跳至主要内容
简体中文

适用于 Ubiquiti UniFi 的 Captive Portal

本权威技术指南详细介绍了在 Ubiquiti UniFi 网络应用程序上配置外部 Captive Portal (Purple) 的方法。内容涵盖底层网络机制、逐步访客网络部署、围墙花园(Walled Garden)白名单、RADIUS 身份验证以及针对高级 IT 专业人员和网络管理员的故障排除策略。

📖 10 分钟阅读📝 2,475 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
Captive Portal for Ubiquiti UniFi —— A Purple 技术简报 [引言与背景 —— 约 1 分钟] 欢迎收看 Purple 技术简报系列。我是主持人,今天我们将深入探讨在 Ubiquiti UniFi 基础设施上部署外部 Captive Portal 的具体细节——这是全球酒店、零售和企业环境中部署最广泛的网络平台之一。 如果您是处理 UniFi Cloud Gateways、Dream Machines 或 UniFi Network Application 的 IT 经理、网络架构师或系统集成商,那么本期内容正适合您。我们将详细剖析外部门户机制的底层工作原理、如何正确配置它、常见的陷阱在哪里,以及为什么对于需要比基础欢迎页面更多功能的场所来说,在 UniFi 部署之上叠加 Purple 是正确的架构决策。 让我们开始吧。 [技术深挖 —— 约 5 分钟] 首先,让我们了解一下当访客连接到启用了 Captive Portal 的 UniFi SSID 时,实际发生了什么。 当访客设备与您的访客 SSID 关联时,UniFi 接入点(AP)会像往常一样通过 DHCP 为其分配一个 IP 地址。但该设备会立即被置于 UniFi 所称的“待定”(pending)状态。在这种状态下,AP 内置的 DNSmasq 进程会拦截设备发起的每一次 DNS 查询,无论该设备认为自己使用的是什么 DNS 服务器。AP 会将所有 DNS 流量重定向到自身。 与此同时,AP 在 80 端口上运行一个轻量级的 HTTP 重定向器。当访客的浏览器发起任何 HTTP 请求时(请注意,关键字是 HTTP,而不是 HTTPS),重定向器会立即返回一个 302 重定向,将浏览器引导至 Captive Portal 欢迎页面。正是这一机制触发了 iOS 和 Android 设备上的“登录 WiFi”通知。 现在,内置门户与外部门户的区别就变得至关重要了。使用内置的 UniFi Hotspot Portal,欢迎页面由 UniFi Network Application 直接提供。它功能尚可,设置快速,但局限性很大。您只能获得基础的密码认证、凭证(vouchers)和 Stripe 支付。没有电子邮件捕获、没有社交媒体登录、没有 GDPR 合规同意管理、没有 CRM 集成,除了会话计数之外,也没有任何有意义的分析数据。 当您配置外部门户服务器(External Portal Server)时——这也是我们今天关注的设置——您是在指示 UniFi 控制器将访客重定向到一个完全独立的 Web 应用程序。在我们的案例中,那就是 Purple。您在“External Portal Server”字段中输入的 URL 将成为所有这些 302 重定向的目的地。以下是关于该重定向 URL 的重要技术细节。当 UniFi 将访客重定向到您的外部门户时,它会在 URL 中附加几个查询参数。这些参数包括:AP MAC 地址、客户端设备 MAC 地址、Unix 时间戳、客户端尝试访问的原始 URL 以及 SSID 名称。在此场景下,您的外部门户(即 Purple)会捕获这些参数,并使用它们来识别连接的设备、展示相应的展示页面、处理身份验证,然后向 UniFi Network Application 发起 API 调用以授权该 MAC 地址。 该 API 调用是至关重要的握手过程。自 UniFi Network Application 9.1 及更高版本起,提供了一个具有标准密钥身份验证的官方 REST API。授权端点是对 sites API 第一版本的 POST 请求,针对特定的客户端 ID,其 JSON 请求体可以指定以分钟为单位的时间限制、以兆字节(MB)为单位的数据使用限制以及以千比特每秒(kbps)为单位的速率限制。一旦控制器收到该授权,它就会将指令推送到 AP,访客状态将从“待处理”转为“已授权”。互联网访问权限随即开通。 现在我们来谈谈 Walled Garden,UniFi 将其称为“授权前访问”(Pre-Authorization Access)。这是访客在通过身份验证之前可以访问的域名和 IP 地址白名单。它至关重要,也是最常见的配置错误来源之一。 您的 Walled Garden 至少需要包含 Purple 门户的完全限定域名,以及 Purple 基础设施解析到的 IP 地址或 CIDR 范围。如果您使用的是社交账号登录(如 Facebook、Google、Microsoft),您还需要添加这些提供商的 OAuth 端点域名。Google 的登录端点跨越多个 IP 范围和多个域名,包括 accounts.google.com 和 oauth2.googleapis.com。Facebook 的登录基础设施同样需要添加多个条目。Purple 的文档提供了一份持续维护的所需具体条目列表,并且随着这些提供商更新其基础设施,该列表也会保持最新。 UniFi 存在一个特有的关键机制,常常导致许多部署出现问题。AP 上的 HTTP 重定向器仅拦截端口 80 上的纯 HTTP 流量。现代设备(iOS、Android、Windows、macOS)都会进行基于 HTTPS 的 Captive Portal 检测。Apple 设备通过 HTTPS 访问 captive.apple.com。Android 设备访问 connectivitycheck.gstatic.com。如果这些 HTTPS 请求没有收到特定的响应,设备可能会判定不存在 Captive Portal,从而根本不显示登录提示。 解决方案是确保您的 Walled Garden 包含主流操作系统的 Captive Portal 检测域名,并且您的 Purple 门户可以通过具有有效且受信任的 SSL 证书的 HTTPS 进行访问。