逐步指南：为访客 WiFi Captive Portal 配置锐捷无线控制器

执行摘要

在分布式企业中部署访客 WiFi 不仅仅是提供一个开放的 SSID。对于 IT 经理和网络架构师而言，挑战在于如何在无缝接入与严格的安全、GDPR 合规性以及数据采集需求之间取得平衡。本指南详细介绍了使用锐捷无线控制器和网关部署安全、可扩展的 Captive Portal 的具体配置步骤，并展示了将该基础设施与 Purple 的 Guest WiFi 平台集成如何将基本的无线连接转化为合规且能带来收益的资产。

我们将涵盖技术先决条件、VLAN 隔离策略、通过 WISPr 协议进行的外部 RADIUS 认证、围墙花园（Walled Garden）配置，以及生产级部署所需的特定 QoS 设置。无论您管理的是拥有 200 间客房的酒店、拥有 50 家门店的零售连锁，还是可容纳 40,000 人的体育场，本指南都为安全的锐捷 Captive Portal 设置提供了权威蓝图。Purple 在全球 80,000 多个活跃场所运行，并在 2024 年处理了 4.4 亿次登录（Purple 内部数据），因此这里描述的集成模式在大规模应用中已得到验证。

技术架构与先决条件

在修改您的锐捷控制器之前，请先建立正确的网络架构。安全的访客网络要求在第 2 层（交换机级别）与企业流量进行完全隔离。

网络分段

安全访客 WiFi 的基石是 VLAN 隔离。您必须在锐捷网关或核心交换机上创建一个专用的访客 VLAN。这可以确保访客流量绝不会与内部系统、支付终端或员工设备发生交集。锐捷部署的标准企业 VLAN 方案如下所示：

有关为什么消费级方法在此处会失败的更多信息，请阅读 为什么消费级 WiFi 设备不适用于您的访客网络 。

所需组件

要完成此部署，您需要：

• 一个锐捷云账号或本地锐捷 RG-WS 系列无线控制器（例如 RG-WS6008 或 RG-WS7110）。
• 一台锐捷 RG-EG 系列网关 - 通过 WISPr 进行外部门户认证所必需。
• 锐捷 RG-AP 系列无线接入点（例如 RG-AP820-I、RG-AP850-AR）。
• 需要 Purple Connect、Capture 或 Engage 许可。
• 允许从网关到 Purple 服务器的端口 1812（RADIUS 认证）和 1813（RADIUS 计费）的出站 UDP 访问。

认证协议概述

锐捷（Ruijie）支持多种认证方式。企业级部署应使用外部 RADIUS 认证。此方法使用 WISPr（无线互联网服务提供商漫游）协议，安全地将未认证的用户重定向到 Purple 的 Splash Page（登录页面），处理其凭据，并向锐捷控制器返回 RADIUS 接受（Accept）或拒绝（Reject）消息。

上表总结了锐捷平台提供的五种认证方式。电子邮件注册和社交媒体登录是酒店和零售环境中最常用的选择，因为它们可以捕获结构化的、符合 GDPR 规范的第一方数据。凭证码（Voucher codes）适用于会议室和付费访问层级。带有 802.1X 的 RADIUS 则专用于需要目录支持身份验证的员工网络。

分步实施指南

请在锐捷云（Ruijie Cloud）或本地控制器界面中执行以下步骤。以下 UI 路径适用于锐捷云新界面（2024 年后）和锐捷 JaCS 平台。

第 1 步：配置访客 SSID

建立无线广播网络。

1. 登录锐捷云或本地控制器 Web 界面。
2. 导航至 Device Config（设备配置），并在 Wireless（无线）部分下选择 Wi-Fi。
3. 点击 + 创建新的 SSID，或编辑现有 SSID。
4. 设置 SSID Name（SSID 名称，例如 "Free Guest WiFi"）。
5. 将 Security Mode（安全模式）设置为 Open（开放）- 无预共享密钥。
6. 将该 SSID 分配给您的专用访客 VLAN（例如 VLAN 30）。
7. 保存 SSID 配置。

第 2 步：定义 Captive Portal 策略

指示控制器拦截访客流量并将其重定向到 Purple。

1. 导航至 Auth & Account（认证与账户），并在 Authentication（认证）下选择 Captive Portal。
2. 创建新策略。设置一个描述性的 Policy Name（策略名称，例如 "Purple-Guest-Portal"）。
3. 将 Policy Mode（策略模式）设置为 External（外部）。
4. 将 Authentication Device（认证设备）设置为您的锐捷网关（RG-EG 系列）或接入点。
5. 选择在第 1 步中创建的访客 SSID。
6. 在 Portal Server URL 字段中，输入您专属的 Purple Splash Page URL（可在 Purple 控制面板的“硬件配置”下找到）。
7. 在指定字段中输入 Purple RADIUS 服务器的 IP 地址。
8. 设置 Seamless Online（无感上网）时长，以匹配您的会话超时策略（例如，酒店行业为 24 小时，零售行业为 1 小时）。
9. 确定 Portal Escape（Portal 逃生）行为 - 请参阅下文的“最佳实践”部分。

第 3 步：配置围墙花园（白名单）

Captive Portal 会拦截所有流量，直到用户完成身份验证。某些特定流量必须允许在预身份验证阶段通过，以便加载登录页面并处理社交媒体登录。这是任何 Captive Portal 部署中最容易配置错误的部分。

1. 导航至 Auth & Account（认证与账户）并选择 Allowlist（白名单）。
2. 添加所有必需的 Purple 基础设施域名。您的 Purple 仪表板会提供您所在地区的具体列表。
3. 如果您提供社交媒体登录，请添加每个提供商的 OAuth 域名：
   • 对于 Microsoft Entra ID：*.microsoft.com、*.microsoftonline.com、login.live.com
   • 对于 Google Workspace：*.google.com、accounts.google.com
   • 对于 Okta：您特定的 Okta 租户域名
4. 如果您提供付费 WiFi 方案，请添加任何支付处理商的域名。
5. 保存并应用白名单。

第 4 步：配置 RADIUS 身份验证

配置 Ruijie 与 Purple 之间的安全通信通道。

1. 导航至 Ruijie 控制器或网关中的 RADIUS 服务器设置。
2. 添加 Purple 主 RADIUS 服务器的 IP 地址和端口 1812 用于身份验证。
3. 添加 Purple 备用 RADIUS 服务器的 IP 地址作为故障转移。
4. 输入您 Purple 仪表板中的 Shared Secret（共享密钥）。这必须完全一致。
5. 添加端口 1813 上的计费服务器并启用 RADIUS 计费。这将跟踪会话时长和数据使用情况，并直接反馈到 Purple 的 WiFi Analytics 报告中。
6. 将 NAS Identifier 设置为有意义的字符串（例如您的场馆名称），以便在 Purple 的分析中区分流量。

第 5 步：应用 QoS 策略

在高峰时段，不受限制的访客访问可能会使您的互联网链路饱和。

1. 导航至 Ruijie 网关的 QoS 或带宽管理部分。
2. 设置单用户下载限制（例如：酒店住客为 10 Mbps，零售顾客为 5 Mbps）。
3. 设置单用户上传限制（例如：2-5 Mbps）。
4. 禁用 Client Escape，以确保在门户服务器暂时无法访问时，未经验证的用户无法访问网络。
5. 保存并向所有相关设备推送配置。

第 6 步：测试部署

请务必使用没有缓存凭据的干净设备进行测试。

1. 将移动设备连接到访客 SSID。
2. 打开浏览器并导航至非 HTTPS URL（例如 http://example.com）。门户页面应当进行重定向。
3. 验证 Purple 闪屏页面（splash page）是否正确加载。
4. 完成身份验证流程。
5. 确认身份验证后已授予互联网访问权限。
6. 检查 Purple 仪表板以确认该会话已显示在您的分析数据中。

企业部署最佳实践

安全与合规性

切勿依赖共享 PSK 进行访客接入。共享密码无法实现责任追溯，且无法针对单个用户进行撤销。通过使用 Purple 带有个人身份验证的 Captive Portal，您可以强制要求用户对数据处理提供明确同意，从而满足 GDPR 第 7 条的要求。Purple 拥有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证，确保数据捕获机制本身是可审计的。

如需深入了解安全架构，请阅读我们的《 企业 WiFi 安全：2026 年完整指南 》和《 什么是安全 WiFi：2026 年企业必备指南 》。

Portal Escape：深思熟虑的决策

锐捷（Ruijie）的 Portal Escape 功能会在 AP 与 Portal 服务器无法连接时，自动放行用户流量。在酒店环境中，您可能会选择启用它——因为服务器出现短暂波动导致访客无法连接 WiFi 会引发投诉。而在零售或医疗环境中，您可能会选择禁用它——未经身份验证的接入代表着合规与安全风险。请在您的网络运行手册中记录您的决定及理由。

多站点一致性

使用锐捷云（Ruijie Cloud）跨所有站点进行集中配置管理。同时推送 Portal 策略，以消除各站点之间的配置偏差——这是分布式资产中导致访客体验不一致的最常见原因。Purple 的云覆盖网络也基于相同的原理运行：一个控制面板，管理所有场所。

固件管理

某些锐捷 Captive Portal 功能（特别是带宽控制和动态 VLAN 分配）需要网关上运行特定的固件版本。锐捷的发布说明中记录了这些依赖关系。请确保您的 RG-EG 网关运行固件版本 RGOS11.9(6)B17T1 或以上，以在云管理部署中获得完整的 QoS 支持。

故障排除与风险缓解

Portal 页面加载失败

如果设备连接时未出现 Captive Portal，请先验证您的围墙花园（Walled Garden）设置。设备在进行身份验证之前，必须能够解析 DNS 并访问 Purple Portal URL。请检查您的锐捷白名单是否包含了所有必要的域名，以及您的 DNS 服务器是否可以从访客 VLAN 访问。

身份验证超时

如果用户能看到 Portal 但无法登录，问题通常出在 RADIUS 配置上。请验证 RADIUS 服务器的 IP 地址、端口（1812 用于身份验证，1813 用于计费）以及共享密钥。确保您的防火墙允许来自锐捷网关管理 IP 的这些端口的入站和出站 UDP 流量。

社交媒体登录卡死

如果用户点击社交媒体登录按钮后毫无反应，说明 OAuth 重定向被阻止了。请将所需的社交媒体提供商域名添加到您的锐捷白名单中。可以通过在身份验证前临时允许所有流量来进行测试，以确认 Portal 是否正常工作，然后逐步收紧白名单。

动态 VLAN 分配失败

如果您使用 RADIUS 动态地将用户分配到 VLAN，请确保 RADIUS 响应中包含正确的 VLAN 属性（Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID）。锐捷的 RG-EG310GH-E 及类似网关支持动态 VLAN 分配，但该功能需要在 RADIUS 服务器和网关上进行显式配置。

ROI 与业务影响

部署安全的 Captive Portal 可将访客 WiFi 从成本中心转变为战略资产。Purple 的 WiFi Analytics 平台与您的锐捷基础设施集成，可捕获第一方数据、构建高意向联系人列表，并对您整个场所内的访客行为提供切实可行的洞察。

哈罗德百货（Harrods）使用 Purple 的 Guest WiFi 推广其会员计划，实现了行业领先的选择加入率和 57 倍的 ROI（Purple 客户数据）。c2c 铁路公司（c2c Rail）使用 Purple 鼓励直接预订，实现了 121% 的投资回报率，并节省了 76,000 英镑的运营成本（Purple 客户数据）。必胜客（Pizza Express）在 470 多家餐厅部署了 Purple，以构建更丰富的客户画像。

对于 酒店餐饮 运营商，登录时捕获的数据（电子邮件、人口统计数据、访问频率）可以直接馈送到 CRM 系统和会员计划中。对于 零售 环境，重复访问分析可以识别出您最具价值的购物者。对于 交通 枢纽，旅客流量数据可以优化人员配置和商业空间规划。

Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme、Fortinet 以及锐捷集成，使其成为与硬件无关的云覆盖层，可与您现有的设备协同工作，而无需进行更换。

相关指南： Grandstream GWN 接入点与 Purple WiFi 集成