Huawei iMaster NCE (CloudCampus) 和访客 WiFi：使用 Purple 设置 captive portal

欢迎来到 Purple 技术系列。我是您的主持人，今天我们将介绍我们在实际应用中遇到的、最为微妙的企业级 WiFi 集成之一 - 华为 AirEngine 接入点和 CloudCampus iMaster NCE-Campus 控制器与 Purple 集成，以实现访客 WiFi、员工身份验证和多租户网络分段。 如果您是运营华为资产的网络架构师或 IT 经理（无论是酒店集团、零售连锁、会议中心还是公共部门园区），本期节目都非常适合您。我们将涵盖完整的技术栈：Captive Portal 重定向、身份验证前 ACL、使用 802.1X 的安全员工 WiFi，以及华为的 Private Pre-Shared Key 功能，以便在多个租户之间进行动态 VLAN 引导。 让我们开始吧。 第一部分：背景与架构。 华为的 AirEngine 产品组合（包括 5700、6700、8700 和 9700 系列）运行在 WiFi 6 和 WiFi 6E 上，其中高端的 9700 系列支持 WiFi 7。这些都是真正的企业级接入点。管理层是 iMaster NCE-Campus，这是华为基于云的网络控制器，可处理从 SSID 配置和 RADIUS 转发到策略执行和系统日志转发的所有事务。 Purple 作为云覆盖层处于其之上。我们在 80,000 个活跃场馆中运营，仅在 2024 年就处理了 4.4 亿次登录。我们与硬件无关 - 这意味着我们与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 以及华为 AirEngine 集成 - 使用每个企业级控制器都支持的相同 RADIUS 和 Captive Portal 标准。 这里的集成模型非常简单。iMaster NCE-Campus 充当 RADIUS 转发器，将来自接入点的身份验证请求转发到 Purple 的 RADIUS 服务器。Purple 处理身份验证逻辑 - 无论是访客展示页面、802.1X 凭据检查还是 PPSK 查找 - 并返回相应的 RADIUS 响应，包括任何动态 VLAN 分配属性。 第二部分：访客 WiFi 和 Captive Portal 配置。 让我们从最常见的部署开始：带有 Purple Captive Portal 的访客 WiFi。 在 iMaster NCE-Campus 中，导航到“设计”，然后是“网络设计”，接着是“模板管理”。创建一个 RADIUS 转发服务器模板。关键参数为：将身份验证服务设置为 Portal 身份验证，在 UDP 端口 1812（用于身份验证）和 1813（用于计费）上添加 Purple 的 RADIUS 服务器 IP 地址，将 NAS 标识符设置为“设备 MAC”，并配置共享密钥。Purple 会从 Purple 仪表板中的场馆配置屏幕提供这些 RADIUS 凭据。 接下来，您需要创建一个 ACL - 这就是您的 Walled Garden。在访客通过身份验证之前，他们需要访问 Purple 的 Splash 页面及任何支持的域名。您的 ACL 规则应允许 UDP 53 端口上的 DNS、允许 HTTPS 访问 Purple 的门户域名，并允许您已启用的任何社交登录提供商 - 例如，如果您使用的是社交媒体登录，则允许 Facebook 的 Graph API 终端节点。在身份验证前，其他所有内容都会被拒绝。 然后，配置 SSID。将网络类型设置为 Open，选择 Open 加 Portal 身份验证，将身份验证类型设置为云平台中继身份验证，并选择 RADIUS 中继作为互联模式。将页面推送协议设置为 HTTPS。在第三方 Portal 身份验证参数中，粘贴 Purple 重定向 URL - 这是您从 Purple 场所仪表板复制的 Splash 页面 URL，其后缀已修改为包含华为特定的参数：ap-mac、uaddress、umac、ssid 和 redirect-url。 最后，在 iMaster NCE-Campus 中创建一个 URL 模板，将这些参数名称映射到华为在重定向中传递的值。参数映射为：redirect-url 映射到 redirect-url、loginurl 映射到 login-url、device-mac 映射到 ap-mac、user-ip 映射到 uaddress、user-mac 映射到 umac，以及 ssid 映射到 ssid。 配置完成后，访客连接到 SSID，获取 DHCP 地址，其 HTTP 流量将被控制器拦截并重定向到 Purple Splash 页面。他们通过电子邮件、社交登录或短信验证进行身份验证，然后 Purple 的 RADIUS 服务器将 Access-Accept 发送回 iMaster NCE-Campus，从而授予访客完全的互联网访问权限。 从数据角度来看，Purple 此时会捕获第一方同意数据。每次登录都是合规的自觉选择加入，符合 GDPR 和 CCPA。这些数据会输送到 Purple 的分析平台，为您提供会话时长、设备类型、回头客率和停留时间 - 所有这些都无需任何第三方跟踪。 第三部分：使用 802.1X 保护员工 WiFi 安全。 现在让我们来谈谈员工 WiFi。这完全是另一种安全态势。您不希望员工与访客处于同一网络网段，也不希望使用共享的 PSK 密码，因为这些密码会随着人员离职而泄露。 解决方案是使用 802.1X 身份验证（在 IEEE 802.1X-2020 中定义），并使用 EAP-TLS 或 EAP-PEAP。在 iMaster NCE-Campus 中，您为员工创建一个单独的 SSID - 我们称之为 CorpNet。在此 SSID 的身份验证配置文件中，将身份验证模式设置为 802.1X，将其指向 Purple 的 RADIUS 服务器，并将安全配置文件设置为采用 AES-CCMP 加密的 WPA2 企业级或 WPA3 企业级。Purple 在此也充当 RADIUS 服务器，但现在它是在您的身份提供商中验证凭证。Purple 与 Microsoft Entra ID、Okta 和 Google Workspace 进行原生集成。当员工连接到 CorpNet 时，其设备会将 EAP 凭证发送到接入点，接入点通过 RADIUS 将其转发给 Purple，Purple 使用 SCIM 或 SAML 在 Entra ID 中验证这些凭证。如果凭证有效，Purple 会返回一个 Access-Accept，其中包含指定员工 VLAN（例如 VLAN 20）的 RADIUS 属性。iMaster NCE-Campus 会自动将客户端引导至该 VLAN。 用于动态 VLAN 分配的关键 RADIUS 属性包括：Tunnel-Type 设置为 VLAN 或值 13，Tunnel-Medium-Type 设置为 802 或值 6，以及 Tunnel-Private-Group-ID 设置为 VLAN ID。这三个属性结合在一起，可以准确告知华为控制器将认证客户端分配到哪个 VLAN。 特别是对于 EAP-TLS - 这是员工认证的金标准 - 您需要客户端证书。Purple 的 SecurePass 插件负责处理证书的颁发和生命周期管理，可与您现有的 PKI 集成，或充当轻量级证书颁发机构。这完全消除了基于密码的攻击。没有密码，就没有网络钓鱼载体。 第四部分：使用华为 PPSK 进行多租户细分。 这是真正有趣的地方。如果您运营的是一个混合用途场馆 - 拥有多个零售租户的购物中心、拥有多个成员公司的联合办公空间，或者举办并发会议的会议中心 - 您需要租户之间的网络隔离，而无需为每个租户部署单独的 SSID。 华为的 PPSK 功能（Private Pre-Shared Key）解决了这个问题。在其他厂商的生态系统中，它有时被称为 iPSK。这个概念是：一个 SSID，多个唯一的密码，每个密码映射到一个特定的 VLAN。租户 A 获得密码 Alpha，该密码映射到 VLAN 30。租户 B 获得密码 Beta，该密码映射到 VLAN 40。两个租户看到的是相同的 SSID，但在二层（Layer 2）上是完全隔离的。 在华为 CLI 中，您可以在 WLAN 视图中使用 ppsk-user 命令配置此功能。对于每个租户，您运行：ppsk-user psk pass-phrase，后跟唯一的密码，然后是 user-name、租户标识符，然后是 vlan、VLAN ID，最后是 ssid、SSID 名称。如果需要更严格的控制，您还可以设置到期日期、最大设备数量，并绑定到特定的 MAC 地址。 在 iMaster NCE-Campus 中，PPSK 查找可以在控制器上本地处理，或者对于大规模部署，可以通过 RADIUS 进行处理。当使用基于 RADIUS 的 PPSK 时，Purple 成为 PPSK 到 VLAN 映射的权威源。租户的设备使用其唯一的密码进行连接，控制器向 Purple 发送一个 RADIUS Access-Request，并将密码作为凭证，Purple 查找映射，并返回一个带有三个 VLAN 隧道属性的 Access-Accept。控制器将客户端引导至正确的 VLAN。这种架构可在单个 SSID 上扩展到数百个租户。这也意味着您可以从 Purple 仪表板中配置、轮换和撤销租户凭据，而无需更改控制器配置。 第五部分：实施陷阱及如何避免。 让我分享一下在华为和 Purple 部署中我最常遇到的三种失败模式。 第一：围墙花园（Walled Garden）不完整。访客连接到 SSID，被重定向到 splash 页面，但由于预认证 ACL 拦截了所需的域名（通常是 CDN 节点或社交登录 API），导致页面无法加载。解决方法是在上线前在一台全新设备上测试 splash 页面流程，捕获其发起的 DNS 查询和 HTTPS 连接，并将所有需要的域名添加到 ACL 中。Purple 在集成文档中发布了所需域名的列表。 第二：RADIUS 共享密钥不匹配。在 iMaster NCE-Campus 中配置的密钥必须与 Purple 仪表板中的密钥完全一致。哪怕是一个字符的差异，也会导致无声的认证失败 - 控制器日志显示 Access-Reject，且没有有用的错误信息。请务必复制粘贴密钥，切勿手动输入。 第三：VLAN trunk 配置错误。只有当 VLAN 已在接入点和汇聚交换机之间的上行链路上进行 trunk 时，通过 RADIUS 进行的动态 VLAN 分配才能工作。如果 VLAN 20 不在交换机接口的 trunk 允许通过列表中，通过认证的员工终端将发生 DHCP 超时，且表现为认证失败。在测试 RADIUS 分配的 VLAN 之前，请审核您的 trunk 配置。 第六部分：快速问答。 问：我可以使用 Purple 的内置 RADIUS 配合华为本地部署的 iMaster NCE-Campus，而不是云端版本吗？ 可以。Purple 的 RADIUS 服务器由云端托管，可通过互联网访问。您本地部署的 iMaster NCE-Campus 控制器需要允许向外访问到 Purple 的 RADIUS IP 范围的 UDP 1812 和 1813 端口。Purple 会在仪表板的场所设置下发布这些 IP 范围。 问：华为 PPSK 支持 WPA3-SAE 吗？ 自 AirEngine 固件 V600R025 起，6700 和 9700 系列已支持 WPA3-SAE-PPSK。在 PPSK SSID 上启用 WPA3 之前，请检查您的固件版本。 问：Purple 如何处理华为硬件上访客 WiFi 的 GDPR 合规同意？ Purple 的 splash 页面会在认证时收集同意。同意记录 - 包括时间戳、IP 地址和接受的具体条款 - 将存储在 Purple 的平台中，并可导出用于合规性审核。这适用于任何底层的硬件厂商。 第七部分：总结和后续步骤。 简要回顾：Huawei AirEngine 和 iMaster NCE-Campus 通过 RADIUS 中继与 Purple 集成，以实现访客 Captive Portal、用于员工 WiFi 的 802.1X 以及用于多租户 VLAN 隔离的 PPSK。配置位于 iMaster NCE-Campus 中：在“设计 (Design)”>“网络设计 (Network Design)”>“模板管理 (Template Management)”下进行 RADIUS 和 ACL 设置；在“配置 (Provision)”>“设备配置 (Device Configuration)”>“站点配置 (Site Configuration)”下进行 SSID 和认证模板绑定。 您的下一步操作：从您的场所仪表板中获取 Purple RADIUS 凭据，在 iMaster NCE-Campus 中配置 RADIUS 中继服务器模板，构建您的 Walled Garden ACL，创建采用 Open 加 Portal 认证的访客 SSID，并在全面部署之前使用新设备进行端到端测试。 如果您正在部署 PPSK 以进行多租户隔离，请先规划您的 VLAN 方案 - 确保在配置单个 PPSK 用户之前，每个租户 VLAN 已端到端透传。 有关完整的步骤配置指南（包括 CLI 示例和架构图），请阅读 Purple 网站上的完整书面指南。感谢您的收听。