跳至主要內容
繁體中文

Aruba 專用的 Captive Portal

本權威技術參考指南旨在協助設定 Aruba Instant (IAP) 與 Aruba Central 託管的存取點,將訪客使用者重導向至 Purple 高轉換率且安全的外部 Captive Portal。本指南涵蓋逐步的訪客 SSID 設定、外部 Captive Portal 重導向、RADIUS 伺服器驗證與計費參數、Walled Garden 排除清單以及 WISPr 支援。

📖 11 分鐘閱讀📝 2,686 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Purple 技術簡報 — 全程約 10 分鐘 [簡介與背景 — 約 1 分鐘] 歡迎來到 Purple 技術簡報系列。我是您的主持人,今天我們要探討一個在幾乎所有企業級無線部署討論中都會出現的話題:如何在 Aruba 基礎架構上設定 Captive Portal,特別是,如何將該入口網站連接到 Purple 的訪客 WiFi 智慧平台。 如果您正在運行 Aruba Instant AP,或者您正透過 Aruba Central 管理整套存取點,那麼本集內容非常適合您。我們將快速進行 — 這是一場實務人員簡報,而非學術講座 — 因此我假設您已熟悉 WLAN 設定畫面,並瞭解 RADIUS 驗證的基本原理。 我們要解決的核心問題是:Aruba 內建的訪客入口網站雖然實用,但功能有限。它無法提供企業級場域所需的行銷數據擷取、符合 GDPR 規範的同意流程或即時分析。將其替換為 Purple 的外部 Captive Portal 是正確的架構決策,今天我將逐步引導您完成具體的操作步驟。 [技術深度探討 — 約 5 分鐘] 讓我們從架構開始。當訪客連接到您的 Aruba SSID 並開啟瀏覽器時,AP 會在 TCP 連接埠 80 上攔截該 HTTP 請求,並將其重導向至外部入口網站 URL — 在此案例中,即為 Purple 雲端託管的 Splash Page。訪客透過 Purple 的入口網站進行驗證,該入口網站隨後會向 UDP 連接埠 1812 上的 Purple RADIUS 伺服器發送 RADIUS Access-Request。驗證成功後,RADIUS 伺服器會回傳 Access-Accept 訊息,AP 隨即授予用戶端完整的網際網路存取權限。在整個工作階段中,計費記錄會透過 UDP 連接埠 1813 發送。 這就是基本流程。現在讓我們進入設定階段。 您可能會使用兩種管理介面:Aruba Instant(運行 ArubaOS 8.x 的地端虛擬控制器模式)以及 Aruba Central(HPE 的雲端管理平台)。這兩者的設定步驟在概念上相似,但設定選項的位置有所不同。 首先從 ArubaOS 8 上的 Aruba Instant 開始。第一步,您需要設定 RADIUS 伺服器。導覽至 Security(安全性),接著選擇 Authentication Server(驗證伺服器),然後按一下 New(新增)。您需要從 Purple 平台取得四項資訊:主要伺服器 IP 位址、驗證連接埠(通常為 1812)、計費連接埠(通常為 1813)以及共用金鑰。Purple 會在您的場域設定儀表板中提供這些資訊。請務必新增第二台伺服器以實現容錯移轉;Purple 營運著多區域的 RADIUS 基礎架構,因此您將擁有地理位置合適的備用伺服器。 接下來,建立 External Captive Portal 設定檔。前往 Security,然後點選 Captive Portal,點擊 New,並將 Type 設定為 External。輸入來自您 Purple 場域設定的 splash page URL — 這會是一個由 Purple 託管的 HTTPS 端點。將 port 設定為 443,啟用 Use HTTPS,並且至關重要的是,將 WISPr 欄位設定為 Enabled。WISPr(即無線網路服務供應商漫遊)是允許裝置自動偵測 Captive Portal 並正確呈現的協定,特別是在使用背景 Captive Portal 偵測的 iOS 和 Android 裝置上。若未啟用 WISPr,某些裝置將無法自動觸發 Portal。 現在,設定 Guest SSID。建立一個新的 WLAN,將 Primary Usage 設定為 Guest,並在 Security 頁籤中,將 Splash Page Type 設定為 External — RADIUS Server。指派您剛建立的 Captive Portal 設定檔和 RADIUS 伺服器。將 Reauth Interval 設定為合理的數值 — 1440 分鐘(即 24 小時)是餐旅環境的常見選擇。如果您希望回訪的顧客在該時間範圍內再次造訪時能繞過 Portal,請啟用 MAC 驗證。 對於 AOS-8 上的 Aruba Central,流程基本上相同,但需透過 Devices、Config、WLANs 下的 WLAN 精靈進行存取。將 Security Level 設定為 Visitors,Type 設定為 External Captive Portal,並使用 Purple splash URL 建立一個新的 Captive Portal 設定檔。新增您的主要和次要 RADIUS 伺服器,啟用計費(accounting),並將計費間隔(accounting interval)設定為 5 分鐘。這個間隔非常重要 — 它能確保 Purple 的分析平台定期收到工作階段更新,以進行精確的停留時間和互動報告。 在雲端優先架構的 AOS-10 上,有一個重要的差異:Walled Garden(圍牆花園)不再於 WLAN Security 頁籤中設定。相反地,您需要透過 Access Rules 進行設定。您需要建立一個預先驗證角色(命名為 Guest Logon),並為 Walled Garden 白名單中的每個網域新增允許規則。然後,將該角色指派為 SSID 上的 Pre-Authentication Role。 提到 Walled Garden — 這通常是大多數部署出錯的地方。Walled Garden 是未經驗證的顧客在完成 Portal 流程之前可以存取的網域清單。如果沒有這些項目,Portal 本身將無法載入,因為顧客的裝置無法連線至 Purple CDN 來下載 splash page 資源。 必填的 Purple 項目為:star dot purple dot ai、star dot cloudfront dot net 以及 star dot venuewifi dot com。如果您使用社群登入 — Google、Facebook、Apple、Microsoft — 您需要為每個供應商新增相關的 OAuth 網域。