跳至主要内容

公共 WiFi 故障排查:解决“已连接但无互联网连接”以及欢迎页面重定向失败问题

本权威技术参考指南解释了 Captive Portal 检测的底层机制,并详细介绍了导致访客 WiFi 无法连接的六种主要失效模式。它为 IT 经理和网络架构师提供了一个实用的故障排查框架,以解决 HTTP 重定向问题、DNS 冲突以及 MAC 随机化带来的挑战。

📖 6 分钟阅读📝 1,303 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎阅读来自 Purple 的技术简报。今天,我们将解决企业无线网络中最顽固、最容易被误解的问题之一:根本无法加载的访客 WiFi Captive Portal。 您一定遇到过这种情况。访客到达您的酒店、零售店、体育场或会议中心。他们加入了 WiFi 网络。但什么也没发生。没有登录页面。没有网络连接。只有不断旋转的加载图标和日益增加的挫败感。对于场馆运营总监和 IT 经理来说,那一刻不仅仅是小小的出行不便。它代表了访客体验的直接失败、前台支持电话的激增,以及错失了捕获第一方数据的机会,而这些数据正是您进行无线基础设施投资的价值所在。 在本次简报中,我们将深入了解其底层机制。我们将解释操作系统层面 Captive Portal 检测的具体工作原理,找出导致绝大多数连接失败的六个根本原因,并为您提供一个实用、可操作的排错框架,您现在就可以将其移交给您的 IT 团队。 让我们从其机制开始。大多数人认为 Captive Portal 仅仅是一个登录页面。它实际上是一个网络级的流量拦截机制,当出现问题时,这种区别至关重要。 以下是其运行顺序。访客的设备加入您的访客 SSID,并通过 DHCP 接收 IP 地址。此时,操作系统不会等待用户打开浏览器。在后台,系统服务会立即向供应商控制的探测 URL 发起一个未加密的 HTTP GET 请求。iOS 等 Apple 设备会查询 captive.apple.com。Android 设备会查询 connectivitycheck.gstatic.com。Windows 设备会查询 msftconnecttest.com。Firefox 在 detectportal.firefox.com 上有自己的探测点。 如果网络具有开放的互联网访问权限,这些探测将返回其预期响应,操作系统从而认定一切正常。但在访客网络上,您的无线网关或控制器会在该 HTTP 探测到达互联网之前拦截它。网关不会返回预期的响应,而是返回一个指向您的 Captive Portal 欢迎页面的 HTTP 307 重定向。操作系统检测到这个非预期的重定向,意识到其处于 Captive Portal 之后,并打开一个沙盒浏览器窗口(通常称为 Captive Network Assistant)来显示登录页面。 这就是正常情况下的运行流程。现在,让我们来看看导致其失效的六种常见原因。 根本原因之一:DHCP 池耗尽。这是高密度活动中的无形杀手。如果您在标准的 /24 子网上举办一场有 2,000 名参会者的会议,您将拥有 254 个可用 IP 地址。如果您的 DHCP 租约时间设置为默认的 24 小时,那么在会场开门后的几分钟内,该地址池就会枯竭。此后,甚至在 Captive Portal 流程启动之前,所有后续的连接尝试都会失败。解决办法很简单:在人员流动率高的环境中,将访客 DHCP 租约时间缩短至 15 到 30 分钟,并根据并发用户峰值(而不仅仅是总人数)合理规划子网大小。 根本原因之二:DNS 拦截失败。Captive Portal 重定向依赖于网关对 HTTP 探测的拦截。但该探测首先需要进行 DNS 解析。如果您的 DNS 配置不允许未授权客户端解析外部域名,则探测永远不会触发。请确保您的防火墙策略明确允许来自未授权客户端的 DNS 查询,并通过对测试设备进行数据包捕获来验证您的 DNS 拦截是否正常工作。 根本原因之三:围墙花园(walled garden)配置不完整。