逐步指南:為訪客 WiFi Captive Portals 設定 Ruijie 無線控制器
本指南提供設定 Ruijie 無線控制器與閘道器以部署企業級訪客 WiFi captive portals 的完整技術解說。內容涵蓋 VLAN 區隔、透過 WISPr 協定進行外部 RADIUS 驗證、Walled Garden 設定,以及與 Purple 的 Identity-Based Networks 平台無縫整合,以便在餐飲旅宿、零售及公共部門環境中收集第一方數據並創造可衡量的商業價值。
收聽此指南
查看播客逐字稿

执行摘要
在分布式企业中部署访客 WiFi 不仅仅是提供一个开放的 SSID。对于 IT 经理和网络架构师而言,挑战在于如何在无缝接入与严格的安全、GDPR 合规性以及数据采集需求之间取得平衡。本指南详细介绍了使用锐捷无线控制器和网关部署安全、可扩展的 Captive Portal 的具体配置步骤,并展示了将该基础设施与 Purple 的 Guest WiFi 平台集成如何将基本的无线连接转化为合规且能带来收益的资产。
我们将涵盖技术先决条件、VLAN 隔离策略、通过 WISPr 协议进行的外部 RADIUS 认证、围墙花园(Walled Garden)配置,以及生产级部署所需的特定 QoS 设置。无论您管理的是拥有 200 间客房的酒店、拥有 50 家门店的零售连锁,还是可容纳 40,000 人的体育场,本指南都为安全的锐捷 Captive Portal 设置提供了权威蓝图。Purple 在全球 80,000 多个活跃场所运行,并在 2024 年处理了 4.4 亿次登录(Purple 内部数据),因此这里描述的集成模式在大规模应用中已得到验证。

技术架构与先决条件
在修改您的锐捷控制器之前,请先建立正确的网络架构。安全的访客网络要求在第 2 层(交换机级别)与企业流量进行完全隔离。
网络分段
安全访客 WiFi 的基石是 VLAN 隔离。您必须在锐捷网关或核心交换机上创建一个专用的访客 VLAN。这可以确保访客流量绝不会与内部系统、支付终端或员工设备发生交集。锐捷部署的标准企业 VLAN 方案如下所示:
| VLAN ID | 用途 | 备注 |
|---|---|---|
| 10 | 企业 | 员工设备、内部服务器 |
| 20 | 语音 | VoIP 话机 |
| 30 | 访客 | Captive Portal、仅限互联网 |
| 40 | 物联网 | 打印机、智能电视、传感器 |
| 99 | 管理 | 控制器、交换机管理 |
有关为什么消费级方法在此处会失败的更多信息,请阅读 为什么消费级 WiFi 设备不适用于您的访客网络 。
所需组件
要完成此部署,您需要:
- 一个锐捷云账号或本地锐捷 RG-WS 系列无线控制器(例如 RG-WS6008 或 RG-WS7110)。
- 一台锐捷 RG-EG 系列网关 - 通过 WISPr 进行外部门户认证所必需。
- 锐捷 RG-AP 系列无线接入点(例如 RG-AP820-I、RG-AP850-AR)。
- 需要 Purple Connect、Capture 或 Engage 许可。
- 允许从网关到 Purple 服务器的端口 1812(RADIUS 认证)和 1813(RADIUS 计费)的出站 UDP 访问。
认证协议概述
锐捷(Ruijie)支持多种认证方式。企业级部署应使用外部 RADIUS 认证。此方法使用 WISPr(无线互联网服务提供商漫游)协议,安全地将未认证的用户重定向到 Purple 的 Splash Page(登录页面),处理其凭据,并向锐捷控制器返回 RADIUS 接受(Accept)或拒绝(Reject)消息。

上表总结了锐捷平台提供的五种认证方式。电子邮件注册和社交媒体登录是酒店和零售环境中最常用的选择,因为它们可以捕获结构化的、符合 GDPR 规范的第一方数据。凭证码(Voucher codes)适用于会议室和付费访问层级。带有 802.1X 的 RADIUS 则专用于需要目录支持身份验证的员工网络。
分步实施指南
