DrayTek Vigor 與訪客 WiFi：使用 Purple 設定 captive portal

歡迎閱讀 Purple 整合簡報。今天我們將探討 DrayTek Vigor 路由器和 VigorAP 基地台，特別是如何將其與 Purple WiFi 整合。本簡報適用於在中小企業及中階市場場域部署訪客、員工和多租戶網路的 IT 經理與網路架構師。 首先來瞭解一下背景。DrayTek 硬體在零售、餐飲旅宿和多住戶單元（MDU）中非常受歡迎，因為它以具競爭力的價格提供了強大的路由、VPN 和無線網路功能。當您將 DrayTek Vigor 路由器與 Purple 搭配使用時，便能將標準的網際網路連線轉換為「基於身分識別的網路」。Purple 擁有超過 80,000 個運作中的場域，每年處理 4.4 億次登入。我們提供 Captive Portal、分析與安全層，而 DrayTek 則提供可靠的邊緣基礎設施。 接著進入技術深度探討。我們實際上該如何進行？這項整合的核心依賴於 RADIUS 驗證和外部 Captive Portal 重新導向。 首先是訪客 WiFi 設定。您需要將 DrayTek Vigor 路由器設定為 Hotspot Web Portal 閘道器。在 DrayOS 介面中的 Applications 和 RADIUS 下，新增 Purple 的 RADIUS 伺服器 IP 和共用金鑰。然後，在 Hotspot Web Portal 下，將 Portal Method 設定為 External Server，並貼上您專屬的 Purple 存取 URL。DrayTek 路由器會攔截訪客流量，將其重新導向至 Purple 的雲端重疊網路（cloud overlay）進行驗證，然後使用 RADIUS 授權存取。 這裡一個關鍵的步驟是 Walled Garden（圍牆花園）。訪客在通過驗證之前，需要先連線到 Purple 的伺服器。您必須在 DrayTek Hotspot 設定檔中的 Destination Domain 索引標籤中進行設定，以允許流量傳送至 Purple 的驗證網域。如果您漏掉這個步驟，迎賓頁面就完全無法載入。這是初次部署時最常見的錯誤之一。 那麼，員工 WiFi 呢？為了確保員工的安全存取，您不使用 Captive Portal。您可以使用 802.1X 驗證，這是基於連接埠之網路存取控制的 IEEE 標準。在 DrayTek Wireless LAN Security 設定中，選擇 WPA2 / 802.1X，並將其指向 Purple RADIUS 伺服器。員工裝置會使用 PEAP 和 MS-CHAPv2 進行無縫驗證。這完全免除了共用密碼的需要，並能在員工離職時立即撤銷其存取權限，無需在整個場域中變更密碼。 讓我們來探討多租戶（Multi-Tenant）環境。例如學生宿舍、共享工作空間或零售專櫃。您需要網路分割。DrayTek 透過 VLAN 和多個 PSK（也稱為 PPSK 或 Private Pre-Shared Key）來處理此問題。您在 DrayTek 路由器上設定 VLAN。例如，VLAN 10 給訪客，VLAN 20 給員工，VLAN 30 給租戶。利用 VigorAP 上的 DrayTek WPA2-PPSK 功能，每位租戶都會獲得一個專屬的密碼。當他們連線時，無線基地台會將該密碼與其 MAC 位址綁定，並將他們歸入其隔離的 VLAN 中。這意味著飯店一樓的咖啡店租戶無法看到飯店的內部網路，即使他們共享同一個實體無線基地台。 動態 VLAN 分配將此功能進一步延伸。Purple 的 RADIUS 伺服器可以在使用者進行驗證時傳回特定的 RADIUS 屬性。這些屬性包括 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID。DrayTek 路由器會讀取這些值，並將已驗證的用戶端動態分配到正確的 VLAN。這就是實務中的身分導向網路（Identity-Based Networking）：網路會適應使用者的身分，而不是使用者去適應網路。 接下來介紹實作建議與常見錯誤。 建議一：一律為您的 VigorAP 使用有線骨幹網路。無線分佈系統或通用中繼器無法傳輸正確分割網路所需的 802.1Q VLAN 標籤。如果您希望訪客網路與內部 LAN 隔離，則需要保持這些 VLAN 標籤完整，這意味著必須從每個無線基地台接一條實體乙太網路線回到 DrayTek 路由器或託管交換器。 建議二：在 VigorAP 上啟用 AP 輔助漫遊（AP-Assisted Mobility）。此功能可智慧地中斷與訊號強度較差的用戶端連線，強迫他們漫遊到較近的無線基地台。這解決了困擾許多中小企業部署的用戶端黏著問題。在零售環境中，顧客從商店前方走到後方時，應在無線基地台之間無縫切換。若沒有 AP 輔助漫遊，他們的裝置即使在訊號微弱時，也可能會一直連著前方的無線基地台。 建議三：在開始前先規劃好您的 VLAN 編號方案。在部署後變更 VLAN ID 需要重新設定路由器、所有無線基地台，以及路徑上任何可能的託管交換器。請清楚記錄您的方案。 最大的錯誤？在套用 RADIUS 和熱點（Hotspot）設定後忘記將 DrayTek 路由器重新啟動。DrayOS 需要重新啟動才能套用這些特定的變更。如果您跳過此步驟，您將花費數小時對實際上正確但尚未啟動的設定進行除錯。這已記錄在 Purple 針對 DrayTek 硬體的官方支援指南中。 讓我們進行快速問答。 問題：我可以使用 Vigor 路由器的內部 RADIUS 伺服器嗎？ Answer: You can for local 802.1X authentication, but for Purple integration, you must use Purple's external RADIUS servers. This is what enables centralised policy management and the analytics that Purple provides. Question: Does DrayTek support dynamic VLAN steering via RADIUS? Answer: Yes. Purple's RADIUS server returns the Tunnel-Type and Tunnel-Private-Group-ID attributes on authentication. The DrayTek router reads these and dynamically assigns the client to the correct VLAN. Question: What happens if a user's iOS device uses a Private MAC address with PPSK? Answer: It will fail authentication. The PPSK profile binds to a specific MAC address. You must instruct users to disable Private WiFi Address for your specific network in their iOS settings to ensure stable connectivity. Question: Which DrayTek models are supported with Purple? Answer: The currently supported models include the 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962, and 3910 series. Check Purple's support documentation for the latest list. To summarise. DrayTek and Purple together give you enterprise-grade network control at SMB price points. You use the Hotspot Web Portal for guests, 802.1X for staff, and PPSK with VLANs for tenants. Map your VLANs carefully, configure your walled gardens, and always reboot after applying RADIUS settings. Use wired backhaul for your access points, enable AP-Assisted Mobility, and plan for MAC randomisation on iOS devices. Thank you for listening to this technical briefing. Get your hardware configured, and we will see you on the Purple platform.