跳至主要内容
简体中文

适用于 Ruckus 的 Captive Portal

本技术参考指南为在 CommScope Ruckus SmartZone 和 Unleashed 架构上部署外部 Captive Portal 提供了权威的集成指南。它将逐步引导网络工程师配置访客 WLAN、WISPr 重定向、RADIUS AAA 服务器设置以及 Walled Garden 放行规则,以交付安全、高密度的访客 WiFi 解决方案。

📖 14 分钟阅读📝 3,327 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎收看 Purple 技术简报系列。我是主持,今天我们将探讨几乎在每个企业级 WiFi 部署中都会遇到的问题 —— 在 Ruckus SmartZone 和 Ruckus Unleashed 控制器上设置 Captive Portal。无论您是为连锁酒店部署访客 WiFi 的 MSP,还是正在开发新物业的酒店业 IT 负责人,或者是将 Purple 平台与 Ruckus 基础架构进行集成的无线工程师,本期内容都非常适合您。让我们开始吧。 --- 首先 —— 为什么 Ruckus 的 Captive Portal 集成如此重要?Ruckus(现归康普 CommScope 旗下)是全球主导的企业级 WiFi 平台之一。特别是 SmartZone,是体育场馆、会议中心、大型酒店和零售连锁等高密度环境的首选控制器。当您以此种规模部署访客 WiFi 时,您需要的不仅仅是一个开放的 SSID。您需要结构化的身份验证流程、符合 GDPR 的数据采集,以及将该访客数据推送到营销系统中的能力。这正是像 Purple 这样的外部 Captive Portal 平台派上用场的地方。 此处的架构是基于 WISPr 的热点流程。WISPr 代表无线互联网服务提供商漫游(Wireless Internet Service Provider roaming) —— 这是一项行业标准,定义了无线控制器如何拦截未授权的 HTTP 流量并将其重定向到外部门户。访客连接到您的 SSID,他们的设备发送 HTTP 请求,SmartZone 控制器拦截该请求并向您的外部门户 URL 发出 HTTP 302 重定向。访客进行身份验证(无论是通过社交媒体登录、电子邮件、短信还是自定义表单),然后门户通过北向接口(即 NBI)与控制器进行通信以授予访问权限。在配置正确时,该流程干净、基于标准且高度可靠。 --- 现在让我们进入技术配置环节。我将先介绍 SmartZone,然后说明 Unleashed 的不同之处。 在 SmartZone 上 —— 这适用于物理 SZ300 和虚拟 vSZ 部署 —— 配置包含四个主要组件:RADIUS 认证服务器配置文件、RADIUS 计费服务器配置文件、Hotspot WISPr 门户配置文件以及 WLAN 本身。 首先配置您的 RADIUS 服务器。导航至“Services and Profiles”(服务与配置文件),然后选择“Authentication”(认证)。创建一个新的 AAA 服务器配置文件。将“Service Protocol”(服务协议)设置为 RADIUS。您的主服务器 IP 和共享密钥将由您的门户供应商提供 —— 以 Purple 为例,这些都在 Purple 门户管理控制台中有详细记录。认证端口为 1812。务必配置备份 RADIUS 服务器以保证容灾弹性 —— 备用服务器端口同样为 1812。然后在“Services and Profiles”(服务与配置文件)下的“Accounting”(计费)中对计费进行相同的操作 —— 端口为 1813,使用相同的共享密钥。 接下来是 Hotspot WISPr 配置文件。转到“Services and Profiles”(服务与配置文件)、“Hotspots and Portals”(热点与门户),然后选择“Hotspot WISPr”选项卡。创建一个新配置文件。将“Login URL”设置为“External”,并输入您的门户重定向 URL——这是您的访客在进行身份验证之前将被引导至的 URL。将“Start Page”设置为重定向到验证后的 URL,通常是成功页面或您场所的主页。 现在是 Walled Garden(围墙花园)。这是许多工程师容易出错的地方。Walled Garden 定义了访客在进行身份验证之前可以访问哪些域名和 IP 地址。您需要包含您的门户域名、您的门户加载所使用的任何 CDN 或资产域名,以及标准的操作系统 Captive Portal 检测端点。在 SmartZone 中,支持使用星号加点(asterisk-dot)格式的通配符——例如,*.purple.ai。这单个条目即可覆盖所有子域名。您还需要包含 Apple 的 Captive Portal 检测域名(captive.apple.com)以及 Google 的连接检查端点,以防止 CNA 微型浏览器在 iOS 和 Android 设备上出现异常。 一个容易被忽略的关键步骤是:默认情况下,SmartZone 会加密其在重定向 URL 中传递给外部门户的 MAC 地址和 IP 地址。您的门户供应商需要看到实际的客户端 MAC 地址,以执行基于 MAC 的会话管理。您必须通过 CLI 禁用此功能。通过 SSH 登录您的 SmartZone,进入配置模式,然后运行:no encrypt-mac-ip。就是这样——只需一个命令,但如果您跳过它,将会导致配置受阻。 Northbound Interface(北向接口)是另一个组成部分。这是允许您的门户平台与 SmartZone 进行反向通信的 API,以便在身份验证后允许或拒绝访问。在“Administration”(管理)、“External Services”(外部服务)、“WISPr Northbound Interface”下启用它。设置用户名和密码,并将这些凭据提供给您的门户供应商。NBI 在用于 HTTP 的 TCP 端口 9080 和用于 HTTPS 的端口 9443 上运行——请确保您的防火墙允许来自您门户平台 IP 范围到这些端口的入站连接。 最后,创建您的 WLAN。将“Authentication Type”(身份验证类型)设置为“Hotspot WISPr”,选择您的门户配置文件,并分配您的 RADIUS 身份验证和计费服务。如果您的门户供应商需要特定值,请将“NAS ID”设置为“User-defined”(用户定义),将“Called Station ID”设置为“AP MAC”,并启用“Single Session ID”。最后一项设置可确保访客的会话与单个控制器会话记录绑定,这对于准确计费非常重要。 --- 现在来看 Unleashed。