Zyxel Nebula 与访客 WiFi：配合 Purple 设置 captive portal

了解 Zyxel Nebula Cloud 接入点如何与 Purple 访客 WiFi 协同工作：通过外部 captive portal、RADIUS 和 walled garden 进行配合，并提供指向 Purple 逐步设置指南的链接，以完成准确的配置。

📖 2 分钟阅读📝 405 字📚 5 关键定义

收听本指南

查看播客转录

欢迎来到 Purple 技术简报系列。我是您的主持人，今天我们将介绍一个面向 IT 经理和网络架构师的关键部署场景：将 Zyxel Nebula Cloud 和 USG Flex 防火墙与 Purple WiFi 集成。如果您正在跨连锁酒店、零售物业或多租户环境部署访客 WiFi，本期内容将非常适合您。让我们直接进入架构分析。

首先，为什么要进行这种集成？Zyxel 提供了强大的硬件，而 Nebula 提供了集中式云端管理。但是，当您大规模部署 WiFi 时——例如跨 50 个零售分店或拥有 200 间客房的酒店——您需要的不仅仅是基础的连接。您需要结构化的认证流程、符合合规的数据捕获以及动态网络分段。这就是 Purple 的用武之地。我们通过 RADIUS 和外部 Captive Portal 重定向与 Zyxel 集成，以提供基于身份的网络。

让我们逐步了解 Zyxel Nebula 上的核心配置。该过程从您的 SSID 设置开始。您导航至“全站”、“配置”、“接入点”，然后进入“SSID 高级设置”。在这里，您启用外部 Captive Portal URL。您将输入 Purple 门户中提供的特定 Purple 重定向 URL。但仅靠重定向是不够的；您还必须配置 Walled Garden。

Walled Garden 定义了访客设备在认证前可以访问哪些域名。这是一个常见的误区。您必须将 Purple 门户域名、任何资产 CDN 以及标准的操作系统 Captive Portal 检测端点加入白名单。在 Nebula 中，您需要逐行添加这些域名。如果遗漏了某个域名，Splash 页面将无法正常加载，您的访客就会被卡住。

接下来，我们配置 RADIUS 服务器。在“SSID 高级设置”中，您选择带有“我的 RADIUS 服务器”的 WPA2 企业级认证，或根据您的流程配置基于 MAC 的认证。您输入 Purple RADIUS IP 地址，将认证端口设置为 1812，计费端口设置为 1813，并输入共享密钥。请务必配置备份 RADIUS 服务器以确保高可用性。

现在，让我们讨论一个更高级的场景：使用 Zyxel 私有预共享密钥（即 PPSK）进行多租户分段。在学生公寓或联合办公空间等环境中，您希望使用单个 SSID，但需要隔离每个租户的流量。Zyxel PPSK 允许您向每个用户分配唯一的 WiFi 密码。当他们连接时，Nebula 控制器会根据该密码动态地将他们分配到特定的 VLAN。您可以在“云端认证”下通过选择 DPPSK 并分配相应的 VLAN ID 来配置此功能。它减少了 SSID 开销并显著提高了安全性。

USG Flex 防火墙该如何配置？如果您在本地运行网关，必须确保您的防火墙规则和区域策略与您的无线段保持一致。您通常需要为 Guest、Staff 和 Multi-Tenant 流量创建专用区域。Guest 区域必须仅具有出站互联网访问权限，并配有阻止访问 LAN 或 DMZ 区域的严格规则。

让我们来看看实施建议和常见问题。我们最常见的问题是 Walled Garden 配置错误。如果访客连接后看到空白页面，请检查您的白名单。使用浏览器开发人员工具来识别被阻止的 CDN 请求。第二个问题是 RADIUS 超时。确保您的上行防火墙允许 UDP 端口 1812 和 1813 出站到 Purple 云平台。

接下来进入快速问答环节。

问题一：我需要为 Guest WiFi 设置专用 VLAN 吗？
回答：需要。请始终将访客流量隔离在专用 VLAN 上。如果您的场所在相同的物理基础设施上处理支付，则这是 PCI-DSS 合规性所强制要求的。

问题二：我可以在没有 Nebula 的情况下将 Purple 与 Zyxel 独立 AP 一起使用吗？
回答：可以，但在每个 AP 上单独管理 RADIUS 和门户设置效率较低。我们强烈建议使用 Nebula 控制中心进行集中管理。

