讓您的 Cisco Meraki 無線基地台與像 Purple 這樣的平台無縫協作,不僅僅是插上電源那麼簡單。這關乎先建立起穩固的基礎。部署不僅僅是硬體,它是一個雲端管理的生態系統,為您的訪客和員工奠定安全、基於身分存取的基石。
為 Meraki 與 Purple 整合奠定基礎
在您考慮設定 SSID 或讓使用者連線之前,整個專案的成功取決於做好準備工作。我一次又一次地看到:部署停滯不前,或遇到奇怪、難以診斷的瓶頸。幾乎每一次,根本原因都是忽略了一些關鍵的前提條件。
這就像是打地基。急於求成是日後給自己帶來挫敗感和問題的最快途徑。
驗證授權與韌體
您的第一步是 Meraki 管理平台。絕對要檢查的第一件事是您的授權。有效且啟用的授權是讓您的基地台與 Meraki 雲端進行通訊的關鍵——沒有它,您將無法設定或監控任何內容。這是不可妥協的。
同樣至關重要的是您基地台上的韌體。Meraki 定期推送更新,這些更新不僅僅是修補安全漏洞,還能啟用新功能。為了讓 Purple 正常運作,您的 AP(例如常見的 MR44 或 MR56 型號)必須執行相容的韌體版本。這才能解鎖先進的功能,例如 OpenRoaming ,以及針對英國部署,存取擁擠程度較低的 UNII-3 頻道,這在擁擠的區域可能是扭轉局勢的關鍵。
常見的錯誤是假設全新硬體配備了最新的韌體。在您調整任何其他設定之前,請務必在管理平台中排定維護時間,以檢查並更新您的 AP。
規劃網路拓撲與防火牆規則
一旦您解決了授權與韌體問題,就該看看您的網路架構了。我見過無數因這裡規劃不當而導致的頭痛問題,例如訪客裝置從內部員工 DHCP 伺服器取得 IP 位址。從一開始就使用 VLAN 進行適當的網路區隔,以將訪客流量與您的企業網路隔離,這是至關重要的。
此流程圖顯示了準備 Meraki 無線基地台設定的基本順序。

遵循這條路徑——驗證授權、整理防火牆以及更新韌體——是在最常見的設定問題發生之前,將其消除的最可靠方法。
最後,您需要設定網路防火牆,以允許您的 Meraki 設備與 Purple 的雲端服務進行通訊。這意味著要建立允許流量至特定主機名稱和連接埠的規則。如果沒有設定這些規則,來自 Captive Portal 或 RADIUS 伺服器的驗證請求將會失敗,使用者也將無法連線。這是一個簡單的步驟,但令人驚訝的是,它經常被遺漏。
對於希望讓這一切變得更簡單的人,您可以 進一步瞭解 Meraki 的自動佈署 ,它直接在 Purple 入口網站中處理許多這些初始任務。在這些基礎上多花一點時間,將使您的部署更流暢、更安全,並為即將進行的更進階配置做好準備。
配置 Meraki SSID 以實現安全的訪客與員工存取

既然我們已經完成了基礎工作,現在是時候建立使用者將要連線的實際無線網路了。一個成功的 wireless access point meraki 部署取決於為不同群體建立不同的 SSID。這不僅僅是給它們不同的網路名稱,而是要打造具有各自安全姿態、完全獨立的體驗。
讓我們繼續以精品酒店的情境為例。酒店需要一個無摩擦、開放的網路供訪客使用,以及一個高度安全、免密碼的網路供處理從預訂到銷售點系統等所有事務的員工使用。我們將在 Meraki 儀表板中設定兩個 SSID,以滿足這些完全不同的需求,並將這兩者與 Purple 整合以管理存取和身份。這種隔離是您的第一道防線,也是邁向穩固網路隔離的關鍵一步。
建立安全的員工網路
對於員工來說,主要目標是完全擺脫密碼。共用金鑰是安全噩夢,也是管理上的頭痛問題。相反地,我們將建立一個使用 WPA2-Enterprise 與憑證驗證的 SSID,全部透過 Purple 進行管理,並串接至像 Entra ID 這樣的目錄服務。
首先,進入您的 Meraki 儀表板並導覽至 Wireless > Configure > SSIDs。選擇一個未使用的 SSID 插槽並將其啟用。
- SSID 名稱: 在這裡,清晰的命名慣例至關重要。像
HotelStaff_Secure這樣的名稱可以立刻讓您知道其用途和適用對象。 - 安全性:選擇