其架构有着根本的不同——Unleashed 是一种分布式的无控制器模式,其中一个 AP 充当主设备。配置位于“Admin and Services”(管理与服务)、“Services”(服务)、“Hotspot Services”(热点服务)。步骤大致相似——创建 Hotspot 服务、配置您的外部门户 URL、设置您的 AAA 身份验证服务器、添加您的 Walled Garden 条目——但存在关键差异。 首先,Unleashed 中没有 Northbound Interface(北向接口)要求。其门户通信模型更简单。其次,Unleashed 默认不启用 MAC 地址加密,因此您不需要 CLI 命令。第三,Unleashed 的 walled garden 接受域名级条目,而不是完整的通配符语法——因此您应该输入 purple.ai,而不是 star-dot-purple.ai。请查看您的供应商文档以获取他们所需的准确格式。 Unleashed 可扩展至大约 50 个接入点,适用于中型酒店、零售分店和中小企业(SMB)部署。对于更大规模的场景——如多物业酒店集团、体育场、大型零售物业——SmartZone 是更合适的平台。 --- 让我来介绍一下实际应用中见到的两种最常见故障模式。 第一种是 walled garden 配置错误。如果您的门户页面在重定向后无法加载,首先要检查的是您的门户页面引用的所有域名是否都在 walled garden 中。现代门户页面会从多个 CDN 域名、分析脚本、社交登录 SDK 加载资源。如果其中任何一个在认证前被拦截,页面将无法加载或加载不完整。请在连接到访客 SSID 的测试设备上使用浏览器的开发者工具,以确定哪些请求被拦截。 第二种是 NBI 连接问题。如果访客能够看到门户并进行身份验证,但始终无法访问互联网,可能的原因是 SmartZone 无法接收来自您门户平台的 NBI 回调。请检查从您的门户供应商 IP 范围到 SmartZone 管理 IP 的入站端口 9080 和 9443 是否已开放。同时验证您配置的 NBI 凭据是否与您的门户供应商记录的凭据一致。 第三种值得提及的情况——Apple CNA(Captive Network Assistant,即强制网络门户助手)。在 iOS 上,当设备连接到网络时,它会向 captive.apple.com 发送探测。如果该探测收到非 200 响应,iOS 就会弹出迷你浏览器。如果 captive.apple.com 在您的 walled garden 中,探测就会成功,iOS 会认为已连接互联网,CNA 也就不会出现。这听起来是一件好事,但这意味着您的访客不会自动看到门户页面。您需要决定:您是希望出现 CNA,还是希望访客手动打开浏览器?大多数酒店业部署都会将 captive.apple.com 排除在 walled garden 之外,以触发 CNA。 --- 快速问答。我经常被问到的三个问题。 我需要为访客 WLAN 配置 VLAN 吗?是的。务必将访客流量隔离在专用 VLAN 上。这既是安全要求,也是在您的场所于同一网络上处理刷卡支付时的 PCI DSS 合规性考量。 我可以在 Ruckus Cloud 上使用 Purple,而不是 SmartZone 吗?可以,但配置路径不同——它位于 WiFi 网络(WiFi Networks)的“访客接入”(Guest Access)设置下。walled garden 和 RADIUS 的配置原理是相同的。 Does Purple support SmartZone multi-zone deployments? Yes. Purple's integration handles multi-zone SmartZone environments, and you can scope portal configurations to individual zones for different venues or floors. --- To wrap up. The Ruckus SmartZone captive portal integration with Purple is a mature, well-documented deployment pattern that delivers reliable guest authentication at scale. The key configuration points are: RADIUS on ports 1812 and 1813 with a backup server, the Hotspot WISPr profile with an external login URL, a correctly scoped walled garden using wildcard entries, the no encrypt-mac-ip CLI command, and the Northbound Interface enabled with the correct credentials. Get those five things right, and you have a solid foundation. For Unleashed deployments, the same principles apply with a simpler configuration model and no NBI requirement. If you're deploying Purple on Ruckus and want to validate your configuration before go-live, Purple's technical onboarding team can walk you through a pre-launch checklist. The Purple platform also provides real-time analytics on portal load times, authentication success rates, and session data — giving you the visibility to catch issues before your guests do. Thanks for listening. Next episode we'll be covering 802.1X authentication with Cloud RADIUS — another integration that pairs well with Ruckus SmartZone for corporate guest access. Until then.

📚 核心系列的一部分:多租户 WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

关键定义

WISPr (Wireless Internet Service Provider roaming)

由 Wi-Fi Alliance 开发的草案协议,使智能客户端和网页浏览器能够使用标准化的 XML 或 HTTP 302 重定向,自动针对无线热点进行认证。

在 Ruckus 控制器中用作核心重定向协议,将未认证的访客设备转发到外部 Captive Portal 平台。

Northbound Interface (NBI)

由 Ruckus SmartZone 控制器开放的 API,允许外部 Web 门户发送授权回调,指示控制器向特定客户端 MAC 地址授予互联网访问权限。

必须在 TCP 端口 9080 (HTTP) 或 9443 (HTTPS) 上启用,以允许 Purple 在成功登录后授权访客会话。

Walled Garden

允许未认证的访客客户端在认证前访问的 IP 地址、子网或域名列表。

必须配置门户的域名、CDN 和操作系统 Captive Portal 检测端点,以确保 splash 页面正确加载。

RADIUS (Remote Authentication Dial-In User Service)

一种在 UDP 端口 1812(认证)和 1813(计费)上运行的网络协议,为用户提供集中的认证、授权和计费 (AAA) 管理。

Ruckus 控制器将客户端会话数据转发到 Purple 的 RADIUS 服务器,以验证凭据并跟踪会话时长。

CNA (Captive Network Assistant)

内置于操作系统(如 Apple iOS/macOS 和 Android)中的轻量级、受限浏览器,当检测到带有活动 Captive Portal 的开放网络时会自动启动。

如果工程师希望强制访客手动打开完整浏览器以完成认证,可以在 WLAN 设置中绕过该功能。

Interim Accounting Update

无线控制器发送给 RADIUS 服务器的定期 RADIUS 消息,用于更新活动会话状态、带宽消耗和连接时间。

在 Ruckus WLAN 配置中必须设置为 5 分钟,以确保 Purple 的仪表板显示准确的实时分析数据。

Client Isolation

在无线控制器上配置的一种安全功能,可防止连接到同一 AP 或 WLAN 的无线客户端之间直接进行通信。

对于访客 WiFi 网络至关重要,可保护用户免受本地 ARP 欺骗、中间人攻击和未经授权的设备扫描。

WPA3-Transition Mode

一种安全配置,允许较旧的兼容 WPA2 的设备和较新的兼容 WPA3 的设备同时连接到同一个 SSID。

可以部署在具有机会性无线加密 (OWE) 的访客网络上,无需密码即可为开放 SSID 提供空中加密。

应用实例

一家部署了 Ruckus SmartZone (vSZ) 的高密度会议中心需要使用 Purple 的 Captive Portal 实施访客 WiFi 网络。该网络必须能够处理多达 5,000 个并发会话,将访客流量与企业子网隔离,并支持社交媒体登录认证。

