Aruba ClearPass 对比 Purple WiFi:功能与协同部署比较
一份全面的技术指南,详细介绍了 Aruba ClearPass 和 Purple WiFi 的协同部署架构。内容涵盖 RADIUS 代理配置、动态 VLAN 分配,以及在企业级网络准入控制(NAC)旁部署安全且由分析驱动的访客网络的最佳实践。
收听本指南
查看播客转录

执行摘要
对于深度投资于 HPE Aruba 基础设施的企业环境而言,在管理复杂的网络访问策略的同时提供无缝、丰富数据的访客 WiFi 体验是一项重大的架构挑战。虽然 Aruba ClearPass Policy Manager 在企业设备的网络访问控制 (NAC) 和 802.1X 安全方面表现出色,但其内置的 Captive Portal 通常缺乏现代场馆所需的高级营销自动化和分析功能。本指南详细介绍了如何将 Purple WiFi 与 ClearPass 集成,从而使每个平台都能专注于其核心优势。
通过将 ClearPass 部署为 RADIUS 代理,您可以为企业和物联网设备保持统一的安全审计跟踪和动态 VLAN 分配,同时将访客入网体验卸载到 Purple。这种方法在不替换您现有的 Aruba NAC 投资的情况下,实现了符合 GDPR 的第一方数据采集、详细的人流量分析以及与 400 多个营销连接器的集成。本文件提供了此协同部署的技术蓝图,涵盖架构、配置工作流和最佳实践。
技术深度剖析
Aruba ClearPass 和 Purple WiFi 的集成依赖于标准的 RADIUS 协议和 HTTP 重定向机制,围绕 RADIUS 代理架构构建。这种设计确保了 ClearPass 仍然是所有网络访问的中央策略决策点,而 Purple 则负责管理面向访客的 Captive Portal 和数据收集。
核心架构
在标准的协同部署中,您的 Aruba 移动控制器或 Aruba Instant 接入点会广播多个 SSID。正如 Three SSIDs to rule them all: the WiFi design for guest, staff and IoT 中详述的典型设计模式,利用了三个专用网络:
- 企业 SSID: 利用带有 EAP-TLS 的 802.1X。设备使用通过 ClearPass Onboard 预配的证书进行身份验证。ClearPass 评估设备状态,查询 Microsoft Entra ID 或 Active Directory,并将设备分配到企业 VLAN(例如 VLAN 10)。Purple 不参与此流程。
- 物联网 SSID: 利用 MAC 身份验证旁路 (MAB)。ClearPass 使用设备的组织唯一标识符 (OUI) 对其进行分析,并将其分配给无法访问互联网的隔离物联网 VLAN(例如 VLAN 30)。
- 访客 SSID: 一个开放或机会性无线加密 (OWE) 网络,可触发 Purple Captive Portal。

RADIUS 代理流程
当访客连接到访客 SSID 并打开浏览器时,Aruba 控制器会拦截 HTTP 流量并将该会话重定向到 Purple Captive Portal URL。访客通过 Purple 进行身份验证,可以使用社交登录、自定义表单或 OpenRoaming(在 Connect 计划下,Purple 充当免费身份提供商)。
一旦 Purple 验证了访客身份,它就会发送一条 RADIUS Access-Accept 消息。然而,ClearPass 被集成作为 RADIUS 代理,而不是由 Aruba 控制器直接与 Purple 的云端 RADIUS 服务器通信:
- Aruba 控制器将所有 RADIUS 请求发送到 ClearPass。
- ClearPass 根据其服务规则评估该请求。如果该请求与访客 SSID 匹配(通过
Called-Station-Id或 NAS 标识符进行识别),则 RADIUS 路由策略会将该请求转发给 Purple 的 RADIUS 服务器。 - Purple 响应一条 Access-Accept 消息。
- ClearPass 接收到此响应并应用其自身的执行策略,在将最终响应转发给控制器之前附加特定的厂商特定属性 (VSA)。
基于动态角色的 VLAN 分配
此架构中的关键 VSA 是 Aruba-User-Role。当 ClearPass 将 Access-Accept 消息转发给控制器时,它会包含此属性,以精确定义访客在无线网络上应当承担的角色。
例如,ClearPass 可以返回 Aruba-User-Role = guest-authenticated。在 Aruba 控制器上,此角色被映射到 VLAN 20,该 VLAN 配置了允许互联网访问但阻止路由到内部企业子网的防火墙策略。这种隔离对于符合 PCI-DSS 等标准至关重要 [1]。

实施指南
部署此架构需要在 Aruba 基础设施和 ClearPass 上进行精确的配置。请遵循以下与厂商无关的步骤来建立此集成。
第 1 步:在 ClearPass 中配置 Purple RADIUS 服务器
导航至 ClearPass 中的“配置 > 网络 > 设备”,然后将 Purple 的主和备 RADIUS 服务器添加为网络设备。您需要获取 Purple 场所配置控制面板中提供的 IP 地址和共享密钥。
第 2 步:创建 RADIUS 路由策略
在 ClearPass 中创建一个新的 RADIUS 路由策略。此策略将决定在何种条件下将请求代理给 Purple。将主目的地和备份目的地设置为您在第 1 步中配置的 Purple RADIUS 服务器。
第 3 步:定义访客服务
在 ClearPass 中为访客身份验证创建一个新服务。
- 类型: RADIUS Enforcement (Generic)
- 服务规则: 匹配包含您的访客 SSID 名称的
Radius:IETF:Called-Station-Id。 - 路由策略: 选择在第 2 步中创建的策略。
- 实施策略: 配置一个策略,以返回带有与 Aruba 控制器上访客角色相对应的值的
Aruba-User-RoleVSA。
第 4 步:在控制器上配置 Walled Garden(围墙花园)
Walled Garden 是设备在身份验证之前可以访问的域名列表。这需要在 Aruba 控制器上进行配置(或通过 ArubaOS 10 中的访问规则进行配置)。您必须包含 Purple 的核心域名:
*.purple.ai*.cloudfront.net*.venuewifi.com
如果您要启用社交登录,还必须添加每个提供商的 OAuth 域名(例如 *.facebook.com、*.google.com、*.microsoftonline.com)。
第 5 步:配置 RADIUS 计费
确保 RADIUS 计费也通过 ClearPass 代理发送到 Purple。Purple 使用计费数据(Acct-Start、Acct-Interim-Update、Acct-Stop)来跟踪会话时长并填充其 WiFi Analytics 仪表板。在 Aruba 控制器上将计费间隔设置为 5 分钟。
最佳实践
为了确保部署的稳健性和一致性,请遵循以下行业标准建议。
- 严格隔离流量: 务必将访客流量放置在没有企业资源访问路径的专用 VLAN 上。这是 PCI-DSS 和常规网络安全的基本要求。
- 代理计费数据: 不要忽略 RADIUS 计费。如果计费数据包无法到达 Purple,您的客流量分析和停留时间报告将不完整。
- 启用 WISPr: 在 Aruba 控制器的 Captive Portal 配置文件中,确保启用 WISPr(无线互联网服务提供商漫游)。该协议允许移动操作系统自动检测 Captive Portal 并无缝显示登录页面。
- 使用主动选择加入: 为了符合 GDPR,请将您的 Purple 门户配置为在营销宣传中使用明确的勾选框,而不是预先勾选的框或假定同意 [2]。
故障排除与风险缓解
即使经过精心配置,集成也可能会失败。以下是最常见的故障模式以及解决方法。
Walled Garden 配置错误
如果 Captive Portal 无法在访客的设备上加载,根本原因几乎总是 Walled Garden 的设置问题。社交登录提供商会经常更新其 CDN IP 范围和域名。请将 Walled Garden 视为不断变化的配置。如果特定的社交登录失败,请使用数据包捕获来确定设备正尝试访问哪个域名,并将其添加到允许列表中。
RADIUS 超时错误
大多数 Aruba 控制器上的默认 RADIUS 超时时间为 3 秒。在代理架构中,身份验证请求必须从 AP 发送到控制器、发送到 ClearPass、通过互联网发送到 Purple 的云基础设施,然后返回。在拥挤的网络上,这一往返过程很容易超过 3 秒,从而导致控制器丢弃该请求。请将 Aruba 控制器上的 RADIUS 超时时间增加到至少 10 秒,并配置重试逻辑。
共享密钥不匹配
RADIUS 依靠共享密钥来保证安全。如果 Aruba 控制器与 ClearPass 之间,或者 ClearPass 与 Purple 之间的共享密钥不完全匹配,身份验证将静默失败。访客将不会看到任何有意义的错误消息。如果身份验证失败,请始终逐个字符地验证这些密钥。
角色名称大小写敏感性
ClearPass 返回的 Aruba-User-Role VSA 的值必须与 Aruba 控制器上定义的角色名称完全匹配,包括大小写。如果 ClearPass 返回 guest-authenticated,但控制器期望的是 Guest-Authenticated,则访客将回退到默认的登录角色,并且无法访问互联网。
投资回报率与业务影响
部署 Purple WiFi 代替基础的本地 Captive Portal,可以为多个部门带来可衡量的业务价值。
- 营销影响: 通过门户收集第一方数据,场馆的营销数据库实现了显著增长。例如,Harrods 使用 Purple 推动会员计划注册,实现了 57 倍的营销投资回报率 [3]。
- 运营效率: RADIUS 代理架构减轻了 IT 的运营负担。安全团队在 ClearPass 中维护所有网络访问事件的统一视图,从而简化了合规性报告和故障排除。
- 商业化: 对于 交通 或 酒店餐饮 行业的场馆,Purple 支持分级带宽模式。AGS Airports 通过在免费基础层之外实施付费高级 WiFi 层,实现了 842% 的投资回报率 [4]。
通过实施这一共同部署,您可以在保持企业 IT 所需的严格安全态势的同时,将您的访客网络从成本中心转变为创收资产。
参考资料
[1] PCI 安全标准委员会。"支付卡行业 (PCI-DSS) 数据安全标准。" [2] 信息专员办公室 (ICO)。"通用数据保护条例 (GDPR) 指南。" [3] Purple。"Harrods 访客 WiFi 案例研究。" [4] Purple。"AGS Airports 访客 WiFi 案例研究。"
关键定义
RADIUS 代理
一种网络架构,其中中间服务器(ClearPass)接收来自网络设备(Aruba 控制器)的认证请求,并将其转发给相应的后端服务器(Purple),从而允许该代理检查、记录或修改流量。
用于在 ClearPass 中维护单一的安全审计跟踪,同时允许 Purple 处理访客认证。
围墙花园 (Walled Garden)
一个限制性的环境,在用户在网络上获得完全授权之前,控制其对网页内容的访问。
对 Captive Portal 至关重要;围墙花园必须允许访问门户网站的托管域名和社交登录提供商,以便加载登录页面。
厂商特定属性 (VSA)
RADIUS 协议中的自定义数据字段,允许硬件厂商支持标准 RADIUS RFC 中未定义的高级专有功能。
ClearPass 使用 "Aruba-User-Role" VSA 来告知 Aruba 控制器确切分配给访客用户的防火墙角色和 VLAN。
802.1X
一种用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供认证机制。
ClearPass 用于保护企业设备安全的主要协议,通常结合证书使用 EAP-TLS。
Captive Portal
公共访问网络用户在被授予访问权限之前,必须查看并与之交互的网页。
Purple 提供 Captive Portal 界面,用于收集访客数据、展示品牌并收集营销同意。
MAC 认证绕过 (MAB)
一种在设备不支持 802.1X 客户端软件时,使用设备的 MAC 地址在网络上对其进行认证的技术。
ClearPass 用于识别和认证智能电视或温控器等无头 IoT 设备,并将其放入隔离的 VLAN 中。
动态 VLAN 分配
根据设备的凭据或角色,而不是其连接的 SSID,自动将设备分配到特定虚拟局域网的过程。
允许单一物理网络基础设施安全地细分企业、访客和 IoT 流量。
WISPr
无线网络服务提供商漫游;一种允许设备自动检测 Captive Portal 的协议。
必须在 Aruba 控制器上启用,以便移动设备在连接到访客 WiFi 时自动弹出 Purple 登录页面。
应用实例
一家拥有 500 间客房的酒店需要利用现有的 Aruba 控制器和 ClearPass,为员工部署安全的企用 WiFi,并为访客部署一个带品牌标识、可收集数据的访客门户。
部署两个 SSID:"Hotel_Corp" 和 "Hotel_Guest"。将 "Hotel_Corp" 配置为通过 ClearPass 针对 Active Directory 进行 802.1X 认证,将员工分配到 VLAN 10。将 "Hotel_Guest" 配置为重定向到 Purple Captive Portal 的开放网络。将 ClearPass 设置为访客 SSID 的 RADIUS 代理,将请求转发给 Purple。配置 ClearPass 在 Purple 认证成功后返回 "Aruba-User-Role" VSA,将访客分配到隔离的 VLAN 20。
访客正在连接到访客 SSID,但其设备上无法加载 Purple Captive Portal 页面。
检查并更新 Aruba 控制器上的围墙花园(Walled Garden)配置。确保明确允许 Purple 的核心域名(*.purple.ai, *.cloudfront.net, *.venuewifi.com)。如果启用了社交媒体登录,请验证预认证白名单中是否也包含所有必要的 OAuth 域名(例如 *.facebook.com, *.google.com)。
练习题
Q1. 您已将 ClearPass 配置为将访客身份验证代理到 Purple。访客在 Purple 门户上成功通过身份验证,但 Aruba 控制器将他们置于默认的 "logon" 角色且无法访问互联网,而不是预期的 "guest-access" 角色。最可能的配置错误是什么?
提示:检查 ClearPass 如何将角色分配通信回控制器。
查看标准答案
角色名称的大小写敏感性不匹配。ClearPass 返回的 Aruba-User-Role VSA 的值必须与 Aruba 控制器上定义的角色名称完全匹配。如果存在拼写错误或大小写不匹配(例如 "Guest-Access" 与 "guest-access"),控制器将无法识别该角色,并将用户放入默认的受限状态。
Q2. 某零售连锁店希望部署 Purple WiFi 以进行访客分析,但其安全团队坚持认为,所有网络身份验证事件都必须集中记录在他们现有的 Aruba ClearPass 系统中以满足合规性要求。应该如何设计该架构?
提示:考虑接入点、ClearPass 和 Purple 之间的 RADIUS 流量是如何流动的。
查看标准答案
实施 RADIUS 代理架构。配置 Aruba 控制器将所有 RADIUS 请求发送到 ClearPass。在 ClearPass 中,创建一个路由策略,将来自访客 SSID 的请求转发到 Purple 的云 RADIUS 服务器。这可确保 Purple 处理访客门户和分析,同时 ClearPass 保持所有身份验证事件的完整、集中式审计追踪。
Q3. 部署集成后,营销团队报告说,尽管访客已成功连接并使用互联网,但 Purple 分析仪表板显示的访客 "停留时间" 数据却为零。错过了哪个配置步骤?
提示:停留时间计算需要有关会话状态的持续更新,而不仅仅是初始身份验证。
查看标准答案
RADIUS 计费未代理到 Purple。虽然身份验证代理允许用户进入网络,但 Purple 需要 RADIUS 计费数据包(Acct-Start、Acct-Interim-Update、Acct-Stop)来计算会话持续时间和停留时间。您必须确保 ClearPass 配置为将计费数据代理到 Purple,并且控制器设置为发送临时更新(例如每 5 分钟一次)。
继续阅读本系列
为访客和员工 WiFi 网络配置 RADIUS 认证
本技术参考指南概述了企业访客和员工 WiFi 网络的 RADIUS 认证架构、配置和部署。它为网络架构师和 IT 经理提供了构建安全、可扩展的无线访问控制系统所需的准确协议、安全标准和故障排除方法。
Passpoint and OpenRoaming: 完整指南
本技术参考指南对企业 WiFi 网络中的 Passpoint (Hotspot 2.0) 和 WBA OpenRoaming 框架进行了全面分析。它详细介绍了建立安全、无摩擦访客连接所需的底层身份验证协议、架构组件和部署策略。网络架构师和 IT 负责人将学习如何设计、实施这些标准并对其进行故障排除,从而在保持企业级安全性的同时消除手动登录障碍。
如何面向高等教育机构实施 SCEP 以实现安全的 BYOD 和网络注册
本技术指南为网络架构师和 IT 经理提供了一个与厂商无关的蓝图,用于部署基于 SCEP 的证书注册,以保障高等教育校园网络的安全。它详细介绍了如何从基于密码的 PEAP 迁移到 802.1X EAP-TLS、自动执行 BYOD 引导以及实施强大的 VLAN 细分。