Captive Portal 对比 Splash Page
本权威指南剖析了访客 WiFi 网络中 Captive Portal 与 Splash Page 之间的关键区别。它阐明了底层网络拦截机制如何与可视化访客界面协同工作,帮助 IT 负责人和场所运营商做出明智的架构和采购决策。
收听本指南
查看播客转录
📚 核心系列的一部分:Captive Portals 终极指南 →

执行摘要
对于 IT 经理、网络架构师和场所运营总监而言,访客 WiFi 不再仅仅是一项便利服务 - 它是获取第一手数据、开展营销互动以及保障网络安全的关键接触点。然而,在 RFP(征求意见书)和部署讨论中,一个长期存在的混淆点就是将 Captive Portal 与 splash pages 混为一谈。
本指南旨在澄清这一根本区别。Captive Portal 是一种网络层控制机制,用于拦截流量、阻止互联网访问并管理安全认证。相比之下,splash page 是应用层的可视化界面 - 即访客看到、交互并用于认证的网页。
混淆这两个组件会导致重大的采购和实施风险,例如购买了设计精美但后端控制不安全的 splash page,或者部署了高度安全但用户界面笨拙、无品牌标识、导致访客流失的 Captive Portal。通过了解这些技术如何协同工作,企业可以使用 Purple 等平台来提供安全、合规且高度互动的访客 WiFi 体验,从而创造可衡量的商业价值。

技术深度剖析
Captive Portal:网络层流量拦截
Captive Portal 运行在 OSI 模型的较低层(通常是第 2 层和第 3 层)以执行访问控制。当访客设备连接到开放的 SSID 时,本地 DHCP 服务器会为其分配 IP 地址、子网掩码和默认网关。然而,无线接入点(AP)或网关控制器会将该设备的 MAC 地址置于防火墙会话表中的未认证状态。
在此状态下,防火墙会阻止所有出站 IP 流量,但 DNS 和 DHCP 等基本网络服务除外。当访客尝试访问外部网站时,Captive Portal 会使用以下两种主要方法之一拦截流量:
- HTTP 重定向(302 重定向):网关拦截初始 HTTP 请求,并返回 HTTP 302 Found 响应,将客户端浏览器重定向到 splash page URL。
- DNS 劫持:网关拦截 DNS 查询,并将所有域名解析为本地 splash page 服务器的 IP 地址。这种方法虽然简单,但由于 DNSSEC 和浏览器级安全警告,已逐渐被弃用。
现代移动操作系统利用名为 Captive Network Assistant (CNA) 的内置守护进程。在连接到网络后,CNA 会尝试访问一个已知的、未加密的 HTTP 端点(例如,Apple 的
captive.apple.com或 Google 的connectivitycheck.gstatic.com)。如果该响应被拦截并重定向,操作系统就会识别出其处于 Captive Portal 之后,并自动在专用系统浏览器窗口中显示 Splash Page,从而无需用户手动打开网页浏览器。
一旦用户在 Splash Page 上完成了身份验证流程,身份验证服务器(通常是 RADIUS 服务器)就会向网络控制器发送一个 Access-Accept 数据包。然后,控制器会更新其防火墙规则,以授予该设备的 MAC 地址完全的互联网访问权限,通常利用 MAC Address Bypass (MAB) 在指定的会话持续时间内记住该设备。
Splash Page:应用层用户体验
与 Captive Portal 不同,Splash Page 是一个运行在第 7 层(应用层)的标准 Web 应用程序。它使用标准 Web 技术(HTML、CSS 和 JavaScript)构建,并托管在本地网关控制器上,或者更常见的是托管在诸如 Purple 等云平台上。
Splash Page 作为访客的视觉界面和品牌接触点。其主要技术功能包括:
- 身份联合:使用 OAuth 2.0 协议促进社交登录(Google、Facebook、Apple)。
- 数据捕获:收集访客详细信息,例如电子邮件地址、姓名和忠诚度计划编号。
- 同意管理:获取对营销的明确选择加入同意,以及对服务条款和隐私政策的同意,确保符合通用数据保护条例 (GDPR) [1] 和加州消费者隐私法 (CCPA) 等法规。
- 广告投放和品牌推广:投放定向促销横幅、视频广告或连接后重定向页面,以实现物理空间的变现。
由于 Splash Page 是一个 Web 应用程序,因此它必须具有高度响应性,并针对移动设备进行优化,因为移动设备占访客 WiFi 连接的 80% 以上。

实施指南
部署企业级访客 WiFi 解决方案需要网络基础设施与云软件之间的紧密协调。以下是实施 Captive Portal 和 Splash Page 系统的厂商中立架构指南。
逐步部署架构
- 网络分段:在交换机和接入点上配置专用的访客 VLAN,以将访客流量与内部公司网络、销售终端 (POS) 和 IoT 设备隔离。这是满足 PCI-DSS 合规性 [2] 的关键要求。
- SSID 配置:如果您的硬件支持,请配置启用机会性无线加密 (OWE) 的开放式 SSID,或标准的开放式 SSID。在无线控制器(例如 Cisco Catalyst、Aruba Instant On 或 Ruckus SmartZone)的 SSID 配置文件中启用 Captive Portal 重定向。
- 围墙花园 (ACL) 配置:在进行身份验证之前,必须允许访客设备访问某些外部域名,以便 Splash 页面能正常渲染。这被称为“围墙花园”或访问控制列表 (ACL)。您必须包含:
- 您的云端托管 Splash 页面的域名(例如
*.purple.ai)。 - 社交登录提供商的 OAuth 端点(例如
*.facebook.com、*.google.com、*.apple.com)。 - 托管所需资产(字体、样式表、图片)的内容分发网络 (CDN)。
- 您的云端托管 Splash 页面的域名(例如
- RADIUS 服务器集成:配置无线控制器以使用外部 RADIUS 服务器(例如 Purple 的云端 RADIUS)进行身份验证和计费 (802.1X / AAA) [3]。
- Splash 页面自定义:在 Purple 门户内设计 Splash 页面,确保品牌一致性、移动端响应能力以及清晰的法律同意复选框。
- 会话和带宽策略:在网络控制器上定义会话超时(例如 8 小时)、空闲超时(例如 30 分钟)以及单用户带宽限制(例如下行 5 Mbps,上行 2 Mbps),以防止网络滥用并确保所有访客的公平访问。
| 技术参数 | Captive Portal (网络网关) | Splash 页面 (云端应用) |
|---|---|---|
| OSI 层 | 第 2 层 / 第 3 层 (网络/数据链路) | 第 7 层 (应用) |
| 主要协议 | RADIUS, DHCP, HTTP (302 重定向) | HTTP, HTTPS, HTML5, CSS3, OAuth 2.0 |
| 核心功能 | 流量拦截、访问控制、带宽整形 | 用户界面、数据收集、同意、品牌展示 |
| 用户可见性 | 完全不可见 (后端机制) | 100% 可见 (视觉欢迎屏幕) |
| 安全标准 | IEEE 802.1X, WPA3, OWE, PCI DSS | HTTPS, SSL/TLS, GDPR, CCPA |
| 典型硬件 | 无线 AP、网关路由器、控制器 | 云服务器、CDN |
最佳实践
为确保高可用性、安全且符合法律合规性的访客 WiFi 网络,IT 团队应遵循以下行业最佳实践:
1. 强制执行 HTTPS 和 SSL/TLS 证书
访客设备与展示页面之间的所有流量都必须使用 HTTPS 进行加密。在未加密的 HTTP 上运行展示页面会使访客数据 - 包括登录凭据和电子邮件地址 - 暴露于数据包嗅探和中间人攻击之下。请确保您的展示页面域名拥有有效的、受公开信任的 SSL/TLS 证书。自签名证书会触发严重的浏览器警告,导致访客放弃连接。
2. 实施网络隔离
切勿将访客 WiFi 流量路由到与企业资产相同的 VLAN 或子网中。访客流量应隔离到“仅限访客”的 VLAN 中,并配有严格的防火墙规则,以防止任何指向内部子网的跨 VLAN 路由。这降低了恶意软件传播和未经授权访问敏感企业数据的风险。
3. 确保符合 GDPR 和 CCPA 合规要求
如果您的场所运营地在英国、欧盟或加利福尼亚州,或者为这些地区的公民提供服务,您的展示页面必须遵守严格的数据隐私法律:
- 自愿给予同意:营销选择同意复选框默认必须为未勾选状态。同意营销传播不能作为获取互联网访问的前提条件。
- 清晰的隐私政策:在展示页面上提供直接、易于访问的隐私政策链接。
- 被遗忘权(擦除权):确保您的访客 WiFi 平台(例如 Purple)支持自动化工作流,以便访客请求删除其个人数据。
4. 针对移动设备和 CNA 进行优化
确保展示页面轻量且高度响应。避免使用沉重的视频背景或未压缩的大图,这会减慢页面加载速度 - 特别是在体育场或会议中心等极高密度的环境中。在各种移动操作系统上测试展示页面,以保证在原生 Captive Network Assistant (CNA) 浏览器中无缝渲染。
故障排除与风险缓解
常见故障模式及缓解策略
- CNA 弹窗未出现:如果 Captive Portal 重定向未能触发设备的 CNA,访客可能会保持连接到 SSID,但无法访问互联网,且没有明显的登录方式。
- 缓解措施:确保通过 DHCP 分配给访客的 DNS 服务器运行完全正常,且能够解析外部域名。如果 DNS 解析失败,CNA 将无法执行其连通性检查,从而永远不会触发重定向。
- Walled Garden 配置错误:由于 OAuth 登录页面无法加载或显示连接错误,访客无法完成社交媒体登录。
- 缓解措施:仔细检查网关的 Walled Garden ACL。社交登录提供商经常更改其 IP 范围和域名。使用诸如 Purple 之类的云端管理宾客 WiFi 平台,可确保 Walled Garden 域名自动更新并与您的硬件保持同步。* CNA 浏览器限制:与 Safari 或 Chrome 等标准浏览器相比,移动设备上的原生 CNA 浏览器功能有限。它可能会阻止 cookie、弹出窗口或外部重定向。
- 缓解措施:避免在展示页面上使用需要 cookie 持久性或浏览器弹出窗口的复杂 JavaScript 或第三方集成。使身份验证流程尽可能简单直接。
ROI 和业务影响
理解 Captive Portal 和展示页面之间的区别,使企业能够通过优化其宾客 WiFi 网络的网络性能和商业实用性,来实现投资回报率 (ROI) 最大化。
双重优化解决方案的业务价值
- 提高宾客参与度:与通用的、无品牌的欢迎页面相比,专业设计的展示页面 - 结合 Purple 的核心产品,如 Guest WiFi 和 WiFi Analytics [4] [5] - 可以将宾客登录率提高多达 40%。
- 丰富的首方数据采集:通过提供无缝的社交媒体登录和结构化的表单字段, Retail 、 Hospitality 、 Healthcare 和 Transport 等行业的场所可以捕获干净、经验证的电子邮件地址、人口统计数据以及访问频率数据。
- 商业化变现机会:利用展示页面进行零售媒体变现,使场所能够在宾客连接的瞬间向其投放定向广告,从而融入快速增长的数字广告市场。
- 运营效率:强大的 Captive Portal 通过自动执行设备入网、管理会话超时以及强制带宽限制以防止网络拥塞,从而减少 IT 支持工单。
通过部署 Purple 的企业级解决方案,场所在确保其网络架构安全且合规的同时,也给其营销团队提供了充分的创意自由,来设计精美、高转化率的展示页面,以建立客户忠诚度并推动收入增长。
参考文献
- [1] Regulation (EU) 2016/679 (General Data Protection Regulation)
- [2] PCI Security Standards Council - PCI DSS Quick Reference Guide
- [3] IEEE 802.1X Port-Based Network Access Control Standard
- [4] Cisco Wireless APs: 2026 Guide to Products & Deployment
- [5] 10 Best Network Access Control (NAC) Solutions for 2026
- [6] WiFi in Schools: The 2026 Administrator & IT Guide
- [7] 如何通过 Cloud RADIUS 实施 802.1X 认证
关键定义
Captive Portal
一种网络层机制,用于拦截客户端流量并限制互联网访问,直到满足身份验证标准为止。
IT 团队在配置无线控制器、网关或防火墙以重定向未授权 MAC 地址时会遇到此项。
展示页面
在访客浏览器中渲染的基于 Web 的可视化落地页,用于促进身份验证、数据捕获和品牌互动。
由营销和场所运营团队管理,用于设计用户引导体验并收集客户数据。
Captive Network Assistant (CNA)
移动设备上内置的操作系统功能,可自动检测 Captive Portal 并在系统浏览器窗口中打开展示页面。
对用户体验至关重要,因为它使用户无需手动打开浏览器进行登录。
围墙花园 (ACL)
允许未授权用户在登录网络之前访问的 IP 地址或域名列表。
必须在无线网关上正确配置,以允许加载展示页面和社交登录 OAuth 流程。
RADIUS (Remote Authentication Dial-In User Service)
一种网络协议,为连接到网络的用户提供集中式的认证、授权和计费 (AAA) 管理。
Captive Portal 用于在数据库中验证访客凭据并授予网络访问权限。
MAC 地址旁路 (MAB)
一种机制,允许设备在后续连接中通过记住其硬件 MAC 地址来绕过 Captive Portal 登录页面。
用于为再次到访的访客创建无缝体验,从而无需重复登录。
机会性无线加密 (OWE)
一种 WiFi 标准(WPA3 的一部分),在开放网络上提供加密而无需共享密码。
在公共访客网络上实现安全数据传输,同时仍允许 Captive Portal 重定向。
VLAN 隔离
在第 2 层将物理网络划分为多个逻辑网络以隔离流量的实践。
对访客 WiFi 部署至关重要,以确保访客流量与安全的企业网络完全隔离。
应用实例
一家拥有 150 家门店的全国性零售连锁店希望部署访客 WiFi 网络,以获取客户电子邮件用于营销,但其 IT 安全团队担心访客流量会访问企业销售点(POS)系统。应如何设计此架构?
- 在所有 150 家门店的所有交换机和接入点上配置专用访客 VLAN(例如 VLAN 50),并使用防火墙 ACL 将其与企业 POS VLAN(VLAN 10)完全隔离。 2. 在访客 SSID 上启用 Captive Portal 重定向,将重定向 URL 指向 Purple 的安全云托管 Splash Page。 3. 配置网络网关以限制 VLAN 50 上的所有预认证流量,仅允许访问 DNS、DHCP 和 Purple 的 Walled Garden 域名。 4. 利用 Purple 与无线控制器的集成,通过 RADIUS 对访客进行身份验证,只有在访客提供经过验证的电子邮件地址并在 Splash Page 上接受服务条款后,才授予互联网访问权限。
一个拥有 50,000 个座位的体育场希望在活动期间提供免费 WiFi。运营团队希望提供无缝的登录体验,以防止比赛开始时网络拥堵,而营销团队则希望在 Splash Page 上展示赞助商视频广告。您如何平衡这些需求?
- 部署高密度接入点,并配置 Captive Portal,将 MAC 地址旁路(MAB)设置为 30 天,这样返回的球迷无需在每次访问时都看到 Splash Page。 2. 对于新连接,设计一个专为移动设备快速加载而优化的超轻量级 Splash Page。 3. 嵌入一个 5 秒的短赞赞助商视频广告,在 Splash Page 上直接播放,并提供“跳过并连接”按钮,立即可触发 Captive Portal 认证。 4. 配置 Captive Portal,为每个用户分配宽裕的带宽限制(例如 10 Mbps),以确保流畅的视频流传输和网页浏览。
一家大型公立医院希望为患者和访客提供访客 WiFi。合规团队要求网络符合医疗数据隐私标准,且患者无法访问恶意或不当的网页内容。推荐的部署策略是什么?
- 配置 Captive Portal,将用户重定向到包含明确医疗特定隐私声明和服务条款的 Splash Page。 2. 将 Captive Portal 网关与基于云的 DNS 过滤服务(例如 Cisco Umbrella 或 Webroot)集成,以自动阻止对成人内容、恶意软件和网络钓鱼网站的访问。 3. 禁用社交登录选项,以防止收集不必要的个人数据,转而依靠简单的“接受并连接”按钮或基本的电子邮件验证表单。 4. 在 Captive Portal 上实施严格的带宽整形,以使临床应用和医院物联网设备的优先级高于访客流媒体流量。
练习题
Q1. 一位 IT 经理注意到访客正在连接到访客 WiFi SSID,但没有出现品牌展示页面,且用户无法访问互联网。导致此问题最可能的网络技术原因是什么?应如何进行诊断?
提示:考虑 DNS 在 Captive Portal 重定向过程中的作用。
查看标准答案
最可能的原因是 DNS 解析过程失败。当设备连接时,它必须解析展示页面的域名以加载欢迎页面。如果分配给访客 VLAN 的 DNS 服务器宕机、配置错误或被网关的预认证防火墙规则拦截,设备将无法解析该域名,重定向也将失败。要进行诊断,请将测试设备连接到 SSID,验证其是否通过 DHCP 接收到有效的 IP 和 DNS 服务器地址,并尝试 ping 或解析公共域名。如果 DNS 失败,请检查 DNS 服务器状态并确保网关的预认证 ACL 中允许 DNS 流量(UDP 端口 53)。
Q2. 某零售场所希望允许访客使用其 Facebook 账号登录。然而,当用户点击展示页面上的 Facebook 登录按钮时,收到“连接被拒绝”的错误。展示页面的其他部分加载正常。问题出在哪里,如何解决?
提示:思考允许预认证设备访问哪些外部资源。
查看标准答案
问题在于 Facebook 身份验证域名未包含在网关的预身份验证 Walled Garden 访问控制列表(ACL)中。由于用户尚未通过身份验证,Captive Portal 会拦截所有外部流量。当用户点击 Facebook 按钮时,浏览器尝试访问 Facebook 的 OAuth 服务器,该操作被网关拦截。为解决此问题,IT 团队必须将所需的 Facebook OAuth 域名(例如 .facebook.com、.facebook.net)添加到无线控制器或网关上的 Walled Garden ACL 中。
Q3. 一家酒店场所部署了访客 WiFi 网络。营销团队希望收集访客的电子邮件地址并立即发送欢迎简报。然而,法律团队担心有关同意的 GDPR 合规性。应该如何配置 Splash Page 和 Captive Portal 以同时满足这两个团队的要求?
提示:GDPR 要求营销同意必须是自愿给出的,且不能作为服务的附加条件。
查看标准答案
为了在满足 GDPR 的同时满足营销和法律团队的要求:1. Splash Page 必须包含一个明确的、未勾选的营销订阅复选框(“我同意接收营销电子邮件”)。2. 同意服务条款和隐私政策必须是独立的复选框,或明确声明为使用免费网络的条件。3. 底层的 Captive Portal 和 Splash Page 系统必须配置为:无论营销复选框是否勾选,均授予互联网访问权限。如果用户未勾选营销框但接受了服务条款,系统仍必须向网络控制器发送 Access-Accept 数据包。这确保了同意是自愿给出的,符合 GDPR 要求,同时仍允许营销团队从选择加入的用户那里收集电子邮件。
继续阅读本系列
Ruijie Captive Portal:使用 Purple 访客 WiFi 进行设置
介绍 Purple 的云端访客 WiFi 如何利用 Web 认证和 RADIUS(通过命令行配置)运行在 Ruijie RG 系列接入点之上,以及在何处可以找到具体的设置步骤。
设计 B2B Captive Portal:收集注册姓名与公司数据
本指南为 IT 经理和场所运营者提供了一个与供应商无关的技术框架,用于设计 B2B captive portals。它详细介绍了如何构建注册字段以捕获注册姓名和公司数据,在确保高完成率的同时,保持 GDPR 合规并构建账户级智能。
Captive Portal 架构:安全性、重定向与最佳实践
企业级 Captive Portal 架构的权威技术参考。本指南为部署安全、数据丰富的访客 WiFi 网络的 IT 决策者深入剖析网络隔离、DNS 重定向、RADIUS 身份验证以及安全合规性。