跳至主要内容
简体中文

Zyxel Nebula Cloud 和 USG 与 Purple WiFi 的集成

本技术参考指南涵盖了 Zyxel Nebula Cloud 和 USG Flex 防火墙与 Purple WiFi 平台的端到端集成。它提供了分步配置说明,包括访客 Captive Portal 重定向、RADIUS 身份验证、Walled Garden 设置、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 分配的 Zyxel 私有预共享密钥 (PPSK) 的多租户网络分段。在酒店、零售和多租户场所部署 WiFi 的 IT 经理、MSP 和网络架构师将获得基于 PCI DSS、IEEE 802.1X 和 GDPR 等行业标准的实用指导。

📖 9 分钟阅读📝 2,234 🔧 2 应用实例3 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎收看 Purple 技术简报系列。我是主持人,今天我们将探讨一个针对 IT 经理和网络架构师的关键部署场景:将 Zyxel Nebula 云和 USG Flex 防火墙与 Purple WiFi 进行集成。如果您正在连锁酒店、零售物业或多租户环境中部署访客 WiFi,那么本期内容非常适合您。让我们直接进入架构部分。 首先,为什么要进行这种集成?Zyxel 提供强大的硬件,而 Nebula 提供集中式云管理。但当您大规模部署 WiFi 时——例如跨 50 个零售分店或拥有 200 间客房的酒店——您需要的不仅仅是基础连接。您需要结构化的身份验证流程、合规的数据捕获以及动态网络分段。这正是 Purple 的用武之地。我们通过 RADIUS 和外部 Captive Portal 重定向与 Zyxel 集成,以提供基于身份的网络。 让我们来看看 Zyxel Nebula 上的核心配置。该流程从您的 SSID 设置开始。您导航至 Site-wide(站点范围)> Configure(配置)> Access points(接入点)> SSID advanced settings(SSID 高级设置)。在这里,您启用 external captive portal URL(外部 Captive Portal URL)。您将输入 Purple 门户中提供的特定 Purple 重定向 URL。但仅靠重定向还不够,您还必须配置 Walled Garden(围墙花园)。 Walled Garden 定义了访客设备在进行身份验证之前可以访问哪些域名。这是一个常见的陷阱。您必须将 Purple 门户域名、任何资产 CDN 以及标准的操作系统 Captive Portal 检测端点加入白名单。在 Nebula 中,您需要逐行添加这些域名。如果遗漏了某个域名,展示页面(splash page)将无法正常加载,您的访客将被卡住。 接下来,我们配置 RADIUS 服务器。在 SSID 高级设置中,您选择 WPA2-Enterprise with My RADIUS server,或者根据您的流程配置基于 MAC 的身份验证。输入 Purple RADIUS IP 地址,将身份验证端口设置为 1812,计费端口设置为 1813,并输入共享密钥。务必配置备份 RADIUS 服务器以确保高可用性。 现在,让我们讨论一个更高级的场景:使用 Zyxel 个人预共享密钥(Private Pre-Shared Keys,简称 PPSK)进行多租户分段。在学生公寓或联合办公空间等环境中,您希望使用单一 SSID,但需要隔离每个租户的流量。Zyxel PPSK 允许您为每个用户分配一个唯一的 WiFi 密码。当他们连接时,Nebula 控制器会根据该密码动态地将他们分配到特定的 VLAN。您可以在 Cloud Authentication(云身份验证)下通过选择 DPPSK 并分配相应的 VLAN ID 来进行配置。它减少了 SSID 开销并显著提高了安全性。那么 USG Flex 防火墙呢?如果您在本地部署网关,必须确保您的防火墙规则和区域策略与您的无线网段保持一致。您通常需要为访客、员工和多租户流量创建专用区域。访客区域必须仅具有出站互联网访问权限,并设有严格的规则来阻止对 LAN 或 DMZ 区域的访问。 让我们来看看实施建议和常见误区。我们最常遇到的问题是 Walled Garden 配置错误。如果访客连接后看到空白页面,请检查您的白名单。使用浏览器开发者工具来识别被拦截的 CDN 请求。第二个问题是 RADIUS 超时。请确保您的上游防火墙允许指向 Purple 云平台的出站 UDP 端口 1812 和 1813 流量。 接下来是快速问答环节。 问题一:我是否需要为访客 WiFi 设置专用 VLAN? 回答:是的。请务必在专用 VLAN 上隔离访客流量。如果您的场所在相同的物理基础设施上处理支付业务,那么为了满足 PCI DSS 合规性要求,这是强制性的。 问题二:我可以在不使用 Nebula 的情况下,将 Purple 与 Zyxel 独立 AP 配合使用吗? 回答:可以,但逐个 AP 管理 RADIUS 和门户设置效率低下。我们强烈建议使用 Nebula 控制中心进行集中式管理。 问题三:Purple 如何处理 MAC 地址随机化? 回答:Purple 依赖于 Zyxel 控制器通过 RADIUS 计费提供的 MAC 地址。虽然设备会针对每个网络随机化 MAC 地址,但它们在连接您的特定 SSID 时会保持相同的 MAC 地址,从而在访客访问期间保持会话持久性。 总结一下:将 Zyxel Nebula 与 Purple 进行集成,需要精确配置外部 Captive Portal URL、完整的 Walled Garden 以及准确的 RADIUS 设置。对于多租户场所,可利用 Zyxel PPSK 进行动态 VLAN 引导。做好这些要素,您就能提供安全、可扩展的 WiFi 体验,并捕获宝贵的第一方数据。 如果您正在计划部署,请查看完整技术指南以获取分步说明和架构图。感谢您的收听,我们下期技术简报再见。

header_image.png

执行摘要

Zyxel Nebula Cloud 和 USG Flex 防火墙已部署在数千个企业场所,从连锁酒店到零售物业。当您将这些硬件与 Purple 集成时,您就添加了一个合规且可捕获数据的访客身份验证层,从而将标准的无线网络转化为第一方数据资产。本指南涵盖四种部署场景:通过外部展示页面进行访客 Captive Portal 重定向、基于 RADIUS 的身份验证和计费、使用 IEEE 802.1X 的安全员工 WiFi,以及使用 Zyxel 动态个人预共享密钥 (DPPSK) 的多租户网络隔离。Purple 在全球 80,000 多个活跃场所运行,并在 2024 年处理了 4.4 亿次登录(Purple 内部数据)。它持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。此处描述的集成架构在平台层面上与硬件无关,但本指南中具体的配置路径和参数适用于运行当前固件的 Zyxel Nebula Control Center (NCC) 和 USG Flex 防火墙。

如需更广泛地了解企业 WiFi 安全架构,请参阅我们的 企业 WiFi 安全:2026 年完整指南

技术深度解析

集成架构

Zyxel 与 Purple 的集成依赖于三个依次运行的标准协议:HTTP 重定向(captive portal 检测)、RADIUS 身份验证 (UDP 1812) 和 RADIUS 计费 (UDP 1813)。当访客设备连接到访客 WiFi SSID 时,Zyxel 接入点会拦截第一个 HTTP 请求,并向 Purple 外部 captive portal URL 发送 HTTP 302 重定向。访客在 Purple 展示页面上进行身份验证(通过电子邮件、社交登录或短信),然后 Purple 向 Zyxel 控制器发送 RADIUS Access-Accept 消息。控制器授予互联网访问权限,并开始发送 RADIUS Accounting Start 数据包以记录会话数据。

architecture_overview.png

Zyxel USG Flex 防火墙介于无线网段和 WAN 之间。它执行基于区域的安全策略,将访客、员工和多租户 VLAN 彼此隔离,并与企业局域网 (LAN) 隔离。Nebula Control Center 通过端口 443 上的 HTTPS 连接到 Nebula 云,对接入点和 SSID 配置进行集中管理。

RADIUS 参数

下表总结了您需要从 Purple 管理控制台获取的 RADIUS 配置参数。

参数
主 RADIUS IP 在 Purple 管理控制台中提供
备 RADIUS IP 在 Purple 管理控制台中提供
身份验证端口 UDP 1812
计费端口 UDP 1813
NAS 标识符 设置为 AP MAC 地址或站点名称
Called Station ID AP MAC 地址

请务必同时配置主 RADIUS 服务器和备 RADIUS 服务器。单个 RADIUS 端点存在单点故障风险,一旦服务器无法访问,访客将被锁定在外。

Walled Garden 配置

Walled Garden(也称为白名单)定义了设备在完成认证之前可以访问的域名和 IP 范围。在 Zyxel Nebula 中,您可以在 Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting 下进行配置。

您必须包含以下类别的条目:

  • Purple 门户域名及其所有子域名(使用通配符格式:*.purple.ai
  • 托管门户 CSS、JavaScript 和图片资源的 CDN 域名
  • 如果您启用了 Facebook、Google 或 Microsoft 登录,则需添加社交登录提供商域名
  • Apple Captive Portal 检测:captive.apple.com
  • Google 连接性检查:connectivitycheck.gstatic.com
  • Microsoft NCSI:www.msftconnecttest.com

缺失其中任何条目都将导致 Splash 页面在特定设备类型上无法渲染。特别是 iOS 设备,如果未正确处理 Apple CNA 端点,将会显示一个空白的微型浏览器。

使用 IEEE 802.1X 保护员工 WiFi 安全

对于员工网络,不应使用共享 PSK。IEEE 802.1X(在 IEEE 802.1X-2020 标准中定义)通过为每个用户提供独立的凭据,来实现基于端口的网络访问控制。在 Nebula 中,您可以通过将 SSID 安全性设置为 WPA2-Enterprise,并将认证指向 Nebula 云认证服务器 (NCAS) 或通过 RADIUS 代理指向外部 RADIUS 服务器(如 Microsoft Entra ID 或 Okta)来进行配置。

对于 WPA3-Enterprise 部署,配置路径完全相同,只需在安全选项中选择 WPA3 即可。WPA3 强制要求使用受保护的管理帧 (PMF),并使用对等实体同时认证 (SAE) 以提高对离线字典攻击的防御能力。

适用于多租户场所的 PPSK 和动态 VLAN 分配

ppsk_vlan_diagram.png

Zyxel DPPSK(动态个人预共享密钥)允许单个 SSID 为多个隔离的网络段提供服务。每个用户或设备都会获得一个唯一的密码。当他们进行认证时,Nebula 控制器会将该密码映射到 DPPSK 数据库中定义的 VLAN ID。对于联合办公空间、学生公寓、长租公寓 (BTR) 以及多住户单元 (MDU) 等需要实现租户隔离而无需广播数十个 SSID 的场景,这是最正确的方法。DPPSK 需要 Nebula Pro Pack 许可证和 6.00 或更高版本的接入点固件。您可以在 Nebula Control Center 的 配置 > 云身份验证 > DPPSK 中配置 DPPSK 数据库。每个条目包括密码、可选的到期日期、用于发送的电子邮件地址以及目标 VLAN ID。

同时授权的 DPPSK 条目最大数量为 2,048。对于并发用户数超过 2,048 的部署,您需要仔细管理到期日期,以确保处于活动状态的凭据保持在此限制之内。

实施指南

步骤 1:准备网络基础设施

在操作 Nebula Control Center 之前,请先在 USG Flex 防火墙和下游交换机上配置您的 VLAN。

  1. 创建一个具有专用子网(例如:192.168.10.0/24)的 访客 VLAN(例如:VLAN 10)。在此接口上配置 DHCP 服务器。
  2. 创建一个具有专用子网(例如:192.168.20.0/24)的 员工 VLAN(例如:VLAN 20)。
  3. 对于多租户部署,为每个租户创建额外的 VLAN(例如:VLAN 30、40、50)。
  4. 在 USG Flex 上,创建一个映射到 VLAN 10 的 访客区域 (Guest Zone)。创建一条安全策略,允许流量从访客区域流向 WAN 区域。创建一条全部拒绝策略,阻止流量从访客区域流向 LAN 区域。
  5. 确保连接 Zyxel AP 的交换机端口配置为承载所有所需 VLAN 标签的 802.1Q trunk 端口。

步骤 2:在 Nebula Control Center 中配置访客 SSID

  1. 登录 Nebula Control Center:ncc.nebula.zyxel.com
  2. 导航至 站点范围 > 配置 > 接入点 > SSID 设置
  3. 启用访客 SSID 并切换至 高级模式
  4. 启用 访客网络 以激活第 2 层客户端隔离。这可以防止访客设备在同一个 SSID 上直接相互通信。
  5. 保存。

步骤 3:配置外部 Captive Portal

  1. 导航至 站点范围 > 配置 > 接入点 > SSID 高级设置
  2. 从下拉菜单中选择您的访客 SSID。
  3. 登录方式 下,为初始重定向选择 Click-to-continue,或者如果您使用的是 Purple 基于 RADIUS 的 MAC 认证,请选择 My RADIUS server
  4. 导航至 站点范围 > 配置 > 接入点 > Captive portal 自定义
  5. 外部 Captive Portal URL 下,输入来自 Purple 管理控制台的 Purple 重定向 URL。格式为 https://[your-purple-domain]/[venue-id]
  6. Captive Portal 高级设置 下,输入所有必需的 Walled Garden 域名。
  7. 严格策略 设置为 在登录前阻止所有访问,以防止访客绕过门户。
  8. 设置 重新认证时间 以匹配您场所的会话策略(通常酒店行业为 24 小时,零售会员计划为 30 天)。
  9. 保存。

步骤 4:在 Nebula 中配置 RADIUS

  1. SSID 高级设置网络访问 下,选择 My RADIUS server
  2. 输入来自 Purple 管理控制台的 主 RADIUS 服务器 IP。3. 将认证端口设置为 1812
  3. 输入共享密钥
  4. 对辅助 RADIUS 服务器重复此操作。
  5. 启用RADIUS 计费并将计费端口设置为 1813
  6. 保存。

步骤 5:配置 DPPSK 以实现多租户分段

  1. 导航至配置 > 接入点 > SSID 高级设置
  2. 选择多租户 SSID,并将网络访问设置为动态个人 PSK
  3. 导航至配置 > 云认证 > DPPSK
  4. 单击添加并选择批量创建 DPPSK
  5. 为每个租户组设置凭据数量、有效期和目标 VLAN ID
  6. 输入用于接收批量凭据的电子邮件地址。
  7. 保存并向租户分发凭据。

步骤 6:验证部署

  1. 将测试设备连接到访客 WiFi SSID。
  2. 确认设备已重定向到 Purple 欢迎页面。
  3. 完成认证并确认已获取互联网访问权限。
  4. 在 Purple 管理控制台中,验证会话是否显示在分析仪表板中。
  5. 在 Nebula 中,导航至接入点 > 监控 > 客户端,以确认客户端已关联并分配到正确的 VLAN。
  6. 使用租户凭据进行连接,并确认 VLAN 分配正确,以此测试 DPPSK。

最佳实践

隔离每种流量类型。 访客、员工和 IoT 流量必须各自占用专用的 VLAN。如果您的场所在同一物理基础设施上处理刷卡支付,则此项为必选项——PCI DSS v4.0 要求在持卡人数据环境与访客网络之间进行网络分段。

使用 RADIUS 冗余。 在 Nebula 中配置主 Purple RADIUS IP 和辅助 Purple RADIUS IP。单个 RADIUS 服务器故障将导致所有访客认证中断,直至问题解决。

定期审计 Walled Garden。 门户网站供应商会更新其 CDN 配置。如果供应商将资产迁移到新的 CDN,部署时可用的域名在六个月后可能会失效。请计划每季度审查一次您的 Walled Garden 条目。

启用 RADIUS 计费。 如果不启用计费,Purple 将无法跟踪会话时长、数据使用情况,或实施基于时间的访问限制。计费数据还会同步到 WiFi 分析 仪表板。

在硬件支持的情况下应用 WPA3。 2021 年及以后发布的合勤 (Zyxel) 接入点支持 WPA3。对于员工 WiFi,采用 192 位安全模式的 WPA3-Enterprise 符合 NIST SP 800-187 对企业无线安全的建议。

在上线前测试 CNA 行为。 在 iOS 上,与完整浏览器相比,Captive Network Assistant (CNA) 微型浏览器的功能有限。在向访客部署之前,请在 CNA 环境中测试您的 Purple 欢迎页面(特别是社交登录流程和自定义 JavaScript)。对于 酒店业 部署,另请参阅我们关于隔离访客网络和后勤网络的指南。对于 零售 环境,同样的 PPSK 方法也适用于将销售点(POS)系统与顾客 WiFi 进行隔离。

故障排除与风险规避

认证页面加载失败

故障现象:访客连接到 SSID,但在 CNA 中看到空白页面或浏览器错误。

原因:认证页面所需的一个或多个域名未包含在 Walled Garden 中。

解决方法:将测试设备连接到访客 SSID。打开浏览器(而非 CNA)并访问任意 HTTP URL。重定向到门户页面时,打开浏览器的开发者工具并检查 Network(网络)标签页。找出所有返回 403 或连接被拒绝(connection-refused)错误的请求。将这些域名添加到 Nebula Walled Garden 中。

访客已通过认证但无法访问互联网

故障现象:访客完成了门户表单并看到了成功页面,但无法浏览网页。

原因:Zyxel 控制器未收到来自 Purple 的 RADIUS Access-Accept 报文,或者 USG Flex 防火墙阻止了 RADIUS 响应。

解决方法:验证是否允许从 Zyxel AP 管理 IP 到 Purple RADIUS 服务器 IP 的出站 UDP 端口 1812 和 1813。检查 USG Flex 安全策略日志中是否有被拦截的流量。

Purple 控制面板中缺失 RADIUS 计费数据

故障现象:会话显示在 Nebula 中,但 Purple 分析控制面板中未显示会话时长数据。

原因:Nebula SSID 配置中未启用 RADIUS 计费(Accounting),或者 UDP 端口 1813 被阻止。

解决方法:确认 SSID 高级设置中已启用 RADIUS 计费。验证计费端口是否设置为 1813,且共享密钥与 Purple 配置相匹配。

DPPSK 用户被分配到错误的 VLAN

故障现象:租户使用其 PPSK 进行连接,但被分配到了错误的网络网段。

原因:DPPSK 数据库条目中的 VLAN ID 与交换机 Trunk 或 USG Flex 接口上配置的 VLAN 不匹配。

解决方法:交叉比对 Nebula DPPSK 数据库中的 VLAN ID 与上游交换机及 USG Flex 上的 VLAN 配置。确保 AP 交换机端口为承载所有租户 VLAN 的 Trunk 端口。

投资回报率(ROI)与业务影响

将 Zyxel 基础设施与 Purple 集成,可将作为成本中心的无线网络转化为能够创收的数据资产。对于一家拥有 200 间客房的酒店,在 WiFi 登录时获取访客的电子邮件地址和营销授权,可以构建起一个 CRM 数据库,从而推动直接预订营销活动——降低对 OTA 佣金的依赖。对于零售连锁店,Purple 的 Guest WiFi 平台可提供客流量分析、停留时间数据和复访率,为排班和商品规划决策提供数据支持。对于多租户运营商(长租公寓 (BTR) 项目、学生公寓、联合办公空间)而言,将 Zyxel DPPSK 与 Purple 联合部署可以消除为每个租户管理独立 SSID 和凭据的运营开销。具有动态 VLAN 分配功能的单一 SSID 可减少射频干扰、简化接入流程,并且无需额外基础设施即可轻松扩展至数百名居民。

Purple 的 99.999% 运行时间 SLA 确保了认证层不会成为访客接入的瓶颈。凭借在整个平台收集的 290 亿个数据点(Purple 内部数据),通过 Purple 管理控制台提供的分析数据为场所运营商提供了可操作的智能洞察,在部署的首个季度内即可证明该集成投资的价值。

对于将访客 WiFi 视为受监管服务的 医疗保健交通运输 环境,内置于 Purple 的 Captive Portal 且符合 GDPR 规范的数据捕获和同意管理功能,消除了与未托管开放网络相关的合规风险。

另请参阅: Arista Cognitive Wi-Fi 与 Purple WiFi 集成 ,了解在不同硬件平台上的类似集成模式。

关键定义

Captive Portal

一个拦截来自已连接设备未授权 HTTP 流量的网页,要求用户在获得互联网访问权限之前进行交互或身份验证。

Purple 用于在 Zyxel 访客 WiFi 网络上捕获访客数据并执行服务条款的主要机制。

Walled Garden

设备在完成 Captive Portal 身份验证之前可以访问的 IP 地址和域名列表。

在 Nebula 的 Captive Portal 高级设置中进行配置。必须包含所有 Purple 门户域名、CDN 端点和操作系统连接性检查 URL。

RADIUS

远程用户拨号认证服务。一种网络协议,为网络访问提供集中式的身份验证、授权和计费 (AAA) 管理。

Purple 充当 RADIUS 服务器。Zyxel AP 在 UDP 1812 上发送身份验证请求,在 UDP 1813 上发送计费数据。

DPPSK

动态个人预共享密钥。一项 Zyxel Nebula 功能,可在单个 SSID 上分发唯一的 WiFi 密码,并将每个密码映射到特定的 VLAN。

用于多租户场所,在不广播多个 SSID 的情况下隔离居民或租户流量。需要 Nebula Pro Pack。

VLAN

虚拟局域网。一种在第 2 层隔离流量的逻辑网络分段,与物理交换机或 AP 基础设施无关。

强制用于隔离访客、员工和多租户流量。在处理卡支付的场所中,满足 PCI DSS 合规性所必需。

IEEE 802.1X

一项基于端口的网络访问控制 IEEE 标准,使用可扩展身份验证协议 (EAP) 在授予网络访问权限之前对单个用户或设备进行身份验证。

在 Nebula 中通过选择 WPA2-Enterprise 或 WPA3-Enterprise,并配合 Nebula 云身份验证服务器或外部 RADIUS 服务器,用于员工 WiFi。

CNA

Captive Network Assistant(强制网络门户助手)。iOS 和 macOS 设备在检测到 WiFi 网络上的 Captive Portal 时自动打开的伪浏览器。

与完整浏览器相比,其 JavaScript 和 Cookie 支持有限。在部署之前,必须在 CNA 环境中测试 Purple 引导页面。

基于身份的网络

一种网络架构,根据用户或设备的已验证身份,动态应用访问策略、VLAN 分配和带宽限制。

将 Zyxel DPPSK 与 Purple 的 RADIUS 平台相结合的结果。每个用户在连接时都会自动获得正确的网络分段。

NCC

Nebula 控制中心。Zyxel 的云端网络管理平台,用于集中配置和监控 Zyxel 接入点、交换机和防火墙。

本指南中描述的所有 SSID、Captive Portal、RADIUS 和 DPPSK 配置均在 NCC 中进行。

应用实例

一家拥有 200 间客房的酒店正在部署 Zyxel Nebula 接入点和 USG Flex 500 防火墙。他们需要一个带有品牌展示页面的访客 WiFi、一个具有独立凭据的独立员工网络,以及一个用于智能电视和恒温器的物联网网络——所有这些都无需广播超过三个 SSID。

IT 团队配置了三个 SSID。第一个是“Hotel-Guest”,这是一个开放的 SSID,在 Nebula 中配置了 Purple 外部 Captive Portal URL。访客将被重定向到品牌化的 Purple 展示页面,在此提交电子邮件并接受营销同意。RADIUS 身份验证和计费指向端口 1812 和 1813 上的 Purple 云平台。第二个 SSID 是“Hotel-Staff”,配置了 WPA2-Enterprise 和 Nebula Cloud 身份验证服务器。每位员工在 NCAS 数据库中都有一个唯一的用户名和密码,并映射到 VLAN 20。第三个 SSID 是“Hotel-IoT”,配置了 DPPSK。每台智能电视和恒温器都会收到一个映射到 VLAN 30 的唯一密码。USG Flex 执行区域策略:访客 (VLAN 10) 只能访问 WAN。员工 (VLAN 20) 可以访问 WAN 和内部管理系统。物联网 (VLAN 30) 仅限于特定的本地服务。

考官评语: 该架构以最小的 SSID 开销实现了完全的分段。对物联网设备使用 DPPSK 可提供设备级隔离,而无需 802.1X 客户端(无头设备无法支持)。访客 SSID 上的 Purple 集成可大规模捕获第一方数据,而员工 SSID 则通过独立的 802.1X 凭据保持企业级安全性。

一家联合办公空间运营商管理着分布在三个楼层的 12 个租户。每个租户都需要隔离的互联网访问,并且不能访问其他租户的设备。运营商希望在入驻时发放 WiFi 凭据,并在搬离时撤销这些凭据,而无需更改 SSID 或重新配置 AP。

运营商部署了一个启用了 DPPSK 的单一“CoWork-Connect” SSID。在入驻时,他们登录 Nebula 控制中心,导航至“配置” > “云身份验证” > “DPPSK”,并为租户创建一个新凭据,其目标 VLAN ID 与该租户的网络段相匹配。他们设置一个与租约结束日期相匹配的过期日期,并将凭据通过电子邮件发送给租户。在搬离时,他们删除该 DPPSK 条目。该凭据立即失效,租户的设备无法再进行关联。SSID 上启用了第 2 层隔离,以防止即使在同一 VLAN 内的跨租户通信。

考官评语: DPPSK 为多租户环境提供了一个清晰的生命周期管理模型。过期日期功能实现了自动退网,无需手动重新配置 AP。2,048 个并发凭据限制完全在 12 个租户的联合办公空间的容量范围内。对于更大规模的部署,运营商应规划凭据轮换计划以保持在此限制内。

练习题

Q1. 您已在 Zyxel Nebula 中配置了 Purple Captive Portal URL 并启用了外部门户。访客连接到 SSID,但反馈登录页面需要 30 秒以上才能加载,且显示排版错乱——缺少图片和布局。最可能的原因是什么,您该如何解决?

提示:考虑在访客通过身份验证之前,是什么控制了对外部资源的访问。

查看标准答案

Walled Garden(围墙花园)配置不完整。Purple 登录页面需要从 CDN 域名加载 CSS、JavaScript 和图片资源。如果这些域名未在 Nebula Captive Portal 高级设置中加入白名单,AP 将在身份验证完成前拦截这些请求。解决方案:将测试设备连接到访客 SSID,打开浏览器(而非 CNA 微型浏览器),导航至任意 HTTP URL 以触发重定向,然后打开开发者工具并检查“网络 (Network)”标签页。识别所有返回 403 或连接错误的请求。将这些域名添加到 Nebula Walled Garden 中并重新测试。

Q2. 某场所运营商希望为购物中心内的 15 家不同零售商户提供隔离的网络。他们最初的计划是从其 Zyxel AP 广播 15 个独立的 SSID。为什么这种方法存在问题,他们应该部署什么来替代?

提示:思考射频空口时间以及专为此应用场景设计的 Zyxel 功能。

查看标准答案

广播 15 个 SSID 会导致每个接入点每秒产生 15 组信标帧(beacon frames)。在拥有多个 AP 的密集零售环境中,这种信标开销会消耗大量空口时间,并降低所有已连接设备的吞吐量。正确的做法是广播单个 SSID 并启用 Zyxel DPPSK。每个商户都会收到一个映射到其专用 VLAN ID 的唯一密码。当商户设备连接时,Nebula 控制器会动态将其分配到正确的 VLAN。这样只需单个 SSID 和极低的射频开销即可实现完全的流量隔离。

Q3. 部署 Zyxel 和 Purple 集成后,访客可以成功进行身份验证并浏览互联网。然而,Purple 分析仪表板显示的会话时长数据为零,且基于时间的访问限制功能无法正常工作。配置中缺失了什么?

提示:身份验证和会话跟踪使用不同的端口和协议。

查看标准答案

RADIUS Accounting(计费)未在 Nebula SSID 配置中启用,或者 UDP 端口 1813 被上行防火墙拦截。身份验证(UDP 1812)已成功,这就是访客可以连接的原因。但如果没有计费数据包(Start、Interim-Update、Stop),Purple 就无法跟踪会话时长、执行时间限制或填充分析仪表板。解决方案:确认在 SSID 高级设置中已启用 RADIUS 计费,计费端口设置为 1813,并配置了正确的共享密钥。然后验证上行防火墙是否允许从 Zyxel AP 管理 IP 到 Purple RADIUS 服务器 IP 的出站 UDP 1813 流量。

继续阅读本系列

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

阅读指南 →

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →

Grandstream GWN Access Points 接入 Purple WiFi 集成指南

本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。

阅读指南 →