在企业网络控制器上配置 Captive Portal 重定向

欢迎收听 Purple 技术简报。我是您的主持人。在接下来的十分钟里，我们将直奔企业 WiFi 领域中最受关注但记录最少的主题之一：在网络控制器上配置 Captive Portal 重定向。 如果您曾经搜索过 "configurar controlador portal cautivo" 却一无所获，那么这就是您需要的简报。我们将涵盖全景——技术架构、各控制器的配置步骤、合规性要求，以及即使是经验丰富的网络团队也容易踩到的现实陷阱。 让我们开始吧。 Captive Portal 是一种机制，它在访客设备连接到您的 WiFi 网络后，拦截其首次 HTTP 或 HTTPS 请求，并在授予互联网访问权限之前，将其重定向到定制的品牌展示页面（Splash Page）。该展示页面可能会要求社交媒体登录、提交表单、简单的点击接受条款，或通过 RADIUS 支持的凭据检查。 重定向本身是在控制器级别处理的——而不是在接入点，也不是在防火墙。控制器拦截未授权客户端的流量，应用预认证访问控制列表（即我们所说的 Walled Garden）并将客户端的浏览器推送到您的 Portal URL。 为什么这在商业上很重要？有三个原因。 第一，合规性。根据 GDPR，您必须在收集访客个人数据之前获得明确且知情的同意。正确配置的 Captive Portal 就是您的同意获取机制。没有它，您就是在没有法律依据的情况下收集数据——这将面临监管风险。 第二，安全性。没有认证的开放式 SSID 是一个安全隐患。Captive Portal 重定向与 VLAN 隔离和 RADIUS 服务器相结合，为您提供针对每个会话的问责制。您能知道是谁在何时通过哪台设备进行了连接。 第三，商业智能。每个经过身份验证的会话都是一个第一方数据点。Purple 每年在 80,000 个场所处理 4.4 亿次登录。只有在正确配置 Captive Portal 以捕获和传输这些数据（如停留时间、访问频率、人口统计特征信号）时，才能获取这些数据。 现在，让我为您逐步讲解重定向流程。 第一步：访客设备与您的访客 SSID 关联。控制器通过 DHCP 为其分配 IP 地址，但将其置于受限的预认证状态。除了 DNS 和您明确允许的 Walled Garden 域名外，所有流量都会被拦截。 第二步：访客打开浏览器。他们的 HTTP 请求到达控制器。控制器拦截该请求并发出指向您 Portal URL 的 302 重定向。这是核心重定向机制。 第三步：访客的浏览器加载您的展示页面，该页面可以托管在控制器本身，或者在企业部署中更常见的是托管在像 Purple 这样的外部云平台上。 第四步：访客通过社交登录、表单或凭证进行身份验证。Portal 将授权信号发送回控制器，通常通过 RADIUS Access-Accept 消息或 MAC 授权旁路。 第五步：控制器将客户端从认证前 VLAN 移动到认证后 VLAN，移除重定向规则，并授予互联网访问权限。 这五步流程在所有主流控制器平台上都是一致的。不同之处在于您如何在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 等设备上配置每个步骤。 让我们逐一了解这些主流平台。 Cisco Meraki。Meraki 使用完全通过 Meraki Dashboard 配置的自定义展示页面——没有 CLI。导航至“Wireless”（无线），然后选择“Access Control”（访问控制），选择您的访客 SSID，将展示页面设置为"Sign-on with my RADIUS server"（使用我的 RADIUS 服务器登录）或"Click-through"（一键通过），然后在“Custom Splash URL”（自定义展示页面 URL）字段中输入您的外部 Portal URL。Walled garden 在“Advanced Splash Settings”（高级展示页面设置）部分进行配置——您需要添加 Portal 服务器的 IP 地址，以便访客在进行身份验证之前能够访问展示页面。RADIUS 服务器详细信息填入 RADIUS 部分：认证使用端口 1812，计费使用端口 1813。 HPE Aruba。在 ArubaOS 上，您需要在 AAA 部分下配置 Captive Portal 配置文件，指定登录 URL、指向 RADIUS 服务器的服务器组以及重定向 URL。然后，您可以通过虚拟 AP 配置文件将该配置文件应用到您的 SSID。认证前角色（Aruba 称之为"logon"角色）包含允许 DNS、DHCP 以及访问您的 Portal 服务器 IP 范围的 ACL。认证后，控制器会分配"authenticated"角色，该角色允许完全访问互联网。 Ruckus SmartZone 在 Captive Portal 部署中使用 Hotspot WLAN 类型。在 WLAN 配置下，将 WLAN 类型设置为 Hotspot，然后配置 Portal URL、用于认证和计费的 RADIUS 服务器以及 walled garden 条目。Northbound Portal Interface 负责处理 Portal 与控制器之间的 MAC 授权流程。 Juniper Mist 采用云原生方法。在“Network”（网络）下选择“WLANs”，创建一个访客 WLAN，并将 Portal 类型设置为"External Captive Portal"。输入您的 Portal URL 并配置 RADIUS 服务器详细信息。Mist 会将客户端 MAC、AP MAC 和 SSID 名称作为 URL 参数传递给 Portal。 Ubiquiti UniFi。在 UniFi 网络控制器中，导航至“Settings”（设置），然后选择“WiFi”，选择您的访客网络，并在“Advanced Options”（高级选项）下设置“Guest Policy”（访客策略）以启用热点 Portal。将 Portal 类型设置为"External"（外部）并输入您的 Portal URL。在“Profiles”（配置文件）下的“RADIUS”中配置 RADIUS 服务器。 Walled garden 是 Captive Portal 部署中最容易配置错误的元素。如果这一步配置错误，您的访客将看到浏览器错误，而不是您的展示页面。 walled garden 必须至少允许：您的门户服务器的 IP 地址或域名、您的 RADIUS 服务器的 IP 地址、端口 53 上的 DNS 解析以及端口 67 和 68 上的 DHCP。如果您的门户从 CDN 加载资产（例如字体、图像、JavaScript），则这些 CDN 域名也必须包含在 walled garden 中。 对于 Purple 部署，我们会在配置过程中提供要加入白名单的具体 IP 范围和域名。最常见的故障模式是门户加载了 HTML 框架，但由于 walled garden 中缺少 CDN 域名，导致无法渲染图像或执行 JavaScript。 这里主要涉及两个合规标准：GDPR 和 PCI DSS。 在 GDPR 规定下，您的 captive portal 在收集个人数据之前必须提供清晰、具体的同意机制。这意味着 WiFi 接入和营销同意必须使用独立的、未勾选的复选框。您不能将它们捆绑在一起。同意记录必须进行存储并可检索以用于审计目的。Purple 的平台会自动处理此项工作，将同意记录与每个经过身份验证的会话相关联进行存储。 在 PCI DSS 规定下，如果您的场所处理刷卡付款，您的访客 WiFi 网络必须与您的付款卡环境隔离。这意味着需要一个专用的访客 VLAN，并通过防火墙规则阻止访客网段与您的 POS 网络之间的任何路由。于 2024 年 3 月成为强制性标准的 PCI DSS 4.0 版本要求至少每六个月进行一次网络分段测试。 让我为您提供两个具体的场景。 场景一：一家拥有 350 间客房并运行 Cisco Meraki 的酒店。该酒店希望将基本的点击式门户替换为品牌访客体验，以收集用于其忠诚度计划的电子邮件地址。配置如下：在独立的 VLAN 上创建一个仅限互联网访问的专用访客 SSID。配置 Meraki 闪屏页面以指向 Purple 的门户 URL。使用 Purple 的 RADIUS 服务器详细信息设置 RADIUS 身份验证。使用 Purple 的 IP 范围配置 walled garden。在 Purple 仪表板中，构建一个品牌闪屏页面，其中包含捕获姓名、电子邮件和房间号的表单，并带有明确的 GDPR 同意复选框。将 Purple CRM 连接器连接到酒店的营销平台。Premier Inn 在其所有分店中实施了该模式，并发现通过 WiFi 获取的客人的直接预订率有了显著增长。 场景二：一家拥有 40 家门店且运行 HPE Aruba 的区域零售连锁企业。该零售商需要在所有场所提供一致的访客 WiFi 体验，并利用客流量分析来对比各门店的业绩。部署 Aruba Central 以从单个仪表板管理所有 40 个场所。配置一个指向 Purple 的带有外部 Captive Portal 的访客 WLAN 模板。利用 Aruba Central 的组策略功能在所有场所应用该模板。在 Purple 中，配置一个适用于所有场馆的单一门户模板，并提供针对每个场馆的分析仪表板。围墙花园（Walled Garden）和 RADIUS 配置在模板中定义一次后即可自动传播。结果：IT 团队通过一个控制台即可管理 40 个场所。营销团队则可以从单个 Purple 仪表板获取每个门店的客流量数据、停留时间分析和重复访问率。 我反复看到的四个常见陷阱。 第一：HTTPS 拦截失败。现代浏览器和移动操作系统使用 HTTPS 探测来检测 Captive Portal。如果您的控制器无法拦截 HTTPS 流量（这需要重定向域名的有效证书），则探测会静默失败，访客看不到任何重定向。解决方法：为您的控制器虚拟接口配置信任的证书，或者在您的访客 SSID 上使用仅限 HTTP 的探测。 第二：DNS 泄漏。如果您的预认证 ACL 允许无限制的 DNS，访客可以使用 DNS 隧道完全绕过 Captive Portal。请将 DNS 限制为仅允许您指定的解析服务器。 第三：会话超时不匹配。如果您的控制器会话超时时间短于门户的会话令牌有效期，访客将在会话途中被重定向回门户。请对齐这些数值——通常酒店行业为 24 小时，零售行业为 8 小时。 第四：缺失计费。RADIUS 计费（Accounting-Start 和 Accounting-Stop 消息）是您的门户获知会话已结束的方式。如果未配置计费，您门户的会话记录将不准确，且您的分析数据也将不可靠。 快速提问，快速解答。 我可以在任何控制器上使用外部门户吗？是的，前提是该控制器支持外部 Captive Portal 重定向——我们讨论过的所有平台都支持。 运行 Captive Portal 是否需要 RADIUS 服务器？不一定。简单的点击跳转式门户可以使用 MAC 授权旁路，而无需完整的 RADIUS 服务器。但对于基于凭据或社交登录的门户，RADIUS 是标准机制。 Captive Portal 是否支持 WPA3？支持。WPA3 处理无线加密层。Captive Portal 处理认证层。它们独立运行且完全兼容。 Purple 如何与我现有的控制器集成？Purple 作为外部门户服务器运行。您需要将控制器的展示页面（splash）URL 指向 Purple 的门户端点，使用 Purple 的 IP 范围配置围墙花园（walled garden），并使用 Purple 的服务器详细信息设置 RADIUS。无论您使用的是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 还是 Ubiquiti UniFi，集成过程都是相同的。 总结一下。Captive Portal重定向是在控制器级别配置的，而不是在接入点。核心组件包括：指向您门户的展示页面 URL、允许访问您门户服务器的围墙花园、用于认证和计费的 RADIUS，以及用于网络隔离的 VLAN 分段。虽然配置步骤因厂商而异，但其架构是一致的。 为了满足合规性，您的门户必须实现符合 GDPR 要求的同意捕获以及符合 PCI DSS 要求的网络分段。WPA3 是当前无线加密的标准，应作为您任何新部署的基准规范。 Purple 原生集成 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。在 2024 年覆盖 80,000 个场所和 4.4 亿次登录，该平台在设计上独立于硬件——您对控制器的选择不会限制您捕获第一方访客数据或运行分析的能力。 您的下一步：根据本指南中的围墙花园和 RADIUS 计费清单，检查您当前的控制器配置。如果您正在部署新的访客 WiFi 网络，请从适用于您控制器平台的特定厂商配置步骤开始，并将 Purple 连接为您的外部门户。 感谢您的收听。以上就是 Purple 技术简报。