Aruba ClearPass 和 Purple WiFi：集成与部署指南

本指南提供了将 HPE Aruba ClearPass Policy Manager 与 Purple WiFi 平台集成的完整技术参考，涵盖了 RADIUS 代理架构、captive portal 配置和动态 VLAN 角色映射。专为 Aruba 重度环境中的 IT 经理和网络架构师设计，他们需要在保留 ClearPass 用于 NAC 的同时，部署 Purple 进行访客身份验证和分析。实施此集成可弥补关键供应商差距，实现企业级安全性和合规性，同时利用 Purple 市场领先的访客智能功能。

📖 9 min read📝 2,154 words🔧 2 worked examples❓ 4 practice questions📚 9 key definitions

Listen to this guide

View podcast transcript

欢迎收听本期关于 HPE Aruba ClearPass 与 Purple WiFi 平台集成的技术简报。我是主持人，今天我们将深入探讨架构、部署策略以及将 ClearPass Policy Manager 强大的网络访问控制与 Purple 行业领先的访客 WiFi 和分析功能相结合所带来的运营收益。

对于管理大型场所（无论是庞大的零售连锁店、高密度体育场还是复杂的医疗园区）的 IT 经理、网络架构师和 CTO 来说，提供安全、分段且具有洞察力的无线接入至关重要。ClearPass 在企业设备的上下文感知策略执行和 802.1X 身份验证方面表现出色。然而，在访客引导、captive portal 以及从访客数据中提取可行的营销分析方面，Purple 无疑是领导者。

我们今天要回答的核心问题是：如何配置 ClearPass 以使用 Purple 作为 captive portal，同时保留 ClearPass 用于 NAC 和基于动态角色的 VLAN 分配？让我们开始吧。

首先，让我们确定架构。从高层次来看，该集成依赖于标准的 RADIUS 协议和 HTTP 重定向机制。您的 Aruba Mobility Controller 或 Instant Access Point 广播访客 SSID。当未经身份验证的设备连接时，控制器拦截 HTTP 流量并将用户的浏览器重定向到 Purple captive portal。这个重定向是要弄好的第一个关键部分。

现在，用户通过 Purple 进行身份验证。这可能通过 Facebook 或 Google 的社交登录、自定义电子邮件和密码表单，甚至 OpenRoaming，其中 Purple 在 Connect 许可下作为免费身份提供商。一旦 Purple 验证用户，它会通过链路将 RADIUS Access-Accept 消息发送回控制器，然后控制器授予网络访问权限。

但这就是 ClearPass 变得至关重要的地方。与其让 Aruba 控制器直接与 Purple 的 RADIUS 服务器通信，不如将 ClearPass 作为中间的 RADIUS 代理插入。控制器将所有 RADIUS 请求发送到 ClearPass。ClearPass 评估请求，如果它匹配您的访客服务路由策略，则将其转发到 Purple 的云 RADIUS 服务器。Purple 响应，ClearPass 将该响应传回给控制器，但关键的是，它可以在此之前附加自己的策略属性。

这种代理架构使您兼得两者之长。ClearPass 维护网络上每个身份验证事件的完整审计日志，包括企业和访客。您可以为安全操作获得单一管理平台。Purple 处理面向用户的体验和分析，而无需更换您现有的 NAC 投资。

让我们谈谈动态 VLAN 分配，因为这是真正强大的地方 — 也是大多数部署如果不小心就会遇到麻烦的地方。

ClearPass 使用称为角色和 Enforcement Profile 的概念。当身份验证请求传入时，ClearPass 评估上下文：用户是谁，他们使用什么设备，现在是什么时间，他们从什么位置连接？基于这些因素，它分配一个角色。对于标准访客，可能是 ROLE_GUEST；对于 VIP，可能是 ROLE_VIP；对于承包商，是 ROLE_CONTRACTOR。

然后将此角色映射到 Enforcement Profile，该配置文件定义了返回给 Aruba 控制器的特定 RADIUS 属性。这里最重要的属性是 Aruba-User-Role Vendor-Specific Attribute 或 VSA。这告诉控制器在无线侧将用户置于哪个角色。

在 Aruba 控制器上，每个角色映射到特定的 VLAN 和一组防火墙策略。因此，ROLE_GUEST 映射到 VLAN 20，仅限互联网访问，带宽限制为 10 Mbps；ROLE_VIP 映射到 VLAN 40，限制为 50 Mbps；ROLE_IOT 映射到 VLAN 30，一个完全隔离的网段，无互联网访问，仅为智能设备提供本地连接。

这种分段不仅是良好实践 — 更是一项合规性要求。根据 PCI DSS，任何接触持卡人数据的网络都必须与访客网络隔离。根据 GDPR，您需要能够证明通过访客门户收集的个人数据得到了适当处理，并且访客流量不能穿越您的企业基础设施。

现在，让我向您介绍一个真实场景。一家拥有 500 间客房、横跨多个物业的大型酒店连锁。他们在每个站点都有 Aruba 控制器，集中部署了 ClearPass，并且他们希望为访客 WiFi 部署 Purple。

部署看起来像这样。每个站点两个 SSID：Hotel_Corp 和 Hotel_Guest。Hotel_Corp 使用带有证书的 802.1X，通过 ClearPass 对 Active Directory 进行身份验证。Hotel_Guest 是一个开放 SSID，触发 Purple captive portal。

在 ClearPass 中，他们创建两个服务。服务一匹配 Hotel_Corp 并在本地处理 802.1X 身份验证。服务二匹配 Hotel_Guest 并使用 RADIUS 路由策略将请求代理到 Purple。服务二的 Enforcement Policy 返回 Aruba-User-Role 为 guest-authenticated，映射到控制器上的 VLAN 20。

对于 IoT 设备 — 智能电视、温控器、门锁 — 他们使用第三个 SSID Hotel_IoT，采用基于 MAC 的身份验证。ClearPass 使用其 OUI 分析设备并分配 ROLE_IOT，将其放入 VLAN 30。

结果如何？员工获得完全的企业访问权限。访客获得品牌化、引人入胜的门户体验，包括社交登录和营销选择加入。IoT 设备被隔离。IT 团队在 ClearPass 的 Access Tracker 中对所有三种用户类型具有完全可见性。

现在让我们谈谈陷阱，因为有几个陷阱如果您未做好准备，会让您措手不及。

第一：walled garden。这是 captive portal 故障最常见的原因。在设备通过身份验证之前，Aruba 控制器仅允许流量到达预定义的目的地列表 — walled garden。如果 Purple 的门户 URL、其后端 API 端点以及社交登录提供商的域名不在该列表中，门户将无法加载。您需要主动维护此列表。像 Facebook 和 Google 这样的社交登录提供商会定期更改其 IP 范围和 CDN 域。将 walled garden 视为动态配置。

第二：RADIUS 超时。大多数 Aruba 控制器上的默认 RADIUS 超时为三秒。在代理架构中，请求从 AP 到控制器，再到 ClearPass，通过互联网到 Purple 的云 RADIUS，然后返回。在拥塞的网络上，该往返行程很容易超过三秒。将超时增加到至少十秒，并配置重试逻辑。

第三：共享密钥不匹配。这会导致静默故障，众所周知难以诊断。Aruba 控制器和 ClearPass 之间的共享密钥必须完全匹配。ClearPass 和 Purple RADIUS 服务器之间的共享密钥也必须完全匹配。单个字符差异将导致身份验证失败，并且不会向最终用户提供有意义的错误消息。务必仔细检查这些内容。

第四：角色名称区分大小写。ClearPass 返回的 Aruba-User-Role VSA 必须与 Aruba 控制器上定义的角色名称完全匹配 — 包括大小写。如果 ClearPass 返回 guest-authenticated，但控制器定义了 Guest-Authenticated，则用户将回退到默认角色，该角色通常是无法访问互联网的登录角色。

第五：RADIUS 计费。许多部署正确配置了身份验证代理，但忘记同时也代理计费。Purple 使用 RADIUS 计费数据来跟踪会话时长、数据使用情况，并填充其分析仪表板。如果计费未流向 Purple，您的分析将不完整。

让我们进入快速问答环节。

我可以对员工和访客使用单个 SSID 吗？可以。配置 ClearPass 以在同一 SSID 上处理 802.1X 和 MAC-Auth。使用服务规则来区分流量类型并进行相应的路由。这管理起来更复杂，但减少了 SSID 泛滥。

Purple 支持 Change of Authorization 吗？支持。CoA 允许控制器动态更新用户的会话，而无需他们重新连接。这对于限时访问或层级升级很有用。

我可以将此集成用于 Aruba Instant 而不是完整的 Mobility Controller 吗？可以，Aruba Instant 支持外部 RADIUS 服务器和 captive portal 重定向。配置略有不同，但原理相同。

此集成是否适用于 WPA3？适用。支持用于个人网络的 WPA3-SAE 和用于 802.1X 的 WPA3-Enterprise。对于使用 captive portal 的访客网络，WPA3-SAE 或具有 Opportunistic Wireless Encryption 的开放 SSID 是典型选择。

