跳至主要內容

Aruba ClearPass 對決 Purple WiFi:功能比較與協同部署

一份全面的技術指南,詳細介紹 Aruba ClearPass 與 Purple WiFi 的協同部署架構。內容涵蓋 RADIUS 代理設定、動態 VLAN 分配,以及在企業級 NAC 旁提供安全、數據分析驅動的訪客網路最佳實踐。

📖 6 分鐘閱讀📝 1,499 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
請以自信、具權威性且口語化的英式英語語氣發音。您是一位正在向客戶簡報的高級網路顧問。語速沉穩、吐字清晰、專業而不生硬。適時自然停頓以示強調: 歡迎來到本次 Purple 技術簡報。我是今天的主講人,今天我們要探討一個在我們參與的每個企業無線網路專案中幾乎都會遇到的問題:當您已經部署了 Aruba ClearPass 時,Purple WiFi 該如何定位?這兩個系統又是如何協同運作的? [中等停頓] 這不是理論上的討論。如果您是飯店集團、零售連鎖店或體育場館營運商的 IT 經理、網路架構師或安全工程師,這可能是您本季需要做出的決策。所以,讓我們開始吧。 [中等停頓] 介紹與背景。 [短暫停頓] 首先,讓我們明確了解每個平台的實際設計定位。Aruba ClearPass Policy Manager 是一個網路存取控制平台。它的職責是驗證裝置與使用者、評估終端安全狀態,並在您的整個網路中執行存取策略。它處理 802.1X(這是基於連接埠之網路存取控制的 IEEE 標準),使用 EAP 方法,例如搭配憑證的 EAP-TLS,以及搭配使用者名稱與密碼的 PEAP。它與 Microsoft Entra ID、Okta 及其他身分識別提供者整合。它能剖析裝置特徵、檢查它們是否符合您的安全策略,並將它們指派到正確的網路角色。對於企業內部裝置,ClearPass 表現極佳,它正是為了解決這種使用場景而建構的。 [中等停頓] Purple WiFi 則完全是另一種定位。Purple 是一個雲端客用 WiFi 智慧平台。它的職責是透過品牌專屬的 Captive Portal 驗證訪客、透過符合 GDPR 規範的同意流程獲取第一方數據,並將這些數據導入您的行銷與分析技術堆疊中。Purple 在全球 80,000 個場所運作,光是在 2024 年就處理了 4.4 億次登入。它整合了超過 400 個連接器,包括 CRM 與行銷自動化平台。對於客用網路,Purple 是這方面的專家。 [中等停頓] 大多數企業面臨的問題是,他們試圖用一個平台來完成這兩項工作。他們要不就是要求 ClearPass 來運作他們的客用入口網站(這雖然可行,但並不優雅),要不就是部署了 Purple 卻沒有思考它如何與現有的 NAC 投資並存。正確的答案是採用共同部署架構,讓每個平台各司其職,發揮所長。 [中等停頓] 技術深挖。 [短暫停頓] 讓我帶您了解一下這個架構。在共同部署中,您的 Aruba Mobility Controller 或 Aruba Instant 無線基地台會廣播多個 SSID。通常是三個:一個用於企業裝置、一個用於訪客,另一個用於 IoT。如需進一步了解這種 SSID 設計模式,Purple 發表了一份名為 Three SSIDs to rule them all 的詳細指南,我建議您在閱讀本簡報時一併參閱。 [中等停頓] 企業 SSID 使用結合 EAP-TLS 的 802.1X。裝置使用透過 ClearPass Onboard 佈署的憑證進行驗證,這是 ClearPass 內建的憑證註冊與裝置佈署模組。ClearPass 會檢查裝置狀態、驗證憑證、查詢 Active Directory 或 Microsoft Entra ID,並將裝置分配到適當的 VLAN。通常企業網路為 VLAN 10。這整個流程都留在 ClearPass 內。Purple 並未參與。 [medium pause] 訪客 SSID 則是進行整合的地方。當訪客連線到訪客 SSID 時,Aruba 控制器會攔截其 HTTP 流量,並將其瀏覽器重新導向至 Purple 的 Captive Portal。