Aruba Central与Purple WiFi：云端管理集成

Aruba Central与Purple WiFi：云端管理集成。面向IT领导者的简报。 欢迎收听。如果您正在管理多个场所的访客WiFi，并且使用的是Aruba Central，那么本期节目与您直接相关。我将为您详细介绍Purple如何与Aruba Central集成——架构、配置步骤、多站点部署模式，以及常见的陷阱。这是一期实用简报，而非产品宣传。我们开始吧。 第一部分：背景及其重要性。 Aruba Central是HPE的云端管理网络平台。它是部署在酒店、零售连锁店、体育场、会议中心和公共部门建筑中的数万个Aruba Instant接入点的控制面。如果您已从本地Aruba控制器——移动控制器或移动导体——迁移到Central，您已经体验到了从基于CLI、站点特定的配置到基于组的、云端推送策略管理的转变。这一转变从根本上改变了您集成访客WiFi平台（如Purple）的方式。 在传统的本地Aruba控制器上，您直接在控制器本身上配置强制门户重定向和RADIUS认证。控制器是策略执行点，位于您的数据中心或机房。而使用Aruba Central，策略执行仍发生在接入点——但配置是从云端下发的。这意味着您的集成接触点不同了。您使用的是组模板、SSID配置文件以及存在于Central配置层次结构中的外部强制门户配置文件对象，而不是机架上的某个盒子。 Purple作为云端托管的访客WiFi智能平台，位于这一切之上。它提供强制门户——访客看到的初始页面——处理认证逻辑，以同意方式捕获第一方数据，并将分析数据反馈给您的市场和运营团队。问题是：如何将这两个云平台干净地连接起来，并在可能涉及数百个站点的情况下实现规模化？ 第二部分：技术架构。 让我描述一下访客连接时的数据流。访客设备与您的访客SSID关联——我们称之为Hotel-Guest——该SSID由Aruba Instant AP广播。该AP已通过Aruba Central配置了一个外部强制门户配置文件。该配置文件包含两个关键信息：重定向URL（指向Purple的强制门户服务器）和RADIUS服务器详细信息（指向Purple的RADIUS即服务端点）。 当访客打开浏览器时，AP拦截HTTP请求并将其重定向到Purple的初始页面。访客进行认证——根据您的Purple配置，可通过社交登录、电子邮件、短信或自定义表单。然后，Purple后端向AP发送一个RADIUS访问接受消息，授予访客互联网访问权限，并将其从预认证角色移至已认证访客角色。RADIUS计费数据包在整个会话期间流动，使Purple能够了解会话时长和数据使用量。 现在，与本地Aruba的关键区别在于：在Aruba Central中，您只需在组级别配置一次外部强制门户配置文件，它就会传播到该组中的每个AP。您无需接触单个AP。这对于多站点部署非常强大，但要求您在开始之前正确构建组结构。 Aruba Central将设备组织到组中，在组内，您可以拥有站点。组是配置的单位——SSID、射频配置文件、安全策略都存在于组级别。站点是位置和监控的单位。对于酒店连锁，一个合理的结构是每个物业类型一个组——比如，全方位服务酒店和经济型酒店——每个实体酒店作为相应组内的一个独立站点。然后，Purple的配置映射到组：每个组一个外部强制门户配置文件，指向相同的Purple RADIUS端点，但可以使用Purple的场所级自定义功能为每个站点设置不同的初始页面主题。 围墙花园是一个团队经常出错的关键配置元素。在访客认证之前，AP只允许DNS和DHCP流量，以及您明确列入白名单的任何域名。为使Purple正常工作，您必须将Purple的强制门户域、Purple用于资源的任何CDN域，以及如果您使用社交认证，则包括社交登录提供商域——Facebook、Google、Apple——列入白名单。如果您遗漏了一个域名，初始页面将部分加载，或者认证会无声失败。Purple的支持文档提供了当前的围墙花园列表，您应该将该列表视为动态文档，并在Purple更新其平台时进行审查。 第三部分：用于自动化的Aruba Central API接口。 如果您要部署到超过约二十个站点，通过Central UI进行手动配置将成为瓶颈。Aruba Central提供了一个全面的REST API——Central API——让您能够自动创建SSID、分配强制门户配置文件以及配置围墙花园。该API采用OAuth 2.0认证，您需要从Central门户生成API凭证。 Purple集成的关键API端点是：WLAN配置端点，允许您创建和更新SSID配置文件；外部强制门户配置文件端点，您在其中定义Purple重定向URL和RADIUS服务器详细信息；以及站点和组管理端点，允许您以编程方式将设备分配到站点和组。如果您正在启动一个新场所，您可以编写一个脚本，在Central中创建站点，将AP分配到该站点，应用正确的组模板，并配置Purple特定的强制门户配置文件——所有这些都无需接触UI。 Purple也提供了自己的API，让您可以创建场所记录、配置初始页面主题以及拉取分析数据。成熟的集成将同时使用这两个API：Central的API用于管理网络层，Purple的API用于管理访客体验层。这正是大型零售连锁店和酒店集团在每季度入驻数十个新站点时使用的模式。 第四部分：分步配置。 让我带您走一遍单个站点的配置顺序，这些步骤之后您会将其自动化以实现规模化。 首先，在Aruba Central中，导航到您的目标组并打开WLAN配置。创建一个新的SSID——例如，Venue-Guest——并将安全级别设置为访客。这是Aruba对开放或强制门户认证网络的术语。 其次，在安全选项卡下，将初始页面类型设置为外部强制门户。创建一个新的外部强制门户配置文件。给它一个描述性名称——Purple-Guest-Portal效果不错。将认证类型设置为RADIUS认证。在IP或主机名字段中输入Purple强制门户服务器的主机名。输入重定向URL。启用HTTPS。将强制门户故障行为设置为拒绝互联网，这是更安全的默认设置。 第三，配置RADIUS服务器。在Central中，进入认证服务器设置并添加Purple的RADIUS即服务服务器。您需要服务器IP或主机名、共享秘密（在Purple平台中生成）以及认证端口（标准1812），计费端口为1813。将此服务器添加为您访客SSID的主服务器。 第四，配置围墙花园。在SSID的访问规则中，将Purple强制门户域和任何社交登录域的允许列表中加入。仔细测试——遗漏域名是初始页面故障最常见的原因。 第五，保存并推送配置。Central会将配置推送到组中的所有AP。在测试设备上验证重定向是否正确触发，以及认证是否完成。 第五部分：多站点部署模式。 对于跨五十个或更多站点的部署，您需要一套严谨的方法。我推荐的模式是：试点、模板化、自动化、验证。 在单个站点上试点。将配置完全调整正确——围墙花园完整、RADIUS工作、初始页面加载干净、计费数据流动。记录每个参数值。然后将该配置构建到Central组模板中。模板成为您的单一事实来源。 对于推广，使用Central API在入驻新站点时将模板推送到新组。如果您的Purple部署根据品牌或区域使用不同的初始页面主题，可以对强制门户配置文件进行参数化——重定向URL可以包含查询参数，Purple使用这些参数来提供正确的主题。这意味着您可以拥有一个单一的RADIUS端点，但提供多种初始页面体验，全部集中管理。 入驻后验证每个站点。一个简单的验证脚本，关联测试设备、检查重定向、进行认证并验证互联网访问，将在访客遇到问题之前捕捉到配置偏差。Purple的分析仪表板还会显示会话是否被记录——如果某个站点在Purple的报告中消失，那是网络层出现问题的信号。 第六部分：实施陷阱。 围墙花园是第一大故障点。使用没有缓存DNS或门户会话的设备进行测试。使用新的浏览器配置文件或隐身模式。 第二个陷阱是RADIUS共享秘密不匹配。您在Central中配置的秘密必须与Purple平台中的秘密完全匹配。一个字符的差异就会导致无声的认证失败——AP从RADIUS服务器得不到响应，将拒绝访客，或者如果您将强制门户故障模式设置为允许互联网，将在没有认证的情况下授予访问权限，这是一种合规风险。 第三个陷阱是VLAN配置错误。访客流量应位于一个专用的VLAN上，与您的企业网络隔离。在Aruba Central中，这在SSID配置文件的VLAN设置中配置。如果您的访客VLAN在上行交换机端口上没有正确中继，AP会上线，但访客无法获取DHCP地址。 第四个陷阱是强制门户重定向的证书信任。现代浏览器和操作系统对HTTPS执行越来越严格的要求。Purple的强制门户服务器使用有效的TLS证书，但如果您的围墙花园阻止了客户端用于验证证书的OCSP或CRL端点，您将在初始页面上看到证书错误。将这些端点添加到您的围墙花园中。 第七部分：快速问答。 Purple是否同时支持Aruba Central的AOS-10和AOS-8架构？是的。外部强制门户机制在两个固件分支中是一致的。UI路径略有不同，但底层配置对象是相同的。 我可以在不运行自己的RADIUS基础设施的情况下使用Purple的RADIUS即服务吗？是的，这是其核心价值。Purple的RADIUS即服务是一个云端托管的RADIUS服务器，您将Aruba AP指向它。您无需在本地部署FreeRADIUS或Cisco ISE。 此集成支持WPA3吗？Aruba Central在兼容的AP上支持WPA3，您可以在访客SSID上启用WPA3过渡模式。Purple的强制门户机制与加密层无关——它在HTTP重定向级别运行，而不是在802.11关联级别。 Purple收集的数据是否符合GDPR？Purple的设计以GDPR合规为核心要求。初始页面提供了一个同意机制，Purple的数据处理受您与他们签订的数据处理协议管辖。对于欧盟场所，确保您的Purple配置包含适当的同意语言，并在上线前签订数据处理协议。 第八部分：总结与后续步骤。 总结：Aruba Central和Purple通过外部强制门户机制集成，RADIUS认证由Purple的云端RADIUS服务处理。配置存在于Central的组级别，并传播到组中的所有AP——这是与本地Aruba的关键架构差异。对于多站点部署，使用Central API实现自动配置，并将您的试点站点配置作为后续所有操作的模板。 您的即时后续步骤：首先，确认您的Aruba Central组结构与您的Purple场所层次相匹配。其次，从Purple的支持门户获取Purple当前的围墙花园域列表和RADIUS端点详细信息。第三，在单个站点上运行试点，并在扩展前验证完整的认证流程。第四，并行使用Central API和Purple API构建您的自动化脚本。 如果您是首次评估Purple，purple.ai上的访客WiFi和分析平台页面能让您清楚地了解除了强制门户之外您还能获得什么——第一方数据捕获、营销自动化、客流量分析。这就是为该项目争取资金的商业案例。 感谢收听。如果您对此集成有任何疑问，Purple的解决方案团队可以带您进行一次针对您特定Aruba Central环境的概念验证。