Alta Labs AP 和访客 WiFi：使用 Purple 设置 Captive Portal

播客脚本：Alta Labs 与 Purple WiFi 集成：设置与 Captive Portal 配置 Purple WiFi 智能平台 - 技术简报系列 时长：约 10 分钟 配音：英式英语，资深顾问语调 - 自信、口语化、权威 --- [片头 - 1 分钟] 欢迎收听 Purple 技术简报系列。我是主持，今天我们将详细剖析 Alta Labs 接入点与 Purple WiFi 智能平台之间的集成。 如果您是 IT 经理、网络架构师或场所运营总监，正在寻求部署强大、可扩展的访客 WiFi 解决方案，那么本次简报正是为您量身打造。我们将介绍 Alta Labs AP6 和 AP6 Pro 的具体设置、如何配置外部 Captive Portal 重定向，以及使社交登录在实际应用中真正发挥作用所需的关键围墙花园（Walled Garden）设置。我们还将深入探讨 AltaPass - Alta Labs 的私有预共享密钥（PPSK）实现方式 - 以及如何使用它来细分多租户环境，而不会因 SSID 膨胀而破坏您的射频性能。 让我们开始吧。 --- [技术深挖 - 5 分钟] Alta Labs 与 Purple 之间的集成依赖于两个基本的网络概念：用于 Captive Portal 的 HTTP 重定向，以及用于认证和计费的 RADIUS。 当访客走进您的场所 - 例如零售店或酒店大堂 - 并连接到您的开放式或 WPA3-OWE 访客网络时，Alta Labs AP 就会充当守门人。它会拦截客户端的初始 HTTP 请求，并将其重定向到您的品牌 Purple 引导页面。 要在 Alta Labs 云管理平台中进行配置，您需要导航至 WiFi 设置，选择您的访客 SSID，并在高级设置下，将网络类型设置为访客（Guest）。这至关重要，因为它会自动应用客户端隔离，防止设备在网络中进行横向通信。接下来，在热点（Hotspot）区域下，选择“外部”（External），然后放入您场所设置中提供的 Purple 重定向 URL 以及您的授权密钥（Authorisation Secret）。 但这也是大多数部署遇到问题的地方：围墙花园（Walled Garden）。 围墙花园是指允许设备在通过身份验证之前访问的域名和 IP 地址列表。如果您希望访客使用 Google、Facebook 或 Apple 进行登录，他们的设备就需要在仍处于未认证状态时访问这些 OAuth 服务器。 您必须显式地将 Purple 基础设施域名（例如 region1.purpleportal.net 和 cloudfront.net）加入白名单。然后，您需要添加操作系统 Captive Portal 探测地址：用于 iOS 的 captive.apple.com，以及用于 Android 的 connectivitycheck.gstatic.com。如果您阻止了这些地址，手机就无法识别出其处于 Captive Portal 之后，引导页面也就永远不会弹出来。 最后，添加社交登录域名。对于 Google，是 accounts.google.com、oauth2.googleapis.com 和 gstatic.com。对于 Facebook，是 facebook.com、graph.facebook.com 和 fbcdn.net 域名。由于这些提供商使用动态内容分发网络，静态 IP 白名单在此处不起作用。您必须使用域名，并确保您的控制器执行动态 DNS 解析。 用户在 Purple 页面上完成登录后，Purple 的 RADIUS 服务器会向 Alta Labs AP 发送一条 Access-Accept 消息。然后，AP 会解除围墙花园限制并授予设备完整的互联网访问权限。这是一种干净、安全的流程，可以在保持网络完整性的同时捕获第一方数据。 现在，让我们讨论多租户细分。 在智能办公室、学生宿舍或多住户单元等环境中，您通常需要为不同群体提供安全、隔离的网络。过去，IT 团队会为每个租户广播一个单独的 SSID。这是一个非常糟糕的做法。它会产生巨大的管理开销，并由于信标帧开销而破坏您的无线性能。 Alta Labs 通过 AltaPass 解决了这个问题，这是他们版本的 Private Pre-Shared Keys（私有预共享密钥）。使用 AltaPass，您只需广播一个 SSID - 假设我们称之为 BuildingWiFi。但是，您可以为不同的用户或设备生成唯一的密码。 当租户 A 输入其特定密码时，AP 会动态地将其分配到具有 100 Mbps 带宽限制的 VLAN 101。当管理团队在同一个 SSID 上输入其密码时，他们会被接入到具有无限带宽的 VLAN 200。您甚至可以为智能恒温器等物联网设备创建一个密码，将其分配给隔离的 VLAN 并完全绕过 Captive Portal。 一个 SSID。无限密码。完全隔离。这是边缘端的基于身份的网络，对于困扰多租户部署多年的问题，这是一个真正优雅的解决方案。 让我给您举一个在实践中如何运作的具体例子。考虑一个有 72 个单元的公寓楼 - 这是 Alta Labs 被广泛使用的一种真实部署类型。网络管理员无需广播 72 个独立的 SSID，而是创建一个 SSID 并为每个单元生成一个唯一的密码。每个密码都映射到一个专用的 VLAN 和子网。基础级别的居民获得 100 Mbps 的带宽。购买高级级别的居民获得 300 Mbps 的带宽。大楼管理团队获得不受限制的访问。大楼自动化系统 - 门锁、暖通空调（HVAC）、电梯 - 拥有自己启用了深度数据包检测的隔离 VLAN。