NETGEAR Enterprise AP与访客WiFi：使用Purple设置Captive Portal

欢迎阅读 Purple 技术简报。今天我们要探讨一个在与酒店、零售和多租户场馆的 IT 经理和网络架构师交流中经常出现的话题：如何将 NETGEAR Insight 和 WAX 系列接入点与 Purple WiFi 进行集成。如果您正在运营酒店、零售园区、会议中心或综合体开发项目，这份简报将对您接下来的部署决策产生直接影响。 让我们先来了解背景。NETGEAR 的 WAX 系列（包括 WAX610、WAX620 和 WAX630）是支持 WiFi 6 的接入点，通过 Insight 云平台进行管理。它们支持每个射频多达 8 个独立的 SSID、WPA3 加密，并且 WAX630 的吞吐量高达 6 Gbps。它们采用 PoE 供电，支持吸顶式安装，并通过 Insight 云端门户在单一视图中进行管理。对于 IT 安装人员或中小企业网络管理员来说，这是一个性价比极高且功能强大的平台，价格远低于 Cisco Meraki 或 HPE Aruba 级别。 Purple 是一款与硬件无关的云端覆盖层。我们运行在您现有的基础设施之上，为您添加宾客体验层、数据捕获层和分析层。在 2024 年，我们已经在 80,000 个活跃场馆中处理了 4.4 亿次登录。与 NETGEAR Insight 的集成干净利落且文档齐全，它涵盖了我们今天将要逐步讲解的四个截然不同的使用场景。 现在让我们进入技术深度剖析。这四个使用场景分别是：使用 Purple 访客 Portal 的 Guest WiFi、使用 802.1X 的安全员工 WiFi、使用 NETGEAR PPSK 功能的多租户细分，以及通过 RADIUS 针对基于身份的网络进行动态 VLAN 分配。 使用场景一：使用 Purple 访客 Portal 的 Guest WiFi。这是最常见的起点。您在 NETGEAR Insight 中创建一个专用的 Guest SSID，并将其配置为开放式网络。关键配置位于 SSID 设置的 Captive Portal 部分。您选择“外部 Captive Portal”，然后粘贴 Purple 提供的 Splash 页面 URL。 接下来，您需要配置身份验证类型。对于大多数 Purple 部署，您将选择 RADIUS 身份验证。Purple 会为您提供一个主 RADIUS 服务器 IP 地址、用于身份验证的端口 1812 和用于计费的端口 1813，以及一个共享密钥。您需要将这些信息粘贴到 NETGEAR Insight 外部 Captive Portal 配置中。您还需要设置一个 NAS 标识符 - 这是一个向 RADIUS 服务器标识此特定接入点或位置的字符串。请使用具有实际意义的名称，例如您的场馆名称和位置代码。 围墙花园（Walled garden）是让大多数安装人员失手的地方。在访客进行身份验证之前，其设备需要能够访问 Purple 登录页面、身份验证服务器以及您启用的任何社交登录提供商。NETGEAR Insight 在 External Captive Portal 配置中有一个专门的 Walled Garden 区域，供您添加这些 URL。Purple 的支持文档提供了要加入白名单的精确域名列表。如果配置错误，访客将看到一个空白页面，而不是您的品牌门户。 配置完成后，其流程如下：访客连接到 Hotel Guest SSID。接入点会拦截他们的第一个 HTTP 请求，并将其重定向到 Purple 登录页面。访客看到您的品牌门户，接受条款，并可选择提供他们的电子邮件地址或通过社交媒体登录。Purple 的 RADIUS 服务器向接入点返回 Access-Accept 消息，随后访客被授予互联网访问权限。Purple 会捕获同意数据，记录会话，然后该数据将流向您的 Purple 分析仪表板。 用例二：使用 802.1X 的安全员工 WiFi。在这里，您可以完全摆脱共享密码。对于员工网络，预共享密钥是一种安全隐患 - 当有员工离职时，您必须更改所有人的密码。在 IEEE 802.1X 标准中定义的 802.1X 可为每位用户提供独立的凭据。当他们离职时，您只需在其目录中禁用其帐户，其访问权限就会立即被撤销。 在 NETGEAR Insight 中，您需要配置一个带有 WPA2 企业级安全性的独立 Staff SSID。