  1. 在核心交换机上配置专用的访客 VLAN 200,并将其映射到 Ruckus AP 区域。定义一个包含公共 DNS 服务器(例如 1.1.1.1、8.8.8.8)且租期较短(2 小时)的 DHCP 范围,以适应高轮转率。
  2. 在 SmartZone 中,导航至 Services & Profiles > Authentication > Proxy (SZ Authenticator),并创建指向 Purple Cloud RADIUS IP(端口 1812)的主/备 RADIUS 服务器,并输入提供的共享密钥。
  3. 创建指向 Purple 会计 IP(端口 1813)的 RADIUS Accounting 服务器。将过渡更新间隔设置为 5 分钟,以便精确跟踪活动会话。
  4. 创建 Hotspot WISPr Portal Profile。将登录 URL 设置为“External”,并填写 Purple 重定向 URL。为“.purple.ai”、“.cloudfront.net”和社交媒体域名(例如“*.facebook.com”)添加 walled garden 通配符排除项。
  5. 创建访客 WLAN。将认证类型(Authentication Type)设置为 Hotspot (WISPr),选择新建的 Hotspot 配置文件,并绑定 RADIUS 认证和会计服务。将 Called Station ID 设置为“AP MAC”并启用“Single Session ID”。
  6. 通过 SSH 访问 SmartZone CLI,并执行“no encrypt-mac-ip”以将原始 MAC 地址传递给 portal。在控制器上启用 WISPr 北向接口 (NBI),并在 Purple portal 管理控制台中输入凭据以启用 NBI 授权回调。
考官评语: 此架构具有高度的弹性和合规性。使用专用 VLAN 200 满足了 PCI DSS 分段要求。2 小时的短 DHCP 租期可防止在高密度场景下 IP 地址耗尽。启用 RADIUS 会计并设置 5 分钟的过渡更新可确保场馆拥有实时会话跟踪,从而使 Purple 能够精确监控带宽使用情况。通过 CLI 禁用 MAC 地址加密是一个关键步骤;否则,portal 将接收到哈希处理后的 MAC,导致无法关联会话。NBI 回调配置是在 Ruckus SmartZone 上授权客户端且不创建本地认证循环的唯一安全方式。

一家拥有 45 间客房的中型精品酒店希望使用 Ruckus Unleashed AP 部署带有外部展示页面的访客 Wi-Fi。他们需要一种轻量级、无控制器的设置,且不需要 CLI 管理或面向公众的 NBI API 端口。

  1. 登录到 Master Unleashed AP Web 界面。转到 Admin & Services > Services > AAA Servers,并创建指向 Purple Cloud RADIUS 基础设施的 RADIUS 认证(端口 1812)和会计(端口 1813)服务器条目。
  2. 导航至 Admin & Services > Services > Hotspot Services,然后单击 Create New。将服务命名为“Purple_Hotel_Hotspot”。
  3. 在 General 选项卡下,将登录 URL 设置为 Purple portal 重定向 URL。将 Start Page 设置为重定向到“ https://login.purple.ai/success.php”。
  4. 在 Authentication 选项卡下,选择新建的 RADIUS 服务器。将过渡会计更新间隔设置为 5 分钟。
  5. Walled Garden 选项卡下,将所需的域名添加为域名级条目(例如“purple.ai”、“cloudfront.net”、“gstatic.com”)。请注意,Unleashed 不需要也不支持星号通配符前缀 (*.domain.com)。
  6. 转到 Wi-Fi Networks,单击 Create,然后设置 SSID 名称(例如“Hotel_Guest_WiFi”)。将 Usage Type 设置为“Hotspot Service”,并从下拉列表中选择“Purple_Hotel_Hotspot”。保存配置以在所有 45 个 Unleashed AP 上自动同步该 SSID。
考官评语: 对于 AP 数量少于 50 个的 SMB 和中端市场部署,Ruckus Unleashed 提供了极具成本效益的分布式架构。由于 Unleashed 默认不应用 MAC 地址加密,因此绕过了 SmartZone 中所需的 CLI 步骤。此外,Unleashed 不需要北向接口 (NBI) 回调来进行授权;相反,客户端授权是通过 Master AP 与 RADIUS 服务器之间的标准 RADIUS 事务直接协商的。这简化了防火墙配置,因为无需向互联网开放指向控制器的入站端口(如 9080/9443)。

练习题

Q1. 一位工程师配置了 Ruckus SmartZone Captive Portal 集成。当用户连接到访客 WiFi 时,他们会被重定向到登录页面。然而,在输入凭据并点击“连接”后,他们会立即被重新定向回登录页面,陷入无限循环。导致此问题的最可能原因是什么,以及应该如何解决?

提示:重点关注认证完成后 Captive Portal 云端与 SmartZone 控制器之间的通信。

查看标准答案

最可能的原因是 WISPr 北向接口 (NBI) 回调失败或 RADIUS 认证不匹配。当用户点击“连接”时,Portal 会验证该用户,并尝试向 TCP 端口 9080 或 9443 上的 SmartZone 控制器发送 NBI 回调,以授权客户端的 MAC 地址。如果出口防火墙阻止了此入站端口,或者 Portal 控制台中输入的 NBI 凭据与控制器的设置不匹配,控制器将永远不会授权客户端。因此,当客户端再次尝试访问互联网时,控制器会拦截流量并将其重定向回 Portal。解决方法:1) 确认出口防火墙上从 Portal 的 IP 范围到 SmartZone 管理 IP 的入站 TCP 端口 9443(或 9080)已开放。2) 检查 SmartZone 在 Administration > WISPr Northbound Interface 下的 NBI 配置,并确认用户名和密码与 Portal 管理控制台中配置的一致。3) 在 SmartZone 的 Services & Profiles > Authentication > Test AAA 下测试 RADIUS 连接,以确保共享密钥正确无误。

Q2. 在 Ruckus Unleashed 集群上部署访客 WiFi 网络期间,几位访客报告说,Splash Page 加载时图像和样式损坏,且社交登录选项无法正常工作。其他使用不同设备的访客则根本无法加载 Splash Page。最可能的配置错误是什么?

提示:分析加载成功的域名与预认证失败的域名之间的区别。

查看标准答案

最可能的原因是 Walled Garden(围墙花园)配置错误或不完整。未通过认证的客户端被阻止访问除 Walled Garden 中明确定义的域名之外的任何互联网目的地。如果 Splash Page 加载时样式和图像损坏,这意味着浏览器被阻止从外部 CDN 下载这些资源。如果社交登录选项失败,则意味着社交提供商的认证端点(例如 Facebook 或 Google OAuth URL)被阻止。解决方法:1) 审核 Unleashed Hotspot Service 配置中的 Walled Garden 条目。2) 确保已添加 Portal 使用的所有 CDN 域名(如“.cloudfront.net”)和核心 Portal 域名(如“purple.ai”)。3) 如果启用了社交登录,请添加特定的社交提供商域名(例如“.facebook.com”、“.facebook.net”、“.google.com”)。4) 请注意,Unleashed 使用域名级匹配,因此不要包含星号通配符前缀(例如,使用“purple.ai”而不是“*.purple.ai”)。

Q3. 一位无线工程师正在将访客 WiFi 网络从 Ruckus Unleashed 迁移到集中式 Virtual SmartZone (vSZ) 控制器。他们原样复制了在 Unleashed 中配置的 Walled Garden 列表:“purple.ai”、“cloudfront.net”、“apple.com”。然而,迁移后,vSZ 网络上的客户端无法加载 Splash Page。导致此失败的语法差异是什么?

提示:查看 Ruckus SmartZone 与 Ruckus Unleashed 相比的具体通配符格式化规则。

查看标准答案

该失败是由两个平台解析 Walled Garden 条目的语法差异引起的。Ruckus Unleashed 应用自动域名级匹配,这意味着输入“purple.ai”会自动涵盖所有子域名(例如“login.purple.ai”或“assets.purple.ai”)。然而,Ruckus SmartZone 不应用自动子域名匹配;它需要使用星号前缀进行显式通配符格式化(例如“.purple.ai”)。如果工程师在 SmartZone 中输入“purple.ai”,控制器将仅允许访问根域名的流量,从而阻止客户端加载位于“login.purple.ai”的实际登录页面。要解决此问题,工程师必须编辑 SmartZone 中的 Hotspot WISPr 配置文件,并将 Walled Garden 条目更新为使用正确的格式:“.purple.ai”、“.cloudfront.net”和“.apple.com”。

继续阅读本系列

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本权威指南详细介绍了 Cisco Catalyst 9800 WLC 与 Purple WiFi 的逐步集成过程。内容涵盖适用于访客 Captive Portal 的外部 Web 认证、用于保障员工安全接入的 802.1X EAP-TLS,以及用于多租户动态 VLAN 隔离的 Cisco iPSK。

阅读指南 →

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →