隔离的 VLAN 上，与访客流量完全分离。这满足了 PCI-DSS 4.0 下的网络隔离要求。 问：Purple 是否需要在现场部署硬件设备？ 答：不需要。Purple 是一个云端覆盖网络。它通过互联网上的标准 RADIUS 直接与您现有的 ALE 硬件进行通信。无需机架安装和堆叠。 问：如果无法访问 Purple 云会发生什么？ 答：您可以在 ALE AP 上配置回退策略。对于访客网络，您可以允许开放式访问作为回退。对于员工网络，配置拒绝所有回退以保持安全性。 问：我可以通过集成捕获分析数据吗？ 答：可以。每个通过身份验证的会话都会在 Purple 平台中生成一个访客画像。您可以从注册表单中获取停留时间、访问频率、设备类型和人口统计数据。这些数据可通过 Purple 包含 400 多个连接器的库直接传输到您的 CRM 中。 总结一下今天简报的关键要点。 第一点：ALE OmniAccess 与 Purple 的集成使用端口 1812 和 1813 上的标准 RADIUS。无需专有协议。 第二点：Walled Garden（围墙花园）至关重要。如果设置错误，Captive Portal 将无法加载。在进行其他任何操作之前，请先将 Purple 域名列入白名单。 第三点：采用动态 VLAN 引导的 PPSK 是多租户环境的正确架构。一个 SSID，唯一的密码，每个租户独立的 VLAN。 第四点：RADIUS 属性 64、65 和 81 是动态 VLAN 分配所需的三个属性。如果缺少其中任何一个，引导都会失败。 第五点：Purple 与硬件无关。您的策略存在于云端，而不是控制器上。这使您可以灵活地跨不同硬件厂商进行扩展。 您的下一步是登录 Purple 门户，导航到您场馆的硬件设置，并获取您特定的 RADIUS 凭据和 Splash Page URL。然后按照本指南中的配置步骤将您的 ALE OmniAccess 基础设施连接到 Purple 云。 感谢您收听本次 Purple 技术简报。欲了解更多信息，请访问 purple.ai。