跳至主要內容
繁體中文

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

📖 5 分鐘閱讀📝 1,177 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收看 Purple 技術簡報。我是您的主持人,今天我們要介紹一個幾乎在我們所見的每個大型企業 WiFi 專案中都會出現的部署模式——將 CommScope Ruckus 與 Purple 的雲端平台整合。無論您是營運飯店集團、零售物業、體育場還是會議中心,本期節目都將為您提供所需的設定指南。 首先讓我們來設定場景。Ruckus(現隸屬於 CommScope)是全球領先的企業級 WiFi 平台之一。特別是 SmartZone,是高密度環境的首選控制器。像 Premier Inn 這樣的飯店、大型連鎖零售店、體育場和會議中心都執行 Ruckus 基礎架構。當您在這種規模下部署訪客 WiFi 時,您需要的不僅僅是一個開放的 SSID。您需要結構化的驗證、符合 GDPR 的數據擷取,以及將該訪客數據饋送到您的行銷技術堆疊中的能力。這正是 Purple 的用武之地。 Purple 在超過 80,000 個實體場域中運作,僅在 2024 年就處理了 4.4 億次登入,並持有 ISO 27001、GDPR 和 Cyber Essentials 認證。Ruckus 整合是我們最成熟的部署模式之一。 現在,在您接觸設定畫面之前,您需要了解 Ruckus 有三個不同的控制器平台。SmartZone(可作為實體 SZ300 裝置或虛擬 vSZ 使用)是適用於大型、多站點部署的企業級控制器。它管理著跨多個區域的數千個無線基地台,為您提供深度的原則控制,並支援我們今天將介紹的所有驗證方法。ZoneDirector 是傳統的本地控制器(仍被廣泛部署,特別是在餐旅業中),它支援相同的基於 WISPr 的 Captive Portal 流程,儘管設定路徑略有不同。而 Unleashed 是無控制器模型,其中一個 AP 作為最多 128 個其他 AP 的 Master。它非常適合較小的單一站點部署——獨立飯店、零售分店、中小企業辦公室。 好的。讓我們進入技術細節。我將介紹三個不同的使用案例:具有 Captive Portal 重新導向的 Guest WiFi、使用 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離。 首先從 Guest WiFi 開始。這裡的架構是基於 WISPr 的熱點流程。WISPr(無線網際網路服務供應商漫遊)是一種業界標準,它定義了無線控制器如何攔截未驗證的 HTTP 流量並將其重新導向至外部 Portal。訪客連線到您的 SSID。他們的裝置傳送一個 HTTP 請求。SmartZone 攔截該請求並向您的外部 Portal URL(在此案例中為 Purple 的 Captive Portal)發出 HTTP 302 重新導向。訪客進行驗證(透過社群登入、電子郵件、簡訊或自訂表單),然後 Portal 透過北向介面(即 NBI)與控制器進行通訊以授予存取權限。 在 SmartZone 上,設定有四個主要元件。首先是 RADIUS 驗證伺服器設定檔。導覽至「服務與設定檔」,然後選擇「驗證」。建立一個新的 AAA 伺服器設定檔。將服務協定設定為 RADIUS。您的主要伺服器 IP 和共用密鑰已在 Purple 管理主控台中提供。驗證連接埠為 1812。請務必設定備用 RADIUS 伺服器以確保彈性。然後在「服務與設定檔」的「帳務」下建立帳務伺服器——連接埠 1813,使用相同的共用密鑰。 第二,熱點 WISPr 設定檔。前往「服務與設定檔」、「熱點與 Portal」,然後選擇「熱點 (WISPr)」索引標籤。建立一個新設定檔。將登入 URL 設定為「外部」,並輸入您的 Portal 重新導向 URL。將起始頁面設定為重新導向至您的驗證後 URL——通常是成功頁面或您場域的首頁。 現在是 Walled Garden。這是工程師最常出錯的地方。Walled Garden 定義了訪客在驗證之前可以存取哪些網域和 IP位址。您需要包含您的 Portal 網域、您的 Portal 載入資產的任何 CDN 或資產網域,以及標準作業系統的 Captive Portal 偵測端點。在 SmartZone 中,支援使用星號加點格式的萬用字元——因此 `*.purple.ai` 涵蓋了所有子網域。您還需要 Apple 的 Captive Portal 偵測網域(captive.apple.com)和 Google 的連線檢查端點,以防止 CNA 微型瀏覽器在 iOS 和 Android 裝置上出現異常行為。 一個容易被遺漏的關鍵步驟。預設情況下,SmartZone 會加密其在重新導向 URL 中傳遞給外部 Portal 的 MAC 位址和 IP 位址。Purple 需要查看實際的用戶端 MAC 位址才能執行基於 MAC 的工作階段管理。您必須透過 CLI 停用此功能。透過 SSH 進入您的 SmartZone,進入設定模式,然後執行:`no encrypt-mac-ip`。這只是一個指令,但如果您跳過它,它將是一個硬性阻礙。 北向介面是另一個不可或缺的部分。這是允許 Purple 與 SmartZone 進行通訊,以便在驗證後授予或拒絕存取權限的 API。在「管理」、「外部服務」、「WISPr 北向介面」下啟用它。設定使用者名稱和密碼,並將這些認證提供給 Purple。NBI 在 TCP 連接埠 9080(用於 HTTP)和 9443(用於 HTTPS)上執行——請確保您的防火牆允許來自 Purple IP 範圍的輸入連線到這些連接埠。 最後,建立您的 WLAN。將驗證類型設定為「熱點 WISPr」,選擇您的 Portal 設定檔,並分配您的 RADIUS 驗證和帳務服務。如果 Purple 需要特定值,請將 NAS ID 設定為「使用者定義」,將 Called Station ID 設定為「AP MAC」,並啟用「單一工作階段 ID」。 對於 Unleashed,其架構本質上是不同的——它是一個分散式的無控制器模型。設定位於「管理與服務」、「服務」、「熱點服務」。步驟大致相似——建立熱點服務、設定您的外部 Portal URL、設定您的 AAA 驗證伺服器、新增您的 Walled Garden 項目——但有兩個關鍵差異。Unleashed 中不需要北向介面。且預設不套用 MAC 位址加密,因此您不需要 CLI 指令。Unleashed 的 Walled Garden 也接受網域級別的項目,而不是完整的萬用字元語法。 現在讓我們轉向使用 802.1X 的安全員工 WiFi。這是一個完全不同的驗證模型。企業環境不依賴 Captive Portal,而是使用可延伸驗證協定 (EAP) 直接對裝置進行驗證。企業環境中最常用的方法是 PEAP-MSCHAPv2(使用者輸入其 Active Directory 認證)或 EAP-TLS(裝置出示憑證)。Purple 的 SecurePass 附加元件與 Microsoft Entra ID、Okta 和 Google Workspace 整合,以作為此流程的 RADIUS 後端。 在 SmartZone 上,建立一個新的 WLAN 並將驗證類型設定為「802.1X EAP」。在 AAA 設定下,指向您的 RADIUS 伺服器——Purple 的 SecurePass 端點。與訪客流程的關鍵區別在於,您還在此處設定了動態 VLAN 分配。當 Purple 的 RADIUS 伺服器傳回 Access-Accept 時,它會包含三個 IETF 標準屬性:Tunnel-Type 設定為 VLAN,值為 13;Tunnel-Medium-Type 設定為 IEEE-802,值為 6;以及 Tunnel-Private-Group-ID,其中包含 VLAN ID 字串——例如,員工 VLAN 的 20。SmartZone 會讀取這些屬性並動態標記員工的流量,將其放入正確的隔離網路分段中,無論他們連線到哪個實體 AP。這就是動態 VLAN 導向,它允許單一 SSID 為具有不同網路存取原則的多個使用者角色提供服務。 在 WLAN 進階設定中啟用「AAA Override」,以確保 SmartZone 處理 RADIUS 傳回的 VLAN 屬性。如果未勾選該核取方塊,即使 RADIUS 伺服器傳送了正確的屬性,動態分配也無法運作。 第三個使用案例是使用 Ruckus Dynamic PSK(或 DPSK)的多租戶隔離。這是一項 Ruckus 專利技術,可在單一 SSID 上為每個使用者或租戶分配唯一的 WPA2 密碼。與每個人都使用相同密碼的共用 PSK 不同,DPSK 意味著租戶 A 擁有唯一的 62 字元金鑰,租戶 B 擁有不同的金鑰,依此類推。每個金鑰都繫結至特定的 VLAN,因此租戶 A 的流量會分配至 VLAN 101,而租戶 B 的流量會分配至 VLAN 102——實現完全隔離、無共用密碼風險,且可立即撤銷而不影響其他租戶。 這在共享工作空間、租賃專用住宅大樓、學生宿舍和多租戶零售園區中特別強大。Purple 透過 SmartZone API 與 Ruckus DPSK 整合,以自動化金鑰佈建——當在 Purple 中啟用新租戶時,系統會自動產生一個 DPSK,將其繫結至正確的 VLAN,並自動交付給該租戶。 要在 SmartZone 上設定 DPSK:導覽至 WLAN,新增一個 WLAN,並在「安全性」下將方法設定為「Dynamic PSK」。將 DPSK 長度設定為 62 個字元以獲得最大熵。在 VLAN 下,啟用「每 DPSK VLAN 分配」。然後使用 SmartZone API 或 DPSK 管理介面為每個租戶建立個別的金鑰,每個金鑰都對應到其自己的 VLAN ID。在 Unleashed 上,相同的功能可在「WiFi 網路」、「進階選項」、「Dynamic PSK」下找到。 DPSK3 是 WPA3 變體,提供更強的基於 SAE 的加密。如果您的 AP 設備支援 WPA3(所有目前的 Ruckus R 系列 AP 都支援),DPSK3 是新部署的首選。 讓我介紹兩個實際的實作場景,以說明這三個使用案例是如何結合在一起的。 第一個場景:一間擁有 250 間客房的飯店。該物業在整個場域中執行帶有 R750 無線基地台的 Ruckus SmartZone。他們需要三種網路類型:用於飯店客房的 Guest WiFi、用於前台和後勤員工的安全員工 WiFi,以及用於智慧客房控制和監視器的 IoT 網路。 訪客 WLAN 使用與 Purple 整合的 WISPr Captive Portal 流程。訪客連線、被重新導向至品牌化的 Purple Portal、透過電子郵件或社群登入進行驗證,然後分配至 VLAN 10。Portal 會擷取第一方數據(電子郵件、行銷同意、住宿偏好),這些數據會直接饋送到飯店的 CRM 中。Purple 的分析儀表板向飯店顯示哪些樓層的連線率最高、尖峰使用時間以及重複訪客率。Premier Inn 在其英國的物業中部署了此模型,並看到了與 WiFi 體驗直接相關的訪客滿意度評分的顯著提升。 員工 WLAN 對 Purple 的 SecurePass 使用 802.1X。員工透過 PEAP-MSCHAPv2 使用其 Active Directory 認證進行驗證。前台員工分配至 VLAN 20,可存取物業管理系統。後勤員工分配至 VLAN 21,僅能存取人資和排班系統。VLAN 分配完全由 Purple 傳回的 RADIUS 屬性驅動——無需手動設定連接埠。當員工離職時,其帳戶會在 Microsoft Entra ID 中被停用,存取權限會立即在所有物業中被撤銷。 IoT WLAN 使用靜態 PSK,隔離在 VLAN 30 上,並啟用了用戶端隔離。智慧恆溫器、門鎖和監視器都位於此處,與訪客和員工流量完全隔離。 第二個場景:一個擁有 15 家租戶公司的共享工作空間。這正是 DPSK 發揮作用的地方。營運商在三個樓層執行 Ruckus Unleashed。每個租戶公司都會獲得一個繫結至其自身 VLAN 的唯一 DPSK。租戶 A 的 20 名員工都使用相同的 DPSK-A 密碼,但該密碼對租戶 A 而言是唯一的,且僅對應到 VLAN 101。租戶 B 使用 DPSK-B,對應到 VLAN 102。租戶在網路層彼此完全隔離。當租戶搬離時,營運商會在 SmartZone 中(或透過 Purple 的管理介面)撤銷其 DPSK——僅此而已。其他租戶不受影響,無需變更 SSID,也無需在整棟大樓中重設密碼。 Purple 的多租戶管理層位於其上,為共享工作空間營運商提供單一儀表板,以管理所有 15 個租戶的啟用、存取撤銷和使用分析。 現在讓我介紹最常見的失敗模式以及如何避免它們。 第一:Walled Garden 設定錯誤。如果您的 Portal 頁面在重新導向後無法載入,首先要檢查的是您的 Portal 頁面所參照的所有網域是否都在 Walled Garden 中。現代 Portal 頁面會從多個 CDN 網域、分析指令碼和社群登入 SDK 載入資產。如果其中任何一個在驗證前被封鎖,頁面將無法載入或載入不完整。在連線到訪客 SSID 的測試裝置上使用瀏覽器的開發者工具,以識別哪些請求被封鎖。Purple 為 SmartZone 和 Unleashed 提供了已記錄的 Walled Garden 清單——將其用作您的基準,並在頂部新增任何特定場域的網域。 第二:NBI 連線問題。如果訪客可以看到 Portal 並進行驗證,但始終無法存取網際網路,可能的原因是 SmartZone 無法接收來自 Purple 的 NBI 回呼。檢查連接埠 9080 和 9443 是否已對來自 Purple IP 範圍的 SmartZone 管理 IP 開放輸入連線。同時驗證您設定的 NBI 認證是否與 Purple 記錄的認證相符。 第三:遺失 `no encrypt-mac-ip` 指令。這是最常見的 SmartZone 特有陷阱。如果 Purple 正在接收重新導向請求,但無法將工作階段與 MAC 位址進行比對,這幾乎可以肯定是原因所在。這是一個單行的 CLI 修正,但很容易被遺漏,因為它沒有在 GUI 中呈現。 第四:未針對動態 VLAN 啟用 AAA Override。如果員工在 802.1X 上驗證成功,但全部都分配到同一個預設 VLAN,而不是其角色專用的 VLAN,請檢查 WLAN 進階設定中是否啟用了 AAA Override。這是通知 SmartZone 接受 RADIUS 伺服器傳回的 VLAN 屬性的開關。 第五:DPSK VLAN 未傳播。如果 DPSK 使用者已驗證但未分配至正確的 VLAN,請驗證 WLAN 設定中是否啟用了「每 DPSK VLAN 分配」,並且連線到 AP 的交換器連接埠已設定為承載所有 DPSK VLAN 的 Trunk 埠。如果交換器連接埠是 Access 埠,VLAN 標記將會被剝除。 現在,回答三個在每次 Ruckus-Purple 部署中都會被問到的快速問題。 我是否需要為 Guest WiFi 使用專用 VLAN?是的,務必如此。將訪客流量隔離在專用 VLAN 上。如果您的場域在同一個網路上處理刷卡付款,這既是安全要求,也是 PCI DSS 合規性考量。在訪客 WLAN 上啟用用戶端隔離,以防止訪客裝置相互通訊。 我可以在 Ruckus One(雲端管理平台)上使用 Purple,而不是 SmartZone 嗎?可以。設定路徑不同——位於 Ruckus One 入口網站中的「WiFi 網路」、「訪客存取」設定下——但 Walled Garden 和 RADIUS 設定原則是完全相同的。 Purple 是否支援 SmartZone 多區域部署?支援。Purple 的整合可處理多區域 SmartZone 環境,您可以將 Portal 設定範圍限定在單一 SmartZone 執行個體內的不同場域或樓層的個別區域。 總結一下。Ruckus 與 Purple 的整合涵蓋了三個不同的使用案例,每個案例都有其自己的設定模型。Guest WiFi 使用基於 WISPr 的 Captive Portal 流程——五個關鍵設定點:連接埠 1812 和 1813 上的 RADIUS(帶有備用伺服器)、具有外部登入 URL 的熱點 WISPr 設定檔、使用萬用字元項目正確限定範圍的 Walled Garden、`no encrypt-mac-ip` CLI 指令,以及啟用並配置正確認證的北向介面。 安全員工 WiFi 使用 802.1X EAP,並透過 RADIUS 屬性進行動態 VLAN 導向——關鍵的啟用因素是 WLAN 進階設定中的 AAA Override。 多租戶隔離使用 Ruckus DPSK——每個租戶唯一的金鑰,每個金鑰都繫結至專用 VLAN,具有立即撤銷且零共用密碼風險的優勢。 正確掌握這三種模式,您就擁有了一個網路架構,可以從 Unleashed 上擁有 50 間客房的獨立飯店,擴充到 SmartZone 上擁有 5,000 個座位的體育場,並由同一個 Purple 平台在上方提供統一的分析、符合 GDPR 的數據擷取和集中式存取管理。 如果您正計劃使用 Purple 進行 Ruckus 部署,技術上線團隊可以引導您完成上線前檢查清單,並在正式上線前驗證您的設定。Purple 平台還提供有關 Portal 載入時間、驗證成功率和工作階段數據的即時分析——讓您在訪客發現問題之前就能掌握狀況。 感謝您的收聽。我們下次再見。

header_image.png

मुख्य सारांश

एंटरप्राइझ ठिकाणी उच्च-कार्यक्षमता वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात काळजीपूर्वक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर चालवणाऱ्या संस्थांसाठी - ज्यामध्ये उच्च-घनता स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट्स आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे - नेटवर्क डिजिटल सहभागासाठी प्राथमिक गेटवे म्हणून कार्य करते. हे मार्गदर्शक Ruckus SmartZone, ZoneDirector आणि Unleashed कंट्रोलर्सना Purple क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी एक निश्चित तांत्रिक प्लेबुक प्रदान करते. आम्ही WISPr Captive Portal रिडायरेक्शन वापरून Guest WiFi तैनात करण्यासाठी, 802.1X डायनॅमिक VLAN स्टिअरिंगद्वारे कर्मचारी नेटवर्क सुरक्षित करण्यासाठी आणि Ruckus Dynamic Pre-Shared Keys (DPSK) वापरून मल्टी-टेनंट नेटवर्क आयसोलेशनसाठी आवश्यक असलेल्या अचूक कॉन्फिगरेशन पायऱ्यांचा तपशील देतो. या व्हेंडर-न्यूट्रल सर्वोत्तम पद्धतींचे अनुसरण करून, IT टीम्स नेटवर्क विभाजन स्वयंचलित करू शकतात, PCI DSS सारख्या मानकांचे पालन सुनिश्चित करू शकतात आणि फर्स्ट-पार्टी डेटा सुरक्षितपणे कॅप्चर करू शकतात.

तांत्रिक सखोल विश्लेषण

CommScope Ruckus हार्डवेअर आणि Purple मधील एकत्रीकरण उद्योग-मानक प्रमाणीकरण प्रोटोकॉल आणि सुरक्षित API संवादांवर अवलंबून असते. हे आर्किटेक्चर तीन स्वतंत्र उपयोजन मॉडेलचे समर्थन करते, प्रत्येक ठिकाणातील विशिष्ट वापरकर्ता समूहाला सेवा देते.

Guest WiFi आर्किटेक्चर (WISPr)

रिटेल आणि हॉस्पिटॅलिटीमधील सार्वजनिक प्रवेश नेटवर्कसाठी, Ruckus वायरलेस इंटरनेट सेवा प्रदाता रोमिंग (WISPr) प्रोटोकॉलचा वापर करते. जेव्हा एखादा अतिथी ओपन SSID शी कनेक्ट होतो, Windows Ruckus कंट्रोलर त्यांच्या सुरुवातीच्या HTTP विनंतीला अडवतो आणि Purple च्या बाह्य Captive Portal वर HTTP 302 रिडायरेक्ट जारी करतो. अतिथी जागरूक-निवड ऑप्ट-इन यंत्रणेद्वारे प्रमाणित करतो - जसे की ईमेल किंवा सोशल आयडेंटिटी प्रदाता. यशस्वी प्रमाणीकरणानंतर, Purple MAC पत्ता अधिकृत करण्यासाठी आणि इंटरनेट प्रवेश मंजूर करण्यासाठी Northbound Interface (NBI) द्वारे Ruckus कंट्रोलरशी परत संवाद साधते.

architecture_overview.png

सुरक्षित स्टाफ WiFi (802.1X आणि डायनॅमिक VLANs)

स्टाफ उपकरणांसाठी मूलभूतपणे भिन्न दृष्टिकोन आवश्यक आहे. Captive Portals वर अवलंबून राहण्याऐवजी, एंटरप्राइझ वातावरण 802.1X प्रमाणीकरण वापरतात. उपकरणे EAP-TLS (प्रमाणपत्र-आधारित) किंवा PEAP-MSCHAPv2 (क्रेडेन्शियल्स-आधारित) प्रोटोकॉल वापरून थेट Purple च्या RADIUS इन्फ्रास्ट्रक्चरच्या विरुद्ध प्रमाणित होतात.

येथील महत्त्वाचा घटक म्हणजे डायनॅमिक VLAN स्टिअरिंग. जेव्हा Purple चे RADIUS सर्व्हर Access-Accept मेसेज रिटर्न करते, तेव्हा त्यामध्ये तीन विशिष्ट IETF मानक ॲट्रिब्युट्स समाविष्ट असतात:

  • Tunnel-Type (ॲट्रिब्यूट ६४): VLAN (व्हॅल्यू १३) वर सेट करा
  • Tunnel-Medium-Type (ॲट्रिब्यूट ६५): IEEE-802 (व्हॅल्यू ६) वर सेट करा
  • Tunnel-Private-Group-ID (ॲट्रिब्यूट ८१): यामध्ये VLAN ID स्ट्रिंग असते (उदा., स्टाफसाठी "२०")

Ruckus SmartZone कंट्रोलर हे ॲट्रिब्युट्स वाचतो आणि युझरच्या ट्रॅफिकला डायनॅमिकली टॅग करतो, ज्यामुळे ते कोणत्याही फिजिकल ॲक्सेस पॉइंटशी कनेक्ट झाले असले तरीही त्यांना योग्य आयसोलेटेड नेटवर्क सेगमेंटमध्ये ठेवले जाते.

मल्टि-टेनंट आयसोलेशन (Ruckus DPSK)

को-वर्किंग स्पेस, स्टुडंट अकॉमॉडेशन आणि मल्टि-ड्वेलिंग युनिट्स (MDUs) सारख्या वातावरणासाठी, डझनभर SSIDs ब्रॉडकास्ट केल्याने गंभीर चॅनल इंटरफेरन्स (हस्तक्षेप) निर्माण होतो. Ruckus Dynamic Pre-Shared Key (DPSK) एकाच शेअर केलेल्या SSID वर प्रत्येक भाडेकरूला (टेनंट) एक युनिक WPA2/WPA3 पासफ्रेज देऊन याचे निराकरण करते.

प्रत्येक DPSK एका विशिष्ट VLAN शी बाइंड केलेला असतो. जेव्हा एखादा रहिवासी कनेक्ट होतो, तेव्हा कंट्रोलर डिव्हाइस ऑथेंटिकेट करण्यासाठी आणि त्यांना त्यांच्या खाजगी VLAN मध्ये टाकण्यासाठी त्यांच्या युनिक की चा वापर करतो. Purple ही प्रक्रिया API इंटिग्रेशनद्वारे स्वयंचलित करते, भाडेकरू आत किंवा बाहेर शिफ्ट होताना की जनरेट आणि रिव्होक (रद्द) करते, ज्यामुळे पारंपारिक शेअर केलेल्या पासवर्डशी संबंधित सुरक्षा धोके नाहीसे होतात.

dpsk_configuration_guide.png

इम्प्लीमेंटेशन गाईड

हा विभाग Purple ला Ruckus SmartZone कंट्रोलरसह इंटिग्रेट करण्यासाठी आवश्यक असलेल्या विशिष्ट कॉन्फिगरेशन स्टेप्सची रूपरेषा देतो. Unleashed साठीच्या पायऱ्या बऱ्याच अंशी सारख्याच आहेत परंतु त्यात नॉर्थबाउंड इंटरफेसची आवश्यकता नसते.

१. RADIUS AAA सर्व्हर्स कॉन्फिगर करा

१. Services & Profiles > Authentication वर जा. २. सर्व्हिस प्रोटोकॉल RADIUS वर सेट करून एक नवीन AAA सर्व्हर प्रोफाइल तयार करा. ३. तुमच्या Purple ॲडमिन कन्सोलमध्ये प्रदान केलेला प्रायमरी सर्व्हर IP आणि शेअर केलेला सिक्रेट कोड प्रविष्ट करा. ४. ऑथेंटिकेशन पोर्ट १८१२ वर सेट करा. ५. हीच प्रक्रिया Services & Profiles > Accounting अंतर्गत पुन्हा करा, आणि पोर्ट १८१३ वर सेट करा.

२. Hotspot WISPr प्रोफाइल कॉन्फिगर करा

१. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा. २. एक नवीन प्रोफाइल तयार करा आणि लॉगिन URL External वर सेट करा. ३. तुमची Purple Captive Portal रिडायरेक्ट URL प्रविष्ट करा. ४. तुमचे वॉल्ड गार्डन (Walled Garden) निश्चित करा. हे अत्यंत महत्त्वाचे आहे. तुम्ही ऑथेंटिकेशनच्या आधी Purple च्या डोमेन्सना ॲक्सेस देण्यास अनुमती दिली पाहिजे. SmartZone वाईल्डकार्ड्सना सपोर्ट करतो (उदा. *.purple.ai). iOS Captive Network Assistant (CNA) चे वर्तन व्यवस्थापित करण्यासाठी तुम्ही captive.apple.com समाविष्ट करणे देखील आवश्यक आहे.

३. MAC ॲड्रेस एन्क्रिप्शन बंद करा (महत्त्वाची पायरी)

बाय डीफॉल्ट, SmartZone रिडायरेक्ट URL मध्ये पाठवले जाणारे MAC आणि IP ॲड्रेस एन्क्रिप्ट करतो. Purple ला सेशन मॅनेजमेंटसाठी मूळ (raw) MAC ॲड्रेसची आवश्यकता असते. तुम्ही CLI द्वारे हे बंद केले पाहिजे:

enable
config
no encrypt-mac-ip
exit

४. नॉर्थबाउंड इंटरफेस (NBI) सक्षम करा

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. सेवा सक्षम (Enable) करा आणि युझरनेम आणि पासवर्ड कॉन्फिगर करा.
  3. हे क्रेडेंशियल्स Purple ला प्रदान करा. तुमची फायरवॉल Purple च्या IP श्रेणींमधून (ranges) पोर्ट 9080 (HTTP) आणि 9443 (HTTPS) वर इनबाउंड TCP ट्रॅफिकला अनुमती देते याची खात्री करा.

5. WLAN तयार करा

  1. नवीन WLAN तयार करा आणि ऑथेंटिकेशन प्रकार Hotspot (WISPr) वर सेट करा.
  2. आधी कॉन्फिगर केलेले Hotspot प्रोफाईल आणि AAA सर्व्हर्स निवडा.
  3. 802.1X स्टाफ नेटवर्कसाठी, डायनॅमिक VLAN ॲट्रिब्युट्सवर प्रक्रिया केली जाईल याची खात्री करण्यासाठी प्रगत (advanced) सेटिंग्जमध्ये AAA Override सक्षम करा.

सर्वोत्तम पद्धती (Best Practices)

मजबूत आणि सुरक्षित उपयोजन (deployment) सुनिश्चित करण्यासाठी, या उद्योग-मानक शिफारसींचे पालन करा:

  • अतिथी ट्रॅफिक वेगळे करा (Isolate Guest Traffic): अतिथी WiFi नेहमी एका समर्पित VLAN वर ठेवा आणि क्लायंट आयसोलेशन सक्षम करा. तुमचे ठिकाण त्याच प्रत्यक्ष पायाभूत सुविधांवर पेमेंट प्रक्रियेचे काम करत असल्यास PCI DSS अनुपालनासाठी (compliance) ही एक अनिवार्य आवश्यकता आहे.
  • VLAN IDs प्रमाणित करा: एकाधिक ठिकाणी डायनॅमिक VLAN स्टिअरिंग उपयोजित करताना, तुमची VLAN नंबरिंग योजना जागतिक स्तरावर समान असल्याची खात्री करा (उदा. VLAN 20 नेहमी स्टाफ आहे). विसंगत नावामुळे ऑथेंटिकेशन अयशस्वी होईल.
  • RADIUS फॉलबॅक लागू करा: तुमच्या कंट्रोलर्सवर एक महत्त्वपूर्ण VLAN किंवा फॉलबॅक यंत्रणा कॉन्फिगर करा. मुख्य RADIUS सर्व्हरशी संपर्क होऊ शकत नसल्यास, मूलभूत कनेक्टिव्हिटी राखण्यासाठी डिव्हाइसेस एका प्रतिबंधित इंटरनेट-ओन्ली VLAN मध्ये हस्तांतरित केले जावेत.
  • नवीन उपयोजनांसाठी DPSK3 वापरा: तुमचे Ruckus हार्डवेअर WPA3 ला सपोर्ट करत असल्यास, SAE-आधारित एन्क्रिप्शनचा लाभ घेण्यासाठी जुन्या DPSK ऐवजी DPSK3 वापरा.

ट्रबलशूटिंग आणि जोखीम निवारण

बाह्य Captive Portals आणि RADIUS सेवा एकत्रित करताना, अभियंत्यांना सामान्यतः खालील समस्यांचा सामना करावा लागतो:

  • पोर्टल लोड होण्यास अपयशी ठरते: हे सहसा Walled Garden मधील चुकीच्या कॉन्फिगरेशनमुळे होते. आधुनिक पोर्टल्स एकाधिक CDNs आणि आयडेंटिटी प्रदात्यांकडून ॲसेट्स लोड करतात. ब्लॉक केलेल्या विनंत्या ओळखण्यासाठी ब्राउझर डेव्हलपर टूल्स वापरा आणि आवश्यक डोमेन्स तुमच्या SmartZone Walled Garden मध्ये जोडा.
  • ऑथेंटिकेशन यशस्वी होते पण इंटरनेट ॲक्सेस मिळत नाही: हे Northbound Interface अयशस्वी झाल्याचे दर्शवते. SmartZone ला Purple कडून ऑथरायझेशन कॉलबॅक मिळत नाही आहे. तुमचे NBI क्रेडेंशियल्स तपासा आणि TCP पोर्ट 9080/9443 वरील ड्रॉप केलेल्या ट्रॅफिकसाठी फायरवॉल लॉग तपासा.
  • डायनॅमिक VLAN असाइनमेंट अयशस्वी होते: जर 802.1X युझर्स यशस्वीरित्या ऑथेंटिकेट झाले पण डीफॉल्ट VLAN वर आले, तर WLAN सेटिंग्जमध्ये AAA Override सक्षम आहे का ते तपासा. याशिवाय, SmartZone Purple द्वारे परत पाठवलेल्या Tunnel-Private-Group-ID ॲट्रिब्युटकडे दुर्लक्ष करते.

ROI आणि व्यवसाय प्रभाव

Ruckus इन्फ्रास्ट्रक्चरला Purple सोबत एकत्रित केल्याने एका मानक वायरलेस नेटवर्कचे रूपांतर मोजता येण्याजोग्या व्यावसायिक मालमत्तेत होते.

रिटेल आणि हॉस्पिटॅलिटी ठिकाणांसाठी, Captive Portal सत्यापित फर्स्ट-पार्टी डेटा गोळा करतो, ज्यामुळे लॉयल्टी प्रोग्रामच्या वाढीला गती मिळते आणि लक्ष्यित (targeted) मार्केटिंग मोहिमा सक्षम होतात. एका प्रमुख UK हॉटेल साखळीने (hotel chain) त्यांच्या Ruckus आणि Purple रोलआउटनंतर अतिथींच्या समाधानाच्या स्कोअरमध्ये 40% वाढ झाल्याची नोंद केली आहे.

IT ऑपरेशन्ससाठी, डायनॅमिक VLAN स्टिअरिंग आणि DPSK ऑटोमेशन मॅन्युअल कॉन्फिगरेशनचा ताण लक्षणीयरीत्या कमी करते. एखादा भाडेकरू गेल्यास स्टॅटिक स्विच पोर्ट्स व्यवस्थापित करणे किंवा सामायिक केलेले पासवर्ड रीसेट करण्याऐवजी, ॲक्सेस कंट्रोल केंद्रीकृत आणि स्वयंचलित केले जाते, ज्यामुळे सुरक्षा जोखीम कमी होते आणि सपोर्ट तिकिटांची संख्या घटते।

關鍵定義

WISPr

無線網際網路服務供應商漫遊。一種業界標準協定,無線控制器用其攔截 HTTP 流量並將使用者重新導向至外部 Captive Portal。

這是 Ruckus 硬體上所有公開 Guest WiFi 部署的基礎架構。

Northbound Interface (NBI)

Ruckus SmartZone 控制器上的 API,允許外部平台傳送授權指令。

在使用者成功完成 Captive Portal 登入後,Purple 需要此介面來授予使用者網際網路存取權限。

Walled Garden

在網路上進行驗證之前,允許裝置存取的網域和 IP 位址白名單。

對於允許未驗證的訪客載入 Captive Portal 頁面、其相關圖片和社群登入提供者至關重要。

Dynamic PSK (DPSK)

Ruckus 專利技術,可在單一共享 SSID 上為個別使用者或群組分配唯一的 WPA2/WPA3 密碼。

廣泛用於多租戶環境(多住戶單元 MDU、共享工作空間),以提供安全的網路隔離,而不會造成 SSID 膨脹。

Dynamic VLAN Steering

根據 802.1X 驗證期間傳回的 RADIUS 屬性,自動將裝置分配至特定網路分段 (VLAN) 的程序。

允許 IT 團隊使用單一「Staff」SSID,同時在網路層安全地隔離人資、財務和前台的流量。

AAA Override

無線控制器上的設定,可強制無線基地台 (AP) 套用 RADIUS 伺服器傳回的原則(例如 VLAN ID)。

必須在 Ruckus WLAN 上啟用,動態 VLAN 導向才能正常運作。

Client Isolation

一種安全功能,可防止連線到同一無線網路的裝置直接相互通訊。

公開 Guest WiFi 網路的強制性安全控制措施,以防止點對點攻擊並確保合規性。

Captive Network Assistant (CNA)

內建於行動作業系統(如 iOS 和 Android)中的微型瀏覽器,當偵測到 Captive Portal 時會自動彈出。

工程師必須透過 Walled Garden 管理 CNA 行為,以確保行動使用者獲得順暢的登入體驗。

範例

一間擁有 250 間客房的飯店需要在其 Ruckus SmartZone 基礎架構上部署三個不同的網路:一個公開訪客網路、一個可存取物業管理系統的安全員工網路,以及一個用於智慧恆溫器的隔離 IoT 網路。

IT 團隊設定了三個 WLAN。「Guest-WiFi」WLAN 使用熱點 (WISPr) 驗證並重新導向至 Purple 的 Captive Portal,在啟用用戶端隔離的情況下將使用者分配至 VLAN 10。「Staff-Secure」WLAN 對 Purple SecurePass 使用 802.1X EAP 驗證;RADIUS 伺服器傳回 Tunnel-Private-Group-ID = 20,將員工動態導向至內部 VLAN。「IoT-Devices」WLAN 使用繫結至 VLAN 30 的靜態 WPA2 PSK,並透過防火牆規則限制其僅能與恆溫器控制伺服器通訊。

考官評語: 此架構正確應用了最小權限原則。透過為員工利用動態 VLAN 導向,飯店避免了廣播多個部門專用的 SSID,在減少頻道利用率的同時,維持了 PCI DSS 合規性所需的嚴格網路分段。

一家共享工作空間營運商管理著一棟擁有 15 家不同租戶公司的建築。他們需要為每家公司提供安全、隔離的無線網路存取,而無需廣播 15 個獨立的 SSID。

營運商部署了 Ruckus Unleashed,並使用 Dynamic PSK (DPSK) 安全機制設定了單一的「Tenant-WiFi」WLAN。在控制器中,他們啟用了每 DPSK VLAN 分配。15 家租戶公司中的每一家都會獲得一個唯一的 62 字元密碼。當租戶 A 的員工使用其專用金鑰連線時,控制器會自動將其流量分配至 VLAN 101。租戶 B 的員工則使用不同的金鑰並分配至 VLAN 102。

考官評語: 這是 Ruckus DPSK 的最佳使用案例。它在網路層提供了企業級的隔離,同時透過僅廣播一個 SSID 來保持射頻環境的乾淨。它還消除了共用密碼的安全風險,因為撤銷租戶 A 的存取權限只需刪除單一金鑰,而不會影響其他 14 家公司。

練習題

Q1. 您已在與 Purple 整合的 Ruckus SmartZone 控制器上設定了 Guest WiFi 網路。連線測試裝置時,出現了 Purple Captive Portal 頁面,但遺失了標誌圖片,且「使用 Facebook 登入」按鈕無法運作。最可能的原因是什麼?

提示:考慮裝置在成功驗證之前具有哪些網路存取權限。

查看標準答案

Walled Garden 設定錯誤。託管標誌圖片的網域(例如 CDN)和 Facebook 驗證伺服器尚未新增至 Walled Garden 白名單中,因此 SmartZone 控制器在驗證前封鎖了這些請求。

Q2. 一位網路工程師正在部署用於員工存取的 802.1X。Purple RADIUS 伺服器正確傳回了 VLAN 20 的 `Tunnel-Private-Group-ID` 屬性。然而,當員工連線時,他們被分配到分配給 WLAN 的預設 VLAN。您該如何解決此問題?

提示:控制器正在接收 RADIUS 指令,但選擇忽略它們。

查看標準答案

您必須在 SmartZone 控制器上 WLAN 的進階設定中啟用「AAA Override」。若未啟用此設定,控制器將不會套用 RADIUS 伺服器傳回的動態 VLAN 屬性。

Q3. 一個共享工作空間想要為 10 家不同的公司提供安全的 WiFi。他們目前廣播 10 個獨立的 SSID,這導致了嚴重的頻道干擾。由於許多裝置是共享印表機或智慧電視,他們無法使用 802.1X。推薦的 Ruckus 架構是什麼?

提示:尋找一種無需企業憑證或認證即可提供唯一加密金鑰的解決方案。

查看標準答案

在單一 SSID 上實作 Ruckus Dynamic PSK (DPSK)。向每個租戶公司發放唯一的 DPSK,並設定控制器將每個 DPSK 繫結至特定的 VLAN。這消除了 SSID 膨脹,提供了網路隔離,並支援印表機等無螢幕裝置。

繼續閱讀本系列

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本權威指南詳細介紹 Cisco Catalyst 9800 WLC 與 Purple WiFi 的逐步整合。內容涵蓋用於訪客 Captive Portal 的外部網頁驗證、用於員工安全存取的 802.1X EAP-TLS,以及用於多租戶動態 VLAN 隔離的 Cisco iPSK。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →