跳至主要内容
简体中文

Sophos 防火墙及接入点与 Purple WiFi 的集成

本指南详细介绍了 Sophos 防火墙 (XG/XGS) 和 Sophos AP6/APX 接入点与 Purple WiFi 的技术集成。内容涵盖外部 Captive Portal 重定向、RADIUS 认证与计费配置、Walled Garden 设置、员工 WiFi 的 802.1X,以及使用 Sophos PPSK 进行动态 VLAN 分配,从而在酒店、零售和公共部门场所实现安全的独占多租户网络隔离。

📖 9 分钟阅读📝 2,208 🔧 2 应用实例4 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎来到 Purple 架构简报。今天我们将深入探讨企业网络的一项关键集成:在 Sophos 基础设施(特别是 Sophos AP6 和 APX 接入点以及 Sophos XG 和 XGS 防火墙)旁部署 Purple WiFi。如果您是管理场所(无论是零售连锁、体育场还是医院)的 IT 经理、网络架构师或 CTO,本期内容旨在为您提供切实可行的蓝图,使这两个强大的平台实现无缝协同工作。 让我们先来了解一下背景。Sophos 以其强大的安全防护能力而闻名。Sophos 防火墙设备提供深度包检测和同步安全。然而,在 Guest WiFi 方面,您不仅需要安全,更需要商业价值。您希望捕获人口统计数据、了解访客行为并提高营销投资回报率。这正是 Purple 的用武之地。通过将 Purple 集成为外部 Captive Portal,您可以将访客身份管理、GDPR 合规同意和社交媒体登录等繁重工作卸载到 Purple 的云端 RADIUS,同时让 Sophos 防火墙专注于其最擅长的领域:保障边界安全。 那么,这在底层究竟是如何运作的呢?让我们进入技术深潜环节。 该架构依赖于标准的 RADIUS 协议和 HTTP 重定向。当场所用户连接到 Sophos AP 广播的开放式 Guest WiFi SSID 时,Sophos 防火墙会拦截该初始 Web 请求。防火墙不会向客户端提供保存在本地的简单门户页面,而是将客户端重定向到 Purple 的云端托管 Portal 页面。 现在,有一个关键概念:Walled Garden(围墙花园)。在预认证阶段,用户无法访问互联网。但他们需要加载门户页面的图片,并且可能需要访问 Facebook 或 Google 进行登录。Walled Garden 是在 Sophos 防火墙上配置的严格允许列表,允许流量访问这些特定的域名。一旦用户通过身份验证,Purple 平台就会向 Sophos 防火墙发送一条 RADIUS Access-Accept 消息。随后,防火墙会切换状态,将该会话状态更改为已认证,并将用户放入您的认证后防火墙策略中。 让我们更详细地讨论一下 RADIUS 配置,因为这需要极高的精准度。Purple 为您提供两组 RADIUS 凭据:一组用于端口 1812 上的认证,另一组用于端口 1813 上的计费。这两者都必须配置。计费服务器并非可选,它是 Sophos 防火墙向 Purple 报告会话数据(包括时长、消耗的带宽以及会话终止事件)的机制。如果没有准确的计费数据,您的 Purple 分析仪表板将显示不完整或不准确的访客指标。请将您的计费临时时间间隔设置为 120 秒,这在实时可见性与网络开销之间取得了良好的平衡。 现在让我们来讨论一个在企业级部署中经常遇到的场景:多租户 WiFi。设想一下联合办公空间、只租不售的住宅街区或学生公寓大楼。您有多个不同的用户群组,他们都需要访问 WiFi,但必须在网络层面上彼此完全隔离。为每个租户广播一个单独的 SSID 是不可行的。这会造成射频干扰拥堵,且在管理上也是一场运行噩梦。 解决方案就是 Sophos 私有预共享密钥(PPSK)结合动态 VLAN 分配。其工作原理如下:您在 Sophos AP6 接入点上配置单个 SSID。然后向每个租户或用户群组发放一个唯一的密码。当设备连接并提供其唯一密钥时,Sophos AP 会通过 RADIUS 对该密钥进行认证。RADIUS 服务器会在 Access-Accept 消息中返回一个特定的 VLAN ID 属性。AP 会动态地为该用户的流量打上该 VLAN ID 的标签,将其置于其专属的网络段中。这就是基于身份的网络技术的实际应用。一个 SSID,多个隔离的网络,并且不会因额外的广播而产生任何射频开销。 这种架构在合规性方面也有显著的优势。根据 PCI DSS 的要求,访客 WiFi 网络必须与处理持卡人数据的任何网络段完全隔离。通过将访客 SSID 放置在专用的 VLAN 上,并在 Sophos 防火墙上实施严格的防火墙策略以阻止所有 RFC 1918 私有 IP 空间目标,您就可以干净利落地满足这一要求。Purple 在全球运营着 80,000 个活跃场馆,并在 2024 年处理了 4.4 亿次登录,其已通过 ISO 27001 认证、符合 GDPR 并获得了 Cyber Essentials 认证,因此合规性保证也延伸到了身份层。 现在让我们转到实施建议。当您进行此设置时,在 IP 分配方面需要做出一个关键决定:NAT 模式还是桥接模式。 如果您部署的是一个小型零售分店,并发访客连接数大概在五十到一百个左右,那么 NAT 模式就完全足够了。Sophos AP 会从专用的内部子网向访客发放 DHCP 地址,并在流量导出时对其进行转换。它很简单,且对额外基础设施的要求极低。 但如果您部署的是高密度环境,例如一间拥有五百间客房的酒店、一个举办多个并发活动的会议中心或一个体育场,则必须使用桥接模式。在桥接模式下,Sophos AP 会直接将访客流量投放到专用的 VLAN 上,从而允许您的核心企业 DHCP 服务器来处理负载。这可以防止接入点或防火墙在连接高峰期成为 DHCP 的瓶颈。桥接模式还可确保 Purple 平台看到真实的客户端 IP 地址,这对于精确的分析和故障排除至关重要。 让我们来谈谈具体的配置顺序,因为在这里,顺序非常重要。 首先在 Purple 门户中开始操作。获取您的 RADIUS 服务器凭据:服务器 IP 地址、共享密钥、Captive Portal URL 以及重定向 URL。在开始配置 Sophos 之前,这四项关键信息是必不可少的。 然后,登录 Sophos Central 或您的本地防火墙管理界面。首先定义您的 RADIUS 服务器,认证端口设为 1812,计费端口设为 1813。接着在热点设置(Hotspot Settings)下配置您的围墙花园(Walled Garden)。然后创建您的访客 SSID,将加密方式设置为“开放(Open)”,启用 Captive Portal,并输入 Purple 门户的 URL。最后,定义认证后的防火墙规则。 针对围墙花园(Walled Garden),您必须至少允许以下域名:Purple 门户域名(通常为 region1.purpleportal.net)、venuewifi.com 以及您的访客将使用的任何社交登录域名(例如 facebook.com、accounts.google.com 及其关联的 CDN 域名)。如果您使用 Microsoft Entra ID 或 Okta 进行身份联邦,也必须将这些域名包含在内。 那么有哪些常见误区?部署通常在哪些地方出错? 毫无疑问,第一大问题就是围墙花园(Walled Garden)配置不完整。如果访客连接后看到白屏或连接超时,这几乎总是意味着 Sophos 防火墙在认证前拦截了对 Purple 的 CSS 文件、JavaScript 资源或社交登录 API 的访问。您必须确保在认证前策略中明确允许每一个必需的域名。Purple 提供了完整的必需域名列表,请务必完整使用该列表。 此外,千万不要忘记 DNS。必须允许未认证的客户端解析 DNS 查询,否则重定向将无法工作。设备在尝试加载页面之前,需要先解析 Purple 门户的主机名。 第二大最常见的误区是证书错误。请确保您的 Sophos 防火墙为重定向界面部署了有效的、受公共信任的 SSL 证书。如果您使用默认的自签名证书,现代 iPhone 和 Android 设备将会弹出严重的安全警告,您的访客将会彻底放弃连接。在访客体验至关重要的酒店及服务业环境中,这一问题尤为突出。 第三大误区是 RADIUS 超时错误。如果门户可以加载,但认证始终失败,请验证您的 Sophos 配置与 Purple 门户之间的共享密钥是否完全一致。即使是一个字符的差异,也会导致所有认证尝试静默失败。同时,请确认没有任何中间防火墙拦截您的 Sophos 基础设施与 Purple 云端 RADIUS 服务器之间的 UDP 端口 1812 和 1813。 最后,让我们根据客户最常问到的问题,进行一次快速问答。问题一:使用 Purple 会绕过我的 Sophos Firewall 安全策略吗?绝对不会。Purple 负责处理身份验证和身份捕获。一旦通过验证,所有访客流量都会通过 Sophos Firewall 的验证后策略。这正是您应用网页过滤、拦截对等网络 (P2P) 流量以及限制带宽的地方。可以这样理解:验证前是允许登录的宽松阶段;验证后则是保护网络的惩罚性限制阶段。 问题二:我需要部署本地 RADIUS 服务器吗?不需要。Purple 提供 RADIUS-as-a-Service。您只需将 Sophos AP 配置为直接指向 Purple 的云端 RADIUS IP 地址即可。无需为访客网络部署和维护 FreeRADIUS 或 Windows NPS。 问题三:我可以在 Sophos AP6 和较旧的 APX 系列上同时使用 Purple 吗?可以。这两个硬件世代的集成方法是一致的。但请注意,Sophos 已宣布 APX 系列的生命周期结束 (EOL) 日期为 2027 年 12 月 31 日。如果您正在规划新部署,建议投资支持 Wi-Fi 6 和 Wi-Fi 6E 的 AP6 系列。 问题四:GDPR 合规性如何?Purple 会在 Captive Portal 层面捕获明确的同意,在身份验证前向用户展示您的条款和条件以及数据处理声明。这些同意数据存储在 Purple 平台内,并且是可审计的。Sophos Firewall 的角色纯粹是网络执行。 总结一下今天简报的关键要点: 第一:必须绝对隔离您的员工 SSID 和访客 SSID。员工使用带有 WPA2-Enterprise 的 802.1X,访客则使用带有外部 Captive Portal 的 Purple。 第二:精心配置您的 Walled Garden(围墙花园)。这是最常见的故障点,也是最重要的验证前配置元素。 第三:在任何高密度部署中使用桥接 (Bridge) 模式,以避免 DHCP 瓶颈,并确保准确的客户端 IP 可见性。 第四:配置 RADIUS 身份验证和计费 (Accounting) 服务器。如果您想要有意义的分析,计费功能是必不可少的。 第五:在多租户环境中利用 Sophos PPSK,通过动态 VLAN 分配实现基于身份的网络连接。一个 SSID,多个隔离网络。 第六:在验证后严格执行 Sophos 安全策略。网页过滤、应用控制和带宽限制都应应用在验证后的防火墙策略中。 通过正确执行此集成,您可以将访客 WiFi 从成本中心转变为合规、安全且能带来收益的资产。Sophos 的安全深度与 Purple 的营销智能相结合,对于任何想要认真对待访客体验和数据策略的场所运营商来说,都具有真正强大的力量。 感谢收听 Purple 架构简报。如果您想讨论您具体的部署需求,请访问 purple.ai 与解决方案团队联系。

header_image.png

核心摘要

如果您运行 Sophos 基础设施并需要部署捕获第一方数据的 Guest WiFi ,本指南将为您提供准确的配置步骤。Purple 作为外部 Captive Portal 与 Sophos 防火墙(XG 和 XGS 系列)以及 Sophos AP6/APX 接入点集成,将访客身份管理、GDPR 同意书捕获和社交媒体登录处理卸载到 Purple 的云 RADIUS。您的 Sophos 防火墙将继续对所有流量执行深度包检测和统一威胁管理。最终实现一个合规、细分的网络:访客通过品牌化的 Purple 登录页面进行身份验证,员工通过带有 WPA2-Enterprise802.1X 进行连接,多租户环境则使用 Sophos 专用预共享密钥 (PPSK) 进行动态 VLAN 分配。Purple 在全球 80,000 多个真实场所运行,并在 2024 年处理了 4.4 亿次登录(Purple 内部数据,2024 年)。它已通过 ISO 27001 认证、符合 GDPR 并获得 Cyber Essentials 认证。

技术深度剖析

重定向的工作原理

该集成使用标准的 RADIUS 协议和 HTTP 重定向。当场所用户在 Sophos AP6 或 APX 接入点上关联您的开放式访客 WiFi SSID 时,Sophos 防火墙会拦截来自该未授权设备的第一个 HTTP 请求。防火墙不会提供本地存储的登录页面,而是向 Purple 的云端托管登录页面 URL(通常为 https://region1.purpleportal.net/access/ 格式)发出 302 重定向。

在此预认证阶段,设备处于 Walled Garden(围墙花园)内:这是一个严格的允许访问域名白名单,未认证的设备可以访问这些域名。该白名单必须包括 Purple 的门户资产、任何社交媒体登录提供商(Facebook、Google、LinkedIn)以及您使用的任何身份联合端点,例如 Microsoft Entra ID 或 Okta。一旦用户在 Purple 登录页面上完成身份验证,Purple 的云 RADIUS 就会向 Sophos 防火墙发送 RADIUS Access-Accept 消息。防火墙将该会话状态更新为已认证,并应用您的认证后安全策略。

RADIUS 身份验证与计费

Purple 提供 RADIUS 即服务 (RADIUS-as-a-Service)。您无需为访客网络部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基础设施。只需配置 Sophos 防火墙直接指向 Purple 的云 RADIUS IP 地址即可。

需要以下两项 RADIUS 功能:

功能 协议 端口 目的
身份验证 UDP 1812 验证访客凭据并返回 Access-Accept 或 Access-Reject
计费 UDP 1813 向 Purple 报告会话启动、临时更新和会话停止

记账并非可选。它是 Sophos 防火墙向 Purple 报告会话持续时间、已消耗带宽和会话终止事件的机制。如果没有记账数据,您的 WiFi 分析 仪表板将显示不完整的访客指标。将记账临时时间间隔设置为 120 秒,以便在实时可见性与网络开销之间取得良好平衡。

Sophos 配置与 Purple 门户之间的 RADIUS 共享密钥必须完全匹配。单个字符的差异就会导致无声的认证失败。

Walled Garden(围墙花园)配置

Walled Garden 是最重要的预认证配置元素,也是部署失败最常见的原因。在 Sophos 防火墙的 Wireless > Hotspot Settings 下进行配置。

您必须至少允许以下域名:

类别 允许的域名
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
支付(如果适用) stripe.com
天气小组件(如果使用) openweathermap.org
Facebook 登录 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登录 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登录 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

始终允许未认证客户端进行 DNS 解析(UDP 端口 53)。如果没有 DNS,设备将无法解析 Purple 门户的主机名,重定向在开始前就会失败。

适用于员工 WiFi 的 802.1X

对于员工 WiFi,请使用带有 WPA2-Enterprise 或 WPA3-Enterprise 的 802.1X(基于 IEEE 802.1X 端口的网络访问控制)。配置 Sophos AP,针对您的内部 RADIUS 服务器或云身份提供商(如 Microsoft Entra ID)使用 EAP-TLS(基于证书)或 PEAP-MSCHAPv2(用户名/密码)。

RADIUS 服务器返回 VLAN 分配属性,以将通过认证的员工设备放入正确的内部 VLAN。这与下面针对 PPSK 描述的动态 VLAN 机制相同,适用于企业认证。

保持员工 WiFi SSID 和 VLAN 与访客 WiFi SSID 和 VLAN 完全隔离。切勿将访客流量桥接到管理或公司子网。如果任何网络段处理持卡人数据,这种隔离是 PCI DSS 的强制要求。

适用于多租户环境的 Sophos PPSK 和动态 VLAN 分配

在多租户环境(联合办公空间、建房出租住宅区、学生公寓或零售特许权)中,您需要在网络级别隔离不同的用户群组,而无需为每个租户广播单独的 SSID。广播多个 SSID 会增加射频开销并使管理复杂化。

Sophos AP6接入点支持PPSK(专用预共享密钥),也称为身份PSK或单用户PSK。PPSK允许单个SSID接受多个唯一的密码,每个密码通过RADIUS属性映射到特定的VLAN。

动态VLAN分配流程如下:

  1. 居民或成员连接到单个共享的SSID并输入其唯一的PPSK。
  2. Sophos AP向配置的RADIUS服务器发送RADIUS Access-Request,其中包含PPSK作为凭据。
  3. RADIUS服务器验证PPSK并返回包含以下VLAN属性的Access-Accept:
    • Tunnel-Type = VLAN(值 13)
    • Tunnel-Medium-Type = IEEE-802(值 6)
    • Tunnel-Private-Group-ID = ``(例如 100
  4. Sophos AP使用返回的VLAN ID标记设备的流量,将其置于正确的隔离网络段。

这就是基于身份的网络(Identity-Based Networking):一个SSID,多个隔离的VLAN,由用户的唯一凭据驱动。

ppsk_vlan_diagram.png

architecture_overview.png

实施指南

步骤 1:获取 Purple 凭据

登录到 Purple 门户。导航至 Management > Locations > [Your Venue] > Hardware > Add Hardware。选择 Sophos 作为硬件类型。门户将显示:

  • 主和备用 RADIUS 服务器 IP 地址
  • RADIUS 共享密钥
  • Captive Portal URL(例如 https://region1.purpleportal.net/access/
  • 重定向 URL(例如 https://region1.purpleportal.net/access/?res=success
  • 完整的 Walled Garden 域名列表

在继续之前,请记录所有这四个值。

步骤 2:在 Sophos 防火墙上配置 RADIUS 服务器

在 Sophos 防火墙上导航至 Authentication > Servers(对于AP管理的配置,导航至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 点击 Add 创建一个新的 RADIUS 服务器条目。
  2. Server IP 设置为主 Purple RADIUS IP 地址。
  3. Authentication port 设置为 1812
  4. Accounting port 设置为 1813
  5. 输入来自 Purple 门户的 Shared secret
  6. 对备用 Purple RADIUS 服务器重复此操作。

对于通过 Sophos Central 管理的 Sophos AP6,请在 SSID 的 Advanced Settings > Backend authentication 部分下配置 RADIUS 服务器。

步骤 3:配置 Walled Garden

在 Sophos 防火墙上导航至 Wireless > Hotspot Settings

  1. Walled garden 下,点击 Add new item
  2. 添加 Purple 提供的列表中的每个域名。
  3. 确保通过预认证防火墙规则允许未认证的客户端使用 DNS(UDP 端口 53)。
  4. 点击 Apply

步骤 4:创建访客 SSID

导航至 Wireless > Wireless Settings > SSIDs(或 Sophos Central > Wireless > SSIDs)。

  1. 点击 Add SSID
  2. Encryption mode 设置为 Open(无预共享密钥)。
  3. Advanced Settings > Captive portal 下,启用 Captive Portal。
  4. 选择 Backend authentication 作为身份验证类型。
  5. 输入 Purple RADIUS 服务器 IP、端口 1812 以及共享密钥。
  6. Redirect URL 设置为 Purple 侧边栏/展示页面(splash page)的 URL。
  7. 将该 SSID 分配给专用的访客 VLAN(例如,VLAN 100)。
  8. 启用 Client isolation(客户端隔离)以阻止访客之间的流量互通。

步骤 5:创建认证后防火墙规则

导航至 Rules and policies > Firewall rules

  1. 创建一条规则,允许来自访客 VLAN 到 WAN 区域的流量。
  2. 应用 Web 过滤以阻止恶意类别。
  3. 应用流量整形(traffic shaping)以限制每个用户的带宽(推荐:访客网络限制为下载 10 Mbps,上传 5 Mbps)。
  4. 显式阻止从访客 VLAN 到任何包含 POS 系统、PMS 或企业资源的内部 VLAN 的所有流量。

步骤 6:为多租户环境配置 PPSK(可选)

  1. 在 Sophos Central 中,创建一个 WPA2-Personal SSID。
  2. 在该 SSID 的高级设置下启用 RADIUS VLAN assignment
  3. 配置 RADIUS 服务器以接受 PPSK 凭据,并根据每个用户组返回相应的 VLAN 属性。
  4. 通过 Purple 门户或您的 RADIUS 管理界面向每个租户组发放唯一的 PPSK。

最佳实践

在二层和三层隔离流量。 务必将 Guest WiFi 置于专用 VLAN 中。创建显式防火墙规则,以阻止从访客 VLAN 到内部网段上 RFC 1918 地址空间的所有流量。这符合 PCI DSS 网络分段要求,并能在访客设备遭到入侵时防止横向移动。

在高密度部署中使用网桥(Bridge)模式。 在并发访客连接数超过 200 的环境中(如酒店、体育场、会议中心),将访客 SSID 配置为网桥模式。这会将流量传送到由企业级 DHCP 服务器处理的 VLAN 上,从而防止 Sophos AP 或防火墙成为 DHCP 瓶颈。一个入住率为 70% 的 500 间客房的酒店,若每个访客携带两台设备,将同时产生大约 700 个 DHCP 租约。企业级 DHCP 可以轻松处理此类情况,而 AP 自带的 DHCP 则无法应对。

使用受信任的公共 SSL 证书。 为 Sophos 防火墙进行配置,使其在重定向界面上出示由公共 CA 签名的证书。自签名证书会在 iOS 和 Android 上生成浏览器安全警告,从而提高门户放弃率。这在 酒店餐饮与住宿 环境中尤为重要,因为访客体验会直接影响评分。同时配置 RADIUS 认证和计费。 认证(端口 1812)用于授予访问权限。计费(端口 1813)用于跟踪使用情况。两者都是 Purple 分析功能正常运行所必需的。计费数据用于在 Purple 控制面板中生成会话时长指标、带宽报告以及回头客识别。

在正式上线前规划好您的 Walled Garden(放行列表)。 在部署到生产环境之前,请在至少一台 iOS 设备和一台 Android 设备上测试 Captive Portal。这两个平台具有不同的 Captive Portal 检测机制,在 Walled Garden 配置不完整时可能会表现出不同的行为。利用 Sophos Firewall 上的数据包捕获功能,识别预认证阶段中任何被拦截的域名。

在认证后应用 Sophos 同步安全(Synchronized Security)。 Sophos AP6 接入点支持与 Sophos Endpoint Protection 集成的同步安全功能。如果识别到访客设备已受损(红色安全心跳状态),AP 可以自动将该设备限制在 Walled Garden 内,无需人工干预即可将其与互联网隔离。对于 医疗保健零售 环境来说,这是一项非常有意义的安全控制措施。

若要了解更广泛的企业 WiFi 安全背景,请参阅我们的指南: 企业 WiFi 安全:2026 年完整指南

故障排查与风险缓解

现象:Portal 页面无法加载(空白屏幕或超时) 原因:Walled Garden 配置不完整。Sophos Firewall 在认证前拦截了对 Purple 的 CSS/JS 资产或社交登录 API 的访问。 解决方法:在 Sophos Firewall 上针对访客 VLAN 启用数据包捕获。识别被拦截的域名,将它们添加到 Walled Garden 中,并验证预认证阶段是否允许 DNS 解析。

现象:Portal 能够加载,但认证总是失败 原因:RADIUS 共享密钥不匹配,或 UDP 端口 1812/1813 被拦截。 解决方法:逐字验证 Sophos 配置和 Purple Portal 中的共享密钥。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 命令来确认 UDP 的连通性。

现象:分析数据中显示的会话时长为零,且没有带宽数据 原因:未配置 RADIUS 计费或计费被拦截。 解决方法:验证计费服务器是否已配置在端口 1813,且共享密钥是否正确。检查是否有中间 ACL 拦截了出站的 UDP 1813 流量。

现象:访客设备上出现证书警告 原因:Sophos Firewall 在重定向接口上使用的是自签名证书。 解决方法:将由公共 CA(Let's Encrypt、DigiCert 或类似机构)签名的证书上传至 Sophos Firewall,并在 无线 > 热点设置 下将其分配为登录页面证书。

现象:PPSK 用户进入了错误的 VLAN 原因:RADIUS VLAN 属性配置不正确,或者 Sophos AP 未接受动态 VLAN 分配。 修复:验证 RADIUS 服务器返回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。确认在 Sophos Central 的 SSID 上已启用 RADIUS VLAN 分配。

投资回报率(ROI)与业务影响

在 Sophos 基础设施上部署 Purple,可将 Guest WiFi 从一项公用事业成本转变为第一方数据资产。其商业可行性显而易见。

一家拥有 200 间客房、入住率为 70%、平均停留 1.8 晚的酒店,每年通过 Purple 的自主选择加入 Captive Portal 将产生大约 50,000 个经过验证的访客画像。每个画像包括姓名、电子邮件地址、人口统计数据和访问历史。这些数据直接导入电子邮件营销活动,从而显著提高直接预订量以及餐饮收入。

对于 零售 环境,Purple 的分析功能可以识别停留时间、重复访问频率和客流高峰期。拥有 50 个网点的零售连锁店可以使用这些数据来优化人员配置、调整促销时机,并衡量店内活动对访问频率的影响。

对于公共部门和 交通 运营商,Purple 提供可审计的 GDPR 同意记录,并支持关键服务运营商遵守英国的网络和信息系统(NIS)法规。

Purple 99.999% 的运行时间服务等级协议(SLA)可确保访客认证服务不会成为您网络的单点故障。云 RADIUS 架构意味着无需维护、修补或更换本地认证服务器。

有关相关的集成指南,请参阅 Alta Labs 与 Purple WiFi 集成:设置与 Captive Portal 配置 指南。

关键定义

Captive Portal

一个拦截用户初始 HTTP 请求的网页,在允许其访问互联网之前,需要进行交互(身份验证、同意条款或付费)。

访客 WiFi 的主要界面。Purple 在云端托管 Captive Portal;Sophos 防火墙会将未通过身份验证的的客户端重定向到该界面。

Walled Garden(围墙花园)

一个严格的域名和 IP 地址白名单,未通过身份验证的设备在完成 portal 身份验证之前可以访问这些地址。

必须包含 Purple 的 portal 域名、社交登录提供商以及任何身份联合终结点。不完整的 Walled Garden 是导致 portal 加载失败最常见的原因。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为连接到网络的用户提供集中化的身份验证、授权和计费。使用 UDP 端口 1812 进行身份验证,端口 1813 进行计费。

Purple 提供 RADIUS 即服务(RADIUS-as-a-Service)。Sophos 防火墙和 AP 与 Purple 的云 RADIUS 进行通信,以对访客进行身份验证并报告会话数据。

RADIUS 计费

RADIUS 的组成部分,用于跟踪网络使用指标,包括会话开始时间、时长、传输的字节数以及会话终止原因。

对 Purple 的 WiFi Analytics(WiFi 分析)至关重要。如果没有端口 1813 上的计费数据,Purple 控制面板中将无法提供会话时长和带宽指标。

PPSK (Private Pre-Shared Key)

一种 WiFi 安全功能,允许单个 SSID 接受多个唯一的密码,每个密码通常通过 RADIUS 映射到特定的 VLAN 或策略。

在多租户 WiFi 部署中用于提供单用户或单组网络隔离,而无需广播多个 SSID。Sophos AP6 支持带动态 VLAN 分配的 PPSK。

动态 VLAN 分配

一种过程,其中 RADIUS 服务器通过在 Access-Accept 消息中返回 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 属性,指示接入点将已验证身份的用户置于特定的 VLAN 上。

启用基于身份的网络。用户将根据其凭据被分配到正确的网络段,而无论他们连接到哪个物理 AP。

802.1X

一种用于基于端口的网络访问控制的 IEEE 标准。为连接到 LAN 或 WLAN 的设备提供身份验证框架,需要客户端(supplicant)、认证器(AP 或交换机)和身份验证服务器(RADIUS)。

员工 WiFi 的企业标准。Sophos AP6 支持带有 WPA2-Enterprise 和 WPA3-Enterprise 的 802.1X,使用 EAP-TLS 或 PEAP-MSCHAPv2。

网桥模式

一种网络配置,其中接入点将无线客户端流量作为带标记的 VLAN 帧直接传输到有线 LAN,而不执行 NAT 或本地 DHCP。

推荐用于高密度部署。将 DHCP 卸载到企业服务器,并确保 Purple 接收到真实的客户端 IP 地址以进行准确的分析。

第一方数据

通过您自己的渠道直接从用户处收集的信息,由您所有,不与第三方共享或源自第三方。

Purple 访客 WiFi 的核心商业价值。通过用户在 Captive Portal 上的自主选择加入来捕获,此数据符合 GDPR 规范,且独立于第三方 Cookie。

应用实例

一家拥有 300 间客房的酒店部署了通过 Sophos Central 管理的 Sophos AP6 接入点。他们需要访客通过定制的 Purple 品牌展示页面进行身份验证,并要求访客网络与 VLAN 20 上的物业管理系统 (PMS) 完全隔离,以维持 PCI DSS 合规性。该酒店预计在高峰期有多达 600 个并发访客连接。

  1. 在 Sophos Central 中,创建一个名为“Hotel Guest WiFi”的专用访客 SSID,采用 Open 加密方式。2. 在网桥模式下将该 SSID 分配给 VLAN 100,以便通过核心网络 DHCP 服务器处理 600 台设备的 DHCP 负载。3. 在高级设置下启用 captive portal,并选择后端身份验证。4. 输入端口 1812 上的 Purple RADIUS 服务器 IP 以及来自 Purple 门户的共享密钥。5. 配置 Walled Garden 以允许 region1.purpleportal.net、venuewifi.com 以及所有社交登录域名。6. 在 Sophos 防火墙上,创建一条防火墙规则,允许 VLAN 100 访问应用了 Web 过滤的 WAN 区域。7. 创建一条显式的拒绝 (DENY) 规则,阻止从 VLAN 100 到 VLAN 20 (PMS 网络) 的所有流量。8. 在端口 1813 上配置 RADIUS 计费,临时时间间隔为 120 秒。9. 向 Sophos 防火墙上传一个公开受信任的 SSL 证书,用于重定向接口。10. 在上线前同时在 iOS 和 Android 上进行测试。
考官评语: 在这里,网桥模式至关重要。在 600 个并发连接的情况下,AP 自带的 DHCP 将不堪重负。从 VLAN 100 到 VLAN 20 的显式拒绝 (DENY) 规则满足了 PCI DSS 网络隔离的要求。公开受信任的证书可防止 iOS 14+ 和 Android 10+ 显示安全警告(这会降低门户的使用率)。配置计费对于 Purple 的分析功能正常运行是不可妥协的。

一家联合办公空间运营商管理着分布在三个楼层的 15 家租户公司。每家公司都需要自己隔离的网络段。他们目前广播 15 个独立的 SSID,导致了严重的射频拥堵。他们希望在使用 Sophos AP6 接入点的同时合并为一个单一的 SSID,并保持租户之间严格的二层 (Layer 2) 隔离。

  1. 为每个租户公司分配一个唯一的 VLAN(例如,VLAN 200-214)。2. 在 Sophos Central 中,创建一个名为“CoWork WiFi”的 WPA2-Personal SSID。3. 在该 SSID 上启用 RADIUS VLAN 分配。4. 配置 RADIUS 服务器(Purple 的云 RADIUS 或集成目录)以存储每个租户唯一的 PPSK,并在身份验证时返回相应的 VLAN 属性。5. 通过 Purple 门户向每个租户公司发放其唯一的 PPSK。6. 在 Sophos 防火墙上,配置 VLAN 间防火墙规则,以阻止租户 VLAN 之间的所有流量。仅允许每个 VLAN 访问互联网。7. 对于需要共享服务(例如共享打印机)的租户,仅针对这些特定资源创建显式准许规则。
考官评语: 将 15 个 SSID 合并为一个,消除了每个 AP 每秒 15 个信标帧的射频开销。带有动态 VLAN 分配的 PPSK 在网络层提供了与独立 SSID 相同的隔离效果。关键风险在于 RADIUS 服务器的可用性:如果 RADIUS 服务器无法访问,则所有租户都无法连接。为了降低这一风险,请部署一个备用 Purple RADIUS 服务器,并在 Sophos Central 中将其配置为回退服务器。

练习题

Q1. 某零售连锁店在 50 家门店部署了 Sophos AP6 接入点。购物者反馈 Purple 引导页面(splash page)需要超过 30 秒才能加载完成,或者完全超时。IT 团队已确认 RADIUS 身份验证配置正确。最可能的原因是什么,您该如何解决?

提示:考虑在用户到达身份验证步骤之前发生了什么。

查看标准答案

围墙花园(Walled Garden)配置不完整。Sophos 防火墙在身份验证前拦截了对 Purple 的 CSS 和 JavaScript 资源的访问,或者拦截了社交登录 CDN 域名的访问。在 Sophos 防火墙上针对访客 VLAN 启用数据包捕获,并过滤来自未身份验证客户端的被拦截流量。识别被拦截的域名,并在“Wireless > Hotspot Settings”下的围墙花园中添加它们。同时确认在身份验证前允许 DNS(UDP 端口 53)。如果没有 DNS 解析,设备将无法解析 Purple 门户的主机名,导致重定向立即失败。

Q2. 您正在使用 Sophos AP6 接入点为拥有 5,000 个座位的体育场设计访客 WiFi 部署方案。该场馆预计在活动期间会有 4,000 个并发粉丝连接。您应该将访客 SSID 配置为 NAT 模式还是网桥(Bridge)模式?请阐述您的决定及理由。

提示:考虑 4,000 个并发连接产生的 DHCP 负载。

查看标准答案

网桥(Bridge)模式。在 4,000 个并发连接的情况下,NAT 模式会使 Sophos AP 的板载 DHCP 服务器或防火墙过载。在网桥模式下,AP 直接将访客流量投放到专用的 VLAN 中,并由企业级 DHCP 服务器处理 IP 地址分配。这可以防止 DHCP 耗尽,并确保 Purple 平台接收到真实的客户端 IP 地址,以进行准确的分析。网桥模式还比 NAT 模式提供更高的吞吐量,这对于高密度活动环境至关重要。在核心网络上配置一个 DHCP 地址池,其地址数量需满足预期峰值负载,并留出 20% 的缓冲区。

Q3. 您的 Purple 分析仪表板显示了正确的登录次数,但所有会话时长均报告为零分钟,且未追踪带宽使用量。访客门户工作正常,访客可以正常浏览互联网。缺少了什么配置要素?

提示:身份验证授予了访问权限。那么在授予访问权限后,是什么在追踪使用情况?

查看标准答案

RADIUS 计费(accounting)未配置或被拦截。端口 1812 上的身份验证授予了互联网访问权限,但端口 1813 上的计费才是将会话时长和带宽数据反馈给 Purple 的机制。检查 Sophos 防火墙配置,确认计费服务器已设置为端口 1813 上的 Purple RADIUS IP,并配有正确的共享密钥。然后确认 Sophos 防火墙与 Purple 的云 RADIUS 服务器之间的任何中间 ACL 或防火墙规则均未拦截 UDP 端口 1813。使用数据包捕获来确认计费数据包正从 Sophos 防火墙发出并收到了响应。

Q4. 一家共享办公空间运营商希望使用 Sophos PPSK 为其 20 家租户公司分别提供隔离的网络切片。配置完成后,所有 PPSK 用户均成功连接,但无论使用哪一个 PPSK,所有人都进入了同一个 VLAN。最可能的原因是什么?

提示:思考 RADIUS 服务器需要返回什么,以及 AP 需要接受什么。

查看标准答案

有两个可能的原因。首先,RADIUS 服务器未在 Access-Accept 消息中返回正确的 VLAN 属性。验证 RADIUS 服务器是否返回了 Tunnel-Type = 13 (VLAN)、Tunnel-Medium-Type = 6 (IEEE-802) 以及 Tunnel-Private-Group-ID = 对应每个 PPSK 的正确 VLAN ID。其次,Sophos Central 中的 SSID 可能未启用 RADIUS VLAN 分配。导航至 SSID 的高级设置(Advanced Settings),确认已开启 RADIUS VLAN 分配开关。使用 RADIUS 调试日志或数据包捕获来检查 Access-Accept 消息,确认 VLAN 属性存在且格式正确。

继续阅读本系列

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →

Grandstream GWN Access Points 接入 Purple WiFi 集成指南

本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。

阅读指南 →