Cisco WLC 与 Catalyst 结合 Purple WiFi 集成:访客接入分步指南
本指南详细介绍了 Cisco WLC 和 Catalyst 9800 无线网络与 Purple 的分步集成,涵盖了通过中央 Web 认证(CWA)实现的访客 WiFi Captive Portal 重定向、使用 802.1X EAP-TLS 的安全员工 WiFi,以及使用 Cisco 身份预共享密钥(iPSK)和动态 VLAN 分配的多租户隔离。本指南专为在酒店、零售和大型公共场所部署 Cisco 基础设施的企业网络架构师和 IT 安全总监编写。
收听本指南
查看播客转录
执行摘要
企业无线网络必须同时服务于不同的用户群体:需要无缝互联网访问的访客、需要安全访问公司资源的员工,以及需要相互隔离的无终端(headless)或租户设备。针对这些群体中的任何一个依赖单一的共享预共享密钥(Pre-Shared Key)都会带来安全隐患。单个凭据泄露就会使整个网络段面临风险,而撤销访问权限则需要更改全局密码,这会中断网络上每个设备的连接。
本指南详细介绍了 Cisco 无线局域网控制器 (WLC) 和 Catalyst 9800 系列硬件与 Purple 云端覆盖网络的集成。我们提供了三个不同认证层级的逐步配置:由 Purple 提供支持、具有 Captive Portal 重定向功能的开放式 访客 WiFi 网络,使用 802.1X EAP-TLS 证书认证的安全员工 WiFi 网络,以及使用具有动态 VLAN 分配的 Cisco 身份预共享密钥 (iPSK) 的多租户 WiFi 环境。通过部署此架构,您可以将公司资源与访客流量隔离开来,实现基于身份的自动访问控制,并通过 Purple 的 WiFi 分析 平台获取第一方数据。Purple 在全球 80,000 多个活跃场所中运行,并在 2024 年记录了 4.4 亿次登录(Purple 内部数据),这使其成为 Cisco 大规模基础设施中经受过验证的云端覆盖网络。
技术深挖:三层架构
基于 Cisco 硬件的现代企业无线部署必须迎合具有不同安全和访问要求的不同用户画像。Cisco WLC 与 Purple 之间的集成使统一的硬件占用空间能够通过不同的认证机制服务于这些画像,且全部由单个 Catalyst 9800 控制器进行管理。
第一层:访客 WiFi - 中央 Web 认证 (CWA)
对于 酒店餐饮 和 零售 环境中的访客,其目标是低摩擦的接入体验与合规的数据捕获相结合。这是通过使用开放式 SSID 结合中央 Web 认证 (CWA) 来实现的。当访客连接时,Cisco WLC 会应用预认证访问控制列表 (ACL) —— 即围墙花园 (walled garden)。此 ACL 会阻止常规互联网流量,同时允许流量访问 Purple 的 Captive Portal 域名、DNS 和社交登录端点。当访客尝试浏览网页时,WLC 会拦截 HTTP 请求并重定向至 Purple 的 splash 页面。访客通过其选择的方式(社交登录、邮箱注册或凭证码)进行身份验证。随后,Purple 作为 RADIUS 服务器运行,向 WLC 发送 RADIUS 授权变更 (CoA) 消息。CoA 指示 WLC 将客户端从认证前状态切换到隔离的访客 VLAN 上的认证后状态,从而授予互联网访问权限。每次登录都会记录在 Purple 的分析平台中,在符合 GDPR 和 CCPA 的前提下捕获第一方数据。
Tier 2:员工 WiFi - 802.1X EAP-TLS
企业设备需要最高级别的安全性。IEEE 802.1X 定义了基于端口的网络访问控制 (PNAC),当与 EAP-TLS(可扩展身份验证协议 - 传输层安全)结合使用时,它可提供基于证书的身份验证,从而完全免除密码。数字证书通过移动设备管理 (MDM)——Microsoft Intune、Jamf 或同等工具部署到企业设备。Cisco WLC 作为认证器,在请求方(设备)和 RADIUS 服务器之间传递 EAP 消息。RADIUS 服务器验证证书并返回带有可选 VLAN 分配属性的 Access-Accept。
由于身份验证依赖于证书而非密码,因此不存在凭据被窃取的风险。如果设备丢失或员工离职,您只需撤销证书即可。访问权限会立即终止,而不会干扰任何其他用户。有关包括 WPA3 和零信任在内的企业安全标准的全面阐述,请参阅我们的指南: 企业 WiFi 安全:2026年完整指南 。
Tier 3:多租户 WiFi - Cisco iPSK 与动态 VLAN 分配
在学生公寓、联合办公空间或零售商场等环境中,您需要为不同的租户提供私有且隔离的网络,而无需广播数十个 SSID。Cisco Identity PSK (iPSK) 解决了这一问题。所有租户都连接到同一个 SSID。WLC 为每个连接的设备向 RADIUS 服务器发送 MAC 身份验证请求。RADIUS 服务器将该租户的特定 PSK 作为 cisco-av-pair 属性返回,同时返回标准 IETF RADIUS 属性,以将客户端动态分配到正确的 VLAN。
驱动动态 VLAN 分配的三个 IETF RADIUS 属性为:
| RADIUS 属性 | ID | 值 |
|---|---|---|
| Tunnel-Type | 64 | VLAN |
| Tunnel-Medium-Type | 65 | 802 |
| Tunnel-Private-Group-ID | 81 | 目标 VLAN ID(例如 31) |
如 RFC 2868 中所定义,Tunnel-Private-Group-ID 被编码为字符串。VLAN ID 必须存在于 WLC 上,分配才能成功。
实施指南:Cisco Catalyst 9800 WLC 配置以下步骤详细介绍了运行 IOS-XE 的 Cisco Catalyst 9800 WLC 与 Purple 进行 Guest WiFi 重定向集成的配置。对于旧版 AireOS WLC 部署,等效设置可在 Purple 支持门户中找到。
Step 1: 配置 RADIUS 认证和计费
您必须将 WLC 指向 Purple 的 RADIUS 服务器,以处理访客认证和会话计费。
- 导航至 Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add。
- 输入 Purple 主 RADIUS 服务器的 IP 地址,将 auth-port 设置为 1812,acct-port 设置为 1813,并输入来自 Purple 门户的共享密钥。
- 启用 Support for CoA - 这对于 Captive Portal 重定向是强制性的。
- 对 Purple 备 RADIUS 服务器重复此操作。
- 导航至 RADIUS > Server Groups > + Add 并创建一个包含这两台服务器的组。
- 导航至 AAA Method List > Authorization > + Add,将 Type 设置为 network,并将其指向该 RADIUS 服务器组。
- 导航至 AAA Method List > Accounting > + Add,将 Type 设置为 identity,并将其指向同一个组。
IOS-XE 上的等效 CLI 命令为:
radius server Purple-Primary
address ipv4 auth-port 1812 acct-port 1813
key 0
!
radius server Purple-Secondary
address ipv4 auth-port 1812 acct-port 1813
key 0
!
aaa group server radius Purple-RADIUS-Group
server name Purple-Primary
server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group
Step 2: 定义预认证 ACL(围墙花园)
预认证 ACL 允许在用户认证之前访问 Purple 的 Splash 页面和基本服务。这就是围墙花园(walled garden)。
- 导航至 Configuration > Security > ACL > + Add。
- 创建一个名为
Purple_Guest_Walled_Garden的 IPv4 扩展 ACL。 - 添加规则以**拒绝(deny)**流向 WLC 管理 IP 和 RADIUS 服务器 IP 的流量。
- 添加规则以**允许(permit)**流向您的 DNS 服务器的 DNS(UDP 端口 53)流量。
- 添加规则以**允许(permit)**流向 Purple 围墙花园 IP 地址段和域名的流量(从 Purple 支持门户获取适用于您特定硬件类型的最新列表)。
- 添加最后一条 permit ip any any 规则 - WLC 会将允许的流量重定向到 CPU 以进行门户处理。
Step 3: 配置访客 WLAN
导航至 Configuration > Tags & Profiles > WLANs > + Add。
创建一个名为
Guest-WiFi且包含您所选 SSID 的 WLAN。在 Security > Layer 2 下,将安全设置为 None (Open)。
在 Security > Layer 3 下,启用 Web Policy 并将 Web Auth 类型设置为 External。
在重定向字段中输入您的 Purple 访问 URL。
应用
Purple_Guest_Walled_GardenACL。在 Security > AAA Servers 下,将 Purple RADIUS 服务器分配给认证(Authentication)和计费(Accounting)。### 步骤 4:配置策略配置文件
导航至 Configuration > Tags & Profiles > Policy > + Add。
在 Access Policies 下,分配 VLAN 20(或您指定的访客 VLAN)。
在 Advanced 下,启用 Allow AAA Override 和 NAC State。
分配 Purple 计费方法列表。
等效的 CLI 命令:
wireless profile policy Guest-Policy
aaa-override
nac
vlan 20
accounting-list Purple-Acct
no shutdown
!
wireless tag policy Guest-Policy-Tag
wlan Guest-WiFi policy Guest-Policy
步骤 5:为多租户或 IoT 部署配置 iPSK
对于 iPSK,WLAN 配置与访客设置不同。WLAN 使用启用了 MAC 过滤的 WPA2-PSK,并且策略配置文件已激活 AAA Override,以接受来自 RADIUS 服务器的每个客户端的 PSK 和 VLAN。
wlan Tenant-WiFi 2 Tenant-WiFi
mac-filtering Purple-Authz
security wpa psk set-key ascii 0 DefaultKey123
no security wpa akm dot1x
security wpa akm psk
peer-blocking allow-private-group
no shutdown
!
wireless profile policy Tenant-Policy
aaa-override
accounting-list Purple-Acct
vlan 30
no shutdown
RADIUS 服务器(在 Purple 或您的 RADIUS 平台中配置)为每个租户组返回以下属性:
cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =
最佳实践
遵循既定标准可确保整个部署的稳定性、安全性和合规性。
强制执行严格的证书验证。 部署 802.1X 时,通过 MDM 配置客户端设备以显式信任您的 RADIUS 服务器的证书颁发机构,并指定预期的服务器名称。如果不强制执行此操作,客户端将容易受到流氓接入点攻击,攻击者会出示欺诈性证书以捕获凭据。这是一项硬性要求,而非建议。
在网络层隔离访客流量。 访客 WiFi 必须终止在与所有企业资源隔离(通过防火墙)的专用 VLAN 上。PCI DSS 4.0 要求将持卡人数据环境与公共网络隔离。VLAN 20 上的访客必须无法路由到 VLAN 10 上的企业网络。
为 IoT 设备使用 iPSK,而不是 MAC 地址旁路认证。 MAC 地址以明文形式广播,极易被伪造。iPSK 为无屏设备提供加密安全保障。有关显示设备和 IoT 设备如何与无线协议交互的指南,请参阅 什么是无线显示:协议与最佳实践 2026 。
定义明确的使用条款。 您的 Captive Portal 必须在授予访问权限之前展示使用条款协议。这是 GDPR 对数据收集的要求,也是网络使用政策的法律必要条件。对于内部员工网络,请参阅 员工 WiFi 条款和条件:法律与合规要点 。部署 RADIUS 冗余。 务必配置主 RADIUS 服务器和备 RADIUS 服务器。Purple 为此提供了两个服务器 IP 地址。单个 RADIUS 服务器故障将导致所有访客无法登录。
故障排除与风险规避
即使配置再仔细,也可能会出现集成问题。在升级上报之前,请系统地排查最常见的故障模式。
问题:访客已连接,但未显示展示页面。
这是最常见的问题。认证前 ACL 阻断了 DNS。如果没有 DNS,客户端将无法解析初始 HTTP 请求,操作系统也不会触发 captive portal 微型浏览器。请确认在 Walled Garden ACL 中已允许向您的 DNS 服务器开放 UDP 端口 53。在 WLC 上,运行 show wireless client summary 以确认客户端处于 Webauth Pending 状态,而不是 Run 状态。
问题:iPSK 客户端连接失败或进入了错误的 VLAN。
Tunnel-Private-Group-ID 中指定的 VLAN 在 WLC 上不存在,或者 cisco-av-pair 属性格式错误。在 WLC 上运行 debug radius all 以检查原始 RADIUS 响应。确认已在 Configuration > Layer 2 > VLAN > VLAN List 下创建了该 VLAN ID。
问题:802.1X 员工客户端间歇性认证失败。
这通常是 RADIUS 服务器超时或客户端上的证书信任问题。检查 RADIUS 服务器日志中是否有 Access-Reject 消息。在 Windows 客户端上,验证 WiFi 配置文件是否已配置为验证服务器证书,并指定了正确的受信任 CA。
问题:WLC 未处理来自 Purple 的 CoA。
CoA 共享密钥必须与 WLC 上配置的 RADIUS 共享密钥一致。在 IOS-XE 17.4 及更高版本上,CoA 密钥是与共享密钥分开配置的。请验证两者是否与 Purple 门户中的值一致。
投资回报率(ROI)与业务影响
从基础的 PSK 网络过渡到基于 Purple 构建的结构化、基于身份的架构,可在 酒店餐饮 、 零售 、 医疗保健 和 交通运输 等垂直行业带来可衡量的业务成果。
首先,该架构消除了管理共享密码的运营成本。当员工离职时,您只需撤销其证书,而无需更改全局密码并更新网络中的每台设备。其次,与 Purple 的 captive portal 集成将 IT 成本中心转变为收入驱动力。Purple 平台在每次登录时捕获合规的第一方数据,从而实现自动化营销活动和访客分析。凭借在 Purple 网络中收集的 290 亿个数据点(Purple 内部数据),该平台可对访客行为、停留时间和回访率提供极具价值的洞察。对于通过开展调查来了解访客满意度的场所运营商,Purple 平台可直接与研究工作流集成。请参阅 调查设计:场所实用指南 ,获取关于如何构建通过 Captive Portal 投放的高效场所调查的指导。
通过将 Cisco 的企业级硬件与 Purple 的云覆盖网络相结合,您可以获得一个安全、可扩展的网络,从而积极助力实现场所的商业目标。Purple 已通过 ISO 27001 认证,符合 GDPR 和 CCPA 标准,并通过了 Cyber Essentials 认证和 B Corp 认证——满足企业采购团队的合规性要求。
关键定义
RADIUS
远程用户拨号认证服务。一种网络协议,为网络访问提供集中的认证、授权和计费 (AAA) 管理。在 RFC 2865 和 RFC 2866 中定义。
IT 团队配置 Cisco WLC 将客户端凭据转发给 RADIUS 服务器,该服务器根据目录对其进行检查,并返回 Access-Accept 或 Access-Reject 响应以及策略属性。
Captive Portal
公共访问网络的用户在获得互联网访问权限之前必须查看并与其进行交互的网页。通过网络访问设备进行 HTTP 重定向来实现。
用于访客 WiFi 部署,在允许访问互联网之前捕获访问者数据、展示使用条款或显示品牌内容。Purple 提供托管的 Captive Portal 基础设施。
iPSK (身份预共享密钥)
一项 Cisco 功能,允许在同一个 SSID 上为不同的用户或设备组分配唯一的预共享密钥,且 PSK 由 RADIUS 服务器按客户端进行分发。
对于无法使用 802.1X 但需要进行网络隔离的物联网设备或多租户环境至关重要。消除了广播多个 SSID 的需求。
IEEE 802.1X
用于基于端口的网络访问控制 (PNAC) 的 IEEE 标准。它提供了一种认证机制,在 RADIUS 服务器确认授权之前,阻止来自设备的所有数据流量。
企业员工 WiFi 的基石,确保只有拥有有效凭据或证书的授权企业设备才能访问内部资源。
EAP-TLS
可扩展身份验证协议 - 传输层安全。一种基于证书的身份验证方法,要求在 RADIUS 服务器和客户端设备上都安装数字证书,从而完全消除了密码。
对企业设备进行身份验证最安全的方法。证书通过 MDM 部署。通过使证书失效来撤销访问权限,而不是通过更改共享密码。
Walled garden (围墙花园)
一个受限的网络环境,在用户完全通过身份验证之前控制其对网页内容的访问。在 WLC 上作为认证前 ACL 实现。
在 Cisco WLC 上配置,以便在允许访客完全访问互联网之前,允许其访问 Purple 引导页、DNS 和社交登录提供商。
动态 VLAN 分配
根据身份验证时返回的 RADIUS 授权属性,自动将连接的设备放置在特定虚拟局域网 (VLAN) 上的过程。
确保员工、访客和物联网设备在连接时自动放置在隔离的网络段中,而无需对每个设备进行手动配置。
授权变更 (CoA)
一种 RADIUS 扩展 (RFC 5176),允许 RADIUS 服务器动态修改已连接客户端的会话授权属性。
Captive Portal 所必需。一旦访客在 Purple 引导页上通过身份验证,Purple 就会向 WLC 发送一条 CoA 消息,将客户端从认证前的 Walled garden 状态过渡到完全访问互联网状态。
集中式 Web 认证 (CWA)
一种 Cisco 身份验证方法,其中 RADIUS 服务器(而非 WLC)托管或重定向到 Web 身份验证门户,从而实现云托管的 Captive Portal 解决方案。
用于将 Cisco WLC 与 Purple 的云托管 Captive Portal 集成,允许 Purple 管理访客身份验证体验和数据捕获。
应用实例
一家大型购物中心需要使用单个 Cisco Catalyst 9800 WLC 和单个广播 SSID,为 50 个零售租户提供安全、私密的 WiFi。每个租户必须与其他所有租户的设备隔离。他们如何在不广播 50 个独立 SSID 的情况下实现这一目标?
IT 团队部署了 Cisco iPSK。他们配置了一个名为“Mall-Tenant-WiFi”的单一 SSID,并启用了 WPA2-PSK 和 MAC 过滤。在 RADIUS 服务器中,他们创建了 50 个终端身份组,每个租户一个。每个组通过 cisco-av-pair psk= 属性分配一个唯一的 PSK,并通过 IETF Tunnel-Private-Group-ID 属性分配一个唯一的 VLAN ID。当零售租户的销售点(POS)设备使用其特定密码连接时,WLC 会向 RADIUS 服务器发送 MAC 认证请求。服务器将 MAC 地址与该租户的组进行匹配,并返回 PSK 和 VLAN 分配。WLC 处理这些属性,验证 PSK,并将设备放入该租户的隔离 VLAN 中。peer-blocking allow-private-group 设置可确保共享相同 PSK 的设备可以相互通信,同时阻止不同 PSK 上的设备进行跨租户通信。
一家拥有 300 间客房的 Premier Inn 酒店正在从本地 WLC 访客账户迁移到 Purple 的云端 Captive Portal。应用配置后,访客反映他们连接到了 WiFi SSID 并获取了 IP 地址,但其设备显示“无互联网连接”,且展示页面(Splash Page)从未出现。诊断流程是怎样的?
第一步:使用 show wireless client detail <mac-address> 在 WLC 上验证客户端状态。客户端应处于“Webauth Pending”状态。如果显示为“Run”,则说明预认证 ACL 未正确应用。第二步:检查预认证 ACL。导致此症状最常见的原因是 ACL 阻止了 DNS(UDP 端口 53)。没有 DNS,客户端就无法解析任何域名,操作系统(OS)的 Captive Portal 检测机制就会静默失败。在 ACL 中针对该场所的 DNS 服务器 IP 添加一条明确允许 UDP 端口 53 的规则。第三步:确认 ACL 中允许了 Purple 的围墙花园(Walled Garden)域名。客户端在认证前必须能够访问 Purple 展示页面的 URL。第四步:确认 WLC 虚拟 IP 地址已从默认的 1.1.1.1 更改为不可路由的地址(例如 192.0.2.1),因为默认地址可能会与合法的互联网流量发生冲突。
练习题
Q1. 您正在使用 Cisco Catalyst 9800 WLC 在 40 个零售分店部署员工 WiFi。您希望使用 802.1X,但公司目前还没有 MDM 解决方案来向员工智能手机分发证书。最安全可行的方案是什么?您必须实施哪些风险缓解措施?
提示:在证书尚不可用时,考虑凭据安全与部署可行性之间的平衡。重点关注替代方法所带来的特定风险。
查看标准答案
部署 PEAP-MSCHAPv2 作为临时措施。虽然它不如 EAP-TLS 安全,但它在 TLS 隧道内提供了加密的密码身份验证。关键的风险缓解措施是在每个客户端设备上强制执行服务器证书验证。对于 Windows 笔记本电脑,部署组策略对象(GPO),在 WiFi 配置文件中指定确切的受信任证书颁发机构和预期的 RADIUS 服务器名称。对于 iOS 和 Android 设备,通过电子邮件或轻量级无 MDM 工具分发强制执行证书验证的 WiFi 配置配置文件。如果不这样做,攻击者就可以部署带有欺诈性证书的流氓接入点并捕获凭据。一旦 MDM 可用,立即计划迁移到 EAP-TLS。
Q2. 体育场 IT 总监需要将媒体广播公司、票务终端和 HVAC IoT 传感器隔离到不同的网络中。IoT 传感器不支持 802.1X。这三个组都必须使用 WiFi。应该如何配置 WLC?
提示:寻找一种能够为每个设备组提供唯一凭据和 VLAN 分配,且不需要在无头设备上安装企业客户端(supplicant)的解决方案。
查看标准答案
实施 Cisco iPSK,为场馆运营使用单一 SSID。在 RADIUS 服务器中创建三个端点身份组:广播、票务和 HVAC。通过 cisco-av-pair 为每个组分配唯一的 PSK,并通过 Tunnel-Private-Group-ID 分配唯一的 VLAN ID。配置 WLC WLAN,启用 WPA2-PSK、启用 MAC 过滤并激活 AAA 覆盖(AAA Override)。广播组接收 PSK-A 和 VLAN 31,票务组接收 PSK-B 和 VLAN 32,HVAC 传感器接收 PSK-C 和 VLAN 33。将对等体阻塞(peer-blocking)设置为 allow-private-group,以便同一组内的设备可以进行通信(例如,票务终端与其服务器),同时阻止跨组通信。这避免了极易被欺骗的 MAC 身份验证绕过(MAC Authentication Bypass)。
Q3. 在会议中心的访客 WiFi 部署期间,客户端连接到 SSID 并获取了 IP 地址,但从未发生 Captive Portal 重定向。Walled Garden ACL 允许流向所有 Purple IP 范围的流量。最可能缺失的配置元素是什么?您如何验证它?
提示:思考客户端设备在发起 HTTP 请求之前所需的协议。
查看标准答案
最可能的原因是预身份验证 ACL 阻止了 DNS 流量(UDP 端口 53)。在客户端设备发起 WLC 拦截以触发重定向的 HTTP 请求之前,它必须通过 DNS 解析域名。现代操作系统的 Captive Portal 检测机制(Apple 的 captive.apple.com、Microsoft 的 www.msftconnecttest.com、Google 的 connectivitycheck.gstatic.com)都需要 DNS 解析。验证方法:在 WLC 上运行 'show wireless client detail ',确认客户端处于 'Webauth Pending' 状态。然后查看 ACL 命中计数器,确认 DNS 流量是否被拒绝。解决方法:在 Walled Garden ACL 中,针对场馆的 DNS 服务器 IP,添加一条明确允许 UDP 端口 53 的规则。
继续阅读本系列
CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南
本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。
Allied Telesis 接入点与 Purple WiFi 集成
本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。
Grandstream GWN Access Points 接入 Purple WiFi 集成指南
本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。