SonicWall 和访客 WiFi：配合 Purple 设置 Captive Portal

SONICWALL TZ 和 SONICWAVE 与 PURPLE WIFI 的集成 Purple WiFi 智能平台 - 技术简报系列 时长：约 10 分钟 配音：英式英语，资深顾问语气 - 自信、口语化、权威 --- 第 1 部分：引言和背景（约 1 分钟） 欢迎来到 Purple 技术简报系列。今天，我们将介绍企业 WiFi 领域中技术较为复杂的集成之一：SonicWall TZ 防火墙和 SonicWave 接入点，并结合 Purple 共同部署，用于访客认证、员工访问控制以及多租户网络隔离。 如果您是 IT 安全工程师，或者是管理酒店、零售连锁、会议中心或综合用途开发项目等场所的 MSP，那么本次简报非常适合您。我们将快速介绍架构、配置步骤以及部署中容易出错的地方。 SonicWall 是中小企业和中端市场市场的强势选择。TZ 系列防火墙应用广泛，SonicWave AP 通过 SonicOS 和 Wireless Network Manager 进行原生集成。当您在之上添加 Purple 时，您将获得一个云端管理的访客 WiFi 层，其中包含品牌定制的展示页面、基于 RADIUS 的认证以及第一方数据捕获 - 所有这一切都无需更换您现有的 SonicWall 基础设施。 让我们深入了解其架构。 --- 第 2 部分：技术深挖（约 5 分钟） 这里需要涵盖四个不同的用例，每个用例都有不同的配置路径。带有 Captive Portal 重定向的访客 WiFi。围墙花园（Walled Garden）例外情况。使用 802.1X 的安全员工 WiFi。以及使用 SonicWall 专用预共享密钥（PPSK）和动态 VLAN 引导的多租户隔离。 让我们从访客 WiFi 和 SonicWall Captive Portal 开始。 SonicOS 使用一种名为轻量级热点消息传递（LHM）的机制来处理外部 Captive Portal 重定向。当访客连接到您的访客 SSID 并打开浏览器时，SonicWall 会拦截该 HTTP 请求并将其重定向到 Purple 的展示页面 URL。访客在 Purple 平台上进行认证 - 通过社交登录、电子邮件或点击同意 - 然后 Purple 会通过 TCP 端口 4043 将 LHM 授权发送回 SonicWall。随后，SonicWall 将为该设备的 MAC 地址开放互联网访问权限。 SonicOS 7.x 中的配置如下。首先，导航至 Object，然后是 Match Objects，接着是 Zones。编辑分配给您访客 WiFi 的区域 - 通常是 WLAN 或自定义区域。在 Guest Services 下，同时启用 "Enable Guest Services" 和 "External Guest Authentication"。然后转到 Configure, Guest Services, General。将 Client Redirect Protocol 设置为 HTTP。输入 Purple 的门户主机名作为 Web 服务器地址 - 即 portal.purple.ai。将重定向路径设置为您场所特定的展示页面 URL，该 URL 由 Purple 在场所控制面板中提供。端口为 4043。在“Auth Pages”选项卡上，将登录 URL 设置为 Purple 的外部门户 URL。如果您想处理会话终止，请设置注销 URL。在“Advanced”选项卡上，仅在需要支持 HTTPS 优先设备时才启用“Allow unauthenticated users to access HTTPS sites” - 但请注意，这会削弱重定向强制执行。 保存后，SonicOS 会自动创建一个 NAT 策略和一条允许 TCP 4043 的 WAN 到 WAN 访问规则。请勿删除这些自动生成的规则。它们是允许 LHM 握手完成的关键。 现在，进行 Walled Garden 配置。 在访客进行身份验证之前，其设备需要访问某些域名才能使 splash 页面正常工作。Purple 的平台依赖于其自身的 CDN 和 API 端点。操作系统的 Captive Portal 检测探测 - 针对 iOS 设备的 captive.apple.com、针对 Android 的 connectivitycheck.gstatic.com 以及针对 Windows 的 msftconnecttest.com - 必须全部加入白名单。如果您提供社交登录，请添加用于 Google 的 accounts.google.com、oauth2.googleapis.com、apis.google.com 和 gstatic.com。