跳至主要內容
繁體中文

Fortinet FortiAP 與 Purple WiFi 整合指南

將 Fortinet FortiAP 和 FortiGate 基礎架構與 Purple WiFi 整合的權威技術參考指南。本指南涵蓋外部 Captive Portal 設定、與 FortiAuthenticator 共存的 RADIUS 驗證,以及適用於餐旅、零售和公共部門環境中企業部署的安全策略設計。

📖 7 分鐘閱讀📝 1,552 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎閱讀 Purple 架構簡報。今天我們將深入探討企業網路的一項關鍵整合:將 Purple WiFi 與 Fortinet 基礎架構(特別是 FortiAP 存取點和 FortiGate 防火牆)協同部署。如果您是管理場域(不論是零售連鎖店、體育場還是醫院)的 IT 經理、網路架構師或 CTO,本篇內容旨在為您提供實用的藍圖,讓這兩個強大的平台能無縫協作。 讓我們言歸正傳。Fortinet 以其強健的安全防護聞名。FortiGate 統一威脅管理設備提供深度的 Layer 7 流量檢測。然而,在處理訪客 WiFi 時,您不僅需要安全,還需要商業價值。您希望收集客群統計數據、瞭解訪客行為並提高行銷投資報酬率。這正是 Purple 發揮作用的地方。透過將 Purple 整合為外部 Captive Portal,您可將訪客身份管理、GDPR 同意和社群登入等繁重的工作,卸載到 Purple 的雲端 RADIUS,同時讓 FortiGate 發揮其最強大的功能:守護網路邊界。 那麼,這在底層架構上究竟是如何運作的?讓我們深入探討技術細節。 此架構仰賴標準的 RADIUS 協定和 HTTP 重新導向。當訪客裝置與 FortiAP 廣播的開放式訪客 SSID 進行關聯時,FortiGate 會攔截該初始網頁請求。FortiGate 不會提供內建的、儲存在本機的基礎入口網站頁面,而是將用戶端重新導向到 Purple 託管於雲端的 Splash 頁面。 現在,這裡有一個關鍵概念:Walled Garden(圍牆花園)。在完成此身分驗證之前的階段,訪客是無法存取網際網路的。但他們需要載入入口網站的圖片,且可能需要連線至 Facebook 或 Google 進行登入。Walled Garden 是在 FortiGate 上設定的嚴格允許清單,其允許流量傳送到這些特定的網域。使用者完成驗證後,Purple 的平台會向 FortiGate 回傳 RADIUS Access-Accept 訊息。接著,FortiGate 會切換開關,將工作階段狀態變更為「已驗證」,並將該使用者放入您驗證後的防火牆策略中。 讓我們更詳細地討論 RADIUS 設定,因為這需要精準無誤。Purple 會為您提供兩組 RADIUS 憑證:一組用於連接埠 1812 的驗證,另一組用於連接埠 1813 的記帳。兩者都必須進行設定。記帳伺服器並非選用。FortiGate 正是透過此機制將工作階段數據(持續時間、已消耗的頻寬以及工作階段終止事件)回報給 Purple。如果沒有準確的記帳數據,您的 Purple 分析儀表板將會顯示不完整或不準確的訪客指標。請將您的記帳過渡期(interim interval)設為 120 秒。這能在即時可見性與網路開銷之間取得良好的平衡。 一個非常常見的情境涉及 FortiAuthenticator。許多企業使用 FortiAuthenticator 來管理其員工 WiFi — 利用 802.1X 和 PEAP 針對 Active Directory 進行公司裝置的驗證。大家常問的問題是:我是否可以保留用於員工的 FortiAuthenticator,並同時將 Purple 用於訪客? 答案絕對是肯定的,這裡的黃金法則就是嚴格隔離。您維持員工 SSID 指向 FortiAuthenticator。並為訪客建立一個完全獨立的開放 SSID,指向 Purple 的外部 Captive Portal 與雲端 RADIUS。FortiGate 會根據 SSID 來路由驗證請求。員工身分保留在本地端的 FortiAuthenticator。訪客身分則送往 Purple 行銷雲。零交叉,最大化安全性。 這種架構在合規性方面也有顯著的好處。根據 PCI DSS 的要求,訪客 WiFi 網路必須與任何處理持卡人資料的網路區段完全隔離。藉由將訪客 SSID 放置在專屬的 VLAN 上,並在 FortiGate 上實施嚴格的防火牆原則以阻擋所有 RFC 1918 私有 IP 空間的目的地,您即可乾淨俐落地滿足此項要求。 現在讓我們進入實作建議。當您在進行此設定時,關於 IP 分配,您有一個關鍵的決定要做:NAT 模式還是 Bridge 模式。 如果您部署的是小型零售分店,可能只有 50 到 100 個並行訪客連線,那麼 NAT 模式就非常足夠了。FortiGate 會從專屬的內部子網路發放 DHCP 位址給訪客,並在流量離開防火牆時進行轉譯。這很簡單,且需要最少的分外基礎架構。 但如果您部署的是高密度環境 — 例如擁有 500 間客房的飯店、舉辦多個並行活動的會議中心,或是體育館 — 您就必須使用 Bridge 模式。在 Bridge 模式下,FortiAP 會將訪客流量直接投放到專屬的 VLAN 上,讓您的核心企業 DHCP 伺服器來處理負載。這可防止 FortiGate 在尖峰連線活動期間成為 DHCP 的瓶頸。Bridge 模式還能確保 Purple 平台看到真實的用戶端 IP 位址,這對於精確的分析和疑難排解至關重要。 讓我們來談談逐步配置的順序,因為這裡的順序非常重要。 請先從 Purple 入口網站開始。取得您的 RADIUS 伺服器憑證 — 伺服器 IP 位址、共用金鑰、Captive Portal URL 以及重新導向 URL。在調整 Fortinet 配置之前,這四個是您所需的關鍵資訊。 接著,移至 FortiCloud 儀表板或您的 FortiGate 管理介面。首先定義您的 RADIUS 伺服器 — 驗證埠為 1812,計帳埠為 1813。然後建立您的訪客 SSID,將驗證設為 Open(開放),啟用 External Captive Portal(外部 Captive Portal),並輸入 Purple 入口網站 URL 與重新導向 URL。配置您的 Walled Garden(圍牆花園)。最後,利用您的 UTM 設定檔來定義驗證後的防火牆原則。 有什麼潛在陷阱?部署通常會在哪些地方出錯? 毫無疑問,第一大問題是「Walled Garden」設定不完整。如果訪客連線後看到空白畫面或連線逾時,這幾乎總是代表 FortiGate 在進行驗證之前,阻擋了存取 Purple 的 CSS 檔案、JavaScript 資產或社群登入 API 的權限。您必須確保在該預先驗證原則中,明確允許每一個所需的網域。Purple 提供了所需網域的完整清單,請完整使用它。 此外,千萬不要忘記 DNS。必須允許未經驗證的用戶端解析 DNS 查詢,否則重新導向將完全無法運作。裝置需要先解析 Purple 的 Captive Portal 主機名稱,然後才能嘗試載入頁面。 第二個最常見的陷阱是憑證錯誤。請確保您的 FortiGate 為重新導向介面提供有效、受公開信任的 SSL 憑證。如果您使用預設的自我簽署憑證,現代的 iPhone 和 Android 裝置將會彈出嚴重的安全性警告,而您的訪客將會完全放棄連線。在極度重視訪客體驗的旅宿業環境中,這是一個特別嚴重的問題。 第三個陷阱是 RADIUS 逾時錯誤。如果 Portal 可以載入,但驗證一直失敗,請確認您的 FortiGate 設定與 Purple Portal 之間的共用金鑰(shared secrets)完全一致。即使只有一個字元的差異,也會導致所有驗證嘗試以靜默方式失敗。同時也請確認,在您的 Fortinet 基礎架構與 Purple 的雲端 RADIUS 伺服器之間,沒有任何中介防火牆阻擋 UDP 連接埠 1812 和 1813。 最後,讓我們根據客戶最常提出的問題,進行快速問答環節。 問題一:使用 Purple 會繞過我的 FortiGate 安全性原則嗎?絕對不會。Purple 負責處理驗證和身分識別擷取。一旦通過驗證,所有訪客流量都會流經 FortiGate 的驗證後原則。這正是您套用 FortiGuard 網頁過濾、阻擋點對點流量以及限制頻寬的地方。您可以這樣想:預先驗證是放行的,以便進行登入;驗證後則是限制性的,以保護網路安全。 問題二:我需要部署本地 RADIUS 伺服器嗎?不需要。Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您只需將 FortiGate 設定為直接指向 Purple 的雲端 RADIUS IP 位址。不需要為訪客網路部署和維護 FreeRADIUS、Windows NPS 或任何其他本地 RADIUS 基礎架構。 問題三:Purple 可以與 FortiWLM 搭配使用嗎?可以。整合方式是一致的——在 FortiWLM 控制器中設定外部 Captive Portal URL、RADIUS 伺服器憑據和 Walled Garden,遵循與 FortiGate 設定相同的邏輯順序。 問題四:GDPR 合規性如何處理?Purple 在 Captive Portal 層級獲取明確的同意,在驗證前向使用者呈現您的條款與細則以及資料處理通知。此同意數據儲存於 Purple 平台內並可供稽核。FortiGate 的角色純粹是執行網路策略 — 它不需要直接處理同意數據。 總結一下今天簡報的關鍵要點。 第一:絕對隔離您的員工與訪客 SSID。員工使用 FortiAuthenticator 搭配 802.1X。訪客則使用 Purple 搭配外部 Captive Portal。 第二:精心設定您的 Walled Garden。這是最常見的故障點,也是最重要的驗證前設定要素。 第三:在任何高密度部署中使用 Bridge 模式,以避免 DHCP 瓶頸並確保準確的用戶端 IP 可見性。 第四:同時設定 RADIUS 驗證和計費(Accounting)伺服器。如果您想要有意義的分析數據,計費功能是不可或缺的。 第五:在驗證後利用 Fortinet 的 UTM 功能。網頁過濾、應用程式控制和頻寬整形都應套用於驗證後的防火牆原則中。 透過正確執行此整合,您可以將訪客 WiFi 從成本中心轉變為合規、安全且能創造收益的資產。對於任何想要認真對待訪客體驗與數據策略的場域營運商而言,Fortinet 的安全深度與 Purple 的行銷情報相結合,確實非常強大。 感謝收聽 Purple 架構簡報。如果您想討論特定的部署需求,請造訪 purple.ai 與解決方案團隊聯繫。

header_image.png

執行摘要

對於運行 Fortinet 基礎架構的企業 IT 團隊而言,在維持嚴格安全態勢的同時,整合外部 Captive Portal 以進行訪客存取是一項常見的需求。Fortinet FortiAP 無線基地台、FortiGate 統一威脅管理 (UTM) 設備與 Purple WiFi 平台之間的整合,使企業能夠將訪客驗證與核心網路安全解耦。本指南為技術架構師和 IT 經理提供了在 Fortinet 環境中將 Purple 部署為外部 Captive Portal 的權威藍圖。透過將訪客身分管理卸載至 Purple 的雲端 RADIUS,網路團隊可以利用 Fortinet 強大的 Layer 7 安全策略進行流量檢查,同時獲取第一方客群數據以創造商業價值。無論是部署在分散的零售據點還是高密度的體育場館,此架構都能在確保符合 PCI DSS 和 GDPR 的同時,提供無縫的 Guest WiFi 體驗。

技術深度解析

Fortinet 與 Purple 之間的架構整合依賴於標準 RADIUS 協定和 HTTP 重新導向機制。當訪客裝置與 FortiAP 廣播的指定開放 SSID 建立關聯時,FortiGate 會攔截初始的 HTTP/HTTPS 請求。FortiGate 並非提供本機 Captive Portal,而是設定為將用戶端重新導向至 Purple 的雲端託管 Splash Page。

在此預先驗證階段,FortiGate 會執行 Walled Garden(圍牆花園)——一項嚴格的 IP 位址和網域允許清單,允許用戶端裝置載入 Captive Portal 資源、進行社群登入並存取基本服務(例如 DNS),而無需授予完整的網際網路存取權限。一旦使用者在 Purple 入口網站上通過驗證,Purple 平台就會透過 RADIUS Access-Accept 訊息與 FortiGate 進行通訊。接著,FortiGate 會將用戶端的工作階段狀態從未驗證轉換為已驗證,並套用適當的驗證後防火牆策略。

architecture_overview.png

RADIUS 共存:Purple 與 FortiAuthenticator

在 Fortinet 的架構設計中,常見的挑戰是在已部署 FortiAuthenticator (FAC) 作為企業身分驗證的情況下,如何同時管理訪客存取與員工身分驗證。對此,我們強烈建議採用絕對的 SSID 隔離方案。員工裝置連線至使用 IEEE 802.1X(通常為 PEAP 或 EAP-TLS)的安全 SSID,並直接透過 FortiAuthenticator 進行身分驗證。相反地,訪客裝置則連線至設定為外部 Captive Portal 重新導向的開放式 SSID,並透過 Purple 的雲端 RADIUS 架構進行身分驗證。

這種隔離機制可確保對 WiFi Analytics 至關重要的訪客身分資料完全在 Purple 平台內進行管理,而企業的 Active Directory 認證資訊則繼續安全地由地端的 FortiAuthenticator 處理。FortiGate 會獨立處理這兩個流量來源的路由與原則實施,確保訪客 VLAN 與企業 VLAN 之間達到零交叉。此架構亦符合 PCI DSS 對於網路分段的要求,因為訪客流量在實體與邏輯上皆與任何支付處理架構完全隔離。

實作指南

部署 FortiAP 與 Purple 的整合方案,需要對 Purple 管理平台與 Fortinet 架構進行協調一致的設定。以下步驟說明了使用 FortiCloud AP 管理進行成功部署的關鍵路徑。

步驟 1:網路與 RADIUS 設定

首先在 FortiCloud 儀表板中定義網路。導覽至 Configure > My RADIUS Server,並使用 Purple 管理平台中提供的憑證資訊,定義驗證伺服器(連接埠 1812)與計費伺服器(連接埠 1813)。這兩台伺服器皆必須設定——計費功能並非選用。Purple 需依賴 RADIUS 計費資料,才能將工作階段持續時間、頻寬消耗及訪客頻率指標填入 WiFi Analytics 儀表板中。請將計費過渡期間隔(Accounting Interim Interval)設為 120 秒,以實現即時的可視性。

步驟 2:SSID 與 Captive Portal 定義

建立一個專用於訪客存取的全新 SSID。將驗證方法設為「Open」並啟用 Captive Portal 功能,然後選擇外部或自訂 Portal 選項。您必須輸入 Purple 管理平台設定畫面上提供的專屬存取 URL(Access URL)與重新導向 URL(Redirect URL)。

圍牆花園(Walled Garden)設定是整個部署過程中最關鍵的步驟。您必須輸入 Purple 要求的完整網域清單,以確保社群登入提供商(Facebook、Google、X)以及必要的 Portal 資源能在驗證前正確載入。若未能精確設定圍牆花園,將會導致驗證流程中斷,因為用戶端裝置將無法存取必要的外部資源。此外,請確保在驗證前原則中已明確允許 DNS 流量(UDP 連接埠 53)。

步驟 3:IP 分配 — NAT 模式對比橋接模式

定義 SSID 時,您必須選擇使用 NAT 模式或橋接模式來進行 IP 分配。

deployment_comparison.png

在 NAT 模式下,FortiGate 會從專用的內部子網路向訪客裝置提供 DHCP 位址,並在流量離開防火牆時轉換這些位址。這適用於較簡單的部署或較小的 零售 分店環境,此時由 FortiGate 管理整個訪客子網路。

在橋接模式下,FortiAP 會直接將訪客流量橋接到特定的 VLAN,並由外部 DHCP 伺服器分配 IP 位址。強烈建議在 旅宿餐飲 場所或 交通運輸 樞紐等高密度環境中使用橋接模式,因為它為 IP 位址管理提供了更大的彈性,能防止 FortiGate 上的 DHCP 瓶頸,並允許 Purple 平台查看真實的用戶端 IP 位址,以進行更精細的分析與排錯。

步驟 4:驗證後防火牆策略

驗證完成後,FortiGate 必須將專用的驗證後防火牆策略套用到訪客 VLAN。此策略應引用 FortiGuard 網頁過濾 (Web Filtering) 與應用程式控制 (Application Control) 設定檔,以實施內容限制並阻擋點對點流量。套用流量整形 (Traffic Shaper) 設定檔以實施頻寬限制,防止單一訪客佔滿場地的上行鏈路。確保策略明確阻擋所有 RFC 1918 私有 IP 位址空間目的地,以防止訪客探測內部網路資源。

最佳實踐

在規劃此整合架構時,請遵守以下業界標準建議,以確保穩定性、安全性與合規性。

強制進行 VLAN 隔離:切勿將訪客 WiFi 與企業資產或 POS 系統部署在同一個 VLAN 上。必須在交換器連接埠層級強制執行嚴格的 VLAN 標記,以維持 PCI DSS 合規性。FortiGate 應將嚴格的防火牆策略套用到訪客 VLAN,阻擋所有 RFC 1918 私有 IP 位址空間目的地,以防止橫向移動。

最佳化工作階段計時器:適當設定 DHCP 租約時間與 RADIUS 計帳暫時時間間隔 (accounting interim intervals)。3600 秒的 DHCP 租約時間搭配 120 秒的計帳暫時時間間隔,能在 IP 位址保留與 Purple 儀表板內精確的即時分析報告之間,取得最佳的平衡。在認證後善用 Fortinet UTM 功能:此整合的主要優勢在於,能夠在認證後對訪客流量套用 Fortinet 的進階安全功能。設定認證後的防火牆原則,以利用 FortiGuard 網頁過濾 (Web Filtering) 和應用程式控制 (Application Control)。這能降低訪客利用場地頻寬進行惡意活動、使用 BT 下載或存取不當內容的風險,進而保護場地的公開 IP 聲譽與網際網路服務合約。

使用公開憑證:請確保 FortiGate 在重定向介面上呈現有效且受公開信任的 SSL/TLS 憑證。自簽憑證會在現代的 iOS 和 Android 裝置上觸發安全警告,進而顯著提高訪客在 Captive Portal 的流失率。

疑難排解與風險緩釋

即使經過精密設定,部署過程中仍可能遇到阻礙。了解常見的故障模式可顯著加速問題的解決。

Captive Portal 無法載入:若訪客已連線但未出現 Splash 頁面,最常見的原因是圍牆花園 (Walled Garden) 設定不完整。請驗證預先認證原則中,是否已明確允許 Purple 以及任何已設定的社群登入提供者所需的所有網域。確保未驗證的用戶端能正常進行 DNS 解析;若用戶端無法解析 Purple 的入口網站 URL,重定向將會完全失敗。

RADIUS 逾時:若入口網站成功載入但持續驗證失敗,請調查 RADIUS 傳輸路徑。驗證 FortiGate 的外部 IP 地址是否已正確註冊於 Purple 入口網站的路由器設定中。確保共用金鑰完全一致(單一字元不符即會導致無聲的驗證失敗),且中間沒有任何防火牆阻擋 Fortinet 基礎架構與 Purple 雲端 RADIUS 伺服器之間的 UDP 連接埠 1812 和 1813。

憑證錯誤:現代行動作業系統在 Captive Portal 攔截期間,對 SSL/TLS 憑證異常極為敏感。請確保 FortiGate 為重定向介面呈現有效且受公開信任的憑證,而非預設的自簽憑證。這能避免產生令人驚恐的安全警告,防止訪客因此放棄完成認證流程。

工作階段帳務數據缺失:若 Purple 分析儀表板顯示工作階段資料不完整或缺少頻寬指標,請驗證 RADIUS 帳務伺服器(連接埠 1813)是否已正確設定,且已設定帳務過渡期間 (Accounting Interim Interval)。帳務資料是與認證分開傳送的,需要其專屬的伺服器定義。

投資報酬率 (ROI) 與商業影響

Fortinet 與 Purple 的整合將標準的成本中心 —— 顧客 Wi-Fi —— 轉化為可衡量的企業資產。透過使用 Purple 的 Captive Portal,場域能獲取經驗證的人口統計數據與聯絡資訊,進而實現精準的行銷活動、會員計畫成長以及訪後重新互動。對於在 零售餐飲旅宿 領域營運的場域而言,隨著第三方 Cookie 的淘汰限制了傳統數位行銷管道,此第一方數據顯得日益珍貴。

對於 IT 營運而言,將顧客驗證轉移至 Purple 的雲端 RADIUS,能大幅減少管理本地使用者資料庫、列印實體折價券或維護地端 RADIUS 基礎設施所帶來的管理負擔。Purple 的無縫引導與 Fortinet 強大的流量檢測相結合,確保場域在提供高效能、安全的網路體驗之餘,還能透過 WiFi Analytics 同步產生具實作價值的商業智慧。此架構具備高度可擴充性,支援從單一精品飯店到分散式企業園區等各種規模,透過行銷賦能與營運效率雙管齊下,提供持續的投資報酬率。

關鍵定義

External Captive Portal

一種設定方式,網路硬體 (FortiGate/FortiAP) 會將未經驗證的使用者流量重新導向至託管於第三方雲端伺服器 (Purple) 的 Splash 頁面,而不是提供儲存在本機設備上的頁面。

IT 團隊利用此功能將 Portal 設計、社群登入 API 維護和 GDPR 同意書收集等工作轉移到專業平台,進而減輕網路團隊的營運負擔。

Walled Garden

一個明確的 IP 位址、網域和子網域許可清單,允許用戶端裝置在網路成功驗證之前進行存取。

這對於允許裝置在獲得完整網際網路存取權限之前,載入 Captive Portal 圖片、處理社群媒體登入和解析 DNS 查詢至關重要。設定錯誤時,這是 Captive Portal 失敗最常見的原因。

RADIUS Accounting

利用 UDP 連接埠 1813 的協定機制,追蹤使用者的工作階段持續時間、頻寬消耗和數據傳輸量,並將這些數據回報給 RADIUS 伺服器。

Purple 仰賴來自 Fortinet 硬體的精確計費數據來填入分析儀表板,並對訪客工作階段強制執行時間或數據限制。必須與驗證分開進行設定。

FortiAuthenticator (FAC)

Fortinet 的專用身分與存取管理設備,用於內部員工的 802.1X 網路驗證、單一登入和憑證管理。

IT 經理經常需要確保為訪客部署 Purple 時,不會中斷公司員工現有的 FAC 架構。解決方案一律是 SSID 隔離。

Bridge Mode SSID

一種無線設定,其中基地台充當透明的 layer 2 橋接器,將用戶端流量直接傳遞到有線網路上的特定 VLAN,而不執行 NAT。

在企業部署中較受青睞,因為它允許現有的核心 DHCP 伺服器管理 IP 位址、防止 FortiGate DHCP 瓶頸,並將真實的用戶端 IP 呈現給 Purple 分析平台。

Post-Authentication Policy

網路架構師在此處套用網頁篩選、應用程式控制和頻寬塑造,以保護場域網路免受惡意訪客活動的影響。Purple 處理身分驗證;FortiGate 處理執行。

IEEE 802.1X

一個用於基於連接埠的網路存取控制的 IEEE 標準,提供了一個框架,用於使用 PEAP 或 EAP-TLS 等 EAP 方法驗證希望連接到 LAN 或 WLAN 的裝置。

用於員工透過 FortiAuthenticator 進行的安全存取,有別於訪客透過 Purple 使用的開放式、基於 Portal 的驗證。這兩種驗證方法共存於不同的 SSID 上。

RADIUS-as-a-Service

由 Purple 提供的雲端託管 RADIUS 基礎架構,免除了場域部署和維護 FreeRADIUS 或 Windows NPS 等本機 RADIUS 伺服器的需求。

為 IT 團隊減少基礎架構負擔,同時確保高可用性以及與 Captive Portal 平台的無縫整合。對於分散式的零售或餐旅業部署特別有價值。

FortiGuard

Fortinet 的雲端威脅情報和內容篩選訂閱服務,為 FortiGate 設備提供即時網頁篩選、應用程式控制和入侵防禦特徵碼。

透過驗證後防火牆原則套用,在 Purple 對使用者進行驗證後檢查和控制訪客網際網路流量,進而保護場域的網路和 IP 商譽。

範例

一家擁有 200 間客房的飯店目前使用 FortiGate 100F 和 FortiAP。他們使用 FortiAuthenticator 進行員工的 802.1X 驗證。他們希望為房客導入 Purple WiFi 以收集行銷數據,但 IT 總監擔心房客入口網站會干擾現有的員工驗證流程。

部署絕對的 SSID 隔離。保留現有配置為 WPA2-Enterprise 的 Staff_WiFi SSID,並指向連接埠 1812 上的 FortiAuthenticator RADIUS 伺服器。建立一個全新且獨立的 Guest_WiFi SSID,配置為啟用 External Captive Portal 的開放式網路。將 Captive Portal URL 配置為指向 Purple 的 Splash Page,並將此特定 SSID 的 RADIUS 設定指向 Purple 的雲端 RADIUS 伺服器(驗證使用連接埠 1812,計費使用連接埠 1813)。將 Guest SSID 對應到具有專用防火牆策略的隔離 VLAN。FortiGate 會根據發起源的 SSID 路由驗證請求,確保兩種驗證系統之間零干擾。

考官評語: 此方法利用了 FortiGate 能夠針對每個 SSID 定義驗證參數的能力。它優雅地解決了共存需求,而不需要在 FortiAuthenticator 上進行複雜的 RADIUS 代理或條件轉發規則。核心關鍵在於 FortiGate 作為兩個 SSID 的流量策略執行點,而身分驗證則委派給適合各個使用者類型的平台。

一家零售連鎖店正在 50 個據點部署 FortiCloud AP。他們希望使用 Purple WiFi 進行房客數據分析。在第一個站點進行測試期間,房客連接到 WiFi,但其裝置顯示空白頁面或連線逾時錯誤,而不是 Purple Splash Page。

IT 團隊必須稽核並更新 FortiCloud AP SSID 設定中的 Walled Garden 配置。FortiAP 目前在驗證前阻擋了用戶端對 Purple 入口網站資源的 HTTP/HTTPS 請求。團隊必須將 Purple 所需的完整網域清單(包括 CDN 端點和社群登入提供商網域)輸入到 Walled Garden 允許清單中。他們還必須確認驗證前策略明確允許 UDP 連接埠 53 上的 DNS 流量,以便用戶端裝置可以解析入口網站的主機名稱。在第一個站點修正後,應將此配置範本化並一致地套用到所有 50 個據點。

考官評語: Walled Garden 設定錯誤是所有硬體廠商中導致 Captive Portal 失敗最常見的單一原因。該解決方案正確指出必須明確允許驗證前的流量。如果裝置無法存取入口網站的 CSS、JavaScript 或社群登入 API,驗證流程就無法啟動。將此修正方案在所有站點進行範本化部署,可防止相同問題在大規模部署中重複發生。

練習題

Q1. 您的部署要求訪客必須透過 Purple 快顯畫面進行驗證。您已配置好 SSID、RADIUS 伺服器以及重新導向 URL。然而在連線時,訪客裝置立即回報「沒有網際網路連線」,且 Captive Portal 無法自動彈出。最可能的配置遺漏是什麼?

提示:請考慮裝置在網路完全驗證之前,需要哪些網路存取權限。

查看標準答案

Walled Garden(預先驗證允許清單)可能不完整或完全缺失。在 FortiGate 授予完整存取權限之前,裝置需要明確的權限才能連線到 Purple 的 Portal 網域、社群登入 API(Facebook、Google)並進行 DNS 解析。如果沒有這些權限,裝置的 Captive Portal 助理就無法連線到目標 URL 來觸發彈出視窗。此外,請確認預先驗證原則中已允許 UDP 連接埠 53 的 DNS 流量。

Q2. 體育場部署預計在活動期間將有 15,000 個同時發生的訪客連線。目前的設計建議使用 NAT 模式下的 FortiGate,從單一 /20 子網向訪客 SSID 提供 DHCP。為什麼這個架構決策可能會帶來營運問題?推薦的替代方案是什麼?

提示:請考慮 FortiGate 防火牆上的處理開銷,以及大規模 DHCP 租約流失帶來的影響。

查看標準答案

使用 NAT 模式會將所有的 DHCP 處理負擔完全壓在 FortiGate 上,當 15,000 台暫時性裝置在活動期間頻繁連線與中斷連線時,FortiGate 可能難以應付如此快速的租約流失。單一 /20 子網僅能提供 4,094 個可用位址,對於高峰期的同時連線數可能不夠用。此外,NAT 模式會向 Purple 平台隱藏真實的用戶端 IP,限制了分析的深度。推薦的方法是 Bridge 模式,將訪客流量導向專用的 VLAN,並由具備適當大小位址池的強大外部企業級 DHCP 基礎架構進行管理。

Q3. 資訊安全長(CISO)要求訪客 Wi-Fi 流量不得消耗超過場館總網際網路頻寬的 20%,且必須阻止訪客存取點對點(P2P)檔案分享網路。在 Fortinet-Purple 架構中,此原則應在哪裡執行?需要哪些特定的 Fortinet 功能?

提示:請確定在使用者身分經 Purple 驗證後,由哪一個組件負責處理流量檢測與原則執行。

查看標準答案

此原則是在 FortiGate UTM 設備上,透過套用至訪客 VLAN 的「驗證後防火牆原則」來執行的。雖然 Purple 負責處理驗證與身分獲取,但 FortiGate 仍負責 Layer 7 的流量檢測與執行。網路團隊必須配置 FortiGuard 應用程式控制設定檔以封鎖 P2P 類別(如 BitTorrent、eDonkey 等),並將流量塑形器設定檔套用至訪客原則,以執行 20% 的頻寬上限。這兩個設定檔都必須在驗證後防火牆原則中引用,而不是在預先驗證的 Walled Garden 原則中。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →