跳至主要內容
繁體中文

DrayTek Vigor 路由器與無線基地台與 Purple WiFi 整合

本指南提供將 DrayTek Vigor 路由器和 VigorAP 無線基地台與 Purple 雲端平台整合的逐步技術說明。內容涵蓋用於 Guest WiFi 的 DrayTek Captive Portal 設定、用於安全 Staff WiFi 的 802.1X 驗證、Walled Garden 設定,以及用於具備動態 VLAN 分配之多租戶網路區隔的 DrayTek 多重 PSK (PPSK) 設定。專為在旅宿、零售和多租戶場所部署 Purple 的 IT 安裝人員及中小企業網路管理員而設計。

📖 10 分鐘閱讀📝 2,500 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 整合簡報。今天我們將探討 DrayTek Vigor 路由器和 VigorAP 無線基地台,特別是如何將它們與 Purple WiFi 進行整合。本簡報適用於在中小企業及中型市場場所部署訪客、員工和多租戶網路的 IT 經理和網路架構師。 首先來談談背景脈絡。DrayTek 硬體在零售、餐飲旅宿和多住戶住宅單元(MDU)中非常受歡迎,因為它以具競爭力的價格提供了強大的路由、VPN 和無線網路功能。當您將 DrayTek Vigor 路由器與 Purple 搭配使用時,便能將標準的網際網路連線轉換為「基於身分識別的網路」(Identity-Based Network)。Purple 擁有超過 80,000 個線上運作的場所,每年處理 4.4 億次登入。我們提供 Captive Portal、分析功能和安全層;DrayTek 則提供可靠的邊緣基礎設施。 接下來進行技術深挖。我們到底該如何實現這一點?整合的核心依賴於 RADIUS 驗證和外部 Captive Portal 重新導向。 首先是訪客 WiFi 設定。您需要將 DrayTek Vigor 路由器設定為熱點網頁入口(Hotspot Web Portal)閘道。在 DrayOS 介面中,於「應用」與「RADIUS」下,新增 Purple 的 RADIUS 伺服器 IP 和共用金鑰。接著,在「熱點網頁入口」下,將入口方法設定為「外部伺服器」,並貼上您專屬的 Purple 存取 URL。DrayTek 路由器會攔截訪客流量,將其重新導向至 Purple 的雲端覆蓋層(cloud overlay)進行驗證,然後使用 RADIUS 授予存取權限。 這裡的一個關鍵步驟是圍牆花園(Walled Garden)。訪客在通過驗證之前需要存取 Purple 的伺服器。您必須在 DrayTek 熱點設定檔的「目的地網域」頁籤中進行設定,以允許流量傳送至 Purple 的驗證網域。如果您漏掉這一步,歡迎頁面(splash page)將完全無法載入。這是初次部署時最常見的錯誤之一。 那麼,員工 WiFi 該如何處理?為了確保員工的安全存取,您不應使用 Captive Portal。您應該使用 802.1X 驗證,這是基於連接埠之網路存取控制的 IEEE 標準。在 DrayTek 無線區域網路安全設定中,選擇 WPA2/802.1X 並將其指向 Purple RADIUS 伺服器。員工裝置會使用 PEAP 和 MS-CHAPv2 進行無縫驗證。這完全免除了共用密碼的需要,並能讓您在員工離職時立即撤銷其存取權限,無需變更整個場所的密碼。 讓我們來談談多租戶(Multi-Tenant)環境。想想學生宿舍、共享工作空間或零售專櫃。您需要進行網路區段劃分。DrayTek 透過 VLAN 和多組 PSK(也稱為 PPSK 或 Private Pre-Shared Key)來處理這個問題。您在 DrayTek 路由器上配置 VLAN。例如,VLAN 10 給訪客、VLAN 20 給員工、VLAN 30 給租戶。利用 VigorAP 上的 DrayTek WPA2-PPSK 功能,每個租戶都會獲得一個專屬的密碼。當他們連線時,無線基地台會將該密碼與其 MAC 位址綁定,並將他們放入隔離的 VLAN 中。這意味著位於飯店一樓的咖啡廳租戶無法看到飯店的內部網路,即使他們共享同一個實體無線基地台。 動態 VLAN 分配則更進一步。當使用者進行驗證時,Purple 的 RADIUS 伺服器可以回傳特定的 RADIUS 屬性。這些是 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 屬性。DrayTek 路由器會讀取這些值,並將已驗證的用戶端動態分配到正確的 VLAN。這就是實務中的「身分導向網路(Identity-Based Networking)」:網路會適應使用者的身分,而不是要使用者去適應網路。 接下來,我們看看實作建議與常見錯誤。 建議一:一律為您的 VigorAP 使用有線回傳(wired backhaul)。無線分佈系統(WDS)或通用中繼器(universal repeater)無法傳輸正確網路區段劃分所需的 802.1Q VLAN 標籤。如果您希望訪客網路與內部 LAN 隔離,您必須保持這些 VLAN 標籤完整,這意味著需要有一條實體乙太網路線從每個無線基地台連接回 DrayTek 路由器或託管型交換器。 建議二:在 VigorAP 上啟用 AP 輔助漫遊(AP-Assisted Mobility)。此功能可以智慧型地中斷訊號強度較差的用戶端連線,強迫他們漫遊到較近的無線基地台。它解決了困擾許多中小企業部署的「黏性用戶端(sticky client)」問題。在零售環境中,顧客從店面走到店後方時,應該要在無線基地台之間無縫轉換。如果沒有 AP 輔助漫遊,他們的裝置即使在訊號微弱的情況下,也可能會一直連著前方的無線基地台。 建議三:在開始之前先規劃好您的 VLAN 編號方案。在部署後更改 VLAN ID 需要重新配置路由器、所有無線基地台,以及路徑上可能存在的任何託管型交換器。請清楚記錄您的方案。 最大的陷阱是什麼?在套用 RADIUS 和 Hotspot 配置後忘記重新啟動 DrayTek 路由器。DrayOS 需要重新啟動才能套用這些特定的變更。如果您跳過此步驟,您將花費數小時來排除實際上正確但尚未啟用的配置問題。這已記錄在 Purple 針對 DrayTek 硬體的官方支援指南中。 讓我們進行快速問答。 問題:我可以使用 Vigor 路由器的內部 RADIUS 伺服器嗎? 回答:如果是本地 802.1X 驗證可以,但若要與 Purple 整合,您必須使用 Purple 的外部 RADIUS 伺服器。這才能實現集中式策略管理以及 Purple 提供的分析功能。 問題:DrayTek 是否支援透過 RADIUS 進行動態 VLAN 引導? 回答:是的。Purple 的 RADIUS 伺服器會在驗證時傳回 Tunnel-Type 和 Tunnel-Private-Group-ID 屬性。DrayTek 路由器會讀取這些屬性,並將用戶端動態分配到正確的 VLAN。 問題:如果使用者的 iOS 裝置在 PPSK 中使用私用 MAC 位址,會發生什麼事? 回答:驗證將會失敗。PPSK 設定檔會與特定的 MAC 位址綁定。您必須指導使用者在其 iOS 設定中針對您的特定網路停用「專用 WiFi 位址」,以確保穩定的連線。 問題:哪些 DrayTek 型號支援 Purple? 回答:目前支援的型號包括 2862、3220、2926、2952、2765、2865、2866、2927、2962 和 3910 系列。請參閱 Purple 的支援文件以取得最新列表。 總結來說,DrayTek 與 Purple 的結合,以中小企業的價格為您提供企業級的網路控制。您可以為訪客使用 Hotspot Web Portal、為員工使用 802.1X,並為租戶使用結合 VLAN 的 PPSK。請仔細規劃您的 VLAN 對應、設定圍牆花園,並在套用 RADIUS 設定後務必重新啟動。為您的基地台使用有線回傳、啟用 AP 輔助漫遊(AP-Assisted Mobility),並針對 iOS 裝置的隨機 MAC 位址做好規劃。 感謝您收聽本次技術簡報。完成您的硬體設定後,我們在 Purple 平台上見。

