跳至主要内容

Captive Portal 对比 Splash Page

本权威指南剖析了访客 WiFi 网络中 Captive Portal 与 Splash Page 之间的关键区别。它阐明了底层网络拦截机制如何与可视化访客界面协同工作,帮助 IT 负责人和场所运营商做出明智的架构和采购决策。

📖 8 分钟阅读📝 1,872 🔧 3 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
CAPTIVE PORTAL 对比 SPLASH PAGE — PURPLE 技术简报 播客脚本 — 约 10 分钟 英式英语配音 --- 第一部分:引入与背景(约 1 分钟) 欢迎收听 Purple 技术简报系列节目。我是主持人,今天我们将剖析访客 WiFi 采购和部署中最令人困惑的一个问题:captive portal 与 splash page 之间的区别。 如果您曾在供应商会议上听到这两个词被混用,别担心,您并不孤单。这在 RFP 文件、IT 战略 PPT 甚至在原本应该非常清楚两者的网络工程师之间的对话中经常发生。这种混淆至关重要,因为当您将两者混为一谈时,最终要么是对错误的组件进行了过度规范,要么是对正确的组件投资不足,更糟糕的是——部署了一个看起来很棒但底层没有适当网络控制的访客 WiFi 解决方案,或者是一个技术上很扎实但由于粗糙、无品牌的登录页面而把访客推开的解决方案。 所以我们今天来解决这个问题。在本次简报结束时,您将对每个组件的功能、它们如何交互,以及在为您场所(无论是酒店、零售物业、体育场还是公共部门建筑)评估解决方案时应该注意什么,有一个清晰的认知模型。 --- 第二部分:技术深挖(约 5 分钟) 让我们先从 captive portal 开始,因为它是其他一切的基础。 captive portal 是一种网络层机制。它的工作是拦截来自新连接设备的所有出站流量,并将其保留在一种数字等待室中,直到该设备通过身份验证。当访客连接到您的 WiFi SSID 时,他们的设备会通过 DHCP 获取一个 IP 地址 - 这部分工作正常。但在允许任何实际的互联网流量通过之前,captive portal 会对其进行拦截。 以下是技术流程。访客的设备发送一个 HTTP 或 HTTPS 请求 - 可能是尝试加载网页,或者是操作系统自身的连接性检查(现在的设备如 iPhone 和 Android 手机都会自动运行该检查)。captive portal 控制器(位于您的无线控制器、路由器或云端平台上)会拦截该 DNS 查询或 HTTP 请求并将其重定向。设备收到的不是到达互联网,而是指向特定 URL 的重定向响应。该 URL 就是 splash page 所在的位置。 现在,重定向机制本身使用两种主要技术之一。第一种是 DNS 劫持 - Captive Portal 拦截 DNS 查询并返回门户服务器的 IP 地址,而不是真实的访问目的地。第二种是 HTTP 重定向 - 门户在网关处拦截 HTTP 请求并发布 302 重定向响应。对于 HTTPS 流量,这更为复杂,因为在不触发证书警告的情况下,您无法拦截加密的会话。这就是为什么大多数 Captive Portal 实现依赖于操作系统内置的 Captive Network Assistant(当您连接到新网络时手机上弹出的窗口)的原因,它使用已知的 HTTP 端点在尝试 HTTPS 连接之前检测 Captive Portal。 在网络层,Captive Portal 使用防火墙规则来强制执行访问控制。未经验证的设备将被放置在受限制的 VLAN 或子网中,其中除了发往门户服务器的 DNS 和 HTTP 之外的所有流量都将被阻止。一旦确认身份验证 - 无论是简单的点击确认、社交媒体登录、邮箱捕获,还是完整的 802.1X 凭据交换 - 门户控制器就会更新该设备 MAC 地址的防火墙规则,将其从受限区域移动到具有完整互联网访问权限的授权区域。 这很重要:Captive Portal 对访客来说是不可见的。他们永远不会直接看到它。他们看到的是 Splash Page(展示页面)。 