Captive Portal for Ruckus Cloud：搭配 Purple 訪客 WiFi 進行設定

歡迎收看 Purple 技術簡報系列。我是您的主持人，今天我們要探討的是幾乎在每個企業 WiFi 部署中都會遇到的問題 - 在 Ruckus SmartZone 和 Ruckus Unleashed 控制器上設定 Captive Portal。無論您是為連鎖飯店部署訪客 WiFi 的 MSP、正在開展新據點的餐旅業 IT 主管，還是正在將 Purple 平台與 Ruckus 基礎架構進行整合的無線網路工程師，本集內容都非常適合您。讓我們開始吧。 --- 首先 - 為什麼 Ruckus Captive Portal 整合如此重要？Ruckus 目前隸屬於 CommScope，是全球主流的企業級 WiFi 平台之一。SmartZone 更是高密度環境（如體育館、會議中心、大型飯店和零售連鎖店）的首選控制器。當您在這種規模下部署訪客 WiFi 時，您需要的不僅僅是一個開放的 SSID。您還需要結構化的驗證流程、符合 GDPR 規範的數據擷取，以及將這些訪客數據推送到行銷堆疊中的能力。這正是像 Purple 這樣的外接 Captive Portal 平台發揮作用的地方。 這裡的架構是基於 WISPr 的熱點流程。WISPr 代表無線網路服務供應商漫遊 - 這是一項產業標準，定義了無線控制器如何攔截未經驗證的 HTTP 流量並將其重新導向至外部入口網站。訪客連線到您的 SSID，其裝置發送 HTTP 請求，SmartZone 控制器攔截該請求並發送 HTTP 302 重新導向至您的外部入口網站 URL。訪客進行驗證 - 無論是透過社群登入、電子郵件、簡訊還是自訂表單 - 然後入口網站透過 Northbound Interface (即 NBI) 與控制器進行通訊以授予存取權限。在正確配置的情況下，這是一個乾淨、符合標準且高度可靠的流程。 --- 現在讓我們進入技術配置。我會先介紹 SmartZone，然後說明 Unleashed 的差異。 在 SmartZone 上 - 這適用於實體 SZ300 和虛擬 vSZ 部署 - 配置包含四個主要部分：RADIUS 驗證伺服器設定檔、RADIUS 計費伺服器設定檔、Hotspot WISPr 入口網站設定檔以及 WLAN 本身。 從您的 RADIUS 伺服器開始。導覽至 Services and Profiles，然後選擇 Authentication。建立一個新的 AAA 伺服器設定檔。將 Service Protocol 設定為 RADIUS。您的主要伺服器 IP 和共用金鑰將由您的入口網站廠商提供 - 在 Purple 的案例中，這些都記錄在 Purple 入口網站的管理主控台中。驗證連接埠為 1812。請務必配置備份 RADIUS 伺服器以確保彈性 - 備份伺服器上的連接埠同樣為 1812。接著在 Services and Profiles 的 Accounting 下進行相同的計費配置 - 連接埠為 1813，使用相同的共用金鑰。接下來是 Hotspot WISPr 設定檔。請前往「Services and Profiles」、「Hotspots and Portals」，然後選擇「Hotspot WISPr」分頁。建立一個新的設定檔。將「Login URL」設定為「External」，並輸入您的入口網站重定向 URL - 這是您的訪客在進行驗證之前會被導向的 URL。將「Start Page」設定為重定向到驗證後的 URL，通常是成功頁面或您場域的首頁。 現在是 Walled Garden。這是許多工程師會卡關的地方。Walled Garden 定義了訪客在驗證之前可以存取哪些網域和 IP 地址。您需要加入您的入口網域、您的入口網站載入之任何 CDN 或資產網域，以及標準作業系統 Captive Portal 偵測端點。在 SmartZone 中，支援使用星號加點格式的萬用字元 - 例如 star-dot-purple-dot-ai。該單一項目即可涵蓋所有子網域。您還需要加入 Apple 的 Captive Portal 偵測網域 - captive.apple.com - 以及 Google 的連線檢查端點，以防止 CNA 迷你瀏覽器在 iOS 和 Android 裝置上運作異常。 一個很容易被忽略的關鍵步驟：在預設情況下，SmartZone 會將它在重定向 URL 中傳遞給外部入口網站的 MAC 地址和 IP 地址進行加密。您的入口網站供應商需要看到實際的用戶端 MAC 地址才能進行基於 MAC 的工作階段管理。您必須透過 CLI 停用此功能。使用 SSH 登入您的 SmartZone，進入設定模式，並執行：no encrypt-mac-ip。就是這樣 - 只有一個指令，但如果您跳過它，將會無法運作。 另一個部分是 Northbound Interface。這是允許您的入口網站平台與 SmartZone 進行通訊，以便在驗證後允許或拒絕存取的 API。請在「Administration」、「External Services」、「WISPr Northbound Interface」下啟用它。設定使用者名稱和密碼，並將這些憑證提供給您的入口網站供應商。NBI 在 HTTP 的 TCP 連接埠 9080 和 HTTPS 的 9443 上運作 - 請確保您的防火牆允許從入口網站平台的 IP 範圍連入這些連接埠。 最後，建立您的 WLAN。將「Authentication Type」設定為「Hotspot WISPr」，選擇您的入口網站設定檔，並分配您的 RADIUS 驗證和帳務服務。如果您的入口網站供應商需要特定值，請將「NAS ID」設定為「User-defined」，將「Called Station ID」設定為「AP MAC」，並啟用「Single Session ID」。最後一項設定可確保訪客的工作階段與單一控制器工作階段記錄綁定，這對於精確的帳務計算非常重要。 --- 現在是 Unleashed。其架構本質上有所不同 - Unleashed 是一種分散式、無控制器的模式，其中一部 AP 擔任 Master 主機。設定位於「Admin and Services」、「Services」、「Hotspot Services」。步驟大致相似 - 建立 Hotspot 服務、設定您的外部入口網站 URL、設定您的 AAA 驗證伺服器、新增您的 Walled Garden 項目 - 但存在著關鍵差異。首先，Unleashed 沒有 Northbound Interface 需求，其 portal 通訊模式較為簡單。其次，Unleashed 預設不套用 MAC 位址加密，因此您不需要執行 CLI 指令。第三，Unleashed 的 walled garden 接受網域層級的項目，而非完整的萬用字元語法 - 因此您應輸入 purple.ai，而非 star-dot-purple.ai。請查閱您硬體廠商的說明文件，以確認其所需的確切格式。 Unleashed 可擴充至約 50 個存取點，非常適合中型飯店、零售分店及中小型企業佈署。對於任何更大規模的環境 - 如多物業飯店集團、體育場館、大型零售資產 - SmartZone 才是合適的平台。 --- 讓我來介紹一下我在實務中最常遇到的兩種故障模式。 第一種是 walled garden 設定錯誤。如果您的 portal 頁面在重新導向後無法載入，首要檢查的是您 portal 頁面所參照的所有網域是否都已加入 walled garden。現代的 portal 頁面會從多個 CDN 網域、分析指令碼及社群登入 SDK 載入資源。如果其中任何一個在驗證前被阻擋，頁面將無法載入或載入不完全。請在連線至訪客 SSID 的測試裝置上使用瀏覽器的開發者工具，以識別哪些請求被阻擋。 第二種是 NBI 連線問題。如果訪客可以看到 portal 並進行驗證，但始終無法存取網際網路，可能的原因是 SmartZone 無法接收來自您 portal 平台的 NBI 回呼。請檢查通往 SmartZone 管理 IP 的通訊埠 9080 和 9443 是否已對您 portal 廠商的 IP 範圍開放輸入連線。同時，請驗證您設定的 NBI 認證憑證是否與您 portal 廠商所記錄的一致。 第三個值得提及的問題 - Apple CNA，即 Captive Network Assistant。在 iOS 上，當裝置連線至網路時，它會向 captive.apple.com 發送探測。如果該探測收到非 200 的回應，iOS 就會跳出迷你瀏覽器。如果 captive.apple.com 位於您的 walled garden 中，探測就會成功，iOS 會認為已有網路連線，而 CNA 就不會出現。這聽起來是件好事，但這意味著您的訪客不會自動看到 portal。您需要決定：您是希望出現 CNA，還是希望訪客手動開啟瀏覽器？大多數旅宿業佈署都會將 captive.apple.com 排除在 walled garden 之外，以觸發 CNA。 --- 快速問答。三個我經常被問到的問題。 我的訪客 WLAN 需要 VLAN 嗎？是的。請務必將訪客流量隔離在專用的 VLAN 上。這既是安全要求，也是在您的場域於同一網路上處理刷卡付款時，必須考慮的 PCI-DSS 合規性要求。 我可以在 Ruckus Cloud 上使用 Purple，而不是使用 SmartZone 嗎？可以，但設定路徑不同 - 它位於 WiFi 網路的訪客存取設定下。Walled garden 和 RADIUS 的設定原則是相同的。 Does Purple support SmartZone multi-zone deployments? Yes. Purple 的整合功能可處理多區域的 SmartZone 環境，您可以針對不同場地或樓層，將 portal 設定範圍套用到個別區域。 --- 總結來說。Ruckus SmartZone captive portal 與 Purple 的整合是一個成熟、文件記錄完整的部署模式，可提供大規模且可靠的訪客驗證。關鍵的設定要點為：在連接埠 1812 和 1813 上設定 RADIUS 並配備備用伺服器、具有外部登入 URL 的 Hotspot WISPr 設定檔、使用萬用字元項目正確設定範圍的 walled garden、no encrypt-mac-ip CLI 指令，以及啟用並配置正確憑證的 Northbound Interface。只要做對這五件事，您就擁有了穩固的基礎。 對於 Unleashed 部署，相同的原則同樣適用，且設定模型更簡單，也無需 NBI 要求。 如果您正在 Ruckus 上部署 Purple，並希望在正式上線前驗證您的設定，Purple 的技術導入團隊可以引導您完成上線前檢查清單。Purple 平台還提供有關 portal 載入時間、驗證成功率和工作階段資料的即時分析 - 讓您擁有在訪客發現問題之前先掌握狀況的可視性。 感謝您的收聽。下一集我們將介紹使用 Cloud RADIUS 的 802.1X 驗證 - 這是另一個與 Ruckus SmartZone 完美搭配以實現企業訪客存取的整合方案。下回見。