header_image.png

執行摘要

DrayTek Vigor 路由器與 VigorAP 基地台已廣泛部署於英國與歐洲成千上萬的中小型企業、零售及餐旅場所。當與 Purple 的雲端重疊網路整合時,這些硬體將成為「基於身分的網路」之基石 — 從單一平台即可收集第一方數據、保護內部資源並區隔多租戶流量。

本指南涵蓋四種部署情境:採用品牌專屬引導頁面與 RADIUS 驗證的 Guest WiFi 、使用 IEEE 802.1X 企業級安全驗證的員工 WiFi、允許驗證前流量的 Walled Garden 配置,以及利用 DrayTek 的 WPA2-PPSK 功能搭配動態 VLAN 分配的多租戶 WiFi。Purple 已在超過 80,000 個實際營運場地運行,且達到 99.999% 的可用性,並獲得 ISO 27001、GDPR 及 Cyber Essentials 認證 — 因此您場地面臨的安全與合規要求均已融入平台之中。

支援的 DrayTek 型號包括 Vigor 2862、2865、2866、2926、2927、2952、2962、3220 與 3910 系列。所有透過中央基地台管理 (APM) 進行管理的 VigorAP 基地台皆與此整合相容。

技術深入剖析

整合運作原理

DrayTek 與 Purple 的整合依賴兩種機制協同運作:外部 Captive Portal 重新導向與 RADIUS(遠端驗證撥入使用者服務)驗證。Purple 扮演集中化的身分提供者和原則引擎。DrayTek Vigor 路由器則作為網路存取伺服器 (NAS),執行 Purple RADIUS 伺服器傳回的存取決策。

當訪客連線到 WiFi SSID 時,DrayTek 路由器會將裝置置於驗證前的狀態。它會攔截該裝置的 HTTP 流量,並透過 DrayOS 中的 Hotspot Web Portal 功能將其重新導向至 Purple 的雲端託管 splash page。使用者在 Purple 的平台上完成登入流程 — 可使用社群登入、電子郵件、簡訊,或受管理的授權提供者(如 Microsoft Entra ID、Okta 或 Google Workspace)。Purple 的 RADIUS 伺服器隨後會向 DrayTek 路由器回傳 Access-Accept 訊息,進而授予網際網路存取權限並在連接埠 1813 上啟動 RADIUS 計費。

architecture_overview.png

Guest WiFi 與 DrayTek Captive Portal

DrayTek Hotspot Web Portal 是訪客驗證的核心機制。在 DrayOS 中,您可以設定 Hotspot Profile,其中定義了 portal 方法、驗證伺服器、工作階段限制和登陸頁面。將 Portal Method 設定為 External Server 會指示 DrayOS 將未驗證的用戶端重新導向至外部 URL — 在此處即為您的 Purple 存取 URL — 而非提供本機託管的頁面。 Hotspot Profile 中的 RADIUS 設定指向 Purple 的 RADIUS 伺服器 IP(連接埠 1812 用於驗證,連接埠 1813 用於計費)。共用金鑰必須與您的 Purple 場域儀表板中顯示的完全一致。此處不匹配是導致驗證失敗最常見的原因。

工作階段管理由 Expired Time After Activation 設定控制。對於大多數餐旅和零售部署,六個小時是實用的預設值。您可以將此設定與您的 Purple 工作階段逾時時間保持一致,以確保兩個系統之間的行為一致。

Walled Garden 設定

在訪客進行驗證之前,其裝置無法存取網際網路。然而,裝置必須能夠連線至 Purple 的伺服器以載入歡迎頁面(splash page)。Walled Garden(透過 DrayTek Hotspot Profile 中的 Dest Domain 索引標籤進行設定)定義了驗證前可存取的網域。

您必須將 Purple 的驗證網域新增至此清單中,每個索引一個。如果您使用的是社群登入提供商(例如 Google 或 Facebook)或受管理的識別資訊提供商(如 Microsoft Entra ID),則也必須包含其網域。未能正確設定 Walled Garden 是 DrayTek Captive Portal 無法顯示歡迎頁面最常見的單一原因。Purple 的支援文件提供了每種登入方式目前所需的網域清單。

使用 802.1X 安全保護員工 WiFi

對於內部員工而言,Captive Portal 並非合適的工具。共用的 WPA2 密碼存在安全性隱患:當員工離職時,您必須更新每台裝置上的密碼。IEEE 802.1X 企業級驗證完全解決了這個問題。

在 DrayOS 中,導覽至 Wireless LAN > Security,並為您的員工 SSID 選取 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠和共用金鑰。員工裝置會使用 PEAP(受保護的擴充驗證協定)並以 MS-CHAPv2 作為內部方法進行驗證。這是 Windows、macOS、iOS 和 Android 裝置連線至企業無線網路所需的設定。

Purple 會在識別資訊層級撤銷存取權限。當員工離職時,您只需在您的識別資訊提供商(Microsoft Entra ID、Okta 或 Google Workspace)中停用其帳戶即可。Purple 的 RADIUS 伺服器會立即停止接受該帳戶的驗證請求。無需在整個場域中變更密碼。

如欲了解更多關於企業無線網路安全性架構的資訊,請參閱我們的 企業級 WiFi 安全性:2026 年完整指南

使用 DrayTek 多重 PSK 進行多租戶網路分割

多租戶環境(例如設有外包餐廳或零售空間的飯店、共同工作空間、學生宿舍以及建屋出租專案)需要租戶之間實施嚴格的網路隔離。專櫃中的顧客絕不能存取飯店的內部網路,且兩個零售租戶之間必須無法看到彼此的流量。

