跳至主要内容
简体中文

华为 AirEngine 和 CloudCampus 与 Purple WiFi 集成

本指南提供了将华为 AirEngine 接入点和 iMaster NCE-Campus 与 Purple WiFi 集成的逐步说明。它涵盖了企业网络的 Captive Portal 配置、802.1X 员工身份验证以及 PPSK 动态 VLAN 引导。

📖 6 分钟阅读📝 1,408 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎收看 Purple 技术系列。我是您的主持人,今天我们将深入探讨我们在实际应用中遇到的一个较为复杂的企业 WiFi 集成案例——华为 AirEngine 接入点和 CloudCampus iMaster NCE-Campus 控制器,与 Purple 集成以实现访客 WiFi、员工身份验证和多租户网络细分。 如果您是管理华为设备的网络架构师或 IT 经理——无论是酒店集团、零售连锁、会议中心还是公共部门园区——本期内容都非常适合您。我们将涵盖全栈内容:Captive Portal 重定向、身份验证前 ACL、使用 802.1X 的安全员工 WiFi,以及华为用于跨多租户动态 VLAN 引导的私有预共享密钥(PPSK)功能。 让我们开始吧。 第一部分:背景与架构。 华为的 AirEngine 产品组合(涵盖 5700、6700、8700 和 9700 系列)运行在 WiFi 6 和 WiFi 6E 上,其中高端的 9700 系列支持 WiFi 7。这些都是非常出色的企业级接入点。管理层是 iMaster NCE-Campus,这是华为基于云的网络控制器,负责处理从 SSID 调配和 RADIUS 中继到策略执行和系统日志转发的所有事务。 Purple 作为云端覆盖层位于其上。我们在全球 80,000 多个活跃场所运营,仅在 2024 年就处理了 4.4 亿次登录。我们与硬件无关——这意味着我们使用每个企业控制器都支持的相同 RADIUS 和 Captive Portal 标准,与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist,当然还有华为 AirEngine 进行集成。 这里的集成模式非常直接。iMaster NCE-Campus 作为 RADIUS 中继,将来自接入点的身份验证请求转发到 Purple 的 RADIUS 服务器。Purple 处理身份验证逻辑——无论是访客认证页面、802.1X 凭据检查还是 PPSK 查询——并返回相应的 RADIUS 响应,包括任何动态 VLAN 分配属性。 第二部分:访客 WiFi 和 Captive Portal 配置。 让我们从最常见的部署开始:带有 Purple Captive Portal 的访客 WiFi。 在 iMaster NCE-Campus 中,您导航到“设计”,然后是“网络设计”,接着是“模板管理”。您创建一个 RADIUS 中继服务器模板。关键参数包括:将身份验证服务设置为 Portal 身份验证,添加 Purple 的 RADIUS 服务器 IP 地址(使用 UDP 端口 1812 进行身份验证,1813 进行计费),将 NAS 标识符设置为设备 MAC,并配置共享密钥。Purple 会在 Purple 控制面板的场所配置屏幕中提供 these RADIUS 凭据。 接下来,您创建一个 ACL——这就是您的 Walled Garden。在宾客通过身份验证之前,他们需要访问 Purple 的认证页面和任何支持的域名。您的 ACL 规则应允许 UDP 53 上的 DNS,允许流向 Purple 门户域名的 HTTPS,并允许您启用的任何社交登录提供商——例如,如果您使用的是社交媒体单点登录,则允许 Facebook 的 Graph API 端点。在身份验证之前,其他所有内容都将被拒绝。 然后配置 SSID。将网络类型设置为 Open,选择 Open 加上 Portal 身份验证,将身份验证类型设置为云平台中继身份验证,并选择 RADIUS 中继作为互联模式。将页面推送协议设置为 HTTPS。在第三方 Portal 身份验证参数中,粘贴 Purple 重定向 URL——这是您从 Purple 场所控制面板复制的认证页面 URL,其后缀已修改为包含华为特定的参数:ap-mac、uaddress、umac、ssid 和 redirect-url。 最后,在 iMaster NCE-Campus 中创建一个 URL 模板,将这些参数名称映射到华为在重定向中传递的值。参数映射为:redirect-url 映射到 redirect-url,loginurl 映射到 login-url,device-mac 映射到 ap-mac,user-ip 映射到 uaddress,user-mac 映射到 umac,以及 ssid 映射到 ssid。 配置完成后,宾客连接到 SSID,获取 DHCP 地址,其 HTTP 流量将被控制器拦截并重定向到 Purple 认证页面。他们通过电子邮件、社交登录或短信验证进行身份验证,Purple 的 RADIUS 服务器将 Access-Accept 发送回 iMaster NCE-Campus,从而授予宾客完全的互联网访问权限。 从数据角度来看,Purple 在此时捕获第一方同意数据。每次登录都是符合 GDPR 和 CCPA 的“明智选择”选择性加入。这些数据会输入 Purple 的分析平台,为您提供会话时长、设备类型、回头客率和停留时间——所有这些都无需任何第三方跟踪。 第三部分:使用 802.1X 的安全员工 WiFi。 现在让我们谈谈员工 WiFi。这完全是另一种安全态势。您不希望员工与宾客处于同一网络网段,也不希望使用在有人离职时就会泄露的共享 PSK 密码。 答案是使用 IEEE 802.1X-2020 中定义的 802.1X 身份验证,采用 EAP-TLS 或 EAP-PEAP。在 iMaster NCE-Campus 中,您为员工创建一个单独的 SSID——我们称之为 CorpNet。在此 SSID 的身份验证配置文件中,您将身份验证模式设置为 802.1X,将其指向 Purple 的 RADIUS 服务器,并将安全配置文件设置为具有 AES-CCMP 加密的 WPA2-Enterprise 或 WPA3-Enterprise。 Purple 在这里也充当 RADIUS 服务器,但现在它会针对您的身份提供商验证凭据。Purple 与 Microsoft Entra ID、Okta 和 Google Workspace 原生集成。当员工连接到 CorpNet 时,其设备会将 EAP 凭据发送到接入点,接入点通过 RADIUS 将其转发给 Purple,Purple 使用 SCIM 或 SAML 针对 Entra ID 验证这些凭据。如果凭据有效,Purple 将返回一个 Access-Accept,其中包含指定员工 VLAN(例如 VLAN 20)的 RADIUS 属性。iMaster NCE-Campus 会自动将客户端引导至该 VLAN。 用于动态 VLAN 分配的关键 RADIUS 属性是:Tunnel-Type 设置为 VLAN 或值 13,Tunnel-Medium-Type 设置为 802 或值 6,以及 Tunnel-Private-Group-ID 设置为 VLAN ID。这三个属性共同告诉华为控制器确切地将已验证的客户端分配到哪个 VLAN。 特别是对于 EAP-TLS——这是员工身份验证的金标准——您需要客户端证书。Purple 的 SecurePass 插件负责处理证书颁发和生命周期管理,与您现有的 PKI 集成或充当轻量级证书颁发机构。这完全消除了基于密码的攻击。没有密码,就没有网络钓鱼途径。 第四部分:使用华为 PPSK 的多租户细分。 这就是真正有趣的地方。如果您运营的是一个混合用途场所——一个拥有多个零售租户的购物中心、一个拥有多个会员公司的联合办公空间,或者一个举办并发活动的会议中心——您需要实现租户之间的网络隔离,而无需为每个租户部署单独的 SSID。 华为的 PPSK 功能(私有预共享密钥)解决了这个问题。在其他厂商的生态系统中,它有时被称为 iPSK。其概念是:一个 SSID,多个唯一的密码,每个密码映射到特定的 VLAN。租户 A 获得密码 Alpha,映射到 VLAN 30。租户 B 获得密码 Beta,映射到 VLAN 40。两个租户看到相同的 SSID,但他们在二层完全隔离。 在华为 CLI 中,您可以在 WLAN 视图中使用 ppsk-user command 进行配置。对于每个租户,运行:ppsk-user psk pass-phrase,后跟唯一的密码,然后是 user-name(租户标识符),然后是 vlan(VLAN ID),接着是 ssid(SSID 名称)。如果需要更严格的控制,您还可以设置到期日期、最大设备数量并绑定到特定的 MAC 地址。 在 iMaster NCE-Campus 中,PPSK 查询可以在控制器本地处理,或者(对于大规模部署)通过 RADIUS 处理。当使用基于 RADIUS 的 PPSK 时,Purple 成为 PPSK 到 VLAN 映射的权威源。租户的设备使用其唯一的密码进行连接,控制器向 Purple 发送一个以该密码作为凭据的 RADIUS Access-Request,Purple 查找映射,并返回带有三个 VLAN 隧道属性的 Access-Accept。控制器将客户端引导至正确的 VLAN。 这种架构可在单个 SSID 上扩展到数百个租户。这也意味着您可以从 Purple 控制面板调配、轮换和撤销租户凭据,而无需更改控制器配置。 第五部分:实施陷阱及如何避免。 让我为您介绍在华为和 Purple 部署中最常遇到的三种故障模式。 第一:Walled Garden 不完整。宾客连接到 SSID,被重定向到认证页面,但页面无法加载,因为所需的域名(通常是 CDN 端点或社交登录 API)被身份验证前 ACL 阻止。解决方法是在上线前使用新设备测试认证页面流程,捕获其进行的 DNS 查询和 HTTPS 连接,并将每个所需的域名添加到 ACL 中。Purple 在集成文档中发布了所需域名的列表。 第二:RADIUS 共享密钥不匹配。iMaster NCE-Campus 中配置的密钥必须与 Purple 控制面板中的密钥完全一致。单个字符的差异就会导致静默身份验证失败——控制器日志显示 Access-Reject,且没有有用的错误消息。请务必复制粘贴密钥,切勿手动输入。 第三:VLAN Trunk 配置错误。只有当 VLAN 已在接入点和汇聚交换机之间的上行链路上配置为 Trunk 时,通过 RADIUS 进行的动态 VLAN 分配才能工作。如果交换机接口上的 Trunk 允许通过(allow-pass)列表中没有 VLAN 20,则已验证的员工客户端将遇到 DHCP 超时,且看起来身份验证失败。在测试 RADIUS 分配的 VLAN 之前,请审核您的 Trunk 配置。 第六部分:快速问答。 问题:我可以在华为的本地部署 iMaster NCE-Campus(而非云版本)中使用 Purple 的内置 RADIUS 吗? 是的。Purple 的 RADIUS 服务器托管在云端,可通过互联网访问。您的本地部署 iMaster NCE-Campus 控制器需要允许向外发送 UDP 1812 和 1813 流量到 Purple 的 RADIUS IP 范围。Purple 在控制面板的场所设置下发布了这些 IP 范围。 问题:华为 PPSK 是否支持 WPA3-SAE? 自 AirEngine 固件版本 V600R025 起,6700 和 9700 系列支持 WPA3-SAE-PPSK。在 PPSK SSID 上启用 WPA3 之前,请检查您的固件版本。 问题:对于华为硬件上的访客 WiFi,Purple 如何处理 GDPR 同意? Purple 的认证页面在身份验证时收集同意。同意记录(包括时间戳、IP 地址和接受的具体条款)存储在 Purple 的平台中,并可导出用于合规性审计。无论底层硬件厂商是谁,这都适用。 第七部分:总结与后续步骤。 简要回顾:华为 AirEngine 和 iMaster NCE-Campus 通过 RADIUS 中继与 Purple 集成,用于访客 Captive Portal、员工 WiFi 的 802.1X 以及多租户 VLAN 细分的 PPSK。配置位于 iMaster NCE-Campus 的“设计” > “网络设计” > “模板管理”(用于 RADIUS 和 ACL 设置),以及“部署” > “设备配置” > “站点配置”(用于 SSID 和身份验证配置文件绑定)。 您的后续步骤:从您的场所控制面板中获取 Purple RADIUS 凭据,在 iMaster NCE-Campus 中配置 RADIUS 中继服务器模板,构建您的 Walled Garden ACL,创建具有 Open 加上 Portal 身份验证的访客 SSID,并在正式部署前使用新设备进行端到端测试。 如果您正在部署用于多租户隔离的 PPSK,请先规划您的 VLAN 方案——在配置单个 PPSK 用户之前,确保每个租户 VLAN 都已端到端配置为 Trunk。 如需完整的逐步配置指南(包括 CLI 示例和架构图),请阅读 Purple 网站上的完整书面指南。感谢您的收听。

header_image.png

कार्यकारी सारांश

एंटरप्राइझ नेटवर्किंगला बुद्धिमान ओळख व्यवस्थापनासह (identity management) विश्वसनीय हार्डवेअरची आवश्यकता असते. Huawei AirEngine ॲक्सेस पॉइंट्स आणि iMaster NCE-Campus कंट्रोलर हाय-डेन्सिटी कनेक्टिव्हिटी प्रदान करतात, तर Purple प्रमाणीकरण, ॲनालिटिक्स आणि पॉलिसी अंमलबजावणीसाठी क्लाउड ओव्हरले प्रदान करते. हे मार्गदर्शक एकाच Huawei कंट्रोलरचा वापर करून Guest WiFi , सुरक्षित कर्मचारी WiFi आणि मल्टी-टिनंट WiFi तैनात करण्यासाठी आवश्यक असलेल्या एकत्रीकरण आर्किटेक्चरचा तपशील देते।

Huawei CloudCampus ला Purple सोबत एकत्रित करून, तुम्ही भिन्न प्रमाणीकरण सायलोच्या जागी एक युनिफाइड ओळख-आधारित नेटवर्क (Identity-Based Network) आणता. आम्ही ८०,०००+ थेट ठिकाणांवर कार्यरत आहोत आणि २०२४ मध्ये ४४० दशलक्ष लॉगिन प्रक्रियेत आणले आहेत. आमचे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) प्लॅटफॉर्म मानक RADIUS आणि Captive Portal प्रोटोकॉलद्वारे Huawei सोबत मूळ स्वरूपात एकत्रित होते. हे एकत्रीकरण अभ्यागतांसाठी जाणीवपूर्वक निवडलेले ऑप्ट-इन्स, कर्मचाऱ्यांसाठी 802.1X प्रमाणपत्र पडताळणी आणि भाडेकरूंसाठी Private Pre-Shared Keys (PPSK) द्वारे डायनॅमिक VLAN स्टिअरिंग सक्षम करते।

तुम्ही स्टेडियम, युनिव्हर्सिटी कॅम्पस किंवा रिटेल साखळी व्यवस्थापित करत असाल तरीही, हा दस्तऐवज तुमची वायरलेस एज सुरक्षित करण्यासाठी आणि मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा मिळवण्यासाठी आवश्यक असणारे अचूक कॉन्फिगरेशन टप्पे, RADIUS ॲट्रिब्युट्स आणि ॲक्सेस कंट्रोल लिस्ट प्रदान करतो।

तांत्रिक माहिती देणारा पॉडकास्ट ऐका:

तांत्रिक सखोल विश्लेषण

हे एकत्रीकरण मानक प्रोटोकॉलवर अवलंबून आहे: प्रमाणीकरण आणि अकाउंटिंगसाठी RADIUS (UDP १८१२/१८१३), आणि Captive Portal रिडायरेक्शनसाठी HTTPS (TCP ४४३). iMaster NCE-Campus नेटवर्क ॲक्सेस सर्व्हर (NAS) आणि RADIUS रिले म्हणून काम करते, जे AirEngine ॲक्सेस पॉइंट्स कडून येणाऱ्या विनंत्या Purple च्या क्लाउड RADIUS इन्फ्रास्ट्रक्चरकडे फॉरवर्ड करते।

आर्किटेक्चर विहंगावलोकन

architecture_overview.png

Purple Huawei हार्डवेअरवर तीन प्राथमिक प्रमाणीकरण मॉडेल्सना सपोर्ट करते:

  1. Guest WiFi (Captive Portal): अप्रमाणीकृत ट्रॅफिक Huawei कंट्रोलरद्वारे अडवले जाते आणि Purple च्या स्प्लॅश पेजवर रिडायरेक्ट केले जाते. पूर्व-प्रमाणीकरण प्रवेश Walled Garden ACL द्वारे मर्यादित केला जातो. यशस्वी लॉगिननंतर, Purple एक RADIUS Access-Accept पाठवते, ज्यामुळे क्लायंटला पूर्ण नेटवर्क प्रवेश मिळतो.
  2. Staff WiFi (802.1X): कर्मचारी EAP-PEAP किंवा EAP-TLS द्वारे कॉर्पोरेट क्रेडेंशियल्स वापरून प्रमाणीकृत होतात. Purple या क्रेडेंशियल्सची Microsoft Entra ID, Okta किंवा Google Workspace सारख्या ओळख प्रदात्यांविरुद्ध पडताळणी करते.
  3. Multi-Tenant WiFi (PPSK): भाडेकरू युनिक पासफ्रेज वापरून एकाच सामायिक SSID शी कनेक्ट होतात. Purple पासफ्रेज प्रमाणित करते आणि भाडेकरूला त्यांच्या स्वतंत्र VLAN मध्ये डायनॅमिकरित्या निर्देशित करण्यासाठी विशिष्ट RADIUS ॲट्रिब्युट्स परत पाठवते.

Walled Garden आणि पूर्व-प्रमाणीकरण ACLs

Captive Portal ला Walled Garden आवश्यक असते - एक ॲक्सेस कंट्रोल लिस्ट (ACL) जी वापरकर्त्याचे प्रमाणीकरण होण्यापूर्वी आवश्यक सेवांवरील ट्रॅफिकला परवानगी देते. जर Walled Garden अपूर्ण असेल, तर स्प्लॅश पेज लोड होणार नाही, ज्यामुळे अभ्यागतांना खराब अनुभव येईल।

Huawei iMaster NCE-Campus साठी, पूर्व-प्रमाणीकरण ACL ने खालील गोष्टींना परवानगी दिली पाहिजे:

  • DNS रिझोल्यूशन (UDP 53)
  • Purple चे Captive Portal डोमेन्स (*.purpleportal.net, *.purple.ai)
  • स्प्लॅश पेजचे घटक होस्ट करणारे कंटेंट डिलिव्हरी नेटवर्क्स (CDNs)
  • सोशल लॉगिन (Apple, Google, Facebook) सक्षम असल्यास ओळख प्रदाता डोमेन्स

जोपर्यंत Purple RADIUS Access-Accept परत करत नाही तोपर्यंत इतर सर्व ट्रॅफिक नाकारले पाहिजे।

डायनॅमिक VLAN स्टिअरिंग आणि RADIUS ॲट्रिब्युट्स

नेटवर्क ट्रॅफिक वेगळे करण्यासाठी, Purple डायनॅमिक VLAN असाइनमेंट वापरते. एकाधिक SSIDs ब्रॉडकास्ट करण्याऐवजी, तुम्ही एकच SSID ब्रॉडकास्ट करता आणि वापरकर्त्याच्या ओळखीच्या आधारे डायनॅमिकरित्या VLAN नियुक्त करता।

जेव्हा Purple वापरकर्त्याचे प्रमाणीकरण करते (802.1X किंवा PPSK द्वारे), ते तीन अनिवार्य IETF मानक RADIUS ॲट्रिब्युट्स असलेले Access-Accept पॅकेट परत पाठवते:

  • Tunnel-Type = VLAN (किंवा 13)
  • Tunnel-Medium-Type = 802 (किंवा 6)
  • Tunnel-Private-Group-ID = [VLAN ID]

Huawei कंट्रोलर हे ॲट्रिब्युट्स प्राप्त करतो आणि AirEngine ॲक्सेस पॉइंटला क्लायंटच्या ट्रॅफिकला निर्दिष्ट VLAN ID सह टॅग करण्याचे निर्देश देतो।

ppsk_vlan_segmentation.png

अंमलबजावणी मार्गदर्शक

हा विभाग Purple एकत्रीकरणासाठी iMaster NCE-Campus कॉन्फिगर करण्याचे अचूक टप्पे कव्हर करतो।

टप्पा १: RADIUS रिले सर्व्हर कॉन्फिगर करा

प्रथम, Purple ला बाह्य प्रमाणीकरण सर्व्हर म्हणून परिभाषित करा.

  1. iMaster NCE-Campus मध्ये, Design > Network Design > Template Management वर जा.
  2. RADIUS Server निवडा आणि Create वर क्लिक करा.
  3. Authentication service ला Portal authentication वर सेट करा.
  4. Purple चे प्राथमिक आणि दुय्यम RADIUS IP पत्ते प्रविष्ट करा (तुमच्या Purple डॅशबोर्डमध्ये उपलब्ध आहेत).
  5. प्रमाणीकरण पोर्ट १८१२ आणि अकाउंटिंग पोर्ट १८१३ वर सेट करा.
  6. Purple द्वारे प्रदान केलेले RADIUS Shared Secret प्रविष्ट करा.
  7. NAS identifier ला Device MAC वर सेट करा.

टप्पा २: Walled Garden ACL तयार करा

पूर्व-प्रमाणीकरण ट्रॅफिकला परवानगी देण्यासाठी ACL तयार करा.

  1. Design > Network Design > Template Management > ACL वर जा.
  2. Purple_Walled_Garden नावाचा नवीन ACL तयार करा.
  3. ACL Type ला User वर सेट करा.
  4. DNS आणि Purple च्या आवश्यक डोमेन्ससाठी (उदा. *.purpleportal.net) परवानगीचे (permit) नियम जोडा.
  5. ACL टेम्पलेट सेव्ह करा.

टप्पा ३: Captive Portal URL टेम्पलेट कॉन्फिगर करा

मानक रिडायरेक्ट पॅरामीटर्सना Purple च्या आवश्यक फॉरमॅटमध्ये मॅप करण्यासाठी Huawei ला URL टेम्पलेटची आवश्यकता असते.

  1. Design > Network Design > Template Management > URL Template वर जा.
  2. Purple_URL_Template.
  3. Template Type ला Cloud platform-based relay authentication वर सेट करा.
  4. पॅरामीटर मॅपिंग तंतोतंत खालीलप्रमाणे कॉन्फिगर करा:
    • redirect-url हे redirect-url शी मॅप होते
    • loginurl हे login-url शी मॅप होते
    • device-mac हे ap-mac शी मॅप होते
    • user-ip हे uaddress शी मॅप होते
    • user-mac हे umac शी मॅप होते
    • ssid हे ssid शी मॅप होते

पायरी 4: Guest SSID प्रोव्हिजन करा

RADIUS सर्व्हर, ACL आणि URL टेम्पलेट SSID शी बाइंड करा.

  1. Provision > Device Configuration > Site Configuration वर जा.
  2. AP निवडा आणि नवीन SSID तयार करा.
  3. Network Type ला Open वर सेट करा.
  4. Open+Portal authentication निवडा.
  5. ऑथेंटिकेशन प्रकार Relay authentication by cloud platform वर सेट करा.
  6. इंटरकनेक्शन मोड RADIUS relay वर सेट करा.
  7. आधी तयार केलेले Purple_URL_Template निवडा.
  8. थर्ड-पार्टी ऑथेंटिकेशन URL फील्डमध्ये, तुमची युनिक Purple स्प्लॅश पेज URL पेस्ट करा.
  9. Purple RADIUS सर्व्हर टेम्पलेट निवडा.
  10. डीफॉल्ट परमिट नियमासाठी Purple_Walled_Garden ACL निवडा.
  11. कॉन्फिगरेशन सेव्ह करा आणि AirEngine ॲक्सेस पॉइंट्सवर डिप्लॉय करा.

सर्वोत्तम पद्धती

सुरक्षित आणि विश्वासार्ह डिप्लॉयमेंट सुनिश्चित करण्यासाठी, या विक्रेता-तटस्थ सर्वोत्तम पद्धतींचे अनुसरण करा:

  • कर्मचाऱ्यांसाठी 802.1X लागू करा: स्टाफ नेटवर्कसाठी कधीही शेअर केलेले PSK वापरू नका. क्लायंट सर्टिफिकेट जारी करण्यासाठी Purple च्या SecurePass ॲड-ऑनचा वापर करून EAP-TLS सह 802.1X डिप्लॉय करा. यामुळे पासवर्ड-आधारित फिशिंगचे धोके दूर होतात आणि ISO 27001 आवश्यकतांशी सुसंगतता राखली जाते.
  • SSIDs एकत्रित करा: खूप जास्त SSIDs ब्रॉडकास्ट केल्याने मॅनेजमेंट फ्रेम ओव्हरहेडमुळे एअरटाइम कार्यक्षमता कमी होते. मल्टि-टेनंट नेटवर्क एकाच SSID मध्ये एकत्रित करण्यासाठी PPSK आणि डायनॅमिक VLAN स्टिअरिंग वापरा.
  • ट्रंक कॉन्फिगरेशन सत्यापित करा: ॲक्सेस पॉइंट जोडणाऱ्या स्विच ट्रंक पोर्टवर नियुक्त केलेल्या VLAN ला परवानगी नसल्यास डायनॅमिक VLAN असाइनमेंट कोणत्याही एररशिवाय अयशस्वी होते. RADIUS स्टिअरिंगची चाचणी घेण्यापूर्वी नेहमी स्विचपोर्ट कॉन्फिगरेशनचे ऑडिट करा.
  • RADIUS लेटन्सीचे निरीक्षण करा: ऑथेंटिकेशन टाइमआउट्स अनेकदा WAN लेटन्सीमुळे होतात. तुमच्या iMaster NCE-Campus कंट्रोलरकडे Purple च्या प्रादेशिक RADIUS इन्फ्रास्ट्रक्चरसाठी कमी-लेटन्सीचा मार्ग असल्याची खात्री करा.

ट्रबलशूटिंग आणि जोखीम कमी करणे

क्लाउड RADIUS ला एंटरप्राइझ कंट्रोलर्ससह एकत्रित करताना, समस्या सामान्यतः तीन क्षेत्रांमध्ये उद्भवतात: Walled Garden, RADIUS शेअर केलेले सिक्रेट किंवा VLAN ट्रंकिंग.

स्प्लॅश पेज लोड होण्यास अपयशी ठरते

लक्षण: एखादे डिव्हाइस Guest WiFi शी कनेक्ट होते, परंतु ब्राउझर Purple स्प्लॅश पेजऐवजी टाइमआउट एरर दाखवतो. मूळ कारण: Walled Garden ACL अपूर्ण आहे, ज्यामुळे Purple च्या पोर्टल डोमेन्स किंवा आवश्यक CDNs चा ॲक्सेस ब्लॉक होतो. निवारण: SSID शी एक चाचणी डिव्हाइस कनेक्ट करा. purpleportal.net ला पिंग करण्याचा प्रयत्न करा. पिंग अयशस्वी झाल्यास, iMaster NCE-Campus ACL कॉन्फिगरेशनचे पुनरावलोकन करा आणि ते SSID च्या प्री-ऑथेंटिकेशन स्टेटला लागू केले असल्याची खात्री करा.

मूक ऑथेंटिकेशन अपयश

लक्षण: युझर वैध क्रेडेंशियल्स प्रविष्ट करतो, परंतु कोणतीही एरर मेसेज न दाखवता कनेक्शन तुटते. मूळ कारण: iMaster NCE-Campus आणि Purple मधील RADIUS शेअर केलेल्या सिक्रेटमध्ये तफावत असणे. निवारण: Purple डॅशबोर्डवरून थेट शेअर केलेले सिक्रेट कॉपी करा आणि ते Huawei RADIUS सर्व्हर टेम्पलेटमध्ये पेस्ट करा. एक अतिरिक्त स्पेस देखील RADIUS पॅकेट्समध्ये वापरल्या जाणाऱ्या MD5 हॅशला खराब करू शकते.

ऑथेंटिकेशननंतर DHCP टाइमआउट

लक्षण: स्टाफ मेंबर 802.1X द्वारे यशस्वीरित्या ऑथेंटिकेट होतो, परंतु डिव्हाइसला वैध IP ऐवजी 169.254.x.x APIPA ॲड्रेस मिळतो. मूळ कारण: Purple ने RADIUS द्वारे डायनॅमिक VLAN यशस्वीरित्या नियुक्त केले, परंतु ते VLAN AirEngine ॲक्सेस पॉइंटवर ट्रंक केलेले नाही. निवारण: ॲक्सेस स्विचमध्ये लॉग इन करा आणि port trunk allow-pass vlan कमांडमध्ये AP शी कनेक्ट केलेल्या इंटरफेसवर लक्ष्यित VLAN ID समाविष्ट असल्याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

Purple सह Huawei AirEngine डिप्लॉय केल्याने एका सामान्य नेटवर्क इन्फ्रास्ट्रक्चरचे मोजता येण्याजोग्या व्यावसायिक मालमत्तेत रूपांतर होते.

Retail ऑपरेटरसाठी, हे एकत्रीकरण खरेदीदारांकडून फर्स्ट-पार्टी डेटा गोळा करते, ज्यामुळे लक्ष्यित मार्केटिंग मोहिमा राबवणे शक्य होते ज्या ग्राहकांची संख्या वाढवतात आणि सरासरी ट्रान्झॅक्शन मूल्य वाढवतात. Purple चे WiFi Analytics डॅशबोर्ड हीटमॅप्स आणि ड्वेल-टाइम मेट्रिक्स प्रदान करतो, ज्यामुळे वेन्यू मॅनेजर्सना प्रत्यक्ष अभ्यागतांच्या वर्तनावर आधारित स्टोअर लेआउट्स ऑप्टिमाइझ करणे सोपे जाते.

Hospitality वातावरणात, OpenRoaming किंवा Passpoint द्वारे ऑटोमेटेड ऑथेंटिकेशन मॅन्युअल लॉगिनची कटकट दूर करते, ज्यामुळे पाहुण्यांच्या समाधानाचा स्कोअर वाढतो. मल्टि-टेनंट इमारतींसाठी, PPSK डायनॅमिक VLAN स्टिअरिंग प्रत्येक नवीन भाडेकरूसाठी स्वतंत्र SSIDs मॅन्युअली प्रोव्हिजन आणि व्यवस्थापित करण्याची आवश्यकता दूर करून IT ओव्हरहेड कमी करते.

एकाच हार्डवेअर फूटप्रिंटवर गेस्ट एंगेजमेंट, स्टाफ सुरक्षा आणि टेनंट आयसोलेशन एकत्रित करून, संस्था त्यांच्या Huawei CloudCampus गुंतवणुकीवर जास्तीत जास्त परतावा मिळवू शकतात.

关键定义

iMaster NCE-Campus

华为基于云或本地部署的网络自动化和管理平台。

IT 团队将其用作中央控制器,以配置 SSID、向 AirEngine AP 推送策略,并设置到 Purple 的 RADIUS 中继。

PPSK (Private Pre-Shared Key)

一种安全功能,允许在单个 SSID 上使用多个唯一的密码,每个密码将用户绑定到特定的网络策略或 VLAN。

对于多租户环境(如联合办公空间或零售园区)至关重要,在这些环境中,租户需要隔离的网络,而无需广播数十个 SSID。

Dynamic VLAN Steering

根据设备的已验证身份(而非其连接的 SSID)将设备分配到特定虚拟局域网 (VLAN) 的过程。

由 Purple 使用,以确保连接到同一物理接入点的经理、收银员和宾客被分配到完全独立、安全的网络网段。

Walled Garden

应用于未身份验证用户的访问控制列表 (ACL),仅允许访问完成登录过程所需的特定 IP 地址或域名。

如果 Walled Garden 配置错误,宾客将看到空白屏幕或超时错误,而不是 Purple 认证页面。

RADIUS Relay

一种本地网络控制器将来自接入点的身份验证请求转发到外部 RADIUS 服务器的配置。

华为 iMaster NCE-Campus 作为中继,将凭据从场所安全地传递到 Purple 的云基础设施进行验证。

802.1X

一种用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

员工 WiFi 的企业标准。它用个人用户凭据或数字证书取代了共享密码。

EAP-TLS

可扩展身份验证协议 - 传输层安全。一种依赖于客户端和服务器证书而非密码的 802.1X 身份验证方法。

目前最安全的身份验证方法。Purple 的 SecurePass 向员工设备颁发这些证书,以消除网络钓鱼风险。

Captive Portal

公共访问网络用户在获得访问权限之前必须查看并与其进行交互的网页。

Purple 用于从场所访客那里获取第一方数据和同意的主要机制。

应用实例

一家拥有 200 间客房的酒店需要为宾客、员工以及在大堂运营的第三方咖啡店提供安全、隔离的 WiFi,且仅使用两个 SSID 以节省空口时间。

部署一个名为“Hotel_Guest”的 SSID,配置指向 Purple 的 Captive Portal 的 Open+Portal 身份验证策略。部署第二个名为“Hotel_Secure”的 SSID,配置 WPA3-Enterprise802.1X 身份验证。员工通过 EAP-TLS 进行身份验证,Purple 返回 RADIUS 属性将其分配至 VLAN 20。咖啡店在同一个“Hotel_Secure” SSID 上使用 PPSK;他们输入唯一的密码,Purple 返回 RADIUS 属性将其分配至 VLAN 30。

考官评语: 此方法通过限制 SSID 开销来优化射频性能。通过利用 Purple 作为中央 RADIUS 认证机构,酒店无需部署额外的硬件或复杂的控制器端路由,即可实现员工与租户之间完全的二层隔离。

一家大型连锁零售企业正在迁移到华为 AirEngine,并需要确保其现有的 Purple 认证页面在所有门店中正确加载,而不会在现代智能手机上触发安全警告。

配置 iMaster NCE-Campus URL 模板,以精确映射所需的参数(ap-mac、uaddress、umac、ssid、redirect-url)。构建一个全面的 Walled Garden ACL,允许流向 Purple 域名和任何所需社交登录 API 的 DNS (UDP 53) 和 HTTPS (TCP 443) 流量。确保控制器拦截 HTTP 流量并将其重定向到 HTTPS 认证页面。

考官评语: 现代操作系统(iOS、Android)使用严格的 Captive Portal 检测机制。如果 Walled Garden 阻止了所需的 CDN,或者重定向依赖于无效的 SSL 证书,操作系统将断开连接。精确的 ACL 配置对于无缝的用户体验至关重要。

练习题

Q1. 您已在 iMaster NCE-Campus 上配置了访客 SSID 和 Walled Garden ACL。当您测试连接时,您的手机检测到了 Captive Portal,但屏幕仍然显示空白。最可能的原因是什么?

提示:考虑设备加载托管在云平台上的现代网页需要什么。

查看标准答案

Walled Garden ACL 可能缺少所需域名的允许规则。具体而言,必须允许 DNS (UDP 53) 以及对 Purple 门户域名和托管页面资产的任何内容分发网络 (CDN) 的 HTTPS 访问。如果启用了社交登录,还必须在身份验证前允许这些特定的 API 端点。

Q2. 使用您的 PPSK 网络的一个租户抱怨他们无法访问互联网。您检查了 iMaster NCE-Campus 日志,发现 Purple 返回了 RADIUS Access-Accept,且 Tunnel-Private-Group-ID 设置为 40。然而,客户端设备的 IP 地址为 169.254.x.x。配置错误是什么?

提示:身份验证成功,但边缘处的网络路由失败。

查看标准答案

连接华为 AirEngine 接入点到网络的交换机端口未配置为 Trunk VLAN 40。虽然 Purple 成功授权了用户,且控制器指示 AP 用 VLAN 40 标记流量,但上行交换机丢弃了这些数据包,因为该 Trunk 端口不允许该 VLAN。您必须在接入交换机上将 VLAN 40 添加到 Trunk 允许通过(allow-pass)列表中。

Q3. 您正在从旧版控制器迁移到华为 iMaster NCE-Campus。您配置的 RADIUS 服务器模板与旧系统完全相同,但所有身份验证请求都静默失败。您应该首先检查什么?

提示:RADIUS 中的静默失败通常表示加密不匹配。

查看标准答案

验证 RADIUS 共享密钥。如果 iMaster NCE-Campus 中配置的密钥与 Purple 控制面板中的密钥不完全匹配,则无法解密 RADIUS 数据包,从而导致静默失败或没有明确错误代码的 Access-Reject 消息。确保在复制密钥时没有尾随空格。

继续阅读本系列

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本权威指南详细介绍了 Cisco Catalyst 9800 WLC 与 Purple WiFi 的逐步集成过程。内容涵盖适用于访客 Captive Portal 的外部 Web 认证、用于保障员工安全接入的 802.1X EAP-TLS,以及用于多租户动态 VLAN 隔离的 Cisco iPSK。

阅读指南 →

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →