跳至主要內容
繁體中文

Captive Portal 適用於 Ruckus

本技術參考指南為在 CommScope Ruckus SmartZone 與 Unleashed 架構上部署外部 Captive Portal 提供權威的整合實戰手冊。它引導網路工程師逐步進行訪客 WLAN、WISPr 重新導向、RADIUS AAA 伺服器設定以及 Walled Garden 排除項目的設定,以提供安全、高密度的訪客 WiFi 解決方案。

📖 14 分鐘閱讀📝 3,327 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收看 Purple 技術簡報系列。我是你們的主持人,今天我們將介紹幾乎在每個企業級 WiFi 部署中都會遇到的主題:在 Ruckus SmartZone 和 Ruckus Unleashed 控制器上設定 Captive Portal。無論您是正在為連鎖飯店部署訪客 WiFi 的託管服務供應商 (MSP)、正在規劃新據點的飯店餐飲業 IT 主管,還是正在將 Purple 平台與 Ruckus 基礎架構整合的無線網路工程師,這一集都是為您準備的。讓我們開始吧。 --- 首先,為什麼 Ruckus 的 Captive Portal 整合如此重要?Ruckus 目前隸屬於 CommScope,是全球領先的企業 WiFi 平台之一。特別是 SmartZone,它是高密度環境(如體育館、會議中心、大型飯店和零售連鎖店)的首選控制器。當您部署如此規模的訪客 WiFi 時,您需要的不僅僅是一個開放的 SSID。您需要結構化的驗證流程、符合 GDPR 的數據收集,以及將訪客數據推送到行銷系統中的能力。這正是像 Purple 這樣的外部 Captive Portal 平台發揮作用的地方。 這裡的架構是基於 WISPr 的熱點流程。WISPr 代表無線網路服務供應商漫遊 (Wireless Internet Service Provider roaming) — 這是一個產業標準,定義了無線控制器如何攔截未經驗證的 HTTP 流量並將其重新導向到外部入口網站。訪客連接到您的 SSID,其裝置會發送 HTTP 請求,SmartZone 控制器會攔截該請求並向您的外部入口網站 URL 發出 HTTP 302 重新導向。訪客進行驗證 — 無論是透過社群登入、電子郵件、簡訊還是自訂表單 — 然後入口網站透過北向介面 (Northbound Interface, NBI) 與控制器進行通訊以授予存取權限。乾淨、符合標準,且在配置正確時非常可靠。 --- 現在讓我們進入技術設定。我會先介紹 SmartZone,然後說明 Unleashed 的差異。 在 SmartZone 上(這適用於實體 SZ300 和虛擬 vSZ 部署),設定包含四個主要元件:RADIUS 驗證伺服器設定檔、RADIUS 計費伺服器設定檔、熱點 WISPr 入口網站設定檔以及 WLAN 本身。 從您的 RADIUS 伺服器開始。導覽至「Services and Profiles」(服務與設定檔),然後選擇「Authentication」(驗證)。建立一個新的 AAA 伺服器設定檔。將服務協定 (Service Protocol) 設定為 RADIUS。您的主要伺服器 IP 和共用金鑰 (shared secret) 將由您的入口網站供應商提供 — 以 Purple 而言,這些都記錄在 Purple 入口網站的管理主控台中。驗證埠為 1812。務必設定備用 RADIUS 伺服器以確保容錯能力 — 備用伺服器也使用連接埠 1812。然後在「Services and Profiles」下的「Accounting」(計費)中對計費進行相同設定 — 連接埠 1813,使用相同的共用金鑰。 接下來是 Hotspot WISPr 設定檔。前往「服務與設定檔」(Services and Profiles)、「熱點與入口網站」(Hotspots and Portals),然後選取「Hotspot WISPr」分頁。建立新的設定檔。將「登入 URL」(Login URL)設為「外部」(External),並輸入您的入口網站重導向 URL — 這是您的訪客在進行驗證前會被引導至的 URL。將「起始頁面」(Start Page)設為重導向至驗證後的 URL,通常是成功頁面或您場域的主頁。 現在是 Walled Garden(圍牆花園)。這是許多工程師容易出錯的地方。Walled Garden 定義了訪客在驗證前可以存取哪些網域和 IP 位址。您需要包含您的入口網站網域、您入口網站載入任何 CDN 或資產網域,以及標準作業系統的 Captive Portal 偵測端點。在 SmartZone 中,支援使用星號加點(asterisk-dot)格式的萬用字元 — 例如 star-dot-purple-dot-ai。該單一條目即可覆蓋所有子網域。您還需要包含 Apple 的 Captive Portal 偵測網域 — captive.apple.com — 以及 Google 的連線檢查端點,以防止 CNA 微型瀏覽器在 iOS 和 Android 裝置上運作異常。 一個容易被忽略的關鍵步驟:預設情況下,SmartZone 會加密在重導向 URL 中傳遞給外部入口網站的 MAC 位址和 IP 位址。您的入口網站供應商需要看到實際的用戶端 MAC 位址,才能執行基於 MAC 的工作階段管理。您必須透過 CLI 停用此功能。透過 SSH 進入您的 SmartZone,進入設定模式,然後執行:no encrypt-mac-ip。就是這樣 — 只有一個指令,但如果跳過它,將會導致無法運作。 Northbound Interface 是另一個組成部分。這是允許您的入口網站平台與 SmartZone 進行通訊,以便在驗證後允許或拒絕存取的 API。請在「管理」(Administration)、「外部服務」(External Services)、「WISPr Northbound Interface」下啟用它。設定使用者名稱和密碼,並將這些認證提供給您的入口網站供應商。NBI 在 HTTP 的 TCP 連接埠 9080 和 HTTPS 的 9443 上運作 — 請確保您的防火牆允許來自您入口網站平台 IP 範圍至這些連接埠的輸入連線。 最後,建立您的 WLAN。將「驗證類型」(Authentication Type)設為「Hotspot WISPr」,選取您的入口網站設定檔,並指派您的 RADIUS 驗證和計費服務。如果您的入口網站供應商需要特定值,請將「NAS ID」設為「使用者定義」(User-defined),將「Called Station ID」設為「AP MAC」,並啟用「Single Session ID」(單一工作階段 ID)。最後一項設定可確保訪客的工作階段與單一控制器工作階段記錄綁定,這對於精確計費非常重要。 --- 現在來談談 Unleashed。其架構本質上有所不同 — Unleashed 是一種分散式、無控制器的模式,其中一個 AP 充當 Master(主控制端)。設定位於「管理與服務」(Admin and Services)、「服務」(Services)、「熱點服務」(Hotspot Services)。步驟大致相似 — 建立熱點服務、設定外部入口網站 URL、設定您的 AAA 驗證伺服器、新增您的 Walled Garden 條目 — 但存在關鍵差異。 首先,Unleashed 不需要北向介面 (Northbound Interface)。其 portal 通訊模式更為簡單。其次,Unleashed 預設不啟用 MAC 位址加密,因此您不需要執行 CLI 指令。第三,Unleashed 的 walled garden 接受網域層級的項目,而非完整的萬用字元語法 — 因此您應輸入 purple.ai,而非 star-dot-purple.ai。請確認您供應商的文件,以取得其要求的確切格式。 Unleashed 可擴充至約 50 台無線基地台,非常適合中型飯店、零售分店和中小企業 (SMB) 部署。對於更大規模的環境 — 如多物業連鎖飯店集團、體育場館、大型零售地產 — SmartZone 才是合適的平台。 --- 讓我來說明在實際環境中,最常見的兩種故障模式。 第一種是 walled garden 設定錯誤。如果您的 portal 頁面在重新導向後無法載入,首先要檢查的是,您 portal 頁面所參照的所有網域是否都已加入 walled garden。現代 portal 頁面會從多個 CDN 網域載入資源、分析指令碼和社群登入 SDK。如果在驗證前封鎖了其中任何一個,頁面將會載入失敗或排版跑掉。請在連接到訪客 SSID 的測試裝置上使用瀏覽器的開發者工具,以識別有哪些請求被封鎖。 第二種是 NBI 連線問題。如果訪客能看到 portal 並完成驗證,但卻一直無法存取網際網路,可能的原因是 SmartZone 無法接收來自您 portal 平台的 NBI 回呼 (callback)。請檢查並確保從您的 portal 供應商 IP 範圍到 SmartZone 管理 IP 的輸入連接埠 (ports) 9080 和 9443 已啟用。同時,驗證您設定的 NBI 認證與您 portal 供應商所記錄的資訊是否一致。 第三個值得一提的是 — Apple CNA (Captive Network Assistant)。在 iOS 上,當裝置連接到網路時,它會向 captive.apple.com 發送探測請求。如果該探測收到非 200 的回應,iOS 就會跳出迷你瀏覽器。如果 captive.apple.com 在您的 walled garden 中,探測就會成功,iOS 會認為已有網路連線,因此不會顯示 CNA。這聽起來是件好事,但這代表您的訪客不會自動看到 portal。您需要決定:您是希望顯示 CNA,還是希望訪客手動開啟瀏覽器?大多數旅宿業部署都會將 captive.apple.com 排除在 walled garden 之外,以觸發 CNA。 --- 快速問答。以下是我經常被問到的三個問題。 訪客 WLAN 是否需要 VLAN?是的。請務必將訪客流量隔離在專屬的 VLAN 上。如果您的場所在同一個網路中處理信用卡付款,這既是安全要求,也是 PCI DSS 合規性的考量。 我可以在 Ruckus Cloud 上使用 Purple,而不是 SmartZone 嗎?可以,但設定路徑不同 — 它位於 WiFi 網路 (WiFi Networks) 下的訪客存取 (Guest Access) 設定。其 walled garden 和 RADIUS 的設定原則是相同的。 Purple 是否支援 SmartZone 多區域部署?是的。Purple 的整合功能可處理多區域 SmartZone 環境,且您可以針對不同場域或樓層,將 Portal 設定範圍限制在個別區域。 --- 總結來說,Ruckus SmartZone 與 Purple 的 Captive Portal 整合是一套成熟且文件完善的部署模式,能大規模提供可靠的訪客驗證。關鍵的設定要點包括:使用連接埠 1812 和 1813 且配有備用伺服器的 RADIUS、帶有外部登入 URL 的 Hotspot WISPr 設定檔、使用萬用字元項目且範圍正確的 walled garden、no encrypt-mac-ip CLI 指令,以及啟用並配有正確憑證的 Northbound Interface。只要做好這五件事,您就擁有了穩固的基礎。 對於 Unleashed 部署,相同的原則同樣適用,且其設定模型更為簡單,也無需 NBI 要求。 如果您正在 Ruckus 上部署 Purple,並希望在正式上線前驗證您的設定,Purple 的技術導入團隊可以引導您完成上線前檢查清單。Purple 平台還提供有關 Portal 載入時間、驗證成功率和工作階段資料的即時分析,讓您能在訪客發現問題之前,先一步掌握狀況。 感謝您的收聽。下一集我們將介紹使用 Cloud RADIUS 的 802.1X 驗證,這是另一個與 Ruckus SmartZone 完美搭配以實現企業訪客存取的整合方案。下期再會。

📚 核心系列的一部分:多租戶 WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

關鍵定義

WISPr (Wireless Internet Service Provider roaming)

由 Wi-Fi Alliance 開發的草案協定,使智慧用戶端與網頁瀏覽器能夠使用標準化 XML 或 HTTP 302 重定向,自動向無線熱點進行身分驗證。

在 Ruckus 控制器中用作核心重定向協定,將未經驗證的訪客裝置轉發至外部 Captive Portal 平台。

Northbound Interface (NBI)

由 Ruckus SmartZone 控制器開放的 API,允許外部網頁入口網站傳送授權回呼,指示控制器向特定用戶端 MAC 位址授予網際網路存取權限。

必須在 TCP 連接埠 9080 (HTTP) 或 9443 (HTTPS) 上啟用,以允許 Purple 在成功登入後授權訪客工作階段。

Walled Garden

允許未經驗證的訪客用戶端在驗證前存取的 IP 位址、子網路或網域名稱清單。

必須設定為入口網站的網域、CDN 和作業系統 Captive Portal 偵測端點,以確保登入頁面(splash page)正常載入。

RADIUS (Remote Authentication Dial-In User Service)

一種在 UDP 連接埠 1812(驗證)和 1813(帳務)上運作的網路協定,為使用者提供集中式驗證、授權和帳務 (AAA) 管理。

Ruckus 控制器將用戶端工作階段資料轉發至 Purple 的 RADIUS 伺服器,以驗證憑證並追蹤工作階段持續時間。

CNA (Captive Network Assistant)

內建於作業系統(如 Apple iOS/macOS 與 Android)中的輕量級、功能受限之瀏覽器,當偵測到具有作用中 Captive Portal 的開放網路時會自動啟動。

如果工程師希望強制訪客手動開啟完整瀏覽器以完成驗證,可在 WLAN 設定中繞過此設定。

Interim Accounting Update

無線控制器定期傳送至 RADIUS 伺服器的 RADIUS 訊息,用於更新作用中工作階段狀態、頻寬消耗和連線時間。

在 Ruckus WLAN 設定中必須設定為 5 分鐘,以確保 Purple 的儀表板能顯示精確的即時分析數據。

Client Isolation

在無線控制器上設定的安全功能,可防止連線至相同 AP 或 WLAN 的無線用戶端彼此直接通訊。

對於訪客 WiFi 網路至關重要,可保護使用者免受本機 ARP 詐騙、中間人攻擊和未經授權的裝置掃描。

WPA3-Transition Mode

一種安全設定,允許較舊的 WPA2 相容裝置與較新的 WPA3 相容裝置同時連線至同一個 SSID。

可與伺機無線加密 (OWE) 一起部署在訪客網路上,為開放的 SSID 提供空中加密,而無需輸入密碼。

範例

一家部署 Ruckus SmartZone (vSZ) 的高密度會議中心需要使用 Purple 的 Captive Portal 實作訪客 WiFi 網路。該網路必須支援高達 5,000 個並行工作階段、將訪客流量與企業子網路隔離,並支援社群登入驗證。

  1. 在核心交換器上設定專屬的訪客 VLAN 200,並將其對應到 Ruckus AP 區域(Zone)。定義一個 DHCP 範圍,設定公用 DNS 伺服器(例如 1.1.1.1、8.8.8.8)和較短的租約時間(2 小時),以因應高輪替率。
  2. 在 SmartZone 中,導覽至「Services & Profiles」>「Authentication」>「Proxy (SZ Authenticator)」,建立主要和備用 RADIUS 伺服器,指向連接埠 1812 上的 Purple Cloud RADIUS IP,並輸入提供的共用密鑰。
  3. 建立指向連接埠 1813 上 Purple Accounting IP 的 RADIUS 計費(Accounting)伺服器。將過渡更新間隔設定為 5 分鐘,以準確追蹤作用中的工作階段。
  4. 建立 Hotspot WISPr Portal 設定檔。將登入 URL 設定為「External」並填入 Purple 重新導向 URL。新增 Walled Garden 萬用字元排除項目,例如「.purple.ai」、「.cloudfront.net」和社群媒體網域(例如「*.facebook.com」)。
  5. 建立訪客 WLAN。將驗證類型設定為「Hotspot (WISPr)」,選擇新建立的 Hotspot 設定檔,並綁定 RADIUS 驗證與計費服務。將 Called Station ID 設定為「AP MAC」,並啟用「Single Session ID」。
  6. 透過 SSH 存取 SmartZone CLI 並執行「no encrypt-mac-ip」以將原始 MAC 位址傳遞給 Portal。在控制器上啟用 WISPr 北向介面(NBI),並在 Purple Portal 管理主控台中輸入憑證,以啟用 NBI 授權回呼。
考官評語: 此架構具有高度彈性且合規。使用專屬的 VLAN 200 滿足了 PCI DSS 分割需求。2 小時的短 DHCP 租約時間可防止在高密度情境下 IP 位址耗盡。啟用具有 5 分鐘過渡更新的 RADIUS 計費,可確保場館擁有即時工作階段追蹤,使 Purple 能夠準確監控頻寬使用情況。透過 CLI 停用 MAC 位址加密是關鍵步驟;否則,Portal 將收到雜湊處理過的 MAC,導致無法關聯工作階段。NBI 回呼設定是在 Ruckus SmartZone 上授權用戶端的唯一安全方式,且不會建立本機驗證迴圈。

一家擁有 45 間客房的中型精品酒店希望使用 Ruckus Unleashed AP 部署具有外部登入頁面的訪客 WiFi。他們需要輕量、無控制器的設定,且不需要 CLI 管理或對外公開的 NBI API 連接埠。

  1. 登入 master Unleashed AP 網頁介面。前往「Admin & Services」>「Services」>「AAA Servers」,建立指向 Purple Cloud RADIUS 基礎架構的 RADIUS 驗證(連接埠 1812)和計費(連接埠 1813)伺服器項目。
  2. 導覽至「Admin & Services」>「Services」>「Hotspot Services」,然後按一下「Create New」。將服務命名為「Purple_Hotel_Hotspot」。
  3. 在「General」索引標籤下,將登入 URL 設定為 Purple Portal 重新導向 URL。將起始頁面(Start Page)設定為重新導向至「 https://login.purple.ai/success.php」。
  4. 在「Authentication」索引標籤下,選擇新建立的 RADIUS 伺服器。將過渡計費更新間隔設定為 5 分鐘。
  5. 在「Walled Garden」索引標籤下,將必要的網域新增為網域級別項目(例如「purple.ai」、「cloudfront.net」、「gstatic.com」)。請注意,Unleashed 不需要也不支援星號萬用字元字首 (*.domain.com)。
  6. 前往「Wi-Fi Networks」,按一下「Create」,然後設定 SSID 名稱(例如「Hotel_Guest_WiFi」)。將使用類型(Usage Type)設定為「Hotspot Service」,並從下拉式清單中選擇「Purple_Hotel_Hotspot」。儲存設定以自動在所有 45 個 Unleashed AP 上同步該 SSID。
考官評語: 對於 AP 數量在 50 個以下的中小企業和中型市場部署,Ruckus Unleashed 提供了極具成本效益的客製化分散式架構。由於 Unleashed 預設不套用 MAC 位址加密,因此可以繞過 SmartZone 中所需的 CLI 步驟。此外,Unleashed 不需要北向介面(NBI)回呼來進行授權;相反地,用戶端授權是透過 master AP 與 RADIUS 伺服器之間的標準 RADIUS 交易直接交涉。這簡化了防火牆設定,因為不需要從網際網路向控制器開放任何輸入連接埠(如 9080/9443)。

練習題

Q1. 工程師配置了 Ruckus SmartZone Captive Portal 整合。當使用者連線到訪客 WiFi 時,他們會被重導向到登入頁面。然而,在輸入認證資訊並點擊「連線」後,他們會立即被重新導向回登入頁面,陷入無限循環。這最可能的可能原因是什麼?該如何解決?

提示:重點放在驗證完成後,Portal 雲端與 SmartZone 控制器之間的通訊。

查看標準答案

最可能的原因是 WISPr 北向介面 (NBI) 回呼失敗或 RADIUS 驗證不相符。當使用者點擊「連線」時,Portal 會對使用者進行驗證,並嘗試在 TCP 連接埠 9080 或 9443 上向 SmartZone 控制器發送 NBI 回呼,以授權用戶端的 MAC 地址。如果邊界防火牆阻擋了此入站連接埠,或者 Portal 儀表板中輸入的 NBI 認證資訊與控制器的設定不相符,控制器將永遠不會授權該用戶端。因此,當用戶端再次嘗試存取網際網路時,控制器會攔截流量並將其重導向回 Portal。要解決此問題:1) 確認邊界防火牆上從 Portal 的 IP 範圍到 SmartZone 管理 IP 的入站 TCP 連接埠 9443 (或 9080) 已開啟。2) 在「Administration > WISPr Northbound Interface」下檢查 SmartZone 的 NBI 配置,並確認使用者名稱和密碼與 Portal 管理主控台中的配置相符。3) 在 SmartZone 的「Services & Profiles > Authentication > Test AAA」下測試 RADIUS 連線,以確保共用金鑰 (shared secret) 正確無誤。

Q2. 在 Ruckus Unleashed 叢集上部署訪客 WiFi 網路時,有幾位訪客反映 Splash Page 載入時圖片和樣式損毀,且社群登入選項無法運作。其他使用不同裝置的訪客則完全無法載入 Splash Page。最可能的配置錯誤是什麼?

提示:分析載入成功的網域與預先驗證失敗的網域之間的差異。

查看標準答案

最可能的原因是 Walled Garden 配置錯誤或不完整。未經驗證的用戶端會被阻擋存取任何網際網路目的地,除非是 Walled Garden 中明確定義的目的地。如果 Splash Page 載入時樣式和圖片損毀,這意味著瀏覽器被阻擋從外部 CDN 下載這些資產。如果社群登入選項失敗,這意味著社群提供者的驗證端點 (例如 Facebook 或 Google OAuth URL) 被阻擋。要解決此問題:1) 審查 Unleashed Hotspot Service 配置中的 Walled Garden 項目。2) 確保已新增 Portal 使用的所有 CDN 網域 (例如「.cloudfront.net」) 以及核心 Portal 網域 (例如「purple.ai」)。3) 如果啟用了社群登入,請新增特定的社群提供者網域 (例如「.facebook.com」、「.facebook.net」、「.google.com」)。4) 請注意,Unleashed 使用網域級別比對,因此請勿包含星號萬用字元前綴 (例如,使用「purple.ai」而不是「*.purple.ai」)。

Q3. 無線工程師正在將訪客 WiFi 網路從 Ruckus Unleashed 遷移到集中式 Virtual SmartZone (vSZ) 控制器。他們完全照搬 Unleashed 中的 Walled Garden 清單進行配置:"purple.ai"、"cloudfront.net"、"apple.com"。然而,在遷移後,vSZ 網路上的用戶端無法載入 Splash Page。導致此失敗的語法差異是什麼?

提示:檢視 Ruckus SmartZone 與 Ruckus Unleashed 相比的特定萬用字元格式化規則。

查看標準答案

此失敗是由於兩個平台解析 Walled Garden 項目的語法差異所致。Ruckus Unleashed 採用自動網域級別比對,這意味著輸入「purple.ai」會自動涵蓋所有子網域 (例如「login.purple.ai」或「assets.purple.ai」)。然而,Ruckus SmartZone 不採用自動子網域比對;它需要使用星號前綴進行明確的萬用字元格式化 (例如「.purple.ai」)。如果工程師在 SmartZone 中輸入「purple.ai」,控制器將僅允許流向根網域的流量,從而阻擋用戶端載入「login.purple.ai」上的實際登入頁面。要解決此問題,工程師必須編輯 SmartZone 中的 Hotspot WISPr 設定檔,並將 Walled Garden 項目更新為正確的格式:".purple.ai"、".cloudfront.net" 和 ".apple.com"。

繼續閱讀本系列

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本權威指南詳細介紹 Cisco Catalyst 9800 WLC 與 Purple WiFi 的逐步整合。內容涵蓋用於訪客 Captive Portal 的外部網頁驗證、用於員工安全存取的 802.1X EAP-TLS,以及用於多租戶動態 VLAN 隔離的 Cisco iPSK。

閱讀指南 →

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →