跳至主要内容
简体中文

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本权威指南详细介绍了 Cisco Catalyst 9800 WLC 与 Purple WiFi 的逐步集成过程。内容涵盖适用于访客 Captive Portal 的外部 Web 认证、用于保障员工安全接入的 802.1X EAP-TLS,以及用于多租户动态 VLAN 隔离的 Cisco iPSK。

📖 6 分钟阅读📝 1,300 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎来到 Purple 技术简报系列。今天我们要讨论一个几乎每位在酒店、零售或大型场馆工作标的企业网络架构师都会面临的问题:将 Cisco 无线局域网控制器和 Catalyst 无线基础设施与 Purple 的 Guest WiFi 平台相集成。如果您正在运行 Cisco Catalyst 9800 系列控制器或旧版的 AireOS 平台,并且需要提供合规、分段、且由分析驱动的访客网络,那么本期简报就是为您准备的。[medium pause] 首先来看一下背景。Purple 在全球 80,000 多个活跃场馆中运行,而 Cisco 是企业环境中占主导地位的无线基础设施供应商。让这两个平台干净利落地协同工作并不复杂,但确实需要您在前期做出正确的架构决策。如果决策错误,您将花费数周时间来排查重定向循环、VLAN 不匹配和 RADIUS 超时问题。如果决策正确,您将拥有一个能够自动隔离访客、员工和 IoT 设备,合规地收集第一方数据,并无需人工干预即可在数百个站点中进行扩展的网络。[medium pause] 那么让我们进入架构部分。[short pause] 在 Cisco 部署中,当访客连接到您的 WiFi 网络时,在他们访问互联网之前需要发生三件事。首先,Cisco Catalyst 9800 WLC 需要拦截最初的 HTTP 请求并将客户端重定向到 Purple 的 Captive Portal。其次,Purple 的门户需要对用户进行身份验证,无论是通过社交媒体登录、电子邮件、短信,还是简单的接受条款和条件。第三,Purple 的 RADIUS 服务器需要向 WLC 发回信号,表明用户已获得授权,并可选择将其分配给特定的 VLAN。[medium pause] 处理步骤一的机制称为外部 Web 身份验证(External Web Authentication)或 EWA。在 Catalyst 9800 上,您需要配置一个指向 Purple 欢迎页面 URL 的 Web 身份验证参数映射。WLC 会拦截来自未认证客户端的所有 HTTP 流量,并向该 URL 发出 302 重定向。您还需要配置认证前 ACL,或使用 9800 的 URL 过滤器功能,将 Purple 的门户 IP 地址加入白名单,以便客户端在通过身份验证之前能够实际访问欢迎页面。Purple 为其门户提供了两个 IP 地址,您需要在认证前 ACL 中允许这两个地址。[medium pause] 以下是 Catalyst 9800 的配置顺序。首先,创建参数映射。然后配置您的 URL 过滤器以允许 Purple 的域名进行预认证。将此应用于您的 WLAN 策略配置文件,将第 2 层安全设置为 None,在第 3 层上启用 Web 策略,并将其指向您的参数映射。[medium pause] 现在我们来谈谈 RADIUS。在此架构中,Purple 作为 RADIUS 服务器运行。您需要配置 WLC 指向 Purple 的 RADIUS 端点,您可以在 Purple 控制面板中的场馆网络设置下找到该端点。共享密钥是按每个场馆生成的。在 Catalyst 9800 上,导航至 Configuration, Security, AAA, Servers,然后添加包含正确 IP 和共享密钥的 Purple RADIUS 服务器。接着创建一个服务器组、一个身份验证方法列表,并将其应用到您的 WLAN。[medium pause] 有一个容易被忽略的细节:在 9800 上,您还必须在全局 Web 验证参数映射中配置虚拟 IP 地址。使用 192.0.2.1 作为虚拟 IPv4 地址。如果忽略这一步,客户端有时会被重定向到内部门户而不是 Purple 的门户,您可能会因此白白浪费一个下午的时间去寻找原因。[medium pause] 接下来,我们看看使用 802.1X 的员工 WiFi。[short pause] 对于员工网络,您需要使用 EAP-TLS 进行基于证书的身份验证,或者在无法部署证书的环境中,至少使用带有 MSCHAPv2 的 PEAP。在 Catalyst 9800 上,为员工创建一个独立的 WLAN,将第 2 层安全设置为 WPA2 企业级 (WPA2 Enterprise),并将身份验证指向您的 RADIUS 服务器。如果您使用 Microsoft Entra ID 或 Okta 作为身份源提供商,Purple 的 SecurePass 插件可作为 RADIUS 代理,将 802.1X 身份验证请求转换为身份源提供商查询。这意味着您不需要为员工身份验证配置单独的本地 RADIUS 服务器。Purple 会处理 EAP 终结并将身份检查转发给您的身份源提供商。[medium pause] 特别是对于 EAP-TLS,您需要通过 Microsoft Intune、Jamf 或类似的 MDM 平台向员工设备部署客户端证书。证书链必须被 Purple 的 RADIUS 服务器所信任,这意味着需要将您的根 CA 证书上传到 Purple 控制面板。配置完成后,员工设备就可以进行无感知验证,无需密码提示,无需展示页面。用户连接后,证书通过验证,即可在几秒钟内接入员工 VLAN。[medium pause] 现在,我们来聊聊大多数架构师都非常感兴趣的部分:Cisco 身份 PSK,即 iPSK。[short pause] iPSK 解决了多租户环境中经常出现的特定问题。想象一个拥有 300 间客房的酒店、一个拥有 50 家门店的零售物业、或一个拥有 200 套公寓的“建房出租”住宅区。您希望使用单个 SSID,但需要将每个租户、每个房间或每个设备组隔离在各自的 VLAN 上。传统的解决方案是为每个租户创建一个单独的 SSID,这既无法扩展,又会造成射频拥堵。而 iPSK 可以为您提供单个 SSID,其中每个客户端或客户端组都拥有一个唯一的预共享密钥,且 RADIUS 服务器会将该密钥映射到特定的 VLAN。[medium pause] 以下是其技术工作原理。当客户端关联到 SSID 时,Catalyst 9800 WLC 会向 Purple 的 RADIUS 服务器发送一个包含客户端 MAC 地址的 RADIUS Access-Request。Purple 的 RADIUS 服务器在其 iPSK 数据库中查找该 MAC 地址,找到关联的 PSK 和 VLAN 分配,并返回一个 RADIUS Access-Accept,其中包含带有 PSK 的 Cisco AV-pair 以及用于 VLAN 分配的 IETF 隧道属性。WLC 使用返回的 PSK 完成 WPA2 四步握手,然后将客户端放入分配的 VLAN 中。 [medium pause] 动态 VLAN 分配所需的三个 RADIUS 属性是:IETF 属性 64(Tunnel-Type),设置为 VLAN 且值为 13。IETF 属性 65(Tunnel-Medium-Type),设置为 802 且值为 6。以及 IETF 属性 81(Tunnel-Private-Group-ID),设置为 VLAN ID 的字符串形式。这三个属性在 RADIUS Access-Accept 中一起发送,可以准确地告诉 WLC 应该分配哪个 VLAN。该 VLAN 必须已经作为动态接口存在于 WLC 上,并且上行交换机端口必须配置为承载所有相关 VLAN 的 Trunk 链路。 [medium pause] 在 WLC 侧,在 iPSK WLAN 上启用 MAC 过滤,启用 AAA Override,并将 Layer 2 安全性设置为 WPA2-PSK。您在 WLAN 上配置的全局 PSK 仅充当备用方案。对于 MAC 地址已注册在 Purple 的 iPSK 数据库中的任何客户端,RADIUS 返回的 PSK 具有最高优先级。对于未注册的设备,您可以拒绝访问或回退到全局 PSK,具体取决于您的策略。 [medium pause] 让我为您提供两个实际应用场景,使其更加具体。 [short pause] 第一个场景:一家拥有 200 间客房的酒店。该酒店希望将访客分配在仅限互联网访问的 VLAN 10,员工分配在可访问物业管理系统的 VLAN 20,而物联网设备、门锁、恒温器、CCTV 则分配在无互联网访问的 VLAN 30。他们运行的是 Cisco Catalyst 9800 控制器和 Cisco 9100 系列接入点。 [medium pause] 架构设计:WLC 上有三个策略配置文件,每个 VLAN 一个。一个用于访客的单一 SSID,使用指向 Purple 的外部 Web 认证。一个用于员工的独立 SSID,使用 WPA2 Enterprise 和 EAP-TLS,通过 Purple SecurePass 针对 Microsoft Entra ID 进行身份验证。以及用于物联网设备的 iPSK,每个设备的 MAC 地址都注册在 Purple 的门户中并分配到 VLAN 30。酒店的物业管理系统通过 Purple 的 API 配置新的物联网设备,因此当安装新的门锁时,其 MAC 地址会自动注册并分配到正确的 VLAN。无需手动进行 RADIUS 配置。 [medium pause] 第二个场景:一个拥有 80 家门店的零售连锁品牌。每家门店都有一个访客 WiFi 网络、一个员工网络和一个用于支付终端的网络。PCI DSS 合规性要求支付终端网络与访客网络完全隔离。该零售商在每个站点使用 Cisco Catalyst 9800-L 控制器,并通过 Cisco Catalyst Centre 进行集中管理。 [medium pause] Purple 采用云端覆盖方式进行部署。每个门店的 WLC 都配置有 Purple 的 RADIUS 服务器详情。访客身份验证使用包含电子邮件捕获功能的品牌宣传页面,将第一方数据注入 Purple 的分析平台。员工身份验证通过 Purple SecurePass 使用 PEAP 对接 Active Directory。支付终端使用带有专用 VLAN 的 iPSK,且预身份验证 ACL 明确阻止支付 VLAN 与访客 VLAN 之间的任何流量,从而满足 PCI-DSS 规范 1.3 关于网络隔离的要求。 [medium pause] 现在我们来谈谈可能遇到的陷阱。 [short pause] 最常见的故障模式是重定向循环。当预身份验证 ACL 未能正确将 Purple 的门户 IP 地址列入白名单时,就会发生这种情况,导致 WLC 将客户端重定向到 Purple 的门户,但客户端由于受到 ACL 阻挡而无法访问该门户,于是 WLC 再次重定向,无限循环。解决方法:验证您的 URL 过滤器或预身份验证 ACL 是否同时包含 Purple 的两个门户 IP 地址,并确认在预身份验证阶段允许进行 DNS 解析。 [medium pause] 第二个常见问题是 VLAN 不匹配。RADIUS 服务器返回了一个在 WLC 上并不作为动态接口存在的 VLAN ID。然后 WLC 会将客户端置于原生 VLAN(通常是管理 VLAN)中。这存在安全风险。解决方法:在部署之前,对照 Purple 的 RADIUS 策略中配置的 VLAN ID 审计您的 WLC 动态接口。它们必须完全匹配。 [medium pause] 第三个陷阱:EAP-TLS 部署中的证书信任失败。如果客户端的证书链不被 Purple 的 RADIUS 服务器所信任,从用户的角度来看,身份验证会静默失败。他们就是无法连接。解决方法:在部署客户端证书之前,将您的根 CA 以及任何中间 CA 证书上传到 Purple 的 SecurePass 配置中。在推广到整个设备群之前,先用单台设备进行测试。 [medium pause] 快速问答。 [short pause] 我可以在 Cisco Meraki 上使用 Purple 代替 WLC 吗?可以。Cisco Meraki 拥有自己的 Captive Portal 集成机制,并且 Purple 原生支持该机制。RADIUS 配置类似,但使用的是 Meraki 的仪表板,而不是 WLC 命令行。 [short pause] Purple 在 Cisco 上支持 WPA3 吗?支持。Cisco Catalyst 9800 配合 IOS-XE 17.3 及更高版本支持 WPA3-SAE。Purple 的 RADIUS 集成在 WPA3 下的工作方式完全相同。 [short pause] 推荐的 RADIUS 超时设置是多少?将您的主 RADIUS 服务器超时设置为 3 秒,并重试 2 次。配置备用 RADIUS 服务器以进行故障转移。Purple 为企业客户提供冗余的 RADIUS 端点。 [short pause] 我可以将 Cisco ISE 与 Purple 一起使用吗?可以。一些组织在将 Purple 用于访客门户和分析的同时,使用 ISE 进行准入评估和设备画像。这两个 RADIUS 服务器配置在不同的 WLAN 上。 [medium pause] 总结一下。 [short pause] Cisco WLC 和 Catalyst 无线基础设施与 Purple 完美集成,利用 External Web Authentication 进行访客 Captive Portal 重定向,通过 Purple SecurePass 采用 802.1X EAP-TLS 或 PEAP 进行员工身份验证,并使用支持动态 VLAN 分配的 Cisco iPSK 进行多租户和 IoT 隔离。这三个 RADIUS VLAN 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID)是驱动动态隔离的机制。在进行整网部署之前,请确保预授权 ACLs 配置正确、RADIUS 与 WLC 之间的 VLAN IDs 匹配,并测试证书信任链。[medium pause] Purple 业务覆盖超过 80,000 个场所,并在 2024 年处理了 4.4 亿次登录。与 Cisco 的集成是我们全球部署最多的配置之一。如果您想开始使用,Purple 控制面板将引导您完成每个场所的 RADIUS 配置,我们的集成团队也将为您的大型企业部署提供支持。[medium pause] 本期简报到此结束。感谢收听。

header_image.png

执行摘要

在企业环境中部署安全、合规且可扩展的无线网络,需要基础设施与身份提供商之间的紧密集成。本指南详细介绍了将 Cisco Catalyst 9800 无线局域网控制器 (WLC) 与 Purple 云平台集成所需的架构决策和配置步骤。

针对访客接入,我们探讨了用于 Captive Portal 重定向的外部 Web 认证 (EWA),以实现第一方数据收集和 Guest WiFi 分析。针对员工接入,我们详细介绍了使用 Purple SecurePass 作为 RADIUS 代理连接到 Microsoft Entra ID 或 Okta 的 802.1X EAP-TLS 和 PEAP 认证。针对物联网和多租户环境,我们概述了 Cisco 身份 PSK (iPSK) 配置,该配置可在单个 SSID 上实现动态 VLAN 分配和网络分段,而无需依赖复杂的证书部署。

Purple 在全球 80,000 多个活跃场所运行,在 2024 年处理了 4.4 亿次登录。这种集成在对在线率、合规性和无缝用户体验有着极高要求的业务高密度 HospitalityRetailTransport 环境中得到了验证。

技术深度探究:架构和认证流程

1. Guest WiFi:外部 Web 认证 (EWA)

为了提供品牌专属的 Captive Portal 并捕获用户数据以进行 WiFi Analytics ,Cisco Catalyst 9800 WLC 必须拦截未认证的 HTTP 流量并将其重定向到 Purple 云端托管的展示页面。这种机制称为外部 Web 认证 (EWA)。

architecture_overview.png

该过程遵循特定的顺序:

  1. 客户端关联到开放或机会性无线加密 (OWE) SSID。
  2. WLC 将客户端置于 Webauth_reqd 状态,并应用预认证访问控制列表 (ACL)。
  3. WLC 拦截客户端的 HTTP 请求,并向 Purple 的展示页面 URL 发出 302 重定向,同时附加 AP MAC 地址、客户端 MAC 地址和 WLAN SSID 等参数。
  4. 客户端在 Purple 门户上完成认证流程(例如:社交登录、电子邮件获取或接受条款)。
  5. Purple 的 RADIUS 服务器向 WLC 发送 Access-Accept 消息。
  6. WLC 将客户端移动到 Run 状态,根据认证后策略授予互联网访问权限。

2. Staff WiFi:802.1X EAP-TLS 和 PEAP

对于企业设备,支持 802.1X 的 WPA2/WPA3 Enterprise 提供了最强大的安全态势。Purple SecurePass 作为云 RADIUS 代理,代替了部署本地 RADIUS 服务器(如 Cisco ISE)。它会终止可扩展身份验证协议 (EAP) 隧道,并将身份验证转发到您的身份提供商 (IdP),例如 Microsoft Entra ID 或 Google Workspace。

  • EAP-TLS:推荐用于受管理的企业设备。需要通过 MDM(例如 Microsoft Intune)部署客户端证书。身份验证是静默且高度安全的。
  • PEAP-MSCHAPv2:推荐用于证书部署不切实际的 BYOD 环境。用户使用其企业凭证进行身份验证。

3. IoT 和多租户:Cisco Identity PSK (iPSK)

在构建租赁 (BTR) 物业、学生公寓或拥有大量 IoT 设备的零售店等环境中,由于设备缺乏客户端支持,部署 802.1X 通常是不可能的。为每个租户或设备类型创建单独的 SSID 会导致 RF 拥塞。

Cisco iPSK 通过在单个 SSID 上允许多个唯一的预共享密钥 (PSK) 来解决此问题。当设备关联时,WLC 会将其 MAC 地址发送到 Purple 的 RADIUS 服务器。Purple 会返回该设备的特定 PSK 以及动态 VLAN 分配属性,从而在交换机端口处对流量进行细分。

ipsk_multitenant_diagram.png

实施指南

配置访客 Captive Portal 重定向

要在 Catalyst 9800 WLC 上配置外部 Web 身份验证,您必须定义参数映射和 URL 过滤器,以允许预身份验证流量访问 Purple 的门户网站 [1]。

步骤 1:创建 Web 身份验证参数映射

配置 WLC 以将客户端重定向到 Purple 门户网站,并传递必要的变量。您必须在全局配置虚拟 IPv4 地址(通常为 192.0.2.1)。

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

步骤 2:配置预身份验证 URL 过滤器

客户端必须在获得身份验证之前访问 Purple 的门户网站。9800 WLC 使用 URL 过滤器,根据 DNS 窥探动态地在拦截 ACL 中开辟通道。

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

将此 URL 过滤器应用到您的 WLAN 策略配置文件中的预身份验证 ACL 设置下。

为 iPSK 配置动态 VLAN 分配

要将用户或设备动态分配到特定的 VLAN,Purple RADIUS 服务器必须在 Access-Accept 响应中发送三个特定的 IETF 属性 [2]。

  1. IETF 64 (Tunnel-Type):设置为 VLAN(值为 13)。
  2. IETF 65 (Tunnel-Medium-Type):设置为 802(值为 6)。
  3. IETF 81 (Tunnel-Private-Group-ID):设置为字符串格式的 VLAN ID(例如 "10")。

在 Catalyst 9800 WLC 上,确保在 iPSK WLAN 上配置了以下内容:

  • 已启用 MAC 过滤。
  • 已启用 AAA Override(这对于接受 RADIUS VLAN 分配至关重要)。
  • 第 2 层安全设置为 WPA2-PSK(配置的 PSK 用作备用)。

最佳实践

  • VLAN 验证:RADIUS 服务器在 Tunnel-Private-Group-ID 中返回的 VLAN ID 必须作为动态接口存在于 WLC 上。如果不存在,WLC 会将客户端放入本地 VLAN,从而带来严重的安全风险。
  • 证书信任链:对于 EAP-TLS 部署,请在分发客户端证书之前,将您的根 CA 和任何中间 CA 证书上传到 Purple SecurePass 控制面板。如果 RADIUS 服务器无法验证该链,身份验证将静默失败。
  • 冗余 RADIUS:务必配置备用 RADIUS 服务器。将主超时设置为 3 秒并重试 2 次,以确保快速故障转移,而不会让用户感到沮丧。
  • 采用 WPA3:在客户端设备支持的情况下,对 iPSK 网络使用 WPA3-SAE。对于开放式访客网络,实施 WPA3-OWE(机会性无线加密)以在不需要密码的情况下加密流量。

故障排除与风险缓解

故障模式 症状 根本原因 缓解措施
重定向循环 客户端设备不断刷新 Captive Portal 页面而无法加载。 预身份验证 ACL 或 URL 过滤器不允许访问 Purple 的 Portal IP 地址。WLC 重定向客户端,客户端尝试加载页面,WLC 将其阻止并再次重定向。 验证 PURPLE-PREAUTH URL 过滤器是否已应用于策略配置文件,并且 Portal 域名的拼写正确。确保在预身份验证阶段允许 DNS 流量。
iPSK 备用失败 未注册的 IoT 设备连接到网络但获取了错误的 IP 地址。 该设备的 MAC 地址不在 Purple 的 RADIUS 数据库中。WLC 回退到在 WLAN 上配置的全局 PSK,并分配默认 VLAN。 在 Purple 控制面板中审核该 MAC 地址。确保分配给 WLAN 策略配置文件的默认 VLAN 是受限的隔离网络,而不是企业 LAN。
RADIUS 超时 客户端连接时出现长时间延迟;WLC 日志显示 RADIUS 服务器不可达。 WLC 与 Purple 的云 RADIUS 端点之间的防火墙阻止了 UDP 端口 1812(身份验证)或 1813(记账)。 验证出站防火墙规则是否允许从 WLC 管理接口到 Purple 已公布的 RADIUS IP 地址的 UDP 1812/1813 流量。

投资回报率与业务影响

结合 Cisco 和 Purple 实施统一架构,可从三个维度带来可衡量的业务价值:

  1. 运营效率:使用 iPSK 代替手动 VLAN 配置和多个 SSID,可减少 IT 工单量。通过 API 自动进行 IoT 入网,可为每个站点节省技术人员的大量时间。
  2. 合规与安全:动态 VLAN 分配通过将支付终端与访客流量进行严格隔离(要求 1.3),确保零售环境符合 PCI DSS 合规性。EAP-TLS 提防并消除了员工共享密码的风险。
  3. 创收:集成 Captive Portal 将成本中心(访客 WiFi)转变为营销资产。获取用户主动选择的订阅,可构建第一方数据库,从而推动会员忠诚度活动和二次到访。

参考文献

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," 2025年5月。 [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," 2012年9月。

关键定义

External Web Authentication (EWA)

一种机制,Cisco WLC 通过该机制拦截未认证的 HTTP 流量,并将客户端重定向到外部托管的 Captive Portal(如 Purple)进行认证。

用于提供品牌化的 Portal 页面并收集第一方数据,而无需依赖 WLC 受限的内部 Web 服务器。

Identity PSK (iPSK)

一项 Cisco 功能,允许在单个 SSID 上使用多个唯一的预共享密钥,每个密钥通过 RADIUS 映射到特定的客户端 MAC 地址和 VLAN。

对于保障不支持 802.1X 的物联网设备和多租户环境的安全至关重要,可减少对多个 SSID 的需求。

AAA Override

Cisco WLC 上的 WLAN 设置,可强制控制器接受 RADIUS 服务器返回的策略参数(如 VLAN ID 或 ACL),从而覆盖本地 WLAN 配置。

必须启用此项才能使动态 VLAN 分配和 iPSK 正常工作。

EAP-TLS

可扩展身份验证协议 - 传输层安全。一种高度安全的 802.1X 认证方法,依赖于相互证书交换而非密码。

员工 WiFi 安全的黄金标准,需要 MDM 将客户端证书部署到公司设备上。

PEAP-MSCHAPv2

受保护的可扩展身份验证协议。一种 802.1X 方法,在 TLS 隧道内对认证过程进行加密,允许用户使用用户名和密码安全地进行认证。

用于无法部署客户端证书的 BYOD 员工网络。

Pre-Authentication ACL

在无线客户端认证之前应用于其上的访问控制列表,明确定义了他们可以访问的内部网络资源。

对 Captive Portal 至关重要;它必须允许 DNS 以及对 Purple Portal 页面 IP 的访问,同时阻止所有其他流量。

Dynamic Interface

在 WLC 上创建的逻辑接口,映射到特定的 VLAN ID 和物理端口。

当 RADIUS 返回用于动态分配的 VLAN ID 时,该 VLAN 必须已作为 WLC 上的动态接口存在,否则客户端将被丢弃到本地 VLAN 中。

WPA3-SAE

对等实体同时身份验证。WPA2-PSK 的现代替代方案,提供前向保密和防止离线字典攻击的保护。

由 Cisco Catalyst 9800 和 Purple RADIUS 支持,用于保护现代物联网和访客网络的安全。

应用实例

一家拥有 200 间客房的酒店需要使用单个 Cisco Catalyst 9800 WLC 隔离访客、员工和物联网设备(门锁、温控器)之间的网络流量,同时不创建多个会导致射频拥堵的 SSID。

使用 Cisco iPSK 部署单个 SSID。在 Purple 的控制面板中注册每个物联网设备的 MAC 地址,并将每个设备分配到 VLAN 30。配置 WLC WLAN,启用 MAC 过滤、AAA Override 和 WPA2-PSK。当门锁关联时,Purple 的 RADIUS 服务器会返回唯一的 PSK 以及 IETF 属性 64、65 和 81,从而动态地将设备引导至 VLAN 30。访客则使用单独的开放 SSID,通过指向 Purple 的 Captive Portal 的外部 Web 认证进行接入。

考官评语: 这种方法在保持严格的二层隔离的同时,最大限度地减少了 SSID 的开销。对无源物联网设备使用 iPSK,避免了向不支持证书的终端部署 802.1X 证书的复杂性。

一家拥有 80 家门店的零售连锁店必须将支付终端流量与访客 WiFi 流量隔离开来,以维持 PCI DSS 合规性,并需通过 Cisco Catalyst Centre 进行集中管理。

为访客 SSID 配置认证前 ACL,明确丢弃发往支付终端网段(VLAN 40)的流量。使用 iPSK 对支付终端进行认证,通过 Purple 的 RADIUS 服务器动态将其分配到 VLAN 40。访客流量则通过 Purple Captive Portal 进行认证并分配到 VLAN 10。

考官评语: 此设计通过实施网络隔离满足了 PCI DSS 要求 1.3。在 Purple 中集中管理 RADIUS 策略,确保了所有 80 家门店的一致 VLAN 分配,无需手动配置交换机端口。

练习题

Q1. 您正在 Catalyst 9800 WLC 上部署 Captive Portal。客户端关联到 SSID,但其浏览器不断刷新展示页面 URL,而无法加载内容。最可能的架构原因是什么?

提示:考虑客户端在身份验证完成之前的状态,以及允许通过哪些流量。

查看标准答案

预身份验证 ACL 或 URL 过滤器配置错误。它阻止了对 Purple 的门户 IP 地址的访问。WLC 拦截流量并重定向到门户,但客户端无法访问门户进行加载,从而触发无限重定向循环。您必须明确允许 Purple 的 IP 地址,或对门户域名使用 URL 过滤器。

Q2. 某物联网设备通过 iPSK 成功进行身份验证,并且 Purple 的 RADIUS 服务器返回了带有 IETF 属性 64、65 和 81(指定 VLAN 50)的 Access-Accept。然而,该设备被分配到了 VLAN 10(管理 VLAN)。为什么会发生这种情况?

提示:考虑在 WLC 本上接受和应用 RADIUS 分配的 VLAN 所需的前提条件。

查看标准答案

要么是 WLAN 高级设置中禁用了 "AAA Override",导致 WLC 忽略了 RADIUS 属性;要么是 VLAN 50 在 WLC 上作为配置的动态接口并不存在。如果分配的 VLAN 在本地不存在,WLC 将回退到原生/管理 VLAN。

Q3. 某场所希望使用 Microsoft Entra ID 为员工 WiFi 部署 802.1X。他们没有像 Cisco ISE 这样的本地 RADIUS 服务器。如何使用 Purple 平台实现这一目标?

提示:考虑 Purple 如何处理 EAP 隧道和身份验证。

查看标准答案

配置 WLC 使用 Purple SecurePass 作为 RADIUS 服务器。Purple 充当云 RADIUS 代理,终止来自 WLC 的 EAP-TLS 或 PEAP 隧道,并通过 API/SAML 将身份查询安全地转发给 Microsoft Entra ID。无需本地 RADIUS 服务器。

继续阅读本系列

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →

Grandstream GWN Access Points 接入 Purple WiFi 集成指南

本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。

阅读指南 →