Allied Telesis TQ Series AP 與賓客 WiFi：使用 Purple 設定 captive portal

You are a senior network consultant speaking to a client's IT director in a private briefing. Speak in British English with a confident, authoritative, conversational tone. Measured pace, clear diction. No filler words. Occasional natural pauses for emphasis: 歡迎參加這次關於將 Allied Telesis TQ-Series 基地台與 Purple WiFi 進行整合的技術簡報。我將帶您了解整個部署流程，從訪客 Captive Portal 重新導向，到多租戶 PPSK 隔離。在簡報結束時，您將擁有一份清晰的實作藍圖。 [medium pause] 我們首先來看背景資訊。Allied Telesis 生產 TQ-Series，包括 TQ5403 和 TQ6702 GEN2 WiFi 6 基地台。這些是執行 AlliedWare Plus 韌體的企業級 AP，廣泛部署於餐旅業、零售業和公共部門環境。Purple 是一個與硬體無關的雲端重疊平台，在 80,000 個場所運作，並在 2024 年處理了 4.4 億次登入。這兩個平台之間的整合非常乾淨、符合標準，且已具備生產就緒性。 [medium pause] 現在，大多數 IT 團隊需要設定的第一件事是訪客 Captive Portal 重新導向。Allied Telesis AP 支援三種 Captive Portal 模式：點擊通過、RADIUS 驗證和外部網頁重新導向。對於 Purple 整合，您將使用外部網頁重新導向模式。以下是實際運作方式。 您登入 AP 的裝置 GUI，導覽至 Wireless，選取相關的 VAP，前往進階設定（Advanced Settings），然後選擇安全性（Security）頁籤。將 Captive Portal 設定為外部網頁重新導向（External Page Redirect）。在外部網頁 URL（External Page URL）欄位中，輸入 Purple 控制面板中提供的 Purple 形象頁面 URL。這就是您的訪客在首次連線時會進入的 URL。 [short pause] 此時，AP 會攔截來自每個新用戶端的第一個 HTTP 或 HTTPS 封包，並將該流量重新導向至您的 Purple 形象頁面。訪客透過 Purple 進行驗證，然後 Purple 的 RADIUS 伺服器會將 Access-Accept 傳回給 AP。接著 AP 就會授予網路存取權限。 [medium pause] 對於 RADIUS 設定，Purple 會為您提供 RADIUS 伺服器 IP 位址、共用金鑰和驗證連接埠（即 UDP 1812）。帳務（Accounting）在 UDP 1813 上執行。您可以在 AP GUI 中的網路服務（Network Services）下的 RADIUS 中進行設定。NAS 識別碼應設定為 AP 的管理 IP 或具描述性的主機名稱。Purple 的 RADIUS-as-a-Service 會處理驗證後端，因此您不需要執行自己的 RADIUS 基礎架構。 [short pause] 有一點必須設定正確，那就是 Walled Garden (圍牆花園)。在訪客通過驗證之前，AP 會封鎖所有流量，僅允許前往白名單中的目的地。您需要將 Purple 的平台網域加入 Walled Garden，如此一來 Splash Page 才能正確載入。最起碼必須將 Purple Splash Page 網域、Purple 用於資產的任何 CDN 端點，以及您已啟用的任何社群登入提供者 (例如 Google 或 Facebook) 加入白名單。您可以在同一個 VAP 進階設定面板中的 Walled Garden 底下進行此項設定。 [medium pause] 接下來讓我們看看使用 802.1X 的員工 WiFi。這是您在獨立的 VAP 上設定 WPA Enterprise 的地方。在 AP 的圖形使用者介面 (GUI) 中，從安全性下拉式選單中選擇 WPA Enterprise，然後將 RADIUS 驗證群組指向您的外部 RADIUS 伺服器，在此範例中為 Purple 的 SecurePass 服務，或是您自己支援 Microsoft Entra ID 或 Okta 的 RADIUS。員工裝置會使用含有 MSCHAPv2 的 EAP-PEAP，或在安全性要求較高的環境中使用含有憑證的 EAP-TLS 進行驗證。AP 充當 802.1X 驗證器，將憑證轉發給 RADIUS 伺服器並執行其回應。 [short pause] 若要在員工網路上進行動態 VLAN 分配，請在 VAP 的進階安全性設定中啟用 Dynamic VLAN。當 RADIUS 伺服器傳回 Access-Accept 時，它會包含三個標準屬性：Tunnel-Type 設定為 VLAN、Tunnel-Medium-Type 設定為 IEEE 802，以及 Tunnel-Private-Group-Id 設定為 VLAN ID。AP 會讀取這些屬性，並自動將通過驗證的裝置分配到正確的 VLAN。這是 RFC 3580 中定義的機制，並且在 Allied Telesis 硬體上運作良好且一致。 [medium pause] 現在讓我們來談談多租戶部署中最引人注目的功能：Allied Telesis PPSK，即 Private Pre-Shared Key。這在其他平台上游時被稱為 iPSK。其原理非常簡單。您只需要單一個 SSID，但每個租戶或使用者群組都會獲得一個專屬的金鑰。當裝置連線時，AP 會將該金鑰作為 RADIUS Access-Request 中的密碼欄位傳送給 RADIUS 伺服器。RADIUS 伺服器會將金鑰與使用者紀錄進行比對，並傳回一個帶有 Tunnel-Private-Group-Id 屬性的 Access-Accept，其中指定了該租戶的 VLAN。 [short pause] 因此，在住商混合大樓中，零售店面的租戶 A 使用其金鑰連線並進入 VLAN 100。一樓的餐廳使用不同的金鑰並進入 VLAN 300。大樓的訪客 WiFi 則使用第三個金鑰並進入已啟用 Purple Captive Portal 的 VLAN 400。所有這些都運行在同一個 SSID 上。沒有 SSID 氾濫的問題。乾淨、具擴充性且易於管理。 [medium pause] 在 Purple 端，您可以在 Purple 控制面板或透過 RADIUS-as-a-Service 介面設定 PPSK 使用者記錄。每個租戶都會獲得一個對應至 VLAN ID 的唯一密碼。Purple 的 RADIUS 伺服器會處理比對並傳回正確的 Tunnel-Private-Group-Id。當您需要撤銷租戶的存取權限時，只需在 Purple 中刪除或停用其 PPSK 記錄即可。AP 將在下一次驗證嘗試時執行此變更。 [medium pause] 讓我為您舉兩個在實際應用中非常重要的情境。 第一個是擁有 250 間客房的會議飯店。該飯店運行三個網路：提供 Purple 歡迎頁面和社群登入的訪客 WiFi、透過 Microsoft Entra ID 連結至 Active Directory 的 802.1X 員工 WiFi，以及用於活動的會議代表網路。Allied Telesis TQ6702 GEN2 AP 在具有獨立 VLAN 的獨立 VAP 上處理這三種網路。Purple 管理訪客歡迎頁面，為飯店的 CRM 收集第一方數據，並提供高峰使用期間的分析。飯店的 IT 團隊透過 Purple 的 SecurePass 管理員工網路，而無需在現場維護個別的 RADIUS 伺服器。 [short pause] 第二個情境：擁有 12 個獨立租戶的零售園區。房東希望向每個租戶提供 WiFi 服務，而不讓他們存取彼此的流量。他們在整個園區部署了 Allied Telesis AP，並使用單一 SSID。每個租戶都會收到一個唯一的 PPSK。Purple 的 RADIUS 伺服器會將每個 PPSK 對應到專用的 VLAN。房東只需在 Purple 中建立一個新的 PPSK 記錄並將密碼交給租戶，即可在十分鐘內為新租戶完成上線，無需重新設定 AP。 [medium pause] 現在，讓我們來看看幾個需要避免的陷阱。 最常見的問題是圍牆花園（Walled Garden）設定錯誤。如果您忘記將 Purple CDN 端點加入白名單，歡迎頁面在某些裝置上會局部載入或載入失敗。在正式上線前，請使用沒有快取 DNS 的全新裝置進行測試。 第二，RADIUS 共用金鑰（Shared Secret）不相符。在 AP 上設定的金鑰必須與 Purple 的 RADIUS 伺服器設定中的金鑰完全一致。單一字元的差異就會導致無聲的驗證失敗。請使用密碼管理器來產生並儲存該金鑰。 第三，動態 VLAN 未啟用。在 Allied Telesis AP 上，即使 WPA Enterprise 已啟用，動態 VLAN 預設也是停用的。您必須在 VAP 進階安全性設定中明確啟用它。我們經常看到這個步驟被遺漏。 第四，PPSK 與 MAC 驗證衝突。如果您在與 PPSK 相同的 VAP 上啟用了 MAC 驗證，驗證的順序就非常重要。請檢查您的韌體版本的 AP 說明文件，以確認哪種方法具有優先權。 [medium pause] 以下是 IT 團隊常問的快速問答。 我可以在同一次部署中將 Purple 的 RADIUS 伺服器同時用於訪客 Captive Portal 和員工 802.1X 嗎？可以。Purple 的 RADIUS-as-a-Service 支援這兩種驗證流程。您可以針對每個使用案例在 Purple 中設定個別的 RADIUS 群組或策略。 Allied Telesis AP 是否支援具備 Captive Portal 的 WPA3？執行韌體 5.5.4-2.3 或更新版本的 TQ6702 GEN2 支援 WPA3 CCMP 加密。然而，具有外部重定向的 Captive Portal 通常在開放式或 WPA2 Personal SSID 上運作。員工 802.1X 可以使用 WPA3 Enterprise。 如果 Purple RADIUS 伺服器無法連線會怎樣？AP 將拒絕新的驗證嘗試。現有工作階段會持續到逾時為止。您應該在 AP 的 RADIUS 群組中配置次要 RADIUS 伺服器以進行備援。Purple 平台的可用性維持在 99.999%，但深度防禦是良好的做法。 [medium pause] 總結來說。Allied Telesis TQ 系列 AP 透過三種主要機制與 Purple 整合：用於賓客 WiFi 的外部 Captive Portal 重定向、用於員工 802.1X 的 WPA Enterprise 搭配 RADIUS，以及用於多租戶隔離的 PPSK 搭配動態 VLAN。您需要的 RADIUS 屬性為 Tunnel-Type VLAN、Tunnel-Medium-Type IEEE 802，以及承載 VLAN ID 的 Tunnel-Private-Group-Id。Purple 提供 RADIUS-as-a-Service 後端、歡迎頁面平台和分析層。 [short pause] 您的後續步驟：從您的儀表板取得 Purple RADIUS 憑證、在您的賓客 VAP 上配置外部網頁重定向、新增圍牆花園（Walled Garden）項目、在您的員工 VAP 上啟用動態 VLAN，並在正式上線前對每個網路區段執行測試驗證。如果您要為多租戶部署 PPSK，請在開始前規劃您的 VLAN 編號方案，因為在租戶上線後變更 VLAN ID 需要進行協調。 [medium pause] 簡報到此結束。如需完整的逐步配置參考、Mermaid 架構圖和 RADIUS 屬性表，請參閱書面指南。感謝您的時間。