Cisco Meraki 适用 Captive Portal

欢迎收听 Purple 技术简报系列。我是您的主持人，今天我们将探讨几乎在每个企业级访客 WiFi 部署中都会遇到的一个问题：在 Cisco Meraki MR 接入点上配置 captive portal，特别是如何使用 RADIUS 认证将其与 Purple 的云平台集成。无论您是正在为新酒店客户提供服务的 MSP，还是零售连锁店的内部网络架构师，本期节目都将为您提供精确的配置步骤以及每个步骤背后的原理。 让我们设想一下场景。您有一个场所——可以是酒店、会议中心、体育场或零售园区——运行着通过 Meraki Dashboard 管理的 Cisco Meraki MR 接入点。任务是部署品牌化的访客 WiFi 体验，捕获第一方数据，强制接受服务条款，并将分析数据反馈到营销平台。这正是 Purple 的设计初衷，而 Meraki 是我们在全球最常见的硬件部署之一。 现在，在您更改任何设置之前，需要了解的关键架构点是：在 Cisco Meraki 上，展示页面的 RADIUS 认证不是由接入点在本地处理的。RADIUS Access-Request 源自 Meraki 云——即 Dashboard 基础设施——而不是源自您局域网上的 AP。这是一个非常关键的区别，许多工程师在首次部署 Meraki 时都会忽略这一点。这意味着您的 RADIUS服务器（在本例中为 Purple 的云端 RADIUS 端点）需要能够从互联网访问，并且您的防火墙规则需要允许来自 Meraki Dashboard IP 范围的流量，而不仅仅是来自本地 AP 子网的流量。您可以在 Meraki Dashboard 的 Help（帮助）下的 Firewall Info（防火墙信息）中找到当前的 Dashboard IP 范围。 好的，让我们开始配置。我将按照您在实际部署中操作的顺序为您逐步讲解。 第一步：SSID 配置。在 Meraki Dashboard 中，导航至 Wireless，然后选择 Configure，再选择 SSIDs。选择您要用于访客访问的 SSID 插槽。给它起一个清晰的名字——比如 GuestWiFi 或 VenueName_Guest。在 Association requirements（关联要求）下，将 Security（安全性）设置为 Open, no encryption（开放，无加密）。这是正确且有意为之的——访客的安全层由 captive portal 和 RADIUS 认证处理，而不是由 WPA 加密处理。如果您是在 PCI DSS 环境中进行部署，您需要确保访客流量隔离在自己的 VLAN 上，我们稍后会对此进行介绍。 第二步：展示页面和认证。仍在 SSID 的 Access Control（访问控制）页面上，向下滚动到 Splash page（展示页面）部分。将其设置为 Sign-on with，然后从下拉菜单中选择 my RADIUS server。这是关键设置，它指示 Meraki 在授予网络访问权限之前，先通过外部 RADIUS 服务器对用户进行身份验证。在此之下，您将看到 Captive portal strength（Captive portal 强度）选项。将其设置为 Block all access until sign-on is complete（在登录完成前阻止所有访问）。这就是强制执行围墙花园的设置——如果没有它，访客就可以完全绕过门户。 第三步：RADIUS 服务器配置。在 RADIUS 部分下，点击 Add server（添加服务器）。您需要从您的 Purple 账户中获取三项信息：RADIUS 服务器 IP 地址或 FQDN、认证端口（UDP 1812）以及共享密钥。Purple 在门户的场所配置部分中提供这些信息。为了在生产部署中实现冗余，您应该添加一个备用 RADIUS 服务器——Purple 提供了一个故障转移端点。如果您希望将会话数据反馈到 Purple 的分析引擎中，请将计费端口设置为 UDP 1813，对于任何将停留时间和会话持续时间作为重要指标的场所，我都强烈建议这样做。 关于 RADIUS 属性的简要说明。Meraki 会遵守 RADIUS Access-Accept 响应中返回的 Session-Timeout 属性。Purple 使用它来控制访客会话在需要重新认证之前持续的时间。对于酒店，您可能会将其设置为 86,400 秒——即 24 小时。对于咖啡馆，3,600 秒（一小时）左右更为合适。Idle-Timeout 属性也会被遵守，但前提是启用了 RADIUS 计费。这会断开空闲会话，这对于高密度场所的容量管理非常重要。 第四步：展示页面 URL。导航至 Wireless，然后选择 Configure，再选择 Splash page。从下拉菜单中选择您的访客 SSID。将 Custom splash URL（自定义展示 URL）设置为您场所的 Purple 门户 URL。这是 Meraki 将未认证客户端重定向到的 URL。Meraki 会在此 URL 中附加查询参数——包括 login_url 参数——Purple 使用这些参数来完成认证握手。请勿修改或删除这些参数。 第五步：围墙花园（walled garden）。这是大多数部署遇到问题的地方。围墙花园是访客设备在认证前可以访问的域名和 IP 范围列表。如果没有正确的条目，captive portal 页面本身将无法加载，因为浏览器将被阻止访问 Purple CDN 和社交登录提供商。 导航回访客 SSID 的 Access Control（访问控制）。将 Walled garden 设置为 Walled garden is enabled（启用围墙花园）。在 Walled garden ranges（围墙花园范围）字段中，您需要添加以下内容。首先是 Purple 平台域名：`*.purple.ai` 和 `*.venuewifi.com`。其次是 Purple 用于提供门户资源的 CDN 域名：`*.cloudfront.net` 和 `*.akamaihd.net`。第三是 Meraki 重定向基础设施：`*.network-auth.com`。第四，如果您提供社交登录选项，则需要相关的 OAuth 域名。对于 Google：`accounts.google.com`、`*.googleapis.com`、`*.gstatic.com`。对于 Facebook：`*.facebook.com`、`*.fbcdn.net` 和 `connect.facebook.net`。对于 Twitter 或 X：`*.twitter.com` 和 `*.twimg.com`。 关于 Meraki 如何处理围墙花园中通配符域名的一个重要说明。Meraki 确实支持使用星号前缀的通配符条目，例如 `*.cloudfront.net`。然而，这是基于 DNS 的匹配——Meraki 解析域名并允许生成的 IP 地址。这意味着对于像 CloudFront 或 Akamai 这样解析后的 IP 可能会频繁更改的 CDN 提供商，您应该使用域名通配符而不是静态 IP 范围。静态 IP 条目对于稳定不变的 Purple RADIUS 端点来说是可以的，但不适用于 CDN 流量。 现在让我们谈谈我直接参与过的两个真实案例。 第一个是英国一家拥有 350 间客房的酒店。客户在三栋建筑中运行着 Meraki MR46 接入点，高峰期大约有 400 台并发访客设备。最初的部署使用的是一键式展示页面——没有 RADIUS，只需接受条款。问题是他们对谁在连接一无所知，没有电子邮件捕获，也无法开展入住后的营销活动。我们帮他们迁移到了使用基于 RADIUS 登录的 Purple。配置很简单，但棘手的是他们的上游防火墙阻止了向本地子网之外的任何设备发送端口 1812 的出站 UDP 流量。一旦我们将 Meraki Dashboard IP 范围添加到防火墙允许列表中，认证就立即生效了。部署后，该酒店在第一个月内捕获了大约 68% 的连接访客的电子邮件地址，其营销团队开展的重新互动活动显著提升了直接预订量。 第二个场景是一家拥有 45 家门店的零售连锁店，每家门店都运行着 Meraki MR33 接入点。这里的挑战是规模和一致性。手动配置 45 个具有正确 RADIUS 设置和围墙花园列表的 SSID 既耗时又容易出错。解决方案是使用 Meraki 基于模板的配置。我们构建了一个包含正确 SSID、RADIUS 和围墙花园设置的单一网络模板，然后将所有 45 家门店的网络绑定到该模板。任何更改——例如在围墙花园中添加新的社交登录提供商——只需在模板中修改一次，就会自动传播到所有门店。然后，Purple 的分析功能汇总了所有门店的客流量和停留时间数据，使零售运营团队能够通过单一控制面板查看按门店、地区和时间段划分的访客行为。 让我为您提供三个经验法则，它们将在每次部署 Meraki captive portal 时为您节省时间。 法则一：在配置 RADIUS 之前，务必检查 Meraki Dashboard IP 范围。这些范围偶尔会发生变化，如果您的防火墙阻止了它们，从用户的角度来看，认证将静默失败——他们只会看到门户页面卡住。在上线之前，使用 Dashboard 中 Access Control 下内置的 RADIUS 测试工具来验证连接性。 法则二：对于任何 CDN 托管的内容，在围墙花园中使用域名通配符，而不是 IP 范围。CDN IP 范围很大且变化频繁。通配符域名条目更易于维护且更可靠。 法则三：即使您认为目前还不需要，也请在端口 1813 上启用 RADIUS 计费。会话数据对于排查断开连接问题以及将准确的停留时间指标输入到您的分析平台非常有用。启用它不需要任何成本，而且事后补装非常困难。 现在，回答几个我经常被问到的快速问题。 我可以使用 Meraki 内置的展示页面而不是 Purple 吗？可以，但您会失去数据捕获、分析、营销自动化以及符合 GDPR 的同意管理。内置的展示页面对于基本的一键点击访问还可以，但它不是一个访客智能平台。 此配置是否同样适用于 Meraki MX 防火墙和 MR 接入点？RADIUS 展示页面配置在 MR 接入点上受支持。MX 设备处理客户端 VPN 认证的方式不同。专门针对访客 WiFi，您需要配置的是 MR SSID。 那么 WPA3 呢？Meraki MR 接入点在企业 SSID 上支持 WPA3。对于访客 captive portal 部署，SSID 通常是 Open（开放），因此 WPA3 不直接适用。但是，如果您在部署 captive portal SSID 的同时部署了 Passpoint 或 OpenRoaming SSID（Purple 支持此功能），该 SSID 将使用带有 802.1X 的 WPA3-Enterprise，这就是 WPA3 发挥作用的地方。 总结一下：Cisco Meraki 与 Purple 的集成经过了充分的测试且非常可靠，但需要注意三点：RADIUS 源 IP 路由、围墙花园的完整性以及会话超时配置。做好这三点，部署就会非常顺利。商业案例显而易见——部署了配置妥当且具备数据捕获功能的访客 WiFi 平台的场所，在营销互动和运营洞察方面始终能看到可衡量的回报。 如果您想深入了解，请查看 Purple 关于使用云端 RADIUS 实施 802.1X 认证的指南，以及我们在 Purple 博客上的 Cisco 无线 AP 部署指南。这两者都已在节目简报中提供链接。 感谢您的收听。如果您有希望我们介绍的具体部署场景，请与 Purple 技术团队联系。我们下期节目再见。