跳至主要内容

Aruba ClearPass 对比 Purple WiFi:功能与协同部署比较

一份全面的技术指南,详细介绍了 Aruba ClearPass 和 Purple WiFi 的协同部署架构。内容涵盖 RADIUS 代理配置、动态 VLAN 分配,以及在企业级网络准入控制(NAC)旁部署安全且由分析驱动的访客网络的最佳实践。

📖 6 分钟阅读📝 1,499 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
用英式英语发音,语气自信、权威且具有对话感。你是一位正在向客户做简报的高级网络顾问。语速沉稳,吐字清晰,专业而不生硬。偶尔自然停顿以示强调: 欢迎来到本次 Purple 技术简报。我是您的主持人,今天我们将探讨一个在我们合作的几乎所有企业级无线项目中都会遇到的问题:当您已经部署了 Aruba ClearPass 时,Purple WiFi 应该处于什么位置,以及这两个系统如何协同工作? [中等停顿] 这不是理论上的讨论。如果您是酒店集团、零售连锁店或体育场馆运营商的 IT 经理、网络架构师或安全工程师,这可能是您本季度需要做出的决定。那么,让我们开始吧。 [中等停顿] 引言与背景。 [短暂停顿] 首先,让我们明确每个平台实际设计用来做什么。Aruba ClearPass Policy Manager 是一个网络准入控制(NAC)平台。它的工作是对设备和用户进行身份验证,评估终端合规状态,并在您的整个网络中执行访问策略。它处理 802.1X(基于端口的网络访问控制的 IEEE 标准),使用 EAP 方法,例如带证书的 EAP-TLS 以及带用户名和密码的 PEAP。它与 Microsoft Entra ID、Okta 以及其他身份提供商集成。它能对设备进行画像,检查它们是否符合您的安全策略,并将其分配到正确的网络角色。对于公司设备,ClearPass 非常出色。它正是为了这种使用场景而构建的。 [中等停顿] Purple WiFi 则完全不同。Purple 是一个基于云的访客 WiFi 智能平台。它的工作是通过品牌化的 Captive Portal 对访客进行身份验证,通过符合 GDPR 的同意流程捕获第一方数据,并将这些数据输送到您的营销和分析系统。Purple 在全球 80,000 多个场所运行,仅在 2024 年就处理了 4.4 亿次登录。它与包括 CRM 和营销自动化平台在内的 400 多个连接器集成。对于访客网络,Purple 是专家。 [中等停顿] 大多数组织面临的问题是,他们试图用一个平台来完成这两项工作。他们要么让 ClearPass 运行其访客门户(它可以做到,但不够优雅),要么在部署 Purple 时没有考虑它与现有的 NAC 投资如何并存。正确的答案是采用联合部署架构,让每个平台发挥其所长。 [中等停顿] 技术深度解析。 [短暂停顿] 让我为您介绍一下该架构。在联合部署中,您的 Aruba 移动控制器或 Aruba Instant 接入点会广播多个 SSID。通常是三个:一个用于公司设备,一个用于访客,一个用于物联网(IoT)。关于这种 SSID 设计模式的更多信息,Purple 发布了一份名为“Three SSIDs to rule them all”的详细指南,我建议您在阅读本简报的同时也阅读该指南。 [中等停顿]企业 SSID 使用带有 EAP-TLS 的 802.1X。设备使用通过 ClearPass Onboard 部署的证书进行身份验证,ClearPass Onboard 是 ClearPass 内置的证书注册和设备配置模块。ClearPass 会检查设备状态、验证证书、查询 Active Directory 或 Microsoft Entra ID,并将设备分配到相应的 VLAN(通常企业使用 VLAN 10)。这整个流程都在 ClearPass 内部进行,不涉及 Purple。 [medium pause] 访客 SSID 才是进行集成的地方。