EnGenius 与访客 WiFi：使用 Purple 设置 Captive Portal

播客脚本：EnGenius Cloud 接入点与 Purple WiFi 集成 Purple WiFi 智能平台 - 技术简报系列 时长：约 10 分钟 配音：英式英语，资深顾问语气 - 自信、口语化、权威 [片头 - 1 分钟] 欢迎收看 Purple 技术简报系列。今天我们将讨论企业部署中经常遇到的一个问题：将 EnGenius Cloud 接入点与 Purple 的访客 WiFi 平台进行集成。 如果您正在运营 EnGenius 设备，无论是酒店、零售连锁店还是多租户办公大楼中的 ECW 系列接入点，并且您希望添加品牌 Captive Portal、收集第一方访客数据并实施正确的网络分段，那么本次简报非常适合您。 在接下来的十分钟里，我想带您了解四个核心配置区域：访客 Captive Portal 重定向、Walled Garden 设置、使用 802.1X 的安全员工 WiFi，以及使用支持动态 VLAN 分配的 EnGenius MyPSK 进行多租户隔离。到最后，您将清楚地了解到底需要配置什么、按什么顺序配置以及常见的陷阱在哪里。 让我们开始吧。 [技术深挖 - 5 分钟] 让我们从访客 Captive Portal 开始，这是任何场所运营商最常见的起点。 EnGenius Cloud 原生支持外部 Portal 页面。这意味着您无需在接入点本身上托管基础登录页面，而是将未授权的访客重定向到 Purple 的云托管 Portal。这就是品牌推广、数据捕获、同意管理和分析的所在地。 以下是 EnGenius Cloud 中的配置顺序。登录您的 EnGenius Cloud 控制面板，导航至“配置”，然后选择 SSID。选择您的访客 SSID。在“无线”选项卡下，根据您的偏好将安全类型设置为 Open 或 WPA2 PSK。对于大多数访客 WiFi 部署，Open 是标准配置。然后切换到 Captive Portal 选项卡。启用 Captive Portal 并将认证类型（Authentication Type）设置为自定义 RADIUS（Custom RADIUS）。这是关键设置。它告诉接入点将认证请求转发到外部 RADIUS 服务器，在本例中即为 Purple 的云端 RADIUS 终端。 现在输入 Purple 的 RADIUS 详细信息。主 RADIUS 服务器 IP 在您的 Purple 控制面板中的“硬件配置”下提供。认证端口为 UDP 1812。计费端口为 UDP 1813。输入共享密钥。Purple 会为您生成该密钥，其长度应至少为 22 个字符，混合大小写字母、数字和符号。将 NAS 标识符设置为与您的场所名称或您在 Purple 中定义的唯一标识符相匹配。 接下来，切换到 Splash Page 选项卡。选择 External Splash Page URL 并输入 Purple 门户 URL。这是 Purple 为您的特定场所提供的 URL。当访客连接到 SSID 并打开浏览器时，接入点会拦截请求并将其重定向到该 URL，同时传递包括客户端 MAC 地址、AP MAC 地址以及访客尝试访问的原始 URL 在内的参数。 接下来是 walled garden（围墙花园）。这是访客在进行身份验证之前可以访问的域名和 IP 地址列表。如果没有它，Purple 门户本身将无法加载，因为访客的浏览器无法访问 Purple 的服务器。在 EnGenius Cloud 中，walled garden 位于 Captive Portal，然后是 Advanced Settings，接着是 Walled Garden。您需要添加 Purple 门户域名、Purple 的 CDN 终端以及操作系统 captive portal 探测终端。对于 Apple 设备，即 captive.apple.com。对于 Android，即 connectivitycheck.gstatic.com。对于 Windows，即 msftconnecttest.com。遗漏其中任何一个，这些平台上的访客都将完全无法看到门户。 