Grandstream GWN 和访客 WiFi：使用 Purple 设置 Captive Portal

欢迎来到 Purple 技术简报系列。我是您的主持人，今天我们将介绍一种在酒店、零售和多租户物业中日益常见的部署模式：将 Grandstream GWN 接入点与 Purple 的访客 WiFi 平台进行集成。 如果您是 MSP、企业内部 IT 团队或网络架构师，被分配了 Grandstream GWN 部署任务，并被要求添加具有分析功能的品牌 Captive Portal，那么本期内容非常适合您。我们将涵盖完整的技术栈：访客 Splash 页面重定向、Walled Garden 配置、使用 802.1X 的安全员工 WiFi，以及使用 Grandstream 私有预共享密钥功能的多租户细分。让我们开始吧。 --- 首先，介绍一些背景信息。Grandstream 的 GWN 系列是一个可靠的中端市场接入点系列。您拥有用于室内部署的 GWN7600 和 GWN7630，用于 Wi-Fi 6 环境的 GWN7660 和 GWN7664，以及作为高密度空间吸顶式安装选项的 GWN7610。它们可以通过 GWN Manager 进行管理（这是一款安装在 Linux 或 Windows 服务器上的本地控制器），也可以通过 GWN dot Cloud（Grandstream 的云端托管管理平台，现已更名为 GDMS Networking）进行管理。 对于 MSP 来说，好消息是这两个管理平台都原生支持 Captive Portal 配置。您可以完全在 GWN Manager 或 GWN dot Cloud 中构建 Portal 策略、自定义 Splash 页面并将其与 SSID 关联。但对于需要符合 GDPR 的数据捕获、营销自动化和实时分析的企业部署，您将需要使用外部平台来替代该原生 Portal。这就是 Purple 的用武之地。 Purple 作为云端覆盖层运行。它位于您的硬件之上，提供 Captive Portal、RADIUS 身份验证层、分析引擎和营销工具。Purple 支持 80,000 个活跃场所，仅在 2024 年就处理了 4.4 亿次登录，因此该平台在大规模应用中得到了充分验证。与 Grandstream GWN 的集成遵循 Purple 在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 中使用的基于相同标准的标准方法。 --- 让我们深入了解技术架构。Grandstream GWN 配合 Purple 的访客 WiFi 流程如下。 访客连接到您的访客 SSID。他们的设备向任何网站发送 HTTP 请求。GWN 接入点拦截该请求，并向 Purple Portal URL 发出 HTTP 302 重定向。访客将到达由 Purple 托管的品牌 Splash 页面。他们进行身份验证，无论是通过电子邮件、社交登录、短信验证还是自定义表单。Purple 的平台验证该身份验证，记录符合 GDPR 的同意和数据，然后将 RADIUS Access-Accept 发送回 GWN 接入点。接入点授予互联网访问权限。从连接到访问互联网，整个流程大约需要三到五秒。现在，Grandstream 端的核心配置组件包括：Captive Portal 策略、展示页面设置、围墙花园（Walled Garden）以及 SSID 关联。让我逐一进行介绍。 --- 第一步：在 GWN Manager 或 GWN.Cloud 中配置 Captive Portal 策略。 导航至 Captive Portal，然后选择 Policy List，并创建一个新策略。为其起一个描述性的名称，例如 "Purple-Guest-Portal"。将 Authentication Type 设置为 RADIUS Server。接着您会看到 RADIUS Server Address、RADIUS Server Port 和 RADIUS Server Secret 字段。输入 Purple 的 RADIUS 服务器 IP 地址，以及用于认证的端口 1812。您的共享密钥（Shared Secret）来自 Purple 门户管理控制台的场所硬件配置部分。将 RADIUS Authentication Method 设置为 PAP，这是 Purple 的 Captive Portal 流程所使用的加密方式。 在 Landing Page 下，将其设置为 Redirect to External Page，并输入您的 Purple 门户重定向 URL。这是宾客首次连接时将被传送到的 URL。同样，此信息来自您的 Purple 管理控制台。 将 Expiration 时间设置为与您场所的会话策略相匹配。对于酒店，通常为 24 小时。对于会议场所，您可以将其设置为活动持续时间。对于零售环境，通常为两到四个小时。 启用 Failsafe Mode（故障安全模式）。这非常重要。如果 GWN 接入点无法连接到 Purple 的 RADIUS 服务器，故障安全模式仍将授予互联网访问权限，而不是阻止所有宾客。对于大多数酒店和零售部署，短暂的 RADIUS 中断不应导致所有宾客失去连接。 --- 第二步：配置围墙花园（Walled Garden）。 围墙花园是宾客在通过门户进行身份验证之前可以访问的域名和 IP 地址列表。如果配置错误，宾客将看到空白页面或损坏的门户，并会归咎于 WiFi 问题。 在 GWN Manager 中，围墙花园在 Captive Portal 策略下配置为 Pre-Authentication Rules。将以下域名添加为允许规则：Purple 门户域名（即 portal.purple.ai）；Purple 展示页面加载资源所需的任何 CDN 域名，包括使用通配符条目的 cloudfront.net；Apple 的 Captive Portal 检测终结点 captive.apple.com；以及 Google 的连接性检查终结点 connectivitycheck.gstatic.com。 Purple 的支持门户在 support.purple.ai 提供了一个动态围墙花园生成器。从硬件列表中选择 Grandstream，选择您的身份验证方法，它就会生成您所需的准确域名列表。请使用该列表，不要尝试手动从头构建。 您需要做的一个决定是：是否将 captive.apple.com 纳入围墙花园（Walled Garden）？如果纳入，iOS 设备将不会自动显示 Captive Network Assistant 迷你浏览器。访客需要手动打开浏览器才能访问门户。如果不将其纳入，iOS 设备在连接时会自动启动该迷你浏览器。对于大多数酒店及餐饮业部署，您希望显示该迷你浏览器，因此请不要将 captive.apple.com 纳入围墙花园。 --- 第三步：配置 SSID。 在 GWN Manager 中，导航至 SSID 并编辑您的访客 SSID。启用 Captive Portal 并选择您刚刚创建的策略。将 SSID 设置为 WPA2-Personal 并使用简单的开放密码，或者如果您的场所更喜欢这种方式，可以将其配置为开放 SSID。此流程中的安全性来自于门户认证，而非 WiFi 密码。 启用客户端隔离（Client Isolation）。这可以防止访客在网络上看到彼此的设备。这是一项基本的安全要求，如果您的场所在相同的网络架构上处理卡支付，这也是一项 PCI-DSS 考量因素。 将 SSID 分配给您的访客 VLAN。VLAN 10 是访客流量的常用惯例。确保您的上行交换机和路由器已配置为使用适当的防火墙规则将该 VLAN 路由到互联网。 --- 现在我们来谈谈使用 802.1X 的员工 WiFi。 IEEE 802.1X 是基于端口的网络准入控制标准。对于员工 WiFi，它将共享的预共享密钥替换为针对身份提供商进行验证的单用户凭据。当员工连接时，GWN 接入点作为认证器，其设备作为申请者，而 Purple 的 RADIUS 服务器则作为认证服务器。 在 GWN Manager 中，为员工创建一个单独的 SSID。将安全模式设置为 WPA2-Enterprise，这将启用 802.1X。使用 Purple 的 RADIUS IP、端口 1812 和您的共享密钥配置 RADIUS 服务器设置。在端口 1813 上启用 RADIUS 计费（RADIUS Accounting），以便您获得谁在何时连接、连接了多长时间的完整审计轨迹。这种审计轨迹是您满足 GDPR 合规要求以及应对任何安全事件所需要的。 对于 EAP 方法，您有两个主要选择。EAP-TLS 在服务器和客户端设备上均使用数字证书。这是最安全的选项，但它需要移动设备管理平台将证书推送到员工设备。如果您拥有 Microsoft Intune 或 Jamf，EAP-TLS 是正确的选择。 PEAP，即受保护的 EAP（Protected EAP），在加密的 TLS 隧道内使用用户名和密码。它更容易部署，尤其是对于 BYOD 环境，但您必须确保对员工进行培训，使其不接受证书警告。如果用户点击忽略证书错误，流氓接入点就可以收集 PEAP 凭据。 在 SSID 设置中启用动态 VLAN 分配。开启此功能后，RADIUS 服务器可以在 Access-Accept 数据包中返回 VLAN ID，而 GWN AP 将会把连接的设备分配到该 VLAN。这意味着您可以只使用一个员工 SSID，但能够根据用户在 Purple 目录中的身份，自动将 IT 员工划分到 VLAN 20，管理层划分到 VLAN 21，而将销售点设备划分到 VLAN 40。 动态 VLAN 的 RADIUS 属性包括：Tunnel-Type 设置为 VLAN（属性值为 13）；Tunnel-Medium-Type 设置为 IEEE-802（属性值为 6）；以及 Tunnel-Private-Group-ID 设置为字符串格式的 VLAN 编号。Access-Accept 数据包中的这三个属性就是 GWN AP 将设备引导到正确 VLAN 所需的全部内容。 - 现在介绍一个对多租户物业特别有用的功能：Grandstream 私有预共享密钥（即 PPSK）。 PPSK 是一种允许单个 SSID 支持多个唯一密码的机制，每个密码都映射到不同的 VLAN 或网络策略。想象一下面向租赁的公寓大楼、共享办公空间或服务式办公楼。您希望所有人都能看到一个 SSID，但每个租户都有自己的密码，将其置于自己隔离的网络段中。 在 GWN Manager 中，PPSK 是在 SSID 设置下进行配置的。将安全模式设置为 WPA2-Personal，然后启用 PPSK。接着您可以创建单独的 PSK 条目，每个条目都有一个唯一的密码和相关联的 VLAN ID。当设备使用租户 A 的密码连接时，AP 会将其放入 VLAN 31。当设备使用租户 B 的密码时，它会进入 VLAN 32。租户共享相同的 SSID，但在网络层上彼此完全隔离。 对于更大规模的部署，Grandstream 还支持带有 RADIUS 后端的 PPSK。在此模式下，AP 将 PSK 作为 RADIUS 属性发送给认证服务器，认证服务器对其进行验证并返回相应的 VLAN 分配。这正是 Purple 的基于身份的网络（Identity-Based Networks）功能直接集成的地方。Purple 可以管理 PPSK 数据库，对照其目录验证密钥，并返回动态 VLAN 分配，从而让您在单个平台集中管理数百个租户凭据。 用于 PPSK 验证的 RADIUS 属性通常是 Tunnel-Password 属性，或者是取决于固件版本的特定于厂商的属性。请查看 Grandstream 针对您特定固件的发布说明，因为属性映射在不同 GWN Manager 版本之间有所变化。 - 让我介绍一下我在使用外部门户的 Grandstream 部署中见到的两种最常见故障模式。 第一种情况是重定向未触发。访客连接到 SSID，打开浏览器，然后遇到“无法访问此网站”的错误，而不是门户页面。最可能的原因是 walled garden（围墙花园）配置错误。门户页面本身在身份验证前被拦截了。在连接到访客 SSID 的测试设备上打开浏览器开发者工具，查看网络（network）标签页，并确定哪些请求失败了。将这些域名添加到您的预身份验证规则中。 第二种故障模式是 RADIUS 超时。AP 向 Purple 的 RADIUS 服务器发送 Access-Request，但未收到任何响应。这通常意味着防火墙阻止了从 AP 的管理 VLAN 到 Purple 的 RADIUS IP 范围的出站 UDP 端口 1812。检查您的防火墙规则。Purple 的 RADIUS IP 地址记录在 Purple 管理控制台的场馆设置下。确保主要和次要 RADIUS IP 均已被允许。 第三种值得一提的情况是：动态 VLAN 无法正常工作。员工连接后进入了错误的 VLAN。最常见的原因是 GWN Manager 中 SSID 设置中的“启用动态 VLAN”未勾选。这是一个很容易漏掉的复选框。第二个原因是共享密钥不匹配。如果 AP 上的共享密钥与 Purple 中配置的密钥不匹配，AP 会静默丢弃 RADIUS 响应并回退到默认 VLAN。 - 让我为您提供两个实际场景，使其更加具体。 场景一：一家拥有 120 间客房的酒店。该酒店运行通过 GWN dot Cloud 管理的 GWN7660 接入点。他们需要一个用于访客的品牌化访客门户、一个用于前台和客房服务的安全员工网络，以及一个用于物业管理系统的独立管理 VLAN。 该配置使用三个 SSID：VLAN 10 上的访客 WiFi，采用 Purple Captive Portal 策略；VLAN 20 上的员工 WiFi，采用 WPA2-Enterprise 和针对 Purple 的 RADIUS 的 PEAP 身份验证；以及 VLAN 30 上的隐藏管理 SSID，用于 PMS 终端。员工 SSID 上的动态 VLAN 分配意味着客房服务设备进入具有受限互联网访问权限的 VLAN 21，而前台设备进入具有完全访问权限的 VLAN 20。Purple 的分析仪表板向酒店运营商展示每日访客人数、会话时长以及营销选择加入率，从而为营销团队提供运行针对性推广活动所需的数据。场景二：一个拥有 40 个单元的“即建即租”公寓楼。运营商在本地运行带有 GWN Manager 的 GWN7630 接入点。每个公寓都需要自己隔离的网络。运营商使用带有 RADIUS 后端的 PPSK。Purple 管理 40 个独特的租户凭据，每个凭据都映射到专用的 VLAN。居民使用其单元的密码连接到单一的 “BuildingConnect” SSID。Purple 的门户网站处理初始入驻流程，获取居民同意，并为运营商提供入住率分析和互动数据。当居民搬出时，运营商在 Purple 的管理控制台中撤销其 PPSK 凭据，访问将立即终止。无需更改 SSID 密码或重新配置接入点。 - - - 快速问答。在 Grandstream 部署中我经常被问到的三个问题。 问题一：我可以使用 GWN dot Cloud 代替 GWN Manager 进行 Purple 集成吗？可以。GWN dot Cloud 中的 Captive Portal 配置在功能上与 GWN Manager 完全相同。菜单路径也相同。RADIUS 和围墙花园（Walled Garden）设置在相同的位置。对于管理多个站点的 MSP，GWN dot Cloud 是更好的选择，因为您可以通过单窗口管理所有部署。 问题二：Purple 是否支持 Grandstream 的原生分析以及其自身的分析？Purple 用其自身更详细的数据集取代了原生的 Captive Portal 分析。您可以获得会话计数、停留时间、选择加入率、来自表单字段的人口统计数据以及与营销平台的集成。用于 RF 性能、AP 健康状况和客户端计数的原生 GWN 分析在 GWN Manager 或 GWN dot Cloud 中仍然可用，与 Purple 的门户分析并存。 问题三：在 GWN AP 上进行带 RADIUS 的 PPSK 需要什么固件版本？带 RADIUS 后端的 PPSK 需要 GWN76xx 系列上的 GWN 固件 1.0.19 或更高版本。在部署前请检查 Grandstream 的发布说明。运行过时的固件是 PPSK 部署中出现异常行为最常见的原因。 - - - 总结。按照正确的顺序，将 Grandstream GWN 接入点与 Purple 集成是一个非常直接的部署过程。首先在 Captive Portal 策略中配置您的 RADIUS 服务器设置。使用 Purple 的域名生成器工具构建您的围墙花园。将该策略与您的访客 SSID 关联并启用客户端隔离。对于员工 WiFi，启用带有动态 VLAN 分配的 WPA2-Enterprise。对于多租户物业，使用带有 RADIUS 后端的 PPSK 并通过 Purple 集中管理凭据。 确保正确的五件事：UDP 1812 上的 RADIUS 且具有匹配的共享密钥；覆盖所有门户资源域的围墙花园；在访客 SSID 上启用客户端隔离；在 SSID 设置中启用动态 VLAN；以及 PPSK 固件版本在 1.0.19 或更高。做好这五点，您就拥有了稳定、可扩展的部署，可为您的场所提供多年服务。Purple 的入驻团队可以在上线前验证您的配置，该平台 99.999% 的正常运行时间意味着您无需在凌晨两点向酒店客人解释门户故障。 感谢收听。欲了解更多关于企业 WiFi 集成的技术指南，请访问 purple dot ai。下一期，我们将介绍结合 Microsoft Entra ID 和 Purple 的 SecurePass 功能实现动态 VLAN 分配。下期再见。