Cambium Networks cnPilot 和 cnMaestro 与 Purple WiFi 的集成

Cambium Networks cnPilot 和 cnMaestro 与 Purple WiFi 的集成。顾问简报。 欢迎。如果您正在运行 Cambium Networks 环境，并且需要提供能够捕获数据、推动营销并保持合规的访客 WiFi 体验——本简报正是您所需要的。 我将向您介绍 Cambium cnPilot 接入点、cnMaestro 云控制器以及 Purple WiFi 如何协同工作。我们将涵盖架构、RADIUS 身份验证流程、围墙花园（walled garden）配置、使用 802.1X 的安全员工 WiFi，以及使用 Cambium 具有动态 VLAN 分配功能的 ePSK 特性进行多租户隔离。 无论您是管理酒店物业、零售投资组合、会议中心还是公共部门园区，其原理都是相同的。让我们开始吧。 首先，对这两个平台进行快速介绍。 Cambium Networks 生产 cnPilot 系列企业级 WiFi 接入点——包括适用于室内和室外部署的 e410、e425H、e430H 和 e505。这些 AP 通过 Cambium 的云管理平台 cnMaestro 进行集中管理。cnMaestro 为您提供整个 AP 资产的集中可视化、配置管理和固件更新——无论是单个场所中的少数设备，还是跨全国资产的数千个 AP。 Purple WiFi 是一个企业级访客 WiFi 智能平台。它负责处理 Captive Portal（即访客连接时看到的品牌宣传页面），同时还充当 RADIUS 身份验证服务器、数据捕获引擎和营销自动化平台。Purple 在全球 80,000 个活跃场所运行，仅在 2024 年就处理了 4.4 亿次登录。Cambium cnMaestro 和 Purple 的结合为您提供了一个在技术上稳健且在商业上极具价值的生产级访客 WiFi 技术栈。 现在，我们来谈谈集成架构。 核心机制是 Captive Portal 重定向与 RADIUS 身份验证相结合。以下是该流程在实际中的工作原理。 访客设备与您的访客 SSID 相关联。该 SSID 在 cnMaestro 中配置为开放网络——访客无需预共享密钥。Cambium AP 会拦截来自设备的第一个 HTTP 请求，并将其重定向到 Purple 的 Captive Portal URL。此重定向在 cnMaestro 的 WLAN 访客接入（Guest Access）设置下进行配置，您需要在其中将外部页面 URL（External Page URL）设置为您的 Purple 场所门户端点。 然后，访客与 Purple 门户进行交互。他们可以通过社交登录、电子邮件、短信验证或自定义表单进行身份验证。一旦完成身份验证流程，Purple 的后台就会通过 UDP 端口 1812 向 Cambium AP 发回一条 RADIUS Access-Accept 消息。随后，AP 将设备从预身份验证状态切换到完全网络访问状态。 让我带您了解 cnMaestro 中的具体配置步骤。 导航至“配置”（Configuration），然后是“WiFi 配置文件”（WiFi Profiles），再到“WLAN”。为您的访客网络创建一个新的 WLAN。设置 SSID 名称（例如 "Hotel Guest WiFi"），并将安全性设置为“开放”（Open）。在“访客访问”（Guest Access）下，启用“外部热点”（External Hotspot）选项。这是告诉 cnMaestro 将未授权的客户端重定向到外部门户的关键设置。 将“外部页面 URL”（External Page URL）设置为您的 Purple 场馆门户 URL。启用 RADIUS 认证并输入 Purple 的 RADIUS 服务器 IP 地址、共享密钥，并将认证端口设置为 UDP 1812。在 UDP 1813 上启用 RADIUS 计费 — 这对 Purple 的分析功能正常运行至关重要。如果没有计费记录，Purple 将无法构建会话数据、停留时间指标或访问频率分析。 现在是围墙花园（Walled Garden）。这是访客设备在认证前可以访问的域名和 IP 地址列表。您需要将 Purple 的门户域名以及用于提供门户资源的任何 CDN 端点加入白名单。您还需要将任何认证提供商域名加入白名单 — 如果您使用的是通过 Google 或 Facebook 的社交登录，它们的 OAuth 域名需要包含在围墙花园中。配置错误的围墙花园是导致 captive portal 失败的最常见单一原因。访客设备在认证之前，需要解析 DNS 并通过 HTTPS 访问 Purple 门户。 在 cnMaestro 中，围墙花园是在“外部热点”（External Hotspot）设置下进行配置的。为您运行付费 WiFi 层级的 Purple 门户域名、任何社交登录提供商域名以及任何支付网关域名添加条目。 现在我们来谈谈使用 IEEE 802.1X 的安全员工 WiFi。 对于员工网络，您不需要 captive portal。您需要基于证书或基于凭据的认证，这种认证在设备级别静默进行。在 cnMaestro 中，为员工创建一个单独的 WLAN。将安全性设置为 WPA2-Enterprise。配置 RADIUS 服务器详细信息 — 同样是 UDP 1812 上的 Purple RADIUS 服务器 IP。员工设备使用带有用户名和密码凭据的 EAP-PEAP，或使用带有设备证书的 EAP-TLS 进行认证，以实现最高的安全姿态。 Purple 作为身份提供商与 Microsoft Entra ID、Okta 和 Google Workspace 集成。这意味着您的员工可以使用其现有的企业凭据登录 WiFi — 无需管理单独的 WiFi 密码。Purple 会向您的身份提供商验证凭据，并向 Cambium AP 返回 Access-Accept。然后，动态 VLAN 分配将已认证的员工设备放置在正确的员工 VLAN 上，从而将其与访客流量隔离。 现在，使用 Cambium ePSK 进行多租户细分。 ePSK — 增强型预共享密钥 — 是 Cambium 对业界所称的 PPSK 或 iPSK 的实现方式。其概念非常简单：不再是整个 SSID 共享一个密码，而是每个用户或租户都拥有自己独特的密码。他们都连接到同一个 SSID，但每个独特的密钥都映射到特定的 VLAN，从而在不增加运行多个 SSID 复杂性的情况下实现网络隔离。 cnMaestro 每个 WLAN 支持多达 2,000 个 ePSK 条目。每个 ePSK 都可以分配一个特定的 VLAN ID、速率限制和到期日期。这使其非常适合多租户环境 — 例如，每个参展商都能获得自己隔离的网络段的会议中心，或者每个住户都能获得自己私有区域网络的即建即租式住宅楼。 要在 cnMaestro 中配置 ePSK，请导航至 Configuration（配置）、WiFi Profiles（WiFi 配置文件）、WLANs。创建一个新的 WLAN。将安全设置为 WPA2 Pre-Shared Key。启用 ePSK 选项。然后，您可以手动添加单个 ePSK 条目，或者使用 cnMaestro API 以编程方式进行配置 — 这正是大规模部署所需的方法。 对于每个 ePSK 条目，设置密码、分配的 VLAN ID 以及可选的速率限制和到期时间。当设备使用该密码连接时，Cambium AP 会自动将其置于分配的 VLAN 中。ePSK 流程本身不需要 RADIUS — VLAN 分配由 AP 根据所使用的密码在本地处理。 Purple 通过 cnMaestro API 管理 ePSK 生命周期，从而与该模式进行集成。Purple 可以在新租户入驻时配置新的 ePSK 条目、更新 VLAN 分配、设置到期日期，并在租户离开时撤销访问权限。这消除了手动管理数百或数千个个人密钥的开销。 好，接下来让我们谈谈可能出现的问题以及如何避免这些问题。 最常见的陷阱是 Walled Garden（围墙花园）。如果您的 Walled Garden 条目不完整，Captive Portal 重定向就永远无法完成。访客会看到连接超时，而不是登录页面。请始终使用未连接过的新设备进行测试，并验证在身份验证之前是否加载了 Purple 门户。检查在预身份验证状态下，Purple 门户域名的 DNS 解析是否正常工作。 第二：RADIUS 共享密钥不匹配。在包含多个站点的大型部署中，很容易在 cnMaestro 中配置了与 Purple 记录中不同的共享密钥。在上线前，请务必验证双方的共享密钥。使用强随机生成的密钥（至少 32 个字符），并将其保存在密钥管理器中，而不是电子表格中。 第三：RADIUS 计费（Accounting）。请勿跳过此步骤。计费记录是 Purple 用于构建会话分析（停留时间、访问频率、设备类型）的基础。在 cnMaestro 中将 RADIUS 计费配置在 UDP 1813 上。如果没有它，您将失去 Purple 提供的分析价值。这是一个仅需五分钟的配置步骤。 第四：VLAN 中继。为了使动态 VLAN 分配正常工作，必须在连接到 Cambium AP 的交换机端口上对 VLAN 进行中继。如果中继上不允许用于访客的 VLAN 100，则已验证身份的访客将无法获取 IP 地址，并且即使在成功验证后也似乎无法访问互联网。请在测试前验证您的交换机中继配置。 第五：ePSK VLAN 范围冲突。确保您的 ePSK VLAN 范围与网络中的现有 VLAN 不发生冲突——特别是管理 VLAN 或基础设施 VLAN。在开始之前，请记录您的 VLAN 分配。 第六：固件版本。确保您的 cnPilot AP 运行的是固件版本 6.0 或更高版本，以获得完整的外部热点支持和 ePSK 功能。早期固件版本在 Captive Portal 重定向行为方面存在已知问题。 现在来进行一些快速问答。 我可以在不使用 RADIUS 的情况下将 Purple 与 Cambium 结合使用吗——只需简单的重定向？可以，但您会失去动态 VLAN 分配和会话计费数据。对于基本展示页面以外的任何需求，强烈推荐使用 RADIUS。 Purple 是否支持 Cambium AP 上的 WPA3？支持。Purple 基于门户的身份验证与 SSID 上的 WPA3-SAE 兼容。RADIUS 流程独立于无线安全协议。 我可以通过单个 Purple 账户在多个 Cambium 站点运行 Purple 吗？当然可以。Purple 的多场所架构正是为此而设计的。每个站点都会映射到 Purple 中的一个场所，并且 cnMaestro 的网络策略可以干净地扩展到全国范围内的资产。 cnMaestro 支持多少个 ePSK 条目？每个 WLAN 最多支持 2,000 个。对于需要更多条目的部署，请使用基于 RADIUS 的方法进行密钥管理。 总结一下：Cambium cnMaestro 和 Purple WiFi 的集成是一个经过充分验证的架构，可提供包含数据捕获、RADIUS 身份验证、动态 VLAN 细分和完整分析功能的访客 WiFi——所有这些都通过 cnMaestro 的云控制台进行集中管理。 上线的主要步骤：在 cnMaestro 中配置您的访客 WLAN，启用外部热点并设置 Purple 门户 URL，添加 Purple 的 RADIUS 服务器详细信息以进行身份验证和计费，配置您的围墙花园条目，验证交换机上的 VLAN 中继，并在上线前用新设备进行测试。 对于多租户部署，请在专用 WLAN 上配置 ePSK，为每个租户分配 VLAN ID，并使用 cnMaestro API 进行大规模生命周期管理。 投资回报率（ROI）案例显而易见。Purple 的分析平台将您的访客 WiFi 从成本中心转变为第一方数据资产。哈罗德百货（Harrods）通过部署 Purple 访客 WiFi 实现了 57 倍的营销投资回报率。AGS 机场（AGS Airports）产生了 842% 的投资回报率。结合 Cambium 的企业级基础设施，您将获得一个无需架构更改即可从单个场所扩展到全国范围资产的解决方案。 后续步骤：向您的 Purple 客户经理索取 Purple 的 RADIUS 服务器详细信息，拉取您访客 SSID 的 cnMaestro WLAN 配置，并核对配置清单。大多数单站点部署在一天内即可上线。 感谢您的关注。如果您想深入了解 Captive Portal 设计、VLAN 隔离策略或 ePSK 生命周期管理，联系 Purple 文档和支持团队将是您的最佳下一步选择。