总结今天的简报。ClearPass 和 Purple 集成是一种 RADIUS 代理架构。ClearPass 仍然是所有网络访问的中央策略决策点。Purple 处理面向访客的体验和分析。Aruba 控制器通过动态 VLAN 分配执行生成的策略。三个最关键的配置元素是 walled garden、RADIUS 超时和角色名称一致性。把这三点做好，您就拥有了一个稳健、合规且具有商业价值的访客 WiFi 部署。

感谢您的收听。如果您想进一步探索，请访问 purple.ai，与解决方案架构师讨论您的具体部署。

Key Takeaways

✓该集成使用 RADIUS 代理架构：Aruba 控制器将所有 RADIUS 请求发送到 ClearPass，ClearPass 将访客身份验证路由到 Purple 的云 RADIUS 服务器，同时在本地处理企业 802.1X。
✓ClearPass 仍然是所有网络访问的中央策略决策点，维护统一的审计跟踪，满足 PCI DSS 和 GDPR 合规要求。
✓动态 VLAN 分配通过 ClearPass 角色映射和 Aruba-User-Role VSA 实现，可在单个 SSID 上安全地分段访客、员工、IoT 设备和 VIP。
✓walled garden 是操作上最敏感的配置元素 — 它必须包括 Purple 的门户域名、社交登录提供商端点以及操作系统级别的 captive portal 检测 URL。
✓将 Aruba 控制器上的 RADIUS 超时增加到至少 10 秒，以适应到 Purple 云基础设施的额外网络跳跃。
✓RADIUS 计费必须与身份验证一起代理到 Purple — 否则，Purple 的分析仪表板将显示不完整的会话数据。
✓该集成填补了 Aruba 重度环境中的关键供应商差距，启用 Purple 的高级访客分析和营销功能，而无需替换现有的 ClearPass NAC 投资。

执行摘要

对于大量投资于 HPE Aruba 基础设施的企业环境，管理复杂的网络访问策略，同时提供无缝、数据丰富的访客 WiFi 体验，是一个重大的架构挑战。虽然 ClearPass Policy Manager 在企业设备的网络访问控制 (NAC) 和 IEEE 802.1X 身份验证方面表现出色，但场所运营商越来越需要 Purple WiFi 提供的高级 captive portal、分析和营销功能。

本指南详细介绍了使用 RADIUS 代理模型将 Aruba ClearPass 与 Purple WiFi 集成的架构和部署策略。通过将 ClearPass 配置为将访客身份验证请求代理到 Purple 的 RADIUS-as-a-Service，组织可以维护集中式安全策略，执行基于动态角色的 VLAN 分配，同时利用 Purple 强大的访客洞察平台。对于大规模部署在零售、酒店业、医疗保健和交通枢纽，这种集成至关重要，在这些地方，合规性、安全性和客户参与必须毫无妥协地共存。最终，部署结果是 ClearPass 做出决策，Purple 进行交互，Aruba 执行策略。

技术深入探讨

架构概述

该集成依赖于标准的 RADIUS 代理架构，基于 RFC 2865 (RADIUS) 和 RFC 5176 (动态授权扩展)。Aruba Mobility Controller 或 Instant AP 集群配置为将所有 SSID 的 ClearPass 作为主 RADIUS 服务器。ClearPass 本地处理针对 Active Directory 或内部证书颁发机构的企业 802.1X 身份验证，但配置了 RADIUS 服务路由策略，将访客身份验证请求转发到 Purple 的云 RADIUS 服务器。

这种架构保留了对 ClearPass 作为中央策略决策点的投资，同时将访客体验层完全委托给 Purple。每个身份验证事件（企业或访客）都记录在 ClearPass 的 Access Tracker 中，提供统一的审计跟踪，满足 PCI DSS v4.0 和 GDPR 第 30 条（处理活动记录）的合规性要求。

认证流程：逐步分解

理解确切的事件顺序对于初始部署和后续故障排除至关重要。访客设备的流程如下。

步骤	角色	操作
1	访客设备	与开放的访客 SSID 关联
2	Aruba 控制器	分配预认证 IP 并将设备置于登录角色
3	访客设备	发送 HTTP 请求（例如， http://example.com）
4	Aruba 控制器	拦截并通过 HTTP 302 重定向到 Purple 门户 URL
5	访客设备	通过 walled garden 加载 Purple captive portal
6	访客用户	进行身份验证（社交登录、表单或 OpenRoaming）
7	Purple 平台	向 Aruba 控制器发送 RADIUS Access-Request
8	Aruba 控制器	将 RADIUS 请求转发到 ClearPass
9	ClearPass	匹配访客服务规则，代理到 Purple RADIUS
10	Purple RADIUS	返回 Access-Accept
11	ClearPass	附加 Aruba VSA (User-Role)，转发 Accept
12	Aruba 控制器	将设备移至后认证角色，分配访客 VLAN

captive portal 检测机制的行为——特别是 Apple 的 Captive Network Assistant (CNA)、Android 的连接检查以及 Microsoft NCSI——直接影响门户是否能正确加载。有关这些操作系统级别行为的详细细分，请参阅 Apple CNA、Android 连接检查、Microsoft NCSI：captive portal 检测的实际工作原理。

动态 VLAN 分配和 ClearPass 角色映射

网络分段是 PCI DSS 合规性和健全安全架构的强制性要求。ClearPass 通过其角色映射和 Enforcement Profile 框架实现动态 VLAN 分配。

当 ClearPass 处理身份验证请求时，它会评估上下文属性——用户身份、设备类型（通过 DHCP 指纹识别或 HTTP User-Agent 分析）、时间和连接位置——并分配角色。然后将此角色映射到 Enforcement Profile，该配置文件向 Aruba 控制器返回特定的 RADIUS 属性，最关键的是 Aruba-User-Role Vendor-Specific Attribute (VSA，Vendor ID 14823，Attribute 1)。

Aruba 控制器将每个 User-Role 映射到 VLAN 和一组状态防火墙策略。以下是大型场所的典型分段模型。

用户类型	ClearPass 角色	VLAN	带宽策略	防火墙策略
企业员工	ROLE_CORP	10	100 Mbps	完全内部访问
标准访客	ROLE_GUEST	20	10 Mbps	仅限互联网
IoT 设备	ROLE_IOT	30	5 Mbps	仅限本地，无互联网
VIP / 高级访客	ROLE_VIP	40	50 Mbps	互联网 + 选定服务
承包商	ROLE_CONTRACTOR	50	20 Mbps	有限内部访问

ClearPass 中的 RADIUS 代理配置

ClearPass Policy Manager 中的 RADIUS 代理配置需要三个组件：RADIUS 代理目标（定义 Purple 的 RADIUS 服务器端点）、服务路由策略（定义要代理哪些请求）以及 Enforcement Profile（定义在返回路径上附加的 VSA）。

代理目标在 Administration > External Servers > RADIUS Servers 下配置。添加 Purple 的 RADIUS IP 地址（可从 Purple 门户的 Hardware > RADIUS Settings 获取）、共享密钥以及身份验证端口 (UDP 1812) 和计费端口 (UDP 1813)。

服务在 Configuration > Services 下配置。创建一个类型设置为 RADIUS 代理的新服务。在服务规则下，添加匹配 Called-Station-ID（SSID 名称）或 NAS-Identifier 的条件以识别访客流量。在 Authentication 下，选择上面创建的 RADIUS 代理目标。

至关重要的是，确保 RADIUS 计费也被代理到 Purple。Purple 使用计费数据（Acct-Start、Acct-Interim-Update、Acct-Stop）在 WiFi Analytics 平台中填充会话持续时间、数据消耗和实时存在数据。忽略计费是一个常见的部署错误，会导致分析仪表板不完整。

实施指南

阶段 1：Aruba 控制器配置

步骤 1 — 将 ClearPass 定义为 RADIUS 服务器。 导航到 Configuration > Security > Authentication Servers。添加 ClearPass 的主 IP 地址和辅助 IP 地址。设置共享密钥、身份验证端口 (1812) 和计费端口 (1813)。将超时配置为 10 秒，重试配置为 3 次，以考虑到 Purple 云基础设施的代理跳跃。

步骤 2 — 配置访客 SSID。 为访客访问创建一个新的 SSID 配置文件。将安全模式设置为 Open 或 WPA3-SAE（建议用于 GDPR 合规性）。在 AAA 配置文件下，将初始角色设置为仅具有 walled garden 访问权限的预定义登录角色。

步骤 3 — 配置 captive portal 配置文件。 创建一个 captive portal 配置文件，指向 Purple 的启动页面 URL。此 URL 从 Purple 门户的 Locations > [Your Venue] > Splash Page URL 下获取。启用身份验证后重定向到原始 URL 的选项。

步骤 4 — 配置 walled garden。 这是操作上最敏感的步骤。walled garden 必须包含 Purple 的门户域名、CDN 端点以及所有社交登录提供商域名。至少包括：

*.purple.ai 和 *.purple-portal.com
*.facebook.com、*.fbcdn.net（用于 Facebook 登录）
*.google.com、*.googleapis.com（用于 Google 登录）
Apple 的 CNA 检查端点：captive.apple.com
Microsoft NCSI：www.msftconnecttest.com

步骤 5 — 定义后认证角色。 创建 ClearPass 将分配的后认证角色（例如，guest-authenticated）。每个角色映射到一个 VLAN 和仅允许互联网访问的防火墙策略。

阶段 2：ClearPass Policy Manager 配置

步骤 1 — 将 Aruba 控制器添加为网络设备。 在 Configuration > Network > Devices 下，添加每个 Aruba 控制器的管理 IP、共享密钥和供应商（Aruba Networks）。

步骤 2 — 将 Purple 添加为 RADIUS 代理目标。 在 Administration > External Servers > RADIUS Servers 下，使用 Purple 门户中提供的共享密钥添加 Purple 的 RADIUS 端点。

步骤 3 — 创建访客身份验证服务。 在 Configuration > Services 下，创建一个新服务。将服务类型设置为 RADIUS 代理。配置服务规则以匹配访客 SSID（例如，Called-Station-SSID EQUALS GuestWiFi）。在 Authentication 下，选择 Purple RADIUS 代理目标。

步骤 4 — 创建 Enforcement Profile。 在 Configuration > Enforcement > Profiles 下，创建一个 RADIUS enforcement profile。添加属性 Aruba-User-Role，值为 guest-authenticated。这指示 Aruba 控制器将用户移至后认证访客角色。

步骤 5 — 配置计费代理。 确保服务还配置为将 RADIUS 计费代理到 Purple 的计费服务器 (UDP 1813)。

阶段 3：Purple 平台配置

步骤 1 — 注册硬件。 在 Purple 门户中，导航到 Locations > Hardware。添加 Aruba 控制器的公共 IP 地址或 NAS-Identifier。这允许 Purple 将身份验证请求与正确的场所关联起来。

步骤 2 — 配置启动页面。 使用 Purple 的门户构建器设计 captive portal 体验。根据 GDPR 配置身份验证方法、条款和条件以及营销选择加入字段。

步骤 3 — 检索 RADIUS 凭据。 在 Locations > [Venue] > RADIUS Settings 下，检索 RADIUS 服务器 IP 地址、共享密钥和端口。在 ClearPass 代理目标配置中使用这些值。

最佳实践

walled garden 维护。 将 walled garden 视为动态配置。社交登录提供商会定期更新其 CDN 域和 IP 范围。建立季度审查流程，并订阅主要提供商的变更通知。

RADIUS 冗余。 在 ClearPass 中配置 Purple 的两个 RADIUS 服务器 IP 以实现故障转移。同样，在订阅服务器/发布服务器集群中部署 ClearPass，以消除身份验证路径中的单点故障。

计费完整性。 验证 Purple 是否接收到每个会话的 RADIUS 计费停止记录。孤立会话（有开始无停止）表明存在网络问题，并将扭曲分析数据。

802.1X 的证书管理。 对于使用 EAP-TLS 或 PEAP 的企业 SSID，确保服务器证书在到期前及时更新。过期的证书将同时锁定所有企业设备——这是一个高影响事件。

IoT 设备分析。 利用 ClearPass Device Insight 或内置的分析引擎，通过 OUI 和 DHCP 指纹自动分类 IoT 设备。这可以实现自动 VLAN 分配，无需手动管理 MAC 地址。

GDPR 合规性。 Purple 在访客身份验证期间捕获个人数据（电子邮件、姓名、社交资料）。确保您的 Purple 启动页面包含合规的隐私声明，并且 Purple 门户中的数据保留策略符合您组织的 GDPR 义务。

故障排除与风险缓解

Captive Portal 不显示

症状： 客户端连接到访客 SSID，但没有出现门户；设备显示“已连接，无互联网”。

诊断： 在控制器上行链路上使用数据包捕获，验证门户 URL 的 DNS 查询是否正在解析，以及 HTTP 流量是否被拦截。检查 CNA/NCSI 检查端点是否在 walled garden 中。

解决方案： 将缺少的域名添加到 walled garden。验证 captive portal 配置文件已正确关联到访客 SSID AAA 配置文件。

静默身份验证失败

症状： 用户完成门户表单，但网络访问被拒绝。ClearPass Access Tracker 显示 Access-Reject。

诊断： 打开 Access Tracker 条目，检查身份验证失败原因。常见原因包括 RADIUS 共享密钥不匹配、Purple RADIUS 服务器不可达或服务规则错误匹配了错误的服务。

解决方案： 验证 Aruba 控制器到 ClearPass 以及 ClearPass 到 Purple 两端的共享密钥。使用 radtest 从 ClearPass 服务器测试 Purple RADIUS 的可达性。

VLAN 分配不正确

症状： 访客身份验证成功，但收到的是企业子网 (VLAN 10) 中的 IP 地址。

解决方案： 验证 ClearPass Enforcement Profile 中的 Aruba-User-Role 值与 Aruba 控制器上定义的角色名称完全匹配（包括大小写）。检查 ClearPass Access Tracker 输出属性以确认 VSA 正在被发送。

RADIUS 超时错误

症状： 身份验证间歇性失败，尤其是在负载下。Access Tracker 显示超时错误。

解决方案： 将 Aruba 控制器上的 RADIUS 服务器超时增加到 10 秒。验证 UDP 端口 1812 和 1813 在 ClearPass 和 Purple 云基础设施之间的防火墙上是否开放且不受速率限制。

投资回报率与业务影响

部署此集成架构可在 IT、安全和商业职能部门产生可衡量的回报。从安全性和合规性角度来看，将所有身份验证事件集中在 ClearPass 中提供了统一的审计跟踪，简化了 PCI DSS 和 GDPR 合规性报告。动态 VLAN 分段消除了访客流量穿越企业基础设施的风险，直接减少了攻击面。

从商业角度来看，Purple 的 Guest WiFi 平台将访客网络从成本中心转变为第一方数据资产。每个经过身份验证的访客会话都会生成选择加入的营销数据——电子邮件地址、访问频率、停留时间和设备类型——这些数据直接输入到 CRM 和营销自动化平台中。在现有 Aruba 基础设施旁边部署 Purple 的场所，持续报告在电子邮件列表增长、重复访问率和活动转化方面的可衡量改善。

该集成还避免了更换现有 ClearPass 许可证或 Aruba 硬件的需要，使其成为对现有基础设施投资的低风险、高回报的补充。对于管理多个站点（零售连锁、酒店集团或大学校园）的组织，Purple 的集中管理门户提供了 ClearPass 单独无法提供的跨站点分析。

对于理解物理访客行为与网络安全同样重要的环境（如大型零售楼层或交通枢纽），Purple 的分析自然地与 Indoor Positioning System 数据集成，以提供空间智能以及连接指标。

Key Definitions

RADIUS Proxy

一种配置，其中 RADIUS 服务器（ClearPass）根据特定匹配条件（例如 SSID 名称或 NAS-Identifier）将身份验证请求转发到另一个 RADIUS 服务器（Purple）。

当组织希望在内部维护单一 NAC 解决方案，同时利用第三方云服务进行访客身份验证时使用。代理保留 ClearPass 中的中央审计日志，同时将身份验证决策委托给 Purple。

Change of Authorization (CoA)

RFC 5176 中定义的 RADIUS 扩展，允许 RADIUS 服务器动态修改活动客户端连接的会话授权属性，而无需客户端断开连接。

对 captive portal 部署至关重要。CoA 允许 Purple 向 Aruba 控制器发送信号，在用户完成门户表单时将用户从预认证登录角色转换为后认证访客角色。

Walled Garden

Aruba 控制器上的预认证访问控制列表，允许未经身份验证的设备到达 captive portal 运行所需的特定 IP 地址和域名。

如果设备无法到达门户 URL、社交登录提供商端点或操作系统级别的 captive portal 检测 URL（Apple CNA、Microsoft NCSI），门户将无法加载。这是 captive portal 部署失败的最常见原因。

Vendor-Specific Attribute (VSA)

由网络设备供应商（Aruba 的 Vendor ID 14823）定义的自定义 RADIUS 属性，用于通过专有指令扩展标准 RADIUS 协议。

Aruba-User-Role VSA（属性 1）是 ClearPass 告知 Aruba 控制器为已认证用户分配哪个角色的主要机制。该值必须与控制器上定义的角色完全匹配。

Dynamic VLAN Assignment

根据用户的认证身份或分配的角色，将用户或设备放入特定 VLAN 的过程，而不是基于他们连接的物理端口或 SSID。

使场所运营商可以广播单个访客 SSID，同时将标准访客、VIP 访客、IoT 设备和承包商安全地分段到独立网络段 — 这是 PCI DSS 合规性的要求。

Enforcement Profile

ClearPass 配置对象，定义当设备成功匹配身份验证服务时，要向网络设备返回的特定 RADIUS 属性和值。

这是将“如果是访客，则分配访客角色”的业务逻辑转换为发送到 Aruba 控制器的特定 RADIUS VSA 的地方。配置错误的 Enforcement Profile 是 VLAN 分配不正确的常见原因。

Captive Network Assistant (CNA)

内置于 iOS、Android 和 Windows 中的迷你浏览器，通过向已知端点发出 HTTP 请求来自动检测 captive portal，并提示用户进行身份验证。

了解 CNA 行为对于解决特定设备类型上的门户显示问题至关重要。CNA 端点（captive.apple.com、www.msftconnecttest.com）必须包含在 walled garden 中。

Access Tracker

ClearPass Policy Manager 中的实时诊断工具，记录每个 RADIUS 身份验证和计费事件，包括请求属性、匹配的服务、应用的 enforcement profile 和结果。

解决身份验证失败或角色分配不正确时首先咨询的诊断工具。它提供 ClearPass 接收到的内容、做出的决策以及返回到网络设备的内容的完整记录。

RADIUS-as-a-Service (RaaS)

一种云交付的 RADIUS 身份验证服务，其中 RADIUS 服务器基础设施由第三方提供商管理和托管，而不是本地部署。

Purple 的 RADIUS-as-a-Service 消除了场所为访客身份验证部署和管理自己的 RADIUS 基础设施的需要，同时通过本指南中描述的代理架构与现有的本地 NAC 解决方案（如 ClearPass）集成。

Worked Examples

一家拥有 500 间客房的酒店集团，集中部署了 Aruba 控制器和 ClearPass，需要为员工提供安全的 802.1X WiFi，为客人提供品牌化的 captive portal，并为 IoT 设备（智能电视、温控器、门锁）提供隔离连接。他们应该如何设计认证流程？

部署三个 SSID：Hotel_Corp（802.1X，WPA2-Enterprise）、Hotel_Guest（带 captive portal 重定向的开放 SSID）和 Hotel_IoT（基于 MAC 身份验证的开放 SSID）。这三个 SSID 都将 ClearPass 作为 RADIUS 服务器。在 ClearPass 中，创建三个服务：服务 1 匹配 Hotel_Corp，并通过 PEAP-MSCHAPv2 对 Active Directory 进行身份验证，返回 ROLE_CORP（VLAN 10，完全内部访问）。服务 2 匹配 Hotel_Guest，并使用 RADIUS 路由策略将请求代理到 Purple 的 RADIUS 服务器；Enforcement Profile 返回 Aruba-User-Role = guest-authenticated（VLAN 20，仅限互联网，10 Mbps）。服务 3 匹配 Hotel_IoT，并使用 ClearPass 设备分析通过 OUI 对设备进行分类；Enforcement Profile 返回 ROLE_IOT（VLAN 30，仅本地，无互联网）。Aruba 控制器上的 walled garden 包括 Purple 的门户域名、Facebook、Google 和 Apple 的 CNA 端点。

Examiner's Commentary: 该架构正确地将三条认证路径分开，同时保持 ClearPass 作为单一策略决策点。关键的设计决策是对访客流量使用 RADIUS 代理，而不是将 Aruba 控制器配置为直接与 Purple 通信 — 这保留了 ClearPass 中的统一审计跟踪，并允许组织将来在无需更改 Aruba 配置的情况下，对访客会话应用额外的 ClearPass 策略（例如时间限制）。

一家零售连锁店正在 120 家门店部署 Purple，所有门店均运行 Aruba Instant AP。访客认证延迟很高，并且出现门户放弃率。初步调查显示 RADIUS 超时设置为默认的 3 秒。

将所有 Aruba Instant AP 上的 RADIUS 服务器超时增加到 10 秒，并配置 3 次重试。在 Instant AP 配置中将 Purple 的两个 RADIUS 服务器 IP 部署为主服务器和备用服务器，以提供故障转移。审查 walled garden 配置，确保包含所有社交登录提供商域名，因为 walled garden 不完整会导致门户页面加载缓慢或不完整，增加感知延迟。在 Instant AP 上启用 RADIUS 计费，确保 Purple 接收会话数据。最后，审查 Purple 门户设计，尽量减少在身份验证表单显示之前必须加载的外部资源调用（字体、图像）。

Examiner's Commentary: 3 秒默认超时是代理架构中偶发故障的常见原因。请求从 AP 到 Purple 的云端再返回，在拥塞或高延迟的 WAN 链路上，很容易超过 3 秒。增加超时是立即修复，但根本原因调查还应检查 ClearPass 到 Purple 的网络路径是否最优，以及 Purple 的 RADIUS 服务器是否在地理上靠近 ClearPass 部署。

Practice Questions

Q1. 您的部署要求访客通过 Facebook 登录进行身份验证。Purple 门户加载，但当用户点击 Facebook 按钮时，页面超时并返回错误。企业 802.1X 身份验证正常工作。最可能的原因是什么，如何解决？

Hint: 考虑设备在完成身份验证之前被允许访问的内容。门户页面已加载，因此门户域名在 walled garden 中 — 但门户需要调用的资源呢？

View model answer

Aruba 控制器上的 walled garden 配置缺少所需的 Facebook 身份验证域名和 CDN 端点（.facebook.com、.fbcdn.net、*.facebook.net）。前往 Facebook OAuth 服务器的预认证流量被控制器的默认拒绝策略阻止。解决方法：将缺少的 Facebook 域名添加到 walled garden。如果还提供了 Google 登录，请验证是否包含了 Google 的域名。使用测试设备的浏览器开发者工具网络跟踪，识别任何其他被阻止的域名。

Q2. 您希望为员工（802.1X）和访客（通过 Purple 的 captive portal）使用单个 SSID（'VenueWiFi'）。如何配置 ClearPass 以正确区分和路由这两种身份验证类型？

Hint: ClearPass 服务按优先级顺序匹配。考虑 802.1X 和 MAC-Auth 请求在 RADIUS 协议级别上的不同，以及服务规则如何利用这种差异。

View model answer

创建两个 ClearPass 服务，都匹配 SSID 'VenueWiFi'。服务 1（更高优先级）使用服务规则匹配 RADIUS 属性 'Service-Type EQUALS Framed-User' 或存在 EAP 属性，识别 802.1X 请求。它对 Active Directory 进行身份验证并返回 ROLE_CORP。服务 2（较低优先级）匹配 MAC-Auth 请求（Service-Type EQUALS Call-Check 或 Authenticate-Only）。它使用 RADIUS 路由策略将请求代理到 Purple。服务 2 的 Enforcement Profile 返回预认证登录角色，触发 captive portal。当 Purple 发送后认证 RADIUS 请求时，由服务 2 匹配并返回 guest-authenticated 角色。

Q3. 访客身份验证成功 — Purple 仪表板显示用户处于活动状态，ClearPass Access Tracker 显示 Access-Accept。但是，用户无法访问互联网，Aruba 控制器显示用户仍处于 'logon' 角色。最可能的两个原因是什么？

Hint: 身份验证成功，ClearPass 发送了 Accept。因此问题在于 ClearPass 返回的内容，或者 Aruba 控制器如何解释它。

View model answer

原因 1：ClearPass Enforcement Profile 未配置为返回 Aruba-User-Role VSA，或返回空值。检查 Enforcement Profile 并验证是否明确设置了 VSA。原因 2：ClearPass 返回的 Aruba-User-Role 值与 Aruba 控制器上定义的角色不完全匹配（包括大小写）。例如，ClearPass 返回 'guest-authenticated'，但控制器定义了 'Guest-Authenticated'。解决方法：打开 ClearPass Access Tracker 条目，展开输出属性部分，验证 Aruba-User-Role 值。然后将此值与 Configuration > Roles 下 Aruba 控制器上定义的角色名称进行交叉引用。

Q4. 一个体育场馆希望提供分层的访客 WiFi：免费层提供 5 Mbps 和强制门户身份验证，高级层为预先注册的持票人提供 50 Mbps。两个层使用相同的 SSID。如何使用 ClearPass 和 Purple 构建此架构？

Hint: 考虑 ClearPass 如何在后认证中区分两种用户类型，以及 Purple 如何向 ClearPass 传递身份信息以实现这种区分。

View model answer

配置 Purple 传递一个用户属性（例如，自定义 RADIUS 属性或 Class 属性），指示用户是否为已注册的持票人。在 ClearPass 中，创建一个角色映射策略来检查此属性：如果存在且有效，则分配 ROLE_VIP；否则分配 ROLE_GUEST。创建两个 Enforcement Profile：ROLE_GUEST 返回 Aruba-User-Role = guest-standard（VLAN 20，5 Mbps 带宽合同）；ROLE_VIP 返回 Aruba-User-Role = guest-premium（VLAN 40，50 Mbps）。在 Aruba 控制器上，使用适当的 VLAN 和带宽合同定义两个角色。这种方法使用单个 SSID 和单个 Purple 门户，同时根据用户身份提供差异化的服务级别。