訪客透過 Purple 進行驗證,可能使用透過 Google 的社群登入、自訂電子郵件表單,或 OpenRoaming(其中 Purple 在 Connect 授權下作為免費的身分識別提供者)。一旦 Purple 驗證了訪客,它會向控制器發送回 RADIUS Access-Accept 訊息,進而授予網際網路存取權限。 [medium pause] 現在,關鍵的架構決策在於,您是要將 ClearPass 作為 RADIUS 代理伺服器插入到控制器與 Purple 之間,還是讓控制器直接與 Purple 的 RADIUS 伺服器進行通訊。對於大多數企業部署而言,代理模式是正確的選擇。原因如下。 [medium pause] 將 ClearPass 作為 RADIUS 代理伺服器後,您網路上的每個驗證事件(包括企業與訪客)都會流經 ClearPass。您會獲得單一稽核軌跡。您的安全性作業團隊可以在同一個地方看到所有內容。ClearPass 可以在將回應返回給控制器之前,附加自己的原則屬性,從而實現基於角色的動態 VLAN 分配。而且您保留了對訪客工作階段執行額外原則的能力,例如頻寬限制或基於時間的存取限制。 以英式英文發音,語氣自信、權威且口語化。您是一位正在向客戶簡報的資深網路顧問。步調沉穩、咬字清晰,專業而不生硬: ClearPass 中的代理設定非常簡單。您建立一個 RADIUS 路由原則,透過 NAS 識別碼或呼叫站點 ID 來比對訪客 SSID。符合該原則的要求會被轉發到 Purple 的雲端 RADIUS 伺服器。Purple 做出回應,ClearPass 附加 Aruba-User-Role 廠商專屬屬性,然後控制器將訪客放入僅有網際網路存取權限的 VLAN 20 中。 [medium pause] 對於 IoT 裝置,第三個 SSID 使用 MAC 驗證略過。ClearPass 使用裝置的 OUI(MAC 地址的前六個字元,用於識別製造商)來分析裝置特徵,並將其分配給 ROLE_IOT,進而對應到 VLAN 30。此 VLAN 沒有網際網路存取權限,只有本機連線能力。您的智慧電視、恆溫器和門鎖與企業和訪客流量完全隔離。 [medium pause] 讓我們來談談合規性,因為這正是此架構發揮價值的所在。在 PCI-DSS 規範下,任何接觸持卡人資料的網路區段都必須與訪客網路隔離。此架構中的 VLAN 區段劃分完全滿足了這項要求。在 GDPR 規範下,Purple 的 Captive Portal 透過主動選擇的同意機制來處理同意書收集,這意味著訪客是主動選擇分享他們的資料,而不是在預設情況下被動收集。Purple 已通過 ISO 27001 認證、符合 GDPR 規範,並擁有 Cyber Essentials 認證。ClearPass 則提供了您安全團隊進行合規性報告所需的稽核軌跡。 [medium pause] 導入建議與常見陷阱。 [short pause] 讓我為您說明此部署中最常出錯的五個問題,以及如何避免這些問題。 [medium pause] 第一:圍牆花園(Walled Garden)。在訪客進行身分驗證之前,Aruba 控制器僅允許流量流向預先定義的目的地清單。如果 Purple 的入口網站網域、其 CDN 端點以及社群登入提供商的網域不在該清單中,入口網站將無法載入。您需要將 star dot purple dot ai、star dot cloudfront dot net 以及您啟用的任何社群登入提供商的 OAuth 網域包含進去。Google、Facebook、Apple 和 Microsoft Entra ID 都各有其專屬的網域集。請將圍牆花園視為需要動態調整的設定,因為社群登入提供商會定期變更其 CDN 網域。 [medium pause] 第二:RADIUS 逾時。大多數 Aruba 控制器上的預設 RADIUS 逾時時間為三秒。在代理架構中,請求從存取點傳送到控制器,再到 ClearPass,然後跨越網際網路到達 Purple 的雲端 RADIUS,最後返回。在擁擠的網路中,該往返時間可能會超過三秒。請將您的逾時時間設定為至少十秒,並配置至少重試兩次的重試邏輯。 [medium pause] 第三:共用金鑰(Shared Secret)不相符。Aruba 控制器與 ClearPass 之間的共用金鑰必須完全一致。ClearPass 與 Purple 的 RADIUS 伺服器之間的共用金鑰也必須完全一致。單一字元的差異就會導致無聲的身分驗證失敗,且不會向訪客顯示任何有意義的錯誤訊息。請務必逐字核對這些字元。 [medium pause] 第四:角色名稱區分大小寫。ClearPass 傳回的 Aruba-User-Role 屬性必須與 Aruba 控制器上定義的角色名稱完全一致,包括大小寫。如果 ClearPass 傳回 guest-authenticated,但控制器上定義的是 Guest-Authenticated,訪客將退回到預設的登入角色,且無法存取網際網路。 [medium pause] 第五點:RADIUS accounting 記帳。許多部署正確配置了驗證代理,但忘記同時代理記帳。Purple 使用 RADIUS accounting 數據來追踪工作階段持續時間、數據使用量,並生成分析儀表板。如果記帳數據沒有傳送到 Purple,您的客流量分析和停留時間報告將不完整。 [medium pause] 快速問答。 [short pause] 我可以在 Aruba Instant 上運行此功能,而不是完整的 Mobility Controller 嗎?可以。Aruba Instant 支援外部 RADIUS 伺服器和 Captive Portal 重新導向。配置略有不同,但原理完全相同。 [medium pause] Purple 支援 Change of Authorisation 嗎?支援。CoA 允許控制器動態更新訪客的工作階段,而無需他們重新連線。這對於限時存取或升級方案非常有用。 [medium pause] 這適用於 WPA3 嗎?適用。我們同時支援用於個人網路的 WPA3-SAE 以及用於 802.1X 的 WPA3-Enterprise。對於使用 Captive Portal 的訪客網路,通常會選擇 WPA3-SAE 或帶有商機無線加密(Opportunistic Wireless Encryption)的開放式 SSID。 [medium pause] 我可以為員工和訪客使用單一 SSID 嗎?可以,但這會增加複雜性。ClearPass 可在同一個 SSID 上處理 802.1X 和 MAC 驗證,並使用服務規則來區分流量類型並進行相應路由。對於大多數場所,使用獨立的 SSID 是更乾淨的選擇。 [medium pause] 總結與後續步驟。 [short pause] ClearPass 與 Purple 是互補的,而非競爭關係。ClearPass 是您企業設備的策略引擎:負責 802.1X、端點合規狀態、憑證管理和統一稽核軌跡。Purple 則是您的訪客情報平台:提供品牌化 Captive Portal、符合 GDPR 規範的數據收集、客流量分析和行銷自動化。 [medium pause] 共同部署架構將 ClearPass 作為 RADIUS 代理。所有驗證請求都流經 ClearPass。訪客請求會路由至 Purple 的雲端 RADIUS。企業請求則由 ClearPass 在本地處理。Aruba 控制器透過動態 VLAN 分配來執行產生的策略。 [medium pause] 您必須正確配置的三個要素是:Walled Garden 圍牆花園、RADIUS 逾時和角色名稱一致性。做好這三點,您就能擁有一個合規、具商業價值且不損害企業安全防護能力的訪客 WiFi 部署。 [medium pause] 您的後續步驟:從 Purple 儀表板中獲取您的 Purple 場所 RADIUS 憑證,查看隨附書面指南中的 Walled Garden 參考清單,並在正式上線前使用專用測試設備測試完整的驗證流程。如果您要部署在多個站點,Purple 的多站點管理主控台可讓您從單一介面管理整個資產的 Captive Portal 配置、品牌形象和分析數據。 [medium pause] 感謝您的收聽。歡迎造訪 purple.ai 聯絡我們的解決方案架構師,討論您的特定部署需求。

