Grandstream GWN Access Points 接入 Purple WiFi 集成指南

欢迎来到 Purple 技术简报系列。我是你们的主持人，今天我们将介绍一种在酒店、零售和多租户物业中越来越常见的部署模式：将 Grandstream GWN 接入点与 Purple 的客用 WiFi 平台进行集成。 如果您是 MSP、内部 IT 团队或网络架构师，被分配了 Grandstream GWN 部署任务，并被要求添加带分析功能的品牌 Captive Portal，那么本期内容非常适合您。我们将涵盖全栈内容：客用 Portal 页面重定向、Walled Garden 配置、使用 802.1X 的安全员工 WiFi，以及使用 Grandstream 私有预共享密钥功能的多租户细分。让我们开始吧。 --- 首先，介绍一些背景信息。Grandstream 的 GWN 系列是一个坚实的中端市场接入点系列。您拥有用于室内部署的 GWN7600 和 GWN7630，用于 Wi-Fi 6 环境的 GWN7660 和 GWN7664，以及作为高密度空间天花板安装选项的 GWN7610。它们既可以通过 GWN Manager（安装在 Linux 或 Windows 服务器上的本地控制器）进行管理，也可以通过 GWN dot Cloud（Grandstream 的云托管管理平台，现已更名为 GDMS Networking）进行管理。 对于 MSP 来说，好消息是这两个管理平台都原生支持 Captive Portal 配置。您完全可以在 GWN Manager 或 GWN dot Cloud 中构建 Portal 策略、自定义 Portal 页面并将其与 SSID 相关联。但对于需要符合 GDPR 的数据采集、营销自动化和实时分析的企业部署，您需要用外部平台替换该原生 Portal。这就是 Purple 的用武之地。 Purple 作为云端叠加层运行。它位于您的硬件之上，提供 Captive Portal、RADIUS 认证层、分析引擎和营销工具。Purple 支持 80,000 个活跃场所，仅在 2024 年就处理了 4.4 亿次登录，因此该平台在大规模应用中得到了充分验证。与 Grandstream GWN 的集成遵循与 Purple 在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 中使用的相同的基于标准的标准方法。 --- 让我们深入了解技术架构。Grandstream GWN 与 Purple 的客用 WiFi 流程如下。 访客连接到您的客用 SSID。他们的设备向任何网站发送 HTTP 请求。GWN 接入点拦截该请求并向 Purple 的 Portal URL 发出 HTTP 302 重定向。访客到达由 Purple 托管的您的品牌 Portal 页面。他们进行身份验证，无论是通过电子邮件、社交登录、短信验证还是自定义表单。Purple 的平台验证该身份验证，按照 GDPR 记录同意书和数据，然后将 RADIUS Access-Accept 发送回 GWN 接入点。AP 授予互联网访问权限。从连接到访问互联网，整个流程大约需要三到五秒。现在，Grandstream 侧的关键配置组件包括：Captive Portal 策略、闪页设置、Walled Garden 以及 SSID 关联。让我来逐步讲解每一个步骤。 --- 第一步：在 GWN Manager 或 GWN dot Cloud 中配置 Captive Portal 策略。 导航至 Captive Portal，然后进入 Policy List，并创建一个新策略。为其命名一个具有描述性的名称，例如 "Purple-Guest-Portal"。将 Authentication Type 设置为 RADIUS Server。接着，您会看到 RADIUS Server Address、RADIUS Server Port 和 RADIUS Server Secret 字段。输入 Purple 的 RADIUS 服务器 IP 地址以及用于身份验证的端口 1812。您的共享密钥（shared secret）来自 Purple 门户管理控制台中的场所硬件配置部分。将 RADIUS Authentication Method 设置为 PAP，这是 Purple 的 Captive Portal 流程所使用的协议。 在 Landing Page 下，将其设置为 Redirect to External Page，并输入您的 Purple 门户重定向 URL。这是访客首次连接时将被发送到的 URL。同样，此信息也来自您的 Purple 管理控制台。 将 Expiration 时间设置为与您场所的会话策略相匹配。对于酒店，通常为 24 小时。对于会议场所，您可以将其设置为活动的持续时间。对于零售环境，通常为两到四个小时。 启用 Failsafe Mode。这非常重要。如果 GWN 接入点无法连接到 Purple 的 RADIUS 服务器，安全妥协模式（failsafe mode）仍会授予互联网访问权限，而不是阻断所有访客。对于大多数酒店和零售部署，短暂的 RADIUS 中断不应导致所有访客失去连接。 --- 第二步：配置 Walled Garden。 Walled Garden 是指访客在通过门户进行身份验证之前可以访问的域名和 IP 地址列表。如果配置错误，访客将会看到空白页面或损坏的门户，并会将其归咎于 WiFi。 在 GWN Manager 中，Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中进行配置的。将以下域名添加为允许规则：Purple 门户域名（即 portal dot purple dot ai）；Purple 闪页加载资产所需的任何 CDN 域名，包括使用通配符条目的 cloudfront dot net；Apple 的 Captive Portal 检测端点（captive dot apple dot com）；以及 Google 的连接性检查端点（connectivitycheck dot gstatic dot com）。 Purple 的支持门户在 support dot purple dot ai 提供了一个动态的 Walled Garden 生成器。在硬件列表中选择 Grandstream，选择您的身份验证方式，它就会生成您所需的精确域名列表。请使用该列表，不要尝试手动从头构建。 您需要做出的一个决定是：是否将 captive.apple.com 包含在围墙花园（Walled Garden）中？如果您将其包含在内，iOS 设备将不会自动显示 Captive Network Assistant 迷你浏览器。宾客需要手动打开浏览器才能到达门户页面。如果您将其排除在外，iOS 将在设备连接时自动启动该迷你浏览器。对于大多数酒店业部署，您希望显示迷你浏览器，因此请不要将 captive.apple.com 放入围墙花园中。 --- 第三步：配置 SSID。 在 GWN Manager 中，导航至 SSID 并编辑您的宾客 SSID。启用 Captive Portal 并选择您刚刚创建的策略。将 SSID 设置为带有简单开放密码的 WPA2-Personal，或者如果您的场所更倾向于这种方式，也可以将其配置为开放 SSID。此流程中的安全性来自于门户认证，而非 WiFi 密码。 启用客户端隔离（Client Isolation）。这可以防止宾客在网络上看到彼此的设备。这是一项基本的安全要求，如果您的场所在同一基础设施上处理刷卡支付，这也是 PCI DSS 的考量因素。 将该 SSID 分配给您的宾客 VLAN。VLAN 10 是宾客流量的常用惯例。确保您的上行交换机和路由器已配置为通过适当的防火墙规则将该 VLAN 路由到互联网。 --- 现在我们来谈谈使用 802.1X 的员工 WiFi。 IEEE 802.1X 是基于端口的网络准入控制标准。对于员工 WiFi，它用单用户凭证代替了共享的预共享密钥，并通过身份提供商进行验证。当员工连接时，GWN 接入点充当认证器，他们的设备是请求方（Supplicant），而 Purple 的 RADIUS 服务器是认证服务器。 在 GWN Manager 中，为员工创建一个单独的 SSID。将安全模式设置为 WPA2-Enterprise，这将启用 802.1X。使用 Purple 的 RADIUS IP、端口 1812 和您的共享密钥来配置 RADIUS 服务器设置。在端口 1813 上启用 RADIUS 计费（RADIUS Accounting），以便您获得关于谁连接、何时连接以及连接多长时间的完整审计追踪。此审计追踪是您满足 GDPR 合规性以及应对任何安全事件所必需的。 对于 EAP 方法，您有两个主要选择。EAP-TLS 在服务器和客户端设备上都使用数字证书。这是最安全的选择，但它需要移动设备管理（MDM）平台将证书推送至员工设备。如果您拥有 Microsoft Intune 或 Jamf，EAP-TLS 是正确的选择。 PEAP（即受保护的 EAP）在加密的 TLS 隧道内使用用户名和密码。它更容易部署，特别是在 BYOD 环境中，但您必须确保对员工进行培训，使其不接受证书警告。如果用户点击忽略证书错误，流氓接入点就可以收集 PEAP 凭证。 在 SSID 设置中启用动态 VLAN 分配。开启此功能后，RADIUS 服务器可以在 Access-Accept 数据包中返回 VLAN ID，而 GWN AP 将会把连接设备分配到该 VLAN。这意味着您可以只使用一个员工 SSID，但能够根据用户在 Purple 目录中的身份，自动将 IT 员工划分到 VLAN 20，管理层划分到 VLAN 21，而将 POS 设备划分到 VLAN 40。 动态 VLAN 的 RADIUS 属性包括：Tunnel-Type 设置为 VLAN（属性值为 13）；Tunnel-Medium-Type 设置为 IEEE-802（属性值为 6）；以及 Tunnel-Private-Group-ID 设置为字符串形式的 VLAN 编号。Access-Accept 数据包中的这三个属性就是 GWN AP 将设备引导至正确 VLAN 所需的全部内容。 --- 接下来介绍一个对多租户物业尤为重要的功能：Grandstream 私有预共享密钥（PPSK）。 PPSK 是一种允许单个 SSID 支持多个唯一密码的技术，每个密码都映射到不同的 VLAN 或网络策略。以长租公寓楼、联合办公空间或服务式写字楼为例。您希望向所有人展示同一个 SSID，但每个租户都有自己的专属密码，以便将他们置于各自隔离的网络段中。 在 GWN Manager 中，PPSK 是在 SSID 设置下进行配置的。将安全模式设置为 WPA2-Personal，然后启用 PPSK。之后您便可以创建独立的 PSK 条目，每个条目都有一个唯一的密码和关联的 VLAN ID。当设备使用租户 A 的密码连接时，AP 会将其放入 VLAN 31。当设备使用租户 B 的密码时，它会进入 VLAN 32。租户共享同一个 SSID，但在网络层面上彼此完全隔离。 对于更大规模的部署，Grandstream 还支持带有 RADIUS 后台的 PPSK。在此模式下，AP 将 PSK 作为 RADIUS 属性发送到认证服务器，服务器对其进行验证并返回相应的 VLAN 分配。这正是 Purple 的基于身份的网络（Identity-Based Networks）功能可以直接集成的地方。Purple 可以管理 PPSK 数据库，对照其目录验证密钥，并返回动态 VLAN 分配，从而让您可以通过单一平台集中管理数百个租户的凭据。 用于 PPSK 验证的 RADIUS 属性通常是 Tunnel-Password 属性，或取决于固件版本的厂商特定属性（VSA）。请查阅适用于您特定固件的 Grandstream 版本说明，因为属性映射在不同的 GWN Manager 版本之间有所演变。 --- 最后，让我来介绍一下在结合使用外部 Captive Portal 的 Grandstream 部署中最常见的两种故障模式。 第一种是重定向未触发。访客连接到 SSID，打开浏览器，然后看到“无法访问此网站”的错误，而不是 Captive Portal 页面。最可能的原因是围墙花园（walled garden）配置错误。Portal 页面本身在预验证阶段被拦截了。在连接到访客 SSID 的测试设备上打开浏览器开发者工具，查看网络（network）标签页，并确定哪些请求失败了。将这些域名添加到您的预验证规则中。 第二种失败模式是 RADIUS 超时。AP 向 Purple 的 RADIUS 服务器发送 Access-Request，但未收到任何响应。这通常意味着防火墙阻止了从 AP 管理 VLAN 到 Purple 的 RADIUS IP 范围的出站 UDP 端口 1812。检查您的防火墙规则。Purple 的 RADIUS IP 地址已记录在 Purple 管理控制台的场馆设置中。请确保主 RADIUS IP 和备 RADIUS IP 都已获得许可。 第三个值得提及的问题：动态 VLAN 无法工作。员工连接后进入了错误的 VLAN。最常见的原因是 GWN Manager 中 SSID 设置下的“启用动态 VLAN”未被勾选。这是一个很容易被遗漏的单一复选框。第二个原因是共享密钥不匹配。如果 AP 上的共享密钥与 Purple 中配置的不匹配，AP 会默默丢弃 RADIUS 响应并回退到默认 VLAN。 --- 为了让您有更具体的了解，我为您提供两个真实场景。 场景一：拥有 120 间客房的酒店。该酒店运行通过 GWN dot Cloud 管理的 GWN7660 接入点。他们需要一个面向访客的品牌专属访客门户、一个面向前台和客房服务的安全员工网络，以及一个用于物业管理系统的独立管理 VLAN。 该配置使用三个 SSID：VLAN 10 上的访客 WiFi，采用 Purple Captive Portal 策略；VLAN 20 上的员工 WiFi，采用 WPA2-Enterprise 以及针对 Purple 的 RADIUS 实施 PEAP 验证；以及 VLAN 30 上的隐藏管理 SSID，用于 PMS 终端。员工 SSID 上的动态 VLAN 分配意味着客房服务设备会进入访问受限的 VLAN 21，而前台设备会进入拥有完全访问权限的 VLAN 20。Purple 的分析仪表板向酒店运营商展示每日访客人数、会话时长以及营销选择加入率，从而为营销团队提供其开展针对性营销活动所需的数据。 场景二：一个拥有40个单元的“建房出租”公寓大楼。运营商使用本地部署的 GWN Manager 运行 GWN7630 接入点。每个公寓都需要独立的隔离网络。运营商使用带有 RADIUS 后台的 PPSK。Purple 管理40个租户的专属凭据，每个凭据都映射到专用的 VLAN。居民使用自己单元的密码连接到单一的“BuildingConnect” SSID。Purple 的 Captive Portal 处理初始的入网流程，收集居民的同意书，并为运营商提供入住率分析和互动数据。当居民搬出时，运营商只需在 Purple 的管理控制台中注销其 PPSK 凭据，其访问权限将立即终止。无需更改 SSID 密码或重新配置 AP。 --- 快速问答。以下是关于 Grandstream 部署中我经常被问到的三个问题。 问题一：我可以使用 GWN dot Cloud 代替 GWN Manager 进行 Purple 集成吗？可以。GWN dot Cloud 中的 Captive Portal 配置在功能上与 GWN Manager 完全相同。菜单路径一致。RADIUS 和围墙花园（Walled Garden）设置也位于相同的位置。对于管理多个站点的 MSP 而言，GWN dot Cloud 是更好的选择，因为您可以通过单一窗口统一管理所有部署。 问题二：Purple 是否支持与 Grandstream 的原生分析功能并存？Purple 用自己更详细的数据集取代了原生的 Captive Portal 分析。您可以获得会话计数、停留时间、选择加入率、来自表单字段的人口统计数据，以及与营销平台的集成。用于射频性能、AP 健康状况和客户端数量的原生 GWN 分析，仍可在 GWN Manager 或 GWN dot Cloud 中与 Purple 的 Portal 分析并存使用。 问题三：在 GWN AP 上使用带有 RADIUS 的 PPSK 需要什么固件版本？带有 RADIUS 后台的 PPSK 要求 GWN76xx 系列的 GWN 固件版本在 1.0.19 或更高。部署前请检查 Grandstream 的版本说明。运行过时的固件是 PPSK 部署中出现异常行为最常见的原因。 --- 总结。按照正确的顺序操作，将 Grandstream GWN 接入点与 Purple 进行集成是一个非常简单的部署过程。首先在 Captive Portal 策略中配置 RADIUS 服务器设置。使用 Purple 的域名生成器工具构建您的围墙花园。将该策略与您的访客 SSID 关联并启用客户端隔离。对于员工 WiFi，启用带有动态 VLAN 分配的 WPA2-Enterprise。对于多租户物业，使用带有 RADIUS 后台的 PPSK，并通过 Purple 集中管理凭据。 需要确保正确的五件事：UDP 1812 上的 RADIUS 及其匹配的共享密钥；涵盖所有 Portal 资源域名的围墙花园；访客 SSID 上启用的客户端隔离；SSID 设置中启用的动态 VLAN；以及 1.0.19 或更高版本的 PPSK 固件。做好这五点，您就拥有了一个稳健、可扩展的部署，可以为您的场所服务多年。Purple 的入驻团队可以在上线前验证您的配置，而该平台 99.999% 的在线率意味着您无需在凌晨两点向酒店客人解释 Captive Portal 故障的问题。 感谢收听。如需了解更多关于企业级 WiFi 集成的技术指南，请访问 purple.ai。下一期，我们将介绍使用 Microsoft Entra ID 和 Purple 的 SecurePass 功能进行动态 VLAN 分配。下期再见。