自签名证书会导致浏览器安全警告,从而阻止门户加载。对于生产环境部署,这是必须满足的硬性要求。另一个针对 UniFi 的特定考量是控制器的可达性。UniFi Network Application(无论运行在 Cloud Gateway、Cloud Key 还是自托管服务器上)必须能够从 Purple 的基础设施访问,以便 API 授权调用成功。如果您的控制器位于 NAT 后面的私有网络中,您需要确保相关的 API 端口是可访问的。对于自托管控制器,旧版 API 通常使用端口 8443,而 9.1 版本中引入的新版 API 则使用标准 HTTPS 端口 443。Purple 的支持文档指定了需要入站访问您控制器的确切 IP 范围。 对于基于 RADIUS 的认证(当您将 Purple 与 WPA2-Enterprise 或 WPA3-Enterprise SSID 配合部署,而不是采用开放式访客 SSID 模式时,这会非常有用),UniFi 内置的 RADIUS 服务器支持标准的 802.1X EAP 方法。您可以在“设置” -> “网络” -> “RADIUS 服务器”下配置 RADIUS 配置文件,然后在您的 SSID 配置中引用该配置文件。UniFi 还从 8.4 版本开始支持基于 TLS 的 RADIUS(即 RADSEC),这可以对 AP 与认证服务器之间的 RADIUS 流量进行加密。对于 RADIUS 流量需要跨越公网的多站点部署,强烈推荐使用 RADSEC。 [实施建议与常见陷阱 — 约 2 分钟] 让我为您提供一份实用的实施清单,这是我与任何在 UniFi 上部署 Purple 的客户沟通时都会逐一确认的内容。 第一,网络隔离。您的访客 SSID 必须位于专用的 VLAN 上,并与您的企业和物联网(IoT)网络隔离。UniFi 让这一操作变得非常简单 — 在“设置” -> “网络”中创建一个专用网络,为其分配一个 VLAN ID,然后将您的访客 SSID 与该网络关联。在访客网络上启用客户端隔离,以防止访客之间的流量互通。 第二,控制器必须拥有有效的 FQDN 和受信任的 SSL 证书。不要依赖 IP 地址。请使用正式的域名,为其获取 Let's Encrypt 或商业证书,并配置 UniFi 使用该证书。这可以解决绝大多数 HTTPS 重定向问题。 第三,仔细构建您的围墙花园(Walled Garden)并进行测试。最少需要包含的条目有:您的 Purple 门户域名及其 IP 范围、iOS、Android 和 Windows 的 Captive Portal 检测域名,以及您正在使用的任何 OAuth 提供商域名。请使用从未连接过该网络的设备进行测试 — 缓存的 DNS 和网络状态可能会在测试期间掩盖围墙花园的配置漏洞。 第四,对于 API 集成,请在 UniFi Network Application 中使用具有最小所需权限的专用本地管理员账户。不要使用您的主管理员凭据。如果您使用的是 Network Application 9.1 或更高版本,请使用“控制平面” -> “集成”下的全新 API 密钥机制 — 这样更安全,且不需要基于凭据的身份验证。第五,仔细考虑会话时长。UniFi 的默认访客会话过期时间可能短至八小时。对于访客可能会入住多晚的酒店业部署,请在 Purple 门户设置中配置合适的会话时长,并确保这些时长在 API 授权调用中正确传递。 我见过的最常见误区是部署在无法公开访问的自托管控制器上。如果 Purple 无法访问您的控制器来授权访客,门户页面将会加载,但身份验证会静默失败。在上线之前,请务必验证从 Purple 基础设施到控制器的 API 连接性。 [快速问答 — 约 1 分钟] 这适用于 UniFi Dream Machine Pro 吗?是的。所有 UniFi OS 控制台(UDM、UDM Pro、UDM SE、UCG Ultra、UCG-Max)都支持外部门户服务器(External Portal Server)配置。Network Application 在设备上运行。 我可以通过单个 Purple 账户在多个 UniFi 站点上使用 Purple 吗?可以。Purple 的多站点架构正是为此而设计的。每个场所都在 Purple 中配置为一个独立的站点,并映射到相应的 UniFi 站点。 我需要在 UniFi 网关上开放防火墙端口吗?您需要确保访客 VLAN 流量可以通过 443 端口访问 Purple 门户域名。控制器 API 端口也需要能够被 Purple 的服务器访问。Purple 的文档提供了具体的 IP 范围。 WPA3 呢?UniFi 支持 WPA3 个人版(WPA3 Personal)和 WPA3 企业版(WPA3 Enterprise)。Captive Portal 机制在访客网络上可与 WPA3 个人版配合使用。WPA3 企业版使用 802.1X 和 RADIUS,这是一种不同的身份验证流程。 [总结与后续步骤 — 约 1 分钟] 总结一下:在 UniFi 上将 Purple 部署为外部 Captive Portal 是一项获得良好支持且架构合理的集成。关键步骤包括:配置您的访客 SSID,将外部门户服务器(External Portal Server)选项指向您的 Purple 门户 URL;构建一个全面的围墙花园(Walled Garden),覆盖 Purple 的基础设施以及您使用的任何 OAuth 提供商;确保您的 UniFi 控制器拥有有效的 SSL 证书,且可从 Purple 的 API 服务器访问;并根据您的场所类型配置合适的会话时长。 商业价值显而易见。内置的 UniFi 门户仅为您提供一个欢迎页面。而 Purple 则为您提供一个符合合规要求、由分析驱动的访客体验平台,该平台可与您的 CRM 集成,在满足 GDPR 同意的前提下捕获第一方数据,并提供场所运营商和营销团队真正需要的客流量和停留时间分析。 如果您是进行大规模 UniFi 部署的 MSP 或系统集成商,Purple 的多站点管理和白标能力使其成为您客户的理想叠加方案。 如需详细的配置文档、围墙花园 IP 列表和 API 集成指南,请访问 purple.ai。感谢您的收听。

