在企業網路控制器上設定 Captive Portal 重新導向

歡迎收看 Purple 技術簡報。我是您的主持人，在接下來的十分鐘內，我們將直接探討企業級 WiFi 中最常被搜尋、但記錄最不完整的技術主題之一：在網路控制器上設定 Captive Portal 重新導向。 如果您曾經搜尋過 "configurar controlador portal cautivo" 卻空手而歸，那麼這就是您需要的簡報。我們將涵蓋全貌——技術架構、各控制器品牌設定步驟、合規性要求，以及即使是經驗豐富的網路團隊也容易踩到的實際陷阱。 讓我們開始吧。 Captive Portal 是一種機制，可在訪客裝置連線至您的 WiFi 網路後，攔截其首次 HTTP 或 HTTPS 請求，並在授予網際網路存取權限之前，將其重新導向至品牌形象登入頁面（splash page）。該登入頁面可能會要求社群登入、提交表單、簡單點擊接受條款，或進行基於 RADIUS 的憑證檢查。 重新導向本身是在控制器層級處理的——而不是在無線基地台或防火牆。控制器會攔截未經身分驗證的用戶端流量，套用預先驗證的存取控制清單（即我們所說的「圍牆花園」/ walled garden），並將用戶端的瀏覽器推送到您的入口網站 URL。 為什麼這在商業上很重要？有三個原因。 第一，合規性。根據 GDPR，您在收集訪客的個人資料之前，必須取得明確且知情的同意。設定妥當的 Captive Portal 就是您的同意機制。如果沒有它，您就是在沒有法律依據的情況下收集資料，這將面臨監管風險。 第二，安全性。沒有身分驗證的開放式 SSID 是一種安全隱患。Captive Portal 重新導向結合 VLAN 切割和 RADIUS 伺服器，可為您提供每次連線階段的追溯能力。您將知道誰在何時、從哪台裝置進行了連線。 第三，商業智慧。每個經過驗證的連線階段都是第一方數據點。Purple 每年在 80,000 個場所處理 4.4 億次登入。只有在正確設定 Captive Portal 以擷取並傳輸這些數據（如停留時間、造訪頻率、人口統計特徵）時，才能取得這些資料。 現在，讓我帶您一步步瞭解重新導向的流程。 第一步：訪客裝置與您的訪客 SSID 建立關聯。控制器透過 DHCP 為其分配 IP 位址，但將其置於受限的預先驗證狀態。除了 DNS 和您明確允許的 walled garden 網域外，所有流量皆會被阻擋。 第二步：訪客開啟瀏覽器。他們的 HTTP 請求傳送到控制器。控制器攔截該請求，並發送 302 重新導向至您的入口網站 URL。這是核心的重新導向機制。 第三步：訪客的瀏覽器載入您的登入頁面，該頁面可託管在控制器本身，或者在企業部署中更常見的是託管在如 Purple 的外部雲端平台上。 第四步：訪客進行驗證 — 透過社群登入、表單或憑證。Portal 會將授權訊號傳回控制器，通常是透過 RADIUS Access-Accept 訊息或 MAC 授權繞過。 第五步：控制器將用戶端從驗證前 VLAN 移至驗證後 VLAN，移除重定向規則，並授予網際網路存取權限。 這五個步驟的流程在所有主要的控制器平台上都是一致的。不同之處在於您如何在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 等平台上設定每個步驟。 讓我們來看看這些主要平台。 Cisco Meraki：Meraki 使用完全透過 Meraki Dashboard 設定的自訂 Splash Page — 沒有 CLI。導覽至「Wireless」（無線），然後選擇「Access Control」（存取控制），選取您的訪客 SSID，將 Splash Page 設定為 "Sign-on with my RADIUS server"（使用我的 RADIUS 伺服器登入）或 "Click-through"（點擊通過），然後在「Custom Splash URL」欄位中輸入您的外部 Portal URL。「Walled garden」（圍牆花園）是在「Advanced Splash Settings」區段中設定 — 您需要新增 Portal 伺服器的 IP 位址，以便訪客在驗證前可以連訪該 Splash Page。RADIUS 伺服器詳細資訊則填寫在 RADIUS 區段中：連接埠 1812 用於驗證，連接埠 1813 用於計費。 HPE Aruba：在 ArubaOS 上，您可以在 AAA 區段下設定 Captive Portal 設定檔，指定登入 URL、指向您的 RADIUS 伺服器的伺服器群組以及重定向 URL。接著，您透過虛擬 AP 設定檔將該設定檔套用到您的 SSID。驗證前角色（Aruba 稱之為 "logon" 角色）包含允許 DNS、DHCP 以及存取您 Portal 伺服器 IP 範圍的 ACL。驗證後，控制器會分配 "authenticated" 角色，此角色允許完整的網際網路存取。 Ruckus SmartZone 在 Captive Portal 部署中使用 Hotspot WLAN 類型。在 WLAN 設定下，將 WLAN 類型設定為 Hotspot，然後設定 Portal URL、用於驗證和計費的 RADIUS 伺服器以及 Walled Garden 項目。Northbound Portal Interface 負責處理 Portal 與控制器之間的 MAC 授權流程。 Juniper Mist 使用雲端原生方法。在「Network」（網路）下的「WLANs」中，建立一個訪客 WLAN，並將 Portal 類型設定為 "External Captive Portal"。輸入您的 Portal URL 並設定 RADIUS 伺服器詳細資訊。Mist 會將用戶端 MAC、AP MAC 和 SSID 名稱作為 URL 參數傳遞給 Portal。 Ubiquiti UniFi：在 UniFi 網路控制器中，導覽至「Settings」（設定），然後選擇「WiFi」，選取您的訪客網路，並在「Advanced Options」（進階選項）下，設定「Guest Policy」（訪客原則）以啟用 Hotspot Portal。將 Portal 類型設定為 "External"（外部）並輸入您的 Portal URL。在「Profiles」（設定檔）下的「RADIUS」中設定 RADIUS 伺服器。 Walled garden 是 Captive Portal 部署中最容易設定錯誤的元素。如果設定錯誤，您的訪客將會看到瀏覽器錯誤，而不是您的 Splash Page。 圍牆花園（Walled Garden）至少必須允許：您的 Portal 伺服器 IP 位址或網域、您的 RADIUS 伺服器 IP 位址、連接埠 53 上的 DNS 解析，以及連接埠 67 和 68 上的 DHCP。如果您的 Portal 從 CDN 載入資產（字型、圖片、JavaScript），則這些 CDN 網域也必須包含在圍牆花園中。 針對 Purple 部署，我們會在新手引導期間提供要加入白名單的特定 IP 範圍和網域。最常見的失敗模式是 Portal 載入了 HTML 框架，但由於圍牆花園中缺少 CDN 網域，導致無法轉譯圖片或執行 JavaScript。 此處主要有兩項合規標準：GDPR 和 PCI DSS。 在 GDPR 規範下，您的 Captive Portal 在收集個人資料之前，必須提供明確且具體的同意機制。這意味著 WiFi 存取和行銷同意必須使用獨立且預設未勾選的核取方塊。您不能將它們綁定在一起。同意記錄必須予以儲存，且可供審計時擷取。Purple 的平台會自動處理此程序，並針對每個已驗證的會話儲存同意記錄。 在 PCI DSS 規範下，如果您的場地處理刷卡付費，您的訪客 WiFi 網路必須與您的付款卡環境隔離。這意味著必須使用專用的訪客 VLAN，並設定防火牆規則以防止訪客區段與您的 POS 網路之間進行任何路由。PCI DSS 4.0 版已於 2024 年 3 月成為強制標準，要求每至少六個月進行一次網路分段測試。 讓我為您提供兩個具體的案例。 案例一：一家擁有 350 間客房且運行 Cisco Meraki 的飯店。該飯店希望將基本的點擊式 Portal 替換為品牌化的訪客體驗，以收集電子郵件地址用於其會員計劃。設定步驟：在獨立的 VLAN 上建立專用的訪客 SSID，且僅限存取網際網路。設定 Meraki 歡迎頁面（Splash Page）以指向 Purple 的 Portal URL。使用 Purple 的 RADIUS 伺服器詳細資訊設定 RADIUS 驗證。使用 Purple 的 IP 範圍設定圍牆花園。在 Purple 控制面板中，建立一個品牌化的歡迎頁面，其中包含用於收集姓名、電子郵件和房號的表單，並附帶明確的 GDPR 同意核取方塊。將 Purple CRM 連接器連接到飯店的行銷平台。Premier Inn 在其旗下所有飯店實施了此模式，並發現透過 WiFi 獲取的客群中，直接訂房率有了顯著增長。 情境二：一家擁有 40 家門市且運行 HPE Aruba 的地區性零售連鎖店。該零售商需要所有站點都具備一致的訪客 WiFi 體驗，並透過客流量分析來比較各門市的績效。部署 Aruba Central 以從單一儀表板管理所有 40 個站點。設定一個客用 WLAN 範本，並將外部 Captive Portal 指向 Purple。使用 Aruba Central 的群組原則功能將該範本套用至所有站點。在 Purple 中，設定套用至所有場地的單一 Portal 範本，並提供個別場地的分析儀表板。Walled garden 和 RADIUS 設定只需在範本中定義一次，即可自動套用。結果：IT 團隊從單一控制台即可管理 40 個站點。行銷團隊可從單一 Purple 儀表板獲取每家門市的客流量數據、停留時間分析和重複造訪率。 我經常看到的四個常見錯誤： 第一：HTTPS 攔截失敗。現代瀏覽器和行動作業系統使用 HTTPS 探測來檢測 Captive Portal。如果您的控制器無法攔截 HTTPS 流量（這需要重定向網域的有效憑證），探測將會靜默失敗，且訪客不會看到任何重定向。解決方法：為控制器的虛擬介面設定受信任的憑證，或在訪客 SSID 上使用僅限 HTTP 的探測。 第二：DNS 洩漏。如果您的前置驗證 ACL 允許不受限制的 DNS，訪客可以使用 DNS 通道技術完全繞過 Captive Portal。請將 DNS 限制為僅限您指定的解析程式。 第三：工作階段逾時不一致。如果您的控制器工作階段逾時時間短於 Portal 的工作階段權杖有效期限，訪客會在工作階段中途被重新導向回 Portal。請對齊這些數值——通常餐旅業為 24 小時，零售業為 8 小時。 第四：缺少帳務資訊。RADIUS 帳務（即 Accounting-Start 和 Accounting-Stop 訊息）是您的 Portal 得知工作階段已結束的方式。若未設定帳務，您的 Portal 工作階段記錄將不準確，且您的分析數據將不可靠。 常見問答： 我可以在任何控制器上使用外部 Portal 嗎？可以，前提是控制器支援外部 Captive Portal 重定向——我們討論過的所有平台都支援此功能。 運行 Captive Portal 需要 RADIUS 伺服器嗎？不一定。簡單的點擊跳轉 Portal 可以使用 MAC 授權旁路，而不需要完整的 RADIUS 伺服器。 Captive Portal 是否支援 WPA3？是的。WPA3 處理無線加密層，Captive Portal 處理驗證層。兩者獨立運作且完全相容。 Purple 如何與我現有的控制器整合？Purple 扮演外部入口網站伺服器的角色。您可以將控制器的 splash URL 指向 Purple 的入口網站端點，使用 Purple 的 IP 範圍設定 walled garden，並使用 Purple 的伺服器詳細資訊設定 RADIUS。無論您使用的是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 還是 Ubiquiti UniFi，整合程序都是相同的。 總結來說。Captive Portal 重新導向是在控制器層級設定的，而不是在存取點。核心元件包括：指向您入口網站的 splash URL、允許存取您入口網站伺服器的 walled garden、用於驗證與計費的 RADIUS，以及用於網路隔離的 VLAN 分割。設定步驟因廠商而異，但架構是一致的。 為了符合合規性，您的入口網站必須實施符合 GDPR 規範的同意授權收集，以及符合 PCI DSS 規範的網路分割。WPA3 是目前的無線加密標準，應作為您任何新部署的基準規格。 Purple 與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 進行原生整合。在 2024 年遍及 80,000 個場所與 4.4 億次登入，該平台在設計上與硬體無關——您對控制器的選擇不會限制您收集第一方訪客數據或進行分析的能力。 您的下一步：根據本指南中的 walled garden 和 RADIUS 計費核對清單，審查您目前的控制器設定。如果您正在部署新的訪客 WiFi 網路，請先從適用於您控制器平台的廠商特定設定步驟開始，並將 Purple 連接為您的外部入口網站。 感謝您的聆聽。以上是 Purple 技術簡報。