EnGenius 與訪客 WiFi：使用 Purple 設定 Captive Portal

播客腳本：EnGenius Cloud 基地台與 Purple WiFi 整合 Purple WiFi 智慧平台 - 技術簡報系列 時長：約 10 分鐘 配音：英式英語，資深顧問口吻 - 自信、口語、權威 [片頭 - 1 分鐘] 歡迎收看 Purple 技術簡報系列。今天我們要探討的是企業部署中經常遇到的主題：將 EnGenius Cloud 基地台與 Purple 的訪客 WiFi 平台進行整合。 如果您正在運營 EnGenius 設備，不論是飯店、連鎖零售店還是多租戶辦公大樓中的 ECW 系列基地台，並且您希望加入自訂品牌的 Captive Portal、收集第一方訪客數據並執行適當的網路分段，那麼本期簡報非常適合您。 在接下來的十分鐘內，我將帶您了解四個核心配置領域：訪客 Captive Portal 重新導向、Walled Garden（圍牆花園）設定、使用 802.1X 的安全員工 WiFi，以及使用 EnGenius MyPSK 搭配動態 VLAN 分配的多租戶隔離。最後，您將清楚了解具體要配置什麼、以什麼順序配置，以及常見的陷阱在哪裡。 讓我們開始吧。 [技術深挖 - 5 分鐘] 我們首先從訪客 Captive Portal 開始，這是任何場所營運商最常見的起點。 EnGenius Cloud 原生支援外部登入頁面。這意味著您不需要在基地台本機上託管基本的登入頁面，而是將未經身分驗證的訪客重新導向至 Purple 的雲端託管入口網站。這就是品牌形象、數據擷取、同意管理和分析功能運作的地方。 以下是 EnGenius Cloud 中的設定步驟。登入您的 EnGenius Cloud 管理介面，導覽至「Configure」（配置），然後選擇「SSID」。選擇您的訪客 SSID。在「Wireless」（無線）索引標籤下，根據您的偏好將安全性類型設定為「Open」或「WPA2 PSK」。「Open」是大多數訪客 WiFi 部署的標準設定。接著切換至「Captive Portal」索引標籤。啟用 Captive Portal，並將「Authentication Type」（驗證類型）設定為「Custom RADIUS」。這是關鍵設定。它會指示基地台將驗證請求轉發到外部 RADIUS 伺服器，在此範例中即為 Purple 的雲端 RADIUS 端點。 現在輸入 Purple 的 RADIUS 詳細資訊。主要 RADIUS 伺服器 IP 位於 Purple 管理介面的「Hardware Configuration」（硬體配置）下。驗證連接埠為 UDP 1812。計費連接埠為 UDP 1813。輸入共用金鑰。Purple 會為您生成此金鑰，長度應至少為 22 個字元，且包含大小寫字母、數字和符號。將 NAS 識別碼設定為與您的場所名稱或您在 Purple 中定義的唯一識別碼相符。 接下來，切換到 Splash Page 標籤頁。選擇 External Splash Page URL 並輸入 Purple 傳送門 URL。這是 Purple 為您的特定場域提供的 URL。當訪客連線至 SSID 並開啟瀏覽器時，存取點會攔截請求並將其重新導向至此 URL，同時傳遞包括用戶端 MAC 位址、AP MAC 位址以及訪客原本嘗試存取的原始 URL 等參數。 現在來設定 walled garden。這是訪客在進行驗證前可以存取的網域和 IP 位址清單。如果沒有它，Purple 傳送門本身將無法載入，因為訪客的瀏覽器無法連線至 Purple 的伺服器。在 EnGenius Cloud 中，walled garden 位於 Captive Portal，然後是 Advanced Settings，接著是 Walled Garden。您需要新增 Purple 傳送門網域、Purple 的 CDN 端點以及作業系統 captive portal 探測端點。Apple 裝置為 captive.apple.com。Android 為 connectivitycheck.gstatic.com。Windows 為 msftconnecttest.com。遺漏其中任何一個，這些平台上的訪客將完全看不到傳送門。 如果您提供透過 Google 或 Facebook 的社群登入，您還需要將這些提供者的 OAuth 端點加入允許清單。Google 至少需要 accounts.google.com、oauth2.googleapis.com 和 apis.google.com。Facebook 則需要 www.facebook.com、graph.facebook.com 和 connect.facebook.net。Purple 的支援文件為每種驗證方法提供了最新的 walled garden 清單。請以此作為您的參考，因為這些網域確實會發生變化。 現在讓我們轉到使用 802.1X 的安全員工 WiFi。 這是一個獨立的 SSID。此處的安全類型為 WPA2 Enterprise 或 WPA3 Enterprise。在 EnGenius Cloud 的 SSID Wireless 標籤頁下，選擇 WPA2 Enterprise，然後選擇 Custom RADIUS。輸入相同的 RADIUS 伺服器詳細資訊 - Purple 的 RADIUS 端點、連接埠 1812 和共用金鑰。與訪客設定不同的是，這裡沒有 captive portal。員工裝置使用 IEEE 802.1X 協定進行無感驗證。裝置向 RADIUS 伺服器提供憑證或使用者名稱和密碼，伺服器對其進行驗證並傳回 Access-Accept 訊息以及 VLAN 分配屬性。 驅動動態 VLAN 分配的 RADIUS 屬性為：Tunnel-Type 設定為 VLAN、Tunnel-Medium-Type 設定為 802，以及 Tunnel-Private-Group-ID 設定為 VLAN 編號。因此，如果您的員工 VLAN 是 VLAN 20，RADIUS 伺服器會傳回值為 20 的 Tunnel-Private-Group-ID。EnGenius 存取點會讀取此屬性並自動將已驗證的裝置分配到 VLAN 20。這意味著您可以擁有一個 SSID 為多個員工角色（財務、營運、IT、承包商）提供服務，每個人根據其目錄群組成員身分落入不同的 VLAN，而無需對每台裝置進行任何手動 VLAN 設定。對於 EAP 方法，PEAP-MSCHAPv2 是使用 Active Directory 或 Microsoft Entra ID 環境中最常見的選擇。它需要在 RADIUS 伺服器上安裝伺服器端憑證，並在用戶端上使用使用者名稱與密碼憑證。EAP-TLS 安全性更高，它在雙邊都使用憑證，但需要 PKI 基礎架構和 MDM 部署才能將憑證推送到裝置。對於大多數場域營運商而言，透過群組原則或 MDM 強制執行嚴格憑證驗證的 PEAP-MSCHAPv2 是更切合實際的選擇。 現在來到技術上最有趣的部分：EnGenius MyPSK 與多租戶隔離。 MyPSK（也稱為 PPSK 或 Private Pre-Shared Key）解決了多租戶環境中的特定問題。在以租代售的住宅開發案、商務中心或學生宿舍中，您會希望每位租戶或住戶都有自己專屬的 WiFi 密碼。但您不希望為每個租戶建立一個單獨的 SSID，因為這會造成射頻擁塞並增加管理開銷。 MyPSK 允許您為每個 SSID 建立最多 500 個專屬的預共用金鑰。每個金鑰都與特定的 VLAN 綁定。當住戶使用其專屬金鑰連線時，基地台會自動將其置於指定的 VLAN 中。租戶 A 的流量絕不會接觸到租戶 B 的網路區段。加密也是針對每位使用者的，每個金鑰都會產生一個專屬的成對主金鑰 (Pairwise Master Key)，因此即使共享同一個 SSID，一個租戶也無法解密另一個租戶的空中傳輸流量。 在 EnGenius Cloud 中，您可以在 SSID 安全性設定下設定 MyPSK。選擇 WPA2 PSK 或 WPA3 Personal，然後啟用 MyPSK。接著，您可以個別建立 PSK，或一次自動批次產生最多 50 個。對於每個 PSK，您可以分配一個 VLAN ID，並可選擇設定到期日。當租期結束或學生畢業時，您只需讓其 PSK 到期或將其刪除即可。存取權限會立即被撤銷，且不會影響任何其他租戶。 在 MyPSK 環境中進行 Purple 整合時，面向訪客的租戶仍然可以透過其 VLAN 上的 Captive Portal 進行引導。員工和營運租戶則完全繞過 Portal。VLAN 分割確保了 Purple 的分析數據能夠正確歸因至每個網路區段。 [實施建議與常見陷阱 - 2 分鐘] 讓我為您提供我所建議的乾淨首次部署實施順序。 在接觸 WiFi 設定之前，請先從您的 VLAN 架構開始。將 VLAN 10 定義為訪客，VLAN 20 定義為員工，VLAN 30 定義為租戶，或者任何符合您現有方案的編號。首先在您的 ECS 交換器上設定這些 VLAN，並分配適當的 Trunk 和 Access 埠。對於您計劃使用的每個 VLAN，基地台需要在上行鏈路埠上接收已標記 (tagged) 的流量。 然後依此順序在 EnGenius Cloud 中設定 SSID：首先是訪客 SSID，因為它最簡單。在繼續之前，請驗證向 Purple 的 Captive Portal 重新導向。然後使用 802.1X 設定員工 SSID。在部署到整個場域之前，請先用已知裝置進行測試。接著，如果您需要多租戶隔離，請設定 MyPSK。 常見陷阱。第一，Walled Garden。這是 Captive Portal 部署失敗的第一大原因。如果訪客無法連接到入口網頁，請先檢查 Walled Garden。第二，RADIUS 共用金鑰不相符。EnGenius Cloud 設定與 Purple RADIUS 伺服器設定上的共用金鑰必須完全相同。只要相差一個字元，就會導致每一次驗證靜默失敗。第三，交換器上的 VLAN Trunk 設定。如果連接到存取點的 ECS 交換器連接埠未設定為承載所有必要 VLAN 的 Trunk，則動態 VLAN 分配將會失敗。第四，802.1X 用戶端上的憑證驗證。如果員工裝置未設定為驗證 RADIUS 伺服器憑證，它們很容易因惡意存取點而遭受憑證竊取。請透過 Windows 的群組原則以及其他所有裝置的 MDM 設定檔來強制執行此驗證。 [快速問答 - 1 分鐘] 以下是關於 EnGenius 和 Purple 部署的幾個常見問題。 我可以使用 EnGenius Cloud RADIUS 代替 Purple 的 RADIUS 嗎？可以，用於內部驗證。但對於搭配 Purple 數據分析與入口網頁的訪客 WiFi，您必須指向 Purple 的 RADIUS 端點。兩者可以並存於不同的 SSID 上。 MyPSK 是否支援 WPA3？支援。EnGenius 支援 WPA3 以及搭配 MyPSK 的 WPA2/WPA3 混合模式，因此具備 WPA3 功能的裝置可獲得 SAE 驗證，而較舊的裝置則退回到 WPA2 PSK，所有裝置均使用相同的每用戶金鑰。 Purple 是否支援工作階段資料的 RADIUS 計費？支援。請在 EnGenius Cloud 的 RADIUS 設定中啟用計費伺服器，並指向 UDP 1813 上的 Purple 計費端點。這會將工作階段持續時間和資料傳輸量傳送到 Purple 的數據分析中。 [總結與後續步驟 - 1 分鐘] 總結來說。EnGenius Cloud 存取點透過四個設定層與 Purple 的訪客 WiFi 平台無縫整合。訪客 Captive Portal 重新導向使用自訂 RADIUS 以及指向 Purple 的外部 Splash Page URL。Walled Garden 白名單可確保在驗證前載入入口網頁。員工 WiFi 使用 WPA2 企業級與 802.1X，並透過 RADIUS 屬性進行動態 VLAN 分配。而多租戶隔離則使用 EnGenius MyPSK 來分配綁定到特定 VLAN 的專屬每用戶金鑰，並可針對限時存取設定選用的到期日。 Purple 在 80,000 個場所中運作，僅在 2024 年就處理了 4.4 億次登入。該平台已通過 ISO 27001 認證，符合 GDPR 規範，且不限硬體，這正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus 和其他企業級硬體生態系統無縫協作的原因。如果您已準備好進行部署，請先閱讀 Purple 支援文件中的 walled garden 設定指南，然後在 EnGenius Cloud 中進行 SSID 設定。完整的分步指南可在 purple.ai 取得。感謝您的收聽。