围墙花园 - 也称为预身份验证访问控制列表 - 定义了未授权访客可以访问的外部域名。如果您的 Portal 认证页面从不在围墙花园中的 CDN 加载资源,页面将显示为空白。如果您通过 Google、Apple 或 Facebook 提供社交登录,则这些提供商使用的每个 OAuth 域名都必须加入白名单。至关重要的一点是:社交身份提供商会定期更新其 CDN IP 范围和身份验证域名。半年前运行良好的围墙花园现在可能已经失效了。请安排每季度的围墙花园审计,并在您的硬件支持的情况下使用通配符域名探查。在 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist 上,此功能是原生提供的。 根本原因之四:HSTS 阻止重定向。HTTP 严格传输安全(即 HSTS)是一种浏览器安全策略,强制仅通过 HTTPS 连接到特定域名。如果访客的设备尝试访问预载了 HSTS 的域名(这几乎涵盖了所有主流网站),并且您的网关尝试拦截该 HTTPS 请求以重定向到 Portal,浏览器将检测到证书不匹配。它会呈现一个无法绕过的安全警告,并完全阻止重定向。正确的解决方案是绝不尝试 HTTPS 拦截。您的网关应该只重定向未加密的 HTTP 探针。基于标准的长期解决方案是 RFC 8910,它定义了 DHCP Option 114。此选项允许您的 DHCP 服务器直接将 Captive Portal URL 播发给客户端设备,从而完全无需进行 HTTP 重定向。iOS 14 和 Android 11 及以上版本已原生支持此功能。 根本原因之五:访客设备上启用了活跃的 VPN。VPN 会加密来自设备的所有流量,并在其到达您的网关之前通过外部通道进行路由。您的网关永远无法检测到 HTTP 探测。Captive Portal 检测序列永远不会触发。访客看不到登录页面,也无法上网。针对访客的解决方法很简单:禁用 VPN,连接到门户,然后重新启用 VPN。对于您的前台工作人员来说,当访客报告连接问题时,这应该是他们询问的第一个问题。 根本原因之六:MAC 地址随机化破坏了会话持久性。现代 iOS 和 Android 设备默认使用随机 MAC 地址作为隐私功能。设备每次连接到网络时,都可能呈现不同的 MAC 地址。由于 Captive Portal 会话状态是通过 MAC 地址进行跟踪的,因此一小时前已通过身份验证的访客在其设备的 MAC 地址轮换后可能会再次看到登录页面。面向访客的解决方法是在网络设置中针对您的特定 SSID 禁用“私有地址”。运营商端的解决方法是实施基于配置文件的身份验证 - 例如通过 Passpoint 和 802.1X 的 OpenRoaming - 它在第 2 层使用凭据而不是 MAC 地址进行身份验证,从而使随机化失效。 现在让我们谈谈实施。在实践中,一个配置良好的 Captive Portal 部署到底是什么样的? 从您的 DHCP 架构开始。对于任何预计有超过 200 台并发设备的场所,请不要使用单个 /24 子网。使用 /22 或更大子网,并设置租约时间以匹配您场所的逗留特征。酒店将租约设置为 8 小时。体育场将租约设置为 3 小时。购物中心将租约设置为 90 分钟。会议中心将租约设置为 30 分钟。 接下来,在每次重大活动之前验证您的围墙花园(Walled Garden)。最低要求的条目包括:您门户的完全限定域名和所有关联的 CDN 域名,Apple、Google、Windows 和 Firefox 的 Captive Portal 检测 URL,以及您支持的每个社交登录提供商的 OAuth 域名。在 Purple 平台,我们作为云管理服务的一部分自动维护和更新这些围墙花园条目,从而减轻了您团队的手动维护负担。 对于您的门户证书,请使用来自公认证书颁发机构的公开受信任的 TLS 证书。自签名证书会在每台设备上触发浏览器警告。在过期前更新证书 - 证书过期是导致突然、全场所门户故障的最常见原因之一。 一个让许多 IT 团队中招的陷阱是:从先前已通过身份验证的设备测试门户。您设备的会话仍处于活跃状态,因此您会完全绕过门户并得出一切正常的结论。请始终从处于全新、未授权状态的设备进行测试 - 可以是新设备,也可以是您已忽略该网络并清除了 WiFi 配置文件的设备。 让我给你举两个说明这些原则的实际场景。 场景一:伦敦市中心的一家拥有350间客房的酒店。该物业为 guest WiFi 运行了一个单 /24 子网。在一次大型会议期间,400名代表同时到达。在20分钟内,DHCP 池就被消耗殆尽。宾客报告已连接,但无法访问 Captive Portal 或互联网。最直接的解决方法是将子网扩展到 /22,提供1,022个可用地址,并将租约时间从24小时缩短至8小时。长期解决方法是部署 Purple 的云管理 Captive Portal,该系统可实时监控 DHCP 池利用率,并在耗尽前向网络团队发出警报。更改后48小时内,门户故障率降至接近于零。 场景二:一家拥有200家门店的大型连锁零售商。该连锁店在其宾客门户上使用了通过 Google 和 Facebook 的社交登录。在 Google 更新其 OAuth 基础设施后,新的身份验证域未包含在 walled garden 中。宾客可以到达门户页面,但社交登录按钮显示空白屏幕。该连锁店的 IT 团队花了整整两天时间诊断问题,才确定是 walled garden 漏洞。一经确认,修复仅需10分钟。教训:永远不要在针对云端 OAuth 提供商的 walled garden 中硬编码 IP 地址。请使用通配符域名条目并进行每季度审查。 现在解答一些我们经常从场馆 IT 团队听到的快速问答。 为什么门户在 iPhone 上可以使用,但在 Android 设备上不行?Android 使用 connectivitycheck.gstatic.com 作为其探测 URL。如果该域名被您的防火墙阻止或未包含在您的 walled garden 中,Android 设备将永远不会触发门户。请明确添加该域名。 宾客表示门户已加载,但登录后无法上网。这几乎总是 RADIUS 授权失败。请检查您的无线控制器是否可以访问您的 RADIUS 服务器,验证双方的共享密钥是否匹配,并查看 RADIUS 日志中的 Access-Reject 消息。 我们如何处理每隔几分钟就会被登出的宾客?请检查您的空闲超时设置。许多控制器的默认空闲超时为5分钟,这对于在交互之间休眠的移动设备来说过于激进。在酒店和零售环境中,请将空闲超时设置为至少30分钟。 总结一下今天简报的关键点。 Guest WiFi Captive Portal 故障分为六类:DHCP 池耗尽、DNS 拦截失败、walled garden 不完整、HSTS 重定向阻止、客户端设备上处于活动状态的 VPN 以及 MAC 地址随机化。每种故障都有具体的、可测试的解决方案。 对于您的 IT 团队,立即可采取的行动是:审计您的 DHCP 租约时间和子网规划,对照社交登录提供商当前的 OAuth 域名验证您的 walled garden,并在每次配置更改后使用全新的未授权设备测试您的门户。 对于您的长期路线图,请评估将 OpenRoaming 作为回头客 Captive Portal 重新认证的替代方案。该技术已经成熟,标准基于 IEEE 802.1X 和 WPA3-Enterprise 制定,且 Purple 在 Connect 方案下免费提供该功能,无需额外的软件费用。 仅在 2024 年,Purple 的业务就已经覆盖了 80,000 个场所,并处理了 4.4 亿次登录。我们已经历过本简报中描述的所有故障模式 - 并构建了防止这些故障的工具。如果您想了解 Purple 的云覆盖网络如何与您现有的 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 基础设施相集成,请访问 purple.ai 或联系您的客户经理。 感谢您的聆听。

核心摘要

header_image.png

访客连接到您的 WiFi,但登录页面无法加载。他们看到“已连接,无互联网”警告并放弃。对于场馆运营总监和 IT 经理而言,这种失败直接降低了访客体验,增加了支持工单数量,并错失了收集第一方数据的机会,而这本是证明无线基础设施投资合理性的关键。

本指南详细解释了操作系统层面的 Captive Portal 检测工作原理,并确定了导致大多数连接失败的六大根本原因。它提供了一个实用的、与厂商无关的排错框架,用于解决 DHCP 耗尽、DNS 拦截失败、围墙花园不完整、受阻的 HSTS 重定向、活跃的 VPN 冲突以及 MAC 地址随机化问题。

技术深度剖析:Captive Portal 检测的实际工作原理

要排除 Captive Portal 的故障,您必须首先了解 Captive Portal 在网络层面的实际作用。它不仅是一个登录页面,而是一个网络层面的流量拦截机制。

当访客设备加入访客 SSID 时,它会通过 DHCP 接收 IP 地址。操作系统不会等待用户打开浏览器。相反,后台系统服务会立即向厂商控制的探测 URL 发送未加密的 HTTP GET 请求。Apple 设备查询 captive.apple.com。Android 设备查询 connectivitycheck.gstatic.com。Windows 设备查询 msftconnecttest.com。Firefox 查询 detectportal.firefox.com

如果网络具有开放的互联网访问权限,这些探测将返回其预期的 HTTP 200 OK 响应,并且操作系统会判定连接已激活。然而,在访客网络上,无线网关或控制器会在该 HTTP 探测到达互联网之前将其拦截。网关不会返回预期的响应,而是返回指向 Captive Portal 登录页面的 HTTP 307 临时重定向。操作系统检测到这种意外的重定向,理解其处于 Captive Portal 之后,并打开一个沙盒浏览器窗口(Captive Network Assistant)以显示登录页面。

portal_architecture_diagram.png

故障排查与风险缓解:六大故障根本原因

当 Captive Portal 无法加载时,问题几乎总是由以下六种特定故障模式之一引起的。

root_causes_infographic.png

1. DHCP 地址池耗尽

这是高密度活动中的无形杀手。如果您正在举办一场有 2,000 名参会者的会议,并且使用的是标准的 /24 子网,那么您只有 254 个可用的 IP 地址。如果您的 DHCP 租期设置为默认的 24 小时,您的地址池将在开门后的几分钟内耗尽。在此之后的每次连接尝试都将在 Captive Portal 流程开始之前失败。

解决方案: 对于高流动性环境,将访客 DHCP 租期设置为 15 到 30 分钟。根据峰值并发用户数而非平均出席率来规划子网大小。/22 子网可提供 1,022 个可用地址,这是企业级场馆推荐的最小规模。

2. DNS 拦截失败

Captive Portal 重定向依赖于网关拦截 HTTP 探测。然而,该探测首先需要进行 DNS 查询。如果您的 DNS 配置不允许未认证的客户端解析外部域名,则探测将永远不会触发。

解决方案: 确保您的防火墙策略明确允许来自未认证客户端的 DNS 查询(端口 53)。在测试设备上进行数据包捕获,以验证您的 DNS 拦截功能是否正常运行。

3. 围墙花园(Walled Garden)配置不完整

围墙花园(认证前访问控制列表)定义了未认证访客可以访问哪些外部域名。如果您的 Portal 门户页面从不包含在围墙花园中的 CDN 加载资产,则该页面将渲染为空白屏幕。如果您通过 Google、Apple 或 Microsoft Entra ID 提供社交登录,则这些提供商使用的每一个 OAuth 域名都必须列入白名单。社交身份提供商会定期更新其 CDN IP 范围和认证域名;六个月前运行完美的围墙花园可能会在一夜之间失效。

解决方案: 安排每季度进行一次围墙花园审计。在您的硬件支持的情况下,使用通配符域名探听(Wildcard Domain Snooping)功能,该功能在 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist 上原生提供。Purple 作为我们云管理服务的一部分,会自动维护和更新这些围墙花园条目。

4. HSTS 重定向阻断

HTTP 严格传输安全(HSTS)是一种浏览器安全策略,强制仅通过 HTTPS 连接到特定域名。如果访客设备尝试与预加载了 HSTS 的域名进行通信,而您的网关试图拦截该 HTTPS 请求以重定向到 Portal 页面,浏览器将检测到证书不匹配。这将显示无法绕过的安全警告,并彻底阻止重定向。

解决方案: 切勿尝试对初始重定向进行 HTTPS 拦截。确保您的网关仅重定向未加密的 HTTP 探测。长期的标准解决方案是 RFC 8910,它定义了 DHCP Option 114。此选项允许您的 DHCP 服务器直接向客户端设备广播 Captive Portal URL,从而完全无需进行 HTTP 重定向。iOS 14 和 Android 11 及以上版本原生支持此功能。

5. 客户端设备上启用了 VPN

VPN 会加密来自设备的所有流量,并在其到达您的网关之前将其路由通过外部隧道。您的网关永远看不到 HTTP 探测,因此绝不会触发 Captive Portal 检测序列。宾客既看不到登录页面,也无法访问互联网。

解决方案: 宾客必须禁用 VPN,连接到门户,然后重新启用 VPN。对于一线服务人员,询问宾客是否正在使用 VPN 应该是排查问题的首要步骤。

6. MAC 地址随机化中断了会话持久性

现代 iOS 和 Android 设备默认使用随机 MAC 地址作为隐私保护功能。设备每次连接到网络时,可能会呈现不同的 MAC 地址。由于 Captive Portal 会话状态是根据 MAC 地址进行跟踪的,因此一小时前通过身份验证的宾客在其设备的 MAC 地址发生变化后,可能会再次看到登录页面。

解决方案: 针对宾客的解决方案是在其网络设置中针对您特定的 SSID 禁用“专用地址”。运营商端的解决方案是实施基于配置文件的身份验证,例如通过 802.1XPasspointOpenRoaming,它在第 2 层使用凭据而非 MAC 地址进行身份验证,从而使随机化失效。

实施指南:构建高弹性架构

部署配置良好的 Captive Portal 需要主动做出架构决策。

  1. 在每次重大活动之前验证您的围墙花园。 所需的最小条目包括:您的门户 FQDN 和所有关联的 CDN 域名,Apple、Google、Windows 和 Firefox 的 Captive Portal 检测 URL,以及您支持的每个社交登录提供商的 OAuth 域名。
  2. 使用受信任的公共 TLS 证书。 自签名证书将在每台设备上触发浏览器警告。在证书过期前进行更新;证书过期是导致突然发生、覆盖整个场地的门户故障最常见的原因之一。
  3. 从全新的、未经身份验证的状态进行测试。 从之前已通过身份验证的设备测试门户将完全绕过门户,因为会话仍处于活动状态。请务必使用新设备进行测试,或者使用已忽略该网络并删除了 WiFi 配置文件的设备进行测试。
  4. 调整闲置超时时间。 许多控制器默认设置了 5 分钟的闲置超时,这对于在交互之间进入休眠模式的移动设备来说过于激进。在酒店和零售环境中,请将闲置超时时间至少设置为 30 分钟。

投资回报率和业务影响

Captive Portals 是一项成熟的技术,但它们具有一些固有的复杂性。战略目标是迈向无缝且安全的身份验证。

基于 Passpoint 和 802.1X 构建的 OpenRoaming 可帮助再次到访的访客自动安全地连接,而无需看到任何登录页面。在我们的 Connect 计划下,Purple 充当 OpenRoaming 的免费身份提供商。像 Premier Inn 和 Manchester Airports Group 这样的场所已经在使用它来消除回头客重复身份验证的麻烦,同时保持完全符合 GDPR 并进行第一方数据收集。通过减少连接失败,您可以直接增加收集的第一方数据量,从而提升客户忠诚度和个性化互动。

技术简报播客

在我们的 10 分钟技术简报中,听取我们高级解决方案架构师对这些故障排除步骤的详细分解。

关键定义

Captive Portal

一种网络级流量拦截机制,在用户完成所需操作(例如在欢迎页面上接受条款或提供凭据)之前限制其互联网访问。

企业场所保障访客访问安全并捕获第一方数据的主要方法。

Walled Garden

一个预身份验证访问控制列表,定义了未经验证的访客设备允许访问哪些外部 IP 地址或域名。

对于在用户完全身份验证之前允许访问门户资产、CDN 和 OAuth 身份提供商至关重要。

Captive Network Assistant (CNA)

当操作系统检测到 Captive Portal 重定向时自动打开的沙箱式、受限功能浏览器窗口。

这是访客实际看到登录页面并与之交互的界面。

HSTS (HTTP Strict Transport Security)

一种 Web 安全策略机制,通过强制浏览器仅通过安全的 HTTPS 连接与网站进行交互,帮助保护网站免受中间人攻击。

HSTS 会阻止网关使用 HTTPS 拦截将用户重定向到 Captive Portal,如果配置不当,会导致连接失败。

DHCP Pool Exhaustion

DHCP 服务器已在其配置的子网中分配了所有可用 IP 地址的状态,从而阻止新设备加入网络。

在体育场馆或会议等高密度环境中,导致“已连接但无互联网连接”错误的常见原因。

MAC Address Randomisation

现代移动操作系统中的一项隐私功能,可为每个 WiFi 网络生成随机 MAC 地址,从而防止跨不同位置进行追踪。

此功能会破坏 Captive Portal 上的会话持久性,如果访客的 MAC 地址轮换,则会强制其重新进行身份验证。

OpenRoaming

一个 WiFi 网络联盟,允许用户自动、安全地连接到参与其中的网络,无需输入凭据或与 captive portal 进行交互。

针对常客的 captive portal 战略性继承方案,由 Purple 作为免费身份提供商提供支持。

RFC 8910 (DHCP Option 114)

一种标准,允许 DHCP 服务器在分配 IP 地址期间,直接向客户端设备提供 captive portal 的 URL。

这完全绕过了 HTTP 重定向的需求,解决了由 HSTS 引起的问题并提高了门户检测的速度。

应用实例

伦敦市中心一家拥有 350 间客房的酒店为访客 WiFi 运行单个 /24 子网。在一次大型会议期间,400 名代表同时到达。在 20 分钟内,访客报告已连接但无法访问门户网站或互联网。

紧急解决方法是将子网扩展到 /22,提供 1,022 个可用地址,并将 DHCP 租期从 24 小时缩短到 8 小时。长期解决方法是部署 Purple 的云端管理 Captive Portal,它能实时监控 DHCP 池使用情况,并在耗尽发生前向网络团队发出警报。

考官评语: 此场景展示了典型的 DHCP 池耗尽。一个 /24 子网仅提供 254 个可用 IP 地址。通过增加子网大小并缩短租期,网络可以适应会议环境中典型的设备高周转率。

一家拥有 200 家门店的大型零售连锁店在其访客门户上使用 Google 和 Facebook 的社交登录。在 Google 更新其 OAuth 基础架构后,访客可以访问门户页面,但社交登录按钮显示为空白屏幕。

IT 团队必须识别 Google 使用的新身份验证域名,并将其添加到围墙花园(预身份验证访问控制列表)中。为了在未来防止此问题,他们应该使用通配符域名条目(例如 *.google.com)而不是硬编码特定的 IP 地址,并每季度审查一次围墙花园。

考官评语: 这突显了在依赖第三方 OAuth 提供商时静态围墙花园的脆弱性。基于云的身份提供商会频繁更改其 IP 范围和 CDN 域名。通配符侦听(由 Cisco Meraki 和 HPE Aruba 等企业级硬件原生支持)是正确的架构方法。

练习题

Q1. 体育场 IT 总监报告称,在中场休息期间,数千名球迷尝试连接到访客 WiFi。对于部分人来说,门户可以正常加载,但许多人报告说他们的设备卡在“正在获取 IP 地址”或在门户出现之前显示“已连接,无互联网”。最可能的架构缺陷是什么?

提示:考虑并发连接量与网络分段上可用资源的对比。

查看标准答案

网络正在经历 DHCP 池耗尽。子网规模可能设置得太小(例如 /24),无法应对峰值并发用户负载,且 DHCP 租期可能设置得过高。推荐的解决方法是增加子网规模(例如扩大到 /22 或 /21),并将 DHCP 租期缩短至与预期停留时间相匹配(例如,体育场设置为 3 小时)。

Q2. 访客连接到您的零售 WiFi 网络。在尝试加载热门网站时,他们的设备显示安全警告“您的连接不是私密连接”,并且 captive portal 从未出现。是什么机制导致了这一阻断?

提示:思考现代浏览器如何处理安全连接上的强制重定向。

查看标准答案

HSTS (HTTP Strict Transport Security) 阻断了重定向。访客尝试导航到预加载了 HSTS 的域名(通过 HTTPS),而无线网关尝试拦截该安全连接以重定向到门户。浏览器检测到证书不匹配并阻断了连接。网关必须配置为仅拦截未加密的 HTTP 探测。

Q3. 您最近在 captive portal 上启用了 Google 和 Microsoft Entra ID 社交登录选项。访客报告说门户页面可以加载,但点击登录按钮会导致超时。在 IT 部门不受限制的员工网络上测试时,该门户工作完全正常。缺失了什么配置?

提示:考虑在身份验证完成之前访客设备的网络状态。

查看标准答案

walled garden(认证前访问控制列表)不完整。未将 Google 和 Microsoft Entra ID 使用的 OAuth 认证域名和 CDN 纳入白名单。因为访客未经身份验证,网关阻断了对这些外部域名的访问,导致社交登录过程超时。IT 团队必须在 walled garden 中为这些身份提供商添加通配符条目。

继续阅读本系列

故障排除 Captive Portal 重定向:解决访客 WiFi 连接失败问题

当访客连接到您的 WiFi 但无法访问互联网时,原因几乎总是配置错误的 Captive Portal 重定向,而不是硬件故障。本指南为 IT 经理、网络架构师和 CTO 提供深入的技术参考,以诊断和解决完整的故障链:从系统级连接性探测和 HSTS 证书冲突,到 RADIUS 授权间隙和 DHCP 耗尽。它将每种故障模式映射到具体的修复方案,并展示了 Purple 的硬件无关云端覆盖层如何消除 Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks 和 Fortinet 部署中的这些问题。

阅读指南 →

高密度无线网络上 DHCP 超时的十大原因

本权威技术参考指南确定了高密度无线网络上 DHCP 超时的十大原因,并提供了可操作的、与厂商无关的补救策略。该指南专为高级 IT 领导者、网络架构师和场馆运营总监设计,涵盖了深入的工程原理、分步实施工作流程和可衡量的业务成果。了解如何消除连接瓶颈并优化您的无线基础设施,从而在要求苛刻的企业环境中提供无缝的 WiFi 连接。

阅读指南 →

使用数据包捕获 (PCAP) 诊断缓慢的 WiFi 性能

本技术参考指南为 IT 经理、网络架构师和场所运营总监提供了一种结构化的、数据包级别的诊断方法,以使用数据包捕获 (PCAP) 分析诊断和解决企业级缓慢的 WiFi 性能。通过解析原始 802.11 帧 - 包括重传率、空口时间利用率和物理层元数据 - 团队可以精确地将 RF 层瓶颈与有线网络或应用问题隔离开来。本指南适用于包括酒店、零售连锁店、体育场和会议中心在内的高密度场所,提供了可操作的诊断工作流程、真实世界的案例研究和配置修复步骤,以重新夺回网络容量并保护宾客体验。

阅读指南 →