如何設定賓客 WiFi：企業網路區段劃分指南

請以自信且權威的英式英語口音，搭配資深顧問的簡報口氣進行說明：沉穩、清晰且具對話感。這不是在授課，而是一場直接的專家簡報。節奏平穩，各段落之間有自然的停頓： 歡迎來到 Purple 技術簡報系列。我將帶您深入了解如何設定一個經過妥善隔離、安全且具商業價值的顧客 WiFi 網路。這不是給初學者的教學。您是 IT 經理、網路架構師或 CTO，且您需要在本季度做出決策。所以，讓我們直接進入正題。 [中度停頓] 大多數場域面臨的問題並非缺少 WiFi。而是他們使用的是扁平網路，讓顧客、員工和 IoT 裝置共享同一個廣播域。這在合規性與安全性上都是風險，坦白說，也錯失了商業機會。一間擁有 200 間客房的飯店、擁有 50 家分店的零售連鎖店，或容納 40,000 名球迷的體育場，他們都需要同一個根本的解決方案：妥善的網路隔離。 [中度停頓] 讓我們來談談隔離在實務上的真正意義。其核心在於，您要使用 VLAN - 虛擬區域網路，在相同的實體基礎架構上建立邏輯上獨立的網路。VLAN 依據 IEEE 802.1Q 定義，透過為乙太網路影格加上標籤，使來自不同網路區段的流量在資料連結層保持隔離，即使它們通過相同的實體交換器或存取點也是如此。您為每個區段分配一個 VLAN ID - 例如，員工使用 VLAN 10，IoT 裝置使用 VLAN 20，顧客使用 VLAN 30 - 並設定您的託管交換器與存取點以強制執行該隔離。 [中度停頓] 現在，關鍵問題來了：您究竟需要多少個 SSID？對於大多數企業級場域，答案是三個。一個給顧客、一個給員工、一個給 IoT。每個 SSID 對應到各自的 VLAN。顧客只能存取網際網路，無法連線至您的企業網路。員工透過 802.1X 向 RADIUS 伺服器進行驗證（我們稍後會再談到這個），並獲得內部資源的存取權。IoT 裝置（例如您的監視器、HVAC 感測器、智慧顯示器）則位於其專屬的隔離區段，並受到嚴格控制的出口規則約束。如果您想深入了解三 SSID 模式，Purple 針對此架構提供了詳細指南。 [中度停頓] 讓我們來談談驗證，因為這是大多數部署最容易出錯的地方。特別是針對訪客 WiFi，您有四個可行的選擇。第一，帶有 Captive Portal 的開放式網路 - 這是最常見的方法，也是需要根據 GDPR 收集同意與第一方數據的場域之正確選擇。訪客進行連線，到達品牌形象首頁，透過社群登入、電子郵件或 SMS 進行驗證，接著您就能獲取經過驗證的身份。第二，WPA2-PSK - 共享密碼。這很簡單，但無法提供個人身份識別、沒有同意機制，而且在不更改所有人密碼的情況下，您無法撤銷特定裝置的存取權限。第三，WPA3-SAE，這是 WPA2 的現代繼任者，消除了離線字典攻擊的安全漏洞。第四，搭配 RADIUS 的 802.1X - 這是員工網路的金級標準，每位使用者都會針對 Microsoft Entra ID 或 Okta 等目錄進行個別驗證，並獲得專屬的工作階段憑證。對於訪客 WiFi，在底層 SSID 上採用 WPA3 加密的 Captive Portal 方法是正確的組合：您可以同時獲得身份獲取、同意以及現代化加密。 [medium pause] 現在，談談 RADIUS。IEEE 802.1X 是基於連接埠的存取控制標準。它定義了一個三方模型：請求端（supplicant） - 也就是嘗試連線的裝置、驗證端（authenticator） - 也就是您的基地台或交換器，以及驗證伺服器（authentication server） - 也就是您的 RADIUS 伺服器。當員工連線時，其裝置會透過 EAP（可延伸驗證協定）傳送憑證。EAP-TLS 使用基於雙向憑證的驗證，這是最安全的選擇。PEAP 將 EAP 封裝在 TLS 通道中，讓您能針對 Active Directory 或 Entra ID 使用使用者名稱與密碼憑證。對於大多數企業部署而言，針對 Microsoft Entra ID 或 Okta 採用 PEAP-MSCHAPv2 是最實用的選擇。它在所有主流硬體（Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi）上都得到良好支援，並能與您現有的身份識別提供者無縫整合。 [medium pause] 讓我帶您了解一個具體的部署實例。以一家擁有 200 間客房的酒店為例。您在客房、走廊、會議設施和後勤區域部署了 Cisco Meraki 基地台。您在 Meraki 儀表板上設定了三個 SSID。訪客 SSID - 假設我們將其命名為酒店名稱 - 是開放的，標記至 VLAN 30，並將 Captive Portal 重新導向至 Purple 的 Splash Page。訪客透過電子郵件或社群媒體登入進行驗證。Purple 收集他們的同意、儲存設定檔並自動觸發歡迎電子郵件。員工 SSID 是 WPA2-Enterprise，標記至 VLAN 10，並透過 RADIUS 對酒店的 Microsoft Entra ID 租戶進行驗證。IoT SSID 是一個隱藏網路，採用 WPA2-PSK 及強隨機密碼，標記至 VLAN 20，並配有防火牆規則，僅允許每種裝置類型所需的特定輸出埠。在 Meraki 防火牆上，您新增一條 layer 3 規則，明確封鎖 VLAN 之間的流量。訪客無法存取員工網路。員工無法存取 IoT 區段，除非您明確允許。最關鍵的是，一個受侵害的 IoT 裝置 - 比如有著未修復漏洞的智慧電視 - 無法轉移攻擊到您的 PMS 或付款系統。 [medium pause] 最後一點對於符合 PCI-DSS 合規性至關重要。如果您的付款卡處理系統與訪客 WiFi 位於同一網路上，那麼您的整個 WiFi 基礎設施都將納入 PCI-DSS 的評估範圍。正確的 VLAN 分段，結合已記錄的防火牆規則和存取控制，是縮減 PCI-DSS 評估範圍的主要機制。PCI 安全標準委員會對此有明確說明：網路分段並非 PCI-DSS 的強制要求，但它能減少評估範圍內的系統組件數量。做對這一點，您就能大幅簡化年度評估。 [medium pause] 我們來談談第二個場景：一家擁有 50 家分店的連鎖零售商。每家分店都混合了訪客顧客、使用手持裝置進行庫存和 POS 的員工，以及包括數位看板和環境感測器在內的 IoT 端點。這裡的挑戰在於規模和一致性。您無法手動設定每家分店的網路。您需要一個雲端管理平台，讓您能從單一儀表板將一致的設定範本推送到所有 50 個站點。HPE Aruba Central、Cisco Meraki Dashboard 和 Juniper Mist 都支援這種模式。您只需定義一次 VLAN 結構和 SSID 設定，將其作為範本推送，每個站點就會自動繼承正確的分段。Purple 作為雲端覆蓋層與所有這些平台整合 - 這意味著您無需更換現有硬體，只需在之上添加 Purple 的 Captive Portal 和分析層。在這 50 家分店中，您可以獲得統一的訪客數據、一致的品牌形象和集中式的同意管理。Purple 在全球 80,000 個實體場域運行，僅在 2024 年就處理了 4.4 億次登入，因此該平台專為此類多站點規模而設計。 [medium pause] 現在讓我來說明我最常看到的實作陷阱。第一：忘記在訪客 SSID 上啟用用戶端隔離（client isolation）。用戶端隔離可防止一個訪客裝置與同一 SSID 上的另一個裝置直接進行通訊。如果沒有啟用，具有惡意企圖的訪客就可以掃描並攻擊其他訪客的裝置。請務必啟用它，每個主流平台都支援此功能。第二：DHCP 範圍配置錯誤。每個 VLAN 都需要自己的 DHCP 範圍，並配有正確的閘道器和 DNS 設定。常見的錯誤是將訪客 VLAN DHCP 指向企業 DNS 伺服器，這會洩漏內部主機名稱。請為訪客流量使用公共 DNS 解析器 - 或更好的做法是，使用受過濾的 DNS 服務。第三：部署後未測試 VLAN 間的路由。配置好您的 VLAN 後，務必實際從訪客裝置測試您是否無法存取員工網路。使用像 nmap 這樣的工具，或者單純嘗試瀏覽內部 IP。記錄測試結果。第四：忽略頻寬管理。扁平網路上的訪客 WiFi 可能會使您的上行鏈路飽和，並降低員工和營運流量。請套用每用戶端和每 SSID 的頻寬限制。在 Cisco Meraki 上，這是每個 SSID 的單一設定。在 HPE Aruba 上，您可以使用應用程式感知流量整形策略。 [medium pause] 關於 GDPR：如果您在英國或歐盟營運，您的 Captive Portal 必須在收集任何個人資料之前，呈現清晰、肯定的同意機制。在 UK GDPR 規範下，預先勾選的方塊並非有效的同意。同意必須是細緻的 - 行銷通訊與網路存取日誌必須有獨立的加入選項。Purple 的 Conscious-Choice 加入選項正是為此設計的：訪客做出明確、知情的選擇，而 Purple 會儲存同意記錄，其中包含時間戳記和他們同意的特定同意文字版本。如果監管機構（ICO）前來稽核，該審計軌跡就是您所需要的。 [medium pause] 好，讓我們針對我最常被問到的問題進行快速問答。 [short pause] 我需要為每個 SSID 使用獨立的實體基地台嗎？不需要。現代企業級基地台支援在單一無線電上使用多個 SSID。實用的限制是每個無線電大約三到四個 SSID，超過這個限制，管理訊框開銷就會開始降低空中傳輸效率。三個 SSID - 訪客、員工、IoT - 是最適當的數量。 [short pause] 我可以使用消費級路由器來提供訪客 WiFi 嗎？在企業級場域中不行。消費級路由器不支援 VLAN 標記、802.1X 或雲端管理。您需要託管式硬體。Ubiquiti UniFi 是小型場域的入門選擇；對於任何擁有超過 20 個基地台的場域，則應選擇 Cisco Meraki、HPE Aruba 或 Ruckus。 [short pause] 我該如何處理 Passpoint 和 OpenRoaming？Passpoint - 亦稱為 Hotspot 2.0，定義於 IEEE 802.11u 標準下 - 允許裝置使用已存在於裝置上的憑證自動連接至 WiFi 網路，而無需透過 Captive Portal。OpenRoaming 則是建立在 Passpoint 之上的全球聯盟。Purple 在 Connect 方案下支援 OpenRoaming，並扮演身分識別提供商的角色。對於機場和交通樞紐等場所，這正逐漸成為實現無縫旅客連線的正確解答。 [short pause] 那麼訪客網路的 DNS 過濾呢？這是強制性的。過濾後的 DNS 解析器可阻擋惡意軟體命令與控制網域、網路釣魚網站和不當內容。它還能為您提供 DNS 查詢記錄以進行安全性監控。Purple 的 Shield 附加功能已將 DNS 過濾納入訪客網路安全性堆疊的一部分。 [medium pause] 總結來說：為您的訪客 WiFi 網路設定三個 VLAN - 訪客使用 VLAN 30、員工使用 VLAN 10、IoT 使用 VLAN 20。針對訪客，使用具備明確 GDPR 同意機制的 Captive Portal。針對員工，則透過 802.1X 向您的身分識別提供商進行驗證。使用嚴格的出口規則隔離 IoT 裝置。在訪客 SSID 上啟用用戶端隔離。套用頻寬限制。在每次設定變更後測試 VLAN 間的路由。並使用雲端管理平台，以便您可以從單一位置在每個站點實施一致的設定。 [medium pause] 如果您想更進一步，Purple 的訪客 WiFi 平台可直接建置在您現有的硬體之上 - 無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 還是 Ubiquiti UniFi - 並加入 Captive Portal、同意管理、數據分析和行銷自動化層，將您的 WiFi 基礎架構轉化為第一方數據資產。我們的網址是 purple.ai。包含架構圖、操作範例和設定檢核表在內的完整書面指南已連結於節目資訊中。 感謝您的收聽。