Cisco Meraki 的 Captive Portal：搭配 Purple 訪客 WiFi 進行設定

歡迎來到 Purple 技術簡報系列。我是你們的主持人，今天我們要介紹幾乎在每個企業級訪客 WiFi 部署中都會遇到的主題：在 Cisco Meraki MR 無線基地台配置 Captive Portal，特別是如何使用 RADIUS 驗證將其與 Purple 的雲端平台進行整合。不論您是為新餐旅業客戶進行上線設定的 MSP，還是零售連鎖店的內部網路架構師，本集節目都將為您提供精確的配置步驟以及每個步驟背後的原理。 讓我們來設想一個場景。您有一個場所 - 可能是飯店、會議中心、體育場或零售園區 - 正在運行透過 Meraki Dashboard 管理的 Cisco Meraki MR 無線基地台。任務是部署一個具備品牌形象的訪客 WiFi 體驗，以收集第一方數據、強制執行服務條款同意書，並將分析數據傳回行銷平台。這正是 Purple 的專長，而 Meraki 也是我們全球最常見的硬體部署之一。 現在，在您變更任何設定之前，必須先了解關鍵的架構重點：在 Cisco Meraki 上，Splash 網頁的 RADIUS 驗證並非由無線基地台本機處理。RADIUS Access-Request 請求是由 Meraki 雲端（即 Dashboard 基礎架構）發出，而非來自您 LAN 上的 AP。這是一個關鍵的區別，許多工程師在首次部署 Meraki 時常會忽略這一點。這意味著您的 RADIUS 伺服器 - 在本例中為 Purple 的雲端 RADIUS 端點 - 必須能從網際網路存取，且您的防火牆規則必須允許來自 Meraki Dashboard IP 範圍的流量，而不僅僅是來自您本機 AP 的子網路。您可以在 Meraki Dashboard 的「Help」，然後「Firewall Info」下找到目前的 Dashboard IP 範圍。 好的，讓我們開始配置。我將按照您在實際部署中操作的順序，逐步引導您完成此過程。 第一步：SSID 配置。在 Meraki Dashboard 中，導覽至「Wireless」，然後「Configure」，接著「SSIDs」。選取您要用於訪客存取的 SSID 插槽。給它一個清晰的名稱 - 例如 GuestWiFi 或 VenueName_Guest。在「Association requirements」下，將「Security」設定為「Open, no encryption」（開放，無加密）。這是正確且刻意設計的 - 訪客的安全層級是由 Captive Portal 和 RADIUS 驗證處理，而非由 WPA 加密。如果您要在符合 PCI-DSS 的環境中進行部署，您會希望確保訪客流量在自己的 VLAN 上進行隔離，我們稍後會介紹這一點。 步驟二：Splash page與驗證。保持在您 SSID 的 Access Control 頁面，向下捲動至 Splash page 區段。將其設定為 Sign-on with，並從下拉選單中選擇 my RADIUS server。這是最關鍵的的設定，它會指示 Meraki 在授予網路存取權限之前，先透過外部 RADIUS 伺服器驗證使用者。在該設定下方，您會看到 Captive portal strength 選項。將此設定為 Block all access until sign-on is complete。這就是強制執行 walled garden 的關鍵 - 否則訪客可以完全繞過該入口網頁。 步驟三：RADIUS 伺服器設定。在 RADIUS 區段下方，按一下 Add server。您需要從您的 Purple 帳戶中取得三項資訊：RADIUS 伺服器 IP 位址或 FQDN、驗證連接埠（UDP 1812）以及共用金鑰（shared secret）。Purple 會在該場域的設定頁面中提供這些資訊。為了在生產環境部署中提供備援，您應該新增第二台 RADIUS 伺服器 - Purple 提供了一個容錯移轉端點。如果您希望將工作階段資料傳回 Purple 的分析引擎，請將計量連接埠設定為 UDP 1813，對於停留時間和工作階段持續時間為重要指標的任何場域，我強烈建議進行此設定。 關於 RADIUS 屬性的簡要說明：Meraki 支援 RADIUS Access-Accept 回應中傳回的 Session-Timeout 屬性。Purple 利用此屬性來控制訪客工作階段在需要重新驗證前的持續時間。對於飯店，您可能會將此設定為 86,400 秒（即 24 小時）；對於咖啡廳，設定為 3,600 秒（一小時）會比較合適。系統也支援 Idle-Timeout 屬性，但僅在啟用 RADIUS 計量時有效。這會中斷閒置的工作階段，對於高密度場域的容量管理非常重要。 步驟四：Splash page URL。導覽至 Wireless，然後選擇 Configure，再選擇 Splash page。從下拉選單中選擇您的訪客 SSID。將 Custom splash URL 設定為您場域的 Purple 入口網頁 URL。這是 Meraki 將未驗證用戶端重導向至的 URL。Meraki 會在該 URL 後面加上查詢參數（包括 login_url 參數），Purple 會使用這些參數來完成驗證交握。請勿修改或移除這些參數。 步驟五：walled garden。這是大多數部署最常遇到問題的地方。walled garden 是訪客裝置在驗證前可以存取的網域和 IP 範圍清單。如果沒有正確的條目，Captive Portal 頁面本身將無法載入，因為瀏覽器會被阻止連接到 Purple CDN 和社群登入供應商。 導航回您客用 SSID 的 Access Control（存取控制）。將 Walled garden（圍牆花園）設定為啟用。在 Walled garden 範圍欄位中，您需要新增以下內容。第一，Purple 平台的網域：star dot purple dot ai 以及 star dot venuewifi dot com。第二，Purple 用於提供入口網站資源的 CDN 網域：star dot cloudfront dot net 以及 star dot akamaihd dot net。第三，Meraki 的重定向基礎設施：star dot network-auth dot com。第四，如果您提供社群登入選項，則需要相關的 OAuth 網域。Google 為：accounts dot google dot com、star dot googleapis dot com、star dot gstatic dot com。Facebook 為：star dot facebook dot com、star dot fbcdn dot net 以及 connect dot facebook dot net。Twitter 或 X 為：star dot twitter dot com 以及 star dot twimg dot com。 關於 Meraki 在圍牆花園中如何處理萬用字元網域的一個重要注意事項。Meraki 確實支援使用星號字首的萬用字元項目，例如 star dot cloudfront dot net。然而，這是基於 DNS 的比對 - Meraki 解析網域並允許產生的 IP 位址。這意味著對於像 CloudFront 或 Akamai 這樣解析出的 IP 可能會頻繁變動的 CDN 供應商，您應該使用網域萬用字元，而不是靜態 IP 範圍。靜態 IP 項目適用於 Purple 的 RADIUS 端點（因為它們很穩定），但不適用於 CDN 流量。 現在讓我們談談我直接處理過的兩個實際案例。 第一個是位於英國、擁有 350 間客房的飯店。客戶在三棟建築中運行 Meraki MR46 存取點，在高峰期約有 400 個並行客用裝置。初始部署使用的是點擊式歡迎頁面 - 沒有 RADIUS，只需接受條款。問題在於，他們完全無法了解是誰在進行連線、無法收集電子郵件，也無法進行入住後的行銷活動。我們將他們移轉至使用基於 RADIUS 登入的 Purple。設定很簡單，但棘手的是他們的上游防火牆阻擋了目的地為本地子網路以外任何地方的 1812 連接埠輸出 UDP。一旦我們將 Meraki Dashboard IP 範圍新增至防火牆允許清單，驗證便立即正常運作。部署後，該飯店在第一個月內就收集到大約 68% 連線客人的電子郵件地址，其行銷團隊運行的再行銷活動也顯著提升了直接訂房量。 第二個情境是擁有 45 家門市的零售連鎖店，每家門市皆執行 Meraki MR33 基地台。這裡面臨的挑戰是規模化與一致性。手動設定 45 個 SSID 並套用正確的 RADIUS 設定與 walled garden 清單，不僅容易出錯，也相當耗時。解決方案是採用 Meraki 的範本型設定。我們建立了單一網路範本，其中包含正確的 SSID、RADIUS 與 walled garden 設定，然後將所有 45 家門市的網路繫結至該範本。任何變更 - 例如在 walled garden 中新增社群登入提供者 - 只要在範本中修改一次，就會自動套用至所有門市。接著，Purple 的分析功能會彙整所有門市的客流量與停留時間數據，為零售營運團隊提供單一儀表板，以呈現各門市、各區域及各時段的訪客行為。 讓我提供三個實用法則，可為您的每次 Meraki Captive Portal 部署節省時間。 法則一：在設定 RADIUS 之前，務必先檢查 Meraki Dashboard 的 IP 範圍。這些範圍偶爾會變動，如果您的防火牆阻擋了這些範圍，驗證將會在使用者端悄然失敗 - 他們只會看到入口網站頁面卡住。在正式上線前，請使用 Dashboard 中「存取控制」下的內建 RADIUS 測試工具來驗證連線能力。 法則二：針對任何 CDN 代管的內容，在 walled garden 中請使用網域萬用字元，而非 IP 範圍。CDN 的 IP 範圍非常龐大且經常變動。使用萬用字元網域項目更易於維護，也更可靠。 法則三：即使您認為目前不需要，也請在連接埠 1813 上啟用 RADIUS 計費 (accounting)。工作階段數據對於排查連線中斷問題，以及將準確的停留時間指標送入您的分析平台中非常有用。啟用此功能完全免費，且事後補做非常困難。 現在，來解答幾個我常被問到的快速問題。 我可以使用 Meraki 內建的歡迎頁面來代替 Purple 嗎？可以，但您將失去資料收集、分析、行銷自動化，以及符合 GDPR 規範的同意授權管理。內建的歡迎頁面適用於基本的點擊登入，但它並非訪客情報平台。 此設定是否同時適用於 Meraki MX 防火牆與 MR 基地台？RADIUS 歡迎頁面設定在 MR 基地台上有支援。MX 設備處理用戶端 VPN 驗證的方式不同。專門針對訪客 WiFi，您需要設定 MR SSID。 那 WPA3 呢？Meraki MR 基地台在企業級 SSID 上支援 WPA3。對於訪客 Captive Portal 部署，SSID 通常是 Open，因此不直接適用 WPA3。然而，如果您在 Captive Portal SSID 旁部署 Passpoint 或 OpenRoaming SSID - 這是 Purple 所支援的 - 該 SSID 會使用搭配 802.1X 的 WPA3-Enterprise，而這正是 WPA3 發揮作用的地方。 總結來說：Cisco Meraki 與 Purple 的整合經過充分測試且非常可靠，但需要注意三件事：RADIUS 來源 IP 路由、walled garden 完整性以及工作階段逾時設定。只要做好這三點，部署就會非常簡單。商業實例顯而易見 - 部署了設定妥當且具備數據擷取功能之訪客 WiFi 平台的場所，在行銷互動和營運洞察方面始終能看到可衡量的回報。 如果您想深入了解，請參閱 Purple 部落格上關於使用雲端 RADIUS 實作 802.1X 驗證的指南，以及我們的 Cisco 無線 AP 部署指南。兩者的連結都已提供在節目資訊中。 感謝您的收聽。如果您有希望我們涵蓋的特定部署情境，請與 Purple 技術團隊聯絡。我們下期節目再見。