跳至主要內容
繁體中文

Arista Cognitive Wi-Fi 與 Purple WiFi 整合

本技術指南詳細介紹了 Arista Cognitive Wi-Fi (CV-CUE) 與 Purple 企業場域訪客 WiFi 平台的逐步整合步驟。內容涵蓋 Arista Captive Portal 設定、Walled Garden ACL 設計、RADIUS 伺服器設定、安全的員工 802.1X 驗證,以及使用具備動態 VLAN 導向功能之 Arista PPSK 的多租戶隔離 — 為 IT 團隊和網路架構師提供決定性的部署藍圖。

📖 10 分鐘閱讀📝 2,486 字數🔧 3 範例3 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到簡報會。今天,我們將深入分析 Arista Cognitive Wi-Fi 與 Purple 平台的整合。這是一份資深顧問簡報,專為需要一次就部署成功的企業網路架構師和雲端系統管理員所設計。 讓我們來說明一下背景背景。Arista Cognitive Wi-Fi 透過 CloudVision Cognitive Unified Edge 平台進行管理,是一種雲端管理的無線基礎設施,支援企業級的訪客與員工網路部署。Purple 則是一個與硬體無關的雲端重疊網路 (overlay),提供訪客入口網站、身分識別擷取、RADIUS 驗證和分析層。當您將兩者結合時,就能獲得一個完整、合規且具商業價值的訪客 WiFi 架構。讓我們深入探討其運作機制。 首先要了解的是 Captive Portal 的導引流程。當訪客裝置連線至 Arista 存取點 (AP) 上的開放式訪客 SSID 時,AP 會立即將該裝置放入預先驗證 (pre-authentication) VLAN 中。在此狀態下,裝置擁有 DHCP 分配的 IP 位址,但其 DNS 和 HTTP 流量會受到嚴格限制。無論是 iOS、Android 還是 Windows 系統,裝置的作業系統都會執行 Captive Portal 偵測探測。iOS 會傳送 HTTP 請求至 captive.apple.com。Android 則會探測 connectivitycheck.gstatic.com。Arista AP 會攔截此請求並回傳 302 重新導向,將裝置指向 Purple 的登入畫面 (splash page) URL。 這就是大多數部署出錯的地方。為了讓重新導向正常工作,並讓登入畫面實際呈現,您需要在 Arista CV-CUE 中正確設定 Walled Garden。Walled Garden 是一個明確的允許清單。在預先驗證狀態下,預設會捨棄所有流量。您必須將載入入口網站所需的所有網域加入白名單。這至少意味著核心的 Purple 網域:region1.purpleportal.net、venuewifi.com 和 cloudfront.net。如果您透過 Google Workspace 提供社群登入,則必須新增 accounts.google.com 及其相關的 CDN 範圍。對於 Facebook,您需要 facebook.com、fbcdn.net 和 akamaihd.net。漏失其中任何一個,訪客就會看到空白畫面或一直旋轉的登入按鈕。他們就會離開,而您也會失去擷取資料的機會。 讓我帶您逐步進行 CV-CUE 中的 RADIUS 設定。導航至 Configure(設定),然後至 Network Profiles(網路設定檔),接著至 RADIUS。點擊 Add RADIUS Server(新增 RADIUS 伺服器)。輸入 Purple 的主要 RADIUS 伺服器 IP 位址,將 Authentication Port(驗證連接埠)設定為 1812,Accounting Port(計費連接埠)設定為 1813,並輸入 Purple 提供的共用金鑰。對次要伺服器重複此步驟。此備援機制至關重要。如果主要伺服器無法連線,次要伺服器會接管,而不會中斷訪客的存取。 儲存 RADIUS 設定檔後,前往「設定」(Configure),接著選擇「WiFi」,再選擇「SSID」,然後點擊「新增 SSID」(Add New SSID)。為您的 SSID 命名,將類型設定為「訪客」(Guest),並在「安全」(Security) 頁籤下,將安全等級設定為「開放」(Open)。這適用於 Captive Portal 部署。在「Captive Portal」頁籤下,勾選啟用「Captive Portal」核取方塊,從「雲端託管」(Cloud Hosted) 下拉式選單中選擇「第三方託管」(Third-Party Hosted),並勾選「使用 RADIUS 驗證」(With RADIUS Authentication) 方塊。將 Purple 歡迎頁面 (Splash Page) URL 貼入「歡迎頁面 URL」(Splash Page URL) 欄位中。這通常採用 https://region1.purpleportal.net/access/ 的格式。輸入共用金鑰 (shared secret)。然後,在「使用者登入前可存取的網站」(Websites that users can access before login) 區段中,新增您的 Walled Garden 網域。將「Called Station ID」格式設定為「percent-m」,這會以 Purple 預期的格式傳送 MAC 位址。將「計費週期」(Accounting Interval) 設定為 2 分鐘。取消勾選「HTTPS 重新導向」(HTTPS Redirection) 核取方塊。儲存 SSID。它將在幾分鐘內同步到您的 Arista AP。 現在讓我們談談訪客在 Purple 入口網站上提交其詳細資訊後會發生什麼事。Purple 會充當 RADIUS 伺服器。它會驗證身分、取得同意,並將 RADIUS Access-Accept 訊息傳回 Arista AP。但關鍵在於:該 Access-Accept 訊息包含 RFC 3576 中定義的「授權變更」(Change of Authorization, CoA) 屬性。這些屬性會指示 Arista AP 動態將該特定用戶端從受限的預先驗證狀態,轉換為具有完整網際網路存取權限的驗證後 VLAN。同時,AP 會透過連接埠 1813 向 Purple 傳送 RADIUS Accounting-Start 訊息。這會啟動工作階段計時器,並將工作階段持續時間資料傳送至 Purple 分析儀表板。 讓我們進入更進階的使用案例:使用 Arista 私人預先共用金鑰 (PPSK) 的多租戶 WiFi。對於共同工作空間、零售商場、住宅大樓或任何有多個不同使用者群組且需要嚴格網路隔離的環境,這正是您所需的架構。 傳統方法的問題在於,為每個租戶廣播個別的 SSID 會產生巨大的射頻 (RF) 開銷。每個 SSID 都需要信標框架 (beacon frames)。在擁有 20 個租戶的密集環境中,這意味著 20 個 SSID 會消耗無線傳輸時間。PPSK 優雅地解決了這個問題。您只需廣播單一 SSID。但在 Purple 入口網站中,會為每個租戶分配一個唯一的密碼。當使用者連線時,Arista AP 會向 Purple RADIUS 伺服器驗證該密碼。Purple 會查詢密碼,識別關聯的租戶,並傳回 Access-Accept 訊息。但至關重要的是,它會附加三個 RADIUS 屬性:Tunnel-Type (設定為 VLAN)、Tunnel-Medium-Type (設定為 802) 和 Tunnel-Private-Group-ID (設定為租戶的特定 VLAN ID)。Arista AP 會讀取這些屬性,並動態地將用戶端導向至正確的 VLAN。租戶 A 使用其密碼,會被導向至 VLAN 100。租戶 B 則會被導向至 VLAN 200。他們在第二層 (Layer 2) 實現了完全隔離。他們無法看到彼此的裝置、印表機或伺服器。 這就是實務中的「身分識別導向網路」(Identity-Based Networking)。金鑰的身分決定了網路區段。這由 Purple 進行集中式管理,因此當租戶離開時,您只需在 Purple 入口網站中撤銷其金鑰,其存取權限便會立即終止。Arista 基礎架構無需進行任何變更。 現在,讓我們來探討使用 IEEE 802.1X 的安全員工 WiFi。針對您的員工 SSID,不應使用共用金鑰。您應該使用支援 EAP(可延伸驗證通訊協定,Extensible Authentication Protocol)的 802.1X。在 CV-CUE 中,建立一個新的企業 SSID。在「安全性」索引標籤下,選取 WPA2-Enterprise 或 WPA3-Enterprise。選取您的 RADIUS 設定檔,該設定檔應指向您的企業身分識別提供者,例如 Microsoft Entra ID 或 Okta。當員工連線時,其裝置會向 Arista AP 提交憑證,AP 則會透過 EAP 將其轉發至 RADIUS 伺服器。身分識別提供者會驗證憑證並傳回 Access-Accept(允許存取)。對於使用 EAP-TLS 的憑證型驗證,裝置會提交用戶端憑證而非使用者名稱與密碼,從而完全消除憑證遭竊的攻擊管道。 接著,我來介紹 Arista Cloud WIPS 整合。Arista 的無線入侵防禦系統(WIPS)在背景運作,負責掃描惡意存取點(Rogue AP)與未授權的用戶端。在 CV-CUE 中,導覽至「配置」(Configure)>「WIPS」>「自動入侵防禦」(Automatic Intrusion Prevention)。您可以設定防禦等級,從「降級」(Degrade)到「封鎖」(Block)。對於企業部署,我們建議將「中斷」(Disrupt)等級作為起點,這會中斷未授權的通訊而不會完全封鎖,從而降低誤判風險。您還應該在「配置」(Configure)>「裝置」(Device)>「存取點」(Access Point)下設定 VLAN 監控,並選取「安全性」索引標籤。啟用「SSID VLAN 監控」,使 AP 能主動監控其分配的 VLAN 是否有惡意活動。 現在,來談談一些需要避免的部署陷阱。第一,DHCP 位址池耗盡。在零售店或體育場等高人流量的環境中,裝置會短暫連線後隨即離開。如果您的閒置逾時時間設定得太長,這些工作階段將保持作用狀態並佔用 IP 位址。建議在 CV-CUE 中將零售環境的閒置逾時設定為 10 分鐘,活動場館則可設定低至 5 分鐘。這能主動回收 IP,防止位址池耗盡。 第二,MAC 位址隨機化。自 iOS 14 和 Android 10 起,裝置預設會針對每個 SSID 隨機化其 MAC 位址。這會使任何依賴 MAC 位址來識別回訪訪客的架構失效。正確的應對方式是將您的身分識別模式轉移至經過驗證的憑證,即透過 Purple 入口網站獲取的電子郵件地址或社群媒體登入資訊。若要實現無需入口網站的無縫重新連線,長期的轉移路徑是採用 Passpoint(亦稱為 Hotspot 2.0),它使用憑證型驗證,並能完全免除 Captive Portal。 第三,HTTPS 重新導向。在 CV-CUE 中設定 captive portal 時,請確保清除「HTTPS Redirection」核取方塊。Purple 會獨立處理 HTTPS 工作階段。在 Arista 端啟用 HTTPS 重新導向可能會導致憑證不符錯誤,進而無法載入 portal。 讓我們針對常見情境進行快速問答。 問題:訪客的 portal 頁面顯示空白畫面。您首先應該查看哪裡?答案:Walled Garden。遺漏網域幾乎總是主要原因。請檢查所有 Purple 網域和相關身分識別提供者 (Identity Provider) 的 CDN 網域是否已在 CV-CUE 中列入白名單。 問題:PPSK 使用者全部都進入了預設的 VLAN。出了什麼問題?答案:Purple RADIUS 伺服器沒有傳回 Tunnel-Private-Group-ID 屬性。請檢查 CV-CUE 疑難排解記錄中的 RADIUS 回應,並驗證 Purple portal 中的 VLAN 對應。 問題:Purple 中的 RADIUS 計費 (accounting) 資料顯示工作階段為 0 秒。問題出在哪裡?答案:計費連接埠 (Accounting Port) 可能設定錯誤或被封鎖。請驗證 Arista AP 與 Purple RADIUS 伺服器之間的防火牆是否已開放連接埠 1813,且 SSID 設定中的計費時間間隔已設定為 2 分鐘。 總結本次簡報的重點。第一,Walled Garden 是明確的允許清單。請將其維護視為一項例行性的營運工作,而非一次性的設定。第二,RADIUS Change of Authorization 是授權存取的機制。若沒有它,雖然能完成 portal 流程,但訪客仍會被封鎖。第三,搭配 Purple RADIUS 的 Arista PPSK 可在單一 SSID 上啟用動態 VLAN 導向以進行多租戶隔離,從而消除信標 (beacon) 開銷。第四,務必在 Guest SSID 上啟用 Client Isolation (用戶端隔離),以防止橫向移動。第五,MAC 位址隨機化需要轉向以身分為基礎的驗證,才能獲得準確的分析。第六,妥善的整合能滿足 GDPR 同意條款要求,並擷取可直接推動行銷投資報酬率 (ROI) 的第一方數據。 您的後續步驟:從 Purple portal 的硬體設定頁面取得 Purple RADIUS 伺服器的 IP 位址與共用密鑰。在 CV-CUE 中設定 RADIUS 設定檔。建立您的 Walled Garden 網域清單。部署您的 Guest SSID。在正式上線前,先使用行動裝置測試完整的驗證流程。如果您正在部署多租戶環境,請在設定 PPSK 密碼片語之前,先在 Purple 中對應您的租戶 VLAN ID。 技術簡報到此結束。感謝您的聆聽。

header_image.png

執行摘要

部署用於訪客存取的 Arista Captive Portal 不僅僅是一項連線任務。它是網路安全、法規合規與數據策略的重要交會點。對於管理分佈式場域的 IT 主管而言,將 Arista CloudVision Cognitive Unified Edge (CV-CUE) 與 Purple 整合,可將未受管理的訪客流量轉化為安全、隔離且可衡量的資產。

本參考指南提供了配置 Arista Cognitive Wi-Fi 與 Purple 的決定性藍圖。我們將詳細說明部署第三方代管的 Splash 頁面、構建精確的 Walled Garden 存取控制清單(ACL)以及實作 RADIUS 驗證所需的確切機制。我們還涵蓋了使用 Arista 私有預先共用金鑰(PPSK)和動態 VLAN 引導的高級多租戶 WiFi 隔離技術——這種架構可消除共同工作空間、零售商場和住宅大樓中 SSID 氾濫的問題。

Purple 在全球 80,000 多個實體場域運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據)。該平台已通過 ISO 27001 認證、符合 GDPR 和 CCPA 規範,並擁有 Cyber Essentials 和 B Corp 認證。本指南反映了在餐旅業、零售業和公共部門部署中經過生產測試與驗證的配置。

技術深度剖析

Arista Captive Portal 註冊架構

訪客註冊流程決定了裝置在驗證前後與 Arista 存取點(AP)的互動方式。當裝置與開放式訪客 SSID 建立關聯時,Arista AP 會將其分配至驗證前 VLAN。在此狀態下,AP 會將 DNS 和 HTTP 流量限制在定義的允許清單內。裝置作業系統會偵測到 Captive Portal,並嘗試連接到已知端點——iOS 會向 captive.apple.com 發送 HTTP 請求,Android 會發送至 connectivitycheck.gstatic.com,而 Windows 則會發送至 www.msftconnecttest.com。Arista AP 會攔截此請求,並發出 HTTP 302 重新導向至 Purple Splash 頁面 URL。

{{asset:captive_portal_flow.png}}

為確保此流程無誤執行,必須將 Arista CV-CUE 控制器配置為指向 Purple 作為第三方代管 Portal。這需要在 CV-CUE 網路設定檔中定義 Purple RADIUS 伺服器(驗證連接埠 1812,計帳連接埠 1813)。一旦訪客在 Purple Portal 上提交其憑證或接受條款,Purple 將作為 RADIUS 伺服器,並向 Arista AP 發送 Access-Accept 訊息。此訊息包含 RFC 3576 中定義的 RADIUS 授權變更 (CoA) 屬性,指示 AP 將用戶端 MAC 位址從受限的驗證前狀態轉換為驗證後 VLAN 上的完整網際網路存取權限。

architecture_overview.png

CV-CUE 中的 Walled Garden ACL 設計

Walled Garden(圍牆花園)是網域和 IP 位址的白名單,未經驗證的裝置必須能夠連通這些位址,才能載入 Splash Page 並完成驗證。在 Arista CV-CUE 中,您可以在 Captive Portal 設定下的 "Websites that users can access before login"(使用者登入前可存取的網站)中進行配置。

Walled Garden 是一個明確的允許清單。您必須包含 Purple 的核心網域才能轉譯該 Portal。如果您提供社群媒體登入,還必須將身分驗證提供者 (IdP) 網域加入白名單。未能維護此清單將導致訪客無法載入驗證提供者的登入畫面,從而立即放棄連接。

區域 允許的流量 實作方式
驗證前 DNS(受限)、DHCP、Portal 伺服器、Captive Portal 偵測端點 閘道 ACL - 拒絕除白名單以外的所有流量
Walled Garden Purple Portal 網域、社群媒體登入提供者、付款處理商 CV-CUE 中基於 FQDN 的 ACL
驗證後 完全網際網路存取,受內容過濾和頻寬原則限制 透過 RADIUS CoA 套用的每使用者 ACL

Purple 最低要求的 Walled Garden 條目:

  • region1.purpleportal.net
  • venuewifi.com
  • cloudfront.net
  • openweathermap.org
  • stripe.com(如果啟用了付費存取)

社群媒體登入的附加條目:

  • Facebook:facebook.comfbcdn.netakamaihd.netconnect.facebook.net
  • Google Workspace:accounts.google.comgoogleapis.com
  • Twitter/X:twitter.comtwimg.com
  • LinkedIn:linkedin.comlicdn.net

用於多租戶隔離的 Arista PPSK 配置

對於共享工作空間、住宅大樓或零售商場等環境,標準 802.1X 對於非受控裝置而言往往過於複雜,而開放式網路又缺乏必要的安全性。Arista 私有預先共用金鑰 (PPSK) 解決了這個問題,它允許在單個 SSID 上使用多個唯一的複雜密碼,每個密碼都對應到不同的網路原則。

ppsk_vlan_diagram.png

與 Purple RADIUS 整合時,Arista PPSK 可實現動態 VLAN 導向。住戶或零售租戶使用其特定的 PPSK 連接到統一的 SSID。Arista AP 會向 Purple RADIUS 伺服器驗證該金鑰。Purple 會傳回標準的 Access-Accept,但會附加三個用於驅動 VLAN 分配的 RADIUS 屬性:

RADIUS 屬性 用途
Tunnel-Type 13 (VLAN) 指定通道類型
Tunnel-Medium-Type 6 (802) 指定媒介類型
Tunnel-Private-Group-ID 例如 "100" 要分配的特定 VLAN ID

Arista AP 會將裝置動態分配到該 VLAN。這在租戶之間提供了嚴格的 Layer 2 隔離,而無需廣播數十個獨立的 SSIDs,在保持絕對安全邊界的同時優化了射頻(RF)利用率。

使用 IEEE 802.1X 保護員工 WiFi 安全

對於員工網路,共享密碼存在安全風險。IEEE 802.1X(定義於 IEEE Std 802.1X-2020)使用每用戶憑證提供基於連接埠的網路存取控制。在 CV-CUE 中,您可以使用 WPA2-EnterpriseWPA3-Enterprise 安全協定來設定企業 SSID。AP 作為驗證者,透過 EAP(可延伸驗證協定)將憑證轉發至 RADIUS 伺服器。Purple 支援用於帳號/密碼驗證的 EAP-PEAP,以及用於憑證驗證的 EAP-TLS

對於 EAP-TLS 部署,您可以與 Microsoft Entra ID、Okta 或 Google Workspace 整合做為憑證授權單位。當員工裝置提供有效的用戶端憑證時,RADIUS 伺服器會向目錄進行驗證並回傳 Access-Accept。這完全消除了憑證遭竊取這一攻擊媒介。

Arista Cloud WIPS 整合

Arista 的無線入侵防禦系統(WIPS)在背景持續運作,掃描非法存取點、設定錯誤的 AP 和未授權的用戶端。在 CV-CUE 中,導覽至 Configure > WIPS > Automatic Intrusion Prevention 來設定防禦層級。Arista 提供四個層級:Degrade、Interrupt、Disrupt 和 Block。對於企業部署,請先從 Disrupt 開始,這會干擾未授權的通訊而不會完全封鎖,從而在初始部署期間降低誤判風險。

啟用 Configure > Device > Access Point > Security 頁籤底下的 SSID VLAN Monitoring,以確保 AP 主動監控其分配的 VLAN 是否有非法活動。Arista AP-3xx 系列型號支援同時監控多達 42 個 VLAN(Arista WIPS 文件,2025 年)。

實作指南

階段 1:網路分段與 RADIUS 設定

  1. 登入 Arista CV-CUE 並導覽至 Configure > Network Profiles > RADIUS
  2. 點擊 Add RADIUS Server
  3. 輸入主要 Purple RADIUS 伺服器的詳細資訊:IP 地址、驗證連接埠(1812)、計費連接埠(1813)以及來自 Purple 入口網站硬體設定頁面的共用金鑰(Shared Secret)。
  4. 對次要 Purple RADIUS 伺服器重複上述步驟,以確保高可用性。
  5. 在您的防火牆上驗證 Arista AP 與 Purple RADIUS 伺服器之間的 UDP 連接埠 1812 和 1813 是否已開啟。

階段 2:訪客 SSID 與 Captive Portal 設定

  1. 導覽至 Configure > WiFi > SSID 並點擊 Add New SSID
  2. 定義 SSID 名稱(例如 Guest_WiFi)並將 SSID 類型設定為 Guest
  3. Security 頁籤下,將安全性層級設定為 Open
  4. Network 頁籤下,設定具有專用 DHCP 範圍的預先驗證 VLAN(例如 VLAN 10)。5. 在 Captive Portal 索引標籤下,啟用 Captive Portal 核取方塊。
  5. 從 Cloud Hosted 下拉式選單中選擇 Third-Party Hosted
  6. 勾選 With RADIUS Authentication 並選擇 Purple RADIUS 設定檔。
  7. 輸入 Purple Splash Page URL(例如 https://region1.purpleportal.net/access/)和 Redirect URL(例如 https://region1.purpleportal.net/access/?res=success)。
  8. Called Station ID 格式設定為 %m(Purple 所需的 MAC 位址格式)。
  9. Accounting Interval 設定為 2 分鐘。
  10. 取消勾選 HTTPS Redirection 核取方塊。

階段 3:Walled Garden 部署

  1. 在 Captive Portal 索引標籤中,找到 Websites that users can access before login 區段。
  2. 新增上方列出的所有必要 Purple 網域和身分識別提供者 (IdP) 網域。
  3. 儲存 SSID 設定並將其套用至目標 Arista AP 群組。

階段 4:PPSK 多租戶設定

  1. 在 Purple 入口網站中,導覽至場地硬體設定並取得 PPSK RADIUS 設定。
  2. 在 CV-CUE 中,建立一個具有 WPA2-Personal 安全性的新 SSID,並啟用 PPSK 模式。
  3. 設定 SSID 以向 Purple RADIUS 設定檔進行驗證。
  4. 在 Purple 入口網站中,為每個租戶建立一個 PPSK 複雜密碼,並將其對應至對應的 VLAN ID。
  5. 確認連接至 Arista AP 的交換器連接埠已設定為主幹 (trunk) 傳輸所需的租戶 VLAN。

階段 5:安全員工 WiFi (802.1X)

  1. 在 CV-CUE 中建立一個新的企業 SSID。
  2. 在「安全性」索引標籤下,選取 WPA2-EnterpriseWPA3-Enterprise
  3. 選擇指向您企業身分識別提供者(Microsoft Entra ID、Okta 或 Google Workspace)的 RADIUS 設定檔。
  4. 設定 EAP 類型:使用者名稱/密碼使用 PEAP,基於憑證的驗證使用 EAP-TLS。
  5. 將員工 SSID 分配給與訪客 VLAN 隔離的專用 VLAN(例如 VLAN 20)。

最佳實踐

自動化 Walled Garden 更新。 身分識別提供者經常變更其 CDN 網域。請安排每季審查您的 Arista CV-CUE Walled Garden 設定,對照 Purple 更新的網域列表。若遺漏任何一個 CDN 項目,將會導致所有訪客的社群登入功能失效。

根據場地類型最佳化工作階段計時器。 在 Arista CV-CUE 中設定閒置逾時,以符合您場地的流量特性。零售環境適合使用 10 分鐘的閒置逾時,以便從已離開商店的裝置中回收 IP 位址。飯店部署應使用較長的逾時時間(4-8 小時),以避免在房客住宿期間重複觸發入口網站。

強制執行用戶端隔離 (Client Isolation)。 請務必在 Arista CV-CUE 中的訪客 SSID 上啟用 Client Isolation。這可防止訪客裝置互相通訊,從而降低橫向移動風險,並符合 PCI DSS 網路分割要求。 **啟用 RADIUS Accounting。**請確保以 2 分鐘的間隔啟用 RADIUS Accounting。這能為 Purple 提供準確的連線階段持續時間和數據傳輸指標,並傳送至 WiFi Analytics 儀表板,以進行準確的訪客停留時間分析。

**按 SSID 類型進行細分,而非按 AP。**將 Guest、Staff 和 Multi-Tenant SSIDs 套用至相同的 AP 群組。Arista CV-CUE 會處理每個 SSID 的 VLAN 標記,因此您不需要為每種使用者類型設置獨立的 AP。這在簡化硬體部署的同時,仍能保持嚴格的邏輯隔離。

如欲深入瞭解企業 WiFi 安全架構,請參閱我們的 企業 WiFi 安全:2026 年完整指南

案例研究

案例研究 1:擁有 350 間客房的連鎖飯店

一家擁有 12 家分店的中型連鎖飯店在所有地點部署了 Arista Wi-Fi 6E AP,並透過單一 CV-CUE 執行個體進行管理。其需求是提供具備行銷用電子郵件收集功能且有品牌標識的 Guest WiFi,並與物業管理系統 (PMS) 網路隔離,同時也為員工裝置提供 802.1X 支援。

該團隊為每家分店配置了三個 SSID:指向 Purple 的 Guest SSID (VLAN 10)、對應 Microsoft Entra ID 使用 802.1X 的 Staff SSID (VLAN 20),以及用於大樓管理裝置的 IoT SSID (VLAN 30)。Purple 平台在辦理入住時收集了訪客的電子郵件地址和同意書。在 90 天內,該連鎖飯店已從 68% 的訪客中收集了經驗證的第一方數據(Purple 內部數據),從而實現了精準的再次互動行銷活動。PMS 網路保持完全隔離,符合持卡人資料環境細分的 PCI DSS 要求。

案例研究 2:多租戶共同工作空間

一家管理八個地點的共同工作空間營運商需要為每個地點的 35 家會員公司提供隔離的 WiFi,而無需廣播 35 個 SSID。當時射頻 (RF) 環境已相當擁擠,SSID 暴增降低了所有會員的網路效能。

解決方案是每個地點使用一個結合 Arista PPSK 與 Purple RADIUS 的單一 SSID。每家會員公司都會收到一個專屬的 PPSK 密碼。Purple 將每個密碼對應到專屬的 VLAN(VLAN 100 至 VLAN 3500)。當會員連線時,Arista AP 會根據 Purple RADIUS 傳回的 Tunnel-Private-Group-ID 動態將其導向至其專屬的 VLAN。結果是每個地點的 SSID 從 35 個減少到 1 個,空口時間 (airtime) 效率顯著提升,且會員公司之間達到了完全的第二層 (Layer 2) 隔離。當會員合約結束時,營運商只需在 Purple 平台撤銷其密碼,即可在幾秒鐘內終止其存取權限。

疑難排解與風險緩釋

問題:Apple 裝置上無法載入 Splash 頁面。 iOS 使用特定的機制來偵測 Captive Portal。如果 Splash 頁面無法自動載入,請確認 Arista Walled Garden 已包含所有 Purple CDN 網域。如果 Walled Garden 限制過於嚴格,iOS 裝置將無法載入 Portal 資源並會中斷連線。

問題:MAC 位址隨機化導致無法識別回訪訪客。 iOS 14+ 與 Android 10+ 裝置會針對每個 SSID 隨機化其 MAC 位址。這會使 Purple 無法僅根據 MAC 位址來識別回訪訪客。請依賴已驗證的身分(電子郵件或社群登入)進行長期追蹤。若要實現無 Captive Portal 的無縫、安全重新連線,請遷移至 Passpoint/Hotspot 2.0 架構。

問題:動態 VLAN 導向在 PPSK 下失敗。 如果租戶被分配到預設 VLAN 而非其特定的 VLAN,請使用 Arista CV-CUE 疑難排解工具驗證 RADIUS 回應。請確保 Purple 回傳正確的 Tunnel-Private-Group-IDTunnel-TypeTunnel-Medium-Type 屬性,且指定的 VLAN 存在於連接到 Arista AP 的交換器連接埠上。

問題:Guest VLAN 上的 DHCP 位址池耗盡。 在人流量高的環境中,將閒置逾時時間縮短至 5-10 分鐘。如果場地的位址池使用率經常超過 80%,請擴大 DHCP 範圍大小。對於體育場或會議中心等高密度場地,請考慮使用 /22 或更大的子網路。

問題:RADIUS 計費資料顯示零秒工作階段。 請確認 Arista AP 與 Purple RADIUS 伺服器之間的防火牆已開啟 UDP 埠 1813。確認 CV-CUE SSID 設定中的計費間隔 (Accounting Interval) 設定為 2 分鐘。

如需企業環境中無線顯示和協定最佳做法的相關指引,請參閱 What Is Wireless Display: Protocols and Best Practices 2026

投資報酬率 (ROI) 與業務影響

將 Arista Cognitive Wi-Fi 與 Purple 結合部署,可將網路成本中心轉化為可衡量的企業資產。藉由強制執行合規的 Captive Portal,您可以降低違反 GDPR 罰款的風險(罰款最高可達全球年度總營業額的 4%)。更重要的是, Guest WiFi 登入頁面可收集經驗證的第一方資料。Purple 已在整個網路中收集了 290 億個資料點(Purple 內部資料),這證明了正確部署的客用 WiFi 架構所能產生的巨大規模。

對於 零售 場所而言,這些數據會直接匯入 CRM 系統,從而能夠根據造訪頻率和停留時間進行精準的行銷活動。對於 旅宿餐飲 業者,它能與回頭客進行個人化的重新互動。對於 交通 樞紐,它提供準確的旅客流量數據,為營運決策提供依據。對於 醫療保健 機構,它確保病患和訪客獲得適當的網路存取權限,同時保持臨床系統完全隔離。

Purple 平台以 99.999% 的運作時間運行(Purple 內部數據),確保訪客存取絕不會因平台可用性問題而中斷。結合 Arista 的雲端管理基礎設施,您將獲得一個端到端的架構,可從單一場所擴展到 80,000 多個地點,而無需變更架構。

如需更多整合背景資訊,請參閱我們的指南: NETGEAR Insight 與企業級存取點與 Purple WiFi 整合 。對於正在評估調查工具以輔助其 WiFi 分析的場所營運商,請參閱 調查設計:場所實用指南

關鍵定義

Arista CV-CUE

CloudVision Cognitive Unified Edge。用於配置、監控和管理 Arista Wi-Fi 存取點、交換器和網路設定檔(包括 RADIUS 和 SSID 設定)的集中式雲端管理平台。

IT 團隊使用 CV-CUE 來定義 SSID、配置 RADIUS 伺服器、設定 Walled Garden 規則,並從單一介面管理所有 Arista AP 的 WIPS 策略。

Captive portal

一個攔截未驗證網路流量的網頁,要求使用者在授予網際網路存取權限之前進行互動(登入、接受條款或付款)。在無線控制器或閘道器層級實施。

用於在 Guest WiFi 網路上擷取第一方數據並執行 GDPR 同意的主要介面。在 Arista 部署中,Captive Portal 功能被委託給 Purple 作為第三方託管服務。

Walled Garden

一種受限制的網路環境,在驗證之前僅允許存取特定的網域或 IP 位址白名單。在無線控制器上以 ACL 實施。

對於允許裝置在獲得完整網際網路存取權限之前到達 Purple 迎賓頁面和身分識別提供者(IdP)至關重要。隨著 CDN IP 範圍的變化,必須將其作為一項例行性維運工作進行維護。

PPSK (Private Pre-Shared Key)

一種安全機制,允許在單一 SSID 上使用多個唯一的密碼,每個密碼透過 RADIUS 驗證對照到不同的網路策略或 VLAN。

用於多租戶環境中,以提供安全、隔離的網路,而無需廣播大量的 SSID。支援 Purple RADIUS 的 Arista PPSK 可實現每個密碼的安全動態 VLAN 導向。

Dynamic VLAN steering

根據驗證期間傳回的 RADIUS 屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)將用戶端裝置分配到特定 VLAN 的過程,而不是靜態的 SSID 到 VLAN 對照。

對多租戶 WiFi 至關重要,允許單一 SSID 為多個隔離的使用者群組提供服務。需要連接到 AP 的交換器連接埠 Trunk 所有可能的租戶 VLAN。

RADIUS CoA (Change of Authorization)

RADIUS 協定(RFC 3576)的擴充功能,允許 RADIUS 伺服器動態修改活動工作階段的授權屬性,而無需重新驗證。

Purple 使用它來指示 Arista AP 在使用者完成入口網站登入後立即授予完整的網際網路存取權限,而無需裝置重新與 SSID 關聯。

IEEE 802.1X

一個用於基於連接埠的網路存取控制的 IEEE 標準,為連接到 LAN 或 WLAN 的裝置提供驗證機制。使用 EAP(可延伸驗證協定)在用戶端、驗證器和驗證伺服器之間傳遞認證。

員工 WiFi 的正確驗證標準。消除共享密碼,並實現與 Microsoft Entra ID 或 Okta 等企業身分識別提供者整合的單一使用者認證管理。

MAC address randomization

現代作業系統(iOS 14+、Android 10+)中的一項隱私功能,裝置會為其連接的每個 Wi-Fi 網路產生一個隨機的 MAC 位址,而不是使用硬體寫死的 MAC 位址。

影響僅根據硬體識別碼追蹤回訪訪客的能力。需要轉向基於身分識別的驗證(電子郵件、社群登入),以進行準確的訪客分析和 CRM 整合。

Client Isolation

一種無線網路設定,可防止連接到同一 AP 的用戶端裝置在 Layer 2 直接相互通訊,從而強制所有流量通過閘道器。

Guest WiFi 的強制性安全配置,以防止橫向移動和裝置對裝置攻擊。當訪客網路與付款系統共用實體基礎設施時,這也是符合 PCI DSS 合規性的必要條件。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

一種基於憑證的 EAP 方法,用戶端和驗證伺服器均出示 X.509 憑證以進行雙向驗證。被認為是企業 WiFi 最安全的 EAP 方法。

在高安全要求環境中推薦用於員工 WiFi 的驗證方法。透過要求由受信任的憑證授權單位核發的有效用戶端憑證,消除了基於密碼的認證竊取風險。

範例

一家擁有 40 個站點的零售連鎖店需要使用 Arista AP 在所有位置部署 Guest WiFi。他們要求訪客透過 Google Workspace 或 Facebook 進行驗證,並需要確保企業網路與訪客流量完全隔離。他們還需要符合 GDPR 規範的同意書擷取功能。

網路架構師在核心交換器上建立一個專用的 Guest VLAN (VLAN 50),並將其 Trunk 連接到 Arista AP。在 CV-CUE 中,建立一個新的 Guest SSID,對應到 VLAN 50,並啟用 Client Isolation。Captive Portal 設定為 Third-Party Hosted,指向 Purple。Walled Garden 設定為包含 Purple 的網域,以及 accounts.google.com、facebook.com 及其相關的 CDN。Purple RADIUS 伺服器設定為在連接埠 1812 和 1813 上進行驗證。Purple 入口網站設定了一個未勾選的 GDPR 同意核取方塊和通俗易懂的條款。當購物者連線時,他們會在 VLAN 50 上被隔離,透過 Purple 入口網站使用 Google 或 Facebook 進行驗證,並透過 RADIUS CoA 獲取存取權限。同意記錄與時間戳記以及條款版本會記錄在 Purple 中,滿足 GDPR 第 7 條的要求。

考官評語: 這種方法確保了企業與訪客流量之間絕對的 Layer 2 隔離。透過依靠 Purple 進行身分識別和同意層,並依靠 Arista 進行執行層,零售商無需複雜的本地基礎設施即可實現合規性和安全性。這裡的關鍵決策是在交換器層級使用 VLAN 切割,而不是僅依賴 AP 防火牆,這提供了縱深防禦。

一個共享工作空間需要為 40 家會員公司提供多租戶 WiFi。他們希望廣播單一 SSID,但為了安全起見,需要將每家會員公司隔離在各自的 VLAN 上。當會員的合約結束時,必須立即撤銷其存取權限。

IT 經理部署了 Arista AP,並使用 Arista PPSK 設定了單一 SSID。該 SSID 設定為對 Purple RADIUS 進行驗證。在 Purple 入口網站中,每家會員公司都被分配了一個專屬的密碼和特定的 VLAN ID(VLAN 100 到 VLAN 4000)。當來自 A 公司的使用者使用其密碼進行連線時,Arista AP 會查詢 Purple RADIUS。Purple 傳回一個包含 Tunnel-Type (13)、Tunnel-Medium-Type (6) 和 Tunnel-Private-Group-ID (100) 的 Access-Accept。AP 會動態地將使用者引導至 VLAN 100。當會員的合約結束時,營運人員會在 Purple 入口網站中撤銷該密碼。任何裝置下次嘗試使用該密碼進行連線時,都會收到 RADIUS Access-Reject,從而立即終止存取。

一個會議中心每週舉辦 10 場活動,每場活動都有不同的主辦單位,他們需要自己品牌的 Splash Page 和隔離的訪客網路。IT 團隊無法為每次活動重新設定 Arista 基礎設施。

會議中心使用 Arista PPSK 部署了永久的多租戶 WiFi 架構。每個活動主辦單位都在 Purple 入口網站中預先配置了專屬的 PPSK 密碼、專用 VLAN(例如:活動 A 為 VLAN 200,活動 B 為 VLAN 201)以及品牌化的 Splash Page 範本。Arista AP 全年廣播單一 SSID。活動主辦單位將其 PPSK 發送給與會者。與會者連線、對 Purple RADIUS 進行驗證、接收其分配的 VLAN,並看到主辦單位的品牌化入口網站。IT 團隊按照時程表在 Purple 入口網站中啟用和停用活動密碼,不需要對 Arista CV-CUE 設定進行任何變更。

考官評語: 這種架構乾淨地分離了營運關注點:Arista 處理射頻(RF)和執行層,Purple 處理身分識別和策略層。會議中心 IT 團隊管理一個穩定的基礎設施設定。特定活動的客製化完全透過 Purple 入口網站處理,這可以授權給活動主辦單位或場地營運人員,而不需要網路工程技能。

練習題

Q1. 飯店房客連線到 Guest WiFi SSID,但在他們的 iPhone 上,Captive Portal 登入頁面顯示空白畫面或逾時錯誤。企業 WiFi 運作完全正常。Arista AP 已上線,且可連至 Purple RADIUS 伺服器。您在 Arista CV-CUE 中首先應驗證的設定元素是什麼?您要尋找的特定項目又是什麼?

提示:考慮裝置在驗證完成前具有哪些網路存取權限,以及裝置載入 portal 頁面需要什麼。

查看標準答案

驗證 CV-CUE 中 Captive Portal 設定下的 Walled Garden 設定。Walled Garden 必須明確將 Purple portal 網域加入白名單:region1.purpleportal.net、venuewifi.com 和 cloudfront.net。如果缺少這些網域,裝置將無法載入 portal 資產。此外,請檢查 Captive Portal 偵測端點(iOS 的 captive.apple.com)是否未被阻擋。空白畫面通常表示 portal HTML 正在載入,但來自 CDN 的 JavaScript 或 CSS 資產被阻擋了。

Q2. 您正在使用 Arista PPSK 為擁有 30 家成員公司的共同工作空間部署多租戶 WiFi。使用者回報他們可以連線到 SSID 並取得 IP 位址,但他們全部都進入了預設的管理 VLAN(VLAN 1),而不是被分配的租戶 VLAN。可能缺少或設定錯誤的 RADIUS 屬性是什麼?您該如何驗證?

提示:思考 RADIUS 如何指示 AP 分配特定的網路區段,以及哪三個屬性共同作用以實現此目的。

查看標準答案

Purple RADIUS 伺服器可能未能於 Access-Accept 訊息中傳回動態 VLAN 屬性。必須存在三個屬性:Tunnel-Type(值為 13,代表 VLAN)、Tunnel-Medium-Type(值為 6,代表 802)以及 Tunnel-Private-Group-ID(特定 VLAN ID,為字串,例如 '100')。若要驗證,請使用 Arista CV-CUE 疑難排解工具來擷取測試連線的 RADIUS 互動。檢查 Access-Accept 封包中是否有這三個屬性。同時驗證連接 Arista AP 的交換器連接埠是否已設定為 Trunk 所有必要的租戶 VLAN — 如果 VLAN 未設定 Trunk,即使 RADIUS 屬性正確,AP 也無法將用戶端放入該 VLAN。

Q3. 一個每日有 200 名訪客的零售商場發現,Purple Analytics 顯示大量極短的工作階段(低於 1 分鐘),且 Guest VLAN 上的 DHCP 範圍在早上中旬就經常耗盡,導致新顧客無法連線。DHCP 範圍為 /24(254 個可用位址)。兩個最可能的原因是什麼?您在 Arista CV-CUE 和 DHCP 伺服器中應進行哪些特定的設定變更?

提示:考慮網路如何判定裝置何時已離開場域,以及現代裝置在掃描網路時的行為模式。

查看標準答案

兩個最可能的原因是:第一,閒置逾時時間過長,導致已離開商店的裝置工作階段仍保持作用中狀態;第二,MAC 位址隨機化導致裝置在每次造訪時顯示為新用戶端,從而消耗額外的 IP 租期。為了解決閒置逾時問題,請在 CV-CUE SSID 工作階段設定中將其縮短至 10 分鐘。這可確保清除過期工作階段,並將 IP 釋放回位址池。為了解決位址池耗盡問題,請將 DHCP 範圍擴大至 /22(1022 個可用位址),以容納隨機化產生的大量唯一 MAC 位址。此外,將 DHCP 租期時間縮短至 30 分鐘,以加速從已斷線裝置回收 IP。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →