如何设置访客 WiFi：企业网络分段指南

请以自信、权威的英式英语口音，以及资深顾问简报的语气进行讲解 - 沉稳、清晰且具有对话感。这不是授课，而是直接的专家简报。节奏平稳，各部分之间有自然停顿： 欢迎来到 Purple 技术简报系列。我将带您逐步了解如何确切建立一个经过合理细分、安全且具有商业价值的宾客 WiFi 网络。这不是新手教程。您是一位 IT 经理、网络架构师或 CTO，并且您需要在本季度做出决策。所以，让我们直接进入正题。 [中度停顿] 大多数场所面临的问题不是缺少 WiFi。而是他们只有一个扁平的网络，宾客、员工和 IoT 设备都共享同一个广播域。这是一个合规风险、安全风险，坦率地说，也是一个错失的商业机会。一家拥有 200 间客房的酒店、一家拥有 50 家门店的零售连锁、一个容纳 40,000 名球迷的体育场 - 所有这些都需要同样的基本要素：合理的网络细分。 [中度停顿] 让我们谈谈细分在实际中究竟意味着什么。其核心是，您利用 VLAN - 虚拟局域网在相同的物理基础设施上创建逻辑上独立的网络。在 IEEE 802.1Q 下定义的 VLAN 会对以太网帧进行标记，以便来自不同网络细分段的数据流量在数据链路层保持隔离，即使它们穿越相同的物理交换机或接入点。您为每个细分分配一个 VLAN ID - 例如，员工使用 VLAN 10，IoT 设备使用 VLAN 20，宾客使用 VLAN 30 - 然后配置您的管理型交换机和接入点以强制执行该隔离。 [中度停顿] 现在，关键问题是：您到底需要多少个 SSID？对于大多数企业级场所，答案是三个。一个用于宾客，一个用于员工，一个用于 IoT。每个 SSID 映射到其自身的 VLAN。宾客只能访问互联网，没有路由通往您的企业网络。员工通过 802.1X 针对 RADIUS 服务器进行身份验证 - 我们稍后会回到这个问题 - 并获得内部资源的访问权限。IoT 设备，例如您的闭路电视摄像头、暖通空调传感器、智能显示屏，则位于其自身隔离的细分段上，并具有受到严格控制的出口规则。如果您想深入了解三 SSID 模型，Purple 针对这种确切的架构提供了详细指南。 [中度停顿] 让我们来谈谈认证，因为这是大多数部署出错的地方。特别是对于访客 WiFi，您有四个切合实际的选择。第一，带 Captive Portal 的开放网络 - 这是最常见的方法，也是需要根据 GDPR 收集同意和第一方数据的场所的正确选择。访客进行连接，跳转到品牌展示页面，通过社交登录、电子邮件或 SMS 进行身份验证，然后您就能捕获经过验证的身份。第二，WPA2-PSK - 共享密码。虽然简单，但它无法提供个人身份，没有同意机制，并且在不为所有人更改密码的情况下，您无法撤销特定设备的访问权限。第三，WPA3-SAE，它是 WPA2 的现代替代者，消除了离线字典攻击漏洞。第四，带有 RADIUS 的 802.1X - 这是员工网络的黄金标准，每个用户都针对 Microsoft Entra ID 或 Okta 等目录进行单独的身份验证，并获得唯一的会话凭据。对于访客 WiFi，在底层 SSID 上采用 WPA3 加密的 Captive Portal 方法是正确的组合：您可以同时获得身份捕获、同意和现代加密。 [medium pause] 现在，RADIUS。IEEE 802.1X 是基于端口的访问控制标准。它定义了一个三方模型：申请者（即尝试连接的设备）、认证者（即您的接入点或交换机）以及认证服务器（即您的 RADIUS 服务器）。当员工进行连接时，他们的设备会通过 EAP（可扩展身份验证协议）发送凭据。EAP-TLS 使用相互的基于证书的身份验证，这是最安全的选择。PEAP 将 EAP 封装在 TLS 隧道中，并允许您针对 Active Directory 或 Entra ID 使用用户名和密码凭据。对于大多数企业部署，针对 Microsoft Entra ID 或 Okta 的 PEAP-MSCHAPv2 是切实可行的选择。它在所有主流硬件 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 上都得到了很好的支持，并且可以与您现有的身份提供商干净地集成。 [medium pause] 让我来为您介绍一个具体的实施案例。以一家拥有 200 间客房的酒店为例。您在客房、走廊、会议设施和后勤区域部署了 Cisco Meraki 接入点。您在 Meraki 控制面板上配置了三个 SSID。访客 SSID - 假设我们以酒店名称命名 - 是开放的，标记为 VLAN 30，并带有一个重定向到 Purple 的 Portal 页面的 Captive Portal。访客通过电子邮件或社交媒体登录进行身份验证。Purple 会获取他们的同意、存储个人档案并自动触发一封欢迎电子邮件。员工 SSID 为 WPA2-Enterprise，标记为 VLAN 10，通过 RADIUS 针对酒店的 Microsoft Entra ID 租户进行身份验证。IoT SSID 是一个隐藏网络，采用 WPA2-PSK 和强随机密码，标记为 VLAN 20，并带有仅允许每种设备类型所需特定出站端口的防火墙规则。在 Meraki 防火墙上，您添加了一条 explicit 阻止 VLAN 间流量的三层规则。访客无法访问员工网络。除非您明确允许，否则员工无法访问 IoT 分段。至关重要的一点是，一个受损的 IoT 设备 - 例如，一个带有未修补漏洞的智能电视 - 无法转向访问您的 PMS 或您的支付系统。 [medium pause] 最后一点对于 PCI-DSS 合规性至关重要。如果您的支付卡处理系统与访客 WiFi 处于同一网络，那么您的整个 WiFi 基础设施都将纳入 PCI-DSS 的评估范围。正确的 VLAN 分段，结合记录在册的防火墙规则和访问控制，是缩小 PCI-DSS 评估范围的主要机制。PCI 安全标准委员会对此有明确说明：网络分段虽不是 PCI-DSS 的强制要求，但它能减少纳入评估范围的系统组件数量。做好这一点，您可以大幅简化您的年度评估。 [medium pause] 我们再来看第二个场景：一家拥有 50 家门店的零售连锁店。每家门店都混合了访客顾客、使用手持设备进行库存管理和 POS 的员工，以及包括数字标牌和环境传感器在内的 IoT 终端。这里的挑战在于规模和一致性。您无法手动配置每家门店的网络。您需要一个云管理平台，使您能够从单一控制面板将一致的配置模板推送到所有 50 个站点。HPE Aruba Central、Cisco Meraki Dashboard 和 Juniper Mist 都支持这种模式。您只需定义一次 VLAN 结构和 SSID 配置，然后将其作为模板进行推送，每个站点就会自动继承正确的分段。Purple 作为云覆盖层与所有这些平台集成 - 这意味着您无需更换现有硬件，只需在之上添加 Purple 的 Captive Portal 和分析层。在这 50 家门店中，您将获得统一的访客数据、一致的品牌形象和集中的同意管理。Purple 在全球拥有超过 80,000 个活跃场所，仅在 2024 年就处理了 4.4 亿次登录，因此该平台专为这种多站点规模而构建。 [medium pause] 现在让我介绍一下我最常遇到的实施陷阱。首先：忘记在访客 SSID 上启用客户端隔离。客户端隔离可以防止一个访客设备与同一 SSID 上的另一个设备直接通信。如果没有它，怀有恶意意图的访客就可以扫描并攻击其他访客的设备。请启用它。每个主流平台都支持此功能。第二：DHCP 范围配置错误。每个 VLAN 都需要有自己的 DHCP 范围，并配置正确的网关和 DNS 设置。一个常见错误是将访客 VLAN 的 DHCP 指向企业 DNS 服务器，这会导致内部主机名泄露。对于访客流量，请使用公共 DNS 解析器 - 或者更佳选择是使用过滤型 DNS 服务。第三：部署后未测试 VLAN 间路由。配置好您的 VLAN，然后实际从访客设备进行测试，确保无法访问员工网络。使用类似 nmap 的工具，或者直接尝试浏览内部 IP。记录测试结果。第四：忽视带宽管理。扁平网络上的访客 WiFi 可能会使您的上行链路饱和，并降低员工和业务流量的质量。请应用针对每个客户端和每个 SSID 的带宽限制。在 Cisco Meraki 上，这是每个 SSID 的单项设置。在 HPE Aruba 上，您可以使用应用感知型流量整形策略。 [medium pause] 关于 GDPR：如果您在英国或欧盟运营，您的 Captive Portal 必须在收集任何个人数据之前提供清晰、肯定的同意机制。在 UK GDPR 下，预先勾选的框不是有效的同意。同意必须是细粒度的 - 营销沟通与网络访问日志记录的同意需要分开。Purple 的 Conscious-Choice 选择性同意正是为此设计的：访客做出明确、知情的前提选择，且 Purple 会存储包含时间戳以及他们同意的具体同意文本版本的同意记录。如果 ICO 上门审计，该审计追踪就是您所需要的。 [medium pause] 好了，现在让我们针对我最常被问到的问题进行快速问答。 [short pause] 我是否需要为每个 SSID 使用单独的物理接入点？不需要。现代企业级接入点支持在单个射频上运行多个 SSID。在由于管理帧开销而开始降低空口效率之前，实际限制是每个射频运行大约三到四个 SSID。三个 SSID - 访客、员工、物联网 - 是合适的数量。 [short pause] 我可以使用消费级路由器来提供访客 WiFi 吗？在企业级场所中不行。消费级路由器不支持 VLAN 标记、802.1X 或云管理。您需要管理型硬件。Ubiquiti UniFi 是小型场所的入门选择；对于拥有 20 个以上接入点的任何场所，则需要 Cisco Meraki、HPE Aruba 或 Ruckus。 [short pause] 我该如何处理 Passpoint 和 OpenRoaming？Passpoint - 也称为 Hotspot 2.0，在 IEEE 802.11u 下定义 - 允许设备使用已在设备上的凭据自动连接到 WiFi 网络，无需 Captive Portal。OpenRoaming 是基于 Passpoint 构建的全球联盟。Purple 在 Connect 计划下支持 OpenRoaming，充当身份提供商。对于机场和交通枢纽等场所，这日益成为实现旅客无缝连接的正确方案。 [short pause] 那么访客网络的 DNS 过滤呢？这是强制性的。过滤后的 DNS 解析器可阻止恶意软件命令和控制域名、钓鱼网站和不当内容。它还为您提供用于安全监控的 DNS 查询日志。Purple 的 Shield 插件将 DNS 过滤作为访客网络安全堆栈的一部分提供。 [medium pause] 总结一下：为您访客的 WiFi 网络设置三个 VLAN - 访客在 VLAN 30 上，员工在 VLAN 10 上，IoT 在 VLAN 20 上。对访客使用带有明确 GDPR 同意书的 Captive Portal。通过 802.1X 针对您的身份提供商对员工进行身份验证。通过严格的出口规则隔离 IoT 设备。在访客 SSID 上启用客户端隔离。应用带宽限制。在每次配置更改后测试跨 VLAN 路由。并使用云管理平台，以便您可以从一个地方在每个站点执行一致的配置。 [medium pause] 如果您想更进一步，Purple 的访客 WiFi 平台可运行在您现有的硬件之上 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 还是 Ubiquiti UniFi - 并添加 Captive Portal、同意管理、分析和营销自动化层，将您的 WiFi 基础设施转变为第一方数据资产。我们的网址是 purple.ai。包含架构图、工作示例和配置清单的完整书面指南已在节目单中链接。 感谢收听。