Ruijie Captive Portal：使用 Purple 访客 WiFi 进行设置

请使用自信、权威且具有对话性的英式英语语气 - 就像一位高级 IT 顾问在向客户进行简报。节奏适中，吐字清晰，专业而不生硬。在关键技术术语上偶尔进行自然强调： 如何为访客 WiFi 配置 锐捷 Captive Portal。一份 Purple 技术简报。 [中度停顿] 介绍与背景。 [短暂停顿] 欢迎。在接下来的十分钟内，我们将涵盖您需要了解的关于为访客 WiFi 配置 锐捷 captive portal 的所有内容 - 从决定您的部署是成功还是失败的架构决策，到大多数指南完全跳过的具体配置步骤。 如果您是酒店、零售连锁、体育场馆或会议中心的 IT 经理、网络架构师或场馆运营总监，并且您现场拥有 锐捷 硬件或者正在对其进行评估，那么本简报正适合您。 锐捷网络是全球增长最快的企业级无线厂商之一。根据 IDC 数据，锐捷在中国企业级 WLAN 市场占有 23.34% 的份额，位居第一，且其足迹正在欧洲、中东和亚太地区迅速扩张。其 RG-WS 系列无线控制器、Reyee EG 系列网关以及云管理的 RG-RAP 接入点现已部署在全球数千个场馆中。 但问题在于。要在 锐捷 硬件上正确配置访客 WiFi - 特别是 captive portal 部分 - 需要提前理解几个架构决策。如果这些决策出错，您最终得到的 portal 可能会在 iOS 上崩溃，访客无法通过身份验证，并且网络要么过于开放，要么过于封闭。 让我们来解决这个问题。 [中度停顿] 技术深挖。 [短暂停顿] 首先是架构。锐捷 为您提供了三种不同的访客 WiFi captive portals 部署模型，选择哪一种取决于您的规模和管理要求。 模型一是原生 锐捷 云或 JaCS 管理的 portal。JaCS 是 锐捷 专注于酒店业的管理系统。这是内置选项。您登录 锐捷 云，导航到设备配置，然后是基础，创建或编辑您的访客 SSID，启用身份验证开关，并选择 Captive Portal 作为模式。JaCS 支持酒店和其他场景，并为您提供一个拖放式的 portal 构建器，其登录选项包括一键访问、凭证码和基于帐户的登录。这是较小规模部署的正确选择 - 单个酒店、精品零售店或希望在没有外部依赖的情况下快速获得品牌宣传页面的会议中心。 模式二是采用 WISPr 和 RADIUS 的外部 Captive Portal。WISPr - 也就是无线网络服务提供商漫游协议 - 负责处理锐捷网关与外部门户平台之间的重定向和认证握手。这是企业级的解决方案。当您需要将锐捷与第三方访客 WiFi 智能平台集成时，就需要使用此模式。在此模式下，您需导航至锐捷界面中的 Auth and Account（认证与计费），选择 Captive Portal，将 Policy Mode（策略模式）设置为 External（外部），并将 Portal Server URL（门户服务器 URL）指向您的外部平台。然后，使用平台提供的凭据配置 RADIUS 服务器组。该模式可扩展至数百个站点，为您提供集中式分析，并使您能够运行符合 GDPR 的数据捕获工作流。 模式三是独立 AP 模式。运行 ReyeeOS 1.219 或更高版本的锐捷 Reyee 接入点可以在没有网关的情况下运行本地 Captive Portal，这对于临时部署或没有 EG 路由器的中小型站点非常有用。但与基于网关的部署相比，其功能较为有限，因此请将其视为备选方案，而非首选架构。 [medium pause] 现在，我们来讨论大多数指南完全忽略的关键部分：VLAN 隔离。在锐捷上创建访客 SSID 时，您有两种转发选项 - NAT 模式和 VLAN 模式。 NAT 模式较为简单。网关从专用地址池（默认通常为 192.168.23.0/24）为访客设备分配 IP 地址，所有访客流量都会通过 NAT 访问互联网。这对于概念验证（PoC）是可行的，但在第 3 层上为您提供的访客流量可视性和控制力有限。 VLAN 模式是任何生产环境部署的正确选择。您需要将访客 SSID 分配给专用 VLAN（例如 VLAN 100），并使用网关上的 ACL 阻止访客流量访问企业 VLAN。具体操作模式为：创建扩展访问控制列表，拒绝从访客子网到企业子网的 IP 流量，允许其他所有流量，并在访客 BVI 接口的入方向应用该访问列表。这与您在 Cisco Meraki、HPE Aruba 或 Ruckus 上应用的原理相同 - 锐捷只是有其自己的 CLI 语法。 安全标准在此至关重要。锐捷在访客 SSID 上支持 WPA3-Personal 以及 WPA2/WPA3 混合模式。对于希望实现无摩擦接入的访客网络，您通常会运行带 Captive Portal 认证的开放 SSID，而不是预共享密钥。Captive Portal 成了您的认证层。如果您需要更高级别的安全性 - 例如在医疗保健或金融服务环境中 - 您可以叠加 IEEE 802.1X，通过 RADIUS 服务器使用 EAP-TLS 或 PEAP 进行基于证书或基于凭据的认证。锐捷 RG-WS 系列控制器支持具有动态 VLAN 分配的完整 802.1X 认证，这意味着您可以根据 RADIUS 属性将不同的 VLAN 推送给不同的用户组。 [medium pause] 围墙花园 - 或白名单 - 是另一个容易让人出错的地方。在访客通过 Captive Portal 进行身份验证之前，他们的设备处于受限状态。它只能访问您明确列入白名单的域名。您至少需要允许您的 Portal 平台域名和 IP 地址、您正在使用的任何社交登录提供商以及 Apple 的 Captive Portal 检测端点 - captive.apple.com。如果遗漏了最后一个，iOS 设备将显示损坏的 Portal 体验。您可以在 Ruijie Cloud 的“认证与账号”下配置白名单，然后选择“白名单”。逐个添加每个域名和 IP 地址。 [medium pause] 实施建议与常见陷阱。 [short pause] 让我为您提供决定您的 Ruijie 访客 WiFi 部署成功与否的四个关键决策。 决策一：原生 Portal 还是外部平台。如果您运营着五个以上的场所，或者如果您需要收集第一手数据进行营销，请使用外部平台。例如，Purple 作为一个与硬件无关的云端覆盖网络，运行在超过 80,000 个活跃场所中。您只需将 Ruijie 网关指向 Purple 的 Portal URL，配置 RADIUS 凭据，即可获得集中式分析、符合 GDPR 的数据采集以及 CRM 集成 - 所有这些都无需再次操作 Ruijie 硬件。仅在 2024 年，Purple 就处理了 4.4 亿次登录，并持有 ISO 27001 认证，因此合规性问题已得到妥善解决。 决策二：NAT 还是 VLAN。对于生产环境部署，请始终使用 VLAN 模式。NAT 模式适用于概念验证，但 VLAN 模式可为您提供真正的第 3 层隔离、更轻松的防火墙策略管理，以及按 VLAN 应用 QoS 策略的能力。 决策三：带宽管理。Ruijie 的 EG 网关具有内置的 QoS 控制。在访客 SSID 上设置单用户下载和上传限制 - 对于标准访客网络，下载速度通常为每秒 2 到 5 兆比特。这可以防止单个在线播放 4K 视频的访客降低其他所有人的体验。如果您使用的是外部平台，请在 Ruijie 端禁用 Client Escape，以确保该平台的带宽控制正常生效。 决策四：会话超时与重新验证。设置合理的会话超时 - 酒店餐饮业为 8 到 24 小时，零售或活动则更短。Ruijie 允许您按 Portal 策略进行配置。将其与登录后重定向 URL 结合使用，以便访客在连接后访问您场所的网站或宣传页面。 [medium pause] 我最常见到的陷阱是团队在没有同时在 iOS 和 Android 上进行测试的情况下就部署了 Captive Portal。Apple 和 Google 都有其 Captive Portal 检测机制，且两者的表现不同。在上线前，请务必对两者都进行测试。第二常见的主观失误是忘记将 Portal 配置同步到 JaCS 中的 EG 产品 - 在创建或编辑 Portal 后，您必须点击一个明确的“同步”按钮，否则网关将无法获取更改。 [medium pause] 快速问答。 [short pause] 让我快速解答一些最常见的问题。 Ruijie AP 能否在没有网关的情况下运行 Captive Portal？可以，在 ReyeeOS 1.219 或更高版本上支持，但与基于网关的部署相比，功能会受到限制。 Ruijie 是否支持访客网络的 802.1X？是的，RG-WS 系列控制器支持完整的 802.1X，并通过 RADIUS 进行动态 VLAN 分配。 我可以将 Ruijie 与 Purple 集成吗？可以。配置外部 Captive Portal 模式，将 Portal URL 指向 Purple 的端点，使用 Purple 的凭据设置 RADIUS 服务器组，并将 Purple 的域名添加到白名单中。Purple 兼容各种硬件的架构会处理其余的工作。 WPA3 可以与 Captive Portal 配合使用吗？可以。您可以为 Captive Portal 流程运行一个开放式 SSID。WPA3 适用于需要身份验证的 SSID。对于访客网络，Portal 本身就是身份验证层。 Ruijie 使用哪些 RADIUS 端口？端口 1812 用于身份验证，端口 1813 用于计费 - 这些是符合 RFC 2865 和 RFC 2866 的 IANA 标准分配端口。 [medium pause] 总结与后续步骤。 [short pause] 总结一下。Ruijie Networks 为访客 WiFi 和 Captive Portal 部署提供了一个功能强大且灵活的平台。三种部署模式 - 原生云端 Portal、基于外部 RADIUS 的 Portal 以及独立 AP - 覆盖了从单店精品酒店到多店连锁零售的所有场景。 关键决策包括：在任何生产部署中，VLAN 隔离都要优于 NAT。对于任何多站点或数据采集用例，选择外部平台。正确配置围墙花园（Walled Garden）以避免 iOS 身份验证失败。并且在上线前务必在 iOS 和 Android 上进行测试。 您的下一步行动：审计您当前的 Ruijie 固件版本以确认 ReyeeOS 的兼容性。决定您需要原生还是外部 Portal 管理。如果您运营超过五个站点或需要分析功能，请与 Purple 联系，将他们的平台与您的 Ruijie 基础架构进行集成。Purple 在超过 80,000 个场所运行，每年处理数亿次登录，并且已获得 ISO 27001、GDPR 和 Cyber Essentials 认证。 您可以在 purple.ai 找到 Purple 的集成文档并申请演示。 感谢收听。我们下期简报再见。