逐步指南：為訪客 WiFi Captive Portals 設定 Ruijie 無線控制器

執行摘要

在分散式企業中部署訪客 WiFi 所需的，不僅僅是開放一個 SSID。對於 IT 經理和網路架構師而言，挑戰在於如何在無縫接入與嚴格的安全、GDPR 合規以及數據擷取需求之間取得平衡。本指南將詳細介紹使用 Ruijie 無線控制器和閘道器部署安全、具擴充性 Captive Portal 的確切設定步驟，並說明將該基礎架構與 Purple 的 Guest WiFi 平台整合，如何將基本的無線連接轉化為合規且能帶來收益的資產。

我們將涵蓋技術前置條件、VLAN 隔離策略、透過 WISPr 協定進行的外部 RADIUS 認證、圍牆花園（Walled Garden）設定，以及生產級部署所需的特定 QoS 設定。無論您是管理擁有 200 間客房的飯店、有 50 家分店的零售連鎖店，還是能容納 40,000 人的體育場，本指南都將為您提供安全 Ruijie Captive Portal 設定的權威藍圖。Purple 在全球 80,000 多個實體場域中運作，並在 2024 年處理了 4.4 億次登入（Purple 內部數據），因此這裡描述的整合模式均已在大規模環境中獲得證實。

技術架構與前置條件

在修改您的 Ruijie 控制器之前，請先建立正確的網路架構。安全的訪客網路要求在 Layer 2（交換器層級）與企業內部流量進行完全隔離。

網路隔離

安全訪客 WiFi 的基礎是 VLAN 隔離。您必須在 Ruijie 閘道器或核心交換器上建立一個專用的訪客 VLAN。這可確保訪客流量絕不會與內部系統、付款終端或員工裝置產生交集。Ruijie 部署的標準企業 VLAN 方案如下所示：

關於為什麼消費級解決方案在此行不通的更多資訊，請閱讀 為什麼消費級 WiFi 設備不適合用於您的訪客網路 。

必要元件

若要完成此部署，您需要：

• 一個 Ruijie Cloud 帳戶或一台本地 Ruijie RG-WS 系列無線控制器（例如 RG-WS6008 或 RG-WS7110）。
• 一台 Ruijie RG-EG 系列閘道器（透過 WISPr 進行外部入口網站認證所需）。
• Ruijie RG-AP 系列無線基地台（例如 RG-AP820-I、RG-AP850-AR）。
• 一個 Purple Connect、Capture 或 Engage 授權。
• 允許從閘道器到 Purple 伺服器的連接埠 1812（RADIUS 驗證）和 1813（RADIUS 計費）的出站 UDP 存取。

驗證協定概述

Ruijie 支援多種驗證方法。企業級部署應使用外部 RADIUS 驗證。此方法使用 WISPr（Wireless Internet Service Provider roaming）協定，安全地將未驗證的使用者重新導向到 Purple 的 splash 頁面，處理其憑證，並向 Ruijie 控制器傳回 RADIUS 接受（Accept）或拒絕（Reject）訊息。

上表總結了 Ruijie 平台提供的五種驗證方法。電子郵件註冊和社群登入是餐飲、旅宿和零售環境最常見的選擇，因為它們可以收集結構化、符合 GDPR 規範的第一方數據。憑證代碼適用於會議室和付費存取層。帶有 802.1X 的 RADIUS 則保留給需要目錄支援身份驗證的員工網路。

逐步實作指南

請在 Ruijie Cloud 或本地控制器介面中執行以下步驟。以下 UI 路徑適用於 Ruijie Cloud 新介面（2024 年後）和 Ruijie JaCS 平台。

步驟 1：設定訪客 SSID

建立無線廣播網路。

1. 登入 Ruijie Cloud 或本地控制器網頁介面。
2. 導覽至 Device Config，然後在 Wireless 區段下選擇 Wi-Fi。
3. 按一下 + 建立新的 SSID，或編輯現有的 SSID。
4. 設定 SSID Name（例如 "Free Guest WiFi"）。
5. 將 Security Mode 設定為 Open - 無預共用金鑰。
6. 將 SSID 指派給您的專用訪客 VLAN（例如 VLAN 30）。
7. 儲存 SSID 設定。

步驟 2：定義 Captive Portal 策略

指示控制器攔截訪客流量並將其重新導向至 Purple。

1. 導覽至 Auth & Account，然後在 Authentication 下選擇 Captive Portal。
2. 建立新策略。設定一個具描述性的 Policy Name（例如 "Purple-Guest-Portal"）。
3. 將 Policy Mode 設定為 External。
4. 將 Authentication Device 設定為您的 Ruijie 閘道器（RG-EG 系列）或基地台。
5. 選擇在步驟 1 中建立的訪客 SSID。
6. 在 Portal Server URL 欄位中，輸入您的特定 Purple splash 頁面 URL（可在 Purple 控制面板的「硬體設定」下取得）。
7. 在指定欄位中輸入 Purple RADIUS 伺服器 IP 位址。
8. 設定 Seamless Online 持續時間以符合您的工作階段逾時策略（例如，旅宿業為 24 小時，零售業為一小時）。
9. 決定 Portal Escape 行為 - 請參閱下方的最佳實踐區段。

步驟 3：設定圍牆花園（允許清單）

Captive Portal 會攔截所有流量，直到使用者完成驗證。特定流量必須通過預先驗證，以允許載入登入頁面並處理社群登入。這是任何 Captive Portal 部署中最常配置錯誤的元素。

1. 導覽至 Auth & Account 並選擇 Allowlist。
2. 新增所有必要的 Purple 基礎架構網域。您的 Purple 儀表板會提供您所在區域的確切清單。
3. 如果您提供社群登入，請新增每個提供者的 OAuth 網域：
   • 針對 Microsoft Entra ID：*.microsoft.com、*.microsoftonline.com、login.live.com
   • 針對 Google Workspace：*.google.com、accounts.google.com
   • 針對 Okta：您的特定 Okta 租戶網域
4. 如果您提供付費 WiFi 等級，請新增任何金流處理商網域。
5. 儲存並套用允許清單。

步驟 4：設定 RADIUS 驗證

設定 Ruijie 與 Purple 之間的安全通訊管道。

1. 導覽至您 Ruijie 控制器或閘道器中的 RADIUS 伺服器設定。
2. 新增主要 Purple RADIUS 伺服器 IP 位址與連接埠 1812 以進行驗證。
3. 新增次要 Purple RADIUS 伺服器 IP 位址作為備援。
4. 輸入您 Purple 儀表板中的 Shared Secret。這必須完全一致。
5. 新增連接埠 1813 上的計費伺服器並啟用 RADIUS 計費。這會追蹤工作階段持續時間和數據使用量，並直接饋送至 Purple 的 WiFi Analytics 報表中。
6. 將 NAS Identifier 設定為有意義的字串（例如：您的場所名稱），以便在 Purple 的分析中區分流量。

步驟 5：套用 QoS 策略

在尖峰時段，不受限制的訪客存取可能會使您的網際網路連線飽和。

1. 導覽至您 Ruijie 閘道器的 QoS 或頻寬管理區段。
2. 設定每位使用者的下載限制（例如：飯店住客為 10 Mbps，零售顧客為 5 Mbps）。
3. 設定每位使用者的上傳限制（例如：2-5 Mbps）。
4. 停用 Client Escape，以確保在 Portal 伺服器暫時無法連線時，未驗證的使用者無法存取網路。
5. 儲存並將設定推送到所有相關裝置。

步驟 6：測試部署

請務必使用沒有快取憑證的乾淨裝置進行測試。

1. 將行動裝置連線至訪客 SSID。
2. 開啟瀏覽器並導覽至非 HTTPS URL（例如：http://example.com）。Portal 應該會進行重定向。
3. 驗證 Purple 歡迎頁面是否正常載入。
4. 完成驗證流程。
5. 確認驗證後已授予網際網路存取權限。
6. 檢查 Purple 儀表板，確認該工作階段已顯示在您的分析中。

企業部署最佳實踐

安全性與合規性

絕不要依賴共用 PSK 來進行訪客存取。共用密碼無法進行責任追溯，且無法針對單一使用者撤銷。透過搭配個別認證使用 Purple 的 Captive Portal，您可強制執行資料處理的明確同意，從而滿足 GDPR 第 7 條的要求。Purple 擁有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證，確保資料收集機制本身是可審計的。

如需深入瞭解安全架構，請參閱我們的 Enterprise WiFi Security: A Complete Guide for 2026 與 What Is Secure WiFi: Essential Guide for Business 2026 。

Portal Escape：審慎的決定

Ruijie 的 Portal Escape 功能會在 AP 和 Portal 伺服器無法連線時，自動放行使用者流量。在餐旅環境中，您可能會選擇啟用此功能 — 畢竟在伺服器短暫異常期間訪客無法使用 WiFi 會引發抱怨。在零售或醫療環境中，您可能會選擇停用此功能 — 未經認證的存取代表著合規性與安全性風險。請在您的網路運作手冊中記錄您的決定與理由。

多站點一致性

使用 Ruijie Cloud 集中管理所有站點的設定。同步推送 Portal 策略，以消除各站點之間的設定偏差 — 這是分散式資產中導致訪客體驗不一致最常見的原因。Purple 的雲端重疊網路 (cloud overlay) 也基於相同的原則運作：單一儀表板，管理所有場域。

韌體管理

某些 Ruijie Captive Portal 功能（特別是頻寬控制與動態 VLAN 分配）需要閘道器上有特定的韌體版本。Ruijie 的版本說明記錄了這些相依性。請確保您的 RG-EG 閘道器執行 RGOS11.9(6)B17T1 或以上版本的韌體，以便在雲端管理部署中獲得完整的 QoS 支援。

疑難排解與風險降低

Portal 頁面無法載入

如果裝置連線時未出現 Captive Portal，請先驗證您的 Walled Garden 設定。裝置在進行認證前必須先解析 DNS 並連線至 Purple Portal URL。檢查您的 Ruijie 允許清單是否包含所有必要的網域，且您的 DNS 伺服器可從訪客 VLAN 存取。

認證逾時

如果使用者能看到 Portal 但無法登入，問題通常出在 RADIUS 設定中。驗證 RADIUS 伺服器 IP 位址、連接埠（認證為 1812，計費為 1813）以及共用密鑰。確保您的防火牆允許來自 Ruijie 閘道器管理 IP 的這些連接埠上的輸出 UDP 流量。

社群登入停滯

如果使用者點擊社群登入按鈕後沒有任何反應，表示 OAuth 重新導向被封鎖。將所需的社群提供商網域新增至您的 Ruijie 允許清單中。透過在認證前暫時允許所有流量進行測試，以確認 Portal 正常運作，然後逐步收緊允許清單。

動態 VLAN 分配失敗

如果您正使用 RADIUS 將使用者動態指派至 VLAN，請確保 RADIUS 回應包含正確的 VLAN 屬性 (Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)。銳捷 (Ruijie) 的 RG-EG310GH-E 和類似閘道支援動態 VLAN 指派，但此功能需要在 RADIUS 伺服器和閘道上進行明確設定。

投資報酬率與商業影響

部署安全的 Captive Portal 可將顧客 WiFi 從成本中心轉變為策略性資產。Purple 的 WiFi Analytics 平台與您的銳捷 (Ruijie) 基礎架構相整合，可擷取第一方數據、建立高意向的聯絡人名單，並針對您整個場域的訪客行為提供具體可行的深入分析。

Harrods 百貨使用 Purple 的 Guest WiFi 來推廣其會員計劃，實現了業界領先的訂閱率和 57 倍的投資報酬率（Purple 客戶數據）。c2c 鐵路使用 Purple 來促進直接訂票，實現了 121% 的投資報酬率，並節省了 76,000 英鎊的營運成本（Purple 客戶數據）。Pizza Express 在 470 多家餐廳部署了 Purple，以建立更豐富的客戶輪廓。

對於 餐旅 業者而言，在登入時擷取的數據（電子郵件、客群屬性、造訪頻率）會直接匯入 CRM 系統和會員計劃。對於 零售 環境，重複造訪分析可識別出您價值最高的顧客。對於 交通 樞紐，旅客流量數據可優化人員配置和商業空間規劃。

Purple 可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme、Fortinet 以及 銳捷 (Ruijie) 整合，使其成為可與您現有設備協同運作、無需更換硬體的雲端重疊網路解決方案。

相關指南： Grandstream GWN 存取點與 Purple WiFi 整合