所有这些都来自一个 SSID。RF 环境更干净，性能更高，管理也大大简化。 现在，我们继续进行安全员工 WiFi 的 802.1X 配置。 对于您的员工网络，您完全不应该使用预共享密钥。您应该使用采用 802.1X 身份验证的 WPA2 或 WPA3 企业级。在 Alta Labs 平台中，您可以通过选择员工 SSID、将安全模式设置为 WPA2-Enterprise 或 WPA3-Enterprise，并将 AP 指向您的 RADIUS 服务器来进行配置。 如果您正在与 Purple 的 SecurePass 产品集成，Purple 将充当 RADIUS 中介，连接到您的身份提供商 - 无论是 Microsoft Entra ID、Okta 还是 Google Workspace - 并在 Access-Accept 消息中返回相应的 VLAN 分配。Alta Labs AP 从 RADIUS 响应中读取 Tunnel-Private-Group-Id 属性，并自动将设备置于正确的 VLAN 上。 关于 Alta Labs 动态 VLAN 分配的一个重要提示：在配置 RADIUS 分配的 VLAN 时，请将 SSID 上的默认 VLAN 设置为 VLAN 1 或保持未标记状态。存在一个已知行为，即如果默认 VLAN 设置为特定值，AP 可能会使用配置的默认值覆盖 RADIUS 分配的 VLAN。将默认值设置为 VLAN 1 可确保 RADIUS 分配优先。 --- [实施建议和陷阱 - 2分钟] 在您部署此方案时，我想强调几个关键建议。 首先，务必使用全新的设备测试您的 Captive Portal 流程。如果您在测试期间已经连接过网络，请不要使用您自己的手机。您的设备会记住 MAC 地址授权或已缓存 DNS 条目，这会掩盖 Walled Garden 故障。拿一个从未连接过该网络的平板电脑，连接它，并验证操作系统的 Captive Portal 助手是否会自动启动。 其次，警惕过度加白名单。我看到有些工程师对社交登录错误感到沮丧，于是直接将整个通配符域名或庞大的 IP 段加入白名单。这会带来安全漏洞，精通技术的用户可以完全绕过您的 Captive Portal。请仅保留 OAuth 流程所需的特定域名。 第三，在部署带有动态 VLAN 的 AltaPass PPSK 时，请确保您的整个交换机基础设施配置正确。连接到 Alta Labs AP 的交换机端口必须配置为 Trunk 模式，允许所有标记的 VLAN 通过并传输到网关。如果 AP 将流量标记为 VLAN 101，但交换机端口在 VLAN 1 上设置为 Access 模式，则流量将被丢弃，客户端将无法获取 IP 地址。 第四，每季度对您的 Walled Garden 配置进行一次审查。OAuth 提供商和内容分发网络会更改其域名结构。Apple 在 2023 年两次更新了其 Sign In 域名。在部署时正确的 Walled Garden 如果不进行积极维护，将会出现偏差。 --- [快速问答 - 1分钟] 让我们快速浏览一下来自一线的几个常见问题。 问题一：我可以在 Alta Labs 硬件上将 WPA3 与 Purple Captive Portal 结合使用吗？ 是的。您应该使用 WPA3-OWE，即机会性无线加密（Opportunistic Wireless Encryption）。这可以在空中对数据进行加密，保护访客隐私，同时仍能作为开放网络运行并触发 Captive Portal 重定向。对于 2026 年任何新的访客 WiFi 部署，这都是正确的选择。 问题二：我需要在防火墙上为 RADIUS 流量开放哪些端口？ Purple 的 RADIUS 服务器通过 UDP 端口 1812 进行认证，通过 UDP 端口 1813 进行计费。请确保您的边缘防火墙允许从 Alta Labs AP 到 Purple 基础设施的这些端口的出站流量。 问题三：我可以在同一个 SSID 上同时使用 AltaPass PPSK 和 Purple Captive Portal 吗？ 可以，这实际上是一个非常实用的配置。您可以创建一个 AltaPass 密码，以便已知设备 - 例如您的 POS 终端或数字标牌 - 绕过 Captive Portal，而连接到同一 SSID 的标准连接仍需通过 Purple 页面。这为您提供了一个单一、整洁的 SSID，同时处理已认证的设备和访客用户。 --- [总结与后续步骤 - 1 分钟] 总结一下：将 Alta Labs 与 Purple WiFi 相结合，为您提供了一个安全、可扩展的平台，用于捕获第一方数据并提供品牌化的访客体验。 请记住成功部署的三大支柱。首先，在 Alta Labs 云管理平台中准确配置外部热点重定向和 RADIUS 设置。其次，仔细定义您的围墙花园（Walled Garden）域名，以确保操作系统探测和社交媒体登录正常运行。第三，利用 AltaPass PPSK 实施基于身份的网络，细分您的流量，而不会因不必要的 SSID 污染您的无线空间。 Purple 在 80,000 个活跃场所运行，并在 2024 年处理了 4.4 亿次登录。该平台已通过 ISO 27001 认证，符合 GDPR，并且其架构可从单一精品酒店扩展到全国性零售物业。当您将其与 Alta Labs 硬件的性能和灵活性相结合时，您就拥有了一个极具吸引力的企业级 WiFi 堆栈。 如果您遵循本指南，您将提供无缝且合规的 WiFi 体验，让您的营销团队和安全团队都感到满意。 感谢收听 Purple 技术简报系列。下期再见，保持您的网络安全，并让您的数据具有可操作性。