Skip to main content
简体中文

如何首次设置 Purple WiFi:技术概览

本技术参考指南为 IT 经理、网络架构师和 CTO 提供了 Purple WiFi 平台初始设置过程的全面概述。它涵盖了核心技术架构、硬件集成、门户配置以及在酒店、零售和体育场等企业环境中成功部署的最佳实践。通过遵循本指南,IT 团队可以自信地部署一个安全、符合 GDPR 的访客 WiFi 解决方案,同时提供无缝连接和可操作的商业智能。

📖 10 min read📝 2,360 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
如何首次设置 Purple WiFi:技术概览 Purple 平台与数据播客 [引言与背景 — 约 1 分钟] 欢迎回来。如果您正在听这个,您可能要么正在评估 Purple 作为您的访客 WiFi 平台,要么刚刚签了合同,想知道您的 IT 团队接下来的 48 小时会是什么样子。无论如何,您来对地方了。 我将带您详细了解让 Purple 上线所需的一切——从您注册账户的那一刻到您的第一位访客连接并且分析仪表板开始填充数据。我们将涵盖技术架构、硬件集成、门户配置以及您的法律团队希望看到得到解决的合规性考虑。 这不是推销。可以把它想像成一位解决方案架构师的简报,他已经为酒店、零售连锁店、会议中心和公共部门场馆进行了几十次这样的部署。我会告诉您什么可行,什么会让人绊倒,以及在您接触单个接入点之前绝对应该做什么。 让我们开始吧。 [技术深入剖析 — 约 5 分钟] 首先,让我们在技术层面上明确 Purple 实际上是什么,因为理解架构会使设置过程更加合理。 Purple 是一个云托管的访客 WiFi 智能平台。这里的关键词是云托管。与需要运行专用本地服务器的传统强制门户解决方案不同——一个 RADIUS 服务器、一个门户服务器,整个堆栈——Purple 在云端运行其身份验证和门户管理基础设施。您的接入点与 Purple 云平台通信,以处理身份验证、会话管理和数据收集。这意味着您的本地硬件占用最小。您本质上是在配置现有的接入点,将未认证流量重定向到 Purple 的强制门户端点,从那里开始,Purple 处理一切。 现在,让我们谈谈强制门户机制本身,因为很多 IT 团队对此存在误解。当访客连接到您的 WiFi SSID 时,其设备的操作系统——无论是 iOS、Android、Windows 还是 macOS——会自动向已知端点发送探测请求。在 iOS 上,该端点是 captive.apple.com。在 Android 上,是 connectivitycheck.gstatic.com。您的接入点拦截该请求,并将其重定向到 Purple 的闪屏页面。这就是 Captive Network Assistant(即 CNA),触发访客看到的熟悉登录弹出窗口。 这里的关键配置元素是围墙花园。在访客通过身份验证之前,他们的设备只能访问预先批准的 URL 列表。此列表必须包含 Purple 的门户域、您使用的任何社交登录提供商——Facebook、Google——以及身份验证流程完成所需的其他任何资源。如果您的围墙花园配置错误,访客将看到无法加载的门户,或者社交登录按钮没有反应。这是新部署中支持工单的第一大原因,因此请从一开始就正确设置围墙花园。 现在,让我们逐步了解实际的设置顺序。共有七个不同的阶段。 第一阶段是账户注册。您在 purple.ai 上填写注册表,在 24 小时内验证您的电子邮件——这是一个硬性截止时间,链接会过期——并设置您的门户密码。很简单,但不要跳过电子邮件验证步骤,然后想知道为什么您的账户不活跃。 第二阶段是场所配置。在 Purple 的术语中,场所是映射到物理位置的顶级实体。您将输入场所名称、地址和类型——酒店、零售、体育场,无论适用于什么。这很重要,因为 Purple 的分析引擎使用场所元数据来背景化其收集的数据。如果您是多站点运营商,您还将配置群组,这使您能够在单一层次结构下管理多个场所,并在整个物业中应用一致的策略。 第三阶段是闪屏页面设计。Purple 为您提供两种闪屏页面类型。离线闪屏页面是访客在连接后立即看到的,身份验证之前。这是您的强制门户——登录界面。在线闪屏页面是访客成功通过身份验证后看到的,本质上是一个确认他们已连接的着陆页。对于离线页面,您有两种编辑器选项:标准的拖放构建器,对于大多数部署来说完全足够,以及自定义 HTML 编辑器,适用于需要完美品牌对齐或复杂表单逻辑的团队。 第四阶段是访问旅程配置。Purple 中的访问旅程本质上是端到端的身份验证流程——它将您的闪屏页面与身份验证方法、条款和条件、任何数据捕获表单以及身份验证后重定向 URL 结合起来。您可以为不同的用户群体配置多个访问旅程。一家酒店可能为休闲客人设置一个旅程,为会议代表设置另一个旅程,为长期住客设置第三个旅程。每个旅程可以有不同的身份验证要求、数据捕获字段和会话持续时间策略。 第五阶段是硬件集成。从网络工程的角度来看,这变得有趣了。Purple 支持超过 50 家硬件供应商——思科、思科 Meraki、Aruba、Ruckus、Juniper Mist、Fortinet、Extreme Networks、Ubiquiti、TP-Link Omada、华为、Mikrotik 等等。