Cisco Catalyst WLC 與訪客 WiFi：使用 Purple 設定 Captive Portal

歡迎閱讀 Purple 技術簡報系列。今天我們要探討的是幾乎每位在餐旅業、零售業或大型場館工作的企業網路架構師都會面臨的任务：將 Cisco 無線區域網路控制器（Wireless LAN Controllers）和 Catalyst 無線基礎架構與 Purple 的 Guest WiFi 平台進行整合。如果您正在運行 Cisco Catalyst 9800 系列控制器或舊款的 AireOS 平台，並且需要提供符合規範、進行區隔且由數據分析驅動的訪客網路，這篇簡報正是為您準備的。 [medium pause] 首先來看看背景脈絡。Purple 在全球超過 80,000 個實體場館運行，而 Cisco 是企業環境中佔主導地位的無線基礎架構廠商。讓這兩個平台流暢協作並不複雜，但確實需要您在前期做出正確的架構決策。如果決策錯誤，您將花費數週時間來排查重新導向迴圈、VLAN 不匹配和 RADIUS 逾時等問題。如果決策正確，您將擁有一個能自動區隔訪客、員工和 IoT 設備，合規收集第一方數據，且無需人工干預即可在數百個站點間進行擴展的網路。 [medium pause] 現在，讓我們深入探討架構。 [short pause] 在 Cisco 部署中，當訪客連接到您的 WiFi 網路時，在他們存取網際網路之前需要完成三件事。首先，Cisco Catalyst 9800 WLC 需要攔截初始的 HTTP 請求，並將用戶端重新導向到 Purple 的 Captive Portal。其次，Purple 的入口網站需要對使用者進行身分驗證，無論是透過社群媒體登入、電子郵件、簡訊，還是簡單的接受條款與條件。第三，Purple 的 RADIUS 伺服器需要向 WLC 發送訊號，確認使用者已獲得授權，並可選擇將其分配到特定的 VLAN。 [medium pause] 處理第一步的機制稱為外部網頁驗證（External Web Authentication）或 EWA。在 Catalyst 9800 上，您需要設定一個指向 Purple 的 Splash Page URL 的網頁驗證參數對應（parameter map）。WLC 會攔截所有來自未經驗證用戶端的 HTTP 流量，並向該 URL 發出 302 重新導向。您還需要設定預先驗證 ACL（pre-authentication ACL）或使用 9800 的 URL 篩選功能，將 Purple 的入口網站 IP 地址加入白名單，以便用戶端在獲得授權之前能夠實際存取 Splash Page。Purple 為其入口網站提供兩個 IP 地址，您需要在預先驗證 ACL 中同時允許這兩個 IP。 [medium pause] 以下是 Catalyst 9800 的設定步驟。首先，建立參數對應。然後設定您的 URL 篩選器，以便在預先驗證時允許 Purple 的網域。將其套用到您的 WLAN 策略設定檔（policy profile），將 Layer 2 安全性設定為 None，在 Layer 3 上啟用 Web Policy，並將其指向您的參數對應。 [medium pause] 現在，談談 RADIUS。在此架構中，Purple 扮演 RADIUS 伺服器的角色。您需要設定 WLC，使其指向 Purple 的 RADIUS 端點，您可以在 Purple 控制面板中該場域的網路設定下找到此端點。共享密鑰是依場域產生的。在 Catalyst 9800 上，導覽至 Configuration, Security, AAA, Servers，然後新增 Purple 的 RADIUS 伺服器，並輸入正確的 IP 和共享密鑰。接著建立伺服器群組、驗證方法清單，並將其套用至您的 WLAN。[medium pause] 有一點常讓人踩坑：在 9800 上，您還必須在 global web auth parameter map 中設定虛擬 IP 地址。請使用 192.0.2.1 作為虛擬 IPv4 地址。如果跳過此步驟，用戶端有時會被重新導向至內部入口網站，而非 Purple 的入口網站，這會讓您花費一個沮喪的下午去思考原因。[medium pause] 接下來，我們看看使用 802.1X 的員工 WiFi。[short pause] 針對員工網路，您會希望使用基於憑證的 EAP-TLS 驗證，或者在無法部署憑證的環境中，至少使用具有 MSCHAPv2 的 PEAP。在 Catalyst 9800 上，為員工建立一個獨立的 WLAN，將 Layer 2 安全性設定為 WPA2 企業級，並將驗證指向您的 RADIUS 伺服器。如果您使用 Microsoft Entra ID 或 Okta 作為身分識別提供者，Purple 的 SecurePass 附加元件將扮演 RADIUS 代理，將 802.1X 驗證請求轉換為身分識別提供者查詢。這意味著您不需要為了員工驗證而準備另一台地端 RADIUS 伺服器。Purple 會處理 EAP 終端，並將身分核對轉發給您的身分識別提供者。[medium pause] 特別是針對 EAP-TLS，您需要透過 Microsoft Intune、Jamf 或類似的 MDM 平台，將用戶端憑證部署到員工裝置。憑證鏈必須受到 Purple 的 RADIUS 伺服器信任，這代表需要將您的根憑證授權單位 (Root CA) 憑證上傳到 Purple 控制面板。設定完成後，員工裝置即可進行無感驗證，無需密碼提示，亦無需登入頁面。使用者一連線，憑證通過驗證，即可在幾秒鐘內進入員工 VLAN。[medium pause] 現在，我們來看看大多數架構師真正感興趣的部分：Cisco Identity PSK，即 iPSK。[short pause] iPSK 解決了多租戶環境中經常出現的特定問題。想像一下擁有 300 間客房的飯店、擁有 50 家分店的零售物業，或是有 200 戶公寓的租賃建案。您希望使用單一 SSID，但需要將每個租戶、每個房間或每個裝置群組隔離在各自的 VLAN 中。傳統的做法是為每個租戶建立獨立的 SSID，這無法擴充，且會造成無線電頻率擁塞。iPSK 則為您提供單一 SSID，其中每個用戶端或用戶端群組都擁有唯一的預先共享密鑰，且 RADIUS 伺服器會將該密鑰對應至特定的 VLAN。[medium pause] 以下是其技術運作原理。當用戶端連線至 SSID 時，Catalyst 9800 WLC 會向 Purple 的 RADIUS 伺服器傳送包含用戶端 MAC 位址的 RADIUS Access-Request。Purple 的 RADIUS 伺服器在其 iPSK 資料庫中查詢該 MAC 位址，找到關聯的 PSK 和 VLAN 分配，並傳回一個 RADIUS Access-Accept，其中包含帶有 PSK 的 Cisco AV-pair，以及用於 VLAN 分配的 IETF 通道屬性。WLC 使用傳回的 PSK 完成 WPA2 四向交握，然後將用戶端置於分配的 VLAN 中。[medium pause] 進行動態 VLAN 分配所需的三個 RADIUS 屬性為：IETF 屬性 64（Tunnel-Type），設定為 VLAN 且值為 13；IETF 屬性 65（Tunnel-Medium-Type），設定為 802 且值為 6；以及 IETF 屬性 81（Tunnel-Private-Group-ID），設定為字串格式的 VLAN ID。這三個屬性在 RADIUS Access-Accept 中一同傳送，可確切告知 WLC 要分配哪個 VLAN。該 VLAN 必須已作為動態介面存在於 WLC 上，且上行交換器連接埠必須設定為承載所有相關 VLAN 的 Trunk 模式。[medium pause] 在 WLC 端，啟用 iPSK WLAN 上的 MAC 過濾，啟用 AAA Override，並將 Layer 2 安全性設定為 WPA2-PSK。您在 WLAN 上設定的全局 PSK 僅作為備用。對於任何 MAC 位址已註冊在 Purple 的 iPSK 資料庫中的用戶端，RADIUS 傳回的 PSK 具有優先權。對於未註冊的裝置，您可以根據您的原則拒絕存取，或恢復使用全局 PSK。[medium pause] 讓我提供兩個實際案例，讓這個概念更具體。[short pause] 第一個案例：一家擁有 200 間客房的飯店。飯店希望將房客分配在僅能存取網際網路的 VLAN 10，將員工分配在可存取物業管理系統的 VLAN 20，並將 IoT 裝置（門鎖、溫控器、監視器）分配在無法存取網際網路的 VLAN 30。他們運作的是 Cisco Catalyst 9800 控制器與 Cisco 9100 系列基地台。[medium pause] 架構：WLC 上有三個原則設定檔，每個 VLAN 一個。針對房客使用單一 SSID，採用指向 Purple 的外部網頁驗證（External Web Authentication）。針對員工使用另一個獨立 SSID，採用 WPA2 Enterprise 搭配 EAP-TLS，透過 Purple SecurePass 對 Microsoft Entra ID 進行驗證。針對 IoT 裝置則使用 iPSK，將每台裝置的 MAC 位址註冊在 Purple 的入口網站中並分配至 VLAN 30。飯店的物業管理系統會透過 Purple 的 API 佈署新的 IoT 裝置，因此當安裝新的門鎖時，其 MAC 位址會自動註冊並分配至正確的 VLAN。無需手動進行 RADIUS 設定。[medium pause] 第二個案例：一家擁有 80 家分店的零售連鎖店。每家分店都設有房客 WiFi 網路、員工網路以及付款終端機網路。PCI-DSS 合規性要求付款終端機網路必須與房客網路完全隔離。該零售商在每個據點使用 Cisco Catalyst 9800-L 控制器，並透過 Cisco Catalyst Centre 進行集中管理。[medium pause] Purple 以雲端覆蓋 (cloud overlay) 方式部署。每間分店的 WLC 皆設定有 Purple 的 RADIUS 伺服器詳細資料。訪客驗證使用具備品牌形象的活動展示頁面並進行電子郵件擷取，將第一方數據導入 Purple 的分析平台。員工驗證則透過 Purple SecurePass 對 Active Directory 使用 PEAP。付款終端使用配有專用 VLAN 的 iPSK，且授權前 ACL 明確阻擋付款 VLAN 與訪客 VLAN 之間的所有流量，符合 PCI-DSS 規範 1.3 的網路分段要求。[medium pause] 現在我們來談談常見的陷阱。[short pause] 最常見的失敗模式是重新導向迴圈。這通常發生在授權前 ACL 未正確將 Purple 的入口網站 IP 位址加入白名單，導致 WLC 將用戶端重新導向至 Purple 的入口網站，但用戶端因 ACL 阻擋而無法連線到該入口網站，於是 WLC 再次進行重新導向，如此無限循環。解決方法：驗證您的 URL 篩選器或授權前 ACL 是否已包含 Purple 的兩個入口網站 IP 位址，並確認在驗證前已允許 DNS 解析。[medium pause] 第二個常見問題是 VLAN 不比對。RADIUS 伺服器傳回一個在 WLC 上不存在作為動態介面的 VLAN ID。WLC 隨後會將用戶端放入原生 VLAN（通常是管理 VLAN）。這會帶來安全性風險。解決方法：在部署之前，針對 Purple RADIUS 政策中設定的 VLAN ID 審查您的 WLC 動態介面。兩者必須完全一致。[medium pause] 第三個陷阱：EAP-TLS 部署中的憑證信任失敗。如果用戶端的憑證鏈不被 Purple 的 RADIUS 伺服器信任，從使用者的角度來看，驗證將會無聲無息地失敗。他們就是無法連線。解決方法：在部署用戶端憑證之前，先將您的根憑證授權單位 (Root CA) 以及任何中間 CA 憑證上傳至 Purple 的 SecurePass 設定中。在推廣到整個設備群之前，先使用單一裝置進行測試。[medium pause] 快速問答。[short pause] 我可以使用 Cisco Meraki 代替 WLC 來搭配 Purple 嗎？可以。Cisco Meraki 擁有自己的 Captive Portal 整合機制，且 Purple 原生支援此機制。RADIUS 設定類似，但使用的是 Meraki 的儀表板，而非 WLC 命令列。[short pause] Purple 在 Cisco 上支援 WPA3 嗎？支援。搭載 IOS-XE 17.3 及更高版本的 Cisco Catalyst 9800 支援 WPA3-SAE。Purple 的 RADIUS 整合在 WPA3 上的運作方式完全相同。[short pause] 建議的 RADIUS 逾時時間是多少？將您的主要 RADIUS 伺服器逾時設定為三秒，並重試兩次。設定次要 RADIUS 伺服器以進行容錯移轉。Purple 為企業客戶提供備援的 RADIUS 端點。[short pause] 我可以在使用 Purple 的同時使用 Cisco ISE 嗎？可以。某些組織會使用 ISE 進行狀態評估與裝置剖析，同時使用 Purple 處理訪客入口網站與分析。這兩台 RADIUS 伺服器設定在不同的 WLAN 上。[medium pause] 總結來說。[short pause] Cisco WLC 與 Catalyst 無線基礎架構可與 Purple 完美整合。它使用 External Web Authentication 進行訪客 Captive Portal 重新導向、透過 Purple SecurePass 進行員工驗證的 802.1X EAP-TLS 或 PEAP，以及用於多租戶與 IoT 分段且支援動態 VLAN 分配的 Cisco iPSK。這三個 RADIUS VLAN 屬性（Tunnel-Type、Tunnel-Medium-Type 與 Tunnel-Private-Group-ID）是驅動動態分段的機制。請在整批部署前，確保預先驗證 ACLs 設定正確、比對 RADIUS 與 WLC 之間的 VLAN IDs，並測試憑證信任鏈。[medium pause] Purple 的營運範圍涵蓋超過 80,000 個場域，並在 2024 年處理了 4.4 億次登入。與 Cisco 的整合是我們在全球部署最廣泛的配置之一。如果您想開始使用，Purple 控制面板會引導您完成每個場域的 RADIUS 配置，且我們的整合團隊隨時可為企業部署提供協助。[medium pause] 本次簡報到此結束。感謝您的收聽。