WPA2-Enterprise with my RADIUS server。這是關鍵。您需要將其指向 Purple 帳戶中的 RADIUS 詳細資訊,該帳戶將處理身分驗證。 - Splash Page:請確保將其設置為
None。驗證是由使用者的裝置憑證處理,而非透過網頁入口網站。
透過此設定,員工的網路存取權限會直接與其在您公司目錄中的身分連結。如果他們離職且其帳戶在 Entra ID 中被停用,他們的網路存取權限將立即且自動被切斷。無需再忙著更改密碼。
這種基於憑證的方法有效地消除了傳統密碼,使您的組織朝著零信任安全模型邁進。這比在本地伺服器上管理預先共用金鑰或個別使用者帳戶是顯著的升級。
建立無縫的訪客網路
對於訪客來說,首要任務完全相反:極其簡單且容易的連線。在這裡,我們將使用一個帶有 Captive Portal 的開放式 SSID,將使用者引導至 Purple 進行驗證。這使飯店能夠收集寶貴的訪客數據(當然是在他們同意的情況下),並提供專業、具備品牌形象的登入流程。
返回 SSID 設定頁面,為您的訪客網路取得另一個可用的插槽。
- SSID 名稱:使其顯而易見且具吸引力。
HotelGuest_WiFi是一個常見且有效的選擇。 - 安全性:選擇
Open (no encryption)。這為嘗試上網的訪客消除了任何初始障礙。 - Splash Page:這是訪客體驗中最重要的設定。選擇
Click-through或Sign-on with...,並將其指向您 Purple Captive Portal 的自訂 URL。
當訪客連線時,他們的裝置將自動被重定向到此入口網站。從那裡,他們可以使用社群媒體帳戶、表單或您在 Purple 中設定的任何其他方法進行登入。這個過程不僅為他們提供了網際網路存取權限,還為飯店提供了用於行銷和改善訪客體驗的第一方數據,同時確保符合數據保護法規。
訪客與員工 SSID 設定一覽
為了更加清晰,以下是我們如何處理這兩個截然不同的網路的快速比較。
透過在您的 wireless access point meraki 硬體上部署這兩個獨立的 SSID,您可以建立一個既方便訪客使用、又對內部營運極其安全的網路。最棒的是,這一切都透過單一的集中式雲端控制面板進行管理。
啟用 OpenRoaming 啟動次世代連線

雖然 Captive Portal 是與訪客互動的絕佳起點,但現在是時候跳脫簡單登入的思維了。我們的目標應該是從功能性的互動,提升為真正無縫的體驗。這正是 OpenRoaming 發揮作用的地方,它將您的訪客 WiFi 從一次性的連線轉變為持久、安全且自動的連線。
想像一下,訪客只要在您的場所連線過一次。當他們再次光臨,甚至拜訪同個城市或另一個國家的其他合作商家時,他們的手機就會自動連線,完全不需要動動手指。這就是基於 Passpoint 技術的 OpenRoaming 威力所在。它實質上為您的訪客提供了一張全球 WiFi 護照,而且在您搭配 Purple 的 wireless access point meraki 網路上運作起來極其簡單。
在 Purple Portal 中啟用 OpenRoaming
您的旅程將從 Purple 門戶網站開始。您將在此處指示我們的平台開始廣播 OpenRoaming 功能,只需點擊幾下即可啟動。
在您的 Purple 帳戶中,只需導航至您要啟用的場域或群組。您會在網路的管理區段下找到 OpenRoaming 設定。
- 首先,啟用該場域的 OpenRoaming 服務。
- 接下來,選擇您要支援的驗證類型。
- 最後,將其連結到您先前設定的訪客 SSID。
這個簡單的動作會指示 Purple 開始為啟用 Passpoint 的裝置產生所需的設定檔和憑證。實際上,Purple 扮演著信任經紀人的角色,在全域 OpenRoaming 聯盟中為您的網路提供擔保。
透過啟用 OpenRoaming,您從根本上改變了訪客 WiFi 的價值主張。它從一項簡單的便利設施轉變為無摩擦、加密的服務,從第一個數據包開始就能培養忠誠度並增強安全性。
為 Passpoint 設定您的 Meraki SSID
在 Purple 準備就緒後,最後一塊拼圖是設定您的 Meraki 訪客 SSID 以宣告這些新功能。這涉及在您的 Meraki 儀表板中啟用稱為 802.11u 的特定設定,這是一項 IEEE 標準,允許存取點在裝置連線之前提供有關網路的資訊。
回到您的 Meraki 儀表板並找到您設定的訪客 SSID。
- 前往 Wireless > Configure > Access control。
- 找到您訪客 SSID 的 "Network access" 區段。
- 將關聯要求從 "Open" 變更為 Open (with WPA2-Enterprise)。這看似奇怪,但這正是實現安全 Passpoint 握手的原因。
- 開啟 Hotspot 2.0 / Passpoint 選項。
- 按照您的 Purple 設定指南指示,選擇適當的營運商和設定。
儲存這些變更後,您的 Meraki 存取點將開始廣播相容 Passpoint 的裝置所需的資訊,以便透過 OpenRoaming 探索並自動連線到您的網路。您可以閱讀我們的詳細指南,以 進一步了解 OpenRoaming 的運作方式 。
此設定對於極度注重訪客體驗的零售與餐旅業而言,堪稱一大變革。Cisco Meraki 在此領域佔有舉足輕重的地位,在採用無線硬體的英國客戶互動平台企業中,其市佔率高達 4.48%。這得益於其在雲端管理網路領域的主導地位,該公司在該領域掌握了大部分的營收與裝置管理市佔率,這顯示出有多少場所將能從此技術中受益。您可以在 ZoomInfo 上查看更多關於 Cisco Meraki 的市場定位資訊。透過在您的 wireless access point meraki 網路啟用此功能,您就能接入一個能讓您的場所脫穎而出的強大生態系統。
整合目錄服務以實現零信任員工身分驗證
共用員工 Wi-Fi 密碼是極大的安全隱憂,也是管理上的惡夢。現在是時候擺脫這種做法了。現代方法是採用零信任安全模型,而實現此目標的方法就是將您的目錄服務直接與您的 wireless access point meraki 網路整合,並由 Purple 協調整個流程。
這意味著將您已在使用的平台(如 Entra ID、Google Workspace 或 Okta)進行連線。其結果是,系統會完全根據使用者在中央目錄中的狀態,自動授予或撤銷網路存取權限。這完全省去了對繁雜、昂貴的地端 RADIUS 伺服器的需求,讓頂級安全性變得既易於取得又易於管理。
採用憑證型驗證
此零信任策略的核心是憑證型驗證。每位員工的裝置都會獲得一個專屬的數位憑證,而不是密碼。將其視為他們進入您安全員工 SSID 的數位護照。當他們連線時,其裝置會出示此憑證,Purple 會立即向您的目錄服務驗證該憑證。
這整個過程對使用者而言是隱形的。對他們來說,這是一個完全無縫、自動的連線,無需記住密碼,也無需登入任何入口網站。對於您的 IT 團隊來說,這是一次巨大的安全性升級。
此設定最強大的部分是自動撤銷存取權限。在您停用或刪除 Entra ID 中的使用者的那一刻,其憑證就會失效。他們的網路存取權限會立即被切斷,您無需進行任何手動清理工作。
這種緊密的整合填補了巨大的安全漏洞,而這些漏洞通常在員工離職後仍會存在很長時間。為了更深入了解此處運作的安全模型,您可以深入閱讀我們詳細指南中關於 802.1X 驗證的諸多優勢 。
簡化您的 RADIUS 設定
傳統上,要達到這種安全級別意味著需要設置和維護一台專用的地端 RADIUS 伺服器,這是一項以複雜性和需要持續維護而聞名的任務。有了雲端管理解決方案,情況就不再如此了。Purple 本質上成為了您的雲端 RADIUS 提供商,簡化了整個工作流程。
在您的 Meraki 儀表板中,您只需將您的 WPA2-Enterprise 員工 SSID 指向我們提供的 RADIUS 詳細資訊。Purple 會處理與您的目錄服務(無論是 Entra ID 還是 Okta)的所有通訊。無需修補伺服器,沒有命令列帶來的煩惱,您的機房中也不會存在單點故障。
這種雲端優先的方法是 Cisco Meraki 在英國保持強大地位的重要原因。市場分析顯示了強勁的增長軌跡,在關鍵時期,市場價值的年增長率達到 12.14% 左右。像 Purple 這樣的合作夥伴整合透過提供零信任存取而無需承受傳統 RADIUS 的痛苦來放大這一價值,從而提高了從零售到醫療保健等行業的效率。
使用 iPSK 處理舊型裝置
當然,並非您網路上的每個裝置都足夠智慧,能夠進行 802.1X 驗證。我們指的是條碼掃描器、舊型網路印表機或專用 IoT 感測器等裝置。這些裝置通常無法處理數位憑證,但您不能直接將它們留在開放網路上。
這是 身分識別預先共用金鑰 ( iPSK ) 的完美使用案例。這是在舊技術與現代安全標準之間建立橋樑的聰明方法。
以下是詳細說明:
- 每台裝置的唯一金鑰: 您無需為所有「無螢幕(headless)」裝置使用同一個密碼,而是可以透過 Purple 為每台裝置生成唯一的金鑰。
- 個人身分識別: 每把金鑰都與特定裝置綁定,因此您擁有完全的可視性。您將清楚知道網路上哪個掃描器或印表機對應哪台裝置。
- 安全隔離: 您可以將這些裝置連接到標準的 WPA2-Personal SSID,但仍能套用特定的網路策略或將它們分配到各自的 VLAN,使其與您的企業流量安全地進行區段隔離。
使用 iPSK 可確保您的 wireless access point meraki 網路上的每台裝置都納入管理並安全連接,無論其功能如何。這是一種實用且有效的方法,可以將您的舊型硬體納入零信任架構中,同時又不會犧牲安全性或可視性。
優化網路效能與區段隔離
一旦您配置好了安全的 SSID 和 OpenRoaming 等功能,就是時候深入探究並優化您的網路效能了。設計良好的網路就是高效能的網路,對於任何 wireless access point meraki 部署而言,這意味著必須精通區段隔離與射頻 (RF) 管理。
做好這一點能確保每位使用者都享有快速、穩定的連線,這對於任何依賴 Wi-Fi 進行營運或獲利的場所都至關重要。我見過最常見且最嚴重的錯誤之一,就是讓訪客、員工和 IoT 流量全部混在同一個網路中。這不僅會造成效能瓶頸,更是一個重大的安全風險。我們可以使用虛擬區域網路(VLAN)來解決這個問題,在網路上建立獨立且專用的通道。
使用 VLAN 實作安全的網路分段
健全的網路分段是您維護安全與效能的最佳利器。當您將每個 SSID 分配到其專屬的 VLAN 時,就等於在不同的流量類型之間建立了數位防火牆。這對於防止「橫向移動」至關重要,否則訪客網路上的裝置可能會在網路中窺探並嘗試與您安全的員工網路上的裝置進行通訊。
在 Meraki 儀表板中,我們透過 VLAN 標記來處理此設定。
- 您的訪客 SSID:將其分配給專屬的訪客 VLAN。這會將所有訪客流量導向特定的 IP 子網路,該子網路應具有自己的 DHCP 伺服器,並設有阻止存取任何內部公司資源的嚴格防火牆規則。
- 您的員工 SSID:應將其分配給您的企業 VLAN,使其能夠受信任地存取內部伺服器、印表機和應用程式。
- 您的 IoT SSID(使用 iPSK):這些裝置也需要自己獨立的 VLAN。這能使智慧感測器或數位看板等潛在易受攻擊的裝置,與敏感的企業數據完全隔離。
做好這一點至關重要。我曾看過有些部署,因為 VLAN 設定錯誤,導致訪客裝置意外從企業 DHCP 伺服器取得 IP 位址——這是一個必須避免、簡單卻嚴重的錯誤。
把 VLAN 想像成在您的網路上建立不同且專屬的俱樂部。「訪客俱樂部」的會員不能隨意溜進「員工專用休息室」。這種隔離是安全且井然有序之網路架構的基礎。
當然,再好的無線網路設定也取決於其網際網路連線的品質。確保您擁有 具備 4G 備援的穩定 NBN 連線 始終是明智之舉,以防止任何斷線導致您的 Meraki 網路陷入停擺。
進階 RF 調整與通道規劃
最佳化無線電波與整理數據同樣重要。在購物中心、體育場或飯店等繁忙場所,RF 干擾是導致 Wi-Fi 品質不佳的最大元兇之一。這正是策略性通道規劃與 Meraki RF 設定檔成為必備工具的地方。
Meraki 的 Auto RF 功能在動態調整通道和功率級別以避開干擾方面表現出色。然而,對於高密度的場所,您可以透過建立自訂 RF 設定檔來獲得更細緻的控制。這些設定讓您可以執行設定最低位元速率、停用舊版數據速率(這會降低所有人的速度)以及微調頻段引導以引導更多用戶端使用更快速、更不擁擠的 5GHz 頻段等操作。
對於總部位於英國的部署,最近的一項法規變更改變了遊戲規則。Cisco Meraki 在 ETSI 領域中引入的 UNII-3 通道支援(隨韌體版本 29.1 推出)帶來了變革性的影響。在此之前,英國的站點只能使用四個非 DFS 的 5GHz 通道。現在,支援的 AP 可以使用像 155 這樣的新通道,且不會有 DFS 延遲。
對於場所經理而言,這意味著您的 wireless access point meraki 硬體(例如 MR57-HW 或 CW9162I)現在可以存取更多頻譜,從而大幅提高容量並減少干擾。您可以 在 Meraki 社群論壇上閱讀更多關於英國 UNII-3 更新的資訊 。透過應用這些分段和 RF 最佳化技術,您將把您的配置從基本網路提升至真正的企業級無線體驗。
解答您關於 Meraki 與 Purple 的疑問
當您將 wireless access point meraki 網路與 Purple 這兩個精密的平台結合在一起時,自然會有一些疑問。您的目標是建立一個無縫、安全的體驗,而掌握細節至關重要。
在部署過程中,我們經常從 IT 團隊那裡聽到相同的疑問。因此,我們在此彙整了最常見的問題,為您提供快速、實用的解答,幫助您避開潛在問題並充分發揮您的配置效能。
我可以在現有的 Meraki 基地台使用 Purple 嗎?
是的,您幾乎肯定可以。Purple 經過特別設計,能與絕大多數 Meraki AP 無縫整合。您完全不需要為了開始使用而購買新硬體。
關鍵的要求是您的 Meraki 儀表板擁有正確的授權,且您的基地台正在執行相容的韌體版本。這使它們能夠與外部系統進行通訊,以實現 RADIUS 整合和自訂 Captive Portal 等功能。正如我們之前所提到的,保持韌體更新是解鎖這些進階功能所不可或缺的。
啟用 OpenRoaming 會帶來安全風險嗎?
一個常見的誤解是,因為連線是「自動」的,所以安全性一定較低。事實上正好相反——它顯著提升了安全性。
傳統的開放式訪客網路可能是真正的安全漏洞,但 OpenRoaming 從傳送第一個封包開始,就採用了強大的 WPA2/WPA3-Enterprise 加密技術。驗證過程由受信任的身分識別提供者處理,這意味著使用者流量絕不會透過未加密的通道傳送。這比任何典型的 Captive Portal 登入都安全得多,也專業得多。
當員工離職時,會發生什麼事?
他們的網路存取權會被切斷。立即切斷。這就是將 Entra ID 或 Okta 等目錄服務與 Purple 整合所能獲得的最強大安全性優勢之一。
當您在公司目錄中停用或刪除使用者帳戶時,該變更會立即同步至 Purple。他們的網路驗證憑證會立即失效。他們的裝置再也無法連線到安全的員工 SSID。這是一種零信任方法,解決了因殘留存取憑證而產生的巨大安全漏洞。
如何連線不支援 802.1X 的裝置?
這是一個非常實際的問題。並非您網路上的每台裝置都是現代智慧型手機或筆記型電腦。想想您的網路印表機、條碼掃描器或各種 IoT 感測器。對於這些裝置,我們仰賴 Identity Pre-Shared Keys (iPSK)。
我們在前面詳細介紹過這個功能,它是完美的解決方案。以下快速回顧它運作如此出色的原因:
- 唯一的裝置識別: 您可以直接從 Purple 控制面板為每個特定裝置產生唯一的預先共用金鑰。
- 安全連線: 這些裝置隨後可以安全地連線到標準的 WPA2-Personal SSID,而無需在裝置本身進行任何複雜的設定。
- 保持網路區隔: 至關重要的是,即使使用這種較簡單的連線方式,您仍然可以自動將這些裝置放入其獨立的 VLAN 中,使其遠離敏感的公司流量。
使用 iPSK 意味著您不必為了舊版或無螢幕裝置而妥協安全性。它巧妙地將每件硬體納入您安全、集中管理的 wireless access point meraki 架構中,確保您的網路中沒有任何盲點。
準備好利用身分識別型存取來改造您的網路了嗎?探索 Purple 如何取代密碼、保障您的網路安全,並為每個人提供無縫的連線體驗。 立即探索 Purple 的解決方案 。