Google 需要 star dot google dot com、star dot googleapis dot com 和 star dot gstatic dot com。Facebook 需要 star dot facebook dot com、star dot fbcdn dot net 和 connect dot facebook dot net。Apple 登入需要 star dot apple dot com 和 appleid dot apple dot com。Microsoft Entra ID 則需要 star dot microsoft dot com 和 star dot microsoftonline dot com。 有一點特別值得注意:在 Aruba 上,您可以在 Captive Portal 設定檔中啟用「自動 URL 白名單(Automatic URL Whitelisting)」。此功能會動態將入口網站頁面所引用的 URL 加入白名單。這適合作為備用方案,但我建議在實際生產環境中明確設定 Walled Garden,而不是依賴自動白名單 — 這樣更具可預測性且更易於審計。 我們來專門討論 RADIUS 參數。Purple 使用的核心屬性包括:NAS-IP-Address(用於識別您的 AP 或控制器);Called-Station-Id(以「MAC-address:SSID-name」格式攜帶 BSSID 和 SSID — Purple 利用此屬性將工作階段對應到特定的場域和存取點);以及 Calling-Station-Id(即用戶端 MAC 地址)。在計費(Accounting)方面,Acct-Session-Id 提供唯一的工作階段識別碼,而 Acct-Status-Type 則攜帶 Start、Interim-Update 和 Stop 事件。請確保您的 Aruba 設定會傳送這三種計費事件類型 — 某些部署僅傳送 Start 和 Stop,這意味著 Purple 的分析功能會遺漏精確計算停留時間所需的過渡期工作階段數據。 [實作建議與常見陷阱 — 約 2 分鐘] 讓我為您提供我會給予任何部署此方案的客戶的實用建議。 第一:在正式上線前,務必使用專用的測試裝置進行測試。連線至訪客 SSID,開啟瀏覽器並輸入 HTTP URL(而非 HTTPS),然後驗證是否觸發重新導向。如果您直接前往 HTTPS,重新導向將無法運作,因為 AP 無法攔截加密流量。這是我們最常收到的第一大支援求助電話。 第二:防火牆規則。您的 AP 管理 VLAN 或控制器需要透過連接埠 1812 和 1813,對 Purple 的 RADIUS 伺服器 IP 進行輸出 UDP 存取。如果您的 AP 與網際網路之間設有狀態檢測防火牆,請確保其允許這些 UDP 流量。由於 RADIUS 是無連線的,因此某些防火牆需要明確的規則,而不能僅依賴狀態檢測。 第三:憑證信任。當您將 Splash Page URL 設定為 HTTPS 時,AP 需要信任 Purple 入口網站伺服器所呈現的憑證。在 Aruba Central 上,您可能需要先將受信任的 CA 憑證匯入全域設定中,入口網站重新導向才能在 HTTPS 上正常運作。Purple 使用來自廣泛受信任 CA 的憑證,但仍值得在您的環境中進行驗證。 第四:VLAN 區隔。您的訪客 SSID 應位於與企業網路隔離的專用 VLAN 上。這既是安全性要求(PCI DSS 3.2.1 要求對持卡人資料環境進行網路區隔),也是 Captive Portal 功能的實際必要條件。訪客 VLAN 應具備網際網路存取權限,但無法路由至內部資源。 第五:WISPr 設定。我之前提過這一點,但值得再次強調。請啟用 WISPr。若未啟用,特別是 iOS 裝置將無法自動偵測到 Captive Portal,訪客將會遇到令人困惑的體驗:他們看似已連線,卻無法存取網際網路。 [快速問答 — 約 1 分鐘] 讓我快速解答一些我最常被問到的問題。 我可以在 Aruba Instant On(針對小企業的產品)上使用 Purple 嗎?可以,但有一些限制。Instant On 支援外部 Captive Portal,但其設定介面比完整的 Aruba Central 更受限。Purple 有提供專門的 Instant On 整合指南。 Purple 是否支援用於加密 RADIUS 的 RadSec?是的。Purple 支援 RADIUS over TLS(即 RadSec),適用於 RADIUS 流量需要經過未受信任網路的部署環境。這對於 RADIUS 交換需要跨越公開網際網路的雲端管理部署來說,正變得越來越重要。 如果無法連線至 Purple 門戶網站會發生什麼事?您可以將 Captive Portal 失敗設定配置為「拒絕網際網路」(這是安全的預設值)或「允許網際網路」(這提供了一種備用的開放存取模式)。對於大多數企業場域,選擇「拒絕網際網路」是正確的決定。 我可以在同一個 Aruba 基礎架構上運行多個 SSID,並對應不同的 Purple 場域嗎?當然可以。每個 SSID 都會獲得其專屬的 Captive Portal 設定檔,並指向不同的 Purple 場域 URL。Called-Station-Id RADIUS 屬性會攜帶 SSID 名稱,Purple 會利用此名稱將工作階段路由至正確的場域設定。 [總結與後續步驟 — 約 1 分鐘] 讓我來做個總結。在 Aruba 基礎架構上將 Purple 部署為外部 Captive Portal 是一個非常成熟的整合方案。關鍵步驟包括:使用 Purple 的憑證設定您的 RADIUS 伺服器、建立一個指向您的 Purple 登入頁面 URL 且啟用 WISPr 的外部 Captive Portal 設定檔、使用「外部 RADIUS 伺服器」登入頁面類型建置您的訪客 SSID,並設定您的 Walled Garden(圍牆花園),加入 Purple 的核心網域以及您啟用的任何社群登入提供商網域。 需要記住的 AOS-10 差異在於,Walled Garden 的設定已移至「存取規則」(Access Rules),而非「WLAN 安全性」索引標籤。 從商業角度來看,將 Aruba 的基本本地門戶網站替換為 Purple,能讓您在現有的 WiFi 基礎架構上,獲得符合 GDPR 規範的數據收集、即時位置分析、人口統計報告以及行銷自動化功能。 關於您的後續步驟:請從 Purple 控制面板中取得您的 Purple 場域 RADIUS 憑證,對照隨附書面指南中的設定檢查表進行操作,並在正式上線前使用專用裝置進行測試。如果您要跨多個站點進行部署,Purple 的多站點管理主控台可讓您從單一介面管理整個資產的 Captive Portal 設定、品牌形象和分析數據。 感謝您的收聽。完整的書面指南、設定表和 Walled Garden 參考清單皆可在 purple.ai 取得。我們下次見。 [腳本結束]

📚 核心系列的一部分:多租戶 WiFi

header_image.png

Executive Summary

For enterprise wireless engineers, network architects, and venue operations directors, deploying a robust guest wireless infrastructure is no longer just about providing basic internet access. Modern venues require a solution that balances strict network security, regulatory compliance, and a high-converting guest experience. While HPE Aruba's native captive portal capabilities are highly reliable, they lack the sophisticated marketing data capture, global multi-site scalability, and real-time location and demographic analytics required by enterprise venues in hospitality, retail, and public sectors.

By integrating Purple directly with Aruba Instant (IAP) or Aruba Central managed access points, organisations can replace basic local splash pages with a secure, highly-scalable, global guest portal. This integration leverages standard network protocols, including Remote Authentication Dial-In User Service (RADIUS) and Wireless Internet Service Provider roaming (WISPr), to deliver seamless, secure, and brand-consistent onboarding. This technical reference guide provides the exact configuration parameters, architectural diagrams, and troubleshooting workflows required to successfully deploy Purple on Aruba infrastructure.

Technical Deep-Dive

The integration of Purple with Aruba wireless infrastructure relies on a standard external captive portal redirect and RADIUS authentication flow. This architecture ensures that user authentication and traffic accounting are handled securely in the cloud, while local access points enforce access control and quality of service (QoS) policies.

The Captive Portal Redirect Flow

When an unauthenticated client associates with the guest Service Set Identifier (SSID), the Aruba access point intercepts the client's initial HTTP request (typically TCP port 80) and performs a HTTP 302 redirect to Purple's cloud-hosted splash page.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Presents Splash Page ----------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Submits Login Form ------------------------------------>|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (with Session Timeout)   |                                |
       |<-- 8. Internet Granted ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (every 5 min) ---------------->|

architecture_overview.png

RADIUS Authentication and Accounting Parameters

Once the guest submits their credentials or completes a social login on the Purple splash page, the Purple portal backend communicates with the local Aruba access point or controller to initiate RADIUS authentication. The Aruba AP acts as the Network Access Server (NAS) and sends a RADIUS Access-Request to Purple's cloud RADIUS servers on UDP port 1812.

