如何為訪客 WiFi 設定 Ruijie Captive Portal

以英式英語發音，語氣自信、權威且具對話感——如同資深 IT 顧問向客戶進行簡報。節奏沉穩、吐字清晰，專業而不生硬。偶爾自然地強調關鍵技術術語： 如何為訪客 WiFi 設定 Ruijie Captive Portal。Purple 技術簡報。 [中頓] 引言與背景。 [短頓] 歡迎。在接下來的十分鐘內，我們將涵蓋您需要了解的關於設定 Ruijie captive portal 以提供訪客 WiFi 的所有內容——從決定部署成敗的架構決策，到大多數指南完全忽略的具體設定步驟。 如果您是飯店、連鎖零售店、體育場或會議中心的 IT 經理、網路架構師或場地營運總監，且現場擁有 Ruijie 硬體或正在評估該硬體，那麼本簡報正是為您準備的。 Ruijie Networks 是全球成長最快的企業級無線廠商之一。根據 IDC 的數據，Ruijie 在中國企業級 WLAN 市場中佔有 23.34% 的份額，位居第一，且其足跡正在歐洲、中東和亞太地區迅速擴張。其 RG-WS 系列無線控制器、Reyee EG 系列閘道器以及雲端管理的 RG-RAP 存取點目前已部署於全球數千個場地。 但問題在於。在 Ruijie 硬體上正確設定訪客 WiFi——特別是 captive portal 部分——需要預先了解少數幾個架構決策。如果這些決策出錯，您最終得到的 portal 可能會在 iOS 上失效、訪客無法進行驗證，且網路不是過於開放就是過於受限。 讓我們來解決這個問題。 [中頓] 技術深度解析。 [短頓] 首先是架構。Ruijie 為訪客 WiFi captive portal 提供了三種不同的部署模式，選擇合適的模式取決於您的規模和管理需求。 第一種模式是原生 Ruijie Cloud 或 JaCS 管理的 portal。JaCS 是 Ruijie 針對旅宿業的管理系統。這是內建的選項。您登入 Ruijie Cloud，導覽至 Device Config，然後選擇 Basic，建立或編輯您的訪客 SSID，啟用 Authentication 切換開關，並選擇 Captive Portal 作為模式。JaCS 支援 Hotel 和 Other 場景，並為您提供拖放式 portal 產生器，登入選項包括一鍵存取、憑證代碼（voucher codes）和基於帳戶的登入。對於較小規模的部署，這是正確的選擇——例如單一飯店、精品零售店或希望在沒有外部依賴的情況下快速建立品牌形象網頁的會議中心。 模式二是透過 WISPr 和 RADIUS 的外部 Captive Portal。WISPr（無線網路服務供應商漫遊）是處理 Ruijie 閘道器與外部入口網站平台之間重定向和驗證交握的協定。這是企業級的方法。當您想將 Ruijie 與第三方訪客 WiFi 智慧平台整合時，這就是您所需要的。在此，您在 Ruijie 介面中導覽至「Auth and Account」（驗證與帳戶），選擇「Captive Portal」，將「Policy Mode」（原則模式）設定為「External」（外部），並將「Portal Server URL」指向您的外部平台。然後，您使用平台提供的憑證設定 RADIUS 伺服器群組。此模式可擴充至數百個站點，為您提供集中式分析，並讓您執行符合 GDPR 規範的資料收集工作流程。 模式三是獨立 AP 模式。執行 ReyeeOS 1.219 或更新版本的 Ruijie Reyee 存取點可以在沒有閘道器的情況下執行本機 Captive Portal，這對於臨時部署或沒有 EG 路由器的小型站點非常有用。但與基於閘道器的部署相比，其功能有限，因此請將其視為備用方案，而非主要架構。 [medium pause] 現在，是大多數指南完全跳過的關鍵部分：VLAN 隔離。當您在 Ruijie 上建立訪客 SSID 時，有兩種轉發選項：NAT 模式和 VLAN 模式。 NAT 模式較為簡單。閘道器會從專用位址池（預設通常為 192.168.23.0/24）分配訪客裝置位址，且所有訪客流量都會經過 NAT 轉換至網際網路。這適用於概念驗證，但它在 Layer 3 對訪客流量的能見度和控制力有限。 VLAN 模式是任何生產部署的正確選擇。您將訪客 SSID 分配給專用 VLAN（例如 VLAN 100），並在閘道器上使用 ACL 來阻止訪客流量到達您的企業 VLAN。其模式為：建立擴充存取清單，拒絕從訪客子網路到企業子網路的 IP 流量，允許其他所有流量，並在訪客 BVI 介面上套用該輸入存取清單。這與您在 Cisco Meraki、HPE Aruba 或 Ruckus 上套用的原理相同，Ruijie 只是有其自己的 CLI 語法。 安全標準在此至關重要。Ruijie 在訪客 SSID 上支援 WPA3-Personal 和 WPA2/WPA3 混合模式。對於希望實現無摩擦存取的訪客網路，您通常會執行具有 Captive Portal 驗證的開放式 SSID，而不是預先共用金鑰。Captive Portal 成為您的驗證層。如果您需要更強的安全防護（例如醫療保健或金融服務環境），您可以疊加 IEEE 802.1X，搭配 RADIUS 伺服器使用 EAP-TLS 或 PEAP 進行憑證型或憑證型驗證。Ruijie 的 RG-WS 系列控制器支援具有動態 VLAN 分配的完整 802.1X，這意味著您可以根據 RADIUS 屬性將不同的 VLAN 推送給不同的使用者群組。 [medium pause] 圍牆花園（Walled Garden）——或稱為允許清單（Allowlist）——是另一個容易讓人出錯的地方。在訪客透過 Captive Portal 進行驗證之前，其裝置會處於受限狀態，只能存取您明確列入白名單的網域。您至少需要允許您的 Portal 平台網域和 IP 位址、您使用的任何社群登入提供商，以及 Apple 的 Captive Portal 偵測端點（captive.apple.com）。如果漏掉了最後一個，iOS 裝置將會顯示損壞的 Portal 畫面。您可以在 Ruijie Cloud 的「Auth and Account」下方的「Allowlist」中設定允許清單，並逐一新增每個網域和 IP 位址。 [medium pause] 實作建議與常見陷阱。 [short pause] 讓我為您說明決定您的 Ruijie 訪客 WiFi 部署成功與否的四個關鍵決策。 決策一：原生 Portal 與外部平台。如果您營運的站點超過五個，或者您需要收集第一方數據用於行銷，請使用外部平台。以 Purple 為例，它作為一個與硬體無關的雲端重疊網路（Cloud Overlay），運行於超過 80,000 個實體場域。您只需將 Ruijie 閘道指向 Purple 的 Portal URL，設定 RADIUS 憑證，即可獲得集中式分析、符合 GDPR 規範的數據收集以及 CRM 整合——這一切都無需再次調整 Ruijie 硬體。單在 2024 年，Purple 就處理了 4.4 億次登入，並持有 ISO 27001 認證，因此合規性問題已得到妥善解決。 決策二：NAT 與 VLAN。在實際生產部署中，請務必使用 VLAN 模式。NAT 模式適用於概念驗證（PoC），但 VLAN 模式能為您提供完善的 Layer 3 隔離、更輕鬆的防火牆策略管理，以及針對每個 VLAN 套用 QoS 策略的能力。 決策三：頻寬管理。Ruijie 的 EG 閘道內建 QoS 控制功能。請在訪客 SSID 上設定每位使用者的下載和上傳限制——對於標準訪客網路，通常設定為每秒 2 到 5 Mbps 的下載速度。這可以防止單一訪客因串流播放 4K 影片而降低其他所有人的使用體驗。如果您使用的是外部平台，請在 Ruijie 端停用 Client Escape，以確保該平台的頻寬控制能正確生效。 決策四：工作階段逾時與重新驗證。設定合理的工作階段逾時時間——旅宿業為 8 到 24 小時，零售業或活動則較短。Ruijie 允許您針對每個 Portal 策略進行此項設定。將其與登入後重定向 URL 搭配使用，讓訪客在連線後導向您場域的官方網站或促銷頁面。 [medium pause] 我最常看到的陷阱是團隊在部署 Captive Portal 時，沒有同時在 iOS 和 Android 上進行測試。Apple 和 Google 的 Captive Portal 偵測機制運作方式不同。在正式上線前，請務必對兩者進行測試。第二個最常見的陷阱是忘記在 JaCS 中將 Portal 設定同步到 EG 產品——在建立或編輯 Portal 後，您必須按一下明確的「Synchronise」（同步）按鈕，否則閘道將無法接收變更。 [medium pause] 快速問答。 [short pause] 讓我快速解答我最常被問到的問題。 Ruijie AP 在沒有閘道器的情況下可以運行 Captive Portal 嗎？可以，在 ReyeeOS 1.219 或更高版本上可以，但與基於閘道器的部署相比，功能會受到限制。 Ruijie 的訪客網路支援 802.1X 嗎？支援，RG-WS 系列控制器支援完整的 802.1X，並可透過 RADIUS 進行動態 VLAN 分配。 我可以將 Ruijie 與 Purple 整合嗎？可以。設定外部 Captive Portal 模式，將 Portal URL 指向 Purple 的端點，使用 Purple 的憑證設定 RADIUS 伺服器群組，並將 Purple 的網域加入允許清單。Purple 的硬體無關架構會處理其餘的工作。 WPA3 可以與 Captive Portal 搭配使用嗎？可以。您需要為 Captive Portal 流程運行一個開放的 SSID。WPA3 適用於已驗證的 SSID。對於訪客網路，Portal 本身就是驗證層。 Ruijie 使用哪些 RADIUS 連接埠？驗證使用連接埠 1812，計費使用連接埠 1813 - 這些是符合 RFC 2865 和 RFC 2866 的標準 IANA 分配連接埠。 [medium pause] 總結與後續步驟。 [short pause] 總結來說。Ruijie Networks 為您提供了一個功能強大且靈活的訪客 WiFi 和 Captive Portal 部署平台。這三種部署模式 - 原生雲端 Portal、基於外部 RADIUS 的 Portal 以及獨立 AP - 涵蓋了從單一據點的精品酒店到多據點零售連鎖店的所有需求。 關鍵決策包括：在任何生產部署中，VLAN 隔離優於 NAT。對於任何多據點或數據收集的使用案例，採用外部平台。正確配置圍牆花園（Walled Garden）以避免 iOS 驗證失敗。並且在正式上線前，務必在 iOS 和 Android 上進行測試。 您的後續步驟：稽核您目前的 Ruijie 韌體版本，以確認 ReyeeOS 的相容性。決定您需要原生還是外部 Portal 管理。如果您正在營運五個以上的據點或需要分析功能，請與 Purple 聯繫，討論如何將他們的平台與您的 Ruijie 基礎架構進行整合。Purple 在全球擁有超過 80,000 個場域，每年處理數億次登入，並已通過 ISO 27001、GDPR 和 Cyber Essentials 認證。 您可以前往 purple.ai 找到 Purple 的整合文件並申請展示。 感謝您的收聽。我們在下一次簡報中再見。