Alcatel-Lucent OmniAccess Stellar 與客用 WiFi：使用 Purple 設定 Captive Portal

歡迎來到 Purple 技術簡報。今天我們將介紹 Alcatel-Lucent Enterprise OmniAccess Stellar 與 Purple WiFi 的整合。本簡報適用於需要部署安全、具擴充性且智慧型無線網路的 IT 經理、網路架構師以及場域營運總監。 讓我們從背景脈絡開始。您有一個場域，可能是一家飯店、零售連鎖店或體育場。您已經投資了 ALE OmniAccess 硬體，現在您需要從該基礎架構中提取商業價值。您需要收集第一方數據、安全地進行使用者分群，並提供無縫的登入體驗。這就是 Purple 雲端重疊網路的發揮之處。 Purple 在全球超過 80,000 個營運場域中運作，並在 2024 年處理了超過 4.4 億次登入。它與硬體無關，這意味著它位於您現有的 ALE 基礎架構之上，不需要更換任何硬體。整個驗證與數據收集邏輯都託管在 Purple 雲端中。 此整合的核心依賴 RADIUS。當訪客進入您的場域並連線至開放的 Guest WiFi SSID 時，ALE AP 會攔截其網路流量。AP 不會讓他們直接連上網際網路，而是將他們的瀏覽器重導向至 Purple 託管的 Captive Portal。這就是您的登入頁面。您可以在此展示您的品牌、收集電子郵件地址，或提供透過 Facebook、LinkedIn 或 Google 的社群媒體登入。 使用者提交詳細資料後，Purple 雲端 RADIUS 伺服器會對其進行驗證，並將 Access-Accept 訊息傳回 ALE AP。接著 AP 會解除防火牆規則並授予網際網路存取權限。整個流程不超過三秒。 現在，讓我們深入探討技術細節。我們實際上要如何配置？ 首先，您需要在 OmniVista 或 Stellar 管理介面中配置 RADIUS 伺服器設定。您需要輸入 Purple RADIUS IP 位址，將驗證連接埠設定為 1812，並將計費連接埠設定為 1813。至關重要的是，確保啟用 RADIUS 計費，且間隔設定為 300 秒。這會將工作階段數據傳回 Purple，以用於分析與合規性記錄。 接下來是圍牆花園 (Walled Garden)。這在許多部署中常造成困擾。在使用者通過驗證之前，他們無法存取網際網路，但他們必須能夠連至 Purple 入口網站才能登入。您必須在驗證前存取清單中，將 Purple 網域加入白名單。核心網域為 region1.purpleportal.net、venuewifi.com 以及 cloudfront.net。如果您使用 Facebook 或 LinkedIn 登入，也必須將其網域加入白名單。如果 Walled Garden 設定錯誤，Captive Portal 將無法載入，毫無懸念。 對於 SSID 配置，請建立一個新的無線網路，將安全性等級設定為 Open，並啟用外部 Captive Portal 選項。將重導向 URL 指向您特定的 Purple 登入頁面 URL，您可以在 Purple 入口網站的場域硬體設定中找到此網址。 讓我們進入一個更進階的情境：多租戶 WiFi。想像一個共享辦公空間或學生宿舍，您有多個租戶需要自己安全、隔離的網路。您不希望廣播 20 個不同的 SSID，因為這會破壞您的 RF 效能並帶來糟糕的使用者體驗。 解決方案是 PPSK（Private Pre-Shared Keys）結合動態 VLAN 導向。您廣播一個安全的 SSID，但每個租戶都會獲得一個唯一的密碼。當租戶 A 輸入其密碼時，ALE AP 會將該請求發送到 Purple RADIUS 伺服器。Purple 識別該密碼、對使用者進行身分驗證，並傳回 Access-Accept 訊息。 但這裡是最重要的部分。該訊息包含特定的 RADIUS 屬性。Tunnel-Type 的屬性 64，設定為 13 表示 VLAN。Tunnel-Medium-Type 的屬性 65，設定為 6 表示乙太網路。以及屬性 81，即 Tunnel-Private-Group-ID，其中包含實際的 VLAN ID。ALE AP 接收到此資訊並直接將租戶 A 放入 VLAN 30。當租戶 B 使用不同的密碼登入時，他們會進入 VLAN 40。一個 SSID，完全的 Layer 2 隔離。這就是實務中的身分導向網路（Identity-Based Networking）。 讓我們來看一個真實世界的範例。一家擁有 200 間客房的飯店在其現有的 ALE OmniAccess Stellar AP 上部署了此架構。他們需要將飯店房客、後勤工作人員和一樓餐廳作為三個完全獨立的網路區段進行服務。他們沒有部署三個 SSID，而是使用 PPSK 搭配動態 VLAN 導向。結果是單一 SSID、三個隔離的 VLAN，且與先前多 SSID 的方法相比，管理開銷顯著減少。 現在讓我們討論實作建議和常見陷阱。 第一，保持與硬體無關的設計。在 Purple 中建立您的策略，而不是在本地控制器上。這使您以後可以擴充或更換硬體廠商，而無需重新從頭建構安全策略。 第二，注意韌體版本。確保您的 ALE AP 執行的韌體明確支援透過 RADIUS 進行動態 VLAN 分配。較舊的 Stellar 韌體版本可能無法完全支援 Tunnel-Private-Group-ID 屬性。在部署前請檢查 ALE 版本說明。 第三，DNS 是您的朋友，也是您的敵人。如果您的 Captive Portal 沒有出現，請先檢查您的 DHCP 範圍。如果用戶端沒有收到有效的 DNS 伺服器，他們就無法解析 Portal URL，整個過程就會停止。這是 Captive Portal 部署中最常見的支援問題。 第四，對於使用 802.1X 的安全員工 WiFi，在大多數環境中請使用帶有 MSCHAPv2 的 PEAP，或在基於憑證的部署中使用 EAP-TLS。Purple RADIUS 伺服器支援這兩者。員工裝置向 Microsoft Entra ID 或 Okta 進行身分驗證，且 RADIUS 伺服器會傳回員工網路區段相應的 VLAN 分配。 讓我們進行快速問答環節。 問題：我可以在零售環境中將此整合用於 PCI-DSS 合規性嗎？ 答：是的。透過使用動態 VLAN 導向，您可以確保銷售點（POS）設備始終置於隔離的 VLAN 上，與訪客流量完全隔離。這符合 PCI-DSS 4.0 的網路分段要求。 問：Purple 是否需要在現場部署硬體設備？ 答：不需要。Purple 是一種雲端覆蓋技術。它透過網際網路上的標準 RADIUS 與您現有的 ALE 硬體直接通訊。無需安裝任何機架硬體。 問：如果無法連線至 Purple 雲端會怎樣？ 答：您可以在 ALE AP 上設定遞補策略。對於訪客網路，您可以允許開放存取作為遞補方案。對於員工網路，請設定全部拒絕的遞補方案以維護安全性。 問：我可以從此整合中收集分析數據嗎？ 答：可以。每個經過驗證的工作階段都會在 Purple 平台中產生一個訪客設定檔。您可以從註冊表單中獲取停留時間、造訪頻率、裝置類型和人口統計數據。這些數據可透過 Purple 超過 400 個連接器的程式庫直接傳送至您的 CRM。 總結今天簡報的關鍵重點： 第一：ALE OmniAccess 與 Purple 的整合使用連接埠 1812 和 1813 上的標準 RADIUS。不需要專有協定。 第二：Walled Garden（圍牆花園）至關重要。如果設定錯誤，Captive Portal 將無法載入。請務必先將 Purple 網域加入白名單。 第三：搭配動態 VLAN 導向的 PPSK 是多租戶環境的正確架構。單一 SSID、不重複的密碼、每個租戶隔離的 VLAN。 第四：RADIUS 屬性 64、65 和 81 是動態 VLAN 分配所需的三個屬性。如果缺少其中任何一個，導向就會失敗。 第五：Purple 與硬體無關。您的策略存在於雲端，而非控制器上。這讓您能夠靈活地在不同的硬體廠商之間進行擴充。 您的下一步是登入您的 Purple 入口網站，導覽至您場域的硬體設定，並取得您專屬的 RADIUS 憑證和 Splash Page URL。然後按照本指南中的設定步驟，將您的 ALE OmniAccess 基礎架構連接到 Purple 雲端。 感謝您收聽本次 Purple 技術簡報。如需更多資訊，請造訪 purple.ai。