Splash Page 是应用层 - 它是渲染在访客浏览器或 Captive Network Assistant 弹出窗口中的 HTML、CSS 和 JavaScript。它是视觉界面:您的品牌、您的徽标、您的欢迎信息、您的条款和条件、您的社交媒体登录按钮,以及您的营销订阅复选框。它将冰冷的网络身份验证事件转变为具有品牌特色的访客体验。 可以这样想。Captive Portal 是门口的保安 - 它决定谁可以进入并执行规则。Splash Page 是接待处 - 它是您场所的形象代言,它收集信息并让访客感到宾至如归。两者缺一不可,且需要无缝协作。 现在,为什么这种区别在商业上很重要?因为当您评估访客 WiFi 解决方案时,您需要对每个组件提出不同的问题。 对于 Captive Portal,您要问的是:它支持哪些身份验证方法?它能否同时处理企业设备的 802.1X 和访客的社交媒体登录?对于无法显示浏览器的设备,它是否支持 MAC 地址绕过?它如何处理会话超时和重新认证?它是否符合 GDPR 规定的数据保护义务?它是否与您的 RADIUS 基础设施集成?它能否按用户类型对流量进行细分 - 在网络层将访客流量与员工流量分离开来? 对于展示页面(splash page),您会问:它的自定义程度如何?您的营销团队能否在不更改网络配置的情况下对其进行编辑?它是否支持 A/B 测试?它能否向不同的细分用户群提供不同的内容 —— 例如,忠诚会员与首次访客?它是否支持视频背景、促销横幅或连接后的重定向页面?它在移动端表现如何?是否无障碍? 这些在根本上是不同的采购标准,将两者混为一谈会导致糟糕的决策。我们看到一些企业在精美的展示页面设计上投入巨资,却发现底层的 Captive Portal 不支持其 IT 安全策略所要求的身份验证方式。我们也看到了相反的情况 —— 技术上强大的 Captive Portal 部署,但其展示页面设计非常糟糕,以至于访客使用率只有百分之三十左右。 让我们谈谈支持这一切的标准。Captive Portal 机制没有单一的主管标准,但它在几个重要标准的框架内运行。IEEE 802.1X 是基于端口的网络访问控制标准,它规定了设备如何使用凭据、证书或令牌对网络进行身份验证。它是企业 WiFi 安全的基石,并且在您希望向回归访客提供无缝的、基于凭据的访问的访客 WiFi 场景中也变得越来越重要。WPA3 是最新的 WiFi 安全协议,它引入了机会性无线加密(Opportunistic Wireless Encryption),即使在开放网络上也能对流量进行加密 —— 这与 Captive Portal 部署息息相关,因为它改变了初始连接握手的工作方式。 从合规性的角度来看,GDPR 对展示页面设计有着重大影响。如果您的展示页面收集个人数据 —— 电子邮件地址、姓名、社交登录 —— 您需要明确的、知情的同意,清晰的隐私声明以及合法的处理依据。展示页面是捕获该同意的地方,但 Captive Portal 才是强制执行同意与访问之间连接的工具。如果访客拒绝您的营销加入,Captive Portal 仍需要授予他们互联网访问权限 —— 在 GDPR 规定下,同意营销不能成为访问网络的条件。 如果您的访客 WiFi 网络处于持卡人数据环境的范围内(通常在零售或酒店业),则 PCI-DSS 与此相关。由 Captive Portal 强制执行的网络分段是此处的一项关键控制措施,可确保访客流量与支付系统隔离。 --- 第 3 部分:实施建议和陷阱(大约 2 分钟) 让我为您提供两个实际场景,说明这在实践中是如何发生的。 首先,以一个拥有 200 间客房的酒店集团为例。他们部署了访客 WiFi 解决方案,其登录页面设计非常精美 - 包含他们的品牌标志、欢迎词以及水疗中心的促销优惠。但其底层的 captive portal 只是一个基本的开源实现,使用了 DNS 劫持,且没有任何会话管理。结果是:回到酒店的宾客每次访问都需要重新登录,甚至在同一次入住期间也是如此。登录页面看起来很棒,但 captive portal 没有 MAC 地址持久化、没有会话超时配置,也没有与物业管理系统进行集成。解决方案需要完全更换 captive portal 控制器 - 而登录页面本身没有问题。 其次,是一家全国性零售连锁店。他们部署了支持完整 802.1X、RADIUS 集成和复杂流量细分的企业级 captive portal。但他们的登录页面是一个默认模板 - 纯白底色、没有品牌标识,只有一个通用的 "连接到 WiFi" 提示。访客采用率仅为 34%。在他们投资设计了美观、带有品牌标识并提供一键社交登录选项的登录页面后,三个月内采用率飙升至 71%。而 captive portal 本身没有发生任何改变。 这两个案例给我们的启示是:这些不同的组件需要独立的投资和专业的知识。不要让您的网络团队负责登录页面设计,也不要让您的营销团队对 captive portal 架构做出决策。 需要避免的常见陷阱:首先,误以为登录页面就是 captive portal。它不是。没有 captive portal 的登录页面只是一个没有人被强制访问的网页。其次,在部署 captive portal 时,登录页面不支持 HTTPS。在未加密的登录页面上收集的任何数据 - 包括电子邮件地址、登录凭据 - 都会以明文形式传输。这存在 GDPR 和安全风险。第三,忽视移动端体验。超过 80% 的访客 WiFi 连接来自移动设备。如果您的登录页面没有针对移动端进行优化,那么您恰恰在应该建立良好品牌印象的时刻制造了阻碍。 - - - 环节 4:快速问答(约 1 分钟) 让我快速解答几个我们经常听到的问题。 我可以只有登录页面而没有 captive portal 吗?技术上是可以的 - 您可以托管一个网页并引导人们访问它 - 但如果没有 captive portal 强制执行重定向,访客就没有理由去访问它。您将无法进行数据捕获、同意管理和网络准入控制。 我可以只有 captive portal 而没有登录页面吗?是的,这在企业环境中很常见,其中 802.1X 会在后台静默处理身份验证。但对于面向访客的部署,您几乎总是需要一个登录页面来处理用户体验和数据捕获。 WPA3 会破坏 Captive Portal 吗?如果实施得当,则不会。采用机会性无线加密(OWE)的 WPA3 与 Captive Portal 部署兼容,但它需要门户使用 HTTPS,并且网络要正确通告门户 URL。一些较旧的客户端设备存在兼容性问题,这就是为什么许多场馆运行双 SSID 配置的原因。 通过 Splash Page 进行社交登录安全吗?这取决于具体的实施方式。基于 OAuth 2.0 的社交登录(通过 Google、Facebook 或 Apple)在正确实施时是安全的。Splash Page 处理 OAuth 流程,而 Captive Portal 接收确认身份验证的令牌。关键风险在于该令牌如何被验证以及会话如何被管理。 --- 第 5 部分:总结和后续步骤(约 1 分钟) 让我们总结一下关键要点。 第一:Captive Portal 和 Splash Page 不是一回事。Captive Portal 是网络控制机制 - 它拦截流量并执行访问规则。Splash Page 是视觉界面 - 它是访客看到并与之交互的内容。 第二:它们协同工作。Captive Portal 将访客重定向到 Splash Page。Splash Page 收集身份验证或同意。然后,Captive Portal 根据该结果授予访问权限。 第三:分别进行评估。提出不同的问题,应用不同的专业知识,并分别为这两者编制预算。 第四:合规性存在于两者的交汇处。GDPR 同意是在 Splash Page 上捕获的,但由 Captive Portal 执行。确保这两者都正确无误。 第五:Purple 同时提供这两者。如果您正在寻找一个既能处理企业级 Captive Portal 控制,又具有丰富、可定制的 Splash Page 设计的平台 - 且具备完整的分析功能、GDPR 合规性工具以及与您现有基础设施的集成 - 这正是 Purple 的设计初衷。 关于您的后续步骤,我建议您查阅关于 802.1X 身份验证和访客 WiFi 分析的 Purple 实施指南。链接在节目简报中。如果您正处于采购过程中,请联系 Purple 团队进行技术评估 - 在您致力于部署之前,确保架构正确是值得的。 感谢收听。下期再见。 --- 脚本结束

📚 核心系列的一部分:Captive Portals 终极指南

header_image.png

执行摘要

对于 IT 经理、网络架构师和场所运营总监而言,访客 WiFi 不再仅仅是一项便利服务 - 它是获取第一手数据、开展营销互动以及保障网络安全的关键接触点。然而,在 RFP(征求意见书)和部署讨论中,一个长期存在的混淆点就是将 Captive Portalsplash pages 混为一谈。

本指南旨在澄清这一根本区别。Captive Portal 是一种网络层控制机制,用于拦截流量、阻止互联网访问并管理安全认证。相比之下,splash page 是应用层的可视化界面 - 即访客看到、交互并用于认证的网页。

混淆这两个组件会导致重大的采购和实施风险,例如购买了设计精美但后端控制不安全的 splash page,或者部署了高度安全但用户界面笨拙、无品牌标识、导致访客流失的 Captive Portal。通过了解这些技术如何协同工作,企业可以使用 Purple 等平台来提供安全、合规且高度互动的访客 WiFi 体验,从而创造可衡量的商业价值。

comparison_chart.png

技术深度剖析

Captive Portal:网络层流量拦截

Captive Portal 运行在 OSI 模型的较低层(通常是第 2 层和第 3 层)以执行访问控制。当访客设备连接到开放的 SSID 时,本地 DHCP 服务器会为其分配 IP 地址、子网掩码和默认网关。然而,无线接入点(AP)或网关控制器会将该设备的 MAC 地址置于防火墙会话表中的未认证状态。

在此状态下,防火墙会阻止所有出站 IP 流量,但 DNS 和 DHCP 等基本网络服务除外。当访客尝试访问外部网站时,Captive Portal 会使用以下两种主要方法之一拦截流量:

  1. HTTP 重定向(302 重定向):网关拦截初始 HTTP 请求,并返回 HTTP 302 Found 响应,将客户端浏览器重定向到 splash page URL。
  2. DNS 劫持:网关拦截 DNS 查询,并将所有域名解析为本地 splash page 服务器的 IP 地址。这种方法虽然简单,但由于 DNSSEC 和浏览器级安全警告,已逐渐被弃用。 现代移动操作系统利用名为 Captive Network Assistant (CNA) 的内置守护进程。在连接到网络后,CNA 会尝试访问一个已知的、未加密的 HTTP 端点(例如,Apple 的 captive.apple.com 或 Google 的 connectivitycheck.gstatic.com)。如果该响应被拦截并重定向,操作系统就会识别出其处于 Captive Portal 之后,并自动在专用系统浏览器窗口中显示 Splash Page,从而无需用户手动打开网页浏览器。

一旦用户在 Splash Page 上完成了身份验证流程,身份验证服务器(通常是 RADIUS 服务器)就会向网络控制器发送一个 Access-Accept 数据包。然后,控制器会更新其防火墙规则,以授予该设备的 MAC 地址完全的互联网访问权限,通常利用 MAC Address Bypass (MAB) 在指定的会话持续时间内记住该设备。

Splash Page:应用层用户体验

与 Captive Portal 不同,Splash Page 是一个运行在第 7 层(应用层)的标准 Web 应用程序。它使用标准 Web 技术(HTML、CSS 和 JavaScript)构建,并托管在本地网关控制器上,或者更常见的是托管在诸如 Purple 等云平台上。

Splash Page 作为访客的视觉界面和品牌接触点。其主要技术功能包括:

  • 身份联合:使用 OAuth 2.0 协议促进社交登录(Google、Facebook、Apple)。
  • 数据捕获:收集访客详细信息,例如电子邮件地址、姓名和忠诚度计划编号。
  • 同意管理:获取对营销的明确选择加入同意,以及对服务条款和隐私政策的同意,确保符合通用数据保护条例 (GDPR) [1] 和加州消费者隐私法 (CCPA) 等法规。
  • 广告投放和品牌推广:投放定向促销横幅、视频广告或连接后重定向页面,以实现物理空间的变现。

由于 Splash Page 是一个 Web 应用程序,因此它必须具有高度响应性,并针对移动设备进行优化,因为移动设备占访客 WiFi 连接的 80% 以上。

architecture_overview.png

实施指南

部署企业级访客 WiFi 解决方案需要网络基础设施与云软件之间的紧密协调。以下是实施 Captive Portal 和 Splash Page 系统的厂商中立架构指南。

逐步部署架构

  1. 网络分段:在交换机和接入点上配置专用的访客 VLAN,以将访客流量与内部公司网络、销售终端 (POS) 和 IoT 设备隔离。这是满足 PCI-DSS 合规性 [2] 的关键要求。
  2. SSID 配置:如果您的硬件支持,请配置启用机会性无线加密 (OWE) 的开放式 SSID,或标准的开放式 SSID。在无线控制器(例如 Cisco Catalyst、Aruba Instant On 或 Ruckus SmartZone)的 SSID 配置文件中启用 Captive Portal 重定向。
  3. 围墙花园 (ACL) 配置:在进行身份验证之前,必须允许访客设备访问某些外部域名,以便 Splash 页面能正常渲染。这被称为“围墙花园”或访问控制列表 (ACL)。您必须包含:
    • 您的云端托管 Splash 页面的域名(例如 *.purple.ai)。
    • 社交登录提供商的 OAuth 端点(例如 *.facebook.com*.google.com*.apple.com)。
    • 托管所需资产(字体、样式表、图片)的内容分发网络 (CDN)。
  4. RADIUS 服务器集成:配置无线控制器以使用外部 RADIUS 服务器(例如 Purple 的云端 RADIUS)进行身份验证和计费 (802.1X / AAA) [3]。
  5. Splash 页面自定义:在 Purple 门户内设计 Splash 页面,确保品牌一致性、移动端响应能力以及清晰的法律同意复选框。
  6. 会话和带宽策略:在网络控制器上定义会话超时(例如 8 小时)、空闲超时(例如 30 分钟)以及单用户带宽限制(例如下行 5 Mbps,上行 2 Mbps),以防止网络滥用并确保所有访客的公平访问。
技术参数 Captive Portal (网络网关) Splash 页面 (云端应用)
OSI 层 第 2 层 / 第 3 层 (网络/数据链路) 第 7 层 (应用)
主要协议 RADIUS, DHCP, HTTP (302 重定向) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
核心功能 流量拦截、访问控制、带宽整形 用户界面、数据收集、同意、品牌展示
用户可见性 完全不可见 (后端机制) 100% 可见 (视觉欢迎屏幕)
安全标准 IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
典型硬件 无线 AP、网关路由器、控制器 云服务器、CDN

最佳实践

为确保高可用性、安全且符合法律合规性的访客 WiFi 网络,IT 团队应遵循以下行业最佳实践:

1. 强制执行 HTTPS 和 SSL/TLS 证书

访客设备与展示页面之间的所有流量都必须使用 HTTPS 进行加密。在未加密的 HTTP 上运行展示页面会使访客数据 - 包括登录凭据和电子邮件地址 - 暴露于数据包嗅探和中间人攻击之下。请确保您的展示页面域名拥有有效的、受公开信任的 SSL/TLS 证书。自签名证书会触发严重的浏览器警告,导致访客放弃连接。

2. 实施网络隔离

切勿将访客 WiFi 流量路由到与企业资产相同的 VLAN 或子网中。访客流量应隔离到“仅限访客”的 VLAN 中,并配有严格的防火墙规则,以防止任何指向内部子网的跨 VLAN 路由。这降低了恶意软件传播和未经授权访问敏感企业数据的风险。

3. 确保符合 GDPR 和 CCPA 合规要求

如果您的场所运营地在英国、欧盟或加利福尼亚州,或者为这些地区的公民提供服务,您的展示页面必须遵守严格的数据隐私法律:

  • 自愿给予同意:营销选择同意复选框默认必须为未勾选状态。同意营销传播不能作为获取互联网访问的前提条件。
  • 清晰的隐私政策:在展示页面上提供直接、易于访问的隐私政策链接。
  • 被遗忘权(擦除权):确保您的访客 WiFi 平台(例如 Purple)支持自动化工作流,以便访客请求删除其个人数据。

4. 针对移动设备和 CNA 进行优化

确保展示页面轻量且高度响应。避免使用沉重的视频背景或未压缩的大图,这会减慢页面加载速度 - 特别是在体育场或会议中心等极高密度的环境中。在各种移动操作系统上测试展示页面,以保证在原生 Captive Network Assistant (CNA) 浏览器中无缝渲染。

故障排除与风险缓解

常见故障模式及缓解策略

  • CNA 弹窗未出现:如果 Captive Portal 重定向未能触发设备的 CNA,访客可能会保持连接到 SSID,但无法访问互联网,且没有明显的登录方式。
    • 缓解措施:确保通过 DHCP 分配给访客的 DNS 服务器运行完全正常,且能够解析外部域名。如果 DNS 解析失败,CNA 将无法执行其连通性检查,从而永远不会触发重定向。
  • Walled Garden 配置错误:由于 OAuth 登录页面无法加载或显示连接错误,访客无法完成社交媒体登录。
    • 缓解措施:仔细检查网关的 Walled Garden ACL。社交登录提供商经常更改其 IP 范围和域名。使用诸如 Purple 之类的云端管理宾客 WiFi 平台,可确保 Walled Garden 域名自动更新并与您的硬件保持同步。* CNA 浏览器限制:与 Safari 或 Chrome 等标准浏览器相比,移动设备上的原生 CNA 浏览器功能有限。它可能会阻止 cookie、弹出窗口或外部重定向。
    • 缓解措施:避免在展示页面上使用需要 cookie 持久性或浏览器弹出窗口的复杂 JavaScript 或第三方集成。使身份验证流程尽可能简单直接。

ROI 和业务影响

理解 Captive Portal 和展示页面之间的区别,使企业能够通过优化其宾客 WiFi 网络的网络性能和商业实用性,来实现投资回报率 (ROI) 最大化。

双重优化解决方案的业务价值

  • 提高宾客参与度:与通用的、无品牌的欢迎页面相比,专业设计的展示页面 - 结合 Purple 的核心产品,如 Guest WiFiWiFi Analytics [4] [5] - 可以将宾客登录率提高多达 40%。
  • 丰富的首方数据采集:通过提供无缝的社交媒体登录和结构化的表单字段, RetailHospitalityHealthcareTransport 等行业的场所可以捕获干净、经验证的电子邮件地址、人口统计数据以及访问频率数据。
  • 商业化变现机会:利用展示页面进行零售媒体变现,使场所能够在宾客连接的瞬间向其投放定向广告,从而融入快速增长的数字广告市场。
  • 运营效率:强大的 Captive Portal 通过自动执行设备入网、管理会话超时以及强制带宽限制以防止网络拥塞,从而减少 IT 支持工单。

通过部署 Purple 的企业级解决方案,场所在确保其网络架构安全且合规的同时,也给其营销团队提供了充分的创意自由,来设计精美、高转化率的展示页面,以建立客户忠诚度并推动收入增长。

参考文献

关键定义

Captive Portal

一种网络层机制,用于拦截客户端流量并限制互联网访问,直到满足身份验证标准为止。

IT 团队在配置无线控制器、网关或防火墙以重定向未授权 MAC 地址时会遇到此项。

展示页面

在访客浏览器中渲染的基于 Web 的可视化落地页,用于促进身份验证、数据捕获和品牌互动。

由营销和场所运营团队管理,用于设计用户引导体验并收集客户数据。

Captive Network Assistant (CNA)

移动设备上内置的操作系统功能,可自动检测 Captive Portal 并在系统浏览器窗口中打开展示页面。

对用户体验至关重要,因为它使用户无需手动打开浏览器进行登录。

围墙花园 (ACL)

允许未授权用户在登录网络之前访问的 IP 地址或域名列表。

必须在无线网关上正确配置,以允许加载展示页面和社交登录 OAuth 流程。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为连接到网络的用户提供集中式的认证、授权和计费 (AAA) 管理。

Captive Portal 用于在数据库中验证访客凭据并授予网络访问权限。

MAC 地址旁路 (MAB)

一种机制,允许设备在后续连接中通过记住其硬件 MAC 地址来绕过 Captive Portal 登录页面。

用于为再次到访的访客创建无缝体验,从而无需重复登录。

机会性无线加密 (OWE)

一种 WiFi 标准(WPA3 的一部分),在开放网络上提供加密而无需共享密码。

在公共访客网络上实现安全数据传输,同时仍允许 Captive Portal 重定向。

VLAN 隔离

在第 2 层将物理网络划分为多个逻辑网络以隔离流量的实践。

对访客 WiFi 部署至关重要,以确保访客流量与安全的企业网络完全隔离。

应用实例

一家拥有 150 家门店的全国性零售连锁店希望部署访客 WiFi 网络,以获取客户电子邮件用于营销,但其 IT 安全团队担心访客流量会访问企业销售点(POS)系统。应如何设计此架构?

  1. 在所有 150 家门店的所有交换机和接入点上配置专用访客 VLAN(例如 VLAN 50),并使用防火墙 ACL 将其与企业 POS VLAN(VLAN 10)完全隔离。 2. 在访客 SSID 上启用 Captive Portal 重定向,将重定向 URL 指向 Purple 的安全云托管 Splash Page。 3. 配置网络网关以限制 VLAN 50 上的所有预认证流量,仅允许访问 DNS、DHCP 和 Purple 的 Walled Garden 域名。 4. 利用 Purple 与无线控制器的集成,通过 RADIUS 对访客进行身份验证,只有在访客提供经过验证的电子邮件地址并在 Splash Page 上接受服务条款后,才授予互联网访问权限。
考官评语: 该架构实现了营销和安全的核心双重目标。通过将网络层(第 2/3 层的 VLAN 细分)与应用层(Splash Page 上的第 7 层电子邮件捕获)进行分离,该零售连锁店在确保其 POS 系统符合 PCI-DSS 的同时,最大限度地捕获营销数据。

一个拥有 50,000 个座位的体育场希望在活动期间提供免费 WiFi。运营团队希望提供无缝的登录体验,以防止比赛开始时网络拥堵,而营销团队则希望在 Splash Page 上展示赞助商视频广告。您如何平衡这些需求?

  1. 部署高密度接入点,并配置 Captive Portal,将 MAC 地址旁路(MAB)设置为 30 天,这样返回的球迷无需在每次访问时都看到 Splash Page。 2. 对于新连接,设计一个专为移动设备快速加载而优化的超轻量级 Splash Page。 3. 嵌入一个 5 秒的短赞赞助商视频广告,在 Splash Page 上直接播放,并提供“跳过并连接”按钮,立即可触发 Captive Portal 认证。 4. 配置 Captive Portal,为每个用户分配宽裕的带宽限制(例如 10 Mbps),以确保流畅的视频流传输和网页浏览。
考官评语: 在高密度环境中,性能至关重要。对返回的球迷使用 MAB 可极大地减轻高峰时段 Captive Portal 和 RADIUS 服务器的负载。轻量级的 Splash Page 设计和简短的视频广告可确保营销团队实现其赞助目标,而不会引起网络体验不佳或接入延迟。

一家大型公立医院希望为患者和访客提供访客 WiFi。合规团队要求网络符合医疗数据隐私标准,且患者无法访问恶意或不当的网页内容。推荐的部署策略是什么?

  1. 配置 Captive Portal,将用户重定向到包含明确医疗特定隐私声明和服务条款的 Splash Page。 2. 将 Captive Portal 网关与基于云的 DNS 过滤服务(例如 Cisco Umbrella 或 Webroot)集成,以自动阻止对成人内容、恶意软件和网络钓鱼网站的访问。 3. 禁用社交登录选项,以防止收集不必要的个人数据,转而依靠简单的“接受并连接”按钮或基本的电子邮件验证表单。 4. 在 Captive Portal 上实施严格的带宽整形,以使临床应用和医院物联网设备的优先级高于访客流媒体流量。
考官评语: 医疗环境对数据隐私和内容过滤要求采取谨慎保守的方法。通过省略社交登录,该医院将医疗数据法规下的合规风险降至最低。直接在 captive portal 网关集成 DNS 过滤可确保在整个网络范围内强制执行内容策略,无论用户在展示页面上进行何种操作。

练习题

Q1. 一位 IT 经理注意到访客正在连接到访客 WiFi SSID,但没有出现品牌展示页面,且用户无法访问互联网。导致此问题最可能的网络技术原因是什么?应如何进行诊断?

提示:考虑 DNS 在 Captive Portal 重定向过程中的作用。

查看标准答案

最可能的原因是 DNS 解析过程失败。当设备连接时,它必须解析展示页面的域名以加载欢迎页面。如果分配给访客 VLAN 的 DNS 服务器宕机、配置错误或被网关的预认证防火墙规则拦截,设备将无法解析该域名,重定向也将失败。要进行诊断,请将测试设备连接到 SSID,验证其是否通过 DHCP 接收到有效的 IP 和 DNS 服务器地址,并尝试 ping 或解析公共域名。如果 DNS 失败,请检查 DNS 服务器状态并确保网关的预认证 ACL 中允许 DNS 流量(UDP 端口 53)。

Q2. 某零售场所希望允许访客使用其 Facebook 账号登录。然而,当用户点击展示页面上的 Facebook 登录按钮时,收到“连接被拒绝”的错误。展示页面的其他部分加载正常。问题出在哪里,如何解决?

提示:思考允许预认证设备访问哪些外部资源。

查看标准答案

问题在于 Facebook 身份验证域名未包含在网关的预身份验证 Walled Garden 访问控制列表(ACL)中。由于用户尚未通过身份验证,Captive Portal 会拦截所有外部流量。当用户点击 Facebook 按钮时,浏览器尝试访问 Facebook 的 OAuth 服务器,该操作被网关拦截。为解决此问题,IT 团队必须将所需的 Facebook OAuth 域名(例如 .facebook.com、.facebook.net)添加到无线控制器或网关上的 Walled Garden ACL 中。

Q3. 一家酒店场所部署了访客 WiFi 网络。营销团队希望收集访客的电子邮件地址并立即发送欢迎简报。然而,法律团队担心有关同意的 GDPR 合规性。应该如何配置 Splash Page 和 Captive Portal 以同时满足这两个团队的要求?

提示:GDPR 要求营销同意必须是自愿给出的,且不能作为服务的附加条件。

查看标准答案

为了在满足 GDPR 的同时满足营销和法律团队的要求:1. Splash Page 必须包含一个明确的、未勾选的营销订阅复选框(“我同意接收营销电子邮件”)。2. 同意服务条款和隐私政策必须是独立的复选框,或明确声明为使用免费网络的条件。3. 底层的 Captive Portal 和 Splash Page 系统必须配置为:无论营销复选框是否勾选,均授予互联网访问权限。如果用户未勾选营销框但接受了服务条款,系统仍必须向网络控制器发送 Access-Accept 数据包。这确保了同意是自愿给出的,符合 GDPR 要求,同时仍允许营销团队从选择加入的用户那里收集电子邮件。