Ruijie 的 Captive Portal：搭配 Purple 訪客 WiFi 進行設定

請以自信、權威且口語化的英式英文口吻發音 - 就像一位資深 IT 顧問向客戶進行簡報。節奏沉穩、發音清晰、專業而不生硬。偶爾對關鍵技術術語進行自然強調： 如何為訪客 WiFi 設定 Ruijie Captive Portal。Purple 技術簡報。 [中度停頓] 引言與背景。 [短暫停頓] 歡迎。在接下來的十分鐘內，我們將涵蓋您需要了解的有關為訪客 WiFi 設定 Ruijie Captive Portal 的所有內容 - 從決定您的部署成功或失敗的架構決策，到大多數指南完全跳過的具體設定步驟。 如果您是飯店、零售連鎖店、體育場或會議中心的 IT 經理、網路架構師或場地營運總監，並且您現場有 Ruijie 硬體或正在評估它，那麼此簡報非常適合您。 Ruijie Networks 是全球成長最快的企業無線廠商之一。根據 IDC 數據，Ruijie 在中國企業 WLAN 市場佔有 23.34% 的份額，位居第一，且其版圖正在歐洲、中東和亞太地區迅速擴張。他們的 RG-WS 系列無線控制器、Reyee EG 系列閘道器以及雲端管理的 RG-RAP 存取點現已部署在全世界上千個場地。 但問題在於。在 Ruijie 硬體上正確設定訪客 WiFi - 特別是 Captive Portal 部分 - 需要預先了解少數架構決策。如果這些決策出錯，您最終得到的 Portal 將在 iOS 上失效、訪客無法進行驗證，且網路不是太開放就是限制太嚴格。 讓我們來解決這個問題。 [中度停頓] 技術深探。 [短暫停頓] 首先是架構。Ruijie 為訪客 WiFi Captive Portal 提供了三種不同的部署模式，選擇正確的模式取決於您的規模和管理需求。 模式一是原生的 Ruijie Cloud 或 JaCS 管理的 Portal。JaCS 是 Ruijie 專注於餐旅業的管理系統。這是內建的選項。您登入 Ruijie Cloud，導航至 Device Config，然後至 Basic，建立或編輯您的訪客 SSID，啟用 Authentication 切換開關，並選擇 Captive Portal 作為模式。JaCS 支援飯店和其他場景，並提供拖放式 Portal 建置工具，登入選項包括一鍵式存取、憑證代碼和基於帳戶的登入。對於較小規模的部署 - 單一飯店、精品零售店或想要在不依賴外部資源的情況下快速建立品牌 Splash 頁面的會議中心 - 這是正確的選擇。 模式二是透過 WISPr 與 RADIUS 的外部 Captive Portal。WISPr - 也就是無線網路服務供應商漫遊 - 是處理 Ruijie 閘道器與外部 Portal 平台之間重新導向和驗證握手的協定。這是企業級的作法。當您想將 Ruijie 與第三方訪客 WiFi 智慧平台整合時，就需要這種模式。在這裡，您可以在 Ruijie 介面中導覽至 Auth and Account，選取 Captive Portal，將 Policy Mode 設定為 External，並將 Portal Server URL 指向您的外部平台。接著，使用您平台提供的認證資訊設定 RADIUS 伺服器群組。此模式可擴展至數百個站點，為您提供集中式分析，並讓您執行符合 GDPR 規範的資料收集工作流程。 模式三是獨立 AP 模式。執行 ReyeeOS 版本 1.219 或更高版本的 Ruijie Reyee 存取點可以在沒有閘道器的情況下執行本機 Captive Portal，這對於臨時部署或沒有 EG 路由器的小型站點非常有用。但與基於閘道器的部署相比，其功能較為受限，因此請將其視為備用方案，而非主要架構。 [medium pause] 現在，我們來談談大多數指南完全跳過的關鍵部分：VLAN 隔離。當您在 Ruijie 上建立訪客 SSID 時，有兩種轉發選項 - NAT 模式和 VLAN 模式。 NAT 模式較為簡單。閘道器會從專用位址池（預設通常為 192.168.23.0/24）分配訪客裝置位址，且所有訪客流量都會經過 NAT 轉換至網際網路。這適用於概念驗證，但在第 3 層對訪客流量的能見度與控制力有限。 VLAN 模式是任何生產環境部署的正確選擇。您將訪客 SSID 分配給專用 VLAN（例如 VLAN 100），並在閘道器上使用 ACL 來阻止訪客流量到達您的企業 VLAN。其模式為：建立一個延伸存取控制清單，拒絕從訪客子網路到企業子網路的 IP 流量，允許其他所有流量，並在訪客 BVI 介面上套用該輸入存取控制清單。這與您在 Cisco Meraki、HPE Aruba 或 Ruckus 上套用的原則相同 - Ruijie 只是有其自己的 CLI 語法。 安全性標準在此非常重要。Ruijie 在訪客 SSID 上支援 WPA3-Personal 與 WPA2/WPA3 混合模式。對於希望實現無摩擦存取的訪客網路，您通常會執行具有 Captive Portal 驗證的開放式 SSID，而不是預先共用金鑰。Captive Portal 會成為您的驗證層。如果您需要更強的安全性 - 例如在醫療保健或金融服務環境中 - 您可以疊加 IEEE 802.1X，透過 RADIUS 伺服器使用 EAP-TLS 或 PEAP 進行基於憑證或憑證認證的驗證。Ruijie 的 RG-WS 系列控制器支援具有動態 VLAN 分配功能之完整 802.1X，這意味著您可以根據 RADIUS 屬性將不同的 VLAN 推送給不同的使用者群組。 [medium pause] The walled garden - 或稱 allowlist（允許清單） - 是另一個容易讓人出錯的地方。在訪客透過 Captive Portal 進行驗證之前，其裝置會處於受限狀態，只能存取您明確列入 allowlist 的網域。您至少需要允許您的 Portal 平台網域和 IP 位址、您所使用的任何社群登入提供者，以及 Apple 的 Captive Portal 偵測端點 - captive.apple.com。如果漏掉了最後一個，iOS 裝置將會顯示不完整的 Portal 頁面體驗。您可以在 Ruijie Cloud 的「Auth and Account」下，然後在「Allowlist」中設定 allowlist。請逐一新增每個網域與 IP 位址。 [medium pause] 實作建議與常見陷阱。 [short pause] 讓我提供決定您的 Ruijie 訪客 WiFi 部署成功與否的四個關鍵決策。 決策一：原生 Portal 與外部平台。如果您管理超過五個場域，或者需要收集第一方數據用於行銷，請使用外部平台。例如，Purple 作為一個與硬體無關的雲端重疊網路（cloud overlay），已部署在超過 80,000 個現有的實體場域。您只需將 Ruijie 閘道器指向 Purple 的 Portal URL，設定 RADIUS 憑證，即可獲得集中式分析、符合 GDPR 規範的數據收集以及 CRM 整合 - 之後完全不需要再調整 Ruijie 硬體。光是在 2024 年，Purple 就已處理了 4.4 億次登入，並持有 ISO 27001 認證，因此法規合規性已完全解決。 決策二：NAT 與 VLAN。在正式生產部署中，請務必使用 VLAN 模式。NAT 模式適用於概念驗證（PoC），但 VLAN 模式可為您提供健全的 Layer 3 隔離、更輕鬆的防火牆原則管理，以及針對每個 VLAN 應用 QoS 原則的能力。 決策三：頻寬管理。Ruijie 的 EG 閘道器內建 QoS 控制功能。請在訪客 SSID 上設定每個使用者的下載與上傳限制 - 對於標準訪客網路，通常設定為每秒 2 到 5 Mb 的下載速度。這能防止單一訪客因串流 4K 影片而降低其他所有人的網路體驗。如果您使用的是外部平台，請在 Ruijie 端停用 Client Escape，以確保該平台的頻寬控制能正確生效。 決策四：工作階段逾時與重新驗證。請設定合理的工作階段逾時 - 飯店餐飲業為 8 到 24 小時，零售業或活動則縮短時間。Ruijie 允許您針對每個 Portal 原則進行此設定。請搭配登入後重定向 URL，讓訪客在連線後直接導向您場域的官方網站或促銷頁面。 [medium pause] 我最常看到的陷阱是團隊在部署 Captive Portal 時，沒有同時在 iOS 和 Android 上進行測試。Apple 和 Google 都各自擁有行為模式不同的 Captive Portal 偵測機制。在正式上線前，請務必兩者都進行測試。第二個最常見的陷阱是忘記將 Portal 設定同步到 JaCS 中的 EG 產品 - 在建立或編輯 Portal 後，您必須按一下明確的「同步（Synchronise）」按鈕，否則閘道器將無法接收變更。 [medium pause] 快速問答。 [short pause] 讓我解答一些最常遇到的問題。 Ruijie AP 能在沒有閘道器的情況下運行 Captive Portal 嗎？可以，需在 ReyeeOS 1.219 或更高版本上運行，但與基於閘道器的部署相比，功能會受到限制。 Ruijie 訪客網路是否支援 802.1X？是的，RG-WS 系列控制器支援完整的 802.1X，並可透過 RADIUS 進行動態 VLAN 分配。 我可以將 Ruijie 與 Purple 整合嗎？可以。設定外部 Captive Portal 模式，將 Portal URL 指向 Purple 的端點，設定帶有 Purple 憑證的 RADIUS 伺服器群組，並將 Purple 的網域新增至允許清單中。Purple 獨立於硬體的架構會處理其餘的工作。 WPA3 可以與 Captive Portal 搭配使用嗎？可以。您為 Captive Portal 流程運行一個開放的 SSID。WPA3 適用於已驗證的 SSID。對於訪客網路，Portal 本身就是驗證層。 Ruijie 使用哪些 RADIUS 連接埠？連接埠 1812 用於驗證，連接埠 1813 用於計費 - 這些是符合 RFC 2865 和 RFC 2866 的標準 IANA 分配連接埠。 [medium pause] 總結與後續步驟。 [short pause] 總結來說。Ruijie Networks 為您提供了一個功能強大、靈活的訪客 WiFi 和 Captive Portal 部署平台。三種部署模式 - 原生雲端 Portal、基於 RADIUS 的外部 Portal 以及獨立 AP - 涵蓋了從單一據點的精品酒店到多據點的連鎖零售店等各種場景。 關鍵決策是：針對任何實際運作部署採用 VLAN 隔離而非 NAT。針對任何多據點或數據擷取使用案例採用外部平台。進行正確的 Walled Garden 設定以避免 iOS 驗證失敗。並且在正式上線前，務必在 iOS 和 Android 上進行測試。 您的後續步驟：稽核您目前的 Ruijie 韌體版本，以確認 ReyeeOS 相容性。決定您需要原生還是外部 Portal 管理。如果您正在營運五個以上的據點或需要分析功能，請聯絡 Purple 洽詢將其平台與您的 Ruijie 基礎架構相整合的事宜。Purple 在全球 80,000 多個場地運作，每年處理數億次登入，並已通過 ISO 27001、GDPR 和 Cyber Essentials 認證。 您可以在 purple.ai 找到 Purple 的整合說明文件並申請展示。 感謝您的收聽。我們下次簡報再見。