WatchGuard Wi-Fi Cloud AP and guest WiFi：使用 Purple 设置 Captive Portal

欢迎来到集成简报。今天我们将介绍 WatchGuard Firebox 和接入点与 Purple WiFi 的集成。这是一本面向 IT 经理、网络架构师和场所运营总监的技术指南，旨在帮助他们部署安全、可扩展的无线基础设施。我们将重点讨论访客 WiFi Captive Portal、使用 802.1X 的安全员工 WiFi，以及使用 WatchGuard 专用预共享密钥（即 PPSK）的多租户细分。让我们直接进入背景介绍。 在管理复杂的场所（例如体育场、大型零售中心或多住宅单元）时，您需要精确控制谁可以访问网络以及连接后的操作权限。您还需要收集第一方数据以推动营销收入。WatchGuard 提供统一的安全平台和硬件，Purple 提供云端覆盖、身份管理和分析。通过将两者集成，您可以实现基于身份的访问控制自动化。您无需再使用独立的访客和员工网关，从而减少了硬件支出并简化了管理。Purple 目前为超过 80,000 个活跃场所提供服务，仅在 2024 年就处理了 4.4 亿次登录，因此该平台足以应对您可能管理的任何场所的规模需求。 让我们进入技术深层解析。该架构依赖于标准的 RADIUS 协议和 HTTP 重定向。我们有三个主要的访问层级。首先是访客 WiFi。这是一个开放的 SSID。WatchGuard AP 拦截 HTTP 请求，并将用户重定向到 Purple 托管的登录页面。其次是员工 WiFi。这是一个使用 802.1X 的安全 WPA3-Enterprise SSID。设备使用 EAP-TLS 或 PEAP 直接向 Purple 的 RADIUS 服务器进行身份验证。第三是多租户 WiFi。这使用 WatchGuard PPSK。多个用户连接到同一个 SSID，但每个人都使用唯一的密码。WatchGuard AP 向 Purple 的 RADIUS 服务器发送查询，然后由该服务器根据该特定密钥动态分配 VLAN。 那么，我们如何配置访客 WiFi Captive Portal 呢？第一步是在 WatchGuard Cloud 或 Firebox Policy Manager 中设置 RADIUS 服务器。您将主 RADIUS 服务器指向您所在地区的 Purple IP 地址。身份验证使用端口 1812，计费使用端口 1813。您输入 Purple 提供的共享密钥，并且至关重要的一点是，确保 NAS ID 与 Firebox 或 AP 的 MAC 地址相匹配。这会让 Purple 知道请求来自哪个场所。 第二步是 Captive Portal 重定向本身。在 SSID 设置中，您选择“带 RADIUS 身份验证的第三方托管 Captive Portal”。您输入 Purple 登录页面 URL，并输入 Portal 共享密钥。这是在 Purple Analyze 仪表板中生成的特定密钥，用于创建 HMAC 摘要以验证身份验证请求。HMAC-SHA1 算法可确保来自 Purple 的身份验证成功消息是真实的，且在传输过程中未被篡改。 第三步是 Walled Garden，这也是许多部署遇到障碍的地方。如果您未配置此项，设备将无法加载登录页面。您必须在登录前允许访问 star dot mypurple dot com、api dot mypurple dot com 和 cdn dot mypurple dot com。如果您使用的是 Microsoft Entra ID 或 Google Workspace 等社交登录，您也需要添加这些身份提供商域名。将 Walled Garden 想象为身份验证前的游乐场。没有它，访客甚至无法到达前门。 现在，让我们看看使用 WatchGuard PPSK 的多租户隔离。如果您管理着一个包含 15 家商铺的零售中心，广播 15 个不同的 SSID 是一种很糟糕的方法。这会造成同频干扰，拥堵空中信道，并带来管理开销。PPSK 优雅地解决了这个问题。您广播一个 SSID，例如 Centre-Retail。您在 WatchGuard SSID 设置中启用 Private Pre-Shared Key，这要求您的 WatchGuard 接入点固件版本为 2.6 或更高。在 Purple 中，您为每个租户创建唯一的密钥。 要隔离流量，您需要使用动态 VLAN 分配。在 WatchGuard Cloud 中，您将 VLAN 设置为由 RADIUS 分配的动态 VLAN。当商铺使用其特定密钥连接设备时，接入点会向 Purple 的 RADIUS 服务器发送一个 Access-Request。Purple 验证该密钥并返回一个包含三个重要 IETF RADIUS 属性的 Access-Accept 数据包：Tunnel-Type（属性 64），设置为 VLAN；Tunnel-Medium-Type（属性 65），设置为 802；Tunnel-Private-Group-ID（属性 81），设置为分配的 VLAN ID，例如零售租户 A 的 VLAN 100。然后 WatchGuard 接入点将该设备放入 VLAN 100 中，与其他租户完全隔离。这就是实践中的基于身份的网络（Identity-Based Networking）。 让我们讨论一下实施建议和常见陷阱。第一，会话超时。在 Purple 和 WatchGuard 中配置严格的会话超时以强制重新验证身份。这可以保持您的分析数据准确，并确保过期会话不占用带宽。将您的 RADIUS Interim-Update 间隔设置为 10 分钟。第二，固件。您必须确保您的 WatchGuard 接入点运行的固件版本为 2.6 或更高版本以支持 PPSK。较早的固件版本不支持此功能。第三，MAC 随机化。现代设备默认会随机化其 MAC 地址。对于您安全的员工 WiFi 网络，请指导您的员工针对该特定 SSID 禁用此功能，以确保稳定的 802.1X 身份验证。MAC 随机化可能会导致身份验证失败和分析数据不一致。 当出现问题时该怎么办？如果 Captive Portal 无法加载，请先检查 Walled Garden。如果设备无法解析 DNS 或无法访问 Purple 服务器，它将显示超时错误，而不是 Splash 页面。如果 VLAN 转向失败，并且客户端从错误的 VLAN 获取了 IP，请检查 Purple 门户中的 RADIUS 日志。确保 Tunnel-Private-Group-ID 属性作为字符串格式化正确，并与连接到 AP 的交换机端口上实际存在的 VLAN 相匹配。如果您在 WatchGuard 日志中看到 HMAC 摘要错误，说明您的 Captive Portal 共享密钥在 WatchGuard 和 Purple 之间不匹配。它在两个系统中必须完全一致，字符对字符。 下面是快速问答时间。问：我可以在同一个 SSID 上使用 PPSK 和 Captive Portal 吗？答：不能。WatchGuard 不支持在同一个 SSID 上同时运行通过 PPSK 的动态 VLAN 和 Captive Portal。您需要一个 SSID 用于门户，另一个独立的 SSID 用于 PPSK。请相应地规划您的 SSID 架构。问：如果 RADIUS 服务器未返回 PPSK 用户的 VLAN ID，会发生什么？答：在 WatchGuard Cloud 中，您可以配置“未分配客户端”备用选项。您可以将它们放入未标记的 VLAN 或特定的隔离检疫 VLAN 中，以确保它们不会获得公司网络的访问权限。务必配置此备用选项以避免意外访问。 总之，将 WatchGuard Firebox 与 Purple 集成，可为您提供一个统一的平台，用于管理访客、员工和多租户网络的安全、身份和分析。您可以对访客使用外部 Captive Portal 重定向，对员工使用 802.1X，对多租户环境使用带有动态 VLAN 的 PPSK。其投资回报率（ROI）非常明显：您通过整合网关降低了硬件成本，通过单一云平台简化了管理，并通过 Purple Captive Portal 捕获一手数据来推动收入。您的下一步是检查您当前的 SSID 架构，确保您的 WatchGuard 固件版本在 2.6 或更高版本，并开始在 Purple 门户中配置您的 RADIUS 设置。感谢您的收听。