DrayTek Vigor 与访客 WiFi：配合 Purple 设置 Captive Portal

欢迎阅读 Purple 集成简介。今天我们将介绍 DrayTek Vigor 路由器和 VigorAP 接入点，特别是如何将它们与 Purple WiFi 进行集成。本简介适用于在中小企业和中型市场场所部署访客、员工和多租户网络的 IT 经理和网络架构师。 让我们先从背景开始。DrayTek 硬件在零售、餐饮和多住宅单元中非常受欢迎，因为它以极具竞争力的价格提供了强大的路由、VPN 和无线功能。当您将 DrayTek Vigor 路由器与 Purple 结合使用时，您可以将标准的互联网连接转变为基于身份的网络。Purple 拥有超过 80,000 个活跃场所，每年处理 4.4 亿次登录。我们提供 Captive Portal、分析和安全层。DrayTek 则提供可靠的边缘基础设施。 让我们深入技术细节。我们究竟如何实现这一目标？集成的核心依赖于 RADIUS 身份验证和外部 Captive Portal 重定向。 首先是访客 WiFi 设置。您需要将 DrayTek Vigor 路由器配置为热点 Web 门户网关。在 DrayOS 界面中，在 Applications 和 RADIUS 下，添加 Purple 的 RADIUS 服务器 IP 和共享密钥。然后，在 Hotspot Web Portal 下，将 Portal Method 设置为 External Server 并粘贴您特定的 Purple 访问 URL。DrayTek 路由器会拦截访客流量，将其重定向到 Purple 的云端覆盖层进行身份验证，然后使用 RADIUS 授予访问权限。 这里一个关键的步骤是 Walled Garden（围墙花园）。访客在通过身份验证之前需要访问 Purple 的服务器。您必须在 DrayTek 热点配置文件中的 Destination Domain 选项卡中进行配置，以允许流量访问 Purple 的身份验证域。如果您漏掉了这一步，登录页面将无法加载。这是初始部署期间最常见的错误之一。 那么，员工 WiFi 呢？为了确保安全的员工访问，您不需要使用 Captive Portal。您可以使用 802.1X 身份验证，这是基于端口的网络访问控制的 IEEE 标准。在 DrayTek 无线局域网安全设置中，选择 WPA2/802.1X 并将其指向 Purple RADIUS 服务器。员工设备使用 PEAP 和 MS-CHAPv2 进行无缝身份验证。这完全消除了共享密码，并允许您在员工离职时立即撤销其访问权限。无需在整个场所更改密码。 让我们来谈谈多租户环境。比如学生公寓、联合办公空间或零售特许经营店。您需要网络分段。DrayTek 通过 VLAN 和多 PSK（也称为 PPSK 或 Private Pre-Shared Key）来处理这一问题。您可以在 DrayTek 路由器上配置 VLAN。例如，VLAN 10 代表访客，VLAN 20 代表员工，VLAN 30 代表租户。利用 VigorAP 上的 DrayTek WPA2-PPSK 功能，每个租户都可以获得一个唯一的密码。当他们连接时，接入点会将该密码与其 MAC 地址绑定，并将其放入隔离的 VLAN 中。这意味着位于酒店底层的咖啡店租户无法看到酒店的内部网络，即使他们共享同一个物理接入点。 动态 VLAN 分配更进一步。当用户进行身份验证时，Purple 的 RADIUS 服务器可以返回特定的 RADIUS 属性。这些属性是 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID。DrayTek 路由器读取这些值，并将已认证的客户端动态分配给正确的 VLAN。这就是实践中的基于身份的网络（Identity-Based Networking）：网络适应用户的身份，而不是相反。 接下来是实施建议和陷阱。 建议一：始终为您的 VigorAP 使用有线回传。无线分布式系统（或通用中继器）无法传输正确网络分段所需的 802.1Q VLAN 标签。如果您希望将访客网络与内部局域网隔离，您需要保持这些 VLAN 标签完整，这意味着从每个接入点到 DrayTek 路由器或网管交换机之间必须使用物理以太网电缆连接。 建议二：在 VigorAP 上启用 AP 辅助漫游（AP-Assisted Mobility）。此功能可智能地断开信号强度较差的客户端，迫使它们漫游到更近的接入点。它解决了困扰许多中小企业部署的粘性客户端问题。在零售环境中，顾客从商店前部走到后部时，应在接入点之间实现无缝转换。如果没有 AP 辅助漫游，即使信号很弱，他们的设备也可能会固守在前端接入点上。 建议三：在开始之前规划好您的 VLAN 编号方案。部署后更改 VLAN ID 需要重新配置路由器、所有接入点以及链路中的任何网管交换机。请清晰地记录您的方案。 最大的陷阱是什么？在应用 RADIUS 和热点配置后忘记重启 DrayTek 路由器。DrayOS 需要重启才能应用这些特定更改。如果您跳过这一步，您将花费数小时来排查一个实际上正确但尚未生效的配置。Purple 针对 DrayTek 硬件的官方支持指南中对此进行了详细说明。 让我们进行快速问答。 问题：我可以使用 Vigor 路由器的内部 RADIUS 服务器吗？ 答：如果是本地 802.1X 认证可以，但若要与 Purple 集成，您必须使用 Purple 的外部 RADIUS 服务器。这样才能实现 Purple 提供的集中策略管理和分析功能。 问：DrayTek 是否支持通过 RADIUS 进行动态 VLAN 引导？ 答：是的。Purple 的 RADIUS 服务器会在认证时返回 Tunnel-Type 和 Tunnel-Private-Group-ID 属性。DrayTek 路由器读取这些属性并将客户端动态分配到正确的 VLAN。 问：如果用户的 iOS 设备在配合 PPSK 使用时使用了私有 MAC 地址会怎么样？ 答：认证会失败。PPSK 配置文件会绑定到特定的 MAC 地址。您必须指导用户在其 iOS 设置中针对您的特定网络禁用“私有 WiFi 地址”，以确保稳定的连接。 问：哪些 DrayTek 型号支持 Purple？ 答：当前支持的型号包括 2862、3220、2926、2952、2765、2865、2866、2927、2962 和 3910 系列。请查看 Purple 的支持文档以获取最新列表。 总结一下。DrayTek 和 Purple 结合，可以以中小企业（SMB）的价格为您提供企业级的网络控制。您可以将 Hotspot Web Portal 用于访客，将 802.1X 用于员工，并将结合 VLAN 的 PPSK 用于租户。请仔细映射您的 VLAN，配置围墙花园（walled garden），并在应用 RADIUS 设置后务必重新启动。为您的接入点使用有线回传，启用 AP-Assisted Mobility，并针对 iOS 设备上的 MAC 随机化做好规划。 感谢您收听本次技术简报。配置好您的硬件，我们在 Purple 平台见。