跳至主要内容
简体中文

Ubiquiti UniFi 和访客 WiFi:配合 Purple 的 Captive Portal 设置

Ubiquiti UniFi Network 如何与 Purple 访客 WiFi 协同工作:外部门户服务器、控制器授权和围墙花园,并附有指向 Purple 逐步设置指南的链接以进行精确配置。

📖 2 分钟阅读📝 462 📚 5 关键定义

收听本指南

查看播客转录
欢迎来到 Purple 技术简报。我是您的主持人,在接下来的十分钟里,我们将为将 Purple 的 WiFi 智能平台与 Ubiquiti UniFi 网络进行集成提供一份高级指南。这适用于需要切实可行指导以部署世界级访客 WiFi 解决方案的 IT 经理、网络架构师和运营总监。我们将介绍核心架构、分步实施计划以及要避免的常见陷阱。 那么,让我们来看看背景。您拥有一个 UniFi 网络 - 它功能强大且可扩展,但其原生访客门户功能非常基础。您的组织需要的不仅仅是一个密码;它需要智能。您希望了解访客行为,以符合 GDPR 的方式获取用于营销的数据,并提供无缝的、品牌化的用户体验。这就是 Purple 集成所解决的问题。它将您的 UniFi 基础设施从一个简单的互联网提供商转变为丰富的商业智能来源。 此集成的核心在于 UniFi 的外部门户服务器功能。当访客连接时,UniFi 控制器本身并不处理登录。相反,它将用户重定向到 Purple 云平台,由该平台接管整个身份验证过程。在用户通过社交账号、表单或凭证登录后,Purple 会向您的 UniFi 控制器发起安全的 API 调用,指出:“该用户已通过身份验证,请授予其访问权限。” 这是一个简单、强大且高效的架构。 现在进行技术深挖。让我们逐步了解成功部署的五个关键步骤。我会保持简明扼要。 第一步:控制器可达性。您的 UniFi 控制器必须能够被 Purple 的云平台访问。这意味着您需要一个静态公网 IP 或主机名,并且必须在防火墙上配置端口转发规则。对于软件控制器,它是 TCP 端口 8443,对于 UDM Pro 或 Cloud Key Gen2 等硬件,则是端口 443。 第二步:访客 SSID。在您的 UniFi 网络应用程序中,您将创建一个新的无线网络。这里的关键设置是安全协议必须为 Open(开放)。这是不容商榷的。正是这种开放状态才允许发生 Captive Portal 重定向。不用担心 - 安全性是由门户和网络隔离处理的,而不是由预共享密钥处理的。 第三步:热点门户。在这里,您将告诉 UniFi 使用 Purple。您将启用热点门户,并将身份验证类型设置为外部门户服务器。然后,您将输入 Purple 提供的特定 IP 地址和访问域名。这里要避免的一个关键错误是启用 HTTPS 重定向。Purple 会管理安全性,因此应禁用此功能。 第四步:Walled Garden。这是配置中最关键且最常被误解的部分。Walled Garden 是您的预认证白名单。您必须添加 Purple 的所有域名,以及您希望提供的任何社交登录提供商的域名,例如 facebook.com。如果此列表不完整,Portal 页面将无法为您的访客加载。这是排查故障时首先需要检查的地方。 第五步:Purple Portal。最后,您登录到您的 Purple 帐户。在您的场馆设置中,您需要输入 UniFi 控制器的公共地址,非常重要的一点是,还要输入专用本地管理员帐户的凭据,而不是您的 Ubiquiti 云帐户。正是这些凭据允许 Purple 进行关键的 API 调用以授权访客。 遵循这五个步骤,您就拥有了一个强大且企业级的访客 WiFi 解决方案。 让我们来谈谈实施建议和常见陷阱。最佳实践第一条:网络隔离。您的访客 SSID 必须在独立的 VLAN 上,与您的企业网络完全隔离。为了安全性和 PCI-DSS 合规性,这是不可逾越的红线。第二,使用带宽限制。UniFi 允许您设置单用户速率限制。使用它们来确保每个人都能获得公平的体验。第三,正如我所提到的,为 API 使用专用的本地管理员帐户。这能降低您的安全风险。 我们看到最常见的陷阱是重定向失败 - Portal 页面无法加载。十有八九是因为 Walled Garden 设置不完整。第二大常见问题是登录成功,但无法访问互联网。这直接指向 Purple 与您的控制器之间的通信失败。请检查您的端口转发规则以及 Purple Portal 中的管理员凭据。 现在进入快速问答时间。我经常被问到:我可以使用 UDM Pro 来做这个吗?是的,完全可以。过程完全相同,只需记住使用端口 443 即可。如果我的控制器 IP 发生变化怎么办?您需要一个静态 IP 或动态 DNS 主机名。如果地址发生变化,集成将会中断。开放式 SSID 的安全性如何?安全性是通过接入点上的客户端隔离和 VLAN 防火墙规则强制执行的。访客网络是隔离的。为了获得更高的安全性,我们可以部署带有 RADIUS 的 WPA3 企​​业版,这就是我们 Purple 解决方案所做的工作。 简而言之,将 Purple 与 UniFi 集成可将您的访客 WiFi 从一项简单的工具提升为战略资产。它提供了深度的商业智能、强大的营销能力和专业的用户体验。成功的关键在于有条不紊的配置方法:确保公共控制器访问、使用开放的 SSID、正确配置外部门户和 Walled Garden,并为 API 使用专用的本地管理员。通过遵循本指南,您可以确保部署顺利、成功且极具价值。如需详细的分步书面说明和图表,请参阅我们网站上的完整技术参考指南。感谢您收听 Purple 技术简报。

Ubiquiti UniFi 接入点由 UniFi Network 控制器运行,无论该控制器是位于 Dream Machine、CloudKey 还是您自己的服务器上。Purple 在其上添加了访客层:访客看到的 Captive Portal、登录流程以及您收集的第一方数据。它不会取代您的任何 UniFi 设备。

Ubiquiti UniFi 如何与 Purple 访客 WiFi 协同工作

Purple 是一个云端覆盖层。您的 UniFi Network 控制器继续运行 WiFi;Purple 则通过 UniFi 已有的功能来运行访客体验。

  • 外部门户服务器:在 UniFi 的 Hotspot Manager 中,您将落地页指向 Purple,而不是 UniFi 内置的页面。新设备会被重定向到您的 Purple 引导页面,访客登录后,控制权将返回给 UniFi。
  • 控制器授权:Purple 通过直接与您的 UniFi Network 控制器通信来授权每个访客,这需要使用其公共地址和您为此创建的专用控制器登录账号。如果控制器无法公开访问,则可以通过端口转发来实现该连接。
  • 围墙花园 (Walled garden):UniFi 的预授权规则允许在访客登录之前加载引导页面以及任何支付或社交登录步骤。

对于再次光顾的访客,UniFi 的 SecurePass (Passpoint) 选项添加了由 RADIUS 支持的安全加密连接,因此已知用户无需再次登录即可重新连接。

这就是整个模式:UniFi 传输数据包并管理无线电,Purple 则掌握登录和数据。因为它是基于标准的外部 Web 身份验证和 RADIUS 运行,所以在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 上的工作方式完全相同。Purple 在设计上是与硬件无关的。

您需要准备什么

  • 具有管理员访问权限的 UniFi Network 控制器(位于 Dream Machine、CloudKey 或您自己的服务器上)。
  • 已设置好引导页面和登录流程的 Purple 场所。
  • 专用的 UniFi 控制器登录账号和控制器的公共地址,以便 Purple 能够授权访客。

使用 Purple 进行设置

Purple 支持指南中逐步记录了具体设置、外部门户服务器地址、Hotspot Manager 落地页选项、预授权域名、将 Purple 链接到控制器的场所设置(Venue Settings)以及可选的 SecurePass 配置,并提供了要输入的准确值。

Ubiquiti UniFi Network 设置指南

请按照该指南进行配置。本页面解释了各部分是如何组合在一起的,以便您了解每个步骤的作用。

您将获得什么

一旦访客通过 Purple 登录,每次访问都会变成经过验证、自主选择加入的第一方数据:谁访问过、访问频率如何以及如何在获得许可的情况下与他们取得联系。这就是仅连接用户的 WiFi 与构建您专属营销受众的 WiFi 之间的区别。Purple 符合 GDPR 要求并已通过 ISO 27001 认证,在超过 80,000 个活跃场所中实现了 99.999% 的在线率。

关键定义

Captive Portal

访客在上网前看到的登录页面。Purple 托管并运行该页面;UniFi 将设备重定向到该页面。

Purple 在您的 UniFi WiFi 之上添加的访客体验层。

外部门户服务器

一项 UniFi 设置,可将未通过身份验证的设备发送到外部托管的登录页面,而不是 UniFi 内置的页面。

UniFi 的热点管理器如何将访客转交至 Purple 闪屏页面。

控制器授权

Purple 通过其公共地址并使用专用登录信息与您的 UniFi Network 控制器进行通信,以授权每个访客会话。

Purple 如何让已登录的访客在 UniFi 上网。

围墙花园

设备在登录前可以访问的简短允许地址列表。

允许在预认证阶段加载闪屏页面、支付和社交登录。

SecurePass (Passpoint)

一种由 RADIUS 支持的加密 WiFi 连接,可让已知用户重新连接而无需再次登录。

针对回头客的可选安全级别。

继续阅读本系列

Zyxel Nebula 与访客 WiFi:配合 Purple 设置 captive portal

了解 Zyxel Nebula Cloud 接入点如何与 Purple 访客 WiFi 协同工作:通过外部 captive portal、RADIUS 和 walled garden 进行配合,并提供指向 Purple 逐步设置指南的链接,以完成准确的配置。

阅读指南 →

DrayTek Vigor 与访客 WiFi:配合 Purple 设置 Captive Portal

DrayTek Vigor 路由器如何配合 Purple 访客 WiFi 工作:外部 captive portal、RADIUS 和 walled garden,并附带指向 Purple 逐步设置指南的链接以完成准确配置。

阅读指南 →

WatchGuard Wi-Fi Cloud AP and guest WiFi:使用 Purple 设置 Captive Portal

WatchGuard Wi-Fi Cloud 接入点(从 WatchGuard Cloud 管理)如何与 Purple 访客 WiFi 协同工作:具有 RADIUS 身份验证和围墙花园(walled garden)的外部 Splash 页面,并附有指向 Purple 逐步设置指南的链接以进行精确配置。

阅读指南 →