Arista Networks AP与访客WiFi：使用Purple进行Captive Portal设置

欢迎来到本次简报。今天，我们将深入剖析 Arista Cognitive WiFi 与 Purple 平台的集成。这是一份高级顾问简报，专为企业网络架构师和云系统管理员设计，旨在帮助他们首次部署即可顺利成功。 让我们先来了解背景背景。Arista Cognitive WiFi 通过 CloudVision Cognitive Unified Edge 平台进行管理，是一种云管理的无线基础设施，支持企业级访客和员工网络部署。Purple 是一个与硬件无关的云覆盖层，提供访客门户、身份获取、RADIUS 身份验证和分析层。将两者结合后，您将获得一个完整、合规且极具商业价值的访客 WiFi 架构。让我们深入了解其技术机制。 首先需要了解的是 Captive Portal 入网流程。当访客设备与 Arista 接入点（AP）上的开放访客 SSID 关联时，AP 会立即将该设备置于预身份验证 VLAN 中。在此状态下，该设备拥有一个通过 DHCP 分配的 IP 地址，但其 DNS 和 HTTP 流量受到严格限制。该设备的操作系统（无论是 iOS、Android 还是 Windows）都会执行 Captive Portal 检测探测。iOS 向 captive.apple.com 发送 HTTP 请求。Android 探测 connectivitycheck.gstatic.com。Arista AP 拦截该请求并返回一个 302 重定向，将设备导向 Purple 页面 URL。 现在，这是大多数部署出错的地方。为了使该重定向正常工作，并让页面实际渲染，您需要在 Arista CV-CUE 中正确配置 Walled Garden。Walled Garden 是一个明确的允许列表。在预身份验证状态下，默认情况下所有流量都会被丢弃。您必须将加载门户所需的每个域名都加入白名单。至少包括 Purple 的核心域名：region1.purpleportal.net、venuewifi.com 和 cloudfront.net。如果您通过 Google Workspace 提供社交登录，则必须添加 accounts.google.com 及其关联的 CDN 范围。对于 Facebook，您需要 facebook.com、fbcdn.net 和 akamaihd.net。一旦漏掉其中任何一个，访客就会看到一个空白屏幕或一直处于加载状态的登录按钮。他们会放弃连接，而您也将失去获取数据的机会。 让我为您介绍 CV-CUE 中的 RADIUS 配置。导航至 Configure（配置），然后选择 Network Profiles（网络配置文件），再选择 RADIUS。点击 Add RADIUS Server（添加 RADIUS 服务器）。输入 Purple 主 RADIUS 服务器的 IP 地址，将 Authentication Port（身份验证端口）设置为 1812，将 Accounting Port（计费端口）设置为 1813，并输入 Purple 提供的共享密钥。对次级服务器重复此操作。这种冗余机制至关重要。如果主服务器不可达，次级服务器将接管工作，而不会中断访客的网络访问。 保存 RADIUS 配置文件后，转到 Configure，然后依次转到 WiFi 和 SSID，再点击 Add New SSID。命名您的 SSID，将类型设置为 Guest，并在 Security 选项卡下，将安全级别设置为 Open。这对于 Captive Portal 部署是正确的。在 Captive Portal 选项卡下，启用 Captive Portal 复选框，从 Cloud Hosted 下拉菜单中选择 Third-Party Hosted，并勾选 With RADIUS Authentication 框。将 Purple Splash Page URL 粘贴到 Splash Page URL 字段中。这通常采用 https://region1.purpleportal.net/access/ 格式。输入共享密钥。然后，在 Websites that users can access before login 区域中，添加您的 Walled Garden 域名。将 Called Station ID 格式设置为 percent-m，这会以 Purple 期望的格式发送 MAC 地址。将 Accounting Interval 设置为 2 分钟。清除 HTTPS Redirection 复选框。保存 SSID。它将在数分钟内传播到您的 Arista AP。 现在让我们讨论一下访客在 Purple 门户上提交详细信息后会发生什么。Purple 充当 RADIUS 服务器。它验证身份、获取同意，并将 RADIUS Access-Accept 消息发送回 Arista AP。但这里是关键部分：该 Access-Accept 消息包含 RFC 3576 中定义的 Change of Authorisation 属性。这些属性指示 Arista AP 动态地将该特定客户端从受限的预身份验证状态过渡到具有完整互联网访问权限的身份验证后 VLAN。同时，AP 在端口 1813 上向 Purple 发送 RADIUS Accounting-Start 消息。这将启动会话计时器，并将会话持续时间数据提供给 Purple 分析仪表板。 让我们转向更高级的用例：使用 Arista Private Pre-Shared Keys（即 PPSK）的多租户 WiFi。这是您在联合办公空间、零售商场、住宅建筑或任何需要严格网络隔离的多个不同用户群体的环境中所需要的架构。 传统方法的问题在于，为每个租户广播一个单独的 SSID 会产生巨大的射频开销。每个 SSID 都需要信标帧。在拥有 20 个租户的密集环境中，20 个 SSID 会消耗大量空中时间。PPSK 优雅地解决了这个问题。您广播一个单一的 SSID。但在 Purple 门户中，每个租户都被分配了一个唯一的密码。当用户连接时，Arista AP 会针对 Purple RADIUS 服务器对该密码进行身份验证。Purple 查找该密码，识别关联的租户，并返回 Access-Accept 消息。但至关重要的是，它附加了三个 RADIUS 属性：Tunnel-Type，设置为 VLAN；Tunnel-Medium-Type，设置为 802；Tunnel-Private-Group-ID，设置为租户的特定 VLAN ID。Arista AP 读取这些属性，并动态地将客户端引导到正确的 VLAN。租户 A 使用其密码进入 VLAN 100。租户 B 进入 VLAN 200。他们在第 2 层完全隔离。他们无法看到对方的设备、打印机或服务器。 这就是实践中的基于身份的网络（Identity-Based Networking）。密码的身份决定了网络网段。它通过 Purple 进行集中管理，因此当租户离开时，您只需在 Purple 门户中撤销其密码，访问就会立即终止。Arista 基础设施上无需进行任何更改。 现在，让我们介绍使用 IEEE 802.1X 的安全员工 WiFi。对于您的员工 SSID，您不应该使用共享密码。您应该使用带有 EAP（可扩展身份验证协议）的 802.1X。在 CV-CUE 中，创建一个新的企业 SSID。在“安全（Security）”选项卡下，选择 WPA2-Enterprise 或 WPA3-Enterprise。选择您的 RADIUS 配置文件，该配置文件应指向您的企业身份提供商，例如 Microsoft Entra ID 或 Okta。当工作人员连接时，他们的设备向 Arista AP 出示凭据，AP 通过 EAP 将其转发给 RADIUS 服务器。身份提供商验证凭据并返回 Access-Accept。对于使用 EAP-TLS 的基于证书的身份验证，设备出示客户端证书而不是用户名和密码，从而彻底消除了凭据盗窃这一攻击途径。 让我介绍一下 Arista Cloud WIPS 集成。Arista 的无线入侵防御系统在后台运行，扫描非法接入点和未经授权的客户端。在 CV-CUE 中，导航至“配置（Configure）”，然后是“WIPS”，再到“自动入侵防御（Automatic Intrusion Prevention）”。您可以配置从“降级（Degrade）”到“阻止（Block）”的防御级别。对于企业部署，我们建议将“中断（Disrupt）”级别作为起点，该级别会中断未经授权的通信而不会完全阻止，从而降低误报风险。您还应该在“配置（Configure）” - “设备（Device）” - “接入点（Access Point）”下配置 VLAN 监控，选择“安全（Security）”选项卡。启用 SSID VLAN 监控（SSID VLAN Monitoring），以便 AP 主动监控其分配的 VLAN 以发现非法活动。 现在，需要避免一些实施误区。首先，DHCP 池耗尽。在零售店或体育场等高人流量环境中，设备会短暂连接然后离开。如果您的空闲超时设置得太高，这些会话将保持活动状态，从而占用 IP 地址。在 CV-CUE 中将空闲超时设置为零售业 10 分钟，活动场所可低至 5 分钟。这可以积极地回收 IP 并防止地址池耗尽。 其次，MAC 地址随机化。自 iOS 14 和 Android 10 以来，设备默认会针对每个 SSID 随机化其 MAC 地址。这会破坏任何依赖 MAC 地址来识别回头客的架构。正确的应对方法是将您的身份模型转移到经过验证的凭据，即通过 Purple 门户捕获的电子邮件地址或社交媒体登录。为了在没有门户的情况下实现无缝重新连接，长期迁移路径是 Passpoint - 也就是 Hotspot 2.0，它使用基于证书的身份验证并完全消除了 Captive Portal。 第三，HTTPS重定向。在 CV-CUE 中配置 Captive Portal 时，请确保未勾选“HTTPS重定向”复选框。Purple 会独立处理 HTTPS 会话。在 Arista 端启用 HTTPS 重定向可能会导致证书不匹配错误，从而导致门户无法加载。 让我们针对常见场景进行快速问答。 问：访客的门户页面显示空白屏幕。您首先应该检查哪里？答：Walled Garden（围墙花园）。几乎所有原因都是因为缺少域名。请检查 CV-CUE 中是否已将所有 Purple 域名和相关的身份提供商 CDN 域名列入白名单。 问：PPSK 用户全部落入默认 VLAN。出了什么问题？答：Purple RADIUS 服务器未返回 Tunnel-Private-Group-ID 属性。请检查 CV-CUE 故障排除日志中的 RADIUS 响应，并验证 Purple 门户中的 VLAN 映射。 问：Purple 中的 RADIUS 计费数据显示会话时间为零秒。这是什么问题？答：计费端口可能配置错误或被阻止。请验证 Arista AP 与 Purple RADIUS 服务器之间的防火墙上是否已打开 1813 端口，并且 SSID 设置中的计费间隔是否设置为 2 分钟。 总结本次简报的要点。第一：Walled Garden 是一个明确的允许列表。将其作为一项经常性的日常维护任务，而非一次性的设置。第二：RADIUS 授权变更（CoA）是授予访问权限的机制。如果没有它，虽然门户流程已完成，但访客仍会被阻止。第三：Arista PPSK 结合 Purple RADIUS 可在单个 SSID 上实现动态 VLAN 引导，以进行多租户隔离，从而消除信标开销。第四：始终在访客 SSID 上启用客户端隔离，以防止横向移动。第五：MAC 地址随机化需要转向基于身份的认证，以便进行准确的数据分析。第六：妥善的集成可满足 GDPR 同意要求，并捕获可直接驱动营销投资回报率（ROI）的第一手数据。 您的后续步骤：从 Purple 门户硬件配置页面获取 Purple RADIUS 服务器 IP 地址和共享密钥。在 CV-CUE 中配置 RADIUS 配置文件。构建您的 Walled Garden 域名列表。部署您的访客 SSID。在推广到生产环境之前，先在移动设备上测试完整的认证流程。如果您正在部署多租户环境，请在配置 PPSK 密码之前先在 Purple 中映射您的租户 VLAN ID。 本次技术简报到此结束。感谢您的收听。