適用於 Cisco Meraki 的 Captive Portal

歡迎收看 Purple 技術簡報系列。我是今天的主持人，今天我們要探討一個在我們處理的幾乎所有企業級訪客 WiFi 部署中都會遇到的主題：在 Cisco Meraki MR 無線基地台上設定 captive portal，特別是如何使用 RADIUS 驗證將其與 Purple 的雲端平台進行整合。無論您是正在為新旅宿業客戶導入服務的 MSP，還是連鎖零售商的內部網路架構師，本集內容都將為您提供精確的設定步驟以及每個步驟背後的原理。 讓我們來設想一個場景。您有一個場域——可能是飯店、會議中心、體育館或零售園區——運行著透過 Meraki Dashboard 管理的 Cisco Meraki MR 無線基地台。您的任務是部署品牌專屬的訪客 WiFi 體驗，以收集第一方數據、強制要求接受服務條款，並將分析數據回傳至行銷平台。這正是 Purple 的強項，而 Meraki 也是我們在全球最常見的硬體部署之一。 在開始進行任何設定之前，必須先瞭解一個關鍵的架構重點：在 Cisco Meraki 上，登入頁面的 RADIUS 驗證並非由無線基地台在本地處理。RADIUS 存取請求（Access-Request）是源自 Meraki 雲端（即 Dashboard 基礎設施），而非您區域網路（LAN）上的 AP。這是一個關鍵的差異，許多工程師在首次部署 Meraki 時常會忽略這一點。這意味著您的 RADIUS 伺服器（在此案例中為 Purple 的雲端 RADIUS 端點）必須能從網際網路存取，且您的防火牆規則必須允許來自 Meraki Dashboard IP 範圍的流量，而不僅僅是來自您本地 AP 子網路的流量。您可以在 Meraki Dashboard 的「Help」（說明）下的「Firewall Info」（防火牆資訊）中找到目前的 Dashboard IP 範圍。 好的，現在讓我們進入設定步驟。我將按照您在實際部署時的順序，逐步引導您完成設定。 步驟一：SSID 設定。在 Meraki Dashboard 中，導覽至「Wireless」（無線），接著選擇「Configure」（設定），然後點選「SSIDs」。選擇您要用於訪客存取的 SSID 插槽。給它一個清晰的名稱——例如 GuestWiFi 或 VenueName_Guest。在「Association requirements」（關聯需求）下，將「Security」（安全性）設定為「Open, no encryption」（開放，無加密）。這是正確且刻意如此設定的——訪客的安全層級是由 captive portal 和 RADIUS 驗證來處理，而非透過 WPA 加密。如果您是在 PCI DSS 環境中進行部署，您需要確保訪客流量被隔離在獨立的 VLAN 中，我們稍後會對此進行說明。步驟二：Splash page 與驗證。仍在您 SSID 的「Access Control」（存取控制）頁面上，向下捲動至「Splash page」區段。將其設定為「Sign-on with」，並從下拉式選單中選擇「my RADIUS server」。這是關鍵設定，用於指示 Meraki 在授予網路存取權限之前，先透過外部 RADIUS 伺服器驗證使用者。在其下方，您會看到「Captive Portal strength」選項。將此項設定為「Block all access until sign-on is complete」。這能強制執行 Walled Garden 限制——若未設定，訪客可能會完全繞過該入口網站。 步驟三：RADIUS 伺服器設定。在「RADIUS」區段下，按一下「Add server」。您需要來自您 Purple 帳戶的三項資訊：RADIUS 伺服器 IP 位址或 FQDN、驗證連接埠（UDP 1812）以及共用金鑰 (shared secret)。Purple 會在入口網站的場域設定 (venue configuration) 區段中提供這些資訊。為了在實際部署中提供備援，您應該新增第二台 RADIUS 伺服器——Purple 有提供容錯移轉端點。