NETGEAR Insight 与企业级接入点同 Purple WiFi 的集成

欢迎收听 Purple 技术简报。今天我们将讨论一个在与酒店、零售和多租户场所的 IT 经理和网络架构师交流中经常出现的话题：如何将 NETGEAR Insight 和 WAX 系列接入点与 Purple WiFi 集成。如果您正在运营酒店、零售园区、会议中心或综合体开发项目，本次简报将直接关系到您的下一次部署决策。 让我们先来了解一下背景。NETGEAR 的 WAX 系列（包括 WAX610、WAX620 和 WAX630）是采用 Insight 云平台管理的 WiFi 6 接入点。它们支持每个射频多达 8 个独立的 SSID、WPA3 加密，并且在 WAX630 上支持高达 6 Gbps 的吞吐量。它们采用 PoE 供电，支持吸顶安装，并通过 Insight 云门户进行单窗格玻璃（Single Pane of Glass）式管理。对于 IT 安装人员或中小企业网络管理员来说，这是一个性价比极高的平台，价格远低于 Cisco Meraki 或 HPE Aruba 级别。 Purple 是一个与硬件无关的云端覆盖层。我们运行在您现有的基础设施之上，并添加了访客体验层、数据捕获层和分析层。我们在 2024 年已为 80,000 个活跃场所处理了 4.4 亿次登录。与 NETGEAR Insight 的集成非常干净且文档齐全，涵盖了我们今天将要介绍的四个不同用例。 现在让我们进入技术深挖。这四个用例分别是：带有 Purple Captive Portal 的访客 WiFi、使用 802.1X 的安全员工 WiFi、使用 NETGEAR PPSK 功能的多租户隔离，以及通过 RADIUS 进行动态 VLAN 分配的基于身份的网络。 用例一：带有 Purple Captive Portal 的访客 WiFi。这是最常见的起点。您在 NETGEAR Insight 中创建一个专用的访客 SSID，并将其配置为开放网络。关键配置位于 SSID 设置的 Captive Portal 部分。选择“外部 Captive Portal”，然后粘贴 Purple 提供的欢迎页面 URL。 接下来，配置身份验证类型。对于大多数 Purple 部署，您将选择 RADIUS 身份验证。Purple 会为您提供一个主 RADIUS 服务器 IP 地址、用于身份验证的端口 1812、用于计费的端口 1813 以及一个共享密钥。将这些内容粘贴到 NETGEAR Insight 外部 Captive Portal 配置中。您还需要设置一个 NAS-Identifier——这是一个向 RADIUS 服务器标识此特定接入点或位置的字符串。请使用有意义的名称，例如您的场所名称和位置代码。 Walled Garden 是最容易让安装人员踩坑的部分。在访客通过身份验证之前，其设备需要能够访问 Purple 欢迎页面、身份验证服务器以及您启用的任何社交登录提供商。NETGEAR Insight 在外部 Captive Portal 配置中有一个专门的 Walled Garden 部分，您可以在其中添加这些 URL。Purple 的支持文档提供了要加入白名单的确切域名列表。如果这里配置错误，访客将看到一个空白页面，而不是您的品牌门户。 配置完成后，流程如下：访客连接到 Hotel Guest SSID。接入点拦截他们的第一个 HTTP 请求，并将其重定向到 Purple 欢迎页面。访客看到您的品牌门户，接受条款，并选择提供他们的电子邮件地址或通过社交媒体登录。Purple 的 RADIUS 服务器向接入点返回一个 Access-Accept 消息，访客即被授予互联网访问权限。Purple 捕获同意数据，记录会话，这些数据将流入您的 Purple 分析仪表板。 用例二：使用 802.1X 的安全员工 WiFi。在这里，您将完全弃用共享密码。对于员工网络，预共享密钥是一个安全隐患——当员工离职时，您必须为每个人更改密码。IEEE 802.1X 标准中定义的 802.1X 为每个用户提供独立的凭据。当他们离职时，您只需在目录中禁用其帐户，其访问权限就会立即被撤销。 在 NETGEAR Insight 中，您配置一个带有 WPA2 企业版或 WPA3 企业版安全性的独立员工 SSID。这会指示接入点使用 802.1X 身份验证，而不是预共享密钥。然后，您在网络位置级别配置 RADIUS 服务器设置。转到网络位置设置，选择 RADIUS，启用 802.1X 访问身份验证，并输入您的 RADIUS 服务器 IP、端口 and 共享密钥。默认的重新身份验证间隔为 3,600 秒（一小时），这对于大多数场所来说是一个合理的起点。 中小企业部署中最常用的 EAP 方法是 PEAP-MSCHAPv2，它使用服务器端证书创建加密隧道，用户在隧道内使用其 Active Directory 用户名和密码进行身份验证。EAP-TLS 更安全——它在双方都使用证书——但它需要 PKI 基础设施和 MDM 来将证书推送到设备。 一个关键点：在每个客户端设备上强制执行证书验证。通过组策略对象配置您的 Windows 设备，并通过 MDM 配置文件配置您的移动设备，以验证 RADIUS 服务器的证书。如果您跳过此步骤，设备将容易受到流氓接入点攻击，攻击者会提供虚假证书并捕获凭据。 用例三：用于多租户场所的 NETGEAR PPSK。Private Pre-Shared Key 解决了零售园区、综合体开发项目和联合办公空间中的特定问题。您有多个租户共享相同的物理 WiFi 基础设施。您不想为每个租户运行单独的 SSID——这会造成射频干扰和管理复杂性。但您也不能给每个人相同的密码，因为那样租户 A 就能看到租户 B 的流量。 PPSK 优雅地解决了这个问题。您创建一个单一的 SSID，并在 NETGEAR Insight 的“无线 > 设置 > 高级 > Multi PSK 设置”下创建多个预共享密钥。每个密钥都与特定的 VLAN 相关联。租户 A 获得一个映射到 VLAN 30 的唯一 16 位密码。租户 B 获得一个映射到 VLAN 40 的不同密码。场所管理团队获得第三个密码，映射到有权访问管理系统的 VLAN 20。 当租户 A 的设备使用其密码连接时，接入点会自动将其划分到 VLAN 30。他们看不到 VLAN 40 或 VLAN 20 上的任何流量。从租户的角度来看，他们只是拥有一个 WiFi 密码。从您作为网络管理员的角度来看，您在无需任何额外硬件的情况下实现了租户之间完全的流量隔离。 需要了解两个重要的限制。首先，NETGEAR Insight 中的 PPSK 需要 WPA2 个人版或 WPA2 个人版混合加密。它无法在 6 GHz 频段上工作。其次，PPSK 无法与 Captive Portal 在同一个 SSID 上结合使用。如果您两者都需要，则需要两个独立的 SSID——这没问题，因为 WAX 系列接入点支持多达 8 个 SSID。 用例四：通过 RADIUS 进行动态 VLAN 分配。这是最复杂的配置，也是支持 Purple 基于身份的网络功能的基础。您无需将 VLAN 静态分配给密码或 SSID，而是让 RADIUS 服务器根据进行身份验证的人员来决定分配哪个 VLAN。 该机制使用三个标准 RADIUS 属性：Tunnel-Type（必须设置为值 13，代表 VLAN）、Tunnel-Medium-Type（必须设置为值 6，代表 IEEE 802）以及 Tunnel-Private-Group-ID（以字符串形式携带 VLAN ID）。当用户成功通过身份验证时，RADIUS 服务器会在 Access-Accept 消息中返回这三个属性。接入点读取这些属性并将客户端划分到指定的 VLAN。 在实践中，这意味着您可以拥有一个单一的 WPA2 企业版 SSID，酒店经理通过身份验证后进入 VLAN 20 并拥有物业管理系统的访问权限，前台接待员通过身份验证后进入 VLAN 21 且仅拥有入住登记系统的访问权限，而承包商通过身份验证后进入 VLAN 50 且仅拥有互联网访问权限。所有这些都来自同一个 SSID，全部由 RADIUS 服务器根据 Active Directory 组群成员身份自动执行。 现在让我们谈谈实施建议和陷阱。第一个陷阱是 Walled Garden。每个外部 Captive Portal 部署都至少会在 Walled Garden 上失败一次。症状是访客连接到 SSID，但看到浏览器错误而不是欢迎页面。解决方法是按部就班：打开 Purple 支持文档，复制 Walled Garden 列表中的每个域名，并将其粘贴到 NETGEAR Insight 的 Walled Garden 部分。使用没有缓存凭据的设备进行测试。 第二个陷阱是 RADIUS 的可达性。NETGEAR 接入点需要能够访问您的 RADIUS 服务器。RADIUS 使用 UDP 端口 1812 进行身份验证，使用 UDP 端口 1813 进行计费。在接入点管理 IP 到 RADIUS 服务器 IP 之间开放这些端口。在上线前使用 RADIUS 测试工具进行测试。 第三个陷阱是 PPSK 和 Captive Portal 的冲突。NETGEAR Insight 不允许在同一个 SSID 上同时启用 PPSK 和 Captive Portal。如果您两者都需要，请创建两个 SSID。清晰地命名它们——一个用于 PPSK 租户，一个用于 Captive Portal 访客。 第四个陷阱是 802.1X 客户端上的证书验证。每个 Windows 设备都需要一个指定受信任证书颁发机构和预期 RADIUS 服务器名称的组策略对象。每个移动设备都需要一个具有相同设置的 MDM 配置文件。如果没有这些，用户可能会在不知不觉中向流氓接入点进行身份验证并交出其 Active Directory 凭据。 现在进入快速问答环节。问题一：我可以在没有 RADIUS 服务器的情况下将 Purple 与 NETGEAR Insight 结合使用吗？是的，对于访客 Captive Portal 部署，您可以使用 Purple 的 Web 身份验证模式，而不是 RADIUS。接入点通过 HTTP 重定向到欢迎页面，Purple 通过 Web 会话处理身份验证。RADIUS 可以为您提供更多控制和更好的计费数据，但对于基础的访客门户部署来说并不是强制性的。 问题二：我可以在 NETGEAR Insight 中创建多少个 PPSK 密钥？在 WAX 系列接入点上，NETGEAR Insight 支持每个 SSID 多达 64 个 PPSK 密钥。对于大多数多租户场所来说，这已经绰绰有余。如果您有超过 64 个租户，则需要转而使用基于 RADIUS 的动态 VLAN 解决方案。 问题三：NETGEAR Insight 是否支持用于 802.1X 的 WPA3 企业版？是的，WAX 系列接入点支持 WPA3 企业版。对于大多数中小企业部署，WPA2 企业版已经足够，并且具有更广泛的客户端设备兼容性。对于处理敏感数据（如医疗保健或金融服务）的环境，WPA3 企业版值得考虑。 问题四：如果 Purple RADIUS 服务器无法访问会怎样？NETGEAR Insight 在外部 Captive Portal配置中支持故障安全（Failsafe）选项。如果启用故障安全，即使 Captive Portal 服务器无法访问，访客也会在短时间内获得互联网访问权限。Purple 在我们的基础设施中保持 99.999% 的在线率，但启用故障安全对于任何生产部署都是很好的做法。 总结今天简报的关键要点。NETGEAR WAX 系列接入点通过 NETGEAR Insight 中的外部 Captive Portal 机制与 Purple 集成。您在 Insight 云门户中配置欢迎页面 URL、RADIUS 服务器凭据和 Walled Garden 域名。对于员工网络，使用带有 802.1X 的 WPA2 企业版，并在每个客户端设备上强制执行证书验证。对于多租户场所，NETGEAR 的 PPSK 功能可让您通过单个 SSID 和多达 64 个唯一密钥实现每个租户的 VLAN 隔离。对于最复杂的部署，通过 RADIUS 属性进行的动态 VLAN 分配可为您提供身份驱动的网络细分，该细分会根据连接的人员（而不仅仅是他们连接的位置）进行调整。 如果您正计划使用 Purple 进行 NETGEAR 部署，下一步是向 Purple 的支持团队索取您的 Purple RADIUS 凭据和 Walled Garden 域名列表，并在推向生产环境之前在暂存 SSID 上测试 Captive Portal 重定向。一旦您拿到这些凭据，配置过程只需不到 30 分钟。 感谢收听 Purple 技术简报。如需完整的书面指南（包括分步配置细节和实际案例），请访问 purple.ai。