DrayTek 透過兩項互補的功能來解決此問題:VLAN 標記和 WPA2-PPSK (Private Pre-Shared Key)。

Vigor 路由器上的 VLAN 設定會將每個租戶分配到獨立的邏輯網路。前往 LAN > VLAN,啟用 VLAN 設定,並為每個租戶區段分配一個唯一的 VLAN ID。所有連接到 VigorAP 的 LAN 連接埠必須是所有相關 VLAN 的成員,實際上是以 802.1Q 幹線 (trunk) 連接埠運作。LAN > General Setup 中的 Inter-LAN Routing Table 可控制流量是否可以跨 VLAN 傳輸——為了實現租戶隔離,必須停用此功能。

VigorAP 上的 WPA2-PPSK 會為每個租戶分配一個唯一的密碼。無線基地台會將此密碼與裝置的 MAC 位址綁定。當裝置連接時,AP 會識別所使用的密碼,並用對應的 VLAN ID 標記流量。這使得單一 SSID 能夠同時為多個隔離的租戶網路提供服務,從而減少無線開銷並簡化終端使用者體驗。

vlan_segmentation_diagram.png

透過 RADIUS 進行動態 VLAN 分配

對於需要根據使用者身分而非靜態密碼來驅動 VLAN 分配的部署,Purple 的 RADIUS 伺服器支援動態 VLAN 引導。當使用者進行驗證時,Purple 會在 Access-Accept 訊息中傳回三個 RADIUS 屬性:

RADIUS 屬性
Tunnel-Type VLAN (13)
Tunnel-Medium-Type IEEE-802 (6)
Tunnel-Private-Group-ID VLAN ID (例如 "20")

DrayTek 路由器會讀取這些屬性,並將已驗證的用戶端分配到指定的 VLAN,無論他們連接到哪一個 SSID。這就是「基於身分的網路 (Identity-Based Networking)」:網路區段是由使用者的身分決定,而不是由他們輸入的密碼決定。

實作指南

部署前檢查清單

在開始之前,請確認以下事項:

項目 需求
DrayTek 韌體 最新穩定的 DrayOS 版本
Purple 場域 已在 Purple 控制面板中建立並啟用
RADIUS 憑證 從 Purple 取得的存取 URL、RADIUS 伺服器 IP、共用金鑰、NAS 識別碼
VLAN 計劃 已記錄 Guest、Staff 和每個租戶的 VLAN ID
VigorAP 回傳網路 已確認所有無線基地台皆使用實線乙太網路

步驟 1:在 DrayTek 路由器上設定 RADIUS

導覽至 DrayOS 網頁介面中的 Applications > RADIUS/TACACS+。在 External RADIUS 索引標籤上,啟用設定檔並輸入 Purple 的 RADIUS 伺服器 IP 位址、連接埠 (1812) 和共用金鑰。按一下 OK 儲存。路由器需要重新啟動才能套用此變更——請勿跳過此步驟。

步驟 2:建立 Captive Portal 設定檔

導覽至 Hotspot Web Portal > Profile Setup 並選擇一個可用的索引。依下列方式設定設定檔:

設定
啟用此設定檔
Portal Method External Server
Captive Portal URL 您的 Purple 存取 URL
Redirection URL http://portal.draytek.com
Authentication Method External RADIUS Server
Server IP Address Purple RADIUS 伺服器 IP
Destination Port 1812
Shared Secret 您的 Purple 共用金鑰
Enable Accounting Yes
Accounting Port 1813
MAC Address Format AA-BB-CC-DD-EE-FF

點擊 OK 儲存。

步驟 3:設定 Walled Garden

點擊 Save and Next 進入 Dest Domain 頁籤。新增每個必要的 Purple 網域,每個索引一個。目前的網域列表請參閱支援文件中的 Purple Walled Garden 網域白名單。點擊 Save and Next 繼續。

步驟 4:設定工作階段與到達網頁設定

在最後的設定畫面上,設定:

設定
Expired Time After Activation 0 天, 6 小時, 0 分 (或您偏好的時長)
HTTPS Redirection No
Captive Portal Detection Yes
Landing Page After Authentication 您的 Purple 重新導向 URL
Applied Interfaces 選擇訪客 WiFi SSID

點擊 Finish 儲存。測試前請重新啟動路由器。

步驟 5:設定 VLAN 進行網路區隔

導覽至 LAN > VLAN 並啟用 VLAN Configuration。為每個網路區隔建立一個 VLAN 項目。將所有連接到 VigorAPs 的 LAN 連接埠指派為所有相關 VLAN 的成員 (trunk 設定)。導覽至 LAN > General Setup,並使用 Inter-LAN Routing Table 在需要時封鎖跨 VLAN 的存取。

步驟 6:為員工 WiFi 設定 802.1X

導覽至 Wireless LAN > Security 並選擇員工 SSID。將安全模式設定為 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠 1812 以及共用金鑰。儲存設定。

步驟 7:設定 PPSK 進行多租戶隔離

在每個 VigorAP 上,導覽至 Wireless LAN > Security Settings 並選擇 WPA2PPSK。點擊 PPSK 按鈕以新增項目。為每個租戶建立一個包含該租戶裝置 MAC 位址與唯一密碼的 PPSK 項目。請確保該密碼與您路由器設定中正確的 VLAN 相關聯。請注意,2.4GHz 和 5GHz 的 PPSK 設定檔在 VigorAPs 上是分開管理的。

最佳實踐

以下建議反映了 Purple 在 80,000 多個場所的部署經驗,其中包括 餐旅零售醫療保健 以及 交通運輸 環境。

所有 VigorAPs 請使用有線回傳。 無線分佈系統 (WDS) 和通用中繼模式無法傳遞 802.1Q VLAN 標籤。如果您需要進行網路區隔 - 在任何多租戶或混合用途的場所中這都是必須的 - 每個無線基地台都必須透過乙太網路連接到路由器或網管型交換器。

啟用 AP 輔助漫遊 (AP-Assisted Mobility)。DrayTek VigorAP 支援預先驗證 (Pre-Authentication) 和 PMK 快取 (PMK Caching),以在用戶端在存取點之間漫遊時加速 802.1X 重新驗證。啟用 AP 輔助漫遊以主動斷開訊號強度弱的用戶端,強迫其連接至最近的 AP。這在顧客持續移動的零售環境中尤為重要。

在部署前規劃您的 VLAN 方案。部署後變更 VLAN ID 需要重新設定路由器、所有存取點以及路徑中的任何網管型交換器。在接觸硬體之前,請先記錄您的方案(例如:訪客使用 VLAN 10、員工使用 VLAN 20、租戶使用 VLAN 30+)。

同步 DrayTek 與 Purple 之間的工作階段逾時時間。如果 DrayTek 熱點設定檔在 6 小時後結束工作階段,而 Purple 的工作階段設定為 24 小時,使用者將在工作階段中途被重新導向至 Splash Page。請將兩者設為相同的值。

針對 PPSK 部署停用 MAC 隨機化。iOS 和 macOS 裝置預設會使用專用 Wi-Fi 位址(隨機化 MAC)。由於 DrayTek PPSK 會將密碼綁定到特定的 MAC 位址,隨機化將導致驗證失敗。請指示使用者針對您的網路停用此設定,或在您的上線流程中清楚記錄此步驟。

在 VigorAP 上使用頻段導引 (Band Steering)。啟用頻段導引以引導支援雙頻的裝置使用 5GHz 頻段。這可以減少 2.4GHz 頻段的擁塞,並提高所有已連線裝置的吞吐量。

如需深入瞭解企業無線安全架構,請參閱我們的指南 Enterprise WiFi Security: A Complete Guide for 2026 。如果您是在包含不同硬體廠商的多個站點進行部署,我們的 SonicWall TZ and SonicWave Integration with Purple WiFi 指南涵蓋了類似的整合模式。

疑難排解與風險緩釋

Splash Page 無法載入。最常見的原因是 Walled Garden 設定不完整。請驗證 Dest Domain 索引標籤中是否列出了所有必要的 Purple 網域。同時確認訪客 DHCP 整合池已啟用,且預先驗證的用戶端能正常進行 DNS 解析。請透過連接裝置並嘗試瀏覽已知的 HTTP URL 來進行測試。

RADIUS 驗證失敗。請檢查共用密鑰 (Shared Secret) 是否拼寫錯誤(區分大小寫)。確認 DrayTek 路由器已連接至網際網路,且未阻擋連接埠 1812 和 1813 上的輸出 UDP 流量。確認套用 RADIUS 設定後已重新啟動路由器。檢查 Purple 控制面板中的驗證記錄,以確認請求是否已到達 Purple 的伺服器。 客戶端被分配到錯誤的 VLAN。 請驗證 DrayTek 路由器與 VigorAP 之間的中繼埠(trunk port)設定。交換器連接埠必須允許特定的 VLAN 標籤。如果您使用的是無管理功能交換器,請確認它能傳遞 802.1Q 標記框架且未剝離標籤。檢查 PPSK 設定檔以確認密碼與 VLAN 的對應關係是否正確。

