跳至主要内容
简体中文

Alta Labs 与 Purple WiFi 集成:安装与 Captive Portal 配置

本技术参考指南涵盖了 Alta Labs AP6 和 AP6 Pro 接入点与 Purple 云托管 captive portal 的端到端集成。它详细介绍了外部重定向配置、RADIUS 身份验证、围墙花园(walled garden)要求,以及使用 AltaPass 私有预共享密钥(Private Pre-Shared Keys)的多租户细分。场所运营商和 IT 团队将获得适用于酒店、零售和智能办公环境的可重复部署指南。

📖 8 分钟阅读📝 1,844 🔧 2 应用实例3 练习题📚 9 关键定义

收听本指南

查看播客转录
播客脚本:Alta Labs 与 Purple WiFi 集成:安装与 Captive Portal 配置 Purple WiFi 智能平台 - 技术简报系列 时长:约 10 分钟 配音:英式英语,资深顾问语气 - 自信、口语化、权威 --- [引言 - 1 分钟] 欢迎收听 Purple 技术简报系列。我是您的主持人,今天我们将详细解析 Alta Labs 接入点与 Purple WiFi 智能平台之间的集成。 如果您是 IT 经理、网络架构师或场所运营总监,并正在寻找部署强大、可扩展的宾客 WiFi 解决方案,那么本期简报非常适合您。我们将涵盖 Alta Labs AP6 和 AP6 Pro 的具体设置、如何配置外部 captive portal 重定向,以及使社交登录在实际应用中正常运行所需的关键围墙花园(walled garden)设置。我们还将深入探讨 AltaPass(Alta Labs 对私有预共享密钥 PPSK 的实现),以及如何使用它来细分多租户环境,而不会因 SSID 膨胀而破坏您的射频(RF)性能。 让我们开始吧。 --- [技术深挖 - 5 分钟] Alta Labs 与 Purple 之间的集成依赖于两个基本的网络概念:用于 captive portal 的 HTTP 重定向,以及用于身份验证和计费的 RADIUS。 当宾客步入您的场所(例如零售店或酒店大堂)并连接到您的开放式或 WPA3-OWE 宾客网络时,Alta Labs AP 将充当看门人。它会拦截客户端的初始 HTTP 请求,并将其重定向到您的定制品牌 Purple 引导页面。 要在 Alta Labs 云管理平台中进行配置,请导航至您的 WiFi 设置,选择您的宾客 SSID,并在“高级设置”下将网络类型设置为“Guest”。这至关重要,因为它会自动应用客户端隔离,防止设备在网络中进行横向通信。接下来,在“Hotspot”部分下,选择“External”并放入您的场所设置中提供的 Purple 重定向 URL,以及您的授权密钥(Authorisation Secret)。 但这就是大多数部署遇到障碍的地方:围墙花园(walled garden)。 围墙花园(walled garden)是设备在通过身份验证之前允许访问的域名和 IP 地址列表。如果您希望宾客使用 Google、Facebook 或 Apple 进行登录,他们的设备就需要在仍处于未验证状态时访问这些 OAuth 服务器。 您必须明确将 Purple 基础设施域名(例如 region1.purpleportal.net 和 cloudfront.net)列入白名单。然后,您需要添加操作系统 captive portal 探测域名:适用于 iOS 的 captive.apple.com 和适用于 Android 的 connectivitycheck.gstatic.com。如果您阻止了这些,手机就不知道它处于 captive portal 之后,引导页面也永远不会弹出。 最后,添加社交登录域名。对于 Google,是 accounts.google.com、oauth2.googleapis.com 和 gstatic.com。对于 Facebook,是 facebook.com、graph.facebook.com 和 fbcdn.net 域名。静态 IP 白名单在这里不起作用,因为这些提供商使用动态内容分发网络。您必须使用域名,并确保您的控制器执行动态 DNS解析。 一旦用户在 Purple 引导页面上完成登录,Purple 的 RADIUS 服务器就会向 Alta Labs AP 发回一条 Access-Accept 消息。然后,AP 会解除围墙花园限制,并授予设备完整的互联网访问权限。这是一个干净、安全的流程,在捕获第一方数据的同时维护了网络完整性。 现在,让我们谈谈多租户细分。 在智能办公室、学生公寓或多住宅单元(MDU)等环境中,您通常需要为不同的群体提供安全、隔离的网络。在过去,IT 团队会为每个租户广播一个单独的 SSID。这是一个非常糟糕的做法。它会带来巨大的管理开销,并由于信标帧开销而破坏您的无线性能。 Alta Labs 通过 AltaPass(他们对私有预共享密钥的实现)解决了这个问题。使用 AltaPass,您只需广播一个 SSID——我们称之为 BuildingWiFi。但是,您可以为不同的用户或设备生成唯一的密码。 当租户 A 输入其特定密码时,AP 会动态地将他们分配到 VLAN 101,并限制 100 Mbps 的带宽。当管理团队在同一个 SSID 上输入他们的密码时,他们会被分配到具有无限带宽的 VLAN 200。您甚至可以为物联网(IoT)设备(如智能恒温器)创建一个密码,将其分配到隔离的 VLAN 并完全绕过 captive portal。 一个 SSID。无限的密码。完全隔离。这是边缘端的基于身份的网络(Identity-Based Networking),对于困扰多租户部署多年的问题,这是一个真正优雅的解决方案。 让我给您举一个实际运作的具体例子。设想一个拥有 72 个单元的公寓大楼——这是 Alta Labs 被广泛使用的一种真实部署类型。网络管理员无需广播 72 个独立的 SSID,而是创建一个单一的 SSID 并为每个单元生成一个唯一的密码。每个密码映射到专用的 VLAN 和子网。基础层的居民获得 100 Mbps。购买了高级层的居民获得 300 Mbps。大楼管理团队获得无限制的访问权限。大楼自动化系统(门锁、暖通空调、电梯)拥有自己隔离的 VLAN,并启用了深度包检测。所有这些都来自一个 SSID。射频环境更干净,性能更高,管理也显著简化。 现在,让我们继续讨论用于安全员工 WiFi 的 802.1X 配置。 对于您的员工网络,您根本不应该使用预共享密钥。您应该使用带有 802.1X 身份验证的 WPA2 或 WPA3 企业版。在 Alta Labs 平台中,您可以通过选择员工 SSID、将安全模式设置为 WPA2-Enterprise 或 WPA3-Enterprise,并将 AP 指向您的 RADIUS 服务器来进行配置。 如果您正在与 Purple 的 SecurePass 产品集成,Purple 将充当 RADIUS 中介,连接到您的身份提供商(无论是 Microsoft Entra ID、Okta 还是 Google Workspace),并在 Access-Accept 消息中返回相应的 VLAN 分配。Alta Labs AP 从 RADIUS 响应中读取 Tunnel-Private-Group-Id 属性,并自动将设备置于正确的 VLAN 上。 关于 Alta Labs 动态 VLAN 分配的一个重要注意事项:在配置 RADIUS 分配的 VLAN 时,将 SSID 上的默认 VLAN 设置为 VLAN 1 或保持未标记状态。存在一个已知行为,即如果默认 VLAN 设置为特定值,AP 可能会使用配置的默认值覆盖 RADIUS 分配的 VLAN。将默认值设置为 VLAN 1 可确保 RADIUS 分配优先。 --- [实施建议与常见陷阱 - 2 分钟] 当您推出此方案时,我想强调几个关键建议。 首先,始终使用全新设备测试您的 captive portal 流程。如果在测试期间您已经连接过网络,请不要使用您自己的手机。您的设备会记住 MAC 地址授权或拥有缓存的 DNS 条目,这会掩盖围墙花园故障。拿一台从未连接过该网络的平板电脑,连接它,并验证操作系统 captive portal 助手是否自动启动。 其次,谨防过度加白名单。我看到有些工程师对社交登录错误感到沮丧,于是直接将整个通配符域名或庞大的 IP 块列入白名单。这会制造安全漏洞,使懂技术的用户能够完全绕过您的 captive portal。请坚持仅使用 OAuth 流程所需的特定域名。 第三,在部署带有动态 VLAN 的 AltaPass PPSK 时,确保您的整个交换基础设施配置正确。连接到 Alta Labs AP 的交换机端口必须配置为 Trunk,允许所有带标记的 VLAN 通过网关。如果 AP 为 VLAN 101 标记了流量,但交换机端口在 VLAN 1 上设置为 Access 模式,则流量会丢失,客户端将无法获取 IP 地址。 第四,对您的围墙花园(walled garden)配置进行季度审查。OAuth 提供商和内容分发网络会更改其域名结构。Apple 在 2023 年两次更新了其登录域名。如果不进行主动维护,部署时正确的围墙花园将会偏离实际。 --- [快速问答 - 1 分钟] 让我们快速浏览一下来自一线的一些常见问题。 问题一:我可以在 Alta Labs 硬件上将 WPA3 与 Purple captive portal 结合使用吗? 可以。您应该使用 WPA3-OWE,它代表机会性无线加密。这会对空中传输的数据进行加密,保护宾客隐私,同时仍可作为触发 captive portal 重定向的开放网络运行。这是 2026 年任何新宾客 WiFi 部署的正确选择。 问题二:我需要在防火墙上为 RADIUS 流量打开哪些端口? Purple 的 RADIUS 服务器通过 UDP 端口 1812 进行身份验证,通过 UDP 端口 1813 进行计费。确保您的边缘防火墙允许从 Alta Labs AP 到 Purple 基础设施的这些端口的出站流量。 问题三:我可以在同一个 SSID 上同时使用 AltaPass PPSK 和 Purple captive portal 吗? 可以,这实际上是一个非常实用的配置。您可以创建一个 AltaPass 密码,为已知设备(如您的销售点终端或数字标牌)绕过 captive portal,而连接到相同 SSID 的标准连接仍会通过 Purple 引导页面。这为您提供了一个单一、干净之 SSID,可同时处理已验证的设备和宾客用户。 --- [总结与后续步骤 - 1 分钟] 总结一下:将 Alta Labs 与 Purple WiFi 集成,为您提供了一个安全、可扩展的平台,用于捕获第一方数据并提供品牌化的宾客体验。 记住成功部署的三大支柱。首先,在 Alta Labs 云管理平台中准确配置外部热点重定向和 RADIUS 设置。其次,细致地定义您的围墙花园(walled garden)域名,以确保操作系统探测和社交登录正常运行。第三,利用 AltaPass PPSK 实现基于身份的网络(Identity-Based Networking),在不因不必要的 SSID 污染您的空间的情况下细分流量。 Purple 在 80,000 个活跃场所运营,并在 2024 年处理了 4.4 亿次登录。该平台已通过 ISO 27001 认证,符合 GDPR,并且构建为可从单一精品酒店扩展到全国性零售资产。当您将其与 Alta Labs 硬件的性能和灵活性相结合时,您就拥有了一个引人注目的企业级 WiFi 技术栈。 如果您遵循本指南,您将提供无缝、合规的 WiFi 体验,让您的营销团队和安全团队都感到满意。 感谢收听 Purple 技术简报系列。下期再见,保持您的网络安全,并让您的数据发挥作用。

header_image.png

执行摘要

Alta Labs AP6 和 AP6 Pro 接入点通过标准的 RADIUS 身份验证和 HTTP 重定向与 Purple 的云端 captive portal 集成。AP 拦截未经验证的宾客流量,将其重定向到您的 Purple 引导页面,并在 Purple 的 RADIUS 服务器返回 Access-Accept 后授予访问权限。对于多租户环境,Alta Labs 的 AltaPass 技术可根据所使用的密码将每个连接的设备分配到唯一的 VLAN 和带宽策略——无需额外的 SSID。本指南为您提供从头开始部署该集成所需的确切配置步骤、围墙花园(walled garden)域名列表和 RADIUS 参数。Purple 在 80,000 多个活跃场所运营,并在 2024 年处理了 4.4 亿次登录(Purple 内部数据)。Alta Labs 硬件非常适合需要以具有竞争力的价格实现企业级细分的 MSP 和智能办公室安装商。

技术架构

该集成跨越三个层级:Alta Labs 云管理平台、边缘端的 AP6 或 AP6 Pro 硬件,以及处理身份验证和分析的 Purple 云基础设施。

当宾客连接到开放式或 WPA3-OWE SSID 时,AP 会将设备置于受限的预验证状态。所有出站 HTTP 流量都会被拦截并重定向到 Purple 引导页面 URL。在身份验证完成之前,设备只能访问围墙花园(walled garden)中明确列出的域名。一旦宾客在 Purple 引导页面上提交其凭据,Purple 的 RADIUS 服务器就会向 AP 发送 Access-Accept,AP 随后会解除限制并授予完整的互联网访问权限。Purple 会记录会话数据(设备类型、停留时间、登录方式),并将其呈现在 WiFi Analytics 控制面板中。

architecture_overview.png

对于员工和后台网络,相同的 AP 硬件处理 WPA2/WPA3-Enterprise (IEEE 802.1X) 身份验证。AP 充当 RADIUS 客户端,将身份验证请求转发到 Purple 的 SecurePass 基础设施,后者进而根据 Microsoft Entra ID、Okta 或 Google Workspace 验证凭据。RADIUS Access-Accept 响应携带 Tunnel-Private-Group-Id 属性,AP 使用该属性动态地将设备置于正确的 VLAN 上。

实施指南

第 1 步:在 Purple 中添加场所和硬件

在操作 Alta Labs 控制器之前,请先在 Purple 中注册部署。

  1. 登录 Purple 管理门户并导航至 Management > Locations(管理 > 位置)。
  2. 选择 Venues and Groups > Add venue(场所和群组 > 添加场所)并完成场所向导。
  3. 在您的场所中,选择 Hardware > Add hardware > Add new hardware(硬件 > 添加硬件 > 添加新硬件)。
  4. 将硬件类型设置为 WiFi AP 并选择相应的 AP 类型。
  5. 输入每个 Alta Labs AP6 或 AP6 Pro 设备的 MAC 地址。
  6. 点击 View Manual Online(在线查看手册)以获取此场所的 RADIUS 服务器 IP 地址、端口和共享密钥。记录这些值——您将在第 3 步中需要它们。

第 2 步:在 Alta Labs 中配置宾客 SSID

登录 Alta Labs 云管理平台,网址为 manage.alta.inc。

  1. 导航至 Settings > WiFi(设置 > WiFi)并选择用于宾客访问的 SSID。
  2. Advanced Settings(高级设置)中,将网络类型设置为 Guest。这将自动强制执行客户端隔离。
  3. 滚动到 Hotspot(热点)部分并选择 External(外部)。
  4. Redirect URL(重定向 URL)字段中,粘贴您的 Purple 场所硬件设置中提供的引导页面 URL(例如 https://region1.purpleportal.net/access/)。
  5. 输入来自您的 Purple 场所设置的 Authorisation Secret(授权密钥,即 RADIUS 共享密钥)。
  6. 点击 Save(保存)。

第 3 步:配置 RADIUS 身份验证

在外部重定向设置完毕后,配置 RADIUS 设置,以便 AP 可以与 Purple 的身份验证基础设施进行通信。

参数
主认证服务器 IP 由 Purple 场所设置提供
身份验证端口 UDP 1812
主计费服务器 IP 由 Purple 场所设置提供
计费端口 UDP 1813
共享密钥 由 Purple 场所设置提供

对于高可用性部署,请使用 Purple 提供的备份 IP 地址配置次级 RADIUS 服务器。

第 4 步:定义围墙花园(Walled Garden)

围墙花园(walled garden)允许在身份验证完成之前访问特定的域名。缺少条目将破坏 captive portal 流程或阻止社交登录加载。在 Alta Labs 热点配置的 Additional Authorised Hosts / IPs(其他授权主机/IP)字段中输入以下域名。

Purple 基础设施(必填)

域名 用途
region1.purpleportal.net 引导页面托管
venuewifi.com Purple 重定向基础设施
cloudfront.net 门户资产的 CDN

操作系统 captive portal 探测(必填)

域名 操作系统
captive.apple.com iOS / macOS
connectivitycheck.gstatic.com Android
msftconnecttest.com Windows

社交登录(根据启用的提供商添加)

提供商 域名
Google accounts.google.com, oauth2.googleapis.com, apis.google.com, gstatic.com
Facebook facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple appleid.apple.com, idmsa.apple.com, *.apple.com

captive_portal_flow.png

AltaPass PPSK 与多租户细分

AltaPass 是 Alta Labs 正在申请专利的私有预共享密钥(PPSK)技术实现。它允许单个 SSID 承载多个唯一的密码,,每个密码都映射到不同的 VLAN、带宽限制、日程安排和热点绕过规则。这消除了为每个租户、员工组或设备类别广播单独 SSID 的需要。

在 Alta Labs 控制面板中配置 AltaPass

  1. 选择您的 SSID 并导航至密码管理部分。
  2. 点击每个密码条目左侧的紫色网络类型按钮
  3. 为密码分配一个 VLAN ID。使用此密码连接的客户端将被分配到指定的 VLAN 子网。
  4. 根据需要设置每个密码的带宽限制(上传和下载)。
  5. 启用或禁用每个密码的热点绕过。IoT 设备和 POS 终端通常会绕过 Captive Portal。
  6. 如果需要,应用日程限制(例如,在营业时间以外限制某些设备的互联网访问)。

altapass_ppsk_segmentation.png

对于拥有 72 个单元的住宅楼,这意味着一个 SSID 和 72 个以上的唯一密码——每个单元一个、管理部门一个、楼宇自动化系统一个。每个密码都映射到一个隔离的 VLAN 和子网。标准档的居民获得 100 Mbps。尊享档的居民获得 300 Mbps。楼宇管理团队不受限制。IoT 设备被隔离在启用了深度包检测的专用 VLAN 中。这就是将 SSID 数量从 72 个减少到 1 个的部署模式。

通过 RADIUS 进行动态 VLAN 分配

对于 802.1X 员工网络,VLAN 分配通过 RADIUS 属性而非 PPSK 进行。RADIUS Access-Accept 响应必须包含:

属性
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (IEEE-802)
Tunnel-Private-Group-Id 目标 VLAN ID(例如 "20")

重要提示:使用 RADIUS 分配的 VLAN 时,请将 SSID 上的默认 VLAN 设置为 VLAN 1(或保持未标记状态)。如果默认 VLAN 设置为特定值,AP 可能会使用配置的默认值覆盖 RADIUS 分配。这是当前 Alta Labs 固件中的已知行为。

最佳实践

以下建议适用于任何结合 Purple 的 Alta Labs 部署,无论场所类型如何。

对围墙花园(walled garden)条目使用动态 DNS 解析。 OAuth 提供商和 CDN 经常轮换 IP 地址。静态 IP 白名单会随着时间的推移而失效。配置 Alta Labs 控制器以动态解析围墙花园域名,并将 DNS TTL 设置为不低于 30 秒,以避免过多的查询负载。

精确界定围墙花园的范围。 仅将身份验证流程所需的域名加入白名单。过度加入白名单(特别是为大型域名添加通配符条目)会创建绕过矢量,从而破坏 Captive Portal 的目的。

在上线前使用未授权设备进行测试。 使用从未连接过网络的设备。先前已通过身份验证的设备可能缓存了 MAC 授权或 DNS 条目,从而掩盖了围墙花园的故障。逐一测试您打算提供的每种登录方式。

每季度审查一次围墙花园域名。 Apple、Google 和 Meta 会定期更新其 OAuth 域名结构。将季度审查纳入您的运营日程中,以便在影响用户之前发现偏差。

从一开始就对 IoT 设备进行隔离。 使用 AltaPass 将 IoT 设备分配到启用了热点绕过的专用 VLAN。将 IoT 流量与访客或员工流量混在一起会带来不必要的风险,并使事件响应复杂化。

有关企业 WiFi 安全架构的更广泛视图,请参阅我们的指南: 企业 WiFi 安全:2026 年完整指南

故障排除与风险规避

iOS 上未显示欢迎页面。 最常见的原因是围墙花园中缺少 captive.apple.com 条目。iOS 使用此域名来检测 Captive Portal。如果该探测被阻止,Captive Network Assistant 将永远不会启动,用户会看到通用的连接错误。

社交媒体登录返回空白屏幕或 CORS 错误。 检查围墙花园中是否缺少 CDN 或 API 子域名。Facebook 的 *.fbcdn.net 和 Google 的 gstatic.com 是最常被遗漏的条目。在未授权的会话中使用浏览器开发者工具来确定哪些域名请求失败。

使用 AltaPass 时 VLAN 分配失败。 验证连接到 AP 的上行交换机端口是否配置为 Trunk 端口并允许标记的 VLAN。接入模式(Access-mode)的交换机端口会静默丢弃标记的帧,导致客户端无法获取 IP 地址。

RADIUS 身份验证超时。 确认边缘防火墙上已向外开放 UDP 端口 1812 和 1813。检查 Alta Labs 配置中的共享密钥是否与 Purple 场所设置中的值完全匹配——单个字符不匹配都会导致所有身份验证请求失败。

动态 VLAN 分配将用户置于错误的 VLAN 中。 将 802.1X SSID 上的默认 VLAN 设置为 VLAN 1。如果默认 VLAN 设置为特定值,AP 可能会覆盖 RADIUS 分配的 VLAN。这是 Alta Labs 社区论坛中确认的固件级行为。

投资回报率(ROI)与业务影响

部署结合 Purple 访客 WiFi 的 Alta Labs 硬件,可在三个维度上带来可衡量的回报:运营效率、数据捕获和安全态势。

在运营方面,将多个 SSID 合并为一个由 AltaPass 管理的单一网络可减少管理开销并提高无线性能。更少的 SSID 意味着更少的信标帧开销,这直接转化为所有连接设备更高的吞吐量。

在数据方面,Purple 的 Captive Portal 在每次登录时都会捕获经过验证的第一方数据。与未管理的访客 WiFi 相比,使用 Purple 的 Capture 和 Engage 计划的场所报告营销数据库选择加入人数增加了 40%(Purple 内部数据)。这些数据直接接入 WiFi 分析 ,使营销团队能够直观了解客流模式、停留时间以及复访率。

在安全方面,动态 VLAN 分配在边缘端隔离了访客、员工和物联网 (IoT) 流量。结合 Purple 获得 ISO 27001 认证的基础设施和符合 GDPR 的数据处理,该架构满足了处理刷卡支付场所的 PCI DSS 网络分段要求。

特别是对于 酒店业 部署,品牌展示页面、会员计划集成以及单设备带宽控制的结合,在不增加网络运营团队复杂性的情况下,创造了差异化的访客体验。

对于 零售 环境,在同一物理基础设施上(使用 AltaPass 旁路规则)将 POS 终端与访客 WiFi 隔离的能力,消除了对独立布线或硬件的需求,从而降低了资本支出和运营成本。

相关指南: Arista 认知 Wi-Fi 与 Purple WiFi 集成 | 访客 WiFi 的 Walled Garden 配置

关键定义

Captive portal

一个拦截未授权网络流量并要求用户在授予互联网访问权限之前进行交互(登录、接受条款或付款)的网页。Purple 在云端托管引导页面;Alta Labs AP 处理重定向。

酒店、零售和公共部门 WiFi 部署中用于捕获宾客数据的主要机制。

Walled garden

客户端设备在完成 captive portal 身份验证之前可以访问的特定域名和 IP 地址列表。在用户登录之前,该列表之外的所有内容都将被阻止。

对于在身份验证完成之前允许社交登录 API、操作系统检测探测和门户 CDN 资产正常运行至关重要。

PPSK (Private Pre-Shared Key)

一种安全方法,可在单个 SSID 上使用多个唯一密码,每个密码将连接设备分配给特定的 VLAN、带宽策略和访问计划。

Alta Labs 将其实现为 AltaPass。用于多住宅单元(MDU)、智能办公室和体育场,以在不增加 SSID 数量的情况下提供隔离访问。

RADIUS

远程用户拨号认证服务。一种提供集中式身份验证、授权和计费(AAA)管理的网络协议。Purple 充当 RADIUS 服务器;Alta Labs AP 充当 RADIUS 客户端。

告知 AP 宾客已成功通过身份验证并应被授予互联网访问权限的机制。

Identity-Based Networking

一种网络架构,其中访问权限、VLAN 和带宽限制是根据用户或设备的已验证身份应用的,而不是根据他们连接的物理端口或 SSID。

Purple 对 RADIUS、PPSK 和 VLAN 分配组合的称呼,可在分布式资产中实现一致的策略。

Dynamic VLAN assignment

根据 RADIUS 服务器返回的身份验证凭据将客户端设备分配到特定虚拟局域网(VLAN)的过程,而不是静态的 SSID 到 VLAN 映射。

对于在共享无线基础设施上隔离员工、宾客和物联网(IoT)流量至关重要。需要正确的 RADIUS 属性:Tunnel-Type, Tunnel-Medium-Type, 和 Tunnel-Private-Group-Id。

Captive Network Assistant (CNA)

iOS、Android 和 Windows 上内置的操作系统机制,通过探测已知 URL 来检测 captive portal。如果探测被重定向,操作系统将启动一个伪浏览器供用户登录。

如果 CNA 探测域名在围墙花园中被阻止,用户将永远看不到引导页面。这是最常见的 captive portal 故障模式。

WPA3-OWE

Wi-Fi 保护访问 3 - 机会性无线加密。一种在开放网络上对传输中的数据进行加密而无需密码的标准,在保护宾客隐私的同时仍允许进行 captive portal 重定向。

2026 年推荐的宾客 SSID 安全模式。提供加密,而无需预共享密钥带来的繁琐操作。

AltaPass

Alta Labs 正在申请专利的多密码 SSID 技术实现。允许单个 SSID 承载无限数量的唯一密码,每个密码都有自己的 VLAN、带宽限制、时间表和热点旁路设置。

Alta Labs 硬件上用于多租户细分的主要工具。在住宅、酒店和智能办公部署中取代了对多个 SSID 的需求。

应用实例

一家拥有 200 间客房的酒店需要提供分级的 WiFi 接入:面向普通宾客的免费基础层(10 Mbps)、面向忠诚度会员的高级付费层(50 Mbps),以及面向客房部员工的安全网络。他们希望避免广播多个 SSID,以维持 40 台 Alta Labs AP6 Pro 设备的射频(RF)性能。

部署一个启用了 AltaPass 且名为“Hotel Guest WiFi”的单一 SSID。在 Alta Labs 控制面板中创建三个密码配置文件:(1) 分配给 VLAN 10 的标准宾客密码,限制 10 Mbps 下载速度,并设置外部热点重定向至 Purple 引导页面;(2) 分配给 VLAN 20 的忠诚度会员密码,限制 50 Mbps 速度——Purple 可以在身份验证后通过其营销自动化分发此密码;(3) 分配给 VLAN 30 的客房部员工密码,无带宽限制,启用热点旁路并禁用客户端隔离,以便员工设备可以与后台系统通信。将交换机上行链路配置为允许 VLAN 10、20 和 30 的 Trunk 链路。宾客和忠诚度 VLAN 通过 NAT 路由到互联网。员工 VLAN 路由到物业管理系统子网。

考官评语: 此方法使用 AltaPass 来实现基于身份的网络(Identity-Based Networking),而无需增加 SSID 数量。关键的洞察在于,热点旁路是针对每个密码的设置,而不是针对每个 SSID 的设置。这使得同一个 SSID 能够同时为 captive-portal 宾客和启用了旁路的员工提供服务。通过 Purple 的身份验证后流程分发高级会员层密码是酒店业的常见模式——宾客在标准层登录,如果符合忠诚度标准,Purple 的营销引擎就会向其发送高级访问码。

某零售连锁店正在使用 Alta Labs 硬件在 50 家门店部署 Purple Guest WiFi。在测试期间,引导页面在 Android 设备上加载正常,但 Apple iOS 设备显示通用的“无互联网连接”错误,且不显示登录屏幕。围墙花园(walled garden)中已包含 Purple 门户域名和 Google OAuth 条目。

在 Alta Labs 热点配置中将 captive.apple.com 添加到围墙花园(walled garden)中。iOS 使用此域名作为其 Captive Network Assistant 探测域名。当设备连接到新网络时,iOS 会向 captive.apple.com 发送 HTTP 请求。如果收到预期的响应,它会认为网络是开放的。如果收到重定向,它将启动伪浏览器。如果该域名被完全阻止,iOS 将无法检测到 captive portal 并显示连接错误。一旦该域名被列入白名单,iOS 设备将检测到重定向并自动启动登录屏幕。

考官评语: 这是实际部署中最常见的 captive portal 故障模式。Android 使用 connectivitycheck.gstatic.com,Windows 使用 msftconnecttest.com 来达到相同的目的。对于跨平台部署,这三个域名都必须包含在围墙花园(walled garden)中。这种故障特别容易令人困惑,因为它表现为网络连接错误而不是门户错误,导致工程师在检查围墙花园之前先去排查 DHCP 和 DNS。

练习题

Q1. 您正在会议中心部署 Alta Labs AP6 Pro 接入点。客户需要为与会者提供 captive portal,但也需要销售点(POS)终端安全地连接到相同的接入点,而无需看到引导页面。两种设备类型都应使用相同的 SSID 以简化标识。您该如何配置?

提示:AltaPass 允许在同一个 SSID 上进行针对每个密码的热点旁路设置。

查看标准答案

在单个 SSID 上启用 AltaPass。为 POS 终端创建一个密码,将其分配到启用了热点旁路的安全 VLAN(例如 VLAN 50)——这些设备将直接连接到网络,而不会看到 captive portal。为与会者创建一个单独的密码(或使用开放连接),以触发在 VLAN 10 上向 Purple 引导页面的外部重定向。两种设备类型都连接到相同的 SSID,但根据其密码接收不同的网络策略。

Q2. 在 Alta Labs 网络上配置 Purple captive portal 后,Android 设备成功显示引导页面,但 Apple iOS 设备显示通用的“无互联网连接”错误,且不打开登录屏幕。围墙花园中包括 Purple 门户域名和 Google OAuth 条目。最可能的原因和解决方法是什么?

提示:iOS 使用特定域名来检测 captive portal。如果无法访问该域名,它会认为网络没有互联网连接。

查看标准答案

围墙花园中缺少 captive.apple.com。iOS 在连接到新网络时会向该域名发送 HTTP 探测。如果探测被阻止,iOS 将无法检测到 captive portal,并显示连接错误,而不是启动 Captive Network Assistant。在 Alta Labs 热点配置中将 captive.apple.com 添加到围墙花园中。同时添加适用于 Android 的 connectivitycheck.gstatic.com 和适用于 Windows 的 msftconnecttest.com,以确保跨平台兼容性。

Q3. 某体育场 IT 总监在 Alta Labs 802.1X 员工网络上配置了 RADIUS 分配的 VLAN。RADIUS 服务器正在发送正确的 Tunnel-Private-Group-Id 属性(VLAN 20),但所有员工设备都落在了 VLAN 5 上,而 VLAN 5 是在 SSID 上配置的默认 VLAN。是什么原因导致了这种情况,您该如何解决?

提示:Alta Labs 固件中存在一个已知行为,与 SSID 默认 VLAN 和 RADIUS 分配的 VLAN 之间的交互有关。

查看标准答案

Alta Labs AP 正在使用 SSID 默认 VLAN 值覆盖 RADIUS 分配的 VLAN。这是一个已知的固件行为:当 SSID 上的默认 VLAN 设置为特定值(在本例中为 VLAN 5)时,AP 会使用该值而不是 RADIUS 返回的 VLAN。解决方法是将 802.1X SSID 上的默认 VLAN 设置为 VLAN 1(或保持未标记状态)。将默认值设置为 VLAN 1 后,AP 将正确地针对每个已验证身份的用户采用 RADIUS 分配的 VLAN。

继续阅读本系列

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →

Grandstream GWN Access Points 接入 Purple WiFi 集成指南

本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。

阅读指南 →