Ruckus Cloud 的 Captive Portal：使用 Purple 访客 WiFi 进行设置

欢迎来到 Purple 技术简报系列。我是您的主持人，今天我们将涵盖我们所见过的几乎所有企业级 WiFi 部署中都会遇到的问题 —— 在 Ruckus SmartZone 和 Ruckus Unleashed 控制器上设置 Captive Portal。无论您是为连锁酒店部署访客 WiFi 的 MSP、推出新物业的酒店业 IT 负责人，还是将 Purple 平台与 Ruckus 基础设施进行集成的无线工程师，本期内容都非常适合您。让我们开始吧。 --- 首先 —— 为什么 Ruckus Captive Portal 集成如此重要？Ruckus（现归 CommScope 旗下）是全球主流的企业级 WiFi 平台之一。SmartZone 尤其适用于高密度环境（体育馆、会议中心、大型酒店和零售连锁店）的首选控制器。当您在这种规模下部署访客 WiFi 时，您需要的不仅仅是一个开放的 SSID。您需要一个结构化的身份验证流程、符合 GDPR 的数据采集，以及将该访客数据推送到您的营销堆栈中的能力。这正是像 Purple 这样的外部 Captive Portal 平台派上用场的地方。 这里的架构是基于 WISPr 的热点流程。WISPr 代表无线互联网服务提供商漫游 - 它是一个行业标准，定义了无线控制器如何拦截未经身份验证的 HTTP 流量并将其重定向到外部门户。访客连接到您的 SSID，其设备发送 HTTP 请求，SmartZone 控制器拦截该请求并向您的外部门户 URL 发出 HTTP 302 重定向。访客进行身份验证 - 无论是通过社交登录、电子邮件、短信还是自定义表单 - 然后门户通过北向接口（即 NBI）与控制器通信以授予访问权限。在配置正确时，该流程干净、基于标准且高度可靠。 --- 现在让我们进入技术配置。我将先介绍 SmartZone，然后介绍 Unleashed 的不同之处。 在 SmartZone 上 - 这适用于物理 SZ300 和虚拟 vSZ 部署 - 配置有四个主要组成部分：RADIUS 身份验证服务器配置文件、RADIUS 计费服务器配置文件、Hotspot WISPr 门户配置文件以及 WLAN 本身。 从您的 RADIUS 服务器开始。导航到 Services and Profiles（服务与配置文件），然后选择 Authentication（身份验证）。创建一个新的 AAA 服务器配置文件。将服务协议设置为 RADIUS。您的主服务器 IP 和共享密钥将由您的门户供应商提供 - 在 Purple 的情况下，这些都记录在 Purple 门户管理控制台中。身份验证端口为 1812。务必配置备用 RADIUS 服务器以保证弹性 - 辅助服务器上的端口同样为 1812。然后在 Services and Profiles（服务与配置文件）下的 Accounting（计费）中对计费执行相同操作 - 端口为 1813，共享密钥相同。接下来是 Hotspot WISPr 配置文件。前往 Services and Profiles，Hotspots and Portals，然后选择 Hotspot WISPr 标签页。创建一个新配置文件。将 Login URL 设置为 External，并输入您的门户重定向 URL - 这是您的访客在身份验证之前将被发送到的 URL。将 Start Page 设置为重定向到身份验证后 URL，通常是成功页面或您场所的主页。 现在是 Walled Garden。这是许多工程师容易出错的地方。Walled Garden 定义了访客在通过身份验证之前可以访问哪些域名和 IP 地址。您需要包含您的门户域名、您的门户加载的任何 CDN 或资产域名，以及标准的操作系统 Captive Portal 检测端点。在 SmartZone 中，支持使用星号加点格式的通配符 - 例如 star-dot-purple-dot-ai。该单一条目涵盖了所有子域名。您还需要包含 Apple 的 Captive Portal 检测域名 - captive.apple.com - 以及 Google 的连接性检查端点，以防止 CNA 微型浏览器在 iOS 和 Android 设备上出现异常。 一个很容易被忽视的关键步骤：默认情况下，SmartZone 会加密其在重定向 URL 中传递给外部门户的 MAC 地址和 IP 地址。您的门户供应商需要看到实际的客户端 MAC 地址，以执行基于 MAC 的会话管理。您必须通过 CLI 禁用此功能。通过 SSH 进入您的 SmartZone，进入 config 模式，然后运行：no encrypt-mac-ip。就是这样 - 只有一个命令，但如果您跳过它，它会成为一个阻碍。 Northbound Interface 是另一个部分。这是一个 API，允许您的门户平台与 SmartZone 进行反向通信，以便在身份验证后授予或拒绝访问权限。在 Administration，External Services，WISPr Northbound Interface 下启用它。设置用户名和密码，并将这些凭据提供给您的门户供应商。NBI 在 HTTP 的 TCP 端口 9080 和 HTTPS 的 9443 上运行 - 请确保您的防火墙允许来自您的门户平台 IP 范围到这些端口的入站连接。 最后，创建您的 WLAN。将 Authentication Type 设置为 Hotspot WISPr，选择您的门户配置文件，并分配您的 RADIUS 身份验证和计费服务。如果您的门户供应商需要特定值，请将 NAS ID 设置为 User-defined，将 Called Station ID 设置为 AP MAC，并启用 Single Session ID。最后一个设置可确保访客的会话与单个控制器会话记录绑定，这对于准确计费非常重要。 --- 现在来看看 Unleashed。其架构有着本质的不同 - Unleashed 是一种分布式的无控制器模型，其中一个 AP 充当主设备。配置位于 Admin and Services，Services，Hotspot Services。步骤大致相似 - 创建一个 Hotspot 服务，配置您的外部门户 URL，设置您的 AAA 身份验证服务器，添加您的 Walled Garden 条目 - 但存在一些关键差异。 首先，Unleashed 中不需要北向接口（Northbound Interface）。其 Portal 通信模型更简单。其次，MAC 地址加密在 Unleashed 中默认不启用，因此您不需要使用 CLI 命令。第三，Unleashed 的围墙花园（walled garden）接受域名级条目，而不是完整的通配符语法 - 因此您只需输入 purple.ai，而不是 star-dot-purple.ai。请查看您的厂商文档，了解他们所需的具体格式。 Unleashed 可扩展至约 50 个接入点，非常适合中型酒店、零售分店和中小企业部署。对于任何更大规模的场景 - 如多物业酒店集团、体育场馆、大型零售庄园 - SmartZone 才是合适的平台。 --- 让我介绍一下我在实际工作中遇到的两种最常见的故障模式。 第一种是围墙花园配置错误。如果您的 Portal 页面在重定向后无法加载，首先要检查的是您的 Portal 页面所引用的所有域名是否都在围墙花园中。现代 Portal 页面会从多个 CDN 域名、分析脚本、社交登录 SDK 加载资产。如果其中任何一个在认证前被阻止，页面将无法加载或加载损坏。在连接到访客 SSID 的测试设备上，使用浏览器的开发者工具来确定哪些请求被阻止。 第二种是 NBI 连接问题。如果访客可以看到 Portal 并进行认证，但始终无法访问互联网，可能的原因是 SmartZone 无法从您的 Portal 平台接收 NBI 回调。请检查从您的 Portal 厂商 IP 范围入站到 SmartZone 管理 IP 的 9080 和 9443 端口是否已开放。同时，验证您配置的 NBI 凭据是否与您的 Portal 厂商记录的凭据一致。 第三个值得一提的问题 - 苹果 CNA（Captive Network Assistant）。在 iOS 上，当设备连接到网络时，它会向 captive.apple.com 发送探测。如果该探测收到非 200 响应，iOS 就会弹出迷你浏览器。如果 captive.apple.com 在您的围墙花园中，探测就会成功，iOS 就会认为有互联网连接，而 CNA 则不会出现。这听起来是一件好事，但这意味着您的访客不会自动看到 Portal。您需要决定：您是希望出现 CNA，还是希望访客手动打开浏览器？大多数酒店部署都会将 captive.apple.com 排除在围墙花园之外，以触发 CNA。 --- 快速问答。我经常被问到的三个问题。 我的访客 WLAN 需要 VLAN 吗？是的。务必将访客流量隔离在专用的 VLAN 上。这既是安全要求，也是在您的场所使用同一网络处理刷卡支付时的 PCI-DSS 合规考量。 我可以在 Ruckus Cloud 中使用 Purple 代替 SmartZone 吗？可以，但配置路径不同 - 它位于 WiFi Networks（WiFi 网络）下的 Guest Access（访客接入）设置中。围墙花园和 RADIUS 配置原则是相同的。 Purple 是否支持 SmartZone 多区域部署？是的。Purple 的集成可以处理多区域 SmartZone 环境，您可以将门户配置范围限定在各个区域，以适用于不同的场所或楼层。 --- 总结一下。Ruckus SmartZone 与 Purple 的 Captive Portal 集成是一种成熟且文档齐全的部署模式，可实现可靠的大规模访客身份验证。关键配置点包括：在端口 1812 和 1813 上配置带有备份服务器的 RADIUS、带有外部登录 URL 的 Hotspot WISPr 配置文件、使用通配符条目且范围配置正确的 walled garden、no encrypt-mac-ip CLI 命令，以及启用并配有正确凭据的 Northbound Interface。做好这五个关键点，您就拥有了坚实的基础。 对于 Unleashed 部署，同样的原理也适用，且配置模型更简单，并且不需要 NBI。 如果您正在 Ruckus 上部署 Purple 并希望在上线前验证您的配置，Purple 的技术入驻团队可以引导您完成上线前检查清单。Purple 平台还提供有关门户加载时间、身份验证成功率和会话数据的实时分析 - 让您能够在访客发现问题之前捕获它们。 感谢您的收听。下一期我们将介绍使用 Cloud RADIUS 进行的 802.1X 身份验证 - 这是另一个与 Ruckus SmartZone 完美搭配的企业访客接入集成。下期再见。