Cisco Meraki 与访客 WiFi：使用 Purple 设置 Captive Portal

Cisco Meraki 与 Purple WiFi 集成 - 高级顾问简报 运行时间：约 10 分钟 介绍与背景（约 1 分钟） 欢迎。如果您负责 Cisco Meraki 部署，并且正在努力决定 Purple WiFi 是否是适合其上的理想访客智能层，那么此简报正是为您准备的。我将带您深入了解集成的确切工作原理、您需要配置的内容、常见陷阱有哪些，以及您应该现实地期待什么样的回报。 让我来为您介绍背景。在企业酒店、零售和公共部门领域，Cisco Meraki 是目前部署最广泛的云管理无线基础设施，其市场份额领先优势明显。它可靠、可扩展，且其云仪表板确实非常出色。但问题在于 - Meraki 原生的访客 WiFi 功能是功能性的，而非战略性的。您可以让访客上线，但您无法捕获有意义的第一方数据，无法从中构建营销漏斗，更无法向董事会证明 ROI。这正是 Purple 所填补的空白。 技术深挖（约 5 分钟） 让我们谈谈架构。Purple 和 Meraki 的集成运行在两个不同的技术层面上，在您修改任何配置设置之前，理解这两者至关重要。 第一层是 Meraki Dashboard API - 这是配置层。Purple 使用 Meraki 的 REST API 将您的整个接入点设备一次性批量导入到 Purple Portal 中。您使用自己的 Meraki API 密钥进行身份验证，该密钥是从 Meraki 仪表板的组织（Organisation）部分下的 API 和 Webhooks 中生成的。一旦 Purple 获得该密钥，它就可以直接从您的 Meraki 云中拉取每个接入点、每个网络以及每个 SSID 配置。对于一个在酒店集团中拥有 300 个接入点的设备群来说，这把原本需要数天的手动配置工作缩短到了不到一小时即可完成。这是一笔不容小觑的运营成本节省。 第二层是身份验证和 Captive Portal 层 - 这才是访客体验真正存在的地方。Purple 作为外部 splash 页面提供商运行，使用 Meraki 的 Captive Portal API。当访客连接到您的访客 SSID 时，Meraki 会拦截其 HTTP 流量并将其重定向到 Purple 托管的 splash 页面 - 即您的品牌定制 Captive Portal。访客通过您配置的任何方式进行身份验证：社交登录、电子邮件表单、SMS 验证或两者的结合。然后，Purple 通过 RADIUS（远程用户拨号认证服务）与 Meraki 进行通信 - 运行在用于身份验证的端口 1812 和用于计费的端口 1813 上。一旦 RADIUS 确认了身份验证，Meraki 就会授予访客完整的网络访问权限。 现在，让我带您逐步了解具体的 Meraki 仪表板配置，因为这里的细节至关重要。 在 Meraki 仪表板中，导航至 Wireless，然后选择 Access Control。从下拉菜单中选择您的访客 SSID。将安全类型设置为 Open - 是的，开放式，因为身份验证是由 RADIUS 和 Captive Portal 层处理的，而不是在 802.11 关联级别。将 splash page（欢迎页面）类型设置为 Sign-on with my RADIUS server。这是一个关键选项 - 它告诉 Meraki 使用外部 RADIUS 服务器进行身份验证，而不是使用其自身的内置选项。 在 Advanced Splash Settings 下，将 Captive Portal 的限制强度设置为 Block all access until sign-on is complete。启用 walled garden（围墙花园） - 这是访客在通过身份验证之前可以访问的域名列表，其中必须包含 Purple 的平台域名，以便加载欢迎页面本身。Purple 在其支持文档中提供了这些域名的维护白名单。 对于 RADIUS 服务器配置，您需要添加两台服务器 - Purple 提供了主、备端点以实现冗余。验证端口为 1812，您将使用 Purple Portal 中提供的 RADIUS 密钥。在端口 1813 上为 RADIUS 记账（accounting）添加相应的条目。将记账临时时间间隔（accounting interim interval）设置为 4 分钟 - 这对于准确的会话跟踪和分析非常重要。将服务器超时设置为 5 秒，重试次数为 3 次。 在 Advanced RADIUS Settings 下，配置 Called-Station-ID 和 NAS-ID 以使用 AP 的 MAC 地址。这对于 Purple 的定位分析至关重要 - 如果没有它，Purple 无法准确地将临时会话归因于特定的接入点，因此无法生成有价值的楼层级分析。 然后导航至 Wireless，Splash Page。输入 Purple Portal 提供的自定义 splash URL - 这是您的品牌 Captive Portal 的 URL。配置验证后的重定向 URL - 通常是您场馆的官方网站或特定的着陆页。 现在，还有第二个值得详细讨论的组件：PurpleConnex，这是 Purple 的 SecurePass 解决方案。这会创建第二个 SSID - 通常命名为 PurpleConnex - 使用 Purple 的 RadSec RADIUS 服务器配置为 WPA2 企业级（Enterprise）网络。RadSec 是基于 TLS 的 RADIUS，可为身份验证流量提供加密传输。此 SSID 结合 Hotspot 2.0 配置 - 也称为 Passpoint（IEEE 802.11u 标准） - 允许再次光临的访客自动重新连接，而无需再次看到 Captive Portal。其设备可识别 Passpoint 配置文件并实现无缝连接。这在您希望消除重复身份验证摩擦的环境中特别有价值，例如访客入住三晚的酒店，或者每周光临的零售会员。Meraki 中的 Hotspot 2.0 配置需要您将运营商名称设置为 PURPLE 冒号 GB，将域名列表配置为 securewifi.purple.ai，并添加 Purple 指定的 Roaming Consortium OI。NAI 领域配置了 EAP-TTLS 和 PAP 身份验证方法。这些都记录在 Purple 的支持门户中，一旦您了解了每个字段的作用，就会变得非常简单。 实施建议与常见陷阱（约 2 分钟） 让我为您介绍在 Meraki 和 Purple 部署中我见过的三种最常见的故障模式，以及如何避免它们。 第一：围墙花园（walled garden）配置错误。如果您的围墙花园列表不完整，访客将看到一个损坏的展示页面 - 无法加载 CSS，无法渲染图像，并且身份验证会静默失败。Purple 维护着一份当前所需域名的允许列表。请将此列表视为一个动态文档，并在 Purple 发布平台更新时随时进行审查。我建议在上线前，在单独的网络段上使用访客设备测试 Captive Portal 体验。 第二：RADIUS 超时设置。默认的 Meraki RADIUS 超时时间对于云端托管的 RADIUS 服务器来说往往设置得太低。正确的配置是 5 秒加 3 次重试。如果您将其保持在默认的 2 秒，您将在峰值负载期间看到间歇性的身份验证失败 - 而这正是您的访客体验下降的最糟糕时刻。 第三：NAS-ID 和 Called-Station-ID 配置错误。这是最容易让工程师掉以轻心的地方。如果您错误地配置了这些字段 - 或将其保留为默认值 - Purple 的分析引擎将无法将连接会话映射到特定的接入点。您将获得汇总数据，但无法获得楼层级的智能数据。该值必须设置为 AP MAC 地址，而不是 SSID 名称或任何其他选项。 在合规性方面：Purple 的数据捕获在设计上符合 GDPR 和 CCPA。Captive Portal 提供了一个符合这两项法规要求的同意机制。如果您在 PCI-DSS 范围内运行环境 - 例如在同一网络段上设有支付终端的酒店 - 请确保您的访客 SSID 处于具有适当防火墙规则的独立 VLAN 上。用于客户端 IP 分配的 Meraki NAT 模式（这是推荐的设置）提供了一定程度的隔离，但您的网络细分架构仍需要由您的安全团队进行独立审查。 快速问答（约 1 分钟） 问：Purple 能否与 Meraki MX 安全设备以及无线 AP 进行集成？ 答：是的。配置过程基本上是相同的 - MX 支持与无线 AP 相同的展示页面和 RADIUS 配置。支持文章涵盖了 AP、MX 和 Z1 远程工作者网关配置。 问：一个拥有 50 个站点的酒店集团进行完整部署需要多长时间？ 答：通过 Meraki API 的自动配置，每个组织的接入点导入是一次性操作。SSID 和 RADIUS 配置可以在网络间进行模版化。一个拥有称职网络工程师、包含 50 个站点的部署，应该可以在两到三天的配置工作以及测试时间内完成。 问：Purple 是否支持 Meraki 较新的 Wi-Fi 6 和 Wi-Fi 6E 接入点？ 答：是的。该集成在应用层（RADIUS 和 HTTP 重定向）运行，因此与硬件世代无关。Purple 适用于任何支持上述 Splash 页面和 RADIUS 配置的 Meraki 接入点。 总结与后续步骤（约 1 分钟） 总结：Cisco Meraki 与 Purple WiFi 的集成是一项成熟且文档齐全的部署，它结合了 Meraki 卓越的云端管理基础设施与 Purple 的访客智能和数据捕获功能。该集成使用两个主要机制 - 用于自动配置的 Meraki Dashboard API，以及用于访客体验层的具有 RADIUS 认证的 Captive Portal API。 需要确保正确的三个方面是：您的围墙花园（Walled Garden）配置、您的 RADIUS 超时和重试设置，以及用于精确位置分析的 NAS-ID 配置。 其商业价值令人瞩目。比利时麦当劳、加拿大沃尔玛和哈罗德百货（Harrods）都已上线 Purple 和 Cisco 的部署。AGS 机场实现了 842% 的投资回报率。哈罗德百货将 600,000 次 WiFi 登录转化为 57 倍的投资回报率。 如果您已准备好继续，下一步是生成您的 Meraki API 密钥，登录到 Purple Hub，并使用硬件导入向导导入您的接入点资产。此后，您的 Purple 客户团队可以在单次会议中引导您完成 SSID 和 RADIUS 配置。 感谢您的参与。