如果提供 Facebook 登录，请添加 www.facebook.com、graph.facebook.com、connect.facebook.net 和 fbcdn.net CDN 域名。 在 SonicOS 中，将这些添加为 FQDN 地址对象，路径为“Object”、“Match Objects”、“Addresses”。然后，在访客区域中创建允许未经验证的设备访问这些 FQDN 的访问规则。请使用动态 DNS 解析 - SonicOS 会定期解析 FQDN 对象 - 而不是静态 IP 条目，因为静态 IP 会随着 CDN IP 范围的变化而发生偏移。 接下来，配置基于 802.1X 的安全员工 WiFi。 这就是 SonicWave AP 与 Purple 的 RADIUS 服务器协同工作的地方。SonicWave AP 在 802.1X 交换中充当验证器。客户端是员工设备。Purple 的 RADIUS 服务器是身份验证服务器。您选择的 EAP 方法取决于您的身份验证提供商。如果您使用的是 Microsoft Entra ID 或 Okta，PEAP-MSCHAPv2 是最常用的选择，因为它支持用户名和密码凭据。如果您部署了设备证书 - 这是托管设备的推荐方法 - 请使用 EAP-TLS。 在 Wireless Network Manager 中，导航至“Policies”、“Policy Hierarchy”，选择您的 AP 策略，然后单击“802.1X”选项卡。输入 Purple 的 RADIUS 服务器 IP 地址 - 该地址可在您的 Purple 场所管理面板的 RADIUS 设置部分找到。共享密钥由 Purple 生成，两端必须完全一致。将身份验证端口设置为 1812，将计费端口设置为 1813。对于 EAP 设置，请选择与您的身份验证提供商配置相匹配的方法。 在 Purple 端，创建一个用于员工身份验证的 RADIUS 策略。将员工 SSID 映射到特定 VLAN - 例如，将 VLAN 200 分配给员工。Purple 的 RADIUS 服务器使用三个标准属性返回 VLAN 分配：Tunnel-Type 设置为 VLAN，Tunnel-Medium-Type 设置为 802，Tunnel-Private-Group-ID 设置为 VLAN ID 字符串 - 因此对于 VLAN 200，它将被设置为 "200"。SonicWall 防火墙和 SonicWave AP 会遵守这些属性，并自动将经过身份验证的员工设备放入正确的 VLAN 中。 现在，我们来看架构上最有趣的用例：PPSK 和多租户隔离。 Private Pre-Shared Keys 允许您运行单个 SSID，并为每个租户、居民或用户组分配唯一的密码。当设备使用特定 PPSK 进行连接时，SonicWave AP 会将该密钥发送到 Purple 的 RADIUS 服务器进行验证。Purple 会查找该密钥，识别相关的租户或用户组，并通过 Tunnel-Private-Group-ID 属性返回相应的 VLAN 分配。然后，SonicWall 将该设备引导至正确的 VLAN 中 - 与同一 SSID 上的其他租户完全隔离。 这就是实践中的基于身份的网络（Identity-Based Networking）。您无需为每个租户管理 SSID。您正在为每个租户管理身份。在拥有十个零售单元的混合用途开发项目中，一个 SSID 在整个大楼内广播。每个租户都有自己的 PPSK。每个 PPSK 都映射到专用的 VLAN 和子网。租户 A 的设备永远不会看到租户 B 的流量，即使它们共享相同的物理接入点。 SonicOS 中的 PPSK 配置要求在 SSID 上使用基于 RADIUS 的 PPSK 模式。在 Wireless Network Manager 中，编辑 SSID，将安全模式设置为具有 PPSK 的 WPA2-Enterprise，并将 RADIUS 服务器指向 Purple。Purple 集中授权 PPSK 到 VLAN 的映射表。当您添加新租户时，您在 Purple 中创建一个新的 PPSK，并为其分配一个 VLAN，该更改将传播到该场所中的所有 SonicWave AP，而无需更改防火墙配置。 --- 细分 3：实施建议和常见陷阱（约 2 分钟） 让我为您介绍 SonicWall 和 Purple 部署中最常见的三个问题。 第一：LHM 端口。必须从 WAN 到 SonicWall 的 WAN 接口开放 TCP 4043。如果您的 ISP 或上游防火墙阻止了此端口，则 LHM 授权握手永远无法完成，访客在身份验证后会卡在展示页面上。他们在 Purple 端看到了登录成功，但 SonicWall 永远不会收到授权信号。在上线前，通过从外部 IP 对 4043 端口进行 telnet 或 curl 检查来测试这一点。 第二：FQDN 对象解析计时。SonicOS 在启动时以及以可配置的时间间隔解析 FQDN 地址对象。如果您添加了新的围墙花园域名，而解析尚未刷新，则未经身份验证的设备将无法访问它。在添加新的 FQDN 对象后强制手动刷新，或者在流量高部署中将 DNS 刷新间隔设置为 60 秒。 第三：VLAN 子接口配置。通过 RADIUS 进行的动态 VLAN 分配仅在首台设备进行身份验证之前 SonicWall 上已存在目标 VLAN 作为子接口时才有效。如果 RADIUS 响应返回 Tunnel-Private-Group-ID 110，但 SonicWall 上不存在作为子接口的 VLAN 110，则该设备要么被丢弃，要么回退到默认 VLAN。在启用 RADIUS VLAN 分配之前，请构建并测试所有 VLAN 子接口。 对于管理多个场所的 MSP，Purple 的云端仪表板可让您集中管理 RADIUS 策略、PPSK 表和 splash page 配置。您可以从单个界面将配置更改推送到所有场所。这就是云覆盖方法的运营优势 - SonicWall 硬件保持在原位，而 Purple 处理其上的身份和策略层。 --- 分段 4：快速问答（约 1 分钟） 以下是经常出现的几个问题。 “我可以在独立模式下将 SonicWave AP 与 Purple 一起使用吗？”可以，但您会失去一些功能。在独立模式下，SonicWave AP 在本地管理自己的 RADIUS 配置。您仍然可以将它们指向 Purple 的 RADIUS 服务器进行 802.1X 认证。但对于具有动态 VLAN 分配的 PPSK，您需要 SonicWall TZ 作为 RADIUS 代理，或使用 Wireless Network Manager 集中管理 AP 策略。 “Purple 是否支持 SonicWave 上的 WPA3？”SonicWave 对 WPA3 的支持取决于固件版本和 AP 型号。SonicWave 600 系列 AP 支持 WPA3。对于 Captive Portal 使用场景，带有机遇性无线加密的 WPA3 与 Purple 的 LHM 重定向流程兼容，但在大规模部署之前，请在您的特定固件版本上进行测试。 “Purple 如何处理通过 splash page 收集的访客数据的 GDPR 合规性？”Purple 已通过 ISO 27001 认证、符合 GDPR 并通过了 Cyber Essentials 认证。同意书是在 splash page 上通过可配置的勾选框捕获的。Purple 会根据您的数据保留策略存储第一方数据。访客可以通过 Purple 的自服务门户访问和删除其数据。 “Purple 为动态 VLAN 分配返回哪些 RADIUS 属性？”三个属性：值为 VLAN 的 Tunnel-Type、值为 802 的 Tunnel-Medium-Type，以及将 VLAN ID 作为字符串的 Tunnel-Private-Group-ID。这些是 SonicOS 和 SonicWave 支持的标准 RFC 2868 属性。 --- 分段 5：总结和后续步骤（约 1 分钟） 总结一下。SonicWall TZ 防火墙和 SonicWave AP 通过两种主要机制与 Purple 集成：用于访客 Captive Portal 重定向的 LHM，以及用于 802.1X 员工身份验证和基于 PPSK 的多租户隔离的 RADIUS。关键配置步骤为：在访客区域启用外部访客身份验证、在端口 4043 上配置 Purple 门户 URL、构建您的围墙花园 FQDN 对象、在 Wireless Network Manager 的 SonicWave AP 策略中配置 RADIUS，并在启用动态 VLAN 分配之前在 SonicWall 上创建您的 VLAN 子接口。 对于多租户部署，使用基于 RADIUS 的 VLAN 导向的 PPSK 是理想的架构。单个 SSID、一套 AP，通过基于身份的 VLAN 分配实现完全的租户隔离。 如果您正在规划部署或审查现有部署，Purple 的技术团队可以提供特定场所的 RADIUS 配置文件和围墙花园域名列表。Purple 平台支持 80,000 个活跃场所，并在 2024 年处理了 4.4 亿次登录 - 我们今天介绍的集成模式已在大规模应用中得到验证。 感谢您的收听。包含逐步配置表和 Mermaid 架构图的完整书面指南可在 Purple 网站上获取。 --- 脚本结束