集成方法因供应商而异,但总体模式是一致的:您在 Purple 门户中添加您的接入点或控制器,提供其 MAC 地址和硬件类型,然后 Purple 生成特定的占位符设置——RADIUS 服务器地址、共享密钥、强制门户 URL——然后您在您的硬件上配置这些设置。 例如,对于思科 Meraki,您将在 Meraki 仪表板中配置一个新的 SSID,将闪屏页面类型设置为“点击通过”或“使用 Purple 登录”,输入 Purple 提供的 RADIUS 服务器详细信息,并配置围墙花园条目。对于 Aruba Instant AP,该过程涉及配置一个带有外部强制门户设置的访客 SSID,指向 Purple 的门户 URL。每个供应商在 Purple 的支持门户中都有专用的设置指南,您也可以直接从 Purple 门户的管理 > 场所 > 硬件中访问完整指南。 第六阶段是测试和验证。在上线之前,将测试设备连接到您的访客 SSID 并验证完整的身份验证流程。检查强制门户在 iOS、Android 和 Windows 设备上是否正确显示——它们处理 CNA 的方式都不同。通过尝试在身份验证之前访问社交登录提供商,验证您的围墙花园是否配置正确。检查您的身份验证后重定向 URL 是否正常工作。并确认经过身份验证的会话是否正确出现在您的 Purple 分析仪表板中。 第七阶段是上线和监控。一旦您对测试结果满意,就在 Purple 门户中发布您的访问旅程。从这一刻起,每个连接的访客都将通过您配置的旅程,其会话数据将开始几乎实时地填充到您的分析仪表板中。 [实施建议与陷阱 — 约 2 分钟] 让我告诉您始终将顺利部署与痛苦部署区分开来的三件事。 第一:在接触 Purple 之前规划您的网络分割。您的访客 WiFi 应该位于专用的 VLAN 上,与您的企业或运营网络完全隔离。这不仅仅是最佳实践——如果您在同一网络基础设施上处理任何信用卡付款,这是 PCI DSS 下的合规性要求,并且根据 GDPR 的数据最小化原则,强烈建议这样做。如果您在酒店环境中部署,您的物业管理系统、销售点终端和后台系统应该与访客 WiFi 位于完全不同的网络分段上。在配置任何 Purple 设置之前,请在您的网络设计中正确处理这一点。 第二:不要低估围墙花园配置。我已经提到过这一点,但值得重复。您在 Purple 中启用的每个身份验证提供程序都需要在您的围墙花园中列入白名单。如果您使用 Facebook 社交登录,您需要将 Facebook 的 CDN 域列入白名单,而不仅仅是 facebook.com。Purple 的支持文档提供了每种身份验证方法的完整域列表,我强烈建议您逐字复制该列表,而不是尝试推断。 第三:主动应对 MAC 地址随机化问题。现代 iOS 和 Android 设备在连接到 WiFi 网络时默认随机化其 MAC 地址。这是一项隐私功能,但它影响了 Purple 跟踪回头客的方式。如果访客的设备每次访问时都出现不同的 MAC 地址,Purple 每次都会将其视为新用户,这会影响您的回头客分析,并可能导致无缝重连功能出现问题。Purple 有处理此问题的机制——包括 Purple App,它使用持久身份而不是 MAC 地址进行识别——但在您向营销团队承诺从第一天起就能获得准确的回头客率之前,您需要了解这一限制。 [快速问答 — 约 1 分钟] 让我快速回答一下我最常被问到的问题。 “我需要更换现有的接入点吗?” 几乎肯定不需要。Purple 作为覆盖层在您来自 50 多家供应商的现有硬件上工作。您正在配置现有基础设施以重定向到 Purple 云平台,而不是替换它。 “典型部署需要多长时间?” 对于具有现有兼容硬件的单一场所,大多数 IT 团队在两小时内完成 Purple 配置。现有基础设施上的网络分割和 VLAN 配置通常是流程中最长的部分。 “Purple 符合 GDPR 吗?” 是的。Purple 已通过 ISO 认证,并提供符合 GDPR 和 CCPA 的数据捕获机制,包括明确的同意收集和数据最小化控制。您的法律团队将希望审查数据处理协议,可根据请求提供。 “我可以通过一个账户管理多个场所吗?” 是的。Purple 的多场所管理允许您从单一门户管理整个物业,并采用基于角色的访问控制,因此不同的团队成员可以管理特定的场所或场所群组。 [总结与后续步骤 — 约 1 分钟] 总结一下:Purple WiFi 设置是一个七阶段的流程——注册、验证、配置场所、设计闪屏页面、设置访问旅程、集成硬件和上线。对于任何有能力的 IT 团队来说,技术复杂性都是可控的,而且 Purple 的云托管架构意味着您无需维护任何本地服务器基础设施。 在其他任何事情之前要正确处理的三件事:网络分割和 VLAN 隔离、围墙花园配置以及理解 MAC 地址随机化将如何影响您的分析。 如果您跨多个场所部署,我建议从一个试点场所开始,端到端验证整个访客旅程,然后将该配置用作更广泛推广的模板。 Purple 的支持门户 support.purple.ai 为每个支持的供应商提供了详细的硬件特定指南。如果您与解决方案合作伙伴合作,他们将有权访问 Purple 的企业部署合作伙伴资源。 感谢收听。如果您觉得这有用,Purple 平台上提供了包含架构图、工作示例和硬件兼容性参考的完整书面指南。祝您部署顺利。

header_image.png

执行摘要

在企业环境中部署新的访客 WiFi 解决方案需要清晰理解技术架构、实施步骤和潜在投资回报。本指南为首次设置 Purple WiFi 智能平台的 IT 专业人员提供技术概览。它详细介绍了七阶段云部署模型,该模型利用现有网络基础设施最大限度地减少本地硬件占用。该过程从账户注册开始,最终建成一个实时捕获数据的访客 WiFi 网络。所涵盖的关键考虑因素包括用于安全性的网络分割、用于访问控制的基于 RADIUS 的身份验证以及用于无缝用户体验的围墙花园配置。本指南还探讨了该平台的广泛硬件兼容性,支持思科、Aruba 和 Ruckus 等 50 多家领先供应商。通过遵循概述的步骤,组织可以期望部署一个安全、合规且可扩展的访客 WiFi 解决方案,不仅提供无缝连接,还能提供丰富的分析和商业智能,以推动运营效率并提升客户参与度。预期成果是一个强大的访客 WiFi 网络,满足现代企业严格的安全与合规性需求,同时实现有关访客行为的宝贵数据驱动洞见。

技术深入剖析

从本质上讲,Purple 是一个云托管平台,充当现有 WiFi 硬件的智能覆盖层。与需要专用服务器基础设施进行 RADIUS、门户托管和分析的传统本地解决方案不同,Purple 的架构将所有功能集中到云端。该模型显著降低了部署的复杂性和总拥有成本,因为无需专用现场服务器。主要技术组件包括 Purple 云平台(其中包含分析引擎、RADIUS 服务器和门户管理系统的载体)、场所的本地网络基础设施和最终用户的访客设备。

architecture_overview.png

身份验证流程从访客连接到指定 SSID 时开始。设备的 Captive Network Assistant (CNA) 自动尝试联系预定义的 URL——iOS 上是 captive.apple.com,Android 上是 connectivitycheck.gstatic.com——以确定网络是否提供无限制的互联网访问。本地网络控制器拦截此请求,并根据您配置的强制门户规则,将用户的浏览器重定向到 Purple 的云托管闪屏页面。这个 HTTP 302 重定向是启动访客身份验证旅程的基本机制。

在身份验证之前,用户处于“围墙花园”环境中——一种防火墙策略,限制他们只能访问一组特定的白名单域名。这个围墙花园必须包含 Purple 的门户域名、任何社交登录提供商(Facebook、Google)及其关联的内容分发网络(CDN)。此配置的精确性至关重要。不完整的围墙花园是部署失败的最常见原因,因为它会阻止门户加载或破坏社交登录的 OAuth 流程。

身份验证本身由 Purple 的基于云的 RADIUS(远程认证拨入用户服务)服务器处理,符合 IEEE 802.1X 标准。当用户通过强制门户提交其凭证时——无论是通过社交登录、表单填写、优惠券代码还是仅接受条款和条件——请求由 Purple 平台处理。云 RADIUS 服务器验证请求并向本地网络控制器发送“访问接受”消息,然后打开防火墙规则并授予设备完全的互联网访问权限。为每个经过身份验证的会话分配唯一的会话密钥,防止网络嗅探并保护传输中的用户数据。整个流程对最终用户透明,他们只会看到一个登录页面,片刻之后,设备就已连接。

对于需要更高安全级别的企业部署,Purple 还支持 SecurePass,它利用 WPA2-企业(IEEE 802.1X 和 EAP)进行基于证书或凭证的身份验证,无需强制门户。这在企业访客网络中尤其相关,其中 IT 策略要求比简单表单填写更强的身份验证。

实施指南

Purple WiFi 的实施遵循一个结构化的七步流程,旨在实现清晰和高效。无论您是配置单一场所还是跨多站点部署,有条不紊地遵循这些步骤可确保顺利且成功的部署。

setup_flow_infographic.png

第一步:账户注册和验证。 流程从 purple.ai 开始,您在此填写客户注册表。验证电子邮件会立即发送;此链接必须在 24 小时内操作,因为它会自动过期。验证后,第二封电子邮件提供“开始”链接以启动入门向导。在此阶段,您将创建一个安全的门户密码。如果组织的安全策略要求,建议使用密码管理器并配置多因素身份验证。

第二步:场所和群组配置。 Purple 门户内的第一项实质性任务是创建场所——映射到物理位置的逻辑实体。您将输入场所名称、地址和类别(酒店、零售、体育场、会议中心等)。此元数据不仅仅是行政性的;Purple 的分析引擎使用它来背景化访客数据,并支持跨场所的有意义比较。对于多站点运营商,群组提供了分层管理层,允许您在多个场所同时应用一致的策略、访问旅程模板和报告配置。例如,拥有 50 个门店的零售连锁店将创建一个群组,然后将每个门店添加为子场所,从而实现集中管理和精细的每门店分析。

第三步:闪屏页面设计。 Purple 提供两种不同的闪屏页面类型,在用户旅程中服务于不同的目的。离线闪屏页面 是强制门户本身——客人在连接到 SSID 后、尚未经过身份验证时首先看到的内容。此页面必须快速加载,清楚地展示您的品牌,并使身份验证操作显而易见。在线闪屏页面 在成功身份验证后显示,用作确认连接的着陆页,可用于传递促销信息、忠诚度计划信息或重定向到特定 URL,例如酒店的预订引擎或零售商的促销页面。Purple 的标准拖放编辑器对绝大多数部署来说已足够。自定义 HTML 编辑器适用于需要完美品牌对齐、高级表单逻辑或与第三方跟踪脚本集成的团队。

第四步:访问旅程配置。 访问旅程是编排层,它将闪屏页面、身份验证方法、数据捕获要求、条款和条件、会话策略和身份验证后重定向联结在一起。这是定义访客 WiFi 业务逻辑的地方。一个场所可以支持多个并发的访问旅程,为不同的用户群体提供差异化的体验。例如,会议中心可能会为一般公众访客配置一个旅程(点击通过,数据捕获最少),为活动代表配置另一个旅程(基于表单,全面数据捕获并同意营销沟通),为参展商配置第三个旅程(基于优惠券,带宽分配更高)。每个旅程独立发布,使 IT 团队和营销团队能够灵活地迭代用户体验,而不会中断实时部署。

第五步:硬件集成。 这是对网络工程师技术要求最高的阶段。Purple 支持超过 50 家硬件供应商,涵盖企业 WiFi 基础设施的全部范围。集成方法在各供应商间一致:您在 Purple 门户中注册您的接入点或无线局域网控制器(WLC),指定供应商、型号和 MAC 地址。然后 Purple 会生成一组特定于供应商的占位符设置——包括 RADIUS 服务器 IP 地址、共享密钥、强制门户 URL 和围墙花园域名列表——您将这些应用到您的硬件配置界面。

对于 思科 Meraki 部署,配置在 Meraki 仪表板中执行:创建新的访客 SSID,将闪屏页面类型设置为“使用 Purple 登录”,输入 RADIUS 服务器详细信息,并使用 Purple 提供的域名填充围墙花园。对于 Aruba Instant AP,该过程涉及在 IAP 集群上配置外部强制门户配置文件,指向 Purple 的门户 URL,并配置 RADIUS 服务器设置。对于 Ruckus SmartZone,配置在控制器级别执行,创建具有外部强制门户和 RADIUS 设置的 WLAN 配置文件。每个供应商在 Purple 支持门户中都有专用的分步指南,并且关键的是,可以直接从 Purple 门户的管理 > 场所 > 硬件中访问。

第六步:测试与验证。 在正式启用前,对完整的访客旅程进行全面测试是不可协商的。将测试设备连接到访客 SSID 并验证以下内容:强制门户在 iOS、Android 和 Windows 上正确且及时加载(每个操作系统处理 CNA 的方式不同,可能需要特定的围墙花园条目);每个配置的身份验证方法均成功完成;身份验证后重定向 URL 按预期运行;身份验证后的会话几乎实时地出现在 Purple 分析仪表板中。还建议在之前连接过的设备上测试旅程,以验证返回用户行为是否得到正确处理。

第七步:上线和持续监控。 测试完成后,在 Purple 门户中发布访问旅程。从此刻起,指定 SSID 上的所有访客流量均由 Purple 管理。欢迎仪表板提供对实时分析的即时访问,包括当前活跃会话、身份验证方法细分以及新访客与回头客比例。建立审查分析报告的常规节奏——Purple 的仪表板支持自定义报告,并可配置为向利益相关者交付计划报告。

portal_configuration_scene.png

最佳实践

网络分割是任何访客 WiFi 部署的基本安全要求。访客 SSID 必须放置在专用 VLAN 上,并采用严格的防火墙规则,阻止来自访客分段的任何流量到达企业、运营或 PCI 范围的网络。这不仅仅是最佳实践建议;对于在同一物理网络基础设施上处理信用卡支付的任何组织,它是 PCI DSS 4.0 的合规性要求,并且符合 GDPR 的数据最小化原则。在酒店环境中,这意味着物业管理系统 (PMS)、销售点终端和后台系统必须在完全独立的网络分段上。

对于多站点部署,强烈建议采用试点先行的方法。选择一个具有代表性的单一场所,完成整个部署和测试周期,并将生成的配置用作后续推广的验证模板。这种方法降低了风险,加速了更广泛的部署,并为故障排除提供了参考环境。

在配置身份验证方法时,考虑每种选项对数据质量的影响。社交登录提供丰富的人口统计数据,但受用户社交档案准确性的影响。基于表单的身份验证允许您捕获特定字段,但会引入摩擦,可能导致完成率降低。点击通过身份验证最大化连接率,但产生的数据最少。最佳选择取决于数据捕获目标与用户体验要求之间的平衡,并且这种平衡应在部署开始前由 IT 和营销利益相关者达成一致。

故障排除与风险缓解

常见问题 根本原因 缓解策略
iOS 上未出现强制门户 iOS 14+ 默认使用 MAC 随机化,CNA 探测可能被 DNS 或防火墙规则阻止。 验证访客 VLAN 上未阻止对 captive.apple.com 的 DNS 解析。确保强制门户重定向规则在网络控制器中正确应用。
社交登录按钮无响应 社交提供者所需的 CDN 和 API 域未包含在围墙花园中。 将 Purple 文档中所有与身份验证相关的域添加到围墙花园白名单。对于 Facebook,这包括 connect.facebook.netgraph.facebook.com 和关联的 CDN 域。
用户经常被要求重新认证 会话超时设置过短或 MAC 地址随机化导致网络将设备视为新设备。 在访问旅程设置中检查并延长会话超时。对于持久识别,鼓励用户使用 Purple App 或基于电子邮件的身份验证。
认证后连接速度慢 互联网带宽不足或访问旅程中对每设备的带宽限制过于严格。 进行带宽容量评估。调整访问旅程中的每设备带宽限制,以平衡用户体验与所有连接设备之间的公平使用。
分析仪表板未填充数据 RADIUS 计费数据包未到达 Purple 云平台,或硬件未配置为发送计费数据。 验证网络控制器上已启用 RADIUS 计费,并且计费服务器 IP 和端口与 Purple 提供的设置匹配。检查防火墙规则,确保控制器允许 UDP 端口 1813 的出站流量。

