Arista Networks AP 與訪客 WiFi：使用 Purple 設定 captive portal

歡迎來到本次簡報。今天，我們將深入分析 Arista Cognitive Wi-Fi 與 Purple 平台的整合。這是一份資深顧問簡報，專為需要在首次部署時就正確無誤的企業網路架構師和雲端系統管理員所設計。 讓我們言歸正傳。Arista Cognitive Wi-Fi 透過 CloudVision Cognitive Unified Edge 平台進行管理，是一種支援企業級訪客與員工網路部署的雲端管理無線基礎設施。Purple 則是一個與硬體無關的雲端重疊網路，提供訪客入口網站、身份擷取、RADIUS 驗證及分析層。將兩者結合時，您就能獲得一個完整、合規且具商業價值的訪客 WiFi 架構。讓我們進入技術細節。 首先要了解的是 Captive Portal 上線流程。當訪客裝置與 Arista 存取點上的開放式訪客 SSID 關聯時，AP 會立即將該裝置放入驗證前的 VLAN。在此狀態下，裝置擁有 DHCP 分配的 IP 位址，但其 DNS 和 HTTP 流量受到嚴格限制。不論是 iOS、Android 還是 Windows 裝置作業系統，都會進行 Captive Portal 偵測探測。iOS 會向 captive.apple.com 發送 HTTP 請求。Android 則會探測 connectivitycheck.gstatic.com。Arista AP 會攔截此請求並傳回 302 重新導向，將裝置導向 Purple 歡迎頁面的 URL。 這正是大多數部署出錯的地方。為了讓重新導向正常工作，並讓歡迎頁面實際渲染，您必須在 Arista CV-CUE 中正確設定 Walled Garden（圍牆花園）。Walled Garden 是一個明確的允許清單。在預先驗證狀態下，所有流量預設都會被捨棄。您必須將載入入口網站所需的所有網域加入白名單。這至少意味著核心的 Purple 網域：region1.purpleportal.net、venuewifi.com 和 cloudfront.net。如果您透過 Google Workspace 提供社群登入，則必須新增 accounts.google.com 及其相關的 CDN 範圍。如果是 Facebook，您需要 facebook.com、fbcdn.net 和 akamaihd.net。遺漏其中任何一個，訪客就會看到空白畫面或一直旋轉的登入按鈕。他們會直接離開，而您也會失去擷取資料的機會。 讓我帶您了解 CV-CUE 中的 RADIUS 設定。導覽至 Configure（設定），接著是 Network Profiles（網路設定檔），然後是 RADIUS。按一下 Add RADIUS Server（新增 RADIUS 伺服器）。輸入 Purple 主要 RADIUS 伺服器的 IP 位址，將 Authentication Port（驗證連接埠）設為 1812，Accounting Port（計帳連接埠）設為 1813，並輸入 Purple 提供的共用金鑰。對次要伺服器重複此步驟。此備援機制至關重要。如果主要伺服器無法連線，次要伺服器就會接管，而不會中斷訪客的存取。當 RADIUS 設定檔儲存完成後，前往 Configure，接著選擇 WiFi，然後選擇 SSID，並點擊 Add New SSID。為您的 SSID 命名，將類型設定為 Guest，並在 Security 頁籤下將安全性層級設定為 Open。這對於 Captive Portal 部署是正確的設定。在 Captive Portal 頁籤下，啟用 Captive Portal 核取方塊，從 Cloud Hosted 下拉選單中選擇 Third-Party Hosted，並勾選 With RADIUS Authentication 方框。將 Purple Splash Page 網址貼入 Splash Page URL 欄位中。這通常是 https://region1.purpleportal.net/access/ 這種格式。輸入共享密鑰（shared secret）。接著，在「使用者登入前可存取的網站（Websites that users can access before login）」區段中，新增您的 Walled Garden 網域。將 Called Station ID 格式設定為 percent-m，這會以 Purple 預期的格式傳送 MAC 位址。將 Accounting Interval 設定為 2 分鐘。取消勾選 HTTPS Redirection 核取方塊。儲存 SSID。這將在幾分鐘內同步到您的 Arista AP。 現在我們來談談訪客在 Purple 入口網站上提交詳細資料後會發生什麼事。Purple 扮演 RADIUS 伺服器的角色。它驗證身分、取得同意，並將 RADIUS Access-Accept 訊息傳回 Arista AP。但這裡有一個關鍵部分：該 Access-Accept 訊息包含 RFC 3576 中定義的 Change of Authorisation（CoA）屬性。這些屬性會指示 Arista AP 將該特定用戶端從受限的認證前狀態，動態轉換至具有完整網際網路存取權限的認證後 VLAN。同時，AP 會透過連接埠 1813 向 Purple 傳送 RADIUS Accounting-Start 訊息。這會啟動工作階段計時器，並將工作階段持續時間資料傳送至 Purple 分析儀表板。 讓我們轉向更進階的使用案例：使用 Arista 私人預先共享金鑰（PPSK）的多租戶 WiFi。這是您為共享工作空間、零售商場、住宅大樓或任何需要嚴格網路隔離的多個不同用戶群組所需要的架構。 傳統方法的問題在於，為每個租戶廣播獨立的 SSID 會產生巨大的 RF 開銷。每個 SSID 都需要信標訊框（beacon frames）。在有 20 個租戶的密集環境中，這代表有 20 個 SSID 在消耗空中傳輸時間。PPSK 優雅地解決了這個問題。您只需廣播單一 SSID。但在 Purple 入口網站中，每個租戶都會分配到一個唯一的密碼。當使用者連線時，Arista AP 會針對 Purple RADIUS 伺服器驗證該密碼。Purple 會尋找該密碼，識別關聯的租戶，並傳回 Access-Accept 訊息。但關鍵在於，它會附加三個 RADIUS 屬性：Tunnel-Type 設定為 VLAN；Tunnel-Medium-Type 設定為 802；以及 Tunnel-Private-Group-ID 設定為該租戶特定的 VLAN ID。Arista AP 會讀取這些屬性，並動態地將用戶端引導至正確的 VLAN。使用其專屬密碼的租戶 A 會進入 VLAN 100。租戶 B 則進入 VLAN 200。他們在 Layer 2 完全隔離。他們無法看到彼此的裝置、印表機或伺服器。 這就是實踐中的身分型網路（Identity-Based Networking）。密碼密鑰的身分決定了網路區段。這一切都透過 Purple 進行集中管理，因此當租戶離開時，您只需在 Purple 門戶網站中撤銷其密碼密鑰，即可立即終止存取權。無需對 Arista 基礎架構進行任何變更。 現在，讓我們來介紹使用 IEEE 802.1X 的安全員工 WiFi。對於您的員工 SSID，您不應該使用共用密碼密鑰。您應該使用支援 EAP（可延伸驗證協定）的 802.1X。在 CV-CUE 中，建立一個新的企業 SSID。在安全（Security）分頁下，選擇 WPA2-Enterprise 或 WPA3-Enterprise。選擇您的 RADIUS 設定檔，該設定檔應指向您的企業身分識別提供者，例如 Microsoft Entra ID 或 Okta。當員工進行連線時，其裝置會向 Arista AP 出示憑證，AP 則會透過 EAP 將憑證轉發至 RADIUS 伺服器。身分識別提供者會驗證憑證並傳回 Access-Accept。對於使用 EAP-TLS 的憑證型驗證，裝置會出示用戶端憑證而非使用者名稱和密碼，從而完全消除了憑證盜竊這一攻擊管道。 讓我來談談 Arista Cloud WIPS 整合。Arista 的無線入侵防禦系統在背景運作，掃描非法存取點和未授權的用戶端。在 CV-CUE 中，導覽至配置（Configure），然後選擇 WIPS，接著選擇自動入侵防禦（Automatic Intrusion Prevention）。您可以配置從降級（Degrade）到封鎖（Block）的防禦層級。對於企業部署，我們建議將中斷（Disrupt）層級作為起點，這會在不完全封鎖的情況下中斷未授權的通訊，從而降低誤報風險。您還應該在配置（Configure）- 裝置（Device） - 存取點（Access Point）下配置 VLAN 監控，並選擇安全（Security）分頁。啟用 SSID VLAN Monitoring，以便 AP 主動監控其分配的 VLAN 是否存在非法活動。 現在，需要避免幾個常見的實施陷阱。第一，DHCP 位址池用盡。在零售店或體育場等高人流量的環境中，裝置連線時間很短，隨後便會離開。如果您的閒置逾時時間設定得太高，這些工作階段將保持作用中狀態，從而佔用 IP 位址。在 CV-CUE 中，將零售環境的閒置逾時設定為 10 分鐘，活動場地則可低至 5 分鐘。這會積極回收 IP，防止位址池用盡。 第二，MAC 位址隨機化。自 iOS 14 和 Android 10 以來，裝置預設會針對每個 SSID 隨機化其 MAC 位址。這會破壞任何依賴 MAC 位址來識別回訪訪客的架構。正確的應對方法是將您的身分識別模型轉移到已驗證的憑證上，即透過 Purple 門戶網站收集的電子郵件地址或社群媒體登入資訊。對於無需門戶網站即可實現無縫重新連線，長期的移轉路徑是採用 Passpoint（也稱為 Hotspot 2.0），它使用憑證型驗證，且完全不需要 Captive Portal。第三，HTTPS 重新導向。在 CV-CUE 中設定 Captive Portal 時，請確保清除 HTTPS Redirection 核取方塊。Purple 會獨立處理 HTTPS 工作階段。在 Arista 端啟用 HTTPS 重新導向可能會導致憑證不相符的錯誤，進而使 Portal 無法載入。 讓我們針對常見情境進行快速問答。 問題：訪客的 Portal 頁面顯示空白畫面。您首先應該檢查哪裡？解答：Walled Garden。遺漏網域幾乎總是主要原因。請檢查所有 Purple 網域和相關的身分識別提供者 CDN 網域是否已列入 CV-CUE 的白名單中。 問題：PPSK 使用者全部都落入預設 VLAN。出了什麼問題？解答：Purple RADIUS 伺服器未傳回 Tunnel-Private-Group-ID 屬性。請檢查 CV-CUE 疑難排解記錄中的 RADIUS 回應，並驗證 Purple Portal 中的 VLAN 對應。 問題：Purple 中的 RADIUS 計費資料顯示工作階段為零秒。這是什麼問題？解答：計費連接埠可能設定錯誤或遭到封鎖。請確認 Arista AP 與 Purple RADIUS 伺服器之間的防火牆已開啟連接埠 1813，且 SSID 設定中的計費間隔已設為 2 分鐘。 總結本次簡報的核心要點。第一：Walled Garden 是明確的允許清單。請將其維護視為一項例行性的營運工作，而非一次性的設定。第二：RADIUS Change of Authorization 是授予存取權限的機制。若沒有它，雖然 Portal 完成了驗證，但訪客仍會被封鎖。第三：搭配 Purple RADIUS 的 Arista PPSK 可在單一 SSID 上實現動態 VLAN 導向以進行多租戶隔離，從而消除訊標開銷。第四：務必在訪客 SSID 上啟用用戶端隔離以防止橫向移動。第五：MAC 位址隨機化需要轉向以身分識別為基礎的驗證，以獲得準確的分析數據。第六：妥善的整合可符合 GDPR 同意要求，並擷取直接驅動行銷投資報酬率的一手數據。 您的後續步驟：從 Purple Portal 硬體設定頁面中取得 Purple RADIUS 伺服器 IP 位址和共用金鑰。在 CV-CUE 中設定 RADIUS 設定檔。建立您的 Walled Garden 網域清單。部署您的訪客 SSID。在部署到實際環境之前，先使用行動裝置測試完整的驗證流程。如果您正在部署多租戶環境，請在設定 PPSK 密碼片語之前，先在 Purple 中對應您的租戶 VLAN ID。 以上結束本次技術簡報。感謝您的聆聽。