Juniper Mist 和访客 WiFi：使用 Purple 设置 Captive Portal

欢迎阅读 Purple 技术简报，我们将在此深入探讨助力打造世界级宾客 WiFi 体验的集成。今天，我们将深入研究一个对任何企业级部署都至关重要的集成：Juniper Mist 与 Purple WiFi。 引言与背景。 如果您是管理大型场所（如酒店、零售连锁店、体育场馆或会议中心）的 IT 领导者，您就会明白宾客 WiFi 不再仅仅是可有可无的，而是一个关键的基础设施。您需要可靠性、安全性，最重要的是，您需要从中获得真正的商业价值。这正是 Juniper Mist 的 AI 驱动网络与 Purple 的分析与互动平台相结合的卓越之处。 Juniper Mist 是目前最先进的云管理无线平台之一。它基于微服务架构构建，利用机器学习不断优化无线电资源管理，在用户发现网络问题之前预测并解决这些问题，并通过其 Wi-Fi Assurance 框架提供细粒度的服务水平洞察。这正是企业 IT 团队在大规模部署时所信赖的基础设施。 而 Purple 则是一个企业级宾客 WiFi 智能平台。它提供面向宾客的体验 - 括 Captive Portal、登录流程、数据捕获 - 然后将这些数据转化为可执行的商业智能。例如人流量分析、停留时间报告、回头客跟踪、CRM 集成以及符合 GDPR 的营销自动化。 将这两个平台结合在一起，您就拥有了一个强大的组合：Mist 提供强健、智能的无线骨干，而 Purple 则层叠上宾客体验、数据洞察和合规性工具。在本次简报中，我们将介绍该集成在架构上是如何工作的，如何逐步进行设置，以及为什么它对场所运营商来说代表着极具吸引力的投资回报率。 技术深度解析。 那么，让我们深入技术层面。这个集成实际上是如何运作的？非常优雅。其核心是利用 Mist 在 WLAN 配置中的“转发至外部门户”功能。当宾客连接到您的 WiFi 网络时，Mist 接入点会检测到该设备之前未经授权。然后，它会将宾客的浏览器重定向到一个 Captive Portal URL - 一个由 Purple 托管的 URL。 这个重定向不仅仅是简单的页面加载。Mist 会在重定向 URL 后附加几个关键参数。其中包括 WLAN 标识符、宾客所连接入点的 MAC 地址、宾客设备本身的 MAC 地址，以及宾客最初尝试访问的原始 URL。这些参数至关重要，因为它们允许 Purple 平台准确了解宾客所在的网络，并在身份验证完成后正确授权该特定设备。 Captive Portal本身完全支持自定义。您可以使用场馆的徽标和颜色对其进行品牌化，配置其支持25种以上语言（带设备自动检测功能），并从一系列身份验证方法中进行选择 - 简单的电子邮件表单、通过Facebook或Google的社交媒体登录、预共享访问码，甚至是付费访问购买。Purple在其平台内处理所有这些事务。 授权流程的奥妙在于通过Mist REST API实现。一旦访客在Purple门户上完成验证，Purple平台就会向Mist Cloud发起安全的API调用。该调用指向Mist门户授权端点，告诉Mist：'此设备已授权。授予其互联网访问权限。' 随后，Mist会为该特定设备开放网络。整个过程使用API Secret（您在Mist仪表板和Purple场馆设置中配置的唯一加密密钥）进行加密。这确保了只有您的Purple实例才能在您的Mist网络上授权设备。 现在，我们来谈谈回头客，因为这正是该集成变得真正高级的地方。强制访客每次造访时都登录会带来糟糕的体验，坦白说，这是一种不必要的摩擦，可能会损害您的品牌形象。这就是我们的Passpoint解决方案 - PurpleConnex发挥作用的地方。 Passpoint（也称为Hotspot 2.0）是一项IEEE 802.11u标准，使移动设备能够自动发现并连接到WiFi网络。在访客首次造访并通过Captive Portal完成验证后，我们可以向其设备推送Passpoint配置文件。在以后的每次造访中，其设备都会自动且安全地连接到PurpleConnex SSID，无需任何用户交互。没有门户，没有登录提示 - 只有无缝、即时的连接。 这是通过RadSec（即RADIUS over TLS）实现的。RadSec不使用传统的、未加密的RADIUS协议，而是通过TLS连接隧道传输所有身份验证流量，从而提供企业级安全性。Mist Cloud与Purple的RadSec服务器（端口2083上的rad1-secure.purple.ai和rad2-secure.purple.ai）进行通信，以对返回的访客进行身份验证。您还需要将Purple的RadSec证书上传到您的Mist组织设置中，这是一个非常简单的过程。 PurpleConnex WLAN被配置为具有802.1X身份验证的WPA2企业级网络，这是无线安全行业公认的黄金标准。对于在其Mist接入点上启用了6 GHz频段的场馆，则需要WPA3-Enterprise，通过192位安全模式提供更强大的加密。值得注意的一个重要架构考虑是：Juniper Mist 不支持针对 Captive Portal 流程本身的 RADIUS 认证和计费。这意味着 Mist 仪表板中的实时用户数报告和某些网络会话指标将不会反映 Captive Portal 会话。然而，Purple 自有的分析平台提供了有关访客会话的全面报告，因此在实际操作中，这一限制对您从部署中获取整体智能的影响微乎其微。 实施建议与常见陷阱。 现在开始实施。基本设置非常简单，但有几个配置细节甚至会让经验丰富的网络工程师也犯错。让我带您了解关键步骤和常见陷阱。 第一步是在 Mist 仪表板中创建您的访客 WLAN。导航至 Network（网络），然后选择 WLANs，并添加一个新的 WLAN。将安全类型设置为 Open Access - 这是正确且符合意图的，因为访客网络的安全是在应用层由 Captive Portal 和符合 GDPR 规范的数据捕获进行处理。将 Guest Portal（访客门户）选项设置为“Forward to an external portal”（转发至外部门户），然后输入 Purple 提供的 Portal URL。 在此阶段，我们看到的最常见陷阱是围墙花园（walled garden）配置不完整。围墙花园是未认证用户在完成登录过程之前允许访问的主机名列表。您必须将 Purple 的所有必填域名以及您打算支持的任何社交媒体登录提供商添加到此列表中。如果围墙花园不完整，Captive Portal 将无法为访客加载，他们将被卡在浏览器错误页面上。Purple 在其支持文档中提供了完整的必填域名列表，我强烈建议在上线前仔细核对该列表。 保存 WLAN 后，返回配置并找到 API Secret。这是 Mist 自动生成的唯一加密密钥。复制它并将其粘贴到 Purple 场所设置下的“Mist API secret”字段中。这是允许 Purple 在您的 Mist 网络上授权设备的链接。 对于 PurpleConnex Passpoint 配置，请创建第二个具有 WPA2 企业级安全并启用 Passpoint 的 WLAN。将 Operators 字段配置为“OpenRoaming-Settlement-Free”，并将 NAI Realm 设置为 securewifi.purple.ai，以 EAP-TTLS 作为认证方法。添加 Purple 提供的两个 RadSec 服务器地址，并将 NAS Identifier 设置为 MIST 后面加上设备 MAC 地址变量。最后，将 RadSec 证书上传到您的 Mist 组织设置中。 对于多站点部署 - 并且这是管理多个场所的任何组织的至关重要建议 - 请使用 Mist 的 Organisation Templates。在模板中配置一次您的访客和安全 WLAN，然后将其应用于所有站点。这可以确保您整个区域的绝对一致性，并大幅减少管理开销。例如，拥有 50 家门店的零售连锁店可以同时将配置更改推送给所有站点，而不是逐个站点进行手动更改。 最后一个实施建议：在部署到生产环境之前，务必在暂存环境中测试集成。使用 Mist 的测试授权端点 - /authorize-test - 来验证 Captive Portal 流程是否正常工作，而不会影响实时用户。并且务必在多种设备类型上进行测试 - iOS，Android，Windows 和 macOS - 因为 Captive Portal 行为在操作系统和浏览器版本之间可能会有很大差异。 快速问答。 让我们解决一些我们在部署规划期间经常从网络架构师那里听到的快速问题。 第一个问题：此集成是否会影响网络性能？不会。认证握手非常轻量，且每个会话仅发生一次。一旦访客获得授权，他们的流量就会直接从 Mist 接入点流向互联网。Purple 根本不在数据路径中，因此对于正常的浏览流量没有性能开销。 第二个问题：Purple 收集的访客数据有多安全？非常安全。Purple 已通过 ISO 27001 认证，且该平台的设计符合 GDPR，CCPA 和其他主要数据隐私法规。所有数据在传输中均使用 TLS 加密，在静态时也进行了加密。Purple 的同意管理工具可确保访客在收集任何个人数据之前提供知情、明确的同意，这是 GDPR 第 7 条的基本要求。 第三个问题：我是否可以提供分层带宽以实现 WiFi 变现？当然可以。Purple 的平台支持分层带宽配置。您可以提供限速较低的免费基础层，以及速度较高的付费高级层。这对于机场、会议中心和体育场尤为适用，在这些地方，优质的网络连接是访客愿意付费的真正增值服务。一位 Purple 客户 - 一家机场运营商 - 通过 Purple 的平台实施分层带宽，实现了百分之八百四十二的投资回报率。 第四个问题：如果 Purple 平台暂时不可用会发生什么？这是衡量系统弹性的一个重要考量。默认情况下，如果外部门户无法访问，Mist 将不会向未授权的访客授予互联网访问权限。您可以选择在 Mist 中启用“在异常情况下绕过访客门户”设置，该设置将在门户不可用时提供开放式访问。但是，您应当谨慎考虑此操作，因为这会移除数据捕获和合规层。对于大多数企业级部署，我们建议保持此选项禁用，并将运行在高可用云基础设施上的 Purple 平台纳入您的服务管理流程监控中。 总结和后续步骤。 总结本次简报：将 Juniper Mist 与 Purple 相结合，可以使您的访客 WiFi 从一个简单的工具转变为商业智能和客户互动的强大武器。 您不仅能获得 Mist 的 AI 驱动网络可靠性（凭借其机器学习驱动的射频资源管理和主动故障检测），还能结合 Purple 的深度访客分析、营销自动化以及符合 GDPR 的数据捕获。该集成由 API 驱动且非常灵活，既支持简单的 Captive Portal 部署，也支持精密、安全的 Passpoint 部署，从而为再次来访的客人提供真正无缝的体验。 以下是关键要点。第一：务必配置完整的围墙花园 - 这是导致集成失败最常见的原因。第二：从第一天起就规划两个 SSID - 一个用于首次访客的开放式访客网络，以及一个用于再次光临贵宾的安全 Passpoint 网络。第三：在任何多站点部署中使用 Mist 的组织模板（Organisation Templates），以确保一致性和运营效率。第四：利用 Purple 的分析平台从您的访客 WiFi 数据中获取可落地的商业智能 - 这正是实现真正投资回报的地方。 您的下一步行动是什么？如果您已经是 Purple 的客户，请在我们的支持门户 support.purple.ai 中阅读 Juniper Mist 集成指南。如果您是 Purple 的新客户，请前往 purple.ai 并联系我们的解决方案架构师预定演示。我们可以带您体验真实环境，讨论您的特定场所需求，并为您部署的预期投资回报建立模型。 感谢您参加本次 Purple 技术简报。我们下期再见。