如果您通过 Google 或 Facebook 提供社交登录，您还需要将这些提供商的 OAuth 终端加入白名单。Google 至少需要 accounts.google.com、oauth2.googleapis.com 和 apis.google.com。Facebook 需要 www.facebook.com、graph.facebook.com 和 connect.facebook.net。Purple 的支持文档为每种身份验证方法提供了最新版的 walled garden 列表。请以此作为参考，因为这些域名确实会发生变化。 现在，让我们转向使用 802.1X 的安全员工 WiFi。 这是一个独立的 SSID。此处的安全类型为 WPA2 Enterprise 或 WPA3 Enterprise。在 EnGenius Cloud 中，在 SSID Wireless 选项卡下，选择 WPA2 Enterprise，然后选择 Custom RADIUS。输入相同的 RADIUS 服务器详情：Purple 的 RADIUS 终端、端口 1812 以及共享密钥。与访客设置不同的是，这里没有 captive portal。员工设备使用 IEEE 802.1X 协议进行静默身份验证。设备向 RADIUS 服务器出示证书或用户名和密码，服务器对其进行验证并返回 Access-Accept 消息以及 VLAN 分配属性。 驱动动态 VLAN 分配的 RADIUS 属性包括：Tunnel-Type 设置为 VLAN，Tunnel-Medium-Type 设置为 802，以及 Tunnel-Private-Group-ID 设置为 VLAN 编号。因此，如果您的员工 VLAN 是 VLAN 20，则 RADIUS 服务器返回值为 20 的 Tunnel-Private-Group-ID。EnGenius 接入点会读取此属性，并自动将已验证身份的设备放入 VLAN 20。这意味着您可以使用单个 SSID 为多个员工角色（财务、运营、IT、承包商）提供服务，每个角色根据其目录组数组成员身份进入不同的 VLAN，而无需对每个设备进行任何手动 VLAN 配置。对于 EAP 方法，PEAP-MSCHAPv2 是使用 Active Directory 或 Microsoft Entra ID 的环境中最常见的选择。它需要在 RADIUS 服务器上提供服务器端证书，并在客户端上提供用户名/密码凭据。EAP-TLS 更加安全。它在双方都使用证书。但它需要 PKI 基础设施和 MDM 部署来将证书推送到设备。对于大多数场所运营商来说，通过组策略或 MDM 强制执行严格证书验证的 PEAP-MSCHAPv2 是切合实际的选择。 现在来看最具技术趣味性的部分：EnGenius MyPSK 和多租户隔离。 MyPSK（也称为 PPSK 或私有预共享密钥）解决了多租户环境中的一个特定问题。在建房出租开发项目、服务式办公室或学生公寓大楼中，您希望每个租户或居民都有自己独特的 WiFi 密码。但您不想为每个租户创建一个单独的 SSID。那会造成射频拥塞和管理开销。 MyPSK 允许您为每个 SSID 创建多达 500 个唯一的预共享密钥。每个密钥都绑定到一个特定的 VLAN。当居民使用其唯一密钥连接时，接入点会自动将其置于指定的 VLAN 中。租户 A 的流量永远不会触及租户 B 的网络段。加密也是针对每个用户的。每个密钥生成一个唯一的成对主密钥，因此一个租户无法解密另一个租户的空中传输流量，即使他们共享相同的 SSID。 在 EnGenius Cloud 中，您可以在 SSID 安全设置下配置 MyPSK。选择 WPA2 PSK 或 WPA3 个人版，然后启用 MyPSK。然后，您可以单独创建 PSK，或一次性自动生成最多 50 个的批处理。对于每个 PSK，您可以分配一个 VLAN ID，并可选地设置到期日期。当租约结束或学生毕业时，您只需将其 PSK 过期或删除即可。访问权限会被立即撤销，而不会影响任何其他租户。 对于在 MyPSK 环境中进行 Purple 集成，面向访客的租户仍然可以通过其 VLAN 上的 Captive Portal 进行引导。员工和运营租户则完全绕过 Portal 门户。VLAN 分段可确保 Purple 的分析数据在每个网络段上被正确归属。 [实施建议与陷阱 - 2 分钟] 让我为您提供我推荐的清晰首次部署实施顺序。 在触碰 WiFi 配置之前，先从您的 VLAN 架构开始。将 VLAN 10 定义为访客，VLAN 20 定义为员工，VLAN 30 定义为租户，或者采用符合您现有方案的任何编号。首先在您的 ECS 交换机上配置这些 VLAN，并分配适当的汇聚链路和接入端口。对于您计划使用的每个 VLAN，接入点都需要在上行链路上接收带标记的流量。 然后按照以下顺序在 EnGenius Cloud 中配置 SSID：首先配置访客 SSID，因为这最简单。在继续之前，验证 Captive Portal 重定向到 Purple。然后使用 802.1X 配置员工 SSID。在部署到整个场所之前，先使用已知设备进行测试。如果需要多租户隔离，请配置 MyPSK。 常见陷阱。第一，围墙花园 (walled garden)。这是 Captive Portal 部署失败的首要原因。如果访客无法访问门户，请先检查围墙花园。第二，RADIUS 共享密钥不匹配。EnGenius Cloud 配置和 Purple RADIUS 服务器配置上的共享密钥必须完全相同。单个字符的差异就会导致每次身份验证都默默失败。第三，交换机上的 VLAN Trunk 配置。如果连接到接入点的 ECS 交换机端口未配置为传输所有所需 VLAN 的 Trunk，则动态 VLAN 分配将失败。第四，802.1X 客户端上的证书验证。如果员工设备未配置为验证 RADIUS 服务器证书，它们很容易通过流氓接入点被窃取凭据。对于 Windows 系统，应通过组策略强制执行此操作，对于其他系统，则通过 MDM 配置文件强制执行。 [快速问答 - 1 分钟] 以下是关于 EnGenius 和 Purple 部署的几个常见问题。 我可以使用 EnGenius Cloud RADIUS 代替 Purple 的 RADIUS 吗？可以，用于内部身份验证。但是对于使用 Purple 分析和门户的访客 WiFi，您需要指向 Purple 的 RADIUS 端点。两者可以共存于不同的 SSID 上。 MyPSK 是否支持 WPA3？支持。EnGenius 的 MyPSK 支持 WPA3 和 WPA2/WPA3 混合模式，因此支持 WPA3 的设备可获得 SAE 身份验证，而较旧的设备则回退到 WPA2 PSK，所有设备都使用相同的每用户密钥。 Purple 是否支持会话数据的 RADIUS 计费？支持。在 EnGenius Cloud 的 RADIUS 配置中启用计费服务器，将其指向 UDP 1813 上的 Purple 计费端点。这将把会话持续时间和数据量传送至 Purple 的分析系统中。 [总结与后续步骤 - 1 分钟] 总结一下。EnGenius Cloud 接入点通过四个配置层与 Purple 的访客 WiFi 平台无缝集成。访客 Captive Portal 重定向使用自定义 RADIUS 和指向 Purple 的外部 Portal 页面 URL。围墙花园白名单确保门户在身份验证前加载。员工 WiFi 使用带有 802.1X 的 WPA2 企业级，并通过 RADIUS 属性进行动态 VLAN 分配。多租户隔离使用 EnGenius MyPSK 分配绑定到特定 VLAN 的唯一每用户密钥，并可选择为限时访问设置过期日期。 Purple 在 80,000 个场所运营，仅在 2024 年就处理了 4.4 亿次登录。该平台通过了 ISO 27001 认证、符合 GDPR 且与硬件无关，这正是它能够与 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus 和其他企业硬件生态系统完美协同工作的原因。如果您已准备好进行部署，请先参阅 Purple 支持文档中的 walled garden 配置指南，然后逐步完成 EnGenius Cloud 中的 SSID 设置。完整的分步指南可在 purple.ai 获取。感谢您的收听。