当访客连接到访客 SSID 时,Aruba 控制器会拦截其 HTTP 流量,并将他们的浏览器重定向到 Purple 的 captive portal。访客通过 Purple 进行身份验证,可能使用通过 Google 的社交登录、自定义电子邮件表单或 OpenRoaming(在 Connect 许可下,Purple 作为免费的身份提供者)。一旦 Purple 验证了访客,它就会向控制器发送一个 RADIUS Access-Accept 消息,从而授予互联网访问权限。 [medium pause] 现在,关键的架构决策是:您是将 ClearPass 作为 RADIUS 代理插入在控制器和 Purple 之间,还是让控制器直接与 Purple 的 RADIUS 服务器通信。对于大多数企业部署,代理模式是正确的选择。原因如下。 [medium pause] 通过将 ClearPass 作为 RADIUS 代理,您网络上的每个身份验证事件(无论是企业还是访客)都会流经 ClearPass。您可以获得单一的审计追踪。您的安全运营团队可以在一个地方查看所有内容。ClearPass 可以在将响应返回给控制器之前附加其自己的策略属性,从而实现基于角色的动态 VLAN 分配。并且您保留了对访客会话实施附加策略的能力,例如带宽限制或基于时间的访问限制。 以英国英语发言,语气自信、权威且具有对话性。您是一位正在向客户作简报的高级网络顾问。节奏沉稳,吐字清晰,专业而不生硬: ClearPass 中的代理配置非常简单。您只需创建一个 RADIUS 路由策略,该策略通过 NAS 标识符或被叫站点 ID 与访客 SSID 进行匹配。匹配该策略的请求将被转发到 Purple 的云端 RADIUS 服务器。Purple 做出响应,ClearPass 附加 Aruba-User-Role 厂商特定属性,控制器将访客置于仅能访问互联网的 VLAN 20 中。 [medium pause] 对于物联网设备,第三个 SSID 使用 MAC 身份验证绕过。ClearPass 使用设备的 OUI(MAC 地址的前六个字符,用于标识制造商)对设备进行画像,并将其分配给 ROLE_IOT,该角色映射到 VLAN 30。此 VLAN 没有互联网访问权限,只有本地连接。您的智能电视、温控器和门锁与企业和访客流量完全隔离。 [medium pause] 让我们来谈谈合规性,因为这正是该架构发挥作用的地方。在 PCI-DSS 下,任何接触持卡人数据的网络段都必须与访客网络隔离。该架构中的 VLAN 划分满足了这一要求。在 GDPR 下,Purple 的 Captive Portal 采用有意识选择的加入方式处理同意收集,这意味着访问者是主动选择分享他们的数据,而不是默认被收集。Purple 已通过 ISO 27001 认证、符合 GDPR 并持有 Cyber Essentials 认证。ClearPass 则提供了安全团队进行合规报告所需的审计追踪。 [medium pause] 实施建议与常见陷阱。 [short pause] 让我为您介绍此部署中最常见的五个问题以及如何避免它们。 [medium pause] 第一:围墙花园(Walled Garden)。在访客进行身份验证之前,Aruba 控制器仅允许流量访问预定义的目的地列表。如果 Purple 的门户域名、其 CDN 端点以及社交登录提供商域名不在该列表中,门户将无法加载。您需要将 *.purple.ai、*.cloudfront.net 以及您启用的任何社交登录提供商的 OAuth 域名包含在内。Google、Facebook、Apple 和 Microsoft Entra ID 都有各自的一套域名。请将围墙花园视为动态配置,因为社交登录提供商会定期更改其 CDN 域名。 [medium pause] 第二:RADIUS 超时。大多数 Aruba 控制器上的默认 RADIUS 超时时间为三秒。在代理架构中,请求从接入点发送到控制器、到 ClearPass、再通过互联网发送到 Purple 的云端 RADIUS,然后返回。