header_image.png

執行摘要

對於大量投資 HPE Aruba 基礎設施的企業環境而言,在管理複雜的網路存取策略的同時提供無縫且數據豐富的客用 WiFi 體驗,面臨著重大的架構挑戰。雖然 Aruba ClearPass Policy Manager 在企業裝置的網路存取控制 (NAC) 和 802.1X 安全性方面表現優異,但其內建的 Captive Portal 通常缺乏現代場所所需的高階行銷自動化和分析功能。本指南將詳細介紹如何將 Purple WiFi 與 ClearPass 整合,讓各個平台能夠專注於其核心優勢。

透過將 ClearPass 部署為 RADIUS 代理伺服器,您可以為企業和 IoT 裝置維護統一的安全稽核軌跡和動態 VLAN 分配,同時將客用登入體驗卸載給 Purple。這種方法能夠實現符合 GDPR 規範的第一方數據擷取、詳細的客流量分析,以及與 400 多個行銷連接器的整合 - 完全無需取代您現有的 Aruba NAC 投資。本文件提供了此協同部署的技術藍圖,涵蓋架構、設定工作流程和最佳實踐。

技術深入探討

Aruba ClearPass 和 Purple WiFi 的整合依賴於標準的 RADIUS 協定和 HTTP 重新導向機制,圍繞著 RADIUS 代理架構構建。此設計可確保 ClearPass 仍是所有網路存取的中央策略決策點,而 Purple 則管理面向顧客的 Captive Portal 和數據收集。

核心架構

在標準的協同部署中,您的 Aruba Mobility Controller 或 Aruba Instant Access Point 會廣播多個 SSID。如 三個 SSID 搞定一切:客用、員工和 IoT 的 WiFi 設計 中詳細介紹的典型設計模式,利用了三個專屬網路:

  1. 企業 SSID: 利用具有 EAP-TLS 的 802.1X。裝置使用透過 ClearPass Onboard 佈署的憑證進行驗證。ClearPass 會評估裝置狀態、查詢 Microsoft Entra ID 或 Active Directory,並將裝置分配到企業 VLAN (例如 VLAN 10)。Purple 不參與此流程。
  2. IoT SSID: 利用 MAC 驗證略過 (MAB)。ClearPass 使用其組織唯一識別碼 (OUI) 對裝置進行設定檔分析,並將其分配到無法存取網際網路的隔離 IoT VLAN (例如 VLAN 30)。
  3. 客用 SSID: 一個開放式或機會性無線加密 (OWE) 網路,可觸發 Purple Captive Portal。 architecture_overview.png

RADIUS Proxy 流程

當訪客連線至訪客 SSID 並開啟瀏覽器時,Aruba 控制器會攔截 HTTP 流量,並將工作階段重導向至 Purple Captive Portal URL。訪客會透過 Purple 使用社群登入、自訂表單或 OpenRoaming(在 Connect 方案下,Purple 做為免費的身分識別提供者)進行驗證。

一旦 Purple 驗證了訪客身分,就會傳送 RADIUS Access-Accept 訊息。然而,此時並非由 Aruba 控制器直接聯絡 Purple 的雲端 RADIUS 伺服器,而是將 ClearPass 整合為 RADIUS Proxy:

  1. Aruba 控制器將所有 RADIUS 請求傳送至 ClearPass。
  2. ClearPass 根據其服務規則評估該請求。如果請求與訪客 SSID 相符(透過 Called-Station-Id 或 NAS 識別碼識別),RADIUS 路由原則會將請求轉發至 Purple 的 RADIUS 伺服器。
  3. Purple 回應 Access-Accept 訊息。
  4. ClearPass 接收此回應並套用其自身的強制執行原則(Enforcement Policy),在將最終回應轉發給控制器之前,附加特定的廠商專屬屬性(VSA)。

動態角色型 VLAN 指派

此架構中的關鍵 VSA 為 Aruba-User-Role。當 ClearPass 將 Access-Accept 訊息轉發至控制器時,會包含此屬性,以精確定義訪客在無線網路上應取得的角色。

例如,ClearPass 可以傳回 Aruba-User-Role = guest-authenticated。在 Aruba 控制器上,此角色會對應至 VLAN 20,該 VLAN 配置了允許網際網路存取但阻擋路由至內部企業子網域的防火牆原則。此區隔對於符合 PCI-DSS 等標準至關重要 [1]。

comparison_chart.png

實作指南

部署此架構需要在 Aruba 基礎架構和 ClearPass 上進行精確的設定。請遵循以下與廠商無關的步驟來建立整合。

步驟 1:在 ClearPass 中設定 Purple RADIUS 伺服器

導覽至 ClearPass 中的「Configuration > Network > Devices」,並將 Purple 的主要與次要 RADIUS 伺服器新增為網路裝置。您需要準備 Purple 場域設定儀表板中提供的 IP 位址與共用密鑰。

步驟 2:建立 RADIUS 路由原則

在 ClearPass 中建立新的 RADIUS 路由原則。此原則將決定在何種條件下將請求代理傳送至 Purple。將主要與備用目的地設定為您在步驟 1 中設定的 Purple RADIUS 伺服器。

步驟 3:定義訪客服務

在 ClearPass 中建立一個用於訪客驗證的新服務。

  • 類型: RADIUS 強制執行 (通用)
  • 服務規則: 符合包含您 guest SSID 名稱的 Radius:IETF:Called-Station-Id
  • 路由原則: 選擇在步驟 2 中建立的原則。
  • 強制執行原則: 設定一個原則以傳回 Aruba-User-Role VSA,其值對應於 Aruba 控制器上的 guest 角色。

步驟 4:在控制器上設定 Walled Garden

Walled garden 是裝置在驗證前可以存取的網域清單。這是在 Aruba 控制器上設定(或透過 ArubaOS 10 中的存取規則設定)。您必須包含 Purple 的核心網域:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

如果您要啟用社群登入,還必須為每個供應商新增 OAuth 網域(例如 *.facebook.com*.google.com*.microsoftonline.com)。

步驟 5:設定 RADIUS 計費

確保 RADIUS 計費也透過 ClearPass 代理至 Purple。Purple 使用計費資料(Acct-StartAcct-Interim-UpdateAcct-Stop)來追蹤工作階段持續時間並填入其 WiFi Analytics 儀表板。在 Aruba 控制器上將計費間隔設定為 5 分鐘。

最佳實踐

為確保部署穩健且一致,請遵循以下產業標準建議。

  • 嚴格隔離流量: 務必將 guest 流量置於專用的 VLAN 上,且不提供通往企業資源的路徑。這是符合 PCI-DSS 與一般網路安全的基本要求。
  • 代理計費資料: 請勿忽略 RADIUS 計費。如果計費封包未到達 Purple,您的客流量分析和停留時間報表將會不完整。
  • 啟用 WISPr: 在 Aruba 控制器的 Captive Portal 設定檔上,確保已啟用 WISPr(無線網際網路服務供應商漫遊)。此協定允許行動作業系統自動偵測 Captive Portal 並無縫顯示登入畫面。
  • 使用主動選擇加入: 為了符合 GDPR 規範,請將您的 Purple 傳送門設定為在行銷傳播中使用明確的勾選方塊來表示同意,而不是使用預先勾選的方塊或假設同意 [2]。

疑難排解與風險緩釋

即使進行了仔細的設定,整合仍可能會失敗。以下是最常見的失敗模式及其解決方法。

Walled Garden 設定錯誤

如果 Captive Portal 無法在訪客的裝置上載入,根本原因幾乎總是 Walled garden。社群登入供應商會頻繁更新其 CDN IP 範圍和網域名稱。請將 Walled garden 視為持續變更的設定。如果特定的社群登入失敗,請使用封包擷取來識別裝置嘗試存取哪個網域,並將其新增至允許清單中。

RADIUS 逾時錯誤

在大多數 Aruba 控制器上,預設的 RADIUS 逾時時間為 3 秒。在代理架構中,驗證請求必須從 AP 傳送到控制器、傳送到 ClearPass、經由網際網路傳送到 Purple 的雲端基礎架構,然後返回。在擁擠的網路中,此往返時間很容易超過 3 秒,進而導致控制器捨棄該請求。請將 Aruba 控制器上的 RADIUS 逾時時間增加至至少 10 秒,並設定重試邏輯。

共用金鑰不相符

RADIUS 依賴共用金鑰來確保安全性。如果 Aruba 控制器與 ClearPass 之間,或是 ClearPass 與 Purple 之間的共用金鑰沒有完全一致,驗證將會默默失敗。訪客將不會看到任何有意義的錯誤訊息。如果驗證失敗,請務必逐字核對這些金鑰。

角色名稱區分大小寫

ClearPass 傳回的 Aruba-User-Role VSA 值必須與 Aruba 控制器上定義的角色名稱完全相符,包括大小寫。如果 ClearPass 傳回 guest-authenticated,但控制器預期的是 Guest-Authenticated,訪客將會退回到預設的登入角色,且無法存取網際網路。

投資報酬率(ROI)與業務影響

部署 Purple WiFi(而非基本的本機 Captive Portal)能為多個部門帶來可衡量的商業價值。

  • 行銷影響: 透過入口網站收集第一方數據,場域的行銷資料庫能獲得顯著增長。例如,Harrods 利用 Purple 推動會員計劃註冊,實現了 57 倍的行銷投資報酬率 [3]。
  • 營運效率: RADIUS 代理架構減輕了 IT 的營運負擔。安全團隊可在 ClearPass 中對所有網路存取事件進行單一介面管理,從而簡化合規性報告與疑難排解。
  • 變現: 對於 交通運輸旅宿餐飲 產業的場域,Purple 支援分級頻寬模式。AGS Airports 透過在免費基本頻寬之外實施付費高級 WiFi 級別,創造了 842% 的投資報酬率 [4]。

透過實施此協同部署,您能將訪客網路從成本中心轉變為創造營收的資產,同時維持企業 IT 所需的嚴格安全防護。

參考資料

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [३] Purple. "Harrods Guest WiFi Case Study." [४] Purple. "AGS Airports Guest WiFi Case Study."

關鍵定義

RADIUS 代理

一種網路架構,其中介伺服器(ClearPass)接收來自網路裝置(Aruba 控制器)的認證請求,並將其轉發至相應的後端伺服器(Purple),允許該代理伺服器檢查、記錄或修改流量。

用於在 ClearPass 中維持單一安全性稽核追蹤,同時允許 Purple 處理訪客認證。

Walled Garden (圍牆花園)

一種受限的環境,用於在使用者獲得網路完全授權之前,控制其對網路內容的存取。

對 Captive Portal 至關重要;Walled Garden 必須允許存取入口網頁的託管網域和社群媒體登入提供商,以便載入登入頁面。

廠商特定屬性 (VSA)

RADIUS 協定中的自訂資料欄位,允許硬體廠商支援標準 RADIUS RFC 中未定義的專有功能。

ClearPass 使用「Aruba-User-Role」VSA 來告知 Aruba 控制器確切要分配給訪客使用者的防火牆角色和 VLAN。

802.1X

一種用於基於連接埠之網路存取控制的 IEEE 標準,為希望連線到 LAN 或 WLAN 的裝置提供認證機制。

ClearPass 用於保護企業裝置安全的主要協定,通常使用帶有憑證的 EAP-TLS。

Captive Portal

公共存取網路的使用者在獲得存取權限之前,必須瀏覽並與之互動的網頁。

Purple 提供 Captive Portal 介面以收集訪客數據、展示品牌形象並收集行銷同意書。

MAC 認證繞過 (MAB)

一種當裝置不支援 802.1X 用戶端時,使用裝置的 MAC 地址在網路上進行認證的技術。

ClearPass 用於識別和認證無介面的 IoT 裝置(如智慧電視或恆溫器)並將其放入隔離 VLAN 的技術。

動態 VLAN 分配

根據裝置的認證認證或角色,自動將其分配到特定虛擬區域網路的程序,而非根據其連線的 SSID。

允許單一實體網路基礎架構安全地分割企業、訪客和 IoT 流量。

WISPr

無線網路服務供應商漫遊;一種允許裝置自動偵測 captive portals 的協定。

必須在 Aruba 控制器上啟用,以便行動裝置在連接到訪客 WiFi 時自動彈出 Purple 登入畫面。

範例

一家擁有 500 間客房的飯店需要為員工部署安全的企業 WiFi,並為訪客提供具備品牌形象與數據收集功能的訪客入口網頁,且需使用現有的 Aruba 控制器與 ClearPass。

部署兩個 SSID:「Hotel_Corp」與「Hotel_Guest」。將「Hotel_Corp」設定為透過 ClearPass 針對 Active Directory 進行 802.1X 認證,並將員工分配至 VLAN 10。將「Hotel_Guest」設定為開放網路,並重新導向至 Purple Captive Portal。將 ClearPass 設定為訪客 SSID 的 RADIUS 代理,將請求轉發至 Purple。設定 ClearPass 在 Purple 認證成功後返回「Aruba-User-Role」VSA,將訪客分配至隔離的 VLAN 20。

考官評語: 此方法完美隔離了企業與訪客流量,滿足 PCI-DSS 合規要求。它發揮了 ClearPass 在 802.1X 認證上的強項,同時將訪客入口網頁與分析功能分流至 Purple,避免了需要兩套獨立 NAC 解決方案的麻煩。

訪客正在連線至訪客 SSID,但其裝置上無法載入 Purple Captive Portal 頁面。

檢查並更新 Aruba 控制器上的 Walled Garden(圍牆花園)設定。確保已明確允許 Purple 的核心網域(.purple.ai、.cloudfront.net、*.venuewifi.com)。如果啟用了社群媒體登入,請驗證預先認證允許清單中是否也包含了所有必要的 OAuth 網域(例如 .facebook.com、.google.com)。

考官評語: Walled Garden 設定錯誤是 Captive Portal 載入失敗最常見的原因。裝置必須能夠在網路完全授權之前,連線到託管入口網頁的基礎架構和 CDN。

練習題

Q1. 您已將 ClearPass 設定為代理訪客驗證至 Purple。訪客在 Purple 入口網站上成功完成驗證,但 Aruba 控制器卻將其歸於預設的「logon」角色(無網際網路存取權限),而非預期的「guest-access」角色。最可能的設定錯誤是什麼?

提示:檢查 ClearPass 如何將角色分配回傳給控制器。

查看標準答案

角色名稱的大小寫不一致。ClearPass 傳回的 Aruba-User-Role VSA 值必須與 Aruba 控制器上定義的角色名稱完全一致。如果存在拼寫錯誤或大小寫不匹配(例如「Guest-Access」與「guest-access」),控制器將無法識別該角色,並會將使用者置於預設的限制狀態。

Q2. 某零售連鎖店希望部署 Purple WiFi 以進行訪客數據分析,但其安全團隊堅持所有網路驗證事件都必須集中記錄在現有的 Aruba ClearPass 系統中以符合法規合規。應如何設計此架構?

提示:考量 RADIUS 流量如何在存取點、ClearPass 和 Purple 之間流動。

查看標準答案

實作 RADIUS 代理架構。將 Aruba 控制器設定為將所有 RADIUS 請求發送到 ClearPass。在 ClearPass 中,建立一個路由原則,將來自訪客 SSID 的請求轉發到 Purple 的雲端 RADIUS 伺服器。這可確保 Purple 處理訪客入口網站和數據分析,而 ClearPass 則維持所有驗證事件的完整、集中式稽核軌跡。

Q3. 部署整合後,行銷團隊回報 Purple 分析儀表板顯示訪客「停留時間」的數據為零,即使訪客已成功連接並使用網際網路。漏掉了哪個設定步驟?

提示:停留時間計算需要工作階段狀態的持續更新,而不僅僅是初始驗證。

查看標準答案

RADIUS 計費未被代理傳送至 Purple。雖然驗證代理允許使用者存取網路,但 Purple 需要 RADIUS 計費封包(Acct-StartAcct-Interim-UpdateAcct-Stop)來計算工作階段持續時間和停留時間。您必須確保將 ClearPass 設定為將計費數據代理傳送到 Purple,並將控制器設定為傳送過渡更新(例如,每 5 分鐘一次)。