问题三：Purple 如何处理 MAC 地址随机化？
回答：Purple 依赖于 Zyxel 控制器通过 RADIUS 计费提供的 MAC 地址。虽然设备会针对每个网络随机化 MAC 地址，但它们会在您的特定 SSID 中保留相同的 MAC 地址，从而在他们访问期间保持会话持久性。

总结一下：将 Zyxel Nebula 与 Purple 集成需要精确配置外部 Captive Portal URL、全面的 Walled Garden 以及准确的 RADIUS 设置。对于多租户场所，可利用 Zyxel PPSK 进行动态 VLAN 引导。正确配置这些元素，您就能提供安全、可扩展的 WiFi 体验，并捕获宝贵的一方数据。

如果您正在规划部署，请查看完整的技术指南以获取分步说明和架构图。感谢收听，我们下期技术简报再见。

Zyxel Nebula 接入点通过 Nebula Control Centre 进行云端管理。Purple 在此之上添加了访客体验层：包括访客看到的 splash page、登录流程以及您收集的第一手数据。它不会替代您的任何 Zyxel 设备。

Zyxel Nebula 如何与 Purple 访客 WiFi 协同工作

Purple 是一个云端覆盖网络。您的 Nebula 接入点负责继续运行 WiFi；Purple 则通过 Nebula 已支持的两项标准机制来运行访客体验。

外部 captive portal。 在 Nebula Control Centre 中，您将 SSID 的 captive portal 指向 Purple，而不是直接授予访问权限。新设备将被重定向到您的 Purple splash page，访客完成登录后，控制权将返回给 Nebula。
RADIUS。 Nebula 会通过标准端口（用于认证的 1812 端口和用于计费的 1813 端口）向 Purple 的 RADIUS 服务验证每次登录。计费数据正是为您提供访客分析的核心基础。

walled garden 是指设备在登录前可以访问的一个简短的允许地址范围列表，它能让 splash page 正常加载，并完成任何支付或社交登录步骤。

这就是完整的运行模式：Nebula 负责移动数据包，Purple 负责登录和数据。由于它基于标准的外部 Web 认证和 RADIUS 运行，因此其工作方式在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 上完全相同。Purple 在设计上是不受硬件限制的。

您需要准备什么

通过 Nebula Control Centre 进行管理且拥有管理员权限的 Zyxel Nebula 接入点。
已设置好 splash page 和登录流程的 Purple 场所。
来自 Purple 控制面板的 Purple RADIUS 详细信息和 walled garden 范围。

配合 Purple 开启设置

具体的设置参数（包括外部 captive portal URL、RADIUS 认证和计费服务器以及 walled garden 范围）已在 Purple 的支持指南中逐步记录，并提供了需要输入的精确值。

Zyxel Nebula Cloud AP 设置指南

请按照该指南进行配置。本页面旨在解释各个环节如何相互配合，以便您了解每个步骤的作用。

您的收获

一旦访客通过 Purple 登录，每次访问都会转化为经过验证、有意识选择加入的第一手数据：包括谁访问了、访问频率如何，以及如何在获得许可的情况下与他们取得联系。这就是能够连接用户的 WiFi 与能够帮您建立专属营销受众群体的 WiFi 之间的区别。Purple 符合 GDPR 标准并获得 ISO 27001 认证，在超过 80,000 个活跃场所中实现了 99.999% 的在线率。

关键定义

Captive portal

访客在上网前看到的登录页面。由 Purple 托管和运行；Nebula 将设备重定向至该页面。

Purple 在您的 Nebula WiFi 之上添加的访客体验层。

External captive portal

一项 Nebula 设置，可将未认证的设备发送到外部托管的登录页面，并在访客登录后恢复连接。

Nebula 如何将访客引导至 Purple splash page。

RADIUS

一种用于检查登录和记录会话数据的标准协议，使用端口 1812（认证）和 1813（计费）。

Nebula 如何针对 Purple 验证每个访客并提供分析数据。

Walled garden

设备在登录前可以访问的简短允许地址范围列表。

允许在预认证阶段加载 splash page、支付和社交登录。

Nebula Control Centre

Zyxel 用于管理 Nebula 接入点的云端控制面板，包括 captive portal 和 RADIUS 设置。

配置 Zyxel Nebula 接入点的地方。