ROI 与业务影响

部署 Purple 的商业案例不仅限于提供互联网接入。该平台将访客 WiFi 网络转变为战略性数据资产。对于酒店运营商,关于访客人口统计、停留时间和回访频率的分析直接为收入管理和营销策略提供信息。了解哪些客群回流最频繁的酒店可以相应地调整忠诚度计划激励措施。能够衡量 WiFi 停留时间与交易价值之间关联的零售连锁店可以优化店铺布局和人员配置。

平台的集成能力进一步放大了这一价值。Purple 用于 Salesforce、HubSpot 和其他领先 CRM 平台的原生连接器,能够使用 WiFi 访问数据自动丰富客户记录,创建涵盖数字和物理交互的客户统一视图。这种数据集成是有效全渠道营销的基础。

从 IT 运营的角度来看,云架构带来了可量化的效率提升。一家大型全球快餐连锁店报告称,在部署 Purple 后,现场 IT 工程师出访需求减少了 90%,因为集中管理和远程诊断功能使 IT 团队能够在不亲临现场的情况下解决大多数网络问题。对于拥有数百个地点的连锁店而言,这代表着运营支出的显著减少。Purple 云基础设施提供的 99.99% 正常运行时间 SLA 进一步降低了服务中断风险以及相关的被动支持成本。

对于在图书馆、议会大楼或交通枢纽部署访客 WiFi 的公共部门组织,ROI 计算方式不同——体现在数字包容性、公民参与和满足公共接入义务方面。Purple 符合 GDPR 的数据捕获和内容过滤(Shield)功能使其成为这些环境的合适平台,在这些环境中,法规遵从性是重中之重。

Key Definitions

Captive Portal

用户在获准访问互联网之前必须查看并进行交互的网页。它拦截新连接设备的初始 Web 流量,并呈现身份验证或同意界面。

这是用于用户身份验证以及出示条款和条件的核心机制。IT 团队配置其网络硬件,将未经身份验证的用户重定向到托管在 Purple 云平台上的强制门户。

RADIUS (远程认证拨入用户服务)

一种客户端/服务器网络协议,为连接到网络服务的用户提供集中的认证、授权和计费 (AAA) 管理。定义于 RFC 2865。

Purple 使用基于云的 RADIUS 服务器对访客用户进行身份验证。您的接入点和控制器充当 RADIUS 客户端,将身份验证请求转发到 Purple 的云服务器,从而消除了对本地 RADIUS 服务器及其相关维护开销的需求。

Walled Garden

一种防火墙策略,在用户在强制门户网络上完成身份验证过程之前,将其网络访问限制为一组预先批准的域和 IP 地址。

这是一个关键的防火墙配置步骤。如果围墙花园没有包含强制门户及其身份验证提供程序运行所需的所有域,登录过程将失败。IT 团队必须使用 Purple 提供的域列表在其网络网关或防火墙上配置此设置。

SSID (服务集标识符)

无线局域网 (WLAN) 的公共名称,向附近的设备广播。它是出现在设备可用 WiFi 连接列表中的网络名称。

IT 团队为访客访问创建一个特定的 SSID(例如,“Hotel_Guest_WiFi”),并将其与强制门户重定向、VLAN 以及 Purple 服务的 RADIUS 配置相关联。此 SSID 应与任何公司或运营 SSID 分开。

VLAN (虚拟局域网)

在单个物理网络基础设施上创建逻辑上独立的网络分段的方法。不同 VLAN 上的设备除非通过防火墙或路由器明确路由,否则无法相互通信。

出于安全和合规性考虑,访客 WiFi SSID 必须放置在自己的专用 VLAN 中。这可将访客流量与敏感的公司或运营网络流量隔离开来。这是 PCI DSS 合规性的先决条件,并符合 GDPR 的数据最小化原则。

MAC 地址 (媒体访问控制地址)

分配给网络接口卡 (NIC) 的唯一硬件标识符。它是一个 48 位地址,通常显示为六组两个十六进制数字(例如,00:1A:2B:3C:4D:5E)。

Purple 使用 MAC 地址来识别唯一设备并跟踪回头客。然而,现代 iOS 和 Android 设备中的 MAC 地址随机化意味着此标识符在每次连接时都会发生变化,这可能会影响回头客分析的准确性。应将此限制告知营销利益相关者。

Access Journey

Purple 平台特定术语,指访客用户在连接到 WiFi 网络时体验的完整、可配置的端到端身份验证流程。它包含闪屏页面、身份验证方法、数据捕获表单、会话策略和身份验证后重定向。

这是 Purple 门户中的主要配置对象。IT 经理和营销团队协作定义访问旅程,以平衡安全要求、数据捕获目标和用户体验。多个旅程可以同时为不同的用户群体处于活跃状态。

IEEE 802.1X

IEEE 针对基于端口的网络访问控制 (PNAC) 的标准。它使用可扩展身份验证协议 (EAP) 框架,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

这是支撑 WPA2-企业 和 WPA3-企业 的企业级身份验证标准。Purple 基于 RADIUS 的身份验证符合此标准。对于需要最高安全级别的部署,Purple 的 SecurePass 功能利用 802.1X 进行基于证书或凭据的身份验证,无需强制门户。

Worked Examples

一家拥有 250 间客房的豪华酒店需要更换其传统的访客 WiFi 系统。他们拥有现有的思科 WLC (AireOS) 基础设施,并需要一个提供分级接入的解决方案:为所有客人提供免费标准接入,为会议参与者和 VIP 提供高级、高速选项。他们还需要确保所有捕获的数据完全符合 GDPR。

酒店将在其现有的思科 WLC 基础设施上部署 Purple 作为覆盖层,避免在新硬件上进行任何资本支出。将在 Purple 门户中配置两个独立的访问旅程。“标准客人”旅程将使用基于表单的身份验证,捕获客人的姓名和电子邮件地址,并带有清晰措辞的同意复选框以符合 GDPR(服务条款和营销沟通分别同意)。此旅程每设备带宽限制为 5 Mbps,会话持续时间为 24 小时。“高级接入”旅程将配置为基于优惠券的身份验证。酒店的活动协调团队将从 Purple 门户生成一批批唯一的、有时间限制的优惠券,并分发给会议组织者。此旅程将提供更高的带宽限制(每设备 25 Mbps)和 72 小时会话持续时间。两个旅程都将链接到同一个访客 SSID,强制门户将向客人提供免费层和高级优惠券输入字段的明确选择。所有捕获的数据将通过 Purple 的集成连接器自动同步到酒店的 CRM。

Examiner's Commentary: 此解决方案有效利用 Purple 灵活的访问旅程功能来提供分级接入,无需单独的 SSID,从而简化了用户体验并降低了射频管理的复杂性。对高级层采用基于优惠券的身份验证是正确的做法,因为它提供了一种安全且易于管理的方式,无需单独的用户帐户即可控制访问。标准旅程上明确、细粒度的同意捕获直接解决了 GDPR 对合法数据处理的核心要求,确保酒店可以将捕获的数据用于营销目的。

一家在英国拥有 50 家门店的零售连锁店希望了解客户忠诚度和店内行为。其门店混合使用思科 Meraki 和 Aruba IAP 硬件。营销团队希望将 WiFi 分析与其 Salesforce CRM 集成,以实现有针对性的再参与营销。

该零售连锁店将使用 Purple 的多场所管理功能为其整个物业创建一个“群组”,其中 50 家门店分别配置为单独的子“场所”。这既实现了集中管理,又实现了逐店分析。将配置一个单一的标准化访问旅程模板,并将其应用到所有场所,使用社交登录(Facebook 或 Google)作为主要身份验证方法,以最少摩擦收集丰富的人口统计数据。硬件集成将分两批进行:Meraki 门店将通过 Meraki 仪表板使用 Purple 的 SSID 和 RADIUS 设置进行配置,而 Aruba IAP 门店将通过 Aruba Central 或 Instant AP 控制器进行配置。关键的集成步骤是激活 Purple Salesforce 连接器。在 Purple 门户中,WiFi 身份验证期间捕获的数据字段(姓名、电子邮件、年龄、性别、访问频率)将映射到 Salesforce 中 Contact 对象上的相应字段。这将为每个进行身份验证的用户自动在 Salesforce 中创建或更新联系记录,用物理访问数据丰富 CRM,这些数据可用于触发自动再参与营销。

Examiner's Commentary: 此解决方案突显了 Purple 在多站点管理和数据集成方面的优势。通过在所有 50 个场所标准化访问旅程,该连锁店确保了统一的品牌体验和可比较的数据捕获。使用社交登录最大限度地提高了身份验证完成率,同时提供了高质量的人口统计数据。Salesforce 连接器集成是商业上最重要的元素,因为它将访客 WiFi 从简单的便利设施转变为营销自动化的强大工具,直接满足了核心业务需求,并带来了清晰、可衡量的 ROI。

Practice Questions

Q1. 您正在一个拥有 20,000 个容量且需要高密度 WiFi 的体育场部署 Purple。在活动高峰时段,您预计有超过 12,000 个并发的已认证用户。关于底层网络基础设施,您的主要技术考虑因素是什么?Purple 的架构如何缓解或加剧这一挑战?

Hint: 考虑身份验证流量和随后的互联网流量的路径,以及瓶颈最可能发生的位置。

View model answer

主要考虑因素是本地无线局域网控制器 (WLC) 和互联网网关的容量和性能。虽然 Purple 的身份验证是基于云的,但所有访客流量——包括初始强制门户重定向、RADIUS 计费数据包和随后的互联网流量——都必须通过场馆自身的网络硬件。WLC 必须能够处理高峰连接事件期间的大量 RADIUS 身份验证和计费数据包(例如,当闸门开启时,数千台设备同时连接)。互联网网关必须具有足够的带宽和处理能力来管理 12,000 多个并发会话。Purple 的云架构通过在云端处理门户和 RADIUS 处理来缓解服务器端负载,但本地硬件仍然是关键瓶颈。推荐的方法是确保 WLC 尺寸合适,互联网上行链路有足够的余量,并且在访问旅程中配置每设备带宽限制,以防止任何单个用户占用不成比例的容量份额。

Q2. 您的营销团队希望在强制门户闪屏页面上使用一个高度风格化、图形密集的视频来推广新产品发布。与此请求相关的主要技术风险是什么?您将如何建议他们在不损害用户体验的情况下实现其营销目标?

Hint: 考虑在闪屏页面显示的确切时刻用户的网络状态和可用带宽。

View model answer

主要风险是糟糕的用户体验和高放弃率。在身份验证之前,用户位于带宽有限的受限网络上——他们处于围墙花园中,且只能访问门户白名单中的域。大型视频文件加载缓慢或完全无法加载,导致用户沮丧,大量访客放弃连接尝试。我会建议营销团队在离线闪屏页面(强制门户)上使用轻量级、优化过的静态图像,以确保快速加载时间和高身份验证完成率。视频在在线闪屏页面上会更有效,该页面在用户成功身份验证后显示,此时用户拥有完全的高速互联网访问权限。这种方法在不损害关键的首次印象用户体验的情况下实现了营销目标。

Q3. 一家公共部门客户希望在城市图书馆提供免费 WiFi。他们担心自己在非法内容方面的法律义务,以及保护包括儿童在内的弱势用户。您会重点介绍哪个 Purple 功能来解决这一问题?您会建议采取哪些额外步骤,以确保客户拥有可辩护的合规立场?

Hint: 考虑可用的技术控制措施以及必须围绕它们构建的政策和法律框架。

View model answer

我会重点介绍 Purple 的 Shield 内容过滤功能,该功能允许组织在网络层面阻止对特定类别网站的访问——包括成人内容、赌博、极端主义材料和恶意软件站点。这提供了一个有意义的技术控制。但是,我会强烈建议客户,仅靠技术过滤不足以形成可辩护的合规立场。额外步骤应包括:发布明确的《可接受使用政策》(AUP),要求用户在连接前必须接受;配置访问旅程,要求明确接受 AUP;根据数据保留政策,在合法适当的期限内保留会话日志;并根据 GDPR 第 35 条进行数据保护影响评估 (DPIA),因为存在处理儿童数据的可能性。还应告知客户,没有任何内容过滤系统是 100% 有效的,而 AUP 的接受创建了用户同意使用条款的明确记录。