请在锐捷云(Ruijie Cloud)或本地控制器界面中执行以下步骤。以下 UI 路径适用于锐捷云新界面(2024 年后)和锐捷 JaCS 平台。
第 1 步:配置访客 SSID
建立无线广播网络。
- 登录锐捷云或本地控制器 Web 界面。
- 导航至 Device Config(设备配置),并在 Wireless(无线)部分下选择 Wi-Fi。
- 点击 + 创建新的 SSID,或编辑现有 SSID。
- 设置 SSID Name(SSID 名称,例如 "Free Guest WiFi")。
- 将 Security Mode(安全模式)设置为 Open(开放)- 无预共享密钥。
- 将该 SSID 分配给您的专用访客 VLAN(例如 VLAN 30)。
- 保存 SSID 配置。
第 2 步:定义 Captive Portal 策略
指示控制器拦截访客流量并将其重定向到 Purple。
- 导航至 Auth & Account(认证与账户),并在 Authentication(认证)下选择 Captive Portal。
- 创建新策略。设置一个描述性的 Policy Name(策略名称,例如 "Purple-Guest-Portal")。
- 将 Policy Mode(策略模式)设置为 External(外部)。
- 将 Authentication Device(认证设备)设置为您的锐捷网关(RG-EG 系列)或接入点。
- 选择在第 1 步中创建的访客 SSID。
- 在 Portal Server URL 字段中,输入您专属的 Purple Splash Page URL(可在 Purple 控制面板的“硬件配置”下找到)。
- 在指定字段中输入 Purple RADIUS 服务器的 IP 地址。
- 设置 Seamless Online(无感上网)时长,以匹配您的会话超时策略(例如,酒店行业为 24 小时,零售行业为 1 小时)。
- 确定 Portal Escape(Portal 逃生)行为 - 请参阅下文的“最佳实践”部分。
第 3 步:配置围墙花园(白名单)
Captive Portal 会拦截所有流量,直到用户完成身份验证。某些特定流量必须允许在预身份验证阶段通过,以便加载登录页面并处理社交媒体登录。这是任何 Captive Portal 部署中最容易配置错误的部分。
- 导航至 Auth & Account(认证与账户)并选择 Allowlist(白名单)。
- 添加所有必需的 Purple 基础设施域名。您的 Purple 仪表板会提供您所在地区的具体列表。
- 如果您提供社交媒体登录,请添加每个提供商的 OAuth 域名:
- 对于 Microsoft Entra ID:
*.microsoft.com、*.microsoftonline.com、login.live.com - 对于 Google Workspace:
*.google.com、accounts.google.com - 对于 Okta:您特定的 Okta 租户域名
- 对于 Microsoft Entra ID:
- 如果您提供付费 WiFi 方案,请添加任何支付处理商的域名。
- 保存并应用白名单。
第 4 步:配置 RADIUS 身份验证
配置 Ruijie 与 Purple 之间的安全通信通道。
- 导航至 Ruijie 控制器或网关中的 RADIUS 服务器设置。
- 添加 Purple 主 RADIUS 服务器的 IP 地址和端口 1812 用于身份验证。
- 添加 Purple 备用 RADIUS 服务器的 IP 地址作为故障转移。
- 输入您 Purple 仪表板中的 Shared Secret(共享密钥)。这必须完全一致。
- 添加端口 1813 上的计费服务器并启用 RADIUS 计费。这将跟踪会话时长和数据使用情况,并直接反馈到 Purple 的 WiFi Analytics 报告中。
- 将 NAS Identifier 设置为有意义的字符串(例如您的场馆名称),以便在 Purple 的分析中区分流量。
第 5 步:应用 QoS 策略
在高峰时段,不受限制的访客访问可能会使您的互联网链路饱和。
- 导航至 Ruijie 网关的 QoS 或带宽管理部分。
- 设置单用户下载限制(例如:酒店住客为 10 Mbps,零售顾客为 5 Mbps)。
- 设置单用户上传限制(例如:2-5 Mbps)。
- 禁用 Client Escape,以确保在门户服务器暂时无法访问时,未经验证的用户无法访问网络。
- 保存并向所有相关设备推送配置。
第 6 步:测试部署
请务必使用没有缓存凭据的干净设备进行测试。
- 将移动设备连接到访客 SSID。
- 打开浏览器并导航至非 HTTPS URL(例如
http://example.com)。门户页面应当进行重定向。 - 验证 Purple 闪屏页面(splash page)是否正确加载。
- 完成身份验证流程。
- 确认身份验证后已授予互联网访问权限。
- 检查 Purple 仪表板以确认该会话已显示在您的分析数据中。
企业部署最佳实践
安全与合规性
切勿依赖共享 PSK 进行访客接入。共享密码无法实现责任追溯,且无法针对单个用户进行撤销。通过使用 Purple 带有个人身份验证的 Captive Portal,您可以强制要求用户对数据处理提供明确同意,从而满足 GDPR 第 7 条的要求。Purple 拥有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证,确保数据捕获机制本身是可审计的。
如需深入了解安全架构,请阅读我们的《 企业 WiFi 安全:2026 年完整指南 》和《 什么是安全 WiFi:2026 年企业必备指南 》。
Portal Escape:深思熟虑的决策
锐捷(Ruijie)的 Portal Escape 功能会在 AP 与 Portal 服务器无法连接时,自动放行用户流量。在酒店环境中,您可能会选择启用它——因为服务器出现短暂波动导致访客无法连接 WiFi 会引发投诉。而在零售或医疗环境中,您可能会选择禁用它——未经身份验证的接入代表着合规与安全风险。请在您的网络运行手册中记录您的决定及理由。
多站点一致性
使用锐捷云(Ruijie Cloud)跨所有站点进行集中配置管理。同时推送 Portal 策略,以消除各站点之间的配置偏差——这是分布式资产中导致访客体验不一致的最常见原因。Purple 的云覆盖网络也基于相同的原理运行:一个控制面板,管理所有场所。
固件管理
某些锐捷 Captive Portal 功能(特别是带宽控制和动态 VLAN 分配)需要网关上运行特定的固件版本。锐捷的发布说明中记录了这些依赖关系。请确保您的 RG-EG 网关运行固件版本 RGOS11.9(6)B17T1 或以上,以在云管理部署中获得完整的 QoS 支持。
故障排除与风险缓解
Portal 页面加载失败
如果设备连接时未出现 Captive Portal,请先验证您的围墙花园(Walled Garden)设置。设备在进行身份验证之前,必须能够解析 DNS 并访问 Purple Portal URL。请检查您的锐捷白名单是否包含了所有必要的域名,以及您的 DNS 服务器是否可以从访客 VLAN 访问。
身份验证超时
如果用户能看到 Portal 但无法登录,问题通常出在 RADIUS 配置上。请验证 RADIUS 服务器的 IP 地址、端口(1812 用于身份验证,1813 用于计费)以及共享密钥。确保您的防火墙允许来自锐捷网关管理 IP 的这些端口的入站和出站 UDP 流量。
社交媒体登录卡死
如果用户点击社交媒体登录按钮后毫无反应,说明 OAuth 重定向被阻止了。请将所需的社交媒体提供商域名添加到您的锐捷白名单中。可以通过在身份验证前临时允许所有流量来进行测试,以确认 Portal 是否正常工作,然后逐步收紧白名单。
动态 VLAN 分配失败
如果您使用 RADIUS 动态地将用户分配到 VLAN,请确保 RADIUS 响应中包含正确的 VLAN 属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)。锐捷的 RG-EG310GH-E 及类似网关支持动态 VLAN 分配,但该功能需要在 RADIUS 服务器和网关上进行显式配置。
ROI 与业务影响
部署安全的 Captive Portal 可将访客 WiFi 从成本中心转变为战略资产。Purple 的 WiFi Analytics 平台与您的锐捷基础设施集成,可捕获第一方数据、构建高意向联系人列表,并对您整个场所内的访客行为提供切实可行的洞察。
哈罗德百货(Harrods)使用 Purple 的 Guest WiFi 推广其会员计划,实现了行业领先的选择加入率和 57 倍的 ROI(Purple 客户数据)。c2c 铁路公司(c2c Rail)使用 Purple 鼓励直接预订,实现了 121% 的投资回报率,并节省了 76,000 英镑的运营成本(Purple 客户数据)。必胜客(Pizza Express)在 470 多家餐厅部署了 Purple,以构建更丰富的客户画像。
对于 酒店餐饮 运营商,登录时捕获的数据(电子邮件、人口统计数据、访问频率)可以直接馈送到 CRM 系统和会员计划中。对于 零售 环境,重复访问分析可以识别出您最具价值的购物者。对于 交通 枢纽,旅客流量数据可以优化人员配置和商业空间规划。
Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme、Fortinet 以及锐捷集成,使其成为与硬件无关的云覆盖层,可与您现有的设备协同工作,而无需进行更换。
關鍵定義
Captive Portal
公共訪問網絡的用戶在獲得互聯網訪問權限之前必須查看並與之互動的網頁。它會攔截所有 HTTP 流量,並將用戶的瀏覽器重定向到門戶頁面。
在來賓 WiFi 網絡上強制執行身份驗證的核心機制。用於酒店、零售、體育場館和公共部門場所,以控制訪問並獲取同意。
Walled garden
一個預先身份驗證的白名單,允許特定域名和 IP 地址繞過 Captive Portal 的攔截。在用戶進行身份驗證之前,允許流向這些目的地的流量。
對於在用戶完全通過身份驗證之前允許設備加載歡迎頁面、訪問社交登錄提供商以及處理付款流程至關重要。此處配置錯誤是導致 Captive Portal 失敗的主要原因。
RADIUS
遠程用戶撥號認證系統。一種網絡協議,為連接到網絡服務的用戶提供集中式的身份驗證、授權和計費管理。
Ruijie 控制器與 Purple 的服務器進行安全通信所使用的協議。身份驗證請求發送到端口 1812 (UDP);計費記錄發送到端口 1813 (UDP)。
WISPr
無線互聯網服務提供商漫遊。一種協議規範,定義了 Captive Portal 如何將未授權的用戶重定向到登錄頁面,以及訪問控制器如何接收身份驗證結果。
Ruijie 和 Purple 用於處理外部 Captive Portal 重定向和身份驗證流程的特定協議框架。Ruijie 網關上的外部門戶模式需要此協議。
VLAN isolation
在交換機級別將網絡流量劃分為不同的虛擬局域網的實踐,防止不同 VLAN 上的設備進行直接通信。
來賓網絡不容妥協的要求。確保來賓設備無法與企業服務器、員工筆記本電腦或支付終端進行通信,即使它們連接到同一個物理基礎設施也是如此。
Portal Escape
Ruijie 的一項功能,如果接入點和門戶服務器變得不可訪問,該功能會自動釋放用戶流量,從而在服務中斷期間允許未經身份驗證的互聯網訪問。
在可用性和安全性之間做出的刻意折衷。酒店運營商可能會啟用它,以防止在發生故障時引起顧客投訴。醫療保健和零售運營商通常會禁用它,以便在任何時候都強制執行嚴格的身份驗證。
SSID
服務集標識符。無線網絡的公共名稱,設備會在其中顯示其可用網絡列表。
來賓在其設備上選擇的網絡名稱,這會觸發 Captive Portal 重定向。Ruijie 部署中的每個 SSID 都映射到特定的 VLAN 和身份驗證策略。
QoS
服務質量。一組管理數據流量的技術,旨在減少丟包、延遲和抖動,並確保特定流量類型的可預測性能。
用於來賓網絡中以限制每個用戶的帶寬,防止單個設備飽和互聯網鏈路並降低所有其他已連接用戶的體驗。
802.1X
基於端口的網絡訪問控制的 IEEE 標準,為連接到局域網 (LAN) 或無線局域網 (WLAN) 的設備提供身份驗證機制。
用於需要目錄備份身份(例如,通過 Microsoft Entra ID 或 Okta)的員工網絡。通常不合適用於來賓網絡,來賓網絡的合適模式是帶有 RADIUS 的 Captive Portal。
範例
一家擁有 250 間客房的飯店使用 Ruijie RG-AP820-I 基地台和 RG-EG310GH-E 閘道器。他們要求訪客透過電子郵件進行驗證,以建立行銷資料庫。管理階層擔心訪客繞過 portal,以及會議活動期間尖峰時段的頻寬飽和問題。
IT 團隊在核心交換器上建立一個專用的訪客 VLAN (VLAN 40),並將其 Trunk 連線至 Ruijie 閘道器和 AP。在 Ruijie Cloud 中,他們建立一個對應至 VLAN 40 的開放 SSID。他們設定了外部 Captive Portal 策略,指向 Purple 歡迎頁面 URL,並填入來自 Purple 管理後台的 Portal 伺服器 URL 和 RADIUS 憑證。至關重要的是,他們設定了 Walled Garden 以僅允許流量傳送到 Purple 的網域,並停用 Ruijie 閘道器上的 Portal Escape 功能,防止在 portal 發生任何故障期間出現未經驗證的存取。他們套用了 QoS 策略,限制每個用戶端的下載速度為 10 Mbps,上傳速度為 3 Mbps。針對會議活動,他們在 VLAN 50 上建立了一個獨立的 SSID,使用憑證型 portal,並套用更嚴格的每台裝置 5 Mbps 頻寬限制。
一家擁有 50 個據點的零售連鎖店使用 Ruijie WS6008 控制器。他們為存取 WiFi 的顧客實作了社群登入(Facebook 和 Google Workspace),但當使用者點擊社群登入按鈕時,portal 頁面會卡住。此問題同時影響了所有 50 個據點。
IT 經理發現 Ruijie 控制器上的允許清單 (Walled Garden) 設定缺少了 Facebook 和 Google 所需的 OAuth 網域。雖然 Purple portal URL 已被正確允許,但 OAuth 握手所需的社群提供者網域被 captive portal 攔截阻擋了。團隊將必要的萬用字元網域(特別是 *.facebook.com、*.fbcdn.net、accounts.google.com 和 *.googleapis.com)新增至 Ruijie 允許清單中。他們透過 Ruijie Cloud 將更新後的設定同時推送至所有 50 個據點,在單次操作中解決了整個區域的問題。
練習題
Q1. 您已在 Ruijie RG-EG 閘道器上設定了外部 Captive Portal。訪客連線到 SSID,但他們的裝置回報「沒有網際網路連線」,且 Portal 頁面從未載入。最可能的設定錯誤是什麼,您該如何解決?
提示:考慮在使用者看到登入頁面之前,哪些網路操作必須成功。
查看標準答案
Walled garden (允許清單) 設定錯誤。Ruijie 閘道器封鎖了連線到外部 Purple 預載頁面 URL 所需的 DNS 解析或 HTTP 流量。在驗證之前,裝置必須能夠解析 Portal 網域並與其建立 HTTP 連線。請在 Ruijie 驗證與帳戶 (Auth & Account) 區段中,將特定的 Purple 網域新增至驗證前允許清單中。同時確認訪客 VLAN 已透過 DHCP 指派有效的 DNS 伺服器。
Q2. 體育場 IT 總監希望在活動期間部署 Ruijie AP 以提供歌迷 WiFi。他們希望收集行銷資料,但擔心在開放入場的前 30 分鐘內,當 10,000 名歌迷同時連線時,RADIUS 驗證會造成延遲。他們應該如何設計驗證流程,以平衡資料收集與使用者體驗?
提示:考慮在大型情境下,資料豐富度與驗證阻力之間的權衡。
查看標準答案
對於先前已驗證過的回訪歌迷,他們應使用 Purple 的一鍵登入 (One-Click Login),這可以跳過表單填寫並減輕 RADIUS 負載。對於新歌迷,較佳的做法是使用最少欄位的手機/電子郵件收集表單,而非需要額外 OAuth 來回通訊的社群媒體登入。Ruijie 閘道器的規格必須足以處理同時進行的 RADIUS 請求——針對 10,000 個同時連線,需要高容量的 RG-EG 系列閘道器。啟用無感上網 (Seamless Online) 並設定 30 天的工作階段有效期,意味著回訪歌迷在後續活動中會自動連線。應實施嚴格的 QoS 限制 (每台裝置 5 Mbps),以防止先到的群眾在主力人群到達前就將頻寬佔滿。
Q3. 在安全性稽核期間,渗透測試人員在連線到 Ruijie AP 廣播的「Guest WiFi」SSID 時,存取了企業檔案伺服器。訪客網路使用的是設定正確的 Captive Portal。您該如何解決這個嚴重的安全漏洞?
提示:驗證和網路區隔是不同的事項。一者並不代表另一者。
查看標準答案
Captive Portal 運作正常,但缺少 VLAN 隔離或設定錯誤。訪客 SSID 將已驗證的使用者置於企業 VLAN 或原生 VLAN 中,該 VLAN 具有通往內部伺服器的路由權限。您需要:(1) 在核心交換器上建立專用的訪客 VLAN (例如 VLAN 50);(2) 在 Ruijie 控制器中將訪客 SSID 指派給 VLAN 50;(3) 將連接 AP 的交換器連接埠設定為允許 VLAN 50 的 802.1Q trunk;(4) 設定 Ruijie 閘道器以封鎖 VLAN 50 與所有企業子網之間的路由,僅允許來自訪客 VLAN 的網際網路流量。驗證與網路區隔是獨立的安全控制措施——兩者都必須正確設定。
Q4. 您的 Ruijie 部署已啟用 Portal Escape。在 Purple RADIUS 伺服器的計劃維護期間,您發現訪客無需驗證即可存取網際網路。這是預期中的行為嗎?這對合規性有何影響?
提示:考慮 Portal Escape 的目的以及您的 GDPR 義務。
查看標準答案
是的,這是 Portal Escape 的預期行為。當 Portal 伺服器無法連線時,Ruijie 會自動開放流量以維持連線。然而,這會產生合規性漏洞:使用者在未同意資料處理的情況下存取網際網路,如果您的服務條款或資料收集與驗證事件綁定,這可能會違反 GDPR 要求。對於將同意書收集視為法律或商業要求的場所,應停用 Portal Escape。請將 RADIUS 伺服器的維護時間安排在訪客活動最少的時段,並向場所管理團隊溝通維護時間。考慮實施備用 Purple RADIUS 伺服器作為容錯移轉,以完全避免此情況。
繼續閱讀本系列
Ruijie 的 Captive Portal:搭配 Purple 訪客 WiFi 進行設定
說明 Purple 的雲端訪客 WiFi 如何透過網頁驗證和 RADIUS(自命令列設定)部署於 Ruijie RG 系列基地台之上,以及在哪裡可以找到確切的設定步驟。
設計 B2B Captive Portals:收集註冊姓名與公司資料
本指南為 IT 經理與場域營運商提供了一個與廠商無關的技術框架,用於設計 B2B captive portals。指南詳細說明了如何規劃註冊欄位以擷取註冊姓名和公司資料,在確保高填答率的同時,維持 GDPR 合規性並建立企業帳戶級別的情報。
Captive Portal 架構:安全性、重新導向與最佳實踐
企業級 Captive Portal 架構的權威技術指南。本指南為部署安全且富含數據的訪客 WiFi 網絡的 IT 決策者,深入解析網路隔離、DNS 重新導向、RADIUS 驗證與安全合規性。