跳至主要內容

Grandstream GWN 與訪客 WiFi:使用 Purple 設定 Captive Portal

了解 Grandstream GWN 基地台如何與 Purple 訪客 WiFi 協同工作:透過外部 Windows 頁面、RADIUS 以及 walled garden,並附有指向 Purple 逐步設定指南的連結以進行精確配置。

📖 2 分鐘閱讀📝 408 字數📚 5 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 技術簡報系列。我是您的主持人,今天我們要介紹一個在旅宿業、零售業和多租戶物業中越來越常見的部署模式:將 Grandstream GWN 基地台與 Purple 的 guest WiFi 平台進行整合。 如果您是 MSP、內部 IT 團隊或網路架構師,正被指派進行 Grandstream GWN 部署,並被要求外掛一個具備分析功能且有品牌標誌的 Captive Portal,那麼本集內容非常適合您。我們將涵蓋完整的技術架構:訪客 Splash 頁面重新導向、Walled Garden 配置、使用 802.1X 的安全員工 WiFi,以及使用 Grandstream 私人預共用金鑰(PPSK)功能的多租戶分割。讓我們開始吧。 --- 首先,來點背景資訊。Grandstream 的 GWN 系列是一個穩健的中階市場基地台產品線。您可以使用 GWN7600 和 GWN7630 進行室內部署,使用 GWN7660 和 GWN7664 應對 Wi-Fi 6 環境,並使用 GWN7610 作為高密度空間的吸頂式選擇。它們可以透過 GWN Manager(安裝在 Linux 或 Windows 伺服器上的地端控制器)進行管理,或透過 GWN dot Cloud(Grandstream 的雲端託管管理平台,現已更名為 GDMS Networking)進行管理。 對 MSP 來說,好消息是這兩個管理平台都原生支援 Captive Portal 配置。您可以完全在 GWN Manager 或 GWN dot Cloud 內建立入口網站策略、自訂 Splash 頁面,並將其與 SSID 建立關聯。但對於需要符合 GDPR 規範的數據收集、行銷自動化和即時分析的企業級部署,您會需要將該原生入口網站替換為外部平台。這就是 Purple 發揮作用的地方。 Purple 以雲端覆蓋層(overlay)的形式運作。它位於您的硬體之上,提供 Captive Portal、RADIUS 驗證層、分析引擎和行銷工具。Purple 支援 80,000 個實體場域,僅在 2024 年就處理了 4.4 億次登入,因此該平台在大規模應用中已得到充分驗證。與 Grandstream GWN 的整合遵循了 Purple 在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 中所使用的相同標準化方法。 --- 讓我們深入了解技術架構。在 Grandstream GWN 上搭配 Purple 的 guest WiFi 流程如下。 訪客連線到您的訪客 SSID。他們的裝置向任何網站發送 HTTP 請求。GWN 基地台攔截該請求,並向 Purple 入口網站 URL 發出 HTTP 302 重新導向。訪客抵達由 Purple 託管的品牌專屬 Splash 頁面。他們進行驗證,無論是透過電子郵件、社群登入、簡訊驗證還是自訂表單。Purple 的平台驗證該認證,依據 GDPR 記錄同意聲明和數據,然後將 RADIUS Access-Accept 傳回給 GWN 基地台。基地台隨即授予網際網路存取權限。整個流程從連線到存取網際網路大約需要三到五秒。現在,Grandstream 端的主要設定元件為:Captive Portal 策略、隨機登入頁面設定、Walled Garden(圍牆花園)以及 SSID 關聯。讓我逐一為您說明。 --- 第一步:在 GWN Manager 或 GWN.cloud 中設定 Captive Portal 策略。 瀏覽至 Captive Portal,然後選擇 Policy List(策略列表),並建立一個新策略。為其命名一個具描述性的名稱,例如 "Purple-Guest-Portal"。將 Authentication Type(驗證類型)設定為 RADIUS Server。接著您會看到 RADIUS Server Address(RADIUS 伺服器位址)、RADIUS Server Port(RADIUS 伺服器連接埠)和 RADIUS Server Secret(RADIUS 伺服器密鑰)等欄位。輸入 Purple 的 RADIUS 伺服器 IP 位址,並將驗證連接埠設定為 1812。您的共用密鑰可從 Purple 整合管理主控台的場地硬體設定區段中取得。將 RADIUS Authentication Method(RADIUS 驗證方法)設定為 PAP,這是 Purple 的 Captive Portal 流程所使用的驗證方式。 在 Landing Page(著陸頁面)下方,將其設定為 Redirect to External Page(重新導向至外部網頁),並輸入您的 Purple 入口網站重新導向 URL。這是訪客首次連線時會被引導至的 URL。同樣地,這可以從您的 Purple 管理主控台取得。 將 Expiration(過期時間)設定為符合您場地的工作階段策略。對於飯店,通常是 24 小時。對於會議場地,您可能將其設定為活動持續時間。對於零售環境,兩到四個小時是常見的設定。 啟用 Failsafe Mode(安全防護模式)。這非常重要。如果 GWN 基地台無法存取 Purple 的 RADIUS 伺服器,安全防護模式仍會授予網際網路存取權限,而不是阻擋所有訪客。對於大多數旅宿和零售部署而言,短暫的 RADIUS 中斷不應導致所有訪客失去連線。 --- 第二步:設定 Walled Garden。 Walled Garden 是指訪客在透過入口網站通過驗證之前可以存取的網域和 IP 位址列表。如果您設定錯誤,訪客將會看到空白頁面或損壞的入口網站,而他們會將此歸咎於 WiFi。 在 GWN Manager 中,Walled Garden 是在 Captive Portal 策略下方設定為 Pre-Authentication Rules(預先驗證規則)。新增以下網域作為允許規則:Purple 入口網站網域(即 portal.purple.ai);Purple 隨機登入頁面載入資源的任何 CDN 網域(包括使用萬用字元項目的 cloudfront.net);Apple 的 Captive Portal 偵測端點 captive.apple.com;以及 Google 的連線檢查端點 connectivitycheck.gstatic.com。 Purple 的支援入口網站(support.purple.ai)提供了一個動態 Walled Garden 產生器。從硬體列表中選擇 Grandstream,選擇您的驗證方法,它就會產生您確切需要的網域列表。請使用該列表,不要嘗試手動從頭建立。 一個您需要做出的決定:是否將 captive dot apple dot com 納入 walled garden(圍牆花園)中?如果您將其納入,iOS 裝置將不會自動顯示 Captive Network Assistant 迷你瀏覽器。顧客將需要手動開啟瀏覽器才能到達入口網站。如果您將其排除,iOS 在裝置連線時會自動啟動該迷你瀏覽器。對於大多數旅宿業部署,您會希望顯示此迷你瀏覽器,因此請將 captive dot apple dot com 排除在 walled garden 之外。 --- 第三步:設定 SSID。 在 GWN Manager 中,導覽至 SSID 並編輯您的顧客 SSID。啟用 Captive Portal 並選擇您剛建立的策略。將 SSID 設定為具有簡單公開密碼的 WPA2-Personal,或者如果您的場地偏好該方式,則將其設定為開放式 SSID。此流程中的安全性來自入口網站驗證,而非 WiFi 密碼。 啟用用戶端隔離(Client Isolation)。這可以防止顧客在網路上看到彼此的裝置。這是一項基本的安全要求,也是如果您的場地在相同基礎設施上處理刷卡付款時的 PCI-DSS 考量因素。 將 SSID 分配給您的顧客 VLAN。VLAN 10 是顧客流量的常見慣例。請確保您的上游交換器和路由器已設定為透過適當的防火牆規則將該 VLAN 路由到網際網路。 --- 現在我們來談談使用 802.1X 的員工 WiFi。 IEEE 802.1X 是基於連接埠之網路存取控制的標準。對於員工 WiFi,它以每位使用者的憑證取代了共用的預共用金鑰,並向身分識別提供者進行驗證。當員工連線時,GWN 存取點(AP)作為驗證者,他們的裝置是要求端,而 Purple 的 RADIUS 伺服器則是驗證伺服器。 在 GWN Manager 中,為員工建立一個獨立的 SSID。將安全性模式設定為 WPA2-Enterprise,這會啟用 802.1X。使用 Purple 的 RADIUS IP、連接埠 1812 和您的共用秘密金鑰來設定 RADIUS 伺服器設定。在連接埠 1813 上啟用 RADIUS 計費(Accounting),以便您獲得誰在何時、連線多久的完整稽核追蹤。此稽核追蹤是您符合 GDPR 法規遵循以及應對任何安全性事件所需要的。 對於 EAP 方法,您有兩個主要選擇。EAP-TLS 在伺服器和用戶端裝置上都使用數位憑證。這是最安全的選擇,但它需要行動裝置管理(MDM)平台來將憑證推送到員工裝置。如果您有 Microsoft Intune 或 Jamf,EAP-TLS 是正確的選擇。 PEAP(代表受保護的 EAP)在加密的 TLS 通道中使用使用者名稱和密碼。它更容易部署,特別是對於 BYOD 環境,但您必須確保員工接受過培訓,不要接受憑證警告。如果使用者按過憑證錯誤,惡意存取點可能會收集 PEAP 憑證。 在 SSID 設定中啟用動態 VLAN 分配。啟用後,RADIUS 伺服器可以在 Access-Accept 封包中傳回 VLAN ID,且 GWN AP 將會把連線的裝置放置於該 VLAN 中。這意味著您可以擁有單一員工 SSID,但能根據使用者在 Purple 目錄中的身分,自動將 IT 員工分割到 VLAN 20、管理階層到 VLAN 21,以及銷售點裝置到 VLAN 40。 動態 VLAN 的 RADIUS 屬性為:Tunnel-Type 設定為 VLAN(屬性值為 13);Tunnel-Medium-Type 設定為 IEEE-802(屬性值為 6);以及 Tunnel-Private-Group-ID 設定為字串格式的 VLAN 編號。這三個在 Access-Accept 封包中的屬性就是 GWN AP 將裝置引導至正確 VLAN 所需的所有資訊。 --- 現在介紹對於多租戶物業特別實用的功能:Grandstream Private Pre-Shared Keys,或稱為 PPSK。 PPSK 是一種允許單一 SSID 支援多個專屬密碼的機制,每個密碼都對應到不同的 VLAN 或網路策略。想像一下建商出租型公寓大樓、共同工作空間或商務中心。您希望所有人都能看到同一個 SSID,但每位租戶都擁有自己的密碼,可將其置於各自隔離的網路區段中。 在 GWN Manager 中,PPSK 是在 SSID 設定下進行設定。將安全模式設定為 WPA2-Personal,然後啟用 PPSK。接著您可以建立個別的 PSK 項目,每個項目都包含專屬的密碼與關聯的 VLAN ID。當裝置使用租戶 A 的密碼連線時,AP 會將其放置於 VLAN 31。當裝置使用租戶 B 的密碼時,則會進入 VLAN 32。租戶共享相同的 SSID,但在網路層完全相互隔離。 對於更大規模的部署,Grandstream 還支援搭配 RADIUS 後端的 PPSK。在此模式下,AP 會將 PSK 作為 RADIUS 屬性傳送到驗證伺服器,驗證伺服器會進行驗證並傳回適當的 VLAN 分配。這正是 Purple 的 Identity-Based Networks 功能直接整合之處。Purple 可以管理 PPSK 資料庫、對照其目錄驗證金鑰,並傳回動態 VLAN 分配,讓您能從單一平台集中管理數百個租戶憑證。 用於 PPSK 驗證的 RADIUS 屬性通常是 Tunnel-Password 屬性,或是取決於韌體版本的廠商專屬屬性。請檢查 Grandstream 適用於您特定韌體的版本說明,因為屬性對應已隨著 GWN Manager 版本的更迭而演進。 --- 接下來讓我介紹在搭配外部傳送門的 Grandstream 部署中,最常見的兩種失敗模式。 第一種是重新導向未觸發。訪客連線至 SSID,開啟瀏覽器,卻收到「無法連線至此網站」錯誤,而非 Portal 頁面。最常見的原因是 walled garden 設定錯誤。Portal 頁面本身在驗證前就被封鎖了。請在連線至訪客 SSID 的測試裝置上開啟瀏覽器開發者工具,查看網路(Network)索引標籤,並找出哪些請求失敗。接著將這些網域新增至您的驗證前規則中。 第二種失敗模式是 RADIUS 逾時。AP 傳送 Access-Request 至 Purple 的 RADIUS 伺服器,但未收到回應。這通常代表防火牆封鎖了從 AP 管理 VLAN 到 Purple RADIUS IP 範圍的外送 UDP 1812 連接埠。請檢查您的防火牆規則。Purple 的 RADIUS IP 位址已記錄在 Purple 系統管理主控台的場地設定中。請確保主要與次要的 RADIUS IP 皆已允許連線。 第三個值得注意的問題是:動態 VLAN 無法運作。員工連線後進入了錯誤的 VLAN。最常見的原因是 GWN Manager 中 SSID 設定內未勾選「啟用動態 VLAN」(Enable Dynamic VLAN)。這是個很容易被忽略的單一核取方塊。第二個原因則是共用金鑰不相符。如果 AP 上的共用金鑰與 Purple 中設定的金鑰不符,AP 會默默捨棄 RADIUS 回應,並退回至預設 VLAN。 - - - 讓我提供兩個實際情境,讓這點更具體。 情境一:一間擁有 120 間客房的飯店。該飯店執行透過 GWN.Cloud 管理的 GWN7660 存取點。他們需要一個為訪客提供品牌形象的訪客 Portal、為櫃台和房務提供安全的員工網路,以及為物業管理系統提供獨立的管理 VLAN。 此設定使用三個 SSID:VLAN 10 上套用 Purple Captive Portal 原則的 Guest WiFi;VLAN 20 上使用 WPA2-Enterprise 與 PEAP 驗證至 Purple RADIUS 的 Staff WiFi;以及 VLAN 30 上供 PMS 終端機使用的隱藏 Management SSID。在員工 SSID 上啟用動態 VLAN 分配,代表房務裝置會進入受限網際網路存取的 VLAN 21,而櫃台裝置則進入具有完整存取權限的 VLAN 20。Purple 的分析儀表板可為飯店營運商顯示每日訪客統計、工作階段持續時間以及行銷訂閱率,為行銷團隊提供執行精準行銷活動所需的數據。場景二:擁有 40 個單位的租賃專用(build-to-rent)公寓大樓。營運商在本地運行 GWN7630 基地台並搭配 GWN Manager。每間公寓都需要自己獨立的網路。營運商使用 PPSK 搭配 RADIUS 後端。Purple 管理 40 個獨特的租戶憑證,每個憑證都對應到專屬的 VLAN。住戶使用其單位的密碼連接到單一的 "BuildingConnect" SSID。Purple 的入口網站處理初始引導流程、收集住戶同意書,並為營運商提供入住率分析和互動數據。當住戶搬出時,營運商只需在 Purple 的管理控制台中撤銷其 PPSK 憑證,存取權限便會立即終止。無需更改 SSID 密碼或重新設定基地台。 - 快速問答。關於 Grandstream 部署,我經常被問到的三個問題。 問題一:我可以使用 GWN dot Cloud 代替 GWN Manager 進行 Purple 整合嗎?可以。GWN dot Cloud 中的 Captive Portal 設定在功能上與 GWN Manager 完全相同。功能表路徑相同。RADIUS 和 Walled Garden(圍牆花園)設定也位於相同位置。對於管理多個站點的 MSP 來說,GWN dot Cloud 是更好的選擇,因為您可以在所有部署中獲得單一管理介面。 問題二:Purple 除了自身的分析之外,是否還支援 Grandstream 的原生分析?Purple 以其自身更詳細的數據集取代了原生的 Captive Portal 分析。您可以獲得工作階段計數、停留時間、選擇加入率、來自表單欄位的人口統計數據,以及與行銷平台的整合。用於 RF 效能、基地台健康狀況和用戶端計數的原生 GWN 分析在 GWN Manager 或 GWN dot Cloud 中仍然可用,與 Purple 的入口網站分析並行。 問題三:若要搭配 RADIUS 使用 PPSK,GWN 基地台需要什麼韌體版本?搭配 RADIUS 後端的 PPSK 要求 GWN76xx 系列的 GWN 韌體為 1.0.19 或更高版本。部署前請檢查 Grandstream 的版本說明。運行過時的韌體是 PPSK 部署中出現非預期行為最常見的單一原因。 - 總結。按照正確的順序,將 Grandstream GWN 基地台與 Purple 整合是一個簡單的部署過程。首先在 Captive Portal 原則中設定您的 RADIUS 伺服器設定。使用 Purple 的網域產生器工具建立您的 Walled Garden(圍牆花園)。將該原則與您的訪客 SSID 關聯,並啟用用戶端隔離。對於員工 WiFi,請啟用 WPA2-Enterprise 並進行動態 VLAN 分配。對於多租戶物業,請使用搭配 RADIUS 後端的 PPSK,並透過 Purple 集中管理憑證。 必須做對的五件事:UDP 1812 上的 RADIUS 且具有相符的共用金鑰;涵蓋所有入口網站資產網域的 Walled Garden(圍牆花園);在訪客 SSID 上啟用用戶端隔離;在 SSID 設定中啟用動態 VLAN;以及 PPSK 韌體版本在 1.0.19 或更高。做好這五點,您就擁有了一個穩固且具擴充性的部署,能為您的場域服務多年。Purple 的導入團隊可在正式上線前驗證您的設定,而平台高達 99.999% 的正常運行時間,代表您不需要在凌晨兩點向飯店住客解釋為什麼登入頁面斷線。 感謝您的收聽。如需更多關於企業級 WiFi 整合的技術指南,請造訪 purple dot ai。下一集,我們將介紹結合 Microsoft Entra ID 與 Purple 的 SecurePass 功能來進行動態 VLAN 分配。我們下次見。

Grandstream GWN 基地台是透過 GWN Cloud 進行雲端管理。Purple 則在其上添加了訪客層:包括訪客看到的 captive portal、登入流程以及您收集的第一手數據。它不會取代您任何的 Grandstream 設備。

Grandstream GWN 如何與 Purple 訪客 WiFi 協同工作

Purple 是一種雲端覆蓋技術。您的 GWN 基地台繼續運行 WiFi;Purple 則透過 GWN Cloud 已支援的功能來運行訪客體驗。

  • 外部 splash page。 在 GWN Cloud 的 captive portal 策略中,您將 splash page 設定為外部,並選擇 Purple 作為平台。新裝置會被重導向至您的 Purple splash page,訪客登入後,控制權將交還給 GWN。
  • RADIUS。 GWN 會透過標準連接埠(驗證為 1812,計費為 1813)對照 Purple 的 RADIUS 服務來驗證每次登入。計費數據正是支援您訪客分析的關鍵。

walled garden 是一個簡短的允許清單(設定為預先驗證規則),裝置在登入前可以存取這些地址,以便載入 splash page 並完成任何付款或社群媒體登入步驟。

這就是整個模式:GWN 傳輸封包,Purple 掌握登入與數據。由於它運行在標準外部網頁驗證和 RADIUS 上,因此在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 上的工作方式完全相同。Purple 在設計上與硬體無關。

您需要準備的項目

  • 韌體版本為 v1.0.7.12 或以上、並透過 GWN Cloud 管理的 Grandstream GWN 基地台。
  • 已設定好 splash page 和登入流程的 Purple 場域。
  • 來自您 Purple 管理介面的 Purple splash 伺服器、RADIUS 詳細資訊和預先驗證網域。

使用 Purple 進行設定

確切的設定、captive portal 策略、外部 splash 伺服器、RADIUS 驗證和計費伺服器,以及預先驗證規則,都已逐步記錄在 Purple 的支援指南中,並附有要輸入的精確值。

Grandstream GWN 系列 AP 設定指南

請遵循該指南進行配置。本頁面旨在解釋各個部分如何協同工作,以便您了解每個步驟的作用。

您將獲得什麼

一旦訪客透過 Purple 登入,每次訪問都會變成經過驗證、自願加入的第一手數據:誰訪問過、頻率如何,以及如何在獲得許可的情況下聯絡他們。這就是僅能連線的 WiFi 與能為您建立專屬行銷受眾的 WiFi 之間的區別。Purple 符合 GDPR 規範並通過 ISO 27001 認證,在超過 80,000 個線上場域中提供 99.999% 的可用性。

關鍵定義

Captive portal

訪客在連線上網前看到的登入頁面。由 Purple 主持並運行;GWN 會將裝置重導向至此頁面。

Purple 在您的 GWN WiFi 之上添加的訪客體驗層。

外部 splash page

一個 GWN captive portal 設定,可將未經驗證的裝置傳送到 Purple 外部代管的登入頁面。

GWN Cloud 如何將訪客引導至 Purple。

RADIUS

用於檢查登入和記錄工作階段數據的標準協定,使用連接埠 1812(驗證)和 1813(計費)。

GWN 如何對照 Purple 驗證每位訪客並提供分析數據。

Walled garden

一個簡短的允許地址清單,設定為預先驗證規則,裝置在登入前可以存取這些地址。

允許在預先驗證時載入 splash page、付款和社群媒體登入。

GWN Cloud

Grandstream 用於管理 GWN 基地台的雲端管理介面,包括 captive portal 策略和 RADIUS 設定。

配置 Grandstream GWN 基地台的地方。