HPE Aruba Captive Portal：使用 Purple 访客 WiFi 进行设置

CAPTIVE PORTAL FOR ARUBA：集成 PURPLE 实现企业级访客 WIFI Purple 技术简报 — 约 10 分钟 [简介与背景 — 约 1 分钟] 欢迎收听 Purple 技术简报系列。我是主持。今天我们将探讨在几乎每一次企业无线部署讨论中都会提及的话题：如何在 Aruba 基础设施上配置 Captive Portal，特别是如何将该门户连接到 Purple 的访客 WiFi 智能平台。 如果您正在运行 Aruba Instant AP，或者正通过 Aruba Central 管理大量接入点，那么本期内容正适合您。我们将快速切入正题 — 这是一次面向从业者的简报，而非学术讲座 — 因此，我默认您熟悉 WLAN 配置界面，并了解 RADIUS 身份验证的基础知识。 我们要解决的核心问题是：Aruba 内置的访客门户虽然实用，但功能有限。它无法提供企业级场所所需的营销数据采集、符合 GDPR 的合规同意流程，或实时分析。采用 Purple 的外部 Captive Portal 替代它是正确的架构决策。今天，我将带您逐步了解具体如何实现这一目标。 [技术深度剖析 — 约 5 分钟] 让我们从架构开始。当访客连接到您的 Aruba SSID 并打开浏览器时，AP 会在 TCP 端口 80 上拦截该 HTTP 请求，并将其重定向到外部门户 URL - 在此即 Purple 云端托管的展示页面。访客通过 Purple 的门户进行身份验证，随后该门户在 UDP 端口 1812 上向 Purple 的 RADIUS 服务器发送 RADIUS Access-Request。成功后，RADIUS 服务器会返回 Access-Accept 消息，AP 随即授予客户端完全的网络访问权限。在整个会话期间，记账记录将在 UDP 端口 1813 上发送。 这就是基本流程。现在，让我们进入配置环节。 您可能会使用两种管理平台：Aruba Instant（运行 ArubaOS 8.x 的本地虚拟控制器模式）和 Aruba Central（HPE 的云管理平台）。这两个平台的配置步骤在概念上是类似的，但设置所在的位置有所不同。 首先从 ArubaOS 8 上的 Aruba Instant 开始。第一步是配置 RADIUS 服务器。导航至 Security，然后选择 Authentication Server，并点击 New。您需要从 Purple 平台获取四项关键信息：主服务器 IP 地址、身份验证端口（通常为 1812）、记账端口（通常为 1813）以及共享密钥。Purple 会在您的场所配置仪表板中提供这些信息。建议添加第二台服务器以实现容灾备份；Purple 运营着多区域 RADIUS 基础设施，因此您将获得地理位置相适应的备份。接下来，创建 External Captive Portal 配置文件。前往 Security，然后是 Captive Portal，点击 New，并将 Type 设置为 External。输入您在 Purple 场地配置中获取的 Splash 页面 URL - 这将是一个由 Purple 托管的 HTTPS 端点。将端口设置为 443，启用 Use HTTPS，并务必将 WISPr 字段设置为 Enabled。WISPr - 即无线互联网服务提供商漫游 - 是一种允许设备自动检测 Captive Portal 并正确呈现的协议，特别是在使用后台 Captive Portal 检测的 iOS 和 Android 设备上。如果未启用 WISPr，某些设备将无法自动触发 Portal 页面。 现在配置 Guest SSID。创建一个新的 WLAN，将 Primary Usage 设置为 Guest，并在 Security 选项卡中，将 Splash Page Type 设置为 External - RADIUS Server。分配您刚刚创建的 Captive Portal 配置文件和 RADIUS 服务器。将 Reauth Interval 设置为合理的值 - 1440 分钟（即 24 小时）是酒店餐饮环境中的常见选择。如果您希望返回的访客在该时间窗口内后续访问时跳过 Portal 页面，请启用 MAC 认证。 对于 AOS-8 上的 Aruba Central，其流程基本相同，但需要通过 Devices - Config - WLANs 下的 WLAN 向导进行访问。将 Security Level 设置为 Visitors，Type 设置为 External Captive Portal，并使用 Purple Splash URL 创建一个新的 Captive Portal 配置文件。添加您的主和备 RADIUS 服务器，启用计费（accounting），并将计费间隔设置为 5 分钟。这个间隔非常重要 - 它可确保 Purple 的分析平台接收定期的会话更新，以提供准确的停留时间和互动报告。 在采用云原生架构的 AOS-10 上，有一个重要的区别：围墙花园（walled garden）不再通过 WLAN Security 选项卡进行配置。相反，您需要通过 Access Rules 进行配置。您需要创建一个预认证角色（例如命名为 Guest Logon），并为围墙花园白名单中的每个域名添加允许规则。然后将该角色分配为 SSID 上的 Pre-Authentication Role。 说到围墙花园 - 这正是大多数部署容易出错的地方。围墙花园是未认证的访客在完成 Portal 流程之前可以访问的域名列表。如果没有这些条目，Portal 页面本身将无法加载，因为访客的设备无法访问 Purple CDN 来下载 Splash 页面资产。 强制性的 Purple 条目包括：*.purple.ai、*.cloudfront.net 和 *.venuewifi.com。如果您使用的是社交账号登录（如 Google、Facebook、Apple、Microsoft），则需要为每个提供商添加相关的 OAuth 域名。Google 需要 *.google.com、*.googleapis.com 和 *.gstatic.com。Facebook 需要 *.facebook.com、*.fbcdn.net 和 connect.facebook.net。Apple 登录需要 *.apple.com 和 appleid.apple.com。Microsoft Entra ID 需要 *.microsoft.com 和 *.microsoftonline.com。 有一点值得注意：在 Aruba 上，您可以在 Captive Portal 配置文件中启用自动 URL 白名单。此功能可动态将门户页面引用的 URL 放入白名单。它作为备用方案非常有用，但我建议在生产环境中显式配置围墙花园（walled garden），而不是依赖自动白名单，因为这样更可预测且更易于审计。 我们来专门谈谈 RADIUS 参数。Purple 使用的核心属性包括：NAS-IP-Address（用于标识您的 AP 或控制器）；Called-Station-Id（携带格式为“MAC-address:SSID-name”的 BSSID 和 SSID - Purple 使用它来将物理会话映射到特定的场所和接入点）；以及 Calling-Station-Id（即客户端 MAC 地址）。在计费方面，Acct-Session-Id 提供了唯一的会话标识符，而 Acct-Status-Type 则携带 Start、Interim-Update 和 Stop 事件。确保您的 Aruba 配置会发送所有这三种计费事件类型 - 某些部署仅发送 Start 和 Stop，这意味着 Purple 的分析会漏掉准确计算停留时间所需的过渡会话数据。 [实施建议与常见陷阱 - 约 2 分钟] 让我为您提供在向任何客户部署此方案时都会给出的实用建议。 第一：在正式上线前，务必使用专用测试设备进行测试。连接到访客 SSID，打开浏览器访问一个 HTTP URL（而非 HTTPS），并验证重定向是否触发。如果您直接访问 HTTPS，重定向将无法工作，因为 AP 无法拦截加密流量。这是我们收到的第一大支持求助电话。 第二：防火墙规则。您的 AP 管理 VLAN 或控制器需要通过端口 1812 和 1813 向外发送 UDP 访问到 Purple 的 RADIUS 服务器 IP。如果您的 AP 和互联网之间有状态防火墙，请确保其允许这些 UDP 流。RADIUS 是无连接的，因此某些防火墙需要显式规则，而不是依赖状态检测。 第三：证书信任。当您将 Splash 页面 URL 配置为 HTTPS 时，AP 需要信任 Purple 门户服务器呈现的证书。在 Aruba Central 上，您可能需要先将受信任的 CA 证书导入全局设置，然后门户重定向才能在 HTTPS 上正常工作。Purple 使用来自广泛受信任 CA 的证书，但值得在您的环境中进行验证。 第四：VLAN 隔离。您的访客 SSID 应位于一个与您的企业网络隔离的专用 VLAN 上。这既是安全要求 - PCI-DSS 要求针对持卡人数据环境进行网络隔离 - 也是 Captive Portal 功能的实际需要。访客 VLAN 应该有互联网访问权限，但没有通往内部资源的路由。 第五：WISPr 设置。我之前提到过这一点，但值得重复。启用 WISPr。如果不启用，iOS 设备尤其无法自动检测到 Captive Portal，访客将面临困惑的体验：他们似乎已连接，但无法访问互联网。 [快速问答 — 约 1 分钟] 让我来快速解答一下我最常遇到的几个问题。 我可以使用 Aruba Instant On — 针对小微企业的产品 — 配合 Purple 吗？可以，但有一些限制。Instant On 支持外部 Captive Portal，但其配置界面比完整的 Aruba Central 更加受限。Purple 提供了专用的 Instant On 集成指南。 Purple 是否支持用于加密 RADIUS 的 RadSec？是的。Purple 支持基于 TLS 的 RADIUS（即 RadSec），适用于 RADIUS 流量需要经过非信任网络的部署场景。对于 RADIUS 交互需要跨越公网的云管理部署，这一点正变得越来越重要。 如果无法访问 Purple 门户会发生什么？您可以将 Captive Portal Failure（门户失效）设置配置为“拒绝互联网”（这是安全的默认值）或“允许互联网”（提供备用的开放访问模式）。对于大多数企业场所，选择“拒绝互联网”是正确的。 我可以在同一个 Aruba 基础设施上运行多个具有不同 Purple 场所的 SSID 吗？当然可以。每个 SSID 都会获得自己的外部 Captive Portal 配置文件，指向不同的 Purple 场所 URL。Called-Station-Id RADIUS 属性会携带 SSID 名称，Purple 利用该名称将请求会话路由到正确的场所配置。 [总结与后续步骤 — 约 1 分钟] 让我来做个总结。在 Aruba 基础设施上将 Purple 部署为外部 Captive Portal 是一条非常成熟的集成路径。关键步骤包括：使用 Purple 的凭据配置您的 RADIUS 服务器；创建一个指向您的 Purple 欢迎页面 URL 的外部 Captive Portal 配置文件，并启用 WISPr；使用“外部 RADIUS 服务器”欢迎页面类型构建您的访客 SSID；以及在您的 Walled Garden（围墙花园）中配置 Purple 的核心域名加上您要启用的任何社交登录提供商的域名。 AOS-10 需要记住的区别在于，Walled Garden 配置已移至 Access Rules（访问规则），而不是 WLAN Security 选项卡。 从商业角度来看，用 Purple 替换 Aruba 的基础本地门户，您可以从现有的 WiFi 基础设施中获得符合 GDPR 合规的数据采集、实时位置分析、人口统计报告和营销自动化。 关于您的后续步骤：从 Purple 控制面板中获取您的 Purple 场所 RADIUS 凭据，按照附带的书面指南逐步检查配置清单，并在推广到生产环境之前使用专用设备进行测试。如果您要部署到多个站点，Purple 的多站点管理控制台允许您通过单一界面管理整个园区的 Captive Portal 配置、品牌展示和分析。 感谢收听。完整的书面指南、配置表和 Walled Garden 参考列表可在 purple.ai 访问。我们下次再见。 [脚本结束]