企业访客 WiFi 设置指南：VLAN 隔离、安全与 Captive Portal

企业访客 WiFi 设置指南：VLAN 隔离、安全与 Captive Portal。 一份面向 IT 经理、网络架构师和场所运营总监的 Purple 技术简报。 介绍与背景。 欢迎。如果您负责酒店、零售物业、体育场或任何公众连接到您 WiFi 的场所，本简报非常适合您。我们将涵盖合理架构的访客 WiFi 部署的三大支柱：VLAN 隔离、安全标准和 Captive Portal 设计。这不是理论——而是您可以带入下一次基础设施审查的实用、可操作的指导。 让我先介绍一下背景。访客 WiFi 不再是可有可无的。它是一项运营要求，而且如果做得正确，它还是第一方客户数据的重要来源。Purple 在全球 80,000 多个活跃场所运营，仅在 2024 年，我们就处理了 4.4 亿次登录。我们在这些部署中看到的模式说明了一个非常明确的事实：将访客 WiFi 视为严肃的基础设施项目（而不是事后才想到的事情）的场所，才是那些能够避免安全事件、保持 GDPR 合规并真正从收集的数据中提取商业价值的场所。 那么，让我们开始吧。 技术深挖。 第一部分：VLAN 隔离。 VLAN（虚拟局域网）是物理网络的一个逻辑划分。可以把它想象成在同一条路上创建不同的车道。访客在一条车道上行驶。员工在另一条车道上行驶。您的企业系统在第三条车道上行驶。车道互不交叉。 为什么这很重要？如果没有 VLAN 隔离，您 WiFi 上的访客设备就会与您的 POS 终端、后台服务器或物业管理系统处于同一个网络段。这是一个严重的安全隐患。受损的访客设备，或者故意探测您网络的恶意攻击者，可以触及他们完全无权接触的系统。 标准方法是为每种流量类型分配其自己的 VLAN ID。VLAN 10 用于访客 WiFi，VLAN 20 用于员工，VLAN 30 用于企业基础设施。具体的数字是任意的，但隔离不是。每个 VLAN 都有自己的 IP 子网、自己的 DHCP 范围和自己的防火墙策略。访客流量直接路由到互联网。它绝不会触及您的内部网络。 在硬件方面，所有主流的企业级接入点厂商都原生支持这一点：Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。这些平台中的每一个都允许您将 SSID 映射到 VLAN 标签，并且您堆栈中的每个网管交换机都会遵守该标签，以保持流量一路隔离到核心。 值得强调的一个配置细节：客户端隔离。在访客 VLAN 内部，您需要阻止访客设备相互通信。访客的笔记本电脑不应该能够看到另一个访客的手机。在您的接入点上启用客户端隔离。在大多数企业管理控制台中，这只是一个复选框，您就可以消除整整一类点对点攻击。 第二部分：安全标准。 让我们谈谈加密。WPA3（Wi-Fi Protected Access 3）是当前的标准，由 Wi-Fi 联盟批准。对于访客网络，相关的模式是 WPA3-SAE，它用更安全的对等同时身份验证协议取代了旧的 WPA2-PSK 握手。这消除了针对捕获的握手的离线字典攻击。如果您的硬件支持（过去三年内购买的任何设备几乎肯定都支持），请部署 WPA3。 对于员工和企业网络，正确的标准是 802.1X，这是用于基于端口的网络访问控制的 IEEE 框架。802.1X 要求每个设备在被授予网络访问权限之前，必须针对 RADIUS 服务器（远程用户拨号认证服务）进行身份验证。身份验证交换使用 EAP（可扩展身份验证协议），最常见的企业变体是 EAP-TLS（使用基于证书的双向身份验证）和 PEAP（将用户名和密码交换封装在 TLS 隧道中）。 EAP-TLS 是更强大的选择。它要求在每个设备上安装客户端证书，这意味着您需要一个 PKI（公钥基础设施）来颁发和管理这些证书。对于使用 Microsoft Entra ID 或 Okta 的大型企业部署，这可以与您现有的证书颁发机构无缝集成。PEAP 更易于部署，且仍然比共享密码安全得多。 对于访客网络， 802.1X 通常是不切实际的。访客没有企业证书。替代方案是 iPSK 或 PPSK：个人或专用预共享密钥。每个访客会话都会获得一个唯一的密钥，这意味着您可以撤销单个会话，而无需更改所有人的密码。Purple 的平台完全自动化了这一过程：当访客通过 Captive Portal 进行身份验证时，系统会自动生成并分配一个唯一的会话密钥。 现在，合规性。如果您的场所在网络附近的任何地方处理卡支付，则适用 PCI DSS（支付卡行业数据安全标准）。要求 1.3 强制要求在持卡人数据环境与所有其他系统之间进行网络隔离。只要您记录了隔离情况并将其纳入您的年度评估中，配置妥当的访客 VLAN 就能满足这一要求。GDPR 适用于您在 Captive Portal 收集的个人数据：姓名、电子邮件地址、营销同意。我们将在 Captive Portal 部分回到这一点。 第三部分：Captive Portal。 Captive Portal 是在授予互联网访问权限之前，当访客首次连接到您的 WiFi 时拦截其浏览器的网页。它是您收集同意和身份数据的机制。 以下是其技术工作原理。当访客连接到您的 SSID 时，其设备将处于预身份验证状态。DNS 查询可以解析，但所有 HTTP 流量都会被重定向到门户的 IP 地址。访客会看到您的品牌登录页面。一旦他们通过电子邮件、社交登录或短信验证进行身份验证，RADIUS 服务器或 WiFi 控制器就会将他们的 MAC地址标记为已授权并开放互联网访问。 有几种可用的身份验证方法。电子邮件注册是最常见的，可以直接捕获经过验证的电子邮件地址。通过 Google、Facebook 或 Apple 进行的社交登录摩擦较小，但取决于访客是否拥有活跃的社交账户。短信验证会将电话号码添加到您的数据集中。对于安全性要求更高的环境，您可以通过 Purple 的 Verify 插件要求进行身份验证，该插件会检查政府身份证件。 这里的 GDPR 维度至关重要。您在门户收集的每个数据点都需要合法的依据。对于营销传播，该依据是明确的同意：主动选择加入，而不是预先勾选的框。您的门户必须提供清晰、通俗易懂的同意声明，链接到您的隐私政策，并记录所给予同意的时间戳和版本。Purple 的平台会自动存储所有这些内容并提供完整的审计追踪，这正是数据保护机构在您面临调查时会要求提供的内容。 一个对合规性和数据质量都有重大影响的设计原则：保持门户简单。您添加的每个额外字段都会降低完成率。姓名和电子邮件，加上一个清晰的营销同意复选框，对大多数场所来说是合适的平衡。Purple 跨越 3.5 亿独立用户的数据表明，拥有三个或更少字段的门户的转化率明显高于拥有五个或更多字段的门户。 实施建议与陷阱。 让我给您一些实用的建议，然后指出我们看到的最常见的错误。 对于新部署，请按以下顺序进行。第一，在接触任何硬件之前，先设计您的 VLAN 架构。规划您场所中存在的流量类型，分配 VLAN ID，定义子网，并记录各段之间的防火墙规则。第二，配置您的核心交换机和路由器以执行 VLAN 间路由策略。访客流量应该有一条通往互联网的默认路由，以及一条针对其他所有内容的“拒绝所有”规则。第三，配置您的接入点以将每个 SSID 映射到正确的 VLAN。第四，部署您的 Captive Portal，并在上线前对完整的身份验证流程进行端到端测试。第五，运行渗透测试，或至少进行手动验证，以确认访客 VLAN 上的设备无法访问任何内部 IP 地址。 最常见的错误。第一：忘记启用客户端隔离。访客可以看到彼此的设备，这是一个隐私问题，也是一个潜在的攻击媒介。第二：多年使用相同的预共享密钥用于访客 WiFi 而不进行轮换。如果该密钥泄露，曾经连接到您网络的每个设备都会拥有它。使用 iPSK 或 PPSK 并实现自动轮换。第三：在没有适当的 GDPR 同意机制的情况下部署 Captive Portal。这不是理论上的风险。欧洲各地的监管机构已经因此开出了罚款。第四：不记录会话数据。为了进行安全事件响应，您需要知道在什么时间哪个 MAC 地址被分配了哪个 IP 地址。您的 RADIUS 服务器或 WiFi 控制器应该记录这一点，并且您应该将其保留至少 90 天。第五：将访客 WiFi 带宽视为无限。在访客 VLAN 上设置单用户带宽限制。如果没有这些限制，运行 BT 客户端的单个访客可能会降低场所内所有人的体验。 快速问答。 问：我是否需要为访客建立一个单独的物理网络，还是 VLAN 隔离就足够了？ 答：对于绝大多数部署，只要您的交换机和接入点是企业级的且配置正确，VLAN 隔离就足够了。消费级或专业消费级硬件有时对 VLAN 的支持不完整。这是使用企业级硬件的理由，而不是运行单独物理线缆的理由。 问：我可以在与员工 WiFi 相同的接入点上运行访客 WiFi 吗？ 答：是的。企业级接入点支持多个 SSID，每个 SSID 映射到不同的 VLAN。单个 Cisco Meraki 或 HPE Aruba 接入点可以同时广播四个或更多 SSID，每个 SSID 具有独立的安全策略。 问：小型场所的最低可行安全配置是什么？ 答：访客流量与内部流量之间的 VLAN 隔离、访客 SSID 上的 WPA3、启用客户端隔离，以及具有符合 GDPR 合规要求的同意收集功能的 Captive Portal。这涵盖了基本要素。 问：Purple 如何与现有硬件集成？ 答：Purple 与硬件无关。我们作为云覆盖层运行在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 部署之上。您保留现有的基础设施，并在其上添加 Purple 的 Captive Portal、分析和营销自动化。 总结与后续步骤。 总结一下。合理的访客 WiFi 架构有三个不可妥协的组成部分。VLAN 隔离以将访客流量与您的内部网络隔离开来。强大的加密和身份验证标准：访客使用 WPA3，员工使用带有 EAP-TLS 的 802.1X。以及一个收集符合 GDPR 完全合规要求的身份数据的 Captive Portal。 做好这三件事，您就拥有了一个安全、合规的网络，并能生成您的营销团队真正可以使用的第一方数据。 如果您想深入了解，Purple 的平台可以处理所有这些方面的 Captive Portal、分析和营销自动化层。我们在 80,000 多个场所活跃运行，通过了 ISO 27001 认证，符合 GDPR 和 CCPA，并保持 99.999% 的在线时间。本期节目下方链接的指南涵盖了特定的硬件集成和高级配置。 感谢收听。如果您有任何疑问，Purple 团队在 purple.ai 为您服务。