Alta Labs AP 與訪客 WiFi：使用 Purple 設定 Captive Portal

PODCAST SCRIPT: Alta Labs Integration with Purple WiFi: Setup and Captive Portal Configuration Purple WiFi Intelligence Platform - Technical Briefing Series Duration: Approximately 10 minutes Voice: UK English, senior consultant tone - confident, conversational, authoritative --- [INTRO - 1 MINUTE] 歡迎收聽 Purple 技術簡報系列。我是您的主持人，今天我們將深入剖析 Alta Labs 基地台與 Purple WiFi 智慧平台之間的整合。 如果您是正在尋求部署強大且具擴充性之訪客 WiFi 解決方案的 IT 經理、網路架構師或場域營運總監，本簡報正是為您準備。我們將說明 Alta Labs AP6 與 AP6 Pro 的具體設定方式、如何設定外部 Captive Portal 重新導向，以及使社群媒體登入能在實際應用中正常運作所需的關鍵 Walled Garden 設定。我們也將深入探討 AltaPass - Alta Labs 的 Private Pre-Shared Keys（PPSK）實作方式 - 以及如何利用它來分割多租戶環境，而不會因為 SSID 數量過多而損害您的 RF 效能。 讓我們開始吧。 --- [TECHNICAL DEEP-DIVE - 5 MINUTES] Alta Labs 與 Purple 之間的整合依賴於兩個基本的網路概念：用於 Captive Portal 的 HTTP 重新導向，以及用於驗證與計費的 RADIUS。 當訪客進入您的場域 - 例如零售店或飯店大廳 - 並連線到您的開放式或 WPA3-OWE 訪客網路時，Alta Labs AP 會扮演閘門管理員的角色。它會攔截用戶端的初始 HTTP 請求，並將其重新導向至您的客製化品牌 Purple 迎賓頁面。 若要在 Alta Labs 雲端管理平台中進行設定，請導覽至您的 WiFi 設定，選擇您的訪客 SSID，並在「進階設定」下，將網路類型設定為「訪客」。這至關重要，因為它會自動套用戶端隔離，防止裝置在網路上進行橫向通訊。接著，在「熱點」區段下，選擇「外部」並填入您場域設定中提供的 Purple 重新導向 URL，以及您的驗證金鑰。 但這正是大多數部署遇到瓶頸的地方：Walled Garden。 Walled Garden 是裝置在通過驗證之前允許存取的網域和 IP 位址列表。如果您希望訪客使用 Google、Facebook 或 Apple 帳號登入，他們的裝置在未驗證狀態下，必須能夠連線到這些 OAuth 伺服器。 您必須明確將 Purple 基礎設施網域（例如 region1.purpleportal.net 和 cloudfront.net）列入白名單。接著，您需要新增作業系統的 Captive Portal 探測網域：iOS 的 captive.apple.com，以及 Android 的 connectivitycheck.gstatic.com。如果您阻擋了這些網域，手機就不會知道自己處於 Captive Portal 之後，迎賓頁面也永遠不會彈出。 最後，您需要新增社群登入網域。以 Google 而言，即為 accounts.google.com、oauth2.googleapis.com 與 gstatic.com。以 Facebook 而言，則是 facebook.com、graph.facebook.com 與 fbcdn.net 網域。在此處，靜態 IP 白名單將無法發揮作用，因為這些提供商使用的是動態內容傳遞網路。您必須使用網域名稱，並確保您的控制器執行動態 DNS 解析。 當使用者在 Purple 網頁上完成登入後，Purple 的 RADIUS 伺服器會將 Access-Accept 訊息傳送回 Alta Labs AP。隨後，AP 會移除 Walled Garden 限制，並授予該裝置完整的網際網路存取權限。這是一個乾淨且安全的流程，可在維護網路完整性的同時擷取第一方數據。 現在，讓我們來談談多租戶隔離。 在智慧辦公室、學生宿舍或多戶住宅等環境中，您經常需要為不同的群組提供安全、隔離的網路。在過去，IT 團隊會為每個租戶廣播一個獨立的 SSID。這是一個非常糟糕的做法，不僅會造成巨大的管理開銷，還會因為信標訊框（Beacon Frame）開銷而摧毀您的無線效能。 Alta Labs 透過 AltaPass 解決了這個問題，這是他們版本的 Private Pre-Shared Keys。透過 AltaPass，您只需廣播一個 SSID - 讓我們稱之為 BuildingWiFi。但是，您可以為不同的使用者或裝置產生專屬的唯一密碼。 當租戶 A 輸入其特定密碼時，AP 會動態地將其分配至 VLAN 101，並限制 100 Mbps 的頻寬。當管理團隊在同一個 SSID 上輸入他們的密碼時，則會被分配到 VLAN 200 並享有無限頻寬。您甚至可以為智慧恆溫器等 IoT 裝置建立專屬密碼，將其分配至隔離的 VLAN，並完全繞過 Captive Portal。 一個 SSID。無限組密碼。完全隔離。這就是邊緣端的身分識別網路（Identity-Based Networking），針對困擾多租戶佈署多年的問題，提供了一個真正優雅的解決方案。 讓我給您一個在實際應用中如何運作的具體例子。想像一個擁有 72 個單位的公寓大樓 - 這正是 Alta Labs 被廣泛應用的真實佈署場景。網路管理員無需廣播 72 個獨立的 SSID，而是建立單一 SSID 並為每個單位產生專屬的密碼。每個密碼都對應到專屬的 VLAN 和子網路。基本方案的住戶可獲得 100 Mbps 頻寬；付費升級至高級方案的住戶可獲得 300 Mbps 頻寬；大樓管理團隊則獲得不受限制的存取權限。而大樓自動化系統 - 包括門鎖、HVAC、電梯 - 則會分配到啟用深度封包檢測的專屬隔離 VLAN。這一切都源自於同一個 SSID。RF 環境更乾淨、效能更高，且管理變得無比簡單。 現在，讓我們繼續進行適用於安全員工 WiFi 的 802.1X 設定。 對於您的員工網路，您完全不應該使用預先共用金鑰。您應該使用支援 802.1X 驗證的 WPA2 或 WPA3 Enterprise。在 Alta Labs 平台中，您可以透過選擇您的員工 SSID，將安全性模式設定為 WPA2-Enterprise 或 WPA3-Enterprise，並將 AP 指向您的 RADIUS 伺服器來進行此設定。 如果您正在與 Purple 的 SecurePass 產品整合，Purple 會扮演 RADIUS 中介角色，連接到您的身分識別提供者 - 無論是 Microsoft Entra ID、Okta 還是 Google Workspace - 並在 Access-Accept 訊息中傳回相應的 VLAN 分配。Alta Labs AP 會從 RADIUS 回應中讀取 Tunnel-Private-Group-Id 屬性，並自動將裝置放置在正確的 VLAN 上。 關於 Alta Labs 動態 VLAN 分配的一個重要注意事項：在設定 RADIUS 分配的 VLAN 時，請將 SSID 上的預設 VLAN 設定為 VLAN 1 或保持未標記狀態。有一個已知的行為是，如果將預設 VLAN 設定為特定值，AP 可能會使用設定的預設值覆寫 RADIUS 分配的 VLAN。將預設值設定為 VLAN 1 可確保 RADIUS 分配具有優先權。 --- [導入建議與常見陷阱 - 2 分鐘] 當您在部署此功能時，我想強調幾個關鍵建議。 第一，務必使用全新的裝置來測試您的 Captive Portal 流程。如果您在測試期間已經連線到網路，請不要使用您自己的手機。您的裝置會記住 MAC 位址授權或快取了 DNS 記錄，這會掩蓋 Walled Garden 的設定失敗。拿一台從未連接過該網路的平板電腦，連線並驗證作業系統的 Captive Portal 助理是否會自動啟動。 第二，注意過度放行白名單。我看到工程師因為社群登入錯誤而感到挫折，結果就直接將整個萬用字元網域或龐大的 IP 網段加入白名單。這會產生安全性漏洞，讓聰明的使用者可以完全繞過您的 Captive Portal。請僅限於 OAuth 流程所需的特定網域。 第三，在使用動態 VLAN 部署 AltaPass PPSK 時，請確保您的整個交換器基礎架構設定正確。連接到 Alta Labs AP 的交換器連接埠必須設定為 Trunk，允許所有標記的 VLAN 通過至閘道器。如果 AP 將流量標記為 VLAN 101，但交換器連接埠被設定為 VLAN 1 的 Access 模式，則流量會被捨棄，且用戶端將無法取得 IP 位址。 第四，對您的 Walled Garden 設定進行每季審查。OAuth 提供商和內容傳遞網路會變更其網域結構。Apple 在 2023 年更新了兩次 Sign In 網域。在部署時正確的 Walled Garden，如果沒有主動維護，就會逐漸偏離。 --- [快速問答 - 1 分鐘] 讓我們來快速解答幾個來自一線的常見問題。 問題一：我可以在 Alta Labs 硬體上將 WPA3 與 Purple Captive Portal 搭配使用嗎？ 是的。您應該使用 WPA3-OWE，這代表機會性無線加密（Opportunistic Wireless Encryption）。這會對空中傳輸的數據進行加密以保護訪客隱私，同時仍可作為開放網路運作，以觸發 Captive Portal 重新導向。對於 2026 年的任何全新訪客 WiFi 部署，這都是正確的選擇。 問題二：我需要在防火牆上為 RADIUS 流量開啟哪些連接埠？ Purple 的 RADIUS 伺服器透過 UDP 連接埠 1812 進行驗證，並透過 UDP 連接埠 1813 進行計帳。請確保您的邊緣防火牆允許從 Alta Labs AP 到 Purple 架構的這些連接埠的輸出流量。 問題三：我可以在同一個 SSID 上同時使用 AltaPass PPSK 與 Purple Captive Portal 嗎？ 可以，這實際上是一個非常實用的設定。您可以建立一個 AltaPass 密碼，讓已知裝置（例如您的銷售點終端機或數位看板）繞過 Captive Portal，而與該 SSID 的標準連線仍會通過 Purple 迎賓頁面。這為您提供了一個單一、乾淨的 SSID，可同時處理已驗證的裝置與訪客使用者。 --- [總結與後續步驟 - 1 分鐘] 總結來說：將 Alta Labs 與 Purple WiFi 整合，可為您提供一個安全、具擴充性的平台，用於獲取第一方數據並提供品牌專屬的訪客體驗。 請記住成功部署的三大支柱。第一，在 Alta Labs 雲端管理平台中精確設定外部熱點重新導向和 RADIUS 設定。第二，細緻地定義您的 Walled Garden（圍牆花園）網域，以確保作業系統偵測與社群登入功能正常運作。第三，利用 AltaPass PPSK 來實現基於身分的網路（Identity-Based Networking），在不因不必要的 SSID 污染您的無線空間的情況下分割您的流量。 Purple 在全球擁有超過 80,000 個營運場所，並在 2024 年處理了 4.4 億次登入。該平台已通過 ISO 27001 認證、符合 GDPR 規範，其架構設計可從單一精品酒店擴展至全國性零售物業。當您將其與 Alta Labs 硬體的效能和靈活性相結合時，您就擁有了一個極具吸引力的企業級 WiFi 方案。 如果您遵循本指南，您將提供順暢、合規的 WiFi 體驗，讓您的行銷團隊與安全團隊都感到滿意。 感謝您收聽 Purple 技術簡報系列。我們下次再見，請保持您的網路安全與數據具備可行性。