📚 核心系列的一部分:多租户 WiFi

header_image.png

Executive Summary

随着企业实体场所——从大型连锁零售 [1]、多场所酒店集团 [2] 到大型交通枢纽 [3] 和教育机构 [4]——旨在最大化其无线基础设施的价值,内置热点控制器的局限性已成为一个重大的运营瓶颈。Ubiquiti UniFi 生态系统提供了高度可靠、高性价比且可扩展的硬件。然而,其原生访客门户缺乏现代企业运营所需的高级数据捕获、多场所分析、CRM 集成、全球隐私合规性(GDPR、CCPA、PCI DSS)以及变现能力。

本技术参考指南提供了将 Purple 的企业 WiFi 智能平台 [5] 叠加到 Ubiquiti UniFi 网络架构上的全面架构演练。通过利用 UniFi 的 External Portal Server 功能,网络架构师和系统集成商可以绕过本地控制器的限制。此集成通过 Purple 安全的云托管身份与分析引擎路由访客认证,将一项基础工具转变为企业级的营销和运营资产。

Technical Deep-Dive

要部署安全且稳定的外部 Captive Portal,网络工程师必须了解未认证客户端连接到无线网络时发生的底层通信和状态转换。

The Guest Connection and Redirection Lifecycle

UniFi Captive Portal 工作流基于严格的状态模型运行。当客户端关联到启用了访客功能的 SSID 时,会启动以下顺序过程:

阶段 组件 操作 / 状态转换 技术机制
1. Association 客户端与接入点 (AP) 客户端关联到 SSID;DHCP 服务器分配 IP 地址、子网掩码、网关和 DNS 服务器。 标准 802.11 关联和 DHCP 租约。
2. Quarantine UniFi 接入点 (AP) AP 将客户端 MAC 地址置于隔离/待处理状态(authorized: false)。 在 AP 的虚拟接口上本地应用的 2/3 层阻断规则。
3. DNS Interception AP 本地守护进程 AP 运行本地 DNSmasq 进程,拦截来自待处理客户端的所有 DNS 查询。 AP 无论客户端 DNS 设置如何,都会将所有 53 端口 (UDP/TCP) 流量重定向到其本地 DNS 解析器。
4. HTTP Interception AP 重定向器 AP 在 80 端口上运行轻量级 HTTP 重定向器守护进程。 客户端发起的任何 HTTP 请求都会被拦截。AP 响应 HTTP 302 Found 重定向。
6. 认证 外部 Portal (Purple) 客户端与 Purple 欢迎页面进行交互,完成认证(例如:社交账号登录、邮箱注册、短信验证码)。 托管在 Purple 云端基础设施上的安全 HTTPS 会话。
7. API 握手 Purple 云与 UniFi 控制器 Purple 验证凭据并向 UniFi 网络应用程序发起安全的 API 调用。 包含客户端 MAC 地址、站点 ID 和会话参数的 REST API 调用(POST 请求)。
8. 授权 UniFi 控制器与 AP UniFi 控制器将客户端状态更新为 authorized: true,并将更新后的 ACL 推送到 AP。 AP 解除针对客户端 MAC 地址的 2/3 层阻断,授予通往互联网网关的完整路由权限。

重定向查询参数

当 UniFi AP 发起 HTTP 302 重定向时,它会在外部 Portal URL 中附加一组标准化的查询参数。外部 Portal 必须捕获这些参数,以识别客户端并执行后续的 API 授权:

https://portal.purplehotspot.com/guest/s/default/?ap=94:2a:6f:d0:30:57&id=1c:71:25:63:e4:24&t=1742398732&url=http://connectivitycheck.gstatic.com%2F&ssid=purple-guest
  • ap:客户端关联的特定 UniFi 接入点的 MAC 地址。
  • id:请求网络访问的客户端设备的 MAC 地址。
  • t:代表重定向发起时间的 Unix 时间戳,用于安全验证。
  • url:客户端尝试访问的原始 URL(通常是操作系统 Captive Portal 检测端点)。
  • ssid:客户端连接的 SSID 名称,允许 Portal 展示特定站点的品牌定制。

architecture_overview.png

Walled Garden(授权前访问控制)

在客户端获得授权之前,除授权前访问列表(通常称为 Walled Garden)中明确定义的目标地址外,所有流量都将被阻断。由于现代客户端设备会运行自动化的 Captive Portal 助手 (CPA) 来通过 HTTPS 测试连接性,且外部认证通常依赖第三方身份提供商 (IdP),因此配置一个健壮且准确的 Walled Garden 至关重要。

如果 Walled Garden 中遗漏了所需的域名或 IP 范围,欢迎页面将无法加载,社交登录按钮将无响应,或者客户端设备会认为网络故障而完全断开 WiFi 连接。

实施指南本节概述了将 Purple 的外部 Captive Portal 与 Ubiquiti UniFi 网络应用程序(控制器)进行集成所需的逐步配置。

步骤 1:网络分段与 VLAN 配置

为确保企业级安全性和合规性(例如 PCI DSS 和 GDPR),访客流量必须与企业资源、POS 系统和 IoT 网络完全隔离。

  1. 导航至 UniFi 网络应用程序中的 Settings > Networks(设置 > 网络)。
  2. 单击 Create New Network(创建新网络)。
  3. 按如下方式配置网络设置:
    • Name(名称):Purple Guest Network
    • VLAN ID90(或任何专用的访客 VLAN 标签)
    • Network Type(网络类型):Guest(这会自动应用客户端隔离,防止访客之间的通信)。
    • Gateway IP/Subnet(网关 IP/子网):配置合适的子网(例如 10.90.0.1/22,以支持最多 1022 个并发访客租约)。
    • DHCP Range(DHCP 范围):启用 DHCP 并定义范围(例如 10.90.0.1010.90.3.254)。
    • DNS Server(DNS 服务器):设置为可靠的公共解析器(例如 Cloudflare 1.1.1.1 和 Google 8.8.8.8),以确保快速的 DNS 解析。

步骤 2:访客 SSID 配置

  1. 导航至 Settings > WiFi(设置 > WiFi),然后单击 Create New WiFi Network(创建新 WiFi 网络)。
  2. 配置 SSID 参数:
    • Name (SSID)(名称 (SSID)):Purple Guest WiFi
    • Security Protocol(安全协议):Open(将由 Captive Portal 处理身份验证)。
    • Network(网络):选择在步骤 1 中创建的 Purple Guest Network (VLAN 90)。
    • Client Device Isolation(客户端设备隔离):确保此项已切换为 ON(开启)。
  3. 向下滚动至 Hotspot Portal(热点门户),并勾选 Enable Captive Portal(启用 Captive Portal)复选框。

步骤 3:配置外部门户服务器

启用 Hotspot Portal 后,您必须将身份验证重定向到 Purple 的安全云服务器。

  1. 导航至 Settings > Profiles > Guest Hotspot(设置 > 配置文件 > 访客热点)(或在较旧的控制器版本中导航至 Settings > Guest Control)。
  2. Authentication(身份验证)下,选择 External Portal Server(外部门户服务器)。
  3. 配置以下字段:
    • IP / FQDN:输入 Purple 提供的 FQDN(例如 portal.purplehotspot.com)。
    • Use Secure Portal (HTTPS):切换为 ON(开启)(为了安全性和现代浏览器的兼容性,此项为必选项)。
    • Redirect Using Hostname:切换为 ON(开启)并输入 FQDN portal.purplehotspot.com
    • Port(端口):443(标准 HTTPS)。
    • HTTPS Redirection:切换为 ON(开启)(这允许 AP 拦截初始 HTTPS 请求并进行重定向,但这需要仔细的 DNS 管理)。

步骤 4:配置预授权访问(Walled Garden)

要允许未通过身份验证的访客加载 Purple 引导页面并通过第三方 IdP 进行身份验证,请将以下域名和 IP 范围添加到 Settings > Profiles > Guest Hotspot > Pre-Authorization Access 下的 Pre-Authorization Access(预授权访问)列表中:

[
  "portal.purplehotspot.com",
  "*.purple.ai",
  "*.purplehotspot.com",
  "accounts.google.com",
```"ssl.gstatic.com",
  "*.googleapis.com",
  "*.facebook.com",
  "*.facebook.net",
  "*.fbcdn.net",
  "*.apple.com",
  "captive.apple.com",
  "connectivitycheck.gstatic.com",
  "*.microsoft.com",
  "*.live.com"
]

注意:对于使用 Stripe 支付处理的部署,请将 *.stripe.com*.stripe.network 添加到预授权列表中。

步骤 5:建立 API 握手

为了让 Purple 授权访客,其云端服务器必须与您的 UniFi Network Application 进行通信。

适用于 UniFi Network Application 9.1 及更高版本(推荐使用 REST API)

  1. 在 UniFi 控制器中,导航至 Settings > Control Plane > Integrations
  2. API Keys 区域,点击 Generate New API Key
  3. 分配一个名称(例如 Purple Integration Key),并将权限设置为 Administrator
  4. 复制生成的 API Key。
  5. 登录您的 Purple Portal,导航至 Venue Settings > Integration > Ubiquiti UniFi,然后粘贴该 API Key 以及您的 UniFi 控制器的公网 FQDN(例如 unifi.yourdomain.com:443)。

适用于旧版控制器(基于凭据的 API)

  1. 导航至 Settings > System > Admins
  2. 创建一个专用的本地管理员账户(例如 purple_api)。
  3. 分配 AdministratorHotspot Operator 权限。
  4. 配置一个强且唯一的密码。
  5. 在 Purple Portal 中,在 UniFi Integration 选项卡下输入这些凭据。

最佳实践

1. SSL 证书要求

切勿在生产环境的 UniFi 控制器或外部 Portal 服务器上使用自签名 SSL 证书。现代 Web 浏览器和操作系统 Captive Portal 助手 (CPA) 会执行严格的 SSL/TLS 验证。自签名证书会触发非常显眼的安全警告(例如“您的连接不是私密连接”),从而导致极高的流失率并损害品牌形象。

  • 在 UniFi 控制器的 FQDN 上部署有效的、受公众信任的 SSL 证书(例如 Let's Encrypt 或商业 CA 证书)。
  • 确保控制器的 FQDN 能够从内部访客 VLAN 和公网正确解析。

2. DNS 配置

DNS 解析缓慢是 Captive Portal 重定向缓慢的主要原因。

  • 除非网关配置了高性能的 DNS 转发,否则请勿将访客 DNS 指向 UniFi 网关的本地 IP。
  • 相反,应配置访客 DHCP 范围,以直接向客户端分配快速、弹性的公共 DNS 服务器(例如,主 DNS:1.1.1.1,备 DNS:8.8.8.8)。

3. RADIUS 访客 WiFi 配置(企业级替代方案)

对于需要基于证书或凭据的 802.1X 安全性,而不是带有 Web 门户的开放式 SSID 的场所,UniFi 支持外部云 RADIUS 集成 [6]。

  • Settings > Profiles > RADIUS 下配置 RADIUS Profile
  • 输入 Purple 提供的首选和备用 RADIUS 服务器 IP 以及共享密钥。* 启用 RADIUS Accounting 并将 Interim Update Interval 设置为 300 秒,以确保实时会话跟踪。
  • 在 SSID 设置下,将安全协议设置为 WPA2 EnterpriseWPA3 Enterprise [7],然后选择 RADIUS Profile。

comparison_chart.png

故障排除与风险规避

在部署外部 Captive Portal 时,网络管理员经常会遇到几种常见的故障模式。下表详细列出了这些问题、其根本原因以及具体的规避步骤:

现象 根本原因分析 纠正措施与规避方法
白屏 / Portal 无法加载 客户端设备无法解析或访问外部 Portal 服务器的 FQDN。 1. 验证 portal.purplehotspot.com 是否在 Pre-Authorization Access 列表中。
2. 确保访客客户端已通过 DHCP 获取到有效的 IP 和 DNS 服务器。
3. 在客户端设备上执行 DNS 查询,以验证 Portal FQDN 的解析情况。
“连接不是私密连接” SSL 错误 UniFi Controller 正在使用自签名证书,或者重定向 FQDN 与 SSL 证书的通用名称(Common Name)不匹配。 1. 在 UniFi Controller 上安装受信任的公共 SSL 证书。
2. 验证 Redirect Using Hostname 已启用,且与证书上的 FQDN 完全一致。
3. 在 UniFi 访客控制设置中禁用“Redirect HTTPS”,以防止 AP 尝试拦截 443 端口上的 HTTPS 流量,因为这会自然触发 SSL 警告。
认证成功,但无法访问互联网 Purple 云端已成功认证用户,但向 UniFi Controller 授权客户端 MAC 地址的 API 调用失败。 1. 检查防火墙规则,确保允许来自 Purple IP 范围的入站流量访问 UniFi Controller 的 443 端口(旧版为 8443)。
2. 验证在 Purple Portal 中输入的 API Key 或本地管理员凭据是否有效且具有管理员(Administrator)权限。
3. 检查 UniFi Controller 日志(server.log)中的 API 认证失败记录。
社交账号登录(例如 Google)按钮失效 身份提供商(IdP)的认证域名被 AP 的访问控制列表拦截。 1. 将特定 IdP 的完整通配符域名添加到 Pre-Authorization Access 列表中(例如 *.google.com*.googleapis.com)。
2. 如果使用 Facebook,请确保 Facebook SDK 域名已完全加入白名单。

ROI 与业务影响

虽然部署外部 Captive Portal 需要精细的网络工程设计,但其带来的业务成果和投资回报率(ROI)远超初始实施的复杂性。

企业级数据采集与 CRM 数据富集

原生 UniFi 访客门户是一个“盲目”的工具;它仅授予互联网访问权限,而不捕获用户身份。通过叠加 Purple,场所可以完全符合 GDPR 和 CCPA 合规要求的方式捕获宝贵的第一方数据(电子邮件、电话号码、社交账号个人资料)。这些数据会自动实时同步到 CRM 系统、营销平台(例如 Salesforce、HubSpot、Mailchimp)和会员忠诚度计划中,从而实现高度精准的营销活动,提高复访率和客户生命周期价值。

多站点管理与白标定制

对于托管服务提供商(MSP)和多站点企业运营商而言,通过独立的 UniFi 控制器管理数百个场所的访客 WiFi 效率极低。Purple 提供了一个统一的、中心化的云端仪表板,无论底层的 UniFi 控制器如何分布,都可以管理全球所有场所的展示页面、合规条款和分析数据。

实时分析与空间智能

Purple 将 UniFi 无线网络转化为强大的传感器阵列。通过分析探测请求和连接元数据, Purple 提供了深度的空间智能,包括:

  • 客流量分析:总访客量、路过客流量以及转化率(路过并进入)。
  • 停留时间:平均访问时长,按客户类型(新客户与回头客)进行细分。
  • 新近度与频次:客户返回的频率以及两次访问之间间隔的时间。
  • 场所热力图:访客流量和密度的可视化呈现,使零售和场所运营商能够优化布局和人员配置。

通过零售媒体网络变现

对于体育场馆、购物中心和机场等大型场所,Captive Portal 展示页面代表着极具价值的数字资产。Purple 允许场所通过与零售媒体网络集成来将该空间变现,在连接的瞬间直接向访客投放精准的程序化广告、赞助登录体验和本地化促销活动。

参考资料

关键定义

Captive Portal

一个拦截访客初始网络连接的网页,在授予完整的互联网访问权限之前,需要进行身份验证、注册或接受条款。

在连接到开放的访客 SSID 时立即遇到;由 AP 重定向器和外部门户服务器管理。

外部门户服务器

托管访客展示页面并处理用户身份验证的第三方 Web 应用程序(例如 Purple),从而绕过内置控制器的门户限制。

在 UniFi 访客热点设置中配置,以替代原生的 UniFi 落地页。

围墙花园(预授权访问)

未授权客户端在完成 Captive Portal 登录流程之前可以访问的域名、子域名或 IP 地址的白名单。

对于加载门户页面本身、CSS/JS 资源以及第三方 OAuth 登录端点至关重要。

DNSmasq

在 UniFi 接入点上本地运行的轻量级 DNS 转发器和 DHCP 服务器,用于在预授权状态下拦截并重定向访客 DNS 查询。

处理初始 DNS 重定向,强制客户端设备触发其内置的 Captive Portal 助手。

API 授权握手

外部门户服务器(Purple)向 UniFi 控制器发起安全 API 调用,将客户端 MAC 地址从“隔离”状态转换为“已授权”状态的过程。

在用户在展示页面上成功完成登录流程后立即发生。

客户端设备隔离

一种安全功能,可阻止同一 SSID 或 VLAN 上的无线客户端相互通信,从而降低本地网络攻击的风险。

在 UniFi WiFi 和网络设置中启用,以保护访客隐私并确保场所网络的安全。

RADSEC (基于 TLS 的 RADIUS)

一种通过将 RADIUS 身份验证和计费流量封装在安全 TLS 隧道中来确保其安全的协议,可防止在公共网络上被窃听和篡改。

UniFi Network 8.4+ 支持,用于使用 WPA2/WPA3 企业级安全协议的安全多站点企业部署。

CPA (Captive Portal 助手)

iOS、Android、Windows 和 macOS 上内置的操作系统实用程序,通过尝试获取已知的 HTTP/HTTPS 端点来自动检测 Captive Portal。

连接后立即在用户设备上触发“登录到 WiFi”弹窗。

应用实例

一个拥有 150 个 UniFi AP 且在 AWS 上自托管 UniFi 网络应用程序的高客流量购物中心需要部署 Purple。IT 团队希望使用 Google 和 Facebook 社交登录进行访客身份验证。然而,在初始测试期间,点击社交登录按钮的访客会遇到空白屏幕或 DNS 解析错误。

该问题是由限制性的围墙花园(授权前访问)引起的,该限制阻止了访客设备在获得授权之前解析或访问 Google 和 Facebook 的身份验证端点。要解决此问题,网络管理员必须登录 UniFi 网络应用程序,导航至 Settings > Profiles > Guest Hotspot,并展开 Pre-Authorization Access 区域。他们必须添加 Google 和 Facebook 身份提供商的完整通配符域名。对于 Google,这包括 accounts.google.comssl.gstatic.com*.googleapis.com。对于 Facebook,则需要 *.facebook.com*.facebook.net*.fbcdn.net。此外,确保将访客网络的 DHCP 范围配置为直接向客户端分配快速的公共 DNS 服务器(例如 1.1.1.18.8.8.8),而不是将它们指向本地 UniFi 网关,因为本地网关可能会成为授权前 DNS 查询的瓶颈。

考官评语: 这是一个典型的“围墙花园遗漏”故障。由于社交登录流程依赖于跨多个子域的复杂 OAuth 重定向,因此即使遗漏了一个资产交付域(如 Facebook 的 CDN `fbcdn.net`),也会导致页面渲染中断。网络架构师应始终在控制器支持的情况下使用通配符(`*.domain.com`),并使用 `nslookup` 或 `dig` 等标准工具针对白名单域名验证未授权客户端的 DNS 解析。

一家 MSP 正在 50 家精品连锁酒店中部署 Purple。每家酒店在现场都配有本地 UniFi Cloud Gateway Max。该 MSP 希望从单个 Purple 帐户管理所有站点,但担心安全性以及 Purple 的云端将如何与各个本地控制器进行通信以授权访客 MAC 地址,因为本地网关处于具有 NAT 的动态公网 IP 之后。

最佳架构是利用 UniFi 的官方 REST API,结合入站端口转发或反向代理,并配合动态 DNS (DDNS)。对于每家酒店:1) 在 Cloud Gateway Max 上配置 DDNS 主机名(例如 hotel01.mspdomain.com),以便始终可以追踪网关的公网 IP。2) 在网关上设置端口转发规则,将高位非标准端口(例如 10443)上的入站 HTTPS 流量转发到本地网关在端口 443 上的管理 IP。3) 在 UniFi 控制器中,导航至 Settings > Control Plane > Integrations 并生成唯一的 API 密钥。4) 在 Purple Portal 中,为每家酒店配置一个唯一的“Venue”(场所),选择 Ubiquiti UniFi 集成。输入带有转发端口的唯一 DDNS 地址(例如 hotel01.mspdomain.com:10443)以及为该站点生成的特定 API 密钥。最后,通过将源 IP 限制为 Purple 的公共云 IP 范围来保护每个网关上的入站端口转发,从而防止来自互联网其他部分的未经授权的访问。

考官评语: 使用高位非标准端口进行端口转发,并结合严格的源 IP 白名单(仅允许 Purple 的云 IP 段),可以降低将控制器的 API 端口暴露给公网的安全风险。这种架构避免了在每个站点使用昂贵的静态公网 IP 的需要,同时保持了强大的实时 MAC 授权功能。

练习题

Q1. 网络管理员在 UniFi 访客网络上配置了外部 Captive Portal。在测试期间,他们发现 Captive Portal 展示页面成功加载,但在访客输入电子邮件地址并点击“连接”后,浏览器卡死并最终显示超时错误。客户端仍处于隔离状态。此问题最可能的原因是什么,应该如何排查?

提示:门户页面已加载,这意味着 DNS 和围墙花园工作正常。故障发生在访客提交凭据 *之后*。

查看标准答案

最可能的原因是 Purple 云与 UniFi 控制器之间的 API 授权握手失败。由于 Captive Portal 页面已加载且访客能够与其进行交互,因此 DNS 和预授权访问(Walled Garden)配置是正确的。然而,当访客完成身份验证时,Purple 会尝试向 UniFi 控制器发送安全的 REST API 调用(POST 请求),以授权客户端的 MAC 地址。如果 UniFi 控制器位于防火墙、NAT 之后,或者位于没有正确端口转发的私有网络中,或者 API 凭据(或 API Key)不正确,则授权请求将失败或超时。排查步骤:1) 验证 UniFi 控制器的 FQDN 和端口是否可以从 Purple 的 IP 范围公开访问。2) 检查保护 UniFi 控制器的网关上的入站防火墙规则,确保端口 443(或 8443)已开放。3) 在 Purple Portal 中,验证 UniFi 集成设置是否包含正确的 API Key 或管理员凭据,以及控制器 URL 是否准确。4) 检查 UniFi 控制器的 server.log 文件,查看是否有来自 Purple IP 的任何传入连接尝试或 API 身份验证错误。

Q2. 企业部署需要使用外部 Captive Portal 设置访客网络。网络架构师希望对所有 Captive Portal 流量使用 HTTPS,以防止凭据被窃听。他们在 UniFi 中启用了“使用安全 Portal (HTTPS)”和“使用主机名重定向”,并指向外部 Portal 的 FQDN。然而,当客户端连接时,其浏览器会立即显示严重的“SSL 证书通用名称不匹配”或“证书不受信任”警告,从而阻止访问。该如何解决此问题?

提示:思考是哪个设备在提供初始重定向,以及它向客户端出示了什么 SSL 证书。

查看标准答案

出现此问题的原因是 UniFi 接入点(AP)或控制器正试图拦截来自客户端的 HTTPS 请求并将其重定向到 Captive Portal。当客户端连接并尝试访问 HTTPS 网站(例如 https://www.google.com)时,AP 的重定向器会拦截该流量。为了通过 HTTPS 执行重定向,AP 必须出示 SSL 证书。由于 AP 不具备 www.google.com 的有效 SSL 证书,客户端浏览器会检测到中间人(MITM)攻击状态并抛出严重的 SSL 警告。解决方法:1) 确保 UniFi 控制器本身已安装与其配置的 FQDN 相匹配的、公开受信任的有效 SSL 证书。2) 在 UniFi 访客网络设置中,禁用“重定向 HTTPS”(仅保持启用 HTTP 重定向)。这可以防止 AP 尝试拦截 HTTPS 流量。相反,网络将依赖客户端设备的操作系统 Captive Portal 助手(CPA),该助手使用纯 HTTP 端点(例如 http://captive.apple.comhttp://connectivitycheck.gstatic.com)测试连接性。AP 可以安全地在端口 80 上拦截这些 HTTP 请求,并将其重定向到 Purple Portal 的安全 HTTPS URL(https://portal.purplehotspot.com),而不会触发任何浏览器 SSL 警告。

Q3. 一家连锁酒店希望为其 VIP 访客网络部署 WPA3-Enterprise 安全性,同时保持与 Purple 分析平台的集成。本地 IT 团队不确定他们是否可以将标准的外部 Portal 服务器 Captive Portal 重定向与 WPA3-Enterprise 结合使用。针对这种场景,正确的架构方法是什么?

提示:WPA3-Enterprise 使用 802.1X 身份验证,这发生在关联阶段,即分配 IP 地址之前。这与带有 Captive Portal 的开放 SSID 有着本质的区别。

查看标准答案

WPA3-Enterprise(以及 WPA2-Enterprise)使用 802.1X 认证,这与标准的 Captive Portal 网页重定向在根本上是不兼容的。在 802.1X 网络中,认证发生在关联阶段(第 2 层),使用 EAP 方法(例如 EAP-TLS 或 PEAP),然后才会为客户端分配 IP 地址或允许其进入网络。因此,您无法将客户端重定向到基于 Web 的 Splash 页面。要将 WPA3-Enterprise 与 Purple 集成:1)从“外部门户服务器”模式转变为外部 RADIUS 模式。2)在 UniFi 网络应用程序中配置 RADIUS 配置文件,输入 Purple 的 Cloud RADIUS 服务器 IP 地址、认证端口(通常为 1812)、计费端口(通常为 1813)以及共享密钥。3)启用 RADIUS 计费 并将临时更新间隔设置为 300 秒。4)将 VIP SSID 配置为使用 WPA3 Enterprise 并选择该 RADIUS 配置文件。当 VIP 访客连接时,其设备会使用其唯一的企业凭据或证书直接向 Purple 的 Cloud RADIUS 服务器进行认证。Purple 的 RADIUS 服务器授权该连接并接收计费更新,从而允许场所捕获连接分析、会话时长和数据使用情况,而无需基于 Web 的 Splash 页面。

继续阅读本系列

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →

Grandstream GWN Access Points 接入 Purple WiFi 集成指南

本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。

阅读指南 →