在拥挤的网络上,该往返时间可能会超过三秒。请将超时时间设置为至少十秒,并配置至少重试两次的重试逻辑。 [medium pause] 第三:共享密钥不匹配。Aruba 控制器与 ClearPass 之间的共享密钥必须完全一致。ClearPass 与 Purple 的 RADIUS 服务器之间的共享密钥也必须完全一致。单个字符的差异就会导致静默身份验证失败,且不会向访客显示任何有意义的错误信息。请务必逐字验证这些字符。 [medium pause] 第四:角色名称区分大小写。ClearPass 返回的 Aruba-User-Role 属性必须与 Aruba 控制器上定义的角色名称完全匹配,包括大小写。如果 ClearPass 返回 guest-authenticated,而控制器上定义的是 Guest-Authenticated,访客将回退到无法访问互联网的默认登录角色。 [medium pause] 第五:RADIUS 记账。许多部署虽然正确配置了认证代理,但忘记了同时对记账进行代理。Purple 使用 RADIUS 记账数据来跟踪会话时长、数据使用情况,并填充其分析仪表板。如果记账数据没有流向 Purple,您的客流分析和停留时间报告将不完整。 [medium pause] 快速问答。 [short pause] 我可以在 Aruba Instant 上运行它,而不是在完整的 Mobility Controller 上吗?是的。Aruba Instant 支持外部 RADIUS 服务器和 Captive Portal 重定向。配置略有不同,但原理完全相同。 [medium pause] Purple 是否支持授权变更?是的。CoA 允许控制器动态更新访客的会话,而无需他们重新连接。这对于限制时间的访问或层级升级非常有用。 [medium pause] 这能与 WPA3 协同工作吗?是的。支持用于个人网络的 WPA3-SAE 和用于 802.1X 的 WPA3-Enterprise。对于使用 Captive Portal 的访客网络,通常会选择 WPA3-SAE 或带有机会性无线加密的开放 SSID。 [medium pause] 我可以为员工和访客使用同一个 SSID 吗?可以,但这会增加复杂性。ClearPass 在同一个 SSID 上处理 802.1X 和 MAC 认证,使用服务规则来区分流量类型并进行相应路由。对于大多数场所,使用独立的 SSID 是更干净的选择。 [medium pause] 总结与下一步工作。 [short pause] ClearPass 和 Purple 是互补的,而不是竞争关系。ClearPass 是您针对企业设备的策略引擎:802.1X、终端安全状况、证书管理和统一审计轨迹。Purple 是您的访客智能平台:品牌化 Captive Portal、符合 GDPR 的数据捕获、客流分析和营销自动化。 [medium pause] 共同部署架构将 ClearPass 用作 RADIUS 代理。所有认证请求都通过 ClearPass 传输。访客请求被路由到 Purple 的云端 RADIUS。企业请求由 ClearPass 在本地处理。Aruba 控制器通过动态 VLAN 分配来执行生成的策略。 [medium pause] 您必须正确配置的三个要素是:围墙花园、RADIUS 超时以及角色名称一致性。做好这三点,您就拥有了一个既合规、又具商业价值的访客 WiFi 部署,且不会损害您的企业安全态势。 [medium pause] 关于您的下一步工作:从 Purple 仪表板获取您的 Purple 场所 RADIUS 凭据,查看随附书面指南中的围墙花园参考列表,并在部署到生产环境之前使用专用测试设备测试完整的认证流程。如果您要在多个场所进行部署,Purple 的多场所管理控制台可让您通过单一界面管理整个资产的 Captive Portal 配置、品牌塑造和数据分析。 [medium pause] 感谢您的收听。欢迎访问 purple dot ai,与解决方案架构师联系,讨论您的具体部署方案。

header_image.png

执行摘要

对于深度投资于 HPE Aruba 基础设施的企业环境而言,在管理复杂的网络访问策略的同时提供无缝、丰富数据的访客 WiFi 体验是一项重大的架构挑战。虽然 Aruba ClearPass Policy Manager 在企业设备的网络访问控制 (NAC) 和 802.1X 安全方面表现出色,但其内置的 Captive Portal 通常缺乏现代场馆所需的高级营销自动化和分析功能。本指南详细介绍了如何将 Purple WiFi 与 ClearPass 集成,从而使每个平台都能专注于其核心优势。

通过将 ClearPass 部署为 RADIUS 代理,您可以为企业和物联网设备保持统一的安全审计跟踪和动态 VLAN 分配,同时将访客入网体验卸载到 Purple。这种方法在不替换您现有的 Aruba NAC 投资的情况下,实现了符合 GDPR 的第一方数据采集、详细的人流量分析以及与 400 多个营销连接器的集成。本文件提供了此协同部署的技术蓝图,涵盖架构、配置工作流和最佳实践。

技术深度剖析

Aruba ClearPass 和 Purple WiFi 的集成依赖于标准的 RADIUS 协议和 HTTP 重定向机制,围绕 RADIUS 代理架构构建。这种设计确保了 ClearPass 仍然是所有网络访问的中央策略决策点,而 Purple 则负责管理面向访客的 Captive Portal 和数据收集。

核心架构

在标准的协同部署中,您的 Aruba 移动控制器或 Aruba Instant 接入点会广播多个 SSID。正如 Three SSIDs to rule them all: the WiFi design for guest, staff and IoT 中详述的典型设计模式,利用了三个专用网络:

  1. 企业 SSID: 利用带有 EAP-TLS 的 802.1X。设备使用通过 ClearPass Onboard 预配的证书进行身份验证。ClearPass 评估设备状态,查询 Microsoft Entra ID 或 Active Directory,并将设备分配到企业 VLAN(例如 VLAN 10)。Purple 不参与此流程。
  2. 物联网 SSID: 利用 MAC 身份验证旁路 (MAB)。ClearPass 使用设备的组织唯一标识符 (OUI) 对其进行分析,并将其分配给无法访问互联网的隔离物联网 VLAN(例如 VLAN 30)。
  3. 访客 SSID: 一个开放或机会性无线加密 (OWE) 网络,可触发 Purple Captive Portal。 architecture_overview.png

RADIUS 代理流程

当访客连接到访客 SSID 并打开浏览器时,Aruba 控制器会拦截 HTTP 流量并将该会话重定向到 Purple Captive Portal URL。访客通过 Purple 进行身份验证,可以使用社交登录、自定义表单或 OpenRoaming(在 Connect 计划下,Purple 充当免费身份提供商)。

一旦 Purple 验证了访客身份,它就会发送一条 RADIUS Access-Accept 消息。然而,ClearPass 被集成作为 RADIUS 代理,而不是由 Aruba 控制器直接与 Purple 的云端 RADIUS 服务器通信:

  1. Aruba 控制器将所有 RADIUS 请求发送到 ClearPass。
  2. ClearPass 根据其服务规则评估该请求。如果该请求与访客 SSID 匹配(通过 Called-Station-Id 或 NAS 标识符进行识别),则 RADIUS 路由策略会将该请求转发给 Purple 的 RADIUS 服务器。
  3. Purple 响应一条 Access-Accept 消息。
  4. ClearPass 接收到此响应并应用其自身的执行策略,在将最终响应转发给控制器之前附加特定的厂商特定属性 (VSA)。

基于动态角色的 VLAN 分配

此架构中的关键 VSA 是 Aruba-User-Role。当 ClearPass 将 Access-Accept 消息转发给控制器时,它会包含此属性,以精确定义访客在无线网络上应当承担的角色。

例如,ClearPass 可以返回 Aruba-User-Role = guest-authenticated。在 Aruba 控制器上,此角色被映射到 VLAN 20,该 VLAN 配置了允许互联网访问但阻止路由到内部企业子网的防火墙策略。这种隔离对于符合 PCI-DSS 等标准至关重要 [1]。

comparison_chart.png

实施指南

部署此架构需要在 Aruba 基础设施和 ClearPass 上进行精确的配置。请遵循以下与厂商无关的步骤来建立此集成。

第 1 步:在 ClearPass 中配置 Purple RADIUS 服务器

导航至 ClearPass 中的“配置 > 网络 > 设备”,然后将 Purple 的主和备 RADIUS 服务器添加为网络设备。您需要获取 Purple 场所配置控制面板中提供的 IP 地址和共享密钥。

第 2 步:创建 RADIUS 路由策略

在 ClearPass 中创建一个新的 RADIUS 路由策略。此策略将决定在何种条件下将请求代理给 Purple。将主目的地和备份目的地设置为您在第 1 步中配置的 Purple RADIUS 服务器。

第 3 步:定义访客服务

在 ClearPass 中为访客身份验证创建一个新服务。

  • 类型: RADIUS Enforcement (Generic)
  • 服务规则: 匹配包含您的访客 SSID 名称的 Radius:IETF:Called-Station-Id
  • 路由策略: 选择在第 2 步中创建的策略。
  • 实施策略: 配置一个策略,以返回带有与 Aruba 控制器上访客角色相对应的值的 Aruba-User-Role VSA。

第 4 步:在控制器上配置 Walled Garden(围墙花园)

Walled Garden 是设备在身份验证之前可以访问的域名列表。这需要在 Aruba 控制器上进行配置(或通过 ArubaOS 10 中的访问规则进行配置)。您必须包含 Purple 的核心域名:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

如果您要启用社交登录,还必须添加每个提供商的 OAuth 域名(例如 *.facebook.com*.google.com*.microsoftonline.com)。

第 5 步:配置 RADIUS 计费

确保 RADIUS 计费也通过 ClearPass 代理发送到 Purple。Purple 使用计费数据(Acct-StartAcct-Interim-UpdateAcct-Stop)来跟踪会话时长并填充其 WiFi Analytics 仪表板。在 Aruba 控制器上将计费间隔设置为 5 分钟。

最佳实践

为了确保部署的稳健性和一致性,请遵循以下行业标准建议。

  • 严格隔离流量: 务必将访客流量放置在没有企业资源访问路径的专用 VLAN 上。这是 PCI-DSS 和常规网络安全的基本要求。
  • 代理计费数据: 不要忽略 RADIUS 计费。如果计费数据包无法到达 Purple,您的客流量分析和停留时间报告将不完整。
  • 启用 WISPr: 在 Aruba 控制器的 Captive Portal 配置文件中,确保启用 WISPr(无线互联网服务提供商漫游)。该协议允许移动操作系统自动检测 Captive Portal 并无缝显示登录页面。
  • 使用主动选择加入: 为了符合 GDPR,请将您的 Purple 门户配置为在营销宣传中使用明确的勾选框,而不是预先勾选的框或假定同意 [2]。

故障排除与风险缓解

即使经过精心配置,集成也可能会失败。以下是最常见的故障模式以及解决方法。

Walled Garden 配置错误

如果 Captive Portal 无法在访客的设备上加载,根本原因几乎总是 Walled Garden 的设置问题。社交登录提供商会经常更新其 CDN IP 范围和域名。请将 Walled Garden 视为不断变化的配置。如果特定的社交登录失败,请使用数据包捕获来确定设备正尝试访问哪个域名,并将其添加到允许列表中。

RADIUS 超时错误

大多数 Aruba 控制器上的默认 RADIUS 超时时间为 3 秒。在代理架构中,身份验证请求必须从 AP 发送到控制器、发送到 ClearPass、通过互联网发送到 Purple 的云基础设施,然后返回。在拥挤的网络上,这一往返过程很容易超过 3 秒,从而导致控制器丢弃该请求。请将 Aruba 控制器上的 RADIUS 超时时间增加到至少 10 秒,并配置重试逻辑。

共享密钥不匹配

RADIUS 依靠共享密钥来保证安全。如果 Aruba 控制器与 ClearPass 之间,或者 ClearPass 与 Purple 之间的共享密钥不完全匹配,身份验证将静默失败。访客将不会看到任何有意义的错误消息。如果身份验证失败,请始终逐个字符地验证这些密钥。

角色名称大小写敏感性

ClearPass 返回的 Aruba-User-Role VSA 的值必须与 Aruba 控制器上定义的角色名称完全匹配,包括大小写。如果 ClearPass 返回 guest-authenticated,但控制器期望的是 Guest-Authenticated,则访客将回退到默认的登录角色,并且无法访问互联网。

投资回报率与业务影响

部署 Purple WiFi 代替基础的本地 Captive Portal,可以为多个部门带来可衡量的业务价值。

  • 营销影响: 通过门户收集第一方数据,场馆的营销数据库实现了显著增长。例如,Harrods 使用 Purple 推动会员计划注册,实现了 57 倍的营销投资回报率 [3]。
  • 运营效率: RADIUS 代理架构减轻了 IT 的运营负担。安全团队在 ClearPass 中维护所有网络访问事件的统一视图,从而简化了合规性报告和故障排除。
  • 商业化: 对于 交通酒店餐饮 行业的场馆,Purple 支持分级带宽模式。AGS Airports 通过在免费基础层之外实施付费高级 WiFi 层,实现了 842% 的投资回报率 [4]。

通过实施这一共同部署,您可以在保持企业 IT 所需的严格安全态势的同时,将您的访客网络从成本中心转变为创收资产。

参考资料

[1] PCI 安全标准委员会。"支付卡行业 (PCI-DSS) 数据安全标准。" [2] 信息专员办公室 (ICO)。"通用数据保护条例 (GDPR) 指南。" [3] Purple。"Harrods 访客 WiFi 案例研究。" [4] Purple。"AGS Airports 访客 WiFi 案例研究。"

关键定义

RADIUS 代理

一种网络架构,其中中间服务器(ClearPass)接收来自网络设备(Aruba 控制器)的认证请求,并将其转发给相应的后端服务器(Purple),从而允许该代理检查、记录或修改流量。

用于在 ClearPass 中维护单一的安全审计跟踪,同时允许 Purple 处理访客认证。

围墙花园 (Walled Garden)

一个限制性的环境,在用户在网络上获得完全授权之前,控制其对网页内容的访问。

对 Captive Portal 至关重要;围墙花园必须允许访问门户网站的托管域名和社交登录提供商,以便加载登录页面。

厂商特定属性 (VSA)

RADIUS 协议中的自定义数据字段,允许硬件厂商支持标准 RADIUS RFC 中未定义的高级专有功能。

ClearPass 使用 "Aruba-User-Role" VSA 来告知 Aruba 控制器确切分配给访客用户的防火墙角色和 VLAN。

802.1X

一种用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供认证机制。

ClearPass 用于保护企业设备安全的主要协议,通常结合证书使用 EAP-TLS。

Captive Portal

公共访问网络用户在被授予访问权限之前,必须查看并与之交互的网页。

Purple 提供 Captive Portal 界面,用于收集访客数据、展示品牌并收集营销同意。

MAC 认证绕过 (MAB)

一种在设备不支持 802.1X 客户端软件时,使用设备的 MAC 地址在网络上对其进行认证的技术。

ClearPass 用于识别和认证智能电视或温控器等无头 IoT 设备,并将其放入隔离的 VLAN 中。

动态 VLAN 分配

根据设备的凭据或角色,而不是其连接的 SSID,自动将设备分配到特定虚拟局域网的过程。

允许单一物理网络基础设施安全地细分企业、访客和 IoT 流量。

WISPr

无线网络服务提供商漫游;一种允许设备自动检测 Captive Portal 的协议。

必须在 Aruba 控制器上启用,以便移动设备在连接到访客 WiFi 时自动弹出 Purple 登录页面。

应用实例

一家拥有 500 间客房的酒店需要利用现有的 Aruba 控制器和 ClearPass,为员工部署安全的企用 WiFi,并为访客部署一个带品牌标识、可收集数据的访客门户。

部署两个 SSID:"Hotel_Corp" 和 "Hotel_Guest"。将 "Hotel_Corp" 配置为通过 ClearPass 针对 Active Directory 进行 802.1X 认证,将员工分配到 VLAN 10。将 "Hotel_Guest" 配置为重定向到 Purple Captive Portal 的开放网络。将 ClearPass 设置为访客 SSID 的 RADIUS 代理,将请求转发给 Purple。配置 ClearPass 在 Purple 认证成功后返回 "Aruba-User-Role" VSA,将访客分配到隔离的 VLAN 20。

考官评语: 这种方法完美地隔离了企业和访客流量,满足了 PCI-DSS 要求。它利用了 ClearPass 在 802.1X 方面的优势,同时将访客门户和分析功能卸载给 Purple,从而避免了需要两种独立的 NAC 解决方案。

访客正在连接到访客 SSID,但其设备上无法加载 Purple Captive Portal 页面。

检查并更新 Aruba 控制器上的围墙花园(Walled Garden)配置。确保明确允许 Purple 的核心域名(*.purple.ai, *.cloudfront.net, *.venuewifi.com)。如果启用了社交媒体登录,请验证预认证白名单中是否也包含所有必要的 OAuth 域名(例如 *.facebook.com, *.google.com)。

考官评语: 围墙花园(Walled Garden)配置错误是 Captive Portal 无法加载最常见的原因。设备在网络中获得完全授权之前,必须能够访问门户网站托管基础设施和 CDN。

练习题

Q1. 您已将 ClearPass 配置为将访客身份验证代理到 Purple。访客在 Purple 门户上成功通过身份验证,但 Aruba 控制器将他们置于默认的 "logon" 角色且无法访问互联网,而不是预期的 "guest-access" 角色。最可能的配置错误是什么?

提示:检查 ClearPass 如何将角色分配通信回控制器。

查看标准答案

角色名称的大小写敏感性不匹配。ClearPass 返回的 Aruba-User-Role VSA 的值必须与 Aruba 控制器上定义的角色名称完全匹配。如果存在拼写错误或大小写不匹配(例如 "Guest-Access" 与 "guest-access"),控制器将无法识别该角色,并将用户放入默认的受限状态。

Q2. 某零售连锁店希望部署 Purple WiFi 以进行访客分析,但其安全团队坚持认为,所有网络身份验证事件都必须集中记录在他们现有的 Aruba ClearPass 系统中以满足合规性要求。应该如何设计该架构?

提示:考虑接入点、ClearPass 和 Purple 之间的 RADIUS 流量是如何流动的。

查看标准答案

实施 RADIUS 代理架构。配置 Aruba 控制器将所有 RADIUS 请求发送到 ClearPass。在 ClearPass 中,创建一个路由策略,将来自访客 SSID 的请求转发到 Purple 的云 RADIUS 服务器。这可确保 Purple 处理访客门户和分析,同时 ClearPass 保持所有身份验证事件的完整、集中式审计追踪。

Q3. 部署集成后,营销团队报告说,尽管访客已成功连接并使用互联网,但 Purple 分析仪表板显示的访客 "停留时间" 数据却为零。错过了哪个配置步骤?

提示:停留时间计算需要有关会话状态的持续更新,而不仅仅是初始身份验证。

查看标准答案

RADIUS 计费未代理到 Purple。虽然身份验证代理允许用户进入网络,但 Purple 需要 RADIUS 计费数据包(Acct-StartAcct-Interim-UpdateAcct-Stop)来计算会话持续时间和停留时间。您必须确保 ClearPass 配置为将计费数据代理到 Purple,并且控制器设置为发送临时更新(例如每 5 分钟一次)。