WatchGuard Firebox 与 Purple WiFi 集成:安装与配置指南
本指南是为部署 WatchGuard Firebox 和接入点与 Purple 的 IT 经理和网络架构师提供的分步集成手册。它涵盖了用于 Guest WiFi 的外部 Captive Portal 重定向、用于 Staff WiFi 的安全 802.1X 身份验证,以及使用 WatchGuard 私有预共享密钥 (PPSK) 配合动态 VLAN 引导的多租户隔离——为您在所有访问层级提供单一、统一的架构。
收听本指南
查看播客转录
执行摘要
在复杂的场所部署安全、可扩展的无线基础设施,需要安全网关与身份提供商之间进行精准的集成。本指南详细介绍了 WatchGuard Firebox 和 WatchGuard 接入点与 Purple 的集成,涵盖三个不同的访问层级: Guest WiFi Captive Portal 重定向、使用 IEEE 802.1X 的安全员工 WiFi,以及通过 WatchGuard 专用预共享密钥 (PPSK) 实现的多租户 WiFi 细分。
通过将 WatchGuard 的统一安全平台与 Purple 的云端覆盖相结合,您可以自动执行基于身份的访问控制、实施细粒度的安全策略,并大规模捕获第一方数据。Purple 在全球 80,000 多个活跃场所运行,并在 2024 年处理了 4.4 亿次登录(Purple 内部数据)。该集成在设计上与硬件无关——在 Purple 支持的硬件列表中,WatchGuard 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 并列。有关企业 WiFi 安全标准的更广泛视角,请参阅我们的 企业 WiFi 安全:2026 年完整指南 。
技术架构
该集成使用两种标准机制将 WatchGuard 硬件连接到 Purple 的云服务:用于认证和计费的 RADIUS(远程用户拨号认证服务),以及用于交付 Captive Portal 的 HTTP 重定向。该架构在单个物理基础设施上支持三个访问层级。
| 访问层级 | SSID 类型 | 认证方法 | Purple 角色 |
|---|---|---|---|
| Guest WiFi | 开放式 | 外部 Captive Portal + RADIUS 计费 | 认证页面、数据捕获、分析 |
| 员工 WiFi | WPA3-Enterprise | 802.1X (EAP-TLS 或 PEAP) | RADIUS 服务器、身份提供商代理 |
| 多租户 WiFi | WPA2/WPA3 Personal + PPSK | 通过 RADIUS 验证的 PPSK | 密钥管理、动态 VLAN 分配 |
所有这三个层级都可以在同一个 WatchGuard 接入点群组中同时运行。WatchGuard Wi-Fi 6 型号(包括 AP130、AP230W、AP330、AP332CR、AP430CR 和 AP432)从固件 v2.6 版本起支持 PPSK。
配置 Guest WiFi Captive Portal 重定向
WatchGuard Captive Portal 集成将未认证的 HTTP 请求重定向到 Purple 托管的认证页面。这是捕获第一方数据和强制执行服务条款的主要机制。
步骤 1:RADIUS 服务器配置
在 WatchGuard Cloud 或 Firebox Policy Manager 中,将 Purple 定义为 RADIUS 认证和计费服务器。
- 主 RADIUS 服务器:设置为您所在地区的 Purple RADIUS IP 地址(可在 Purple 门户的“设置 > 硬件集成”下找到)。
- 认证端口:1812
- 计费端口:1813
- 共享密钥:输入 Purple 门户中提供的唯一密钥。
- NAS ID:使用
%m格式说明符将其设置为 Firebox 或 AP 的 MAC 地址。这用于向 Purple 标识场所,并将分析数据路由到正确的帐户。 - 计费间隔:设置为 10 分钟,以确保会话数据定期传输到 Purple 的分析仪表板。
第 2 步:SSID 和 Captive Portal 设置
在 WatchGuard Cloud 中,导航至配置 > 设备 > [您的 AP] > 设备配置 > SSID。创建或编辑访客 SSID。
- 安全性:开放(无预认证密码)。
- Captive Portal 类型:选择带 RADIUS 认证的第三方托管 Captive Portal。
- 展示页面 URL:输入 Purple 展示页面 URL(例如
https://wifi.mypurple.com/splash)。从 Purple > 分析 > 门户中获取此信息。 - 共享密钥:从同一个 Purple 分析门户页面输入门户共享密钥。此密钥生成 HMAC-SHA1 摘要,WatchGuard 使用该摘要来验证来自 Purple 的认证成功响应。
第 3 步:Walled Garden 配置
Walled Garden 定义了设备在完成认证之前可以访问哪些域名。如果没有此配置,设备将无法加载 Purple 展示页面。将以下条目添加到用户登录前可以访问的网站:
*.mypurple.comapi.mypurple.comcdn.mypurple.comassets.mypurple.com
如果您通过 Microsoft Entra ID、Okta 或 Google Workspace 启用了社交或联合登录,请添加相关的身份提供商域名(例如 login.microsoftonline.com、accounts.google.com)。有关共享 WiFi 基础设施的法律和合规性背景,请参阅我们的 共享 WiFi 基础设施的法律和合规性要求 指南。
HMAC 认证流程的工作原理
了解此流程有助于您快速诊断故障。
- 访客设备连接到开放的 SSID 并发起 HTTP 请求。
- WatchGuard AP 拦截该请求并将浏览器重定向到 Purple 展示页面 URL,同时附加
challenge参数(一个随机十六进制字符串)和设备 MAC 地址。 - Purple 显示展示页面。访客填写登录表单。
- Purple 使用门户共享密钥和 challenge 值生成 HMAC-SHA1 摘要。
- Purple 将浏览器重定向回 WatchGuard AP 的登录 URL,并附加 challenge 和摘要。
- WatchGuard AP 使用相同的共享密钥验证该摘要。如果匹配,AP 将授予互联网访问权限,并向 Purple 发送 RADIUS 计费开始数据包。
使用 802.1X 保护员工 WiFi 安全
对于 Staff WiFi,您需要将 Captive Portal 替换为 IEEE 802.1X(基于端口的网络访问控制的企业标准)。每位员工使用唯一的凭据或证书进行身份验证,从而消除了共享密码的安全风险。
在 WatchGuard Cloud 中,将 Staff SSID 配置为 WPA3 Enterprise 安全模式,并将 Authentication Domain 指向 Purple 的 RADIUS 服务器。Purple 作为 RADIUS 服务器运行,并可以通过 SAML 或 LDAP 将身份验证请求代理到 Microsoft Entra ID、Okta 或 Google Workspace。
对于基于证书的身份验证 (EAP-TLS),请通过您的 MDM 将客户端证书部署到受管理设备。对于基于凭据的身份验证 (PEAP-MSCHAPv2),用户使用其目录凭据进行身份验证。Purple 会根据配置的身份提供商验证该请求,并向 WatchGuard AP 返回 RADIUS Access-Accept 或 Access-Reject。
有关跨设备类型配置 802.1X 的详细步骤,请参阅我们的指南: 802.1X 身份验证:在现代设备上保障网络访问安全 。
关于 MAC 随机化的重要提示:现代 iOS 和 Android 设备默认会随机化其 MAC 地址。对于 802.1X Staff WiFi,请指导员工针对 Staff SSID 禁用 MAC 随机化。随机的 MAC 地址会导致身份验证日志不一致,并破坏基于 MAC 的策略执行。
基于 WatchGuard PPSK 的多租户 WiFi
在零售中心、联合办公空间或建设出租(BTR)项目中,为每个租户广播单独的 SSID 会导致同频干扰并使 RF 环境变得拥挤。WatchGuard PPSK(私有预共享密钥,在 AP 固件 v2.6 中引入)通过在单个 SSID 上为每个用户或租户分配唯一的密码来解决此问题。
步骤 1:在 SSID 上启用 PPSK
在 WatchGuard Cloud 中,编辑目标 SSID(例如 Venue-WiFi)。
- Security:WPA2 Personal 或 WPA3 Personal。
- Authentication:启用 Private Pre-Shared Key (PPSK)。
- RADIUS server:指向 Purple 的 RADIUS 服务器。Purple 负责管理 PPSK 凭据库,并在身份验证时返回 VLAN 属性。
步骤 2:配置动态 VLAN 分配
为了隔离租户流量,WatchGuard AP 会根据所使用的 PPSK 分配特定的 VLAN。
- VLAN setting:选择 Dynamic VLAN assigned by RADIUS。
- Unassigned clients fallback:选择一个隔离的隔离区 VLAN(例如 VLAN 999),以确保未通过 RADIUS 验证的设备无法访问企业网络。
在 WatchGuard 接入点上使用动态 VLAN 的要求:
- AP 固件版本需为 v2.2 或更高。
- 必须在 SSID 上禁用 NAT。
- 动态 VLAN 和 Captive Portal 无法在同一个 SSID 上同时运行。
- 连接到 AP 的交换机端口必须配置为承载所有相关 VLAN 的 Trunk 端口。
步骤 3:用于 VLAN 引导的 RADIUS 属性
当用户使用 PPSK 进行连接时,WatchGuard AP 会向 Purple 发送 RADIUS Access-Request。Purple 验证该密钥并返回一个包含三个 IETF RADIUS 属性的 Access-Accept 数据包:
| RADIUS 属性 | 属性编号 | 值 |
|---|---|---|
| Tunnel-Type | 64 | 13 (VLAN) |
| Tunnel-Medium-Type | 65 | 6 (802) |
| Tunnel-Private-Group-ID | 81 | VLAN ID(例如,"100") |
WatchGuard AP 读取属性 81 并将客户端分配到相应的 VLAN。在 Purple 中,您可以将每个 PPSK 凭据映射到特定的 VLAN ID 和角色。这就是基于身份的网络(Identity-Based Networks)背后的机制——凭据决定了网络段,而不是 SSID。
实施最佳实践
这些建议适用于 酒店餐饮 、 零售 、 医疗保健 和 交通运输 部署。
会话超时:在 Purple 和 WatchGuard 中配置会话超时,以强制定期进行重新认证。这可以保持分析数据的准确性,并防止陈旧会话占用带宽。将 RADIUS 临时更新(Acct-Interim-Interval)设置为 600 秒(10 分钟)。
固件管理:确保 WatchGuard 接入点运行固件 v2.6 或更高版本以支持 PPSK。使用 WatchGuard Cloud 安排在非高峰时段进行固件升级,以避免覆盖中断。
PCI DSS 合规性:对于处理卡类支付的零售环境,使用 PPSK 将 POS 设备隔离在专用 VLAN(例如 VLAN 200)上。确保 Guest WiFi VLAN 没有通往 POS VLAN 的路由。这符合 PCI DSS 网络分段要求。
GDPR 和数据收集:Purple 的 Captive Portal 采用知情同意的选择性加入机制,确保数据收集符合 GDPR 要求。Purple 已通过 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。在开始收集数据之前,请确保您的展示页面(Splash Page)包含清晰的隐私声明和条款服务链接。
故障排除与风险缓解
Captive Portal 无法加载:围墙花园(Walled Garden)是首要检查的地方。如果设备在认证前无法解析 DNS 或无法访问 Purple 的服务器,浏览器将显示超时错误,而不是展示页面。请验证所有 Purple 域名是否都在围墙花园列表中,并且 WatchGuard DNS 设置允许认证前解析。
HMAC 摘要验证错误:如果 WatchGuard 日志显示带有 HMAC 错误的认证失败,则说明 WatchGuard 和 Purple 之间的 Captive Portal 共享密钥(Shared Secret)不匹配。它在两个系统中必须完全一致。在 Purple 中重新生成密钥,并在 WatchGuard Cloud 中重新输入。
VLAN steering 失败:如果 PPSK 用户从错误的 VLAN 获取了 IP,请检查 Purple 门户中的 RADIUS 日志。验证 Purple 是否返回了所有三个 IETF RADIUS 属性。确保 Tunnel-Private-Group-ID 的值格式化为字符串,并且与交换机 Trunk 端口上配置的 VLAN ID 相匹配。
PPSK 与 Captive Portal 冲突:WatchGuard 不支持在同一个 SSID 上同时使用动态 VLAN 和 Captive Portal。如果您两者都需要,请使用两个 SSID:一个用于访客 Captive Portal,另一个用于 PPSK 多租户接入。
802.1X 认证失败:使用 WatchGuard AP 固件 v2.5 及更高版本中提供的抓包工具,捕获 AP 与 RADIUS 服务器之间的流量。在回复消息属性中查找 RADIUS Access-Reject 数据包和原因代码。
投资回报率(ROI)与业务影响
WatchGuard 与 Purple 的集成将安全性和分析整合到了单一架构中。一家拥有 200 间客房的酒店采用该集成方案后,无需再部署独立的访客和员工网关,与多网关部署相比,硬件支出减少了约 30%(Purple 内部数据)。Guest WiFi Captive Portal 收集的第一手数据(电子邮件地址、人口统计信息和访问频率)可通过 Purple 的 Engage 方案直接转化为营销收入。
对于多租户场所,PPSK 消除了管理多个 SSID 的运营开销。一个在单个 SSID 上管理 15 个商铺单元的零售中心,可以降低 AP 无线电利用率并简化网络审计。来自 Purple 的 WiFi 分析 为场所运营商提供了停留时间、客流量和重复访问数据——这些指标向财务团队证明了基础设施投资的合理性。
Purple 保持着 99.999% 的在线率(Purple 内部数据),确保 Guest WiFi Captive Portal 即使在体育场和会议中心等高密度场所的峰值期间也能保持可用。
关键定义
PPSK (Private Pre-Shared Key)
一种安全功能,为 WPA2/WPA3 个人版 SSID 上的每个用户或设备分配唯一的密码。在 WatchGuard AP 固件 v2.6 中引入。
用于多租户环境(如零售中心、联合办公空间、BTR 住宅开发项目),在无需客户端设备配置 802.1X 客户端的情况下对用户进行细分。
动态 VLAN 引导 (Dynamic VLAN steering)
根据身份验证期间返回的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)将网络设备分配到特定虚拟局域网(VLAN)的过程。
在同一物理接入点上隔离租户、员工和访客流量的机制。在 WatchGuard 硬件上需要 AP 固件 v2.2 或更高版本。
Walled Garden
在完成 Captive Portal 身份验证之前,允许未验证身份的用户访问的 IP 地址或域名列表。
在授予完全互联网访问权限之前,允许访客设备加载 Purple 登录页面并完成联合登录(Microsoft Entra ID、Google Workspace)所必需的配置。
HMAC 摘要 (HMAC digest)
一种加密哈希(HMAC-SHA1),用于验证来自 Captive Portal 的身份验证成功消息的完整性和真实性。
WatchGuard 使用 Captive Portal 共享密钥验证 HMAC 摘要。WatchGuard 与 Purple 中的密钥不匹配会导致身份验证失败。
RADIUS 计费 (RADIUS accounting)
RADIUS 协议的组成部分,用于跟踪网络使用情况,包括会话开始、会话持续时间和数据传输量。
Purple 依赖来自 WatchGuard Firebox 的 RADIUS 计费数据包来填充分析仪表板并执行会话时间限制。在端口 1813 上运行。
Captive Portal
设备在被授予公共网络访问权限之前被重定向到的网页。WatchGuard 会拦截 HTTP 请求并重定向到配置的外部 Portal URL。
在访客 WiFi 网络上捕获第一方数据并执行服务条款的主要机制。Purple 托管登录页面并管理数据。
802.1X
一种用于基于端口的网络访问控制的 IEEE 标准。要求每个设备在被授予网络访问权限之前,使用唯一的凭据或证书进行身份验证。
保护员工 WiFi 的企业标准。消除了 WPA2 个人版的共享密码风险。需要 RADIUS 服务器(Purple)和客户端设备上的客户端软件。
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
一种高度安全的 802.1X 身份验证方法,需要客户端证书和服务器证书进行双向身份验证。
用于由 MDM 管理设备的高安全环境。确保只有持有有效证书的公司自有设备才能连接到员工 WiFi SSID。
NAS ID (Network Access Server Identifier)
在 RADIUS 数据包中发送的字符串,用于标识发起身份验证请求的网络设备(AP 或 Firebox)。
Purple 使用 NAS ID 来识别 RADIUS 请求源自哪个场所。在 WatchGuard 中,通常使用 %m 格式说明符将其设置为 AP MAC 地址。
基于身份的网络 (Identity-Based Networking)
一种网络架构,其中访问策略、VLAN 分配和安全控制由用户的身份决定,而不是由其物理端口或 SSID 决定。
结合 WatchGuard PPSK、Purple RADIUS 和动态 VLAN 引导,实现基于身份的网络——凭据自动决定网络细分。
应用实例
一家拥有 200 间客房的 Premier Inn 酒店需要为宾客提供 Guest WiFi,为前台和后台团队提供安全的 Staff WiFi,并为 IoT 设备(智能电视、门锁)提供一个独立的网络。他们拥有通过 WatchGuard Cloud 管理的 WatchGuard AP330 接入点以及一台 Firebox T85 网关。他们应该如何设计这三个网络的架构?
在 WatchGuard AP330 设备群上部署三个 SSID。SSID 1:“Premier-Guest”——开放式 SSID,带有指向 Purple 的外部 Captive Portal 重定向。将 Firebox T85 配置为指向 Purple 服务器(端口 1812/1813)的 RADIUS 客户端。添加 Purple 的 Walled Garden 域名。宾客通过 Purple 登录页面使用电子邮件、社交媒体登录或房间验证码进行身份验证。SSID 2:“Premier-Staff”——采用 802.1X 身份验证的 WPA3-Enterprise SSID。将身份验证域指向 Purple 的 RADIUS 服务器,该服务器将凭据代理到该酒店的 Microsoft Entra ID 租户。员工使用其企业凭据进行身份验证。SSID 3:“Premier-IoT”——采用静态 PSK 的 WPA2 Personal SSID,放置在专用 VLAN(例如 VLAN 50)上,并配有阻止访问员工和宾客 VLAN 的防火墙规则。Firebox T85 执行跨 VLAN 路由策略。所有三个 SSID 都在相同的 AP 硬件上广播,从而降低了基础设施成本。
一个管理 12 个商铺单元的零售中心希望使用单个 SSID 为每个租户提供隔离的 WiFi 访问。该中心还需要确保某个租户凭据泄露时不会暴露其他租户的流量。他们正在运行固件版本为 v2.6 的 WatchGuard AP230W 接入点。
配置一个 SSID:“Centre-Retail”,并启用 WPA2 Personal 和 PPSK。在 Purple 中,创建 12 个唯一的 PPSK 凭据,每个租户一个。将每个凭据映射到专用 VLAN(例如,租户 1 映射到 VLAN 101,租户 2 映射到 VLAN 102,依此类推)。在 WatchGuard Cloud 中,将 SSID VLAN 设置为“由 RADIUS 分配的动态 VLAN”,并回退到隔离 VLAN(VLAN 999)。将连接到 AP230W 的交换机端口配置为承载 VLAN 101-112 和 999 的 Trunk 端口。当租户设备使用其 PPSK 连接时,AP 会查询 Purple RADIUS,接收 Tunnel-Private-Group-ID 属性,并将设备放置在正确的 VLAN 上。租户 3 泄露的凭据只会暴露 VLAN 103——所有其他租户仍保持隔离。
练习题
Q1. 酒店 IT 经理报告称,宾客连接了 WiFi,但从未出现 Purple splash page。浏览器显示连接超时错误。WatchGuard Cloud 配置显示了正确的 Purple splash page URL 和共享密钥。最可能的原因是什么,您如何解决?
提示:考虑在设备通过身份验证之前必须发生什么。设备需要访问哪些域名才能加载 splash page?
查看标准答案
Walled Garden 缺失或不完整。在身份验证完成之前,WatchGuard Firebox 阻止了设备向 Purple 服务器发送的初始 HTTP 请求。将所需的 Purple 域名添加到“用户登录前可访问的网站”列表中:*.mypurple.com、api.mypurple.com 和 cdn.mypurple.com。如果宾客使用社交媒体登录,还需添加相关的身份提供商域名(例如,针对 Entra ID 的 login.microsoftonline.com)。
Q2. 您正在为一个拥有 8 个成员的联合办公空间配置基于 PPSK 的 VLAN 引导。RADIUS 身份验证成功(WatchGuard 日志显示 Access-Accept),但每个成员设备都从 VLAN 1(默认管理 VLAN)获取 IP 地址,而不是他们被分配的租户 VLAN。您如何诊断并解决此问题?
提示:身份验证已成功,因此凭据是有效的。问题出在 VLAN 分配步骤。WatchGuard 需要从 RADIUS 服务器获取什么才能分配 VLAN?
查看标准答案
来自 Purple 的 RADIUS Access-Accept 数据包缺失或未正确格式化 VLAN 属性。使用 WatchGuard 数据包捕获工具在 AP 上捕获 RADIUS 流量,并检查 Access-Accept 数据包。验证 Purple 是否返回了所有三个 IETF 属性:Tunnel-Type(属性 64,值为 13)、Tunnel-Medium-Type(属性 65,值为 6)和 Tunnel-Private-Group-ID(属性 81,设置为字符串形式的 VLAN ID,例如 '101')。同时确认连接到 AP 的交换机端口已配置为承载相关 VLAN 的 Trunk 端口,并且 WatchGuard Cloud 中的 SSID VLAN 设置已设为“由 RADIUS 分配的动态 VLAN”,而不是静态 VLAN ID。
Q3. 场馆运营商希望在同一个 WatchGuard AP330 接入点上运行宾客 WiFi Captive Portal(Purple splash page)以及一个为 6 个零售商铺服务的、基于多租户 PPSK 的网络。他们计划在单个 SSID 上配置这两个功能,以简化 RF 环境。这可行吗?如果不可行,正确的架构是什么?
提示:查看 WatchGuard 动态 VLAN 要求。是否存在任何功能冲突?
查看标准答案
在单个 SSID 上这是不可行的。WatchGuard 不支持在同一个 SSID 上同时启用动态 VLAN(PPSK 所需)和 Captive Portal。正确的架构是使用两个 SSID:SSID 1(“Venue-Guest”)配置为开放式 SSID,并带有重定向至 Purple 的外部 Captive Portal,供公众宾客使用。SSID 2(“Venue-Retail”)配置为 WPA2 Personal,启用 PPSK,并为 6 个零售租户进行动态 VLAN 分配。两个 SSID 均由同一个 AP330 硬件广播,因此 RF 影响仅限于增加一个 SSID 信标。连接到 AP 的交换机端口必须是 Trunk 端口,承载两个 SSID 的所有相关 VLAN。
继续阅读本系列
CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南
本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。
Allied Telesis 接入点与 Purple WiFi 集成
本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。
Grandstream GWN Access Points 接入 Purple WiFi 集成指南
本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。