To ensure accurate session tracking, policy enforcement, and reporting, the following RADIUS attributes must be exchanged:

Attribute Name Attribute ID Description Practical Context
NAS-IP-Address 4 The management IP address of the Aruba virtual controller or AP. Identifies the physical hardware originating the authentication request.
Calling-Station-Id 31 The MAC address of the client device (typically formatted as XX-XX-XX-XX-XX-XX). Used by Purple to track unique devices and enforce MAC caching for returning guests.
Called-Station-Id 30 The MAC address of the AP radio (BSSID) combined with the SSID name (formatted as MAC:SSID). Crucial for Purple to identify the exact physical venue and specific SSID the user is connecting to.
Acct-Session-Id 44 A unique identifier generated by the AP for each client session. Links authentication events with subsequent accounting start, interim, and stop records.
Acct-Status-Type 40 Indicates the type of accounting record: Start (1), Stop (2), or Interim-Update (3). Enables real-time tracking of active sessions and accurate dwell-time calculations.
Acct-Interim-Interval 85 Specifies the frequency (in seconds) of interim accounting updates sent by the AP. Must be set to 300 seconds (5 minutes) to ensure Purple's analytics dashboard displays accurate real-time data.

The Walled Garden (Exception List) Architecture

Before a user is authenticated, the Aruba AP restricts all traffic except for destinations explicitly defined in the Walled Garden (or exception list). Because Purple's portal is cloud-hosted and relies on external identity providers (such as Google, Facebook, and Apple) for social authentication, the AP must allow unauthenticated clients to resolve DNS and communicate with these external domains.

If any required domain is omitted from the walled garden, the guest will experience a blank page, broken CSS, missing images, or a complete timeout during the login flow.

walled_garden_infographic.png

Implementation Guide

Deploying Purple on Aruba wireless infrastructure can be achieved via Aruba Instant (IAP) running ArubaOS 8.x (on-premises virtual-controller mode) or Aruba Central (cloud-managed AOS-8 or AOS-10).

Aruba Instant (IAP) Configuration (ArubaOS 8.x)

Step 1: Configure RADIUS Servers

  1. Log in to the Aruba Instant AP virtual controller web interface.
  2. Navigate to Security > Authentication Server and click New.
  3. Configure the Primary RADIUS Server with the following parameters:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  4. Click OK to save.
  5. Click New again to configure the Secondary RADIUS Server:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  6. Click OK to save.

Step 2: Create the Captive Portal Profile

  1. Navigate to Security > Captive Portal and click New.
  2. Configure the profile with the following settings:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Crucial for auto-triggering the portal on iOS and Android devices)
  3. Click OK to save.

Step 3: Configure the Walled Garden Whitelist

  1. In the Security > Captive Portal menu, select your newly created Purple_Portal profile.
  2. Under the Walled Garden section, click the link to open the whitelist configuration.
  3. Add the following core Purple domains:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. If social login is enabled, add the respective domains (e.g., *.google.com, *.facebook.com, *.apple.com).
  5. Click Save.

Step 4: Create and Configure the Guest SSID

  1. Navigate to Network > New to start the WLAN wizard.
  2. On the WLAN Settings tab:
    • Name (SSID): Guest-WiFi
    • Primary Usage: Guest
    • Click Next.
  3. On the VLAN tab, configure IP and VLAN assignment according to your network architecture (typically Client IP assignment: Network Assigned on a dedicated guest VLAN). Click Next.
  4. On the Security tab:
    • Splash Page Type: External
    • Captive Portal Profile: Select Purple_Portal
    • Auth Server 1: Select Purple_Primary
    • Auth Server 2: Select Purple_Secondary
    • Reauth Interval: 1440 (24 hours, or as per venue policy)
    • Accounting: Enabled
    • Accounting Interval: 5 minutes
  5. Click Next to proceed to the Access tab. Ensure the default guest rule allows DHCP and DNS pre-authentication, then click Finish.

Aruba Central Configuration (AOS-8 and AOS-10)