黏性用戶端未漫遊。 如果裝置未如預期在 VigorAP 之間漫遊,請驗證是否已啟用 AP 輔助行動功能(AP-Assisted Mobility),且 RSSI 閾值已針對您的場域進行適當設定。同時請確認所有 VigorAP 皆運行相同的韌體版本,因為版本不一致可能會影響漫遊行為。

iOS 裝置 PPSK 驗證失敗。 請確認使用者已在 設定 > WiFi > [網路名稱] > 專用 WiFi 位址 中針對您的特定網路停用了「專用 WiFi 位址」。PPSK 設定檔必須包含裝置的真實硬體 MAC 位址。

投資報酬率(ROI)與商業影響

將 DrayTek 硬體與 Purple 結合部署,可在營運效率、數據擷取和合規性三個方面帶來可衡量的回報。

營運效率。 802.1X 驗證消除了管理共用 WiFi 密碼的開銷。當員工離職時,您只需在 Microsoft Entra ID、Okta 或 Google Workspace 中停用其帳戶,Purple 的 RADIUS 伺服器便會立即停止接受其憑證,無需在整個場域中輪換密碼。對於擁有 50 家分店的零售連鎖店而言,單是這一項每年就能減少數百小時的 IT 額外開銷。

數據擷取與行銷投資報酬率。 每一位透過 Purple Captive Portal 連線的訪客都會提供經驗證的身份資訊——電子郵件地址、電話號碼或社群個人檔案。這些第一方數據會直接匯入 Purple 的 WiFi Analytics 平台,您可以在該平台追蹤停留時間、重複造訪率和行銷活動參與度。Purple 已在其網路中收集了 290 億個數據點。使用 Purple Engage 方案的場域報告指出,透過針對性的造訪後溝通,重複造訪率有了顯著增長。

合規性。 Purple 已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範,並獲得 Cyber Essentials 認證。Captive Portal 強制執行自願選擇加入(conscious-choice opt-ins),確保數據收集符合 GDPR 要求。VLAN 區段將付款卡環境與訪客流量隔離,以支援 PCI DSS 合規性。對於醫療保健機構,患者與訪客的網路隔離符合 NHS 和 ICO 的數據處理指南。

如欲詳細了解 Purple 如何在場域環境中推動以數據分析為導向的決策,請參閱我們的 WiFi Analytics platform overview

關鍵定義

Captive Portal

一個攔截使用者 HTTP 流量的網頁,在授予網路存取權限之前,需要進行互動(例如登入、接受條款或提交數據)。

Purple 用於在 DrayTek Hotspot Web Portal 上收集第一方訪客數據的機制。透過 DrayOS 中的外部伺服器傳送入口網站方法進行設定。

RADIUS

遠端使用者撥入驗證服務。一種網路協定,為網路存取提供集中式的驗證、授權和計費 (AAA)。

DrayTek 路由器將驗證請求發送到 UDP 連接埠 1812 上的 Purple RADIUS 伺服器,並將計費數據發送到連接埠 1813。雙方的共用金鑰必須一致。

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準。要求裝置在被授予網路存取權限之前,必須先向 RADIUS 伺服器進行驗證。

用於 DrayTek 硬體上的員工 WiFi。免除了共用密碼,並可透過身分識別提供者撤銷個別使用者的存取權限。

VLAN

虛擬區域網路。一種邏輯網路區段,即使在裝置共用相同實體基礎設施的情況下,也能在第 2 層隔離流量。

用於 DrayTek Vigor 路由器,以區隔訪客、員工和租戶流量。路由器與 VigorAP 之間需要 802.1Q 中繼連接埠。

Walled Garden

一組未經驗證的使用者在完成 Captive Portal 流程之前可以存取的網域或 IP 範圍。

在 DrayTek Hotspot 設定檔的 Dest Domain 索引標籤中設定。必須包含 Purple 的驗證伺服器以及用於登入的任何身分識別提供者網域。

PPSK

個人預共用金鑰。一種安全方法,其中每個使用者或裝置都會分配到一個唯一的密碼金鑰,而不是共用單一網路密碼。

用於 DrayTek VigorAP,以將多租戶裝置分配到特定的 VLAN。密碼金鑰會與裝置的 MAC 位址綁定。

AP 輔助漫遊 (AP-Assisted Mobility)

一項 DrayTek VigorAP 功能,可監控用戶端訊號強度,並主動斷開低於定義 RSSI 閾值的用戶端連線,促使其漫遊到較近的存取點。

對於使用者在場地內移動的零售和餐飲旅宿業部署至關重要。可防止因客戶端黏滯行為(sticky client)導致 Captive Portal 工作階段中斷。

PEAP

受保護的擴充驗證協定。一種 802.1X EAP 方法,將驗證交換封裝在 TLS 通道中,以保護傳輸中的憑證。

用於 DrayTek 硬體上員工 WiFi 的 EAP 方法。與 MS-CHAPv2 結合,作為 Windows、macOS、iOS 和 Android 裝置的內部驗證方法。

動態 VLAN 分配 (Dynamic VLAN assignment)

一種機制,其中 RADIUS 伺服器在 Access-Accept 訊息中傳回 VLAN 屬性,而網路裝置會自動將已驗證的用戶端分配到指定的 VLAN。

Purple 的 RADIUS 伺服器會傳回 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 屬性。DrayTek 路由器會根據使用者身分套用 VLAN 分配。

範例

一間擁有 150 間客房的精品酒店正在部署一台 DrayTek Vigor 2865 路由器和六台 VigorAP 903 基地台。他們需要提供具備數據收集功能、帶有品牌標識的 Guest WiFi,為 40 名員工提供安全的 Staff WiFi,並為租用的地面層餐廳提供一個隔離的網絡。該酒店的 IT 經理此前從未配置過 802.1X。

IT 經理在 Vigor 2865 上創建了三個 VLAN:用於訪客的 VLAN 10(192.168.10.0/24)、用於員工的 VLAN 20(192.168.20.0/24),以及用於餐廳的 VLAN 30(192.168.30.0/24)。這三個網段之間已禁用 Inter-LAN 路由。所有六台 VigorAP 903 設備均通過以太網連接,並通過路由器上的 Central AP Management 進行管理。廣播三個 SSID:「Hotel Guest」(VLAN 10,Hotspot Web Portal 指向 Purple)、「Hotel Staff」(VLAN 20,WPA2/802.1X 指向 Purple RADIUS)和「Restaurant」(VLAN 30,WPA2-PPSK,使用餐廳 POS 設備專用的密碼)。餐廳的 PPSK 條目將 POS 的 MAC 位址綁定到 VLAN 30。IT 經理向 Purple 註冊了酒店的 Microsoft Entra ID 租戶,使員工能夠使用其現有的公司憑據進行身份驗證。Walled Garden 已配置所有必要的 Purple 網域。重啟路由器後,IT 經理測試了每個 SSID,並通過路由器的 DHCP 租約表確認了正確的 VLAN 分配。

考官評語: 此配置正確地將三個不同的用戶群體分隔開,並為每個群體使用了適當的身份驗證方法。訪客使用 Captive Portal 進行數據收集和符合 GDPR 規範的選擇加入。員工使用 802.1X 進行基於憑據的訪問,該訪問與其現有的身份提供商綁定,從而無需單獨的密碼。餐廳使用 PPSK 來隔離 POS 設備,而無需在無螢幕硬體上配置 802.1X 客戶端。有線回傳確保了 VLAN 標記在整個網絡中得以保留。

一間擁有 80 家門市的零售連鎖店正遭遇 Captive Portal 完成率低下的問題。分析數據顯示,連接到 Guest WiFi SSID 的顧客中有 40% 從未到達 Splash Page。該連鎖店使用的是 DrayTek Vigor 2865 路由器和 VigorAP 912C 基地台。門市佈局較大,在樓層兩端均設有基地台。

網絡管理員調查了兩個根本原因。首先,他們使用 DrayTek 的中央管理平台 VigorACS 3 審查了所有 80 個站點的 Walled Garden 配置。他們發現有 23 個站點缺少兩個必需的 Purple 身份驗證網域,導致這些網絡上的顧客在打開 Splash Page 時發生超時。他們通過 VigorACS 3 集中更新了 Hotspot 設定檔。其次,他們在所有 VigorAP 上啟用了 AP-Assisted Mobility,並將 RSSI 閾值設置為 -75 dBm。這會強制顧客的設備在門市內移動時漫遊到最近的 AP,從而避免了導致 Captive Portal 會話在身份驗證過程中斷開的黏性客戶端(Sticky Client)問題。在進行這兩項更改後,整個連鎖店的 Portal 完成率從 60% 提高到 89%。

考官評語: 此示例說明了兩種不同的故障模式,它們均表現為低 Portal 完成率。Walled Garden 配置錯誤會導致 Splash Page 完全無法載入。黏性客戶端行為會導致會話在中途斷開。通過 VigorACS 3 進行集中管理是多站點物業的正確方法——手動單獨審查 80 台路由器是不切實際的。AP-Assisted Mobility 是 DrayTek 特有的解決漫遊問題的機制;在零售環境中,依賴客戶端點的漫遊決策是不可靠的。

練習題

Q1. 您已設定 DrayTek Hotspot Web Portal 並將其指向 Purple 的存取 URL。RADIUS 設定皆正確。然而,當用戶端連線到 Guest WiFi SSID 時,他們的瀏覽器回報連線逾時,且 Splash Page 從未載入。最可能的原因是什麼?診斷的第一步又是什麼?

提示:預先驗證狀態下的用戶端,其網路存取權限受到嚴格限制。請思考路由器在驗證完成前允許哪些流量通過。

查看標準答案

最可能的原因是 Walled Garden 設定不完整或遺失。DrayTek 路由器會阻擋來自未驗證用戶端的所有流量,但「Dest Domain」分頁中明確列出的網域除外。如果未列出 Purple 的驗證網域,用戶端的瀏覽器就無法連線到 Splash Page 伺服器。診斷的第一步是導覽至 Hotspot Profile,點選進入「Dest Domain」分頁,並確認所有必要的 Purple 網域皆存在。請對照說明文件中的 Purple Walled Garden 網域白名單。第二個檢查步驟是確認預先驗證的用戶端其 DNS 解析是否正常。

Q2. 一個共享工作空間有 12 家會員公司,共用一台 DrayTek Vigor 2865 和四台 VigorAP 912C 存取點。每家公司都需要與其他公司隔離,但空間管理員希望只廣播一個 SSID,以避免會員裝置上的 WiFi 清單過於雜亂。您該如何規劃此架構?

提示:請思考 DrayTek 如何在單一 SSID 上處理唯一的密碼,以及需要哪些額外設定來強制執行公司之間的隔離。

查看標準答案

在 VigorAP 上設定 WPA2-PPSK 並使用單一 SSID。在 Vigor 2865 上建立 12 個 VLAN(每家公司一個)。為每家公司建立一個 PPSK 條目,將唯一的密碼綁定到該公司的裝置 MAC 位址,並將其分配給其專屬的 VLAN。在「Inter-LAN Routing Table」中停用跨 VLAN 路由,以防止公司之間的流量互通。每家公司的裝置使用其唯一的密碼連線到同一個 SSID,VigorAP 會自動將其歸入其隔離的 VLAN 中。對於擁有複數裝置的公司,每個裝置都需要有自己的 PPSK 條目,其中包含其特定的 MAC 位址和共享的公司密碼。

Q3. 在對 DrayTek Vigor 2865 進行例行韌體更新後,員工回報他們的筆記型電腦無法再連線到 Staff WiFi SSID。該 SSID 可見,但驗證失敗。Guest WiFi 仍可正常運作。最有可能的三個原因是什麼?您應該按什麼順序進行調查?

提示:Guest WiFi 使用與 Staff WiFi 不同的驗證機制。請隔離出 802.1X 協定疊中的哪一層發生故障。

查看標準答案

最有可能的三個原因為:(1) 韌體更新重設了 WPA2/802.1X SSID 的 RADIUS 伺服器設定 — 請導覽至 Wireless LAN > Security,確認 RADIUS 伺服器 IP 和共用金鑰仍正確無誤,若有變更請重新啟動。(2) 韌體更新變更了 EAP 方法或 RADIUS 連接埠設定 — 請驗證連接埠 1812 是否仍有設定,以及路由器是否能透過該連接埠連線到 Purple 的 RADIUS 伺服器。(3) 韌體更新導入了憑證變更,導致用戶端裝置上的 EAP-TLS 驗證失敗 — 請檢查 Purple 控制面板中的驗證記錄,查看請求是否已到達伺服器。請按以下順序進行調查:先檢查 RADIUS 設定(韌體更新後最常見的問題),接著檢查與 RADIUS 伺服器的網路連線,最後檢查憑證或 EAP 方法問題。

繼續閱讀本系列

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本權威指南詳細介紹 Cisco Catalyst 9800 WLC 與 Purple WiFi 的逐步整合。內容涵蓋用於訪客 Captive Portal 的外部網頁驗證、用於員工安全存取的 802.1X EAP-TLS,以及用於多租戶動態 VLAN 隔離的 Cisco iPSK。

閱讀指南 →

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →