跳至主要内容
简体中文

CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南

本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。

📖 5 分钟阅读📝 1,177 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎收听 Purple 技术简报。我是您的主持人,今天我们将介绍一个几乎在每个大规模企业 WiFi 项目中都会遇到的部署模式——将 CommScope Ruckus 与 Purple 的云平台进行集成。无论您是管理酒店集团、零售物业、体育场还是会议中心,本期内容都将为您提供所需的配置指南。 首先让我们来了解一下背景。Ruckus(现属于 CommScope)是全球主流的企业 WiFi 平台之一。尤其是 SmartZone,它是高密度环境的首选控制器。像 Premier Inn 这样的酒店、大型连锁零售店、体育场和会议中心都在运行 Ruckus 基础设施。当您部署如此大规模的 Guest WiFi 时,您需要的不仅仅是一个开放的 SSID。您需要结构化的认证、符合 GDPR 的数据采集,以及将这些访客数据导入您的营销技术栈的能力。这正是 Purple 的用武之地。 Purple 在超过 80,000 个活跃场所中运行,仅在 2024 年就处理了 4.4 亿次登录,并持有 ISO 27001、GDPR 和 Cyber Essentials 认证。Ruckus 集成是我们最成熟的部署模式之一。 现在,在接触配置界面之前,您需要了解 Ruckus 的三种不同的控制器平台。SmartZone(可作为物理 SZ300 设备或虚拟 vSZ 提供)是适用于大型多站点部署的企业控制器。它管理着跨多个区域的数千个接入点,为您提供深度的策略控制,并支持我们今天将介绍的所有认证方法。ZoneDirector 是传统的本地控制器(仍广泛部署,特别是在酒店业中),它支持相同的基于 WISPr 的 Captive Portal 流程,尽管配置路径略有不同。而 Unleashed 是无控制器模式,其中一个 AP 作为多达 128 个其他 AP 的主 AP。它非常适合较小的单站点部署——独立酒店、零售分店、中小企业办公室。 好的。让我们进入技术细节。我将介绍三个不同的使用场景:具有 Captive Portal 重定向的 Guest WiFi、使用 802.1X 的 Secure Staff WiFi,以及使用 Ruckus Dynamic PSK 的多租户网络隔离。 首先是 Guest WiFi。这里的架构是基于 WISPr 的热点流程。WISPr(无线互联网服务提供商漫游)是一种行业标准,它定义了无线控制器如何拦截未认证的 HTTP 流量并将其重定向到外部 Portal。访客连接到您的 SSID。他们的设备发送一个 HTTP 请求。SmartZone 拦截该请求并向您的外部 Portal URL(在本例中为 Purple 的 Captive Portal)发出 HTTP 302 重定向。访客进行认证(通过社交登录、电子邮件、短信或自定义表单),然后 Portal 通过北向接口(即 NBI)与控制器进行通信以授予访问权限。 在 SmartZone 上,配置包含四个主要部分。首先是 RADIUS 认证服务器配置文件。导航至“服务与配置文件”,然后选择“认证”。创建一个新的 AAA 服务器配置文件。将服务协议设置为 RADIUS。您的主服务器 IP 和共享密钥在 Purple 管理控制台中提供。认证端口为 1812。务必配置备份 RADIUS 服务器以确保弹性。然后在“服务与配置文件”的“计费”下创建计费服务器——端口 1813,使用相同的共享密钥。 其次是 Hotspot WISPr 配置文件。转到“服务与配置文件”、“热点与门户”,然后选择“Hotspot WISPr”选项卡。创建一个新配置文件。将登录 URL 设置为“外部”,并输入您的 Portal 重定向 URL。将起始页设置为重定向到您的认证后 URL——通常是成功页面或您场所的主页。 现在是 Walled Garden。这是工程师最常犯错的地方。Walled Garden 定义了访客在认证前可以访问哪些域名和 IP 地址。您需要包含您的 Portal 域名、您的 Portal 加载资源的任何 CDN 或资产域名,以及标准的操作系统 Captive Portal 检测端点。在 SmartZone 中,支持使用星号加点格式的通配符——因此 *.purple.ai 涵盖了所有 subdomains。您还需要 Apple 的 Captive Portal 检测域名(captive.apple.com) and Google 的连接性检查端点,以防止 CNA 微型浏览器在 iOS 和 Android 设备上出现异常。 一个容易忽略的关键步骤。默认情况下,SmartZone 会对重定向 URL 中传递给外部 Portal 的 MAC 地址和 IP 地址进行加密。Purple 需要看到实际的客户端 MAC 地址才能执行基于 MAC 的会话管理。您必须通过 CLI 禁用此功能。通过 SSH 登录到您的 SmartZone,进入配置模式,并运行:no encrypt-mac-ip。这是一个简单的命令,但如果您跳过它,它将成为一个硬性阻碍。 北向接口是另一个必不可少的部分。这是一个 API,允许 Purple 与 SmartZone 进行通信,以便在认证后授予或拒绝访问。在“系统管理”、“外部服务”、“WISPr 北向接口”下启用它。设置用户名和密码,并将这些凭据提供给 Purple。NBI 在用于 HTTP 的 TCP 端口 9080 和用于 HTTPS 的 9443 上运行——确保您的防火墙允许从 Purple 的 IP 范围到这些端口的入站连接。 最后,创建您的 WLAN。将认证类型设置为 Hotspot WISPr,选择您的 Portal 配置文件,并分配您的 RADIUS 认证和计费服务。如果 Purple 需要特定值,将 NAS ID 设置为“用户定义”,将 Called Station ID 设置为“AP MAC”,并启用“单会话 ID”。 对于 Unleashed,其架构有着本质的不同——它是一个分布式的无控制器模型。配置位于“管理与服务”、“服务”、“热点服务”。步骤大致相似——创建热点服务、配置您的外部 Portal URL、设置您的 AAA 认证服务器、添加您的 Walled Garden 条目——但有两个关键区别。Unleashed 中不需要北向接口。并且默认情况下不应用 MAC 地址加密,因此您不需要 CLI 命令。Unleashed 的 Walled Garden 也接受域名级条目,而不是完整的通配符语法。 现在让我们转向使用 802.1X 的 Secure Staff WiFi。这是一种完全不同的认证模型。员工设备不依赖 Captive Portal,而是使用可扩展身份验证协议 (EAP) 直接进行认证。企业环境中最常用的方法是 PEAP-MSCHAPv2(用户输入其 Active Directory 凭据)或 EAP-TLS(设备出示证书)。Purple 的 SecurePass 插件与 Microsoft Entra ID、Okta 和 Google Workspace 集成,作为此流程的 RADIUS 后端。 在 SmartZone 上,创建一个新的 WLAN 并将认证类型设置为 802.1X EAP。在 AAA 设置下,指向您的 RADIUS 服务器——即 Purple 的 SecurePass 端点。与访客流程的关键区别在于,您还要在此处配置动态 VLAN 分配。当 Purple 的 RADIUS 服务器返回 Access-Accept 时,它包含三个 IETF 标准属性:Tunnel-Type 设置为 VLAN,值为 13;Tunnel-Medium-Type 设置为 IEEE-802,值为 6;以及 Tunnel-Private-Group-ID 包含 VLAN ID 字符串——例如,员工 VLAN 的 20。SmartZone 读取这些属性并动态标记员工的流量,将其分配到正确的 VLAN,无论他们连接到哪个 AP。这就是动态 VLAN 引导,它使得单个 SSID 能够为具有不同网络访问策略的多个用户角色提供服务。 在 WLAN 高级设置中启用 AAA Override,以确保 SmartZone 处理 RADIUS 返回的 VLAN 属性。如果不勾选该复选框,即使 RADIUS 服务器发送了正确的属性,动态分配也无法工作。 第三个使用场景是使用 Ruckus Dynamic PSK (DPSK) 的多租户隔离。这是一种 Ruckus 专有技术,可在单个 SSID 上为每个用户或租户分配唯一的 WPA2 密码。与每个人都使用相同密码的共享 PSK 不同,DPSK 意味着租户 A 拥有唯一的 62 字符密钥,租户 B 拥有不同的密钥,依此类推。每个密钥都绑定到特定的 VLAN,因此租户 A 的流量进入 VLAN 101,租户 B 的流量进入 VLAN 102——实现完全隔离,无共享密码风险,并且可以立即撤销而不影响其他租户。 这在联合办公空间、长租公寓住宅楼、学生公寓和多租户零售园区中特别强大。Purple 通过 SmartZone API 与 Ruckus DPSK 集成,以实现密钥配置的自动化——当在 Purple 中入驻新租户时,系统会自动生成一个 DPSK,将其绑定到正确的 VLAN,并自动交付给租户。 要在 SmartZone 上配置 DPSK:导航至 WLAN,添加一个新的 WLAN,并在“安全”下将方法设置为 Dynamic PSK。将 DPSK 长度设置为 62 个字符以获得最大熵。在 VLAN 下,启用 Per-DPSK VLAN 分配。然后使用 SmartZone API 或 DPSK management 界面为每个租户创建单独的密钥,每个密钥映射到其自己的 VLAN ID。在 Unleashed 上,可以在“WiFi 网络”、“高级选项”、“Dynamic PSK”下找到相同的功能。 DPSK3 是 WPA3 变体,提供更强的基于 SAE 的加密。如果您的 AP 设备群支持 WPA3(目前所有 Ruckus R 系列 AP 都支持),则 DPSK3 是新部署的首选。 让我介绍两个实际的实施场景,以说明这三个使用场景是如何结合在一起的。 第一个场景:一家拥有 250 间客房的酒店。该物业在整个场所运行带有 R750 接入点的 Ruckus SmartZone。他们需要三种网络类型:用于酒店客房客人的 Guest WiFi、用于前台和后台员工的 Secure Staff WiFi,以及用于智能客房控制和闭路电视的 IoT 网络。 访客 WLAN 使用与 Purple 集成的 WISPr Captive Portal 流程。访客连接后,被重定向到品牌化的 Purple Portal,通过电子邮件或社交登录进行认证,并进入 VLAN 10。Portal 采集第一手数据——电子邮件、营销同意书、住宿偏好——这些数据直接导入酒店的 CRM。Purple 的分析仪表板向酒店展示了哪些楼层的连接率最高、高峰使用时间以及回头客率。Premier Inn 在其英国物业中部署了这种模式,并看到与 WiFi 体验直接相关的访客满意度评分有了显著提高。 员工 WLAN 针对 Purple 的 SecurePass 使用 802.1X。员工通过 PEAP-MSCHAPv2 使用其 Active Directory 凭据进行认证。前台员工进入 VLAN 20,可以访问物业管理系统。后台员工进入 VLAN 21,仅能访问人力资源和排班系统。VLAN 分配完全由 Purple 返回的 RADIUS 属性驱动——无需手动配置端口。当员工离职时,其帐户将在 Microsoft Entra ID 中被禁用,并且所有物业的访问权限将立即被撤销。 IoT WLAN 使用静态 PSK,隔离在 VLAN 30 上,并启用了客户端隔离。智能温控器、门锁和闭路电视摄像头都位于此处,与访客和员工流量完全隔离。 第二个场景:一个拥有 15 家租户公司的联合办公空间。这就是 DPSK 真正发挥作用的地方。运营商在三个楼层运行 Ruckus Unleashed。每个租户公司都会获得一个绑定到其自身 VLAN 的唯一 DPSK。租户 A 的 20 名员工都使用相同的 DPSK-A 密码,但该密码对租户 A 是唯一的,且仅映射到 VLAN 101。租户 B 使用 DPSK-B,映射到 VLAN 102。租户在网络层彼此完全隔离。当租户离开时,运营商在 SmartZone 中(或通过 Purple 的管理界面)撤销其 DPSK,仅此而已。其他租户不受影响,无需更改 SSID,也无需在整栋建筑中重置密码。 Purple 的多租户管理层位于其上,为联合办公运营商提供了一个单一的仪表板,以管理所有 15 个租户的入驻、访问撤销和使用分析。 现在让我介绍最常见的故障模式以及如何避免它们。 第一:Walled Garden 配置错误。如果您的 Portal 页面在重定向后无法加载,首先要检查的是您的 Portal 页面引用的所有域名是否都在 Walled Garden 中。现代 Portal 页面从多个 CDN 域名、分析脚本和社交登录 SDK 加载资源。如果其中任何一个在认证前被拦截,页面将无法加载或加载不完整。在连接到访客 SSID 的测试设备上使用浏览器的开发者工具,以识别哪些请求被拦截。Purple 为 SmartZone 和 Unleashed 提供了文档化的 Walled Garden 列表——将其作为您的基准,并在其上添加任何特定于场所的域名。 第二:NBI 连接问题。如果访客可以看到 Portal 并进行认证,但始终无法访问互联网,可能的原因是 SmartZone 无法接收来自 Purple 的 NBI 回调。检查从 Purple 的 IP 范围到 SmartZone 管理 IP 的入站 TCP 端口 9080 和 9443 是否已开放。还要验证您配置的 NBI 凭据是否与 Purple 记录的凭据一致。 第三:缺少 no encrypt-mac-ip 命令。这是最常见的 SmartZone 特有陷阱。如果 Purple 正在接收重定向请求,但无法将该会话与 MAC 地址匹配,这几乎肯定就是原因。这是一个单行的 CLI 修复,但很容易被忽略,因为它没有在 GUI 中显现出来。 第四:未针对动态 VLAN 启用 AAA Override。如果员工在 802.1X 上成功认证,但全部进入了相同的默认 VLAN,而不是其特定于角色的 VLAN,请检查 WLAN 高级设置中是否启用了 AAA Override。这是通知 SmartZone 采纳 RADIUS 服务器返回的 VLAN 属性的开关。 第五:DPSK VLAN 未传播。如果 DPSK 用户正在进行认证但未进入正确的 VLAN,请验证 WLAN 设置中是否启用了 Per-DPSK VLAN 分配,并且连接到 AP 的交换机端口是否配置为承载所有 DPSK VLAN 的 Trunk 端口。如果交换机端口是 Access 端口,VLAN 标记将被剥离。 现在,解答在每次 Ruckus-Purple 部署中都会被问到的三个快速问题。 我是否需要为 Guest WiFi 使用专用 VLAN?是的,始终需要。将访客流量隔离在专用 VLAN 上。如果您的场所在同一网络上处理刷卡支付,这既是安全要求,也是 PCI DSS 合规性考虑。在访客 WLAN 上启用客户端隔离,以防止访客设备之间相互通信。 我可以在 Ruckus One(云管理平台)上使用 Purple,而不是 SmartZone 吗?可以。配置路径有所不同——它位于 Ruckus One 门户中的“WiFi 网络”、“访客接入”设置下——但 Walled Garden 和 RADIUS 配置原则是完全相同的。 Purple 是否支持 SmartZone 多区域部署?是的。Purple 的集成可以处理多区域 SmartZone 环境,您可以将 Portal 配置范围限定到单个 SmartZone 实例中的各个区域,以适用于不同的场所或楼层。 总结一下。Ruckus 和 Purple 的集成涵盖了三个不同的使用场景,每个场景都有自己的配置模型。Guest WiFi 使用基于 WISPr 的 Captive Portal 流程——五个关键配置点:端口 1812 和 1813 上的 RADIUS(带有备份服务器)、带有外部登录 URL 的 Hotspot WISPr 配置文件、使用通配符条目且范围正确的 Walled Garden、no encrypt-mac-ip CLI 命令,以及启用了正确凭据的北向接口。 Secure Staff WiFi 使用 802.1X EAP,并通过 RADIUS 属性进行动态 VLAN 引导——关键的启用项是 WLAN 高级设置中的 AAA Override。 多租户隔离使用 Ruckus DPSK——每个租户拥有唯一的密钥,每个密钥绑定到专用 VLAN,具有即时撤销和零共享密码风险。 正确掌握这三种模式,您就拥有了一个网络架构,它可以从 Unleashed 上拥有 50 间客房的独立酒店扩展到 SmartZone 上拥有 5,000 个座位的体育场,并且上面运行着相同的 Purple 平台,提供统一的分析、符合 GDPR 的数据采集和集中式访问管理。 如果您正在计划使用 Purple 进行 Ruckus 部署,技术入驻团队可以引导您完成上线前清单,并在上线前验证您的配置。Purple 平台还提供有关 Portal 加载时间、认证成功率和会话数据的实时分析——让您能够在访客发现问题之前捕获这些问题。 感谢收听。我们下期再见。

header_image.png

执行摘要

在企业场所部署高性能无线网络需要无缝的用户体验与强大的技术安全之间保持微妙的平衡。对于运行 CommScope Ruckus 架构的组织(从高密度体育场和会议中心到庞大的零售物业和酒店集团)而言,网络是数字互动的首要网关。本指南为将 Ruckus SmartZone、ZoneDirector 和 Unleashed 控制器与 Purple 云平台进行集成提供了权威的技术指南。我们详细介绍了使用 WISPr Captive Portal 重定向部署 Guest WiFi、通过 802.1X 动态 VLAN 引导保护员工网络,以及使用 Ruckus Dynamic Pre-Shared Keys (DPSK) 实现多租户网络隔离所需的具体配置步骤。通过遵循这些与厂商无关的最佳实践,IT 团队可以实现自动化的网络分段,确保符合 PCI DSS 等标准,并安全地采集第一手数据。

技术深度解析

CommScope Ruckus 硬件与 Purple 之间的集成依赖于行业标准的认证协议和安全的 API 通信。该架构支持三种不同的部署模型,每种模型都服务于场所内的特定用户群体。

Guest WiFi 架构 (WISPr)

对于零售和酒店业的公共接入网络,Ruckus 利用了无线互联网服务提供商漫游 (WISPr) 协议。当访客连接到开放的 SSID 时,Ruckus 控制器会拦截其初始 HTTP 请求,并向 Purple 的外部 Captive Portal 发出 HTTP 302 重定向。访客通过有意识选择的加入机制(例如电子邮件或社交身份提供商)进行认证。成功认证后,Purple 通过北向接口 (NBI) 与 Ruckus 控制器进行通信,以授权 MAC 地址并授予互联网访问权限。

architecture_overview.png

Secure Staff WiFi (802.1X 与动态 VLAN)

员工设备需要一种截然不同的方法。企业环境不依赖 Captive Portal,而是使用 802.1X 认证。设备使用 EAP-TLS(基于证书)或 PEAP-MSCHAPv2(基于凭据)协议直接针对 Purple 的 RADIUS 基础设施进行认证。

这里的关键组件是动态 VLAN 引导。当 Purple 的 RADIUS 服务器返回 Access-Accept 消息时,它包含三个特定的 IETF 标准属性:

  • Tunnel-Type(属性 64):设置为 VLAN(值 13)
  • Tunnel-Medium-Type(属性 65):设置为 IEEE-802(值 6)
  • Tunnel-Private-Group-ID(属性 81):包含 VLAN ID 字符串(例如,员工为 "20")

Ruckus SmartZone 控制器读取这些属性并动态标记用户的流量,无论他们连接到哪个物理接入点,都将其放入正确的隔离网络分段中。

多租户隔离 (Ruckus DPSK)

对于联合办公空间、学生公寓和多住户单元 (MDU) 等环境,广播数十个 SSID 会导致严重的信道干扰。Ruckus Dynamic Pre-Shared Key (DPSK) 通过在单个共享 SSID 上为每个租户分配唯一的 WPA2/WPA3 密码解决了这一问题。

每个 DPSK 都绑定到特定的 VLAN。当居民连接时,控制器使用其唯一的密钥来认证设备并将其分配到其私有 VLAN 中。Purple 通过 API 集成自动执行此过程,在租户迁入和迁出时生成和撤销密钥,从而消除了与传统共享密码相关的安全风险。

dpsk_configuration_guide.png

实施指南

本节概述了将 Purple 与 Ruckus SmartZone 控制器集成所需的具体配置步骤。Unleashed 的步骤大致相似,但省略了北向接口要求。

1. 配置 RADIUS AAA 服务器

  1. 导航至 服务与配置文件 > 认证
  2. 创建一个新的 AAA 服务器配置文件,并将服务协议设置为 RADIUS。
  3. 输入您的 Purple 管理控制台中提供的主服务器 IP 和共享密钥。
  4. 将认证端口设置为 1812。
  5. 服务与配置文件 > 计费 下重复此过程,将端口设置为 1813。

2. 配置 Hotspot WISPr 配置文件

  1. 导航至 服务与配置文件 > 热点与门户 > Hotspot (WISPr)
  2. 创建一个新配置文件,并将登录 URL 设置为 外部
  3. 输入您的 Purple Captive Portal 重定向 URL。
  4. 定义您的 Walled Garden。这至关重要。您必须在认证前允许访问 Purple 的域名。SmartZone 支持通配符(例如 *.purple.ai)。您还必须包含 captive.apple.com 以管理 iOS Captive Network Assistant (CNA) 行为。

3. 禁用 MAC 地址加密(关键步骤)

默认情况下,SmartZone 会对重定向 URL 中传递的 MAC 和 IP 地址进行加密。Purple 需要原始 MAC 地址来进行会话管理。您必须通过 CLI 禁用此功能:

enable
config
no encrypt-mac-ip
exit

4. 启用北向接口 (NBI)

  1. 导航至 系统管理 > 外部服务 > WISPr 北向接口
  2. 启用该服务并配置用户名和密码。
  3. 将这些凭据提供给 Purple。确保您的 防火墙允许来自 Purple IP 地址范围的端口 9080 (HTTP) 和 9443 (HTTPS) 的入站 TCP 流量。

5. 创建 WLAN

  1. 创建一个新的 WLAN,并将认证类型设置为 Hotspot (WISPr)
  2. 选择之前配置的 Hotspot 配置文件和 AAA 服务器。
  3. 对于 802.1X 员工网络,在高级设置中启用 AAA Override,以确保处理动态 VLAN 属性。

最佳实践

为确保部署的稳健与安全,请遵循以下行业标准建议:

  • 隔离访客流量: 始终将访客 WiFi 置于专用 VLAN 中,并启用客户端隔离。如果您的场所在同一物理基础设施上处理支付,这是满足 PCI DSS 合规性的强制性要求。
  • 标准化 VLAN ID: 在多个场所部署动态 VLAN 引导时,请确保您的 VLAN 编号方案在全球范围内保持一致(例如,VLAN 20 始终代表员工)。命名不一致会导致认证失败。
  • 实施 RADIUS 回退机制: 在控制器上配置关键 VLAN 或回退机制。如果主 RADIUS 服务器无法访问,设备应降级到受限的仅限互联网的 VLAN,以维持基本连接。
  • 在新部署中使用 DPSK3: 如果您的 Ruckus 硬件支持 WPA3,请部署 DPSK3 而不是传统的 DPSK,以受益于基于 SAE 的加密。

故障排除与风险规避

在集成外部 Captive Portal 和 RADIUS 服务时,工程师通常会遇到以下故障模式:

  • Portal 无法加载: 这几乎总是由于 Walled Garden 配置错误引起的。现代 Portal 从多个 CDN 和身份提供商加载资源。请使用浏览器开发者工具识别被拦截的请求,并将所需的域名添加到您的 SmartZone Walled Garden 中。
  • 认证成功但无法访问互联网: 这表明北向接口(Northbound Interface)发生故障。SmartZone 未收到来自 Purple 的授权回调。请验证您的 NBI 凭据,并检查防火墙日志中 TCP 端口 9080/9443 的丢包记录。
  • 动态 VLAN 分配失败: 如果 802.1X 用户认证成功但落入默认 VLAN,请检查 WLAN 设置中是否启用了 AAA Override。否则,SmartZone 将忽略 Purple 返回的 Tunnel-Private-Group-ID 属性。

投资回报率(ROI)与业务影响

将 Ruckus 基础设施与 Purple 集成,可将标准的无线网络转化为可衡量的业务资产。

对于零售和酒店场所,Captive Portal 可以捕获经过验证的第一方数据,从而推动忠诚度计划的增长并实现精准营销。英国一家大型连锁酒店报告称,在部署 Ruckus 和 Purple 后,宾客满意度得分提高了 40%。

对于 IT 运维,动态 VLAN 引导和 DPSK 自动化极大地减少了手动配置开销。无需在租户离开时管理静态交换机端口或重置共享密码,访问控制实现了集中化和自动化,从而降低了安全风险并减少了支持工单。

关键定义

WISPr

无线互联网服务提供商漫游。一种行业标准协议,无线控制器使用该协议来拦截 HTTP 流量并将用户重定向到外部 Captive Portal。

这是 Ruckus 硬件上所有公共 Guest WiFi 部署的基础架构。

Northbound Interface (NBI)

Ruckus SmartZone 控制器上的一个 API,允许外部平台发送授权命令。

在用户成功完成 Captive Portal 登录后,Purple 需要此接口来授予用户互联网访问权限。

Walled Garden

在网络认证之前,允许设备访问的域名和 IP 地址白名单。

对于允许未认证的访客加载 Captive Portal 页面、其关联图像以及社交登录提供商至关重要。

Dynamic PSK (DPSK)

一种 Ruckus 专有技术,可在单个共享 SSID 上为个人用户或组分配唯一的 WPA2/WPA3 密码。

广泛用于多租户环境(多住户单元 MDU、联合办公空间),以在不增加 SSID 数量的情况下提供安全的网络隔离。

Dynamic VLAN Steering

根据 802.1X 认证期间返回的 RADIUS 属性,自动将设备分配到特定网络分段 (VLAN) 的过程。

允许 IT 团队使用单个“Staff” SSID,同时在网络层安全地隔离人力资源、财务和前台流量。

AAA Override

无线控制器上的一种配置设置,强制接入点应用 RADIUS 服务器返回的策略(如 VLAN ID)。

必须在 Ruckus WLAN 上启用,动态 VLAN 引导才能正常工作。

Client Isolation

一种安全功能,可防止连接到同一无线网络的设备之间直接进行通信。

公共 Guest WiFi 网络强制执行的安全控制措施,旨在防止点对点攻击并确保合规性。

Captive Network Assistant (CNA)

内置于移动操作系统(如 iOS 和 Android)中的微型浏览器,当检测到 Captive Portal 时会自动弹出。

工程师必须通过 Walled Garden 管理 CNA 行为,以确保移动用户获得流畅的登录体验。

应用实例

一家拥有 250 间客房的酒店需要在其 Ruckus SmartZone 基础设施上部署三个不同的网络:一个公共访客网络、一个可访问物业管理系统的安全员工网络,以及一个用于智能温控器的隔离 IoT 网络。

IT 团队配置了三个 WLAN。“Guest-WiFi” WLAN 使用 Hotspot (WISPr) 认证并重定向到 Purple 的 Captive Portal,在启用客户端隔离的情况下将用户分配到 VLAN 10。“Staff-Secure” WLAN 针对 Purple SecurePass 使用 802.1X EAP 认证;RADIUS 服务器返回 Tunnel-Private-Group-ID = 20,从而将员工动态引导至内部 VLAN。“IoT-Devices” WLAN 使用绑定到 VLAN 30 的静态 WPA2 PSK,并通过防火墙规则进行限制,使其仅能与温控器控制服务器通信。

考官评语: 该架构正确应用了最小特权原则。通过为员工利用动态 VLAN 引导,酒店避免了广播多个特定于部门的 SSID,从而在减少信道占用的同时,保持了 PCI DSS 合规性所需的严格网络分段。

一家联合办公空间运营商管理着一栋拥有 15 家不同租户公司的建筑。他们需要为每家公司提供安全、隔离的无线接入,而无需广播 15 个独立的 SSID。

运营商部署了 Ruckus Unleashed,并使用 Dynamic PSK (DPSK) 安全机制配置了单个“Tenant-WiFi” WLAN。在控制器中,他们启用了 Per-DPSK VLAN 分配。15 家租户公司中的每一家都会获得一个独特的 62 字符密码。当租户 A 的员工使用其特定密钥连接时,控制器会自动将其流量分配到 VLAN 101。租户 B 的员工使用不同的密钥并进入 VLAN 102。

考官评语: 这是 Ruckus DPSK 的最佳使用场景。它在网络层提供了企业级隔离,同时通过仅广播一个 SSID 来保持射频环境的整洁。它还消除了共享密码的安全风险,因为撤销租户 A 的访问权限只需删除单个密钥,而不会影响其他 14 家公司。

练习题

Q1. 您在与 Purple 集成的 Ruckus SmartZone 控制器上配置了 Guest WiFi 网络。连接测试设备时,出现了 Purple Captive Portal 页面,但徽标图像丢失,且“使用 Facebook 登录”按钮无法工作。最可能的原因是什么?

提示:考虑设备在成功认证之前具有哪些网络访问权限。

查看标准答案

Walled Garden 配置错误。托管徽标图像的域名(例如 CDN)和 Facebook 认证服务器尚未添加到 Walled Garden 白名单中,因此 SmartZone 控制器在认证前拦截了这些请求。

Q2. 一位网络工程师正在部署用于员工接入的 802.1X。Purple RADIUS 服务器正确返回了 VLAN 20 的 `Tunnel-Private-Group-ID` 属性。然而,当员工连接时,他们被分配到了分配给 WLAN 的默认 VLAN。您该如何解决这个问题?

提示:控制器正在接收 RADIUS 指令,但选择忽略它们。

查看标准答案

您必须在 SmartZone 控制器上 WLAN 的高级设置中启用“AAA Override”。如果不启用此设置,控制器将不会应用 RADIUS 服务器返回的动态 VLAN 属性。

Q3. 一个联合办公空间希望为 10 家不同的公司提供安全的 WiFi。他们目前广播 10 个独立的 SSID,这导致了严重的信道干扰。由于许多设备是共享打印机或智能电视,他们无法使用 802.1X。推荐的 Ruckus 架构是什么?

提示:寻找一种无需企业证书或凭据即可提供唯一加密密钥的解决方案。

查看标准答案

在单个 SSID 上实施 Ruckus Dynamic PSK (DPSK)。向每个租户公司发放唯一的 DPSK,并配置控制器将每个 DPSK 绑定到特定的 VLAN。这消除了 SSID 膨胀,提供了网络隔离,并支持打印机等无头设备。

继续阅读本系列

Allied Telesis 接入点与 Purple WiFi 集成

本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。

阅读指南 →

Grandstream GWN Access Points Integration with Purple WiFi

本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 和分析平台进行集成。它涵盖了 Grandstream Captive Portal 配置、RADIUS AAA 设置、围墙花园(walled garden)设置、带有动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分——为大规模部署访客和员工 WiFi 的 MSP 及 IT 团队提供可操作的逐步指导。

阅读指南 →

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本指南详细介绍了 Cisco WLC 和 Catalyst 9800 无线网络与 Purple 的分步集成,涵盖了通过中央 Web 认证(CWA)实现的 Guest WiFi captive portal 重定向、使用 802.1X EAP-TLS 的安全员工 WiFi,以及使用 Cisco 身份预共享密钥(iPSK)和动态 VLAN 分配的多租户隔离。本指南适用于在酒店、零售和大型公共场所部署 Cisco 基础设施的企业网络架构师和 IT 安全总监。

阅读指南 →