如果您希望將工作階段資料回傳至 Purple 的分析引擎，請將計費 (accounting) 連接埠設定為 UDP 1813。對於任何將停留時間和工作階段持續時間視為重要指標的場域，我強烈建議進行此設定。 關於 RADIUS 屬性的簡要說明。Meraki 支援 RADIUS Access-Accept 回應中傳回的 Session-Timeout 屬性。Purple 利用此屬性來控制訪客工作階段在需要重新驗證前可持續的時間。以飯店為例，您可能會將其設定為 86,400 秒（即 24 小時）。對於咖啡廳，設定為 3,600 秒（一小時）左右會更合適。系統也支援 Idle-Timeout 屬性，但僅在啟用 RADIUS 計費 (accounting) 時才有效。這會中斷閒置的工作階段，對於高密度場域的容量管理至關重要。 步驟四：Splash page URL。導覽至「Wireless」，接著選擇「Configure」，然後選擇「Splash page」。從下拉式選單中選擇您的訪客 SSID。將「Custom splash URL」設定為您場域的 Purple 入口網站 URL。這是 Meraki 將未驗證用戶端重新導向至的 URL。Meraki 會在此 URL 後方附加查詢參數（包括 login_url 參數），Purple 會使用這些參數來完成驗證交握。請勿修改或刪除這些參數。 步驟五：Walled Garden。這是大多數部署最容易遇到問題的地方。Walled Garden 是指訪客裝置在通過驗證前可以存取的網域和 IP 範圍清單。若沒有正確的設定項目，Captive Portal 頁面本身將無法載入，因為瀏覽器會被阻擋而無法連線至 Purple CDN 和社群登入提供商。返回訪客 SSID 的「存取控制」(Access Control) 頁面。將「Walled garden」設定為「Walled garden is enabled」。在「Walled garden ranges」欄位中，您需要新增以下內容。首先是 Purple 平台網域：`*.purple.ai` 與 `*.venuewifi.com`。其次是 Purple 用來提供傳送入口網頁資源的 CDN 網域：`*.cloudfront.net` 與 `*.akamaihd.net`。第三是 Meraki 重新導向基礎架構：`*.network-auth.com`。第四，如果您有提供社群登入選項，則需要新增相關的 OAuth 網域。Google：`accounts.google.com`、`*.googleapis.com`、`*.gstatic.com`。Facebook：`*.facebook.com`、`*.fbcdn.net` 與 `connect.facebook.net`。Twitter 或 X：`*.twitter.com` 與 `*.twimg.com`。 關於 Meraki 如何處理 Walled garden 中的萬用字元 (wildcard) 網域，有一點需要特別注意。Meraki 確實支援使用星號前綴的萬用字元項目，例如 `*.cloudfront.net`。然而，這是基於 DNS 的比對——Meraki 會解析該網域並允許解析出的 IP 位址。這意味著對於像 CloudFront 或 Akamai 這樣解析出的 IP 可能會頻繁變動的 CDN 供應商，您應該使用網域萬用字元，而不是靜態 IP 範圍。靜態 IP 項目適用於穩定的 Purple RADIUS 端點，但不適用於 CDN 流量。 現在，讓我們來談談我直接參與過的兩個實際案例。 第一個是位於英國、擁有 350 間客房的飯店。該客戶在三棟建築中部署了 Meraki MR46 無線基地台 (AP)，在高峰期約有 400 台訪客裝置同時連線。最初的部署使用的是「點擊即連」(click-through) 的 Splash 頁面——沒有 RADIUS，只需接受條款。問題在於，他們完全無法得知是誰在進行連線、無法收集電子郵件，也無法在旅客退房後進行行銷活動。我們協助他們轉移到使用 RADIUS 驗證登入的 Purple。設定過程非常簡單，但棘手的地方在於，他們的上游防火牆阻擋了傳送到本地子網路以外任何位置的 Port 1812 輸出 UDP 流量。當我們將 Meraki Dashboard 的 IP 範圍新增至防火牆允許清單後，驗證便立即正常運作。部署完成後，該飯店在第一個月就成功收集了約 68% 連線訪客的電子郵件地址，其行銷團隊隨後進行了再行銷活動，顯著提升了直接訂房率。第二個情境是擁有 45 家分店的連鎖零售商，每家分店皆運行 Meraki MR33 基地台。這裡的挑戰在於規模與一致性。手動為 45 個 SSID 設定正確的 RADIUS 設定與圍牆花園清單，不僅耗時且極易出錯。解決方案是採用 Meraki 的範本化設定。我們建立了一個包含正確 SSID、RADIUS 和圍牆花園設定的單一網路範本，然後將所有 45 家分店的網路綁定至該範本。任何變更（例如在圍牆花園中新增社群登入提供商），都只需在範本中修改一次，便會自動同步至所有分店。接著，Purple 的分析功能會整合所有分店的客流量與停留時間數據，為零售營運團隊提供單一儀表板，以便按分店、地區和時段查看顧客行為。 以下提供三個實用經驗法則，能為您在每次部署 Meraki Captive Portal 時節省寶貴時間。 法則一：在設定 RADIUS 之前，務必先確認 Meraki Dashboard 的 IP 範圍。這些範圍偶爾會發生變更，如果您的防火牆阻擋了這些 IP，從使用者的角度來看，驗證將會無預警失敗——他們只會看到 Portal 頁面卡住。在正式上線前，請使用 Dashboard 中「存取控制（Access Control）」下的內建 RADIUS 測試工具來驗證連線狀態。 法則二：針對任何託管於 CDN 的內容，請在圍牆花園中使用網域萬用字元，而非 IP 範圍。CDN 的 IP 範圍龐大且變動頻繁。使用萬用字元網域項目更易於維護，也更加可靠。 法則三：即使您認為目前還不需要，也請啟用連接埠 1813 上的 RADIUS 計費（accounting）功能。工作階段（session）數據對於排查斷線問題非常有用，也能為您的分析平台提供精確的停留時間指標。啟用此功能無需任何成本，但若事後才想補加設定則會非常困難。 以下是幾個我經常被問到的常見問題。 我可以使用 Meraki 內建的歡迎頁面（splash page）來代替 Purple 嗎？可以，但您將失去數據收集、分析、行銷自動化以及符合 GDPR 規範的同意聲明管理功能。內建的歡迎頁面適用於基本的點擊跳轉，但它並非專業的顧客智慧平台。 此設定是否同時適用於 Meraki MX 防火牆與 MR 基地台？RADIUS 歡迎頁面設定僅在 MR 基地台上支援。MX 設備處理用戶端 VPN 驗證的方式有所不同。針對訪客 WiFi，您需要設定的是 MR 的 SSID。 那 WPA3 呢？Meraki MR 基地台在企業級 SSID 上支援 WPA3。對於訪客 Captive Portal 部署，SSID 通常是開放式（Open），因此 WPA3 決不直接適用。然而，如果您在部署 Captive Portal SSID 的同時，也部署了 Passpoint 或 OpenRoaming SSID（Purple 均支援），該 SSID 將使用採用 802.1X 的 WPA3-Enterprise，這時 WPA3 就會派上用場。總結來說：Cisco Meraki 與 Purple 的整合已通過充分測試且相當可靠，但需要注意三件事：RADIUS 來源 IP 路由、walled garden 完整性，以及工作階段逾時設定。只要正確設定這三項，部署過程就會非常簡單直接。商業效益非常明確 — 部署了配置完善且具備數據擷取功能之訪客 WiFi 平台的場所，都能持續在行銷互動和營運洞察方面獲得可衡量的回報。 如果您想深入了解，請參閱 Purple 關於使用雲端 RADIUS 實作 802.1X 驗證的指南，以及 Purple 部落格上的 Cisco 無線 AP 部署指南。這兩者都已連結在節目資訊欄中。 感謝您的收聽。如果您有希望我們探討的特定部署情境，請與 Purple 技術團隊聯絡。我們下期節目再見。