Arista Cognitive Wi-Fi 与 Purple WiFi 的集成

执行摘要

部署用于访客访问的 Arista Captive Portal 不仅仅是一项连接任务。它是网络安全、合规性和数据策略的关键交汇点。对于管理分布式场所的 IT 领导者，将 Arista CloudVision Cognitive Unified Edge (CV-CUE) 与 Purple 集成，可将未管理的访客流量转化为安全、细分且可衡量的资产。

本参考提供了配置 Arista Cognitive Wi-Fi 与 Purple 的决定性蓝图。我们详细介绍了部署第三方托管展示页面、构建精确的 Walled Garden 访问控制列表以及实施 RADIUS 认证所需的具体机制。我们还涵盖了使用 Arista 私有预共享密钥（PPSK）和动态 VLAN 引导的高级多租户 WiFi 隔离——这种架构消除了联合办公空间、零售商场和住宅楼宇中的 SSID 蔓延。

Purple 在全球 80,000 多个活跃场所运行，并在 2024 年处理了 4.4 亿次登录（Purple 内部数据）。该平台已通过 ISO 27001 认证，符合 GDPR 和 CCPA 合规要求，并获得了 Cyber Essentials 和 B Corp 认证。本指南反映了在酒店、零售和公共部门部署中经过验证的生产测试配置。

技术深挖

Arista Captive Portal 接入架构

访客接入流程决定了设备在认证前后如何与 Arista 接入点（AP）进行交互。当设备与开放的访客 SSID 关联时，Arista AP 会将其分配到预认证 VLAN。在此状态下，AP 将 DNS 和 HTTP 流量限制在定义的允许列表中。设备操作系统会检测 Captive Portal 并尝试访问已知端点——iOS 向 captive.apple.com 发送 HTTP 请求，Android 向 connectivitycheck.gstatic.com 发送，Windows 向 www.msftconnecttest.com 发送。Arista AP 拦截此请求并向 Purple 展示页面 URL 发出 HTTP 302 重定向。

{{asset:captive_portal_flow.png}}

为了确保该流程无误执行，必须将 Arista CV-CUE 控制器配置为指向 Purple 作为第三方托管门户。这需要在 CV-CUE 网络配置文件中定义 Purple RADIUS 服务器（认证端口 1812，计费端口 1813）。一旦访客在 Purple 门户上提交其凭据或接受条款，Purple 就会充当 RADIUS 服务器，并将 Access-Accept 消息发送回 Arista AP。该消息包含 RFC 3576 中定义的 RADIUS 授权变更（CoA）属性，指示 AP 将客户端 MAC 地址从受限的预认证状态过渡到后认证 VLAN 上的完全互联网访问。

CV-CUE 中的 Walled Garden ACL 设计

Walled Garden 是未认证设备为了加载展示页面并完成认证而必须访问的域名和 IP 地址白名单。在 Arista CV-CUE 中，您可以在 Captive Portal 设置下的“Websites that users can access before login”（用户登录前可访问的网站）中进行配置。

Walled Garden 是一个明确的允许列表。您必须包含核心 Purple 域名以渲染门户。如果您提供社交登录，还必须将身份提供商（IdP）域名加入白名单。未能维护此列表会导致访客无法加载认证提供商的登录屏幕，从而导致立即放弃连接。

Purple 所需的最低 Walled Garden 条目：

• region1.purpleportal.net
• venuewifi.com
• cloudfront.net
• openweathermap.org
• stripe.com（如果启用了付费网关访问）

社交登录的其他条目：

• Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
• Google Workspace: accounts.google.com, googleapis.com
• Twitter/X: twitter.com, twimg.com
• LinkedIn: linkedin.com, licdn.net

用于多租户隔离的 Arista PPSK 配置

对于联合办公空间、住宅楼宇或零售商场等环境，标准的 802.1X 对于未管理的设备往往过于复杂，而开放网络又缺乏必要的安全性。Arista 私有预共享密钥（PPSK）通过允许在单个 SSID 上使用多个唯一的密码来解决这个问题，每个密码都映射到不同的网络策略。

当与 Purple RADIUS 集成时，Arista PPSK 支持动态 VLAN 引导。居民或零售租户使用其特定的 PPSK 连接到统一的 SSID。Arista AP 针对 Purple RADIUS 服务器验证该密钥。Purple 返回标准的 Access-Accept，但附加了驱动 VLAN 分配的三个 RADIUS 属性：

Arista AP 动态地将设备分配到该 VLAN。这在租户之间提供了严格的二层（Layer 2）隔离，而无需广播数十个单独的 SSID，从而优化射频 u利用率，同时保持绝对的安全边界。

使用 IEEE 802.1X 保护员工 WiFi 安全

对于员工网络，共享密码是一个安全隐患。IEEE 802.1X（定义于 IEEE Std 802.1X-2020）使用基于每个用户的凭据提供基于端口的网络访问控制。在 CV-CUE 中，您可以使用 WPA2-Enterprise 或 WPA3-Enterprise 安全性配置企业 SSID。AP 作为认证器，通过 EAP（可扩展身份验证协议）将凭据转发到 RADIUS 服务器。Purple 支持用于用户名/密码身份验证的 EAP-PEAP 和用于基于证书的身份验证的 EAP-TLS。

对于 EAP-TLS 部署，您可以与 Microsoft Entra ID、Okta 或 Google Workspace 集成作为证书颁发机构。当员工设备出示有效的客户端证书时，RADIUS 服务器会根据目录对其进行验证并返回 Access-Accept。这完全消除了凭据窃取这一攻击途径。

Arista Cloud WIPS 集成

Arista 的无线入侵防御系统 (WIPS) 在后台持续运行，扫描恶意接入点、配置错误的 AP 和未经授权的客户端。在 CV-CUE 中，导航至 Configure > WIPS > Automatic Intrusion Prevention 以配置防御级别。Arista 提供四个级别：Degrade、Interrupt、Disrupt 和 Block。对于企业部署，请从 Disrupt 开始，它会干扰未经授权的通信而不会完全阻止它，从而降低初始部署期间的误报风险。

在 Configure > Device > Access Point > Security 选项卡下启用 SSID VLAN Monitoring，以确保 AP 积极监控其分配的 VLAN 是否存在恶意活动。Arista AP-3xx 系列型号支持同时监控多达 42 个 VLAN（Arista WIPS 文档，2025 年）。

实施指南

阶段 1：网络分段和 RADIUS 设置

1. 登录 Arista CV-CUE 并导航至 Configure > Network Profiles > RADIUS。
2. 点击 Add RADIUS Server。
3. 输入 Primary Purple RADIUS 服务器详细信息：IP 地址、认证端口 (1812)、计费端口 (1813) 以及来自 Purple 门户硬件配置页面的共享密钥 (Shared Secret)。
4. 对 Secondary Purple RADIUS 服务器重复此操作以确保高可用性。
5. 验证防火墙上 Arista AP 与 Purple RADIUS 服务器之间的 UDP 端口 1812 和 1813 是否已打开。

阶段 2：访客 SSID 和 Captive Portal 配置

1. 导航至 Configure > WiFi > SSID 并点击 Add New SSID。
2. 定义 SSID 名称（例如 Guest_WiFi）并将 SSID 类型设置为 Guest。
3. 在 Security 选项卡下，将安全级别设置为 Open。
4. 在 Network 选项卡下，配置具有专用 DHCP 作用域的预认证 VLAN（例如 VLAN 10）。
5. 在 Captive Portal 选项卡下，勾选 Captive Portal 复选框。
6. 从 Cloud Hosted 下拉菜单中选择 Third-Party Hosted。
7. 勾选 With RADIUS Authentication 并选择 Purple RADIUS 配置文件。
8. 输入 Purple 欢迎页面 URL（例如 https://region1.purpleportal.net/access/）和重定向 URL（例如 https://region1.purpleportal.net/access/?res=success）。
9. 将 Called Station ID 格式设置为 %m（Purple 要求的 MAC 地址格式）。
10. 将 Accounting Interval 设置为 2 分钟。
11. 清除 HTTPS Redirection 复选框。

阶段 3：Walled Garden 部署

1. 在 Captive Portal 选项卡中，找到 Websites that users can access before login 区域。
2. 添加上面列出的所有必需的 Purple 域名和身份提供商域名。
3. 保存 SSID 配置并将其应用到目标 Arista AP 组。

阶段 4：PPSK 多租户设置

1. 在 Purple 门户中，导航至场所硬件配置并获取 PPSK RADIUS 设置。
2. 在 CV-CUE 中，创建一个具有 WPA2-Personal 安全性的新 SSID 并启用 PPSK 模式。
3. 配置 SSID 以针对 Purple RADIUS 配置文件进行身份验证。
4. 在 Purple 门户中，为每个租户创建一个 PPSK 密码，并将其映射到相应的 VLAN ID。
5. 验证连接到 Arista AP 的交换机端口是否已配置为汇聚 (trunk) 所需的租户 VLAN。

阶段 5：保护员工 WiFi 安全 (802.1X)

1. 在 CV-CUE 中创建一个新的企业 SSID。
2. 在 Security 选项卡下，选择 WPA2-Enterprise 或 WPA3-Enterprise。
3. 选择指向您的企业身份提供商（Microsoft Entra ID、Okta 或 Google Workspace）的 RADIUS 配置文件。
4. 配置 EAP 类型：用户名/密码使用 PEAP，基于证书的身份验证使用 EAP-TLS。
5. 将员工 SSID 分配给与访客 VLAN 隔离的专用 VLAN（例如 VLAN 20）。

最佳实践

自动更新 Walled Garden。 身份提供商经常更改其 CDN 域名。建议每季度对照 Purple 更新的域名列表，审查您的 Arista CV-CUE Walled Garden 配置。只要遗漏一个 CDN 条目，就会导致所有访客的社交媒体登录失败。

根据场所类型优化会话定时器。 在 Arista CV-CUE 中配置空闲超时，以匹配您场所的流量特征。零售环境适合使用 10 分钟的空闲超时，以便从已离开商店的设备中回收 IP 地址。酒店部署应使用更长的超时时间（4-8 小时），以避免在住客停留期间重复触发门户。

强制执行 Client Isolation。 务必在 Arista CV-CUE 内的访客 SSID 上启用 Client Isolation。这可以防止访客设备之间相互通信，从而降低横向移动风险，并满足 PCI DSS 网络分段要求。

启用 RADIUS Accounting。 确保启用 RADIUS Accounting，间隔为 2 分钟。这可以为 Purple 提供准确的会话时长和数据传输指标，并将其馈送到 WiFi 分析 仪表板中，从而实现准确的访客停留时间分析。

按 SSID 类型而非 AP 进行分段。 将访客、员工和多租户 SSID 应用于相同的 AP 组。Arista CV-CUE 会处理每个 SSID 的 VLAN 标记，因此 您不需要为每种用户类型配置独立的 AP。这在简化硬件部署的同时，保持了严格的逻辑隔离。

要更全面地了解企业 WiFi 安全架构，请参阅我们的 企业 WiFi 安全：2026 年完整指南 。

案例研究

案例研究 1：拥有 350 间客房的连锁酒店

一家拥有 12 家分店的中端连锁酒店在所有场所部署了 Arista Wi-Fi 6E AP，并通过单个 CV-CUE 实例进行管理。其需求是提供带有用于营销的电子邮件捕获功能的品牌化 Guest WiFi，并与物业管理系统 (PMS) 网络隔离，同时还要为员工设备支持 802.1X 认证。

该团队为每个场所配置了三个 SSID：指向 Purple 的 Guest SSID (VLAN 10)、针对 Microsoft Entra ID 使用 802.1X 的 Staff SSID (VLAN 20)，以及用于楼宇管理设备的 IoT SSID (VLAN 30)。Purple 门户在办理入住时捕获了宾客的电子邮件地址和同意书。在 90 天内，该连锁酒店收集了 68% 宾客的经过验证的第一方数据（Purple 内部数据），从而能够开展针对性的重新互动营销活动。PMS 网络保持完全隔离，满足了持卡人数据环境细分的 PCI DSS 要求。

案例研究 2：多租户联合办公空间

一家管理着八个地点的联合办公运营商需要为每个站点内的 35 家会员公司提供隔离的 WiFi，而无需广播 35 个 SSID。当时的射频 (RF) 环境已经非常拥挤，SSID 泛滥正在降低所有会员的性能体验。

解决方案是每个站点使用一个 SSID，结合 Arista PPSK 与 Purple RADIUS。每家会员公司都获得了一个唯一的 PPSK 密码。Purple 将每个密码映射到专用 VLAN（VLAN 100 到 VLAN 3500）。当会员连接时，Arista AP 会根据 Purple RADIUS 返回的 Tunnel-Private-Group-ID 动态地将他们引导至其对应的 VLAN。结果是每个站点的 SSID 从 35 个减少到 1 个，空口时间效率显著提升，并且会员公司之间实现了完全的二层 (Layer 2) 隔离。当会员合同结束时，运营商只需在 Purple 门户中撤销其密码，即可在几秒钟内终止其访问权限。

故障排除与风险缓解

问题：Apple 设备上无法加载展示页面 (Splash page)。 iOS 使用特定机制来检测 Captive Portal。如果展示页面无法自动加载，请验证 Arista Walled Garden 是否包含了所有 Purple CDN 域名。如果 Walled Garden 限制过于严格，iOS 设备将无法加载门户资源并会中断连接。

问题：MAC 地址随机化破坏了对回头客的识别。 iOS 14+ 和 Android 10+ 设备会针对每个 SSID 随机化其 MAC 地址。这导致 Purple 无法仅凭 MAC 地址识别回头客。请依赖经过身份验证的身份（电子邮件或社交登录）进行长期跟踪。如需在没有 Captive Portal 的情况下实现无缝、安全的重新连接，请迁移到 Passpoint/Hotspot 2.0 架构。

问题：使用 PPSK 时动态 VLAN 引导失败。 如果租户被分配了默认 VLAN 而不是其特定的 VLAN，请使用 Arista CV-CUE 故障排除工具验证 RADIUS 响应。确保 Purple 返回了正确的 Tunnel-Private-Group-ID、Tunnel-Type 和 Tunnel-Medium-Type 属性，并且指定的 VLAN 存在于连接到 Arista AP 的交换机端口上。

问题：Guest VLAN 上的 DHCP 地址池耗尽。 在人流量密集的环境中，将空闲超时时间缩短至 5-10 分钟。如果场馆的地址池利用率经常超过 80%，请扩大 DHCP 作用域范围。对于体育场或会议中心等高密度场馆，请考虑使用 /22 或更大的子网。

问题：RADIUS 计费数据流显示为 0 秒会话。 验证 Arista AP 与 Purple RADIUS 服务器之间的防火墙上是否已开放 UDP 端口 1813。确认 CV-CUE SSID 设置中的计费间隔 (Accounting Interval) 已设置为 2 分钟。

有关企业环境中无线显示和协议最佳实践的相关指导，请参阅 什么是无线显示：2026 年协议与最佳实践 。

投资回报率 (ROI) 与业务影响

部署结合 Purple 的 Arista 认知 Wi-Fi，可将网络成本中心转变为可衡量的业务资产。通过强制执行合规的 Captive Portal，您可以降低违反 GDPR 罚款的风险（罚款最高可达全球年营业额的 4%）。更重要的是， Guest WiFi 门户可以捕获经过验证的第一方数据。Purple 已在其网络中收集了 290 亿个数据点（Purple 内部数据），这展示了合理部署的客用 WiFi 架构所能产生的巨大价值。

对于 零售 场所，这些数据可直接导入 CRM 系统，从而能够根据到访频率和停留时间开展针对性的营销活动。对于 酒店住宿 运营商，它支持与回头客进行个性化的重新互动。对于 交通 枢纽，它提供了准确的旅客流量数据，为运营决策提供依据。对于 医疗保健 机构，它确保患者和访客获得适当的网络访问权限，同时使临床系统保持完全隔离。

Purple 平台以 99.999% 的在线率运行（Purple 内部数据），确保宾客访问绝不会因平台可用性问题而中断。结合 Arista 的云管理基础设施，您将获得一个端到端的架构，无需更改架构即可从单个场馆扩展到 80,000 多个场所。

有关其他集成的背景信息，请参阅我们的指南 NETGEAR Insight 和企业级接入点与 Purple WiFi 的集成 . 对于评估调查工具以补充其 WiFi 分析的场所运营商，请参阅 调查设计：场所实用指南 。