跳至主要內容

HPE Aruba Captive Portal:搭配 Purple 訪客 WiFi 進行設定

在 HPE Aruba Instant 基地台上,透過 Aruba Central 或 Virtual Controller,使用外部 Captive Portal、RADIUS 與允許清單來設定 Purple 訪客 Captive Portal。

📖 2 分鐘閱讀📝 129 字數📚 5 關鍵定義

收聽此指南

查看播客逐字稿
CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Purple 技術簡報 — 大約 10 分鐘 [簡介與背景 — 大約 1 分鐘] 歡迎來到 Purple 技術簡報系列。我是您的主持人,今天我們要探討在每次企業無線部署討論中幾乎都會提到的主題:如何在 Aruba 架構上設定 Captive Portal,特別是如何將該入口網站連接到 Purple 的訪客 WiFi 智慧平台。 如果您正在運行 Aruba Instant AP,或者正透過 Aruba Central 管理整套存取點設備,本集內容非常適合您。我們將快速進行 — 這是針對從業人員的簡報,而非學術講座 — 因此我假設您已熟悉 WLAN 設定畫面,並了解 RADIUS 驗證的基本概念。 我們要解決的核心問題是:Aruba 內建的訪客入口網站雖然功能實用,但有所限制。它無法提供企業場域所需的行銷數據收集、符合 GDPR 規範的同意流程或即時分析。將其替換為 Purple 的外部 Captive Portal 是正確的架構決策,今天我將帶您逐步完成設定。 [技術深究 — 大約 5 分鐘] 讓我們從架構開始。當訪客連接到您的 Aruba SSID 並開啟瀏覽器時,AP 會攔截 TCP 連接埠 80 上的 HTTP 請求,並將其重新導向至外部入口網站 URL - 在此處即為 Purple 的雲端託管 Splash Page。訪客透過 Purple 的入口網站進行驗證,該網站隨後會向 UDP 連接埠 1812 上的 Purple RADIUS 伺服器傳送 RADIUS Access-Request。驗證成功後,RADIUS 伺服器會傳回 Access-Accept 訊息,AP 隨即授予用戶端完整的網際網路存取權限。在整個連線期間,記帳記錄會透過 UDP 連接埠 1813 傳送。 這就是基本的流程。現在讓我們進入設定細節。 您可能會使用兩種管理介面:Aruba Instant(運行 ArubaOS 8.x 的地端虛擬控制器模式)與 Aruba Central(HPE 的雲端管理平台)。設定步驟在概念上相似,但設定位置有所不同。 首先從 ArubaOS 8 上的 Aruba Instant 開始。首先,您需要設定 RADIUS 伺服器。導覽至 Security,然後點選 Authentication Server,並點選 New。您需要從 Purple 平台取得四項資訊:主要伺服器 IP 位址、驗證連接埠(通常為 1812)、記帳連接埠(通常為 1813)以及共用密鑰(Shared Secret)。Purple 會在您的場域設定儀表板中提供這些資訊。另外請新增一部次要伺服器以實現容錯移轉;Purple 營運著多區域的 RADIUS 架構,因此您會獲得一個地理位置合適的備用伺服器。 接下來,建立 External Captive Portal 設定檔。前往 Security,然後點選 Captive Portal,點擊 New,並將 Type 設定為 External。輸入來自您 Purple 場域設定的 splash page URL - 這將會是一個由 Purple 託管的 HTTPS 端點。將 port 設定為 443,啟用 Use HTTPS,並且最關鍵的是,將 WISPr 欄位設定為 Enabled。WISPr - 即 Wireless Internet Service Provider roaming - 是一種允許裝置自動偵測 Captive Portal 並正確顯示的協定,特別是在使用背景 Captive Portal 偵測的 iOS 和 Android 裝置上。若未啟用 WISPr,某些裝置將無法自動觸發 Portal。 現在來設定 Guest SSID。建立一個新的 WLAN,將 Primary Usage 設定為 Guest,並在 Security 頁籤中,將 Splash Page Type 設定為 External - RADIUS Server。指派您剛建立的 Captive Portal 設定檔和 RADIUS 伺服器。將 Reauth Interval 設定為合理的數值 - 1440 分鐘(即 24 小時)是餐旅業環境的常見選擇。如果您希望返回的顧客在該時段內的後續造訪中跳過 Portal,請啟用 MAC 驗證。 對於 AOS-8 上的 Aruba Central,流程基本上相同,但需透過 Devices、Config、WLANs 下的 WLAN 精靈進行存取。將 Security Level 設定為 Visitors,Type 設定為 External Captive Portal,並使用 Purple splash URL 建立一個新的 Captive Portal 設定檔。新增您的主要和次要 RADIUS 伺服器,啟用計費(accounting),並將計費間隔(accounting interval)設定為 5 分鐘。這個間隔非常重要 - 它能確保 Purple 的分析平台定期接收工作階段更新,以進行準確的停留時間和互動報告。 在雲端優先架構的 AOS-10 上,有一個重要的差異:Walled Garden 不再於 WLAN Security 頁籤中設定。相反地,您必須透過 Access Rules 進行設定。您需要建立一個預先驗證角色(例如命名為 Guest Logon),並為 Walled Garden 白名單中的每個網域新增允許規則。接著,將該角色指派為 SSID 上的 Pre-Authentication Role。 說到 Walled Garden - 這通常是大多數部署出錯的地方。Walled Garden 是未驗證顧客在完成 Portal 流程之前可以存取的網域清單。若沒有這些項目,Portal 本身將無法載入,因為顧客的裝置無法連線至 Purple CDN 來下載 splash page 資源。 必須設定的 Purple 項目為:*.purple.ai、*.cloudfront.net 和 *.venuewifi.com。如果您使用社群登入(Google、Facebook、Apple、Microsoft),則需要為每個供應商新增相關的 OAuth 網域。Google 需要 *.google.com、*.googleapis.com 和 *.gstatic.com。Facebook 需要 *.facebook.com、*.fbcdn.net 和 connect.facebook.net。Apple 登入需要 *.apple.com 和 appleid.apple.com。Microsoft Entra ID 則需要 *.microsoft.com 和 *.microsoftonline.com。 有一點值得特別注意:在 Aruba 上,您可以在 Captive Portal 設定檔中啟用「自動 URL 白名單(Automatic URL Whitelisting)」。此功能會動態將入口網站頁面所引用的 URL 加入白名單。這適合作為備用方案,但我建議在生產環境中明確設定 Walled Garden,而不是依賴自動白名單,因為這樣更可預測且更易於審計。 我們來具體談談 RADIUS 參數。Purple 使用的金鑰屬性包括:NAS-IP-Address(用於識別您的 AP 或控制器);Called-Station-Id(格式為「MAC-address:SSID-name」,攜帶 BSSID 與 SSID,Purple 使用此屬性將工作階段對應到特定的場域和無線基地台);以及 Calling-Station-Id(即用戶端 MAC 位址)。在記帳(Accounting)方面,Acct-Session-Id 提供唯一的工作階段識別碼,而 Acct-Status-Type 則攜帶 Start、Interim-Update 和 Stop 事件。請確保您的 Aruba 設定會傳送這三種記帳事件類型 - 部分部署僅傳送 Start 和 Stop,這意味著 Purple 的分析會漏失精確計算停留時間所需的過渡工作階段數據。 [實作建議與常見陷阱 — 約 2 分鐘] 讓我為您提供我會給任何部署此方案的客戶的實務建議。 第一:在正式上線前,務必使用專用的測試裝置進行測試。連線至訪客 SSID,開啟瀏覽器並輸入 HTTP URL - 而非 HTTPS - 並驗證是否觸發重導向。如果您直接前往 HTTPS,重導向將無法運作,因為 AP 無法攔截加密的流量。這是我們最常收到的第一大支援要求。 第二:防火牆規則。您的 AP 管理 VLAN 或控制器需要透過連接埠 1812 和 1813,向外連線(Outbound)UDP 存取 Purple 的 RADIUS 伺服器 IP。如果您的 AP 與網際網路之間設有狀態防火牆,請確保其允許這些 UDP 流量。RADIUS 是無連線的,因此某些防火牆需要明確的規則,而不能僅依賴狀態檢查。 第三:憑證信任。當您將 Splash Page URL 設定為 HTTPS 時,AP 必須信任 Purple 入口網站伺服器所出示的憑證。在 Aruba Central 上,您可能需要先將受信任的 CA 憑證匯入全域設定中,入口網站重導向才能在 HTTPS 上正常運作。Purple 使用來自廣泛受信任 CA 的憑證,但仍值得在您的環境中進行驗證。 第四:VLAN 區隔。您的訪客 SSID 應位於與企業網路隔離的專用 VLAN 上。這既是安全性要求 - PCI-DSS 要求持卡人資料環境必須進行網路區隔 - 也是 Captive Portal 功能的實務必要條件。訪客 VLAN 應具有網際網路存取權限,但沒有通往內部資源的路由。 第五:WISPr 設定。我之前提到過這一點,但值得再次強調。請啟用 WISPr。若未啟用,iOS 裝置特別將無法自動偵測到 Captive Portal,訪客將會面臨混淆的體驗,顯示已連線但無法存取網際網路。 [快速問答 — 約 1 分鐘] 讓我快速解答我最常收到的問題。 我可以在 Purple 中使用 Aruba Instant On(針對小微型企業的產品)嗎?可以,但有一些限制。Instant On 支援外部 Captive Portal,但其設定介面比完整的 Aruba Central 限制更多。Purple 提供了專用的 Instant On 整合指南。 Purple 支援用於加密 RADIUS 的 RadSec 嗎?支援。Purple 支援 RADIUS over TLS (RadSec),適用於 RADIUS 流量行經未信任網路的部署。這對於 RADIUS 交換需要跨越公開網際網路的雲端管理部署來說,越來越重要。 如果無法連線到 Purple 門戶網站會怎麼樣?您可以將 Captive Portal 失敗設定配置為「拒絕網際網路」(這是安全預設值)或「允許網際網路」(這提供了一種後備的開放存取模式)。對於大多數企業場域,拒絕網際網路是正確的選擇。 我可以在相同的 Aruba 架構上運行多個具有不同 Purple 場域的 SSID 嗎?當然可以。每個 SSID 都會獲得其專屬的 Captive Portal 設定檔,並指向不同的 Purple 場域 URL。Called-Station-Id RADIUS 屬性會攜帶 SSID 名稱,Purple 會使用該名稱將工作階段路由至正確的場域設定。 [總結與後續步驟 — 約 1 分鐘] 讓我做個總結。在 Aruba 架構上將 Purple 部署為外部 Captive Portal 是一個非常成熟的整合路徑。關鍵步驟包括:使用 Purple 的憑證設定您的 RADIUS 伺服器、建立一個指向您的 Purple 登入畫面 URL 並啟用 WISPr 的外部 Captive Portal 設定檔、建立您的訪客 SSID 並將登入畫面類型設為 External RADIUS Server,以及設定您的 Walled Garden,納入 Purple 核心網域以及您啟用的任何社群登入提供商網域。 需要記住的 AOS-10 差異在於,Walled Garden 設定已移至「存取規則」(Access Rules),而非「WLAN 安全性」標籤頁。 從商業角度來看,將 Aruba 基本的本地門戶網站替換為 Purple,可讓您從現有的 WiFi 架構中,直接獲得符合 GDPR 規範的數據收集、即時位置分析、客群統計報告和行銷自動化功能。 關於您的後續步驟:從 Purple 儀表板中取得您的 Purple 場域 RADIUS 憑證、對照隨附書面指南中的設定檢查表,並在部署到生產環境之前使用專用裝置進行測試。如果您要跨多個站點部署,Purple 的多站點管理主控台可讓您從單一介面管理整個資產的 Captive Portal 設定、品牌化與分析。 感謝您的收聽。完整的書面指南、設定表和 Walled Garden 參考清單均可在 purple.ai 取得。我們下次見。 [腳本結束]

📚 核心系列的一部分:多租戶 WiFi

Captive Portal 是訪客在連上網際網路前所看到的登入頁面。在透過 Aruba Central 或 Virtual Controller 管理的 HPE Aruba Instant 基地台上,Purple 提供了該門戶網站及其背後的數據。Aruba 負責持續運行 WiFi;Purple 則在上方加入訪客層,無需更換您現有的任何設備。

Captive Portal 如何在搭載 Purple 的 HPE Aruba 上運作

Purple 是一個雲端覆蓋。您的 Aruba Instant 基地台負責傳輸流量;Purple 則透過 Aruba 已支援的標準機制來運行登入。

  • 外部 Captive Portal。 訪客網路使用指向您 Purple 頁面的外部 Captive Portal 設定檔,因此新裝置會被重新導向至該處,而不是直接連上網路。訪客登入後,頁面會將控制權交回。
  • RADIUS。 Aruba 透過標準連接埠(驗證為 1812,計帳為 1813)的主、備用伺服器,對照 Purple 的 RADIUS 服務來驗證每次登入。計帳數據正是支援您訪客分析的關鍵。
  • 允許清單。 Aruba 將圍牆花園(Walled Garden)稱為允許清單,即裝置在登入前可以存取的簡短位址清單,並配有預先驗證角色規則,以便載入暫存頁面以及任何付款或社群登入步驟。

這就是整個模式:Aruba 負責傳輸封包,Purple 則擁有登入與數據。由於 Captive Portal 運行於標準的外部網頁驗證與 RADIUS,因此在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 上的運作方式完全相同。Purple 在設計上與硬體無關。

您需要準備的項目

  • 具有管理員權限的 HPE Aruba Instant 基地台(透過 Aruba Central 或 Virtual Controller 管理)。**
  • 已設定好暫存頁面與登入流程的 Purple 場域。
  • 來自您 Purple 管理後台的 Purple RADIUS 詳細資訊與允許清單位址。

搭配 Purple 進行設定

確切的設定、SSID、外部 Captive Portal 設定檔、主備 RADIUS 伺服器、允許清單和預先驗證角色,皆在 Purple 的說明指南中逐步記錄,並提供精確的輸入值,涵蓋了兩種設定方法。

HPE Aruba Instant (IAP) 設定指南

請遵循該指南進行設定。本頁面說明了 Captive Portal 如何相互配合,以便您瞭解每個步驟的作用。

您的收穫

一旦訪客透過 Captive Portal 登入,每一次的造訪都將轉化為經驗證、自願加入的第一方數據:誰造訪過、造訪頻率以及如何在取得許可的情況下聯絡他們。這就是單純連接人員的 WiFi 與建立您專屬行銷受眾的 WiFi 之間的差別。Purple 符合 GDPR 規範並通過 ISO 27001 認證,在超過 80,000 個線上場域中提供 99.999% 的可用性。

關鍵定義

Captive Portal

訪客在連上網際網路前必須通過的登入頁面;在 Aruba 上以外部 Captive Portal 的形式呈現。

雲端覆蓋

Purple 覆蓋在您現有的硬體之上,運行訪客登入與數據處理,而無需更換傳輸流量的基地台。

RADIUS

用於驗證登入與回報使用情況的標準協定,連接埠 1812 用於驗證,1813 用於計帳,設有主、備用伺服器。

允許清單

Aruba 對圍牆花園(Walled Garden)的稱呼:裝置在登入前可以存取的位址,與預先驗證角色規則配對使用。

Virtual Controller

用於管理 Aruba Instant 基地台的裝置端介面;Aruba Central 是雲端替代方案,兩者皆可設定 Captive Portal。