这会告知接入点使用 802.1X 身份验证，而不是预共享密钥。然后，您可以在网络位置级别配置 RADIUS 服务器设置。转到网络位置设置，选择 RADIUS，启用 802.1X Access Authentication（802.1X 访问认证），然后输入您的 RADIUS 服务器 IP、端口和共享密钥。默认的重新验证间隔为 3,600 秒 - 即一小时 - 这对大多数场所来说是一个合理的起点。 在中小企业部署中最常见的 EAP 方法是 PEAP-MSCHAPv2，它使用服务器端证书来创建加密隧道，用户在其中使用其 Active Directory 用户名和密码进行身份验证。EAP-TLS 安全性更高 - 它在双方都使用证书 - 但它需要 PKI 基础设施和 MDM 来将证书推送到设备。 一个关键点：在每个客户端设备上强制进行证书验证。通过组策略对象配置您的 Windows 设备，并通过 MDM 配置文件配置您的移动设备，以验证 RADIUS 服务器的证书。如果您跳过此步骤，设备将容易受到流氓接入点攻击，攻击者会出示虚假证书并捕获凭据。 使用场景三：适用于多租户场所的 NETGEAR PPSK。Private Pre-Shared Key 解决了零售园区、综合体开发项目和联合办公空间中的特定问题。当您有多个租户共享同一个物理 WiFi 基础设施时。您不希望为每个租户运行单独的 SSID - 这会造成射频干扰并增加管理复杂度。但您也不能给所有人相同的密码，因为那样租户 A 就能看到租户 B 的流量。 PPSK 优雅地解决了这个问题。您在 NETGEAR Insight 的 Wireless（无线）、Settings（设置）、Advanced（高级）、Multi PSK Settings（多 PSK 设置）下创建一个 SSID 并创建多个预共享密钥。每个密钥都与特定的 VLAN 相关联。租户 A 获得映射到 VLAN 30 的唯一 16 位字符密码。租户 B 获得映射到 VLAN 40 的不同密码。场所管理团队获得映射到 VLAN 20 的第三个密码，该 VLAN 具有管理系统的访问权限。 当租户 A 的设备使用其密码连接时，接入点会自动将它们置于 VLAN 30。它们无法看到 VLAN 40 或 VLAN 20 上的任何流量。从租户的角度来看，他们只需要一个 WiFi 密码。从您作为网络管理员的角度来看，您在无需任何额外硬件的情况下实现了租户之间完全的流量隔离。 有两个重要的限制需要了解。首先，NETGEAR Insight 中的 PPSK 需要 WPA2 Personal 或 WPA2 Personal Mixed 加密。它不适用于 6 GHz 频段。其次，PPSK 不能与 Captive Portal 在同一个 SSID 上结合使用。如果您两者都需要，则需要两个单独的 SSID - 这没问题，因为 WAX 系列接入点支持多达 8 个。 使用场景四：通过 RADIUS 进行动态 VLAN 分配。这是最先进的配置，也是支持 Purple 的基于身份的网络能力的基础。您不需要静态地将 VLAN 分配给密码或 SSID，而是让 RADIUS 服务器根据正在进行身份验证的人员来决定分配哪个 VLAN。 该机制使用三个标准 RADIUS 属性：Tunnel-Type（对于 VLAN，必须将其值设置为 13）；Tunnel-Medium-Type（对于 IEEE 802，必须将其值设置为 6）；以及 Tunnel-Private-Group-ID（它将 VLAN ID 承载为字符串）。当用户成功进行身份验证时，RADIUS 服务器将在 Access-Accept 消息中返回这三个属性。接入点读取这些属性并将客户端置于指定的 VLAN 上。 在实践中，这意味着您可以拥有一个 WPA2 Enterprise SSID，酒店经理进行身份验证后进入具有物业管理系统访问权限的 VLAN 20，前台接待员进行身份验证后进入仅具有入住系统访问权限的 VLAN 21，而承包商进行身份验证后进入仅具有互联网访问权限的 VLAN 50。所有这些都来自同一个 SSID，全部由 RADIUS 服务器根据 Active Directory 组群成员身份自动执行。 现在，让我们谈谈实施建议和常见陷阱。第一个陷阱是围墙花园。每个外部 Captive Portal 部署至少会在围墙花园处失败一次。症状是访客连接到 SSID，但看到的是浏览器错误而不是 splash page。解决方法是系统化的：打开 Purple 支持文档，复制围墙花园列表中的每个域名，然后将它们粘贴到 NETGEAR Insight 的 Walled Garden 区域。使用没有缓存凭据的设备进行测试。 第二个陷阱是 RADIUS 可达性。NETGEAR 接入点需要能够访问您的 RADIUS 服务器。RADIUS 使用 UDP 端口 1812 进行认证，使用 UDP 端口 1813 进行计费。在接入点管理 IP 到 RADIUS 服务器 IP 之间开放这些端口。在上线前使用 RADIUS 测试工具进行测试。 第三个陷阱是 PPSK 与 Captive Portal 的冲突。NETGEAR Insight 不允许在同一个 SSID 上同时使用 PPSK 和 Captive Portal。如果您两者都需要，请创建两个 SSID。清晰地命名它们 - 一个用于 PPSK 租户，另一个用于 Captive Portal 访客。 第四个陷阱是 802.1X 客户端上的证书验证。每个 Windows 设备都需要一个组策略对象（GPO），该对象指定受信任的证书颁发机构和预期的 RADIUS 服务器名称。每个移动设备都需要一个具有相同设置的 MDM 配置文件。如果没有这个，用户可能会在不知不觉中向恶意接入点进行认证，并交出他们的 Active Directory 凭据。 现在进行快速问答环节。问题一：我可以在没有 RADIUS 服务器的情况下将 Purple 与 NETGEAR Insight 结合使用吗？是的，对于访客 Captive Portal 部署，您可以使用 Purple 的 Web 认证模式而不是 RADIUS。接入点通过 HTTP 重定向到 splash page，Purple 通过 Web 会话处理认证。RADIUS 可以为您提供更多控制和更好的计费数据，但对于基础访客门户部署，它不是强制性的。 问题二：我可以在 NETGEAR Insight 中创建多少个 PPSK 密钥？NETGEAR Insight 在 WAX 系列接入点上每个 SSID 支持最多 64 个 PPSK 密钥。对于大多数多租户场所，这已经绰绰有余。如果您有超过 64 个租户，则需要转而使用基于 RADIUS 的动态 VLAN 解决方案。 问题三：NETGEAR Insight 是否支持用于 802.1X 的 WPA3 企业版？是的，WAX 系列接入点支持 WPA3 企业版。对于大多数中小企业部署，WPA2 企业版已经足够，并且具有更广泛的客户端设备兼容性。对于处理敏感数据（如医疗保健或金融服务）的环境，WPA3 企业版值得考虑。 问题四：如果 Purple RADIUS 服务器无法访问会发生什么？NETGEAR Insight 在 External Captive Portal 配置中支持故障安全选项。如果您启用故障安全，即使 Captive Portal 服务器无法访问，访客也会在短时间内获得互联网访问权限。Purple 在我们的基础设施中保持着 99.999% 的在线率，但对于任何生产环境部署，启用故障安全都是一个很好的实践。 总结一下今天技术简报的核心要点。NETGEAR WAX 系列接入点通过 NETGEAR Insight 中的 External Captive Portal 机制与 Purple 集成。您可以在 Insight Cloud Portal 中配置展示页面 URL、RADIUS 服务器凭据和围墙花园域名。对于员工网络，请使用带有 802.1X 的 WPA2 企业版，并在每个客户端设备上强制进行证书验证。对于多租户场所，NETGEAR 的 PPSK 功能使您能够通过单个 SSID 和最多 64 个唯一密钥实现每个租户的 VLAN 隔离。对于最复杂的部署，通过 RADIUS 属性进行的动态 VLAN 分配为您提供了身份驱动的网络分段，该分段适应连接的用户，而不仅仅是他们连接的位置。 如果您计划使用 Purple 进行 NETGEAR 部署，下一步是向 Purple 的支持团队索取您的 Purple RADIUS 凭据和围墙花园域名列表，并在推向生产环境之前在暂存 SSID 上测试 Captive Portal 重定向。一旦您拿到这些凭据，配置过程不到 30 分钟。 感谢收听 Purple 的技术简报。欲获取完整的书面指南，包括分步配置细节和实际示例，请访问 purple.ai。