Aruba Central AOS-8

  1. Navigate to Devices under the Manage section of your group in Aruba Central.
  2. Click Config (gear icon) on the top right, then go to the WLANs tab and click + Add SSID.
  3. In Step 1: General, enter the SSID name (e.g., Guest-WiFi) and click Next.
  4. In Step 2: VLANs, configure your guest VLAN mapping and click Next.
  5. In Step 3: Security:
    • Set Security Level to Visitors.
    • Set Type to External Captive Portal.
    • Ensure Key Management is set to Open (do not use Enhanced Open/OWE for standard guest portals as it can cause client compatibility issues).
    • Click the + icon next to Captive Portal Profile to add a new profile:
      • Name: Purple_Central_Portal
      • IP or Hostname: portal.venuewifi.com
      • URL: /
      • Port: 443
      • Redirect URL: https://portal.venuewifi.com
      • Use HTTPS: True
      • Captive Portal Failure: Deny Internet (Recommended for security compliance)
    • Click Save.
    • Click the + icon next to Primary Server and Secondary Server to add the Purple RADIUS servers using the IPs 34.94.146.135 and 34.94.183.201 respectively, with ports 1812 (Auth) and 1813 (Acct).
    • Expand Advanced Settings, scroll to Accounting, select Use authentication servers, and set Accounting Interval to 5 minutes.
  6. Scroll down to the Walled Garden section, click + Add, and input the required Purple and social login domains.
  7. Click Save Settings.

Aruba Central AOS-10

In AOS-10, the walled garden configuration moves from the WLAN Security tab to Access Rules.

  1. Follow the same SSID and RADIUS configuration steps as AOS-8 above.
  2. In the SSID wizard, navigate to the Access tab.
  3. Click + Add Role and create a pre-authentication role named Purple_Pre_Auth.
  4. In the rules editor for this role, configure explicit Allow rules for DNS, DHCP, and the required walled garden domains (e.g., *.purple.ai, *.venuewifi.com).
  5. Scroll down to Assign Pre-Authentication Role, enable the option, and select Purple_Pre_Auth from the dropdown.
  6. The post-authorisation role (typically matching the SSID name) should remain configured with Allow any to all destinations or your specific corporate access policies.
  7. Click Save Settings.

Best Practices

To ensure maximum performance, security, and compliance, network architects must adhere to the following industry standards and vendor-neutral best practices when deploying captive portals on Aruba and Purple.

1. Secure Certificate Management

Aruba access points must present a valid, trusted SSL/TLS certificate during the captive portal redirect flow.

  • Avoid Self-Signed Certificates: If the AP presents a self-signed certificate, modern browsers will display a highly visible "Your connection is not private" warning, severely damaging guest trust and reducing conversion rates.
  • Deploy a Trusted CA Certificate: Upload a wildcard certificate from a globally recognised Certificate Authority (CA) to your Aruba Central global settings or Instant virtual controllers. Ensure that the intermediate and root certificates are combined into a single file to complete the trust chain.

2. Network Segmentation and Compliance

Guest traffic must be kept entirely separate from corporate and administrative traffic to mitigate security risks and ensure compliance with industry standards.

  • VLAN Isolation: Map the guest SSID to a dedicated, non-routable VLAN. Use Access Control Lists (ACLs) on the upstream core switch or firewall to prevent any routing between the guest VLAN and internal corporate subnets.
  • PCI DSS Compliance: If your venue processes card payments (e.g., retail point-of-sale), network segmentation is a mandatory requirement under PCI DSS Requirement 1.2 [3]. Guest WiFi must be physically or logically isolated from the Cardholder Data Environment (CDE).
  • GDPR and Data Privacy: Ensure that the Purple portal is configured to display explicit, un-ticked consent checkboxes for marketing opt-ins, meeting the strict requirements of the General Data Protection Regulation (GDPR) [4].

3. Optimising WISPr and Captive Portal Detection

Modern mobile operating systems use active probing to detect captive portals immediately upon association.

  • Enable WISPr: Always ensure that WISPr support is enabled in your Aruba captive portal profile. This protocol passes XML-formatted metadata to the client operating system, allowing iOS (Captive Network Assistant) and Android (Captive Portal Login) to gracefully launch the login screen in a dedicated browser window.
  • Prevent "Enhanced Open" (OWE) Issues: While Opportunistic Wireless Encryption (OWE) provides encryption on open networks, many legacy client devices do not support it. For public guest networks, stick to standard Open key management to maximise device compatibility.

Troubleshooting & Risk Mitigation

Even with meticulous planning, captive portal deployments can encounter common failure modes. The following troubleshooting matrix provides immediate, actionable steps for wireless engineers.

Captive Portal Troubleshooting Matrix

Symptom Probable Cause Diagnostic Steps Actionable Solution
Guest associates but the splash page does not load (Timeout/Blank Page). Missing or incomplete Walled Garden configuration. Attempt to ping portal.venuewifi.com from a wired device on the same VLAN. Check if the device is trying to load external resources (e.g., social login scripts) that are blocked. Explicitly add *.purple.ai, *.venuewifi.com, and *.cloudfront.net to the Aruba walled garden. Verify that DNS resolution is allowed in the pre-auth role.
Guest is redirected but browser displays an SSL/TLS Certificate Warning. The Aruba AP is presenting an untrusted or self-signed certificate for the local redirect page. Inspect the browser certificate details to see which certificate is being presented. Upload a valid, trusted SSL certificate signed by a public CA to the Aruba virtual controller or Central global settings.
Guest completes the login form but is not granted internet access (Redirect Loop). RADIUS communication failure between the Aruba AP and Purple servers. Check the Aruba virtual controller logs for RADIUS timeouts or access-rejects. Run show auth-survivability or check firewall logs. Verify that outbound UDP ports 1812 (Auth) and 1813 (Acct) are open on your perimeter firewall. Ensure the RADIUS shared secret matches exactly on both Purple and Aruba.
The captive portal does not auto-popup on iOS or Android devices. WISPr is disabled, or the AP is blocking the operating system's captive portal detection URLs. Verify if the device can access the internet without logging in, or if it remains connected with "No Internet" and no popup. Enable WISPr in the Aruba captive portal profile. Ensure that captive portal detection URLs (e.g., captive.apple.com, connectivitycheck.gstatic.com) are not blocked by custom pre-auth ACLs.
Real-time dwell-time analytics are inaccurate or missing in Purple. RADIUS Accounting is disabled or the accounting interval is set too high. Check the AP configuration to see if accounting is enabled and inspect the interval. Enable RADIUS Accounting on the Aruba SSID. Set the Accounting Interval to exactly 5 minutes (300 seconds) to ensure regular session updates.

ROI & Business Impact

Transitioning from a basic, local captive portal to an enterprise-grade WiFi intelligence platform like Purple delivers measurable business outcomes across operations, marketing, and network management.

Operational Efficiency and Scalability

Managing individual local captive portals across hundreds of retail stores, hotels, or public venues is an administrative bottleneck. Purple provides a centralised, cloud-managed console that allows IT teams to deploy, update, and audit captive portal configurations globally with a single click. This reduces configuration drift, ensures consistent branding, and slashes administrative overhead by up to 60%.

Data Monetisation and Marketing ROI

For industries like Retail and Hospitality, guest WiFi is a powerful channel for customer acquisition and engagement. Purple replaces anonymous connections with rich demographic profiles.

  • Direct Integration: Purple integrates with CRM and marketing automation platforms to trigger real-time, context-aware campaigns. For example, a retail venue can trigger a personalised discount SMS the moment a loyalty customer connects to the guest WiFi.
  • Measurable Footfall Analytics: By analysing RADIUS accounting data and BSSID associations, Purple provides highly accurate dwell-time, return-rate, and path-analysis reporting. This data enables venue operations directors to optimise staffing levels, evaluate window display effectiveness, and measure the direct ROI of marketing campaigns.

Cost-Benefit Analysis: Native Aruba vs. Purple Integration

Feature / Metric Native Aruba Local Portal Aruba + Purple Integration Business Impact
Centralised Multi-Site Management Limited. Requires individual configuration per virtual controller or complex Central group mapping. Fully Centralised. Manage thousands of venues and SSIDs from a single cloud dashboard. Reduces IT overhead and eliminates configuration drift across distributed estates.
Data Capture & Compliance Basic form capture. No built-in GDPR/CCPA consent validation workflows. Enterprise-grade. Automated, legally-compliant consent tracking with real-time API sync to CRMs. Mitigates legal risk and ensures compliance with global privacy regulations [4].
Social Authentication Requires custom external web development and manual API maintenance. Out-of-the-box support for Google, Facebook, Apple, Microsoft, LinkedIn, and SMS. Increases conversion rates by up to 40% through friction-free login options.
Analytics & Reporting Basic session logs (IP, MAC, connect time). No demographic or behaviour tracking. Rich analytics: age, gender, dwell-time, return rates, heatmaps, and cross-venue roaming. Drives marketing ROI and provides actionable business intelligence for operations.

關鍵定義

Captive Portal

在向新連接 Wi-Fi 網路的使用者授予更廣泛的網路資源存取權限之前,向其顯示的網頁。

用於收集訪客數據、強制執行服務條款,並展示品牌行銷內容。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接和使用網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。

Purple 作為外部 RADIUS 伺服器,負責驗證訪客身分並追蹤其工作階段持續時間。

WISPr (Wireless Internet Service Provider roaming)

一種草案協定,使獨立的無線網際網路服務供應商能夠允許使用者使用通用的登入入口網站漫遊到彼此的網路。

在 Aruba AP 上啟用 WISPr 可讓現代智慧型手機自動偵測 Captive Portal,並在系統原生視窗中顯示 Splash 頁面。

Walled Garden

一組受限制的網站或網域,允許未經驗證的使用者在完成 Captive Portal 登入流程之前進行存取。

對於允許訪客在通過驗證之前載入 Splash 頁面資產(CSS、JS、圖片)並存取社群登入提供商(Google、Facebook)至關重要。

BSSID (Basic Service Set Identifier)

特定 SSID 的無線存取點無線介面的 MAC 位址。

在 RADIUS Called-Station-Id 屬性中傳送,允許 Purple 將使用者的物理位置對應到特定的 AP。

NAS-IP-Address

發起 RADIUS 請求的網路存取伺服器(Aruba AP 或控制器)的 IP 位址。

用於 RADIUS 封包中,以識別是哪一個實體硬體正在請求驗證。

RadSec

一種透過 TCP 使用傳輸層安全性協定 (TLS) 來確保 RADIUS 交易安全的協定。

用於在本地 AP 與 Purple 的雲端之間傳輸不受信任的公用網路時,加密 RADIUS 驗證和計費流量。

Enhanced Open (OWE)

Wi-Fi Certified Easy Connect 的延伸功能,可在不需輸入密碼的情況下,對開放式網路上的無線傳輸進行加密。

可能會與較舊的訪客裝置產生相容性問題;建議公用 Captive Portal 使用標準的 Open 安全性。

範例

企業無線工程師正在擁有 150 家門市的全國連鎖零售商中部署顧客 WiFi。每家門市配備 3-5 台透過 Aruba Central 管理的 Aruba Instant AP。行銷團隊要求提供具有 Facebook 和 Google 社群登入選項的品牌化 Captive Portal,而合規團隊則要求顧客流量必須與門市的銷售點系統 (PoS) 網路完全隔離。應如何進行架構設計與設定?

  1. 網路分割:將 Aruba AP 上的顧客 SSID 對應至 VLAN 100。將本地交換器連接埠設定為 Trunk 連接埠並允許 VLAN 100。在門市的閘道器防火牆上,為 VLAN 100 設定 DHCP 範圍與僅限出站的 NAT 策略。在防火牆上套用 ACL,以捨棄所有從 VLAN 100 傳送到 PoS VLAN (VLAN 10) 的流量。
  2. Aruba Central 中的 RADIUS 與 Portal 設定:在 VLAN 100 上建立名為「Store-Guest」的新 SSID。將安全性設定為「Visitors」,並將 Splash Page 設定為「External Captive Portal」。新增 Purple 的主要 RADIUS 伺服器 (34.94.146.135) 與次要伺服器 (34.94.183.201),連接埠為 1812/1813。啟用 RADIUS Accounting,間隔時間為 5 分鐘。
  3. Walled Garden:在 Aruba Central 中設定 Walled Garden,使其包含:.purple.ai、.venuewifi.com、.cloudfront.net (用於 Purple 核心),以及社群登入網域:.google.com、.googleapis.com、.gstatic.com (用於 Google) 和 .facebook.com、.fbcdn.net、connect.facebook.net (用於 Facebook)。
  4. 測試:將測試裝置連線至「Store-Guest」,確認 DHCP 在 VLAN 100 上分配了 IP,確認瀏覽器透過 HTTPS 重新導向至 Purple portal,完成 Facebook 登入,並驗證已授予網際網路存取權限,同時內部 PoS 資源仍完全無法存取。
考官評語: 此方法非常有效,因為它同時解決了安全性和使用者體驗的問題。在實體交換器和閘道器防火牆上使用 VLAN 隔離,可確保強大的 PCI DSS 合規性,防止顧客裝置接觸到 CDE。在 Walled Garden 中明確定義社群登入網域至關重要;如果社群提供商動態變更其 CDN 子網域,依賴「自動 URL 白名單」有時可能會導致間歇性失敗。將 RADIUS accounting 間隔設定為 5 分鐘,可確保行銷團隊獲得高精確度的停留時間分析,而不會讓 AP 的 CPU 負載過重。

一個擁有 50,000 個座位的體育場館正在 AOS-10 上運行 Aruba Central,並配備高密度 AP-555 存取點。在活動高峰期,數千名使用者嘗試同時連線至顧客 WiFi。IT 總監擔心 Captive Portal 重新導向對虛擬控制器的效能影響,並希望確保驗證程序儘可能快速且具備彈性。應套用哪些進階設定?

  1. 預先驗證角色 (AOS-10):在 AOS-10 中,設定名為「Stadium-Pre-Auth」的專用預先驗證角色。套用允許 DHCP (UDP 67-68)、DNS (UDP 53) 以及流向 Purple Walled Garden 網域的出站流量的 ACL。在 SSID 設定中將此角色指派為「Pre-Authentication Role」。這會將封包過濾工作從中央控制器卸載到各個 AP,從而分散負載。
  2. RADIUS 負載平衡:在 Aruba Central 中,啟用跨主要和次要 Purple RADIUS 伺服器的 RADIUS 負載平衡。這能在高峰連入期間平均分配驗證負載。
  3. 伺服器卸載:在 Captive Portal Profile 設定中啟用「Server Offload」。這可防止非瀏覽器用戶端應用程式(如背景行動應用程式、系統更新或 IoT 裝置)重複重新導向至外部 Captive Portal,從而節省 AP CPU 週期和 WAN 頻寬。
  4. Captive Portal 失敗策略:將「Captive Portal Failure」設定為「Deny Internet」。雖然「Allow Internet」看似對客戶友好,但在極端網路事件期間,這可能會導致不受控制的開放存取,從而繞過安全控制並耗盡 DHCP 位址池。
考官評語: 體育場等高密度環境需要分散式處理模型。透過 AOS-10 中的存取規則設定 Walled Garden,可確保存取控制清單在 AP 的硬體加速資料路徑中進行本地編譯和執行,而不是透過通道傳送回閘道器。啟用伺服器卸載是體育場部署的業界標準最佳實踐;它能減輕因數千支鎖定手機上的背景應用程式同時嘗試連線至其各自雲端伺服器而引起的「Captive Portal 風暴」。

練習題

Q1. 網路工程師在 Aruba Instant AP 叢集上設定了新的訪客 SSID。測試時,他們連線到該 SSID,但瀏覽器顯示逾時錯誤,而不是出現 Purple 品牌形象的 splash page。此問題最可能的起因是什麼?應採取哪些疑難排解步驟?

提示:思考在驗證之前,用戶端裝置需要什麼才能連線到雲端託管的 splash page。

查看標準答案

最可能的起因是遺失或不完整的 Walled Garden 設定,或是 DNS 解析問題。在驗證之前,AP 會阻擋除白名單網域以外的所有流量。如果 Purple 網域(.purple.ai、.venuewifi.com、*.cloudfront.net)不在 walled garden 中,用戶端就無法載入 splash page。疑難排解步驟:1. 確認用戶端裝置已透過 DHCP 取得有效的 IP 位址和 DNS 伺服器。2. 嘗試從同一 VLAN 上的有線裝置解析「portal.venuewifi.com」,以確認 DNS 正常運作。3. 檢查 Aruba AP 設定,確保 Walled Garden 白名單已啟用且包含所有必要的 Purple 網域。4. 確認預先驗證角色允許傳送 DNS 流量(UDP 連接埠 53)至 DNS 伺服器。

Q2. 在大型會議中心部署 Purple 訪客 WiFi 期間,IT 團隊回報訪客裝置連線成功,但每隔 15 分鐘就會被要求重新登入。預期的行為是讓訪客保持登入狀態 24 小時。應檢查哪些 Aruba 和 Purple 設定參數來解決此問題?

提示:查看控制工作階段生命週期和重新驗證間隔的參數。

查看標準答案

此問題是由工作階段逾時或重新驗證間隔設定不一致所引起的。若要解決此問題:1. 檢查 Aruba SSID 安全性索引標籤上的「Reauth Interval」(重新驗證間隔);應將其設定為 1440 分鐘(24 小時),而非 15 分鐘。2. 檢查 Purple RADIUS 伺服器在 Access-Accept 訊息中傳回的「Session Timeout」屬性。如果 Purple 設定的工作階段生命週期較短,將會強制進行重新驗證。3. 確保在 Aruba SSID 上啟用了 MAC 驗證。這可讓 AP 在 24 小時的視窗內,自動透過訪客的 MAC 位址與 Purple 的資料庫進行驗證,而無需再次向訪客顯示 splash page。

Q3. 某公共部門機構正使用 AOS-10 上的 Aruba Central 在多個圖書館部署訪客 WiFi。安全性原則規定所有訪客流量都必須進行空中加密,但圖書館館長希望提供無縫、無障礙的登入體驗。無線架構師如何利用 Aruba 和 Purple 同時滿足這兩項需求?

提示:考慮 Open、OWE (Enhanced Open) 以及 WPA2/WPA3-Enterprise 之間的差異,以及它們如何與 Captive Portal 互動。

查看標準答案

為了同時實現空中加密和無縫的 Captive Portal 體驗,架構師應部署「Enhanced Open」(機會性無線加密 - OWE),如果需要相容舊型裝置,則使用過渡模式。Enhanced Open 無需預先共用金鑰即可加密用戶端與 AP 之間的無線連線,保護訪客免受被動竊聽。1. 在 Aruba Central 中設定訪客 SSID,將安全性層級(Security Level)設為「Visitors」,金鑰管理(Key Management)設為「Enhanced Open」。2. 啟用「OWE Transition Mode」並將其與標準 Open 訪客 SSID 關聯,以支援不支援 WPA3 OWE 的舊型裝置。3. 照常設定指向 Purple 的 External Captive Portal 設定檔。此組合可確保現代裝置自動獲得加密的無線傳輸,同時仍能重導向至 Purple splash page 以進行資料收集和合規性確認。

繼續閱讀本系列

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本權威指南詳細介紹 Cisco Catalyst 9800 WLC 與 Purple WiFi 的逐步整合。內容涵蓋用於訪客 Captive Portal 的外部網頁驗證、用於員工安全存取的 802.1X EAP-TLS,以及用於多租戶動態 VLAN 隔離的 Cisco iPSK。

閱讀指南 →

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →