跳至主要內容

逐步指南:為訪客 WiFi Captive Portals 設定 Ruijie 無線控制器

本指南提供設定 Ruijie 無線控制器與閘道器以部署企業級訪客 WiFi captive portals 的完整技術解說。內容涵蓋 VLAN 區隔、透過 WISPr 協定進行外部 RADIUS 驗證、Walled Garden 設定,以及與 Purple 的 Identity-Based Networks 平台無縫整合,以便在餐飲旅宿、零售及公共部門環境中收集第一方數據並創造可衡量的商業價值。

📖 8 分鐘閱讀📝 1,834 字數🔧 2 範例4 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收看 Purple 技術簡報系列。今天我們要探討的是企業級無線網路中最常被搜尋的主題之一:如何配置 Ruijie 無線控制器以實現安全的訪客 WiFi Captive Portal。我是你們的主持人,這是一個為 IT 經理、網路架構師和場地營運總監設計的十分鐘簡報,旨在協助您在第一次配置時就能正確搞定。 讓我們從背景脈絡開始。如果您負責管理飯店、連鎖零售、會議中心或大型公共場所的 IT,訪客 WiFi 已不再只是附加設施,而是一項基本的營運要求。訪客期望有此服務,監管機構要求您負責任地處理他們的數據,而您的行銷團隊則希望獲得它所產生的第一方數據。挑戰在於如何在大規模的分散式園區中安全地部署它,而不會造成合規性方面的困擾。 Ruijie Networks 是全球最大的企業級網路設備廠商之一,在旅宿、零售和公共部門環境中擁有龐大的裝機量。他們的 RG-WS 系列無線控制器和 RG-EG 系列閘道器是適合企業訪客 WiFi 的高效平台,但 Captive Portal 的設定需要精準執行。一旦出錯,您最終得到的不是安全漏洞,就是一個根本無法運作的入口網站。 現在讓我們深入探討技術架構。任何安全訪客網路的絕對基礎都是流量隔離。您不能讓訪客裝置與您的刷卡終端機、員工筆記型電腦或後勤辦公室伺服器處於同一個網路區段。實現此目的的機制是 VLAN 區隔。在 Ruijie 環境中,您在核心交換器上建立一個專屬的訪客 VLAN,為其分配一個獨立的 IP 子網路,並將其 trunk 傳輸到您的存取點。典型的部署可能會使用 VLAN 10 作為企業網路、VLAN 20 作為語音、VLAN 30 作為訪客,以及 VLAN 99 作為管理。這是不可妥協的。如果您省略此步驟,您得到的只是便利的 WiFi,而不是安全的 WiFi。 一旦網路正確區隔後,我們就進入身分驗證階段。共享的金鑰並不是企業級安全。它無法提供可追溯性、無法進行個人工作階段追蹤,也無法在不為所有人變更密碼的情況下撤銷單一使用者的存取權限。相反地,我們使用帶有 RADIUS 驗證的外部 Captive Portal。 以下是其運作流程。訪客連線到 Ruijie 存取點廣播的開放 SSID。Ruijie 閘道器會攔截其 HTTP 流量,並將其重導向至外部 Landing Page(在此案例中是由 Purple 託管)。訪客會看到一個品牌化的登入頁面。他們進行驗證,可能是透過電子郵件註冊、社群媒體登入或一鍵同意。Purple 的伺服器處理該驗證,並將 RADIUS 接受訊息傳送回 Ruijie 控制器。隨後,控制器便授予該裝置網際網路存取權限。這整個流程皆使用 WISPr 協定,這是企業級無線網路中外部 Captive Portal 驗證的標準架構。 這裡的商業價值非常顯著。每次驗證事件都會記錄一次同意。Purple 的平台以符合 GDPR 與 CCPA 的方式儲存該資料、建立第一方行銷資料庫,並將分析數據回饋給您的團隊。Harrods 採用這種方法來推廣其會員計劃,並實現了高達五十七倍的投資報酬率。c2c Rail 實現了一百二十一%的投資報酬率,並節省了七萬六千英鎊的營運成本。這就是妥善執行此方案的商業實例。 現在,讓我們逐步了解 Ruijie Cloud 或本地控制器介面中的具體設定步驟。 第一步:建立訪客 SSID。登入 Ruijie Cloud 或您的本地控制器。導覽至「裝置設定」,選擇「無線」下的「Wi-Fi」,然後建立一個新的 SSID。將其命名為清晰的名稱,例如「Free Guest WiFi」。將安全模式設定為「開放」,並將其指派給您的訪客 VLAN。 第二步:定義 Captive Portal 策略。導覽至「認證與帳戶」,然後選擇「認證」下的「Captive Portal」。建立一個新策略。將「策略模式」設定為「外部」。將「認證裝置」設定為您的 Ruijie 閘道器或存取點。選擇訪客 SSID。在「Portal 伺服器 URL」欄位中,輸入您的 Purple 歡迎頁面 URL。輸入 Purple RADIUS 伺服器 IP 位址。 第三步:設定 Walled Garden(Ruijie 稱為允許清單)。這是任何 Captive Portal 部署中最常設定錯誤的元素。Walled Garden 定義了使用者在驗證前可以通過哪些流量。如果您沒有明確允許 Purple 網域,歡迎頁面將無法載入。如果您提供 Facebook 或 Google 登入,但未允許其 OAuth 網域,驗證將會卡在社群登入按鈕。請新增所有必要的 Purple 基礎設施網域,以及您打算支援的所有社群提供商網域。 第四步:設定 RADIUS。新增主要和次要 Purple RADIUS 伺服器 IP 位址。輸入您 Purple 儀表板中的共用金鑰。確保在連接埠 1813 上啟用了 RADIUS 計費。這可讓 Purple 精確追蹤工作階段持續時間和數據使用量,從而直接匯入您的分析報告中。 第五步:套用 QoS 策略。未受限制的訪客存取可能會使您的網際網路連線飽和。在 Ruijie 閘道器上為每個使用者設定嚴格的頻寬限制——對於標準旅宿業部署,通常為下載 5 到 10 Mbps,上傳 2 到 5 Mbps。這可以保障所有訪客的體驗,並防止單一裝置降低網路效能。 現在讓我們來看看關鍵的實作陷阱。 第一個是 Walled Garden。我必須強調,這往往是部署失敗的根本原因。請使用未保留快取憑證的乾淨裝置測試您的 Portal。如果頁面無法載入,請先檢查您的允許清單。 第二個陷阱是 Portal Escape 設定。這項 Ruijie 功能會在存取點(access point)與 portal 伺服器無法連線時,自動放行使用者流量。這聽起來很有幫助,但這意味著在斷線期間,未經身分驗證的使用者也能存取網際網路。在將取得同意視為法律要求的企業環境中,您會希望停用此功能,以隨時強制執行嚴格的身分驗證。 第三個陷阱是韌體版本。某些 captive portal 功能(特別是頻寬控制與動態 VLAN 分配)需要 Ruijie 閘道器上的特定韌體版本。在部署前,請檢查 Ruijie 的版本說明,並確保您的裝置正在運行受支援的韌體版本。 現在進入快速問答環節。 我應該在存取點還是閘道器上處理 captive portal 嗎?在 Ruijie 企業部署中,請在閘道器端處理。RG-EG 系列閘道器旨在管理外部 portal 攔截並執行 QoS 策略。存取點則專注於 RF 效能與 SSID 廣播。 我可以在不同的 SSID 上運行多個 captive portals 嗎?是的。Ruijie 支援將多個 captive portal 策略對應到不同的 SSID。您可以在一個 SSID 上設定標準訪客 portal,在另一個 SSID 上設定付費高級 portal,兩者具有不同的頻寬限制和驗證方法。 如何處理多據點部署?使用 Ruijie Cloud 進行集中設定管理。您可以同時向所有據點推送 portal 策略,以確保一致性並消除各據點之間的設定偏差。 總結關鍵要點:在執行任何其他操作之前,請先使用 VLAN 進行流量細分。使用外部 RADIUS 驗證來獲取合規的第一方數據。仔細設定您的 Walled Garden,並使用乾淨的裝置進行測試。根據您的合規性要求,對 Portal Escape 做出審慎的決定。應用 QoS 以保護使用者體驗。並將您的 Ruijie 基礎架構與 Purple 的 Identity-Based Networks 整合,將基本的連線轉化為安全、數據驅動且能創造收益的資產。 Purple 在全球超過八萬個實體場域營運,在 2024 年處理了 4.4 億次登入,並持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證。我們與硬體無關,這意味著您對 Ruijie 的投資與我們的雲端重疊平台完全相容。 感謝您的收聽。如果您想瞭解 Purple 如何與您的 Ruijie 設備整合,請造訪 purple.ai/guest-wifi。安全部署,我們下次簡報見。

header_image.png

执行摘要

在分布式企业中部署访客 WiFi 不仅仅是提供一个开放的 SSID。对于 IT 经理和网络架构师而言,挑战在于如何在无缝接入与严格的安全、GDPR 合规性以及数据采集需求之间取得平衡。本指南详细介绍了使用锐捷无线控制器和网关部署安全、可扩展的 Captive Portal 的具体配置步骤,并展示了将该基础设施与 Purple 的 Guest WiFi 平台集成如何将基本的无线连接转化为合规且能带来收益的资产。

我们将涵盖技术先决条件、VLAN 隔离策略、通过 WISPr 协议进行的外部 RADIUS 认证、围墙花园(Walled Garden)配置,以及生产级部署所需的特定 QoS 设置。无论您管理的是拥有 200 间客房的酒店、拥有 50 家门店的零售连锁,还是可容纳 40,000 人的体育场,本指南都为安全的锐捷 Captive Portal 设置提供了权威蓝图。Purple 在全球 80,000 多个活跃场所运行,并在 2024 年处理了 4.4 亿次登录(Purple 内部数据),因此这里描述的集成模式在大规模应用中已得到验证。

architecture_overview.png

技术架构与先决条件

在修改您的锐捷控制器之前,请先建立正确的网络架构。安全的访客网络要求在第 2 层(交换机级别)与企业流量进行完全隔离。

网络分段

安全访客 WiFi 的基石是 VLAN 隔离。您必须在锐捷网关或核心交换机上创建一个专用的访客 VLAN。这可以确保访客流量绝不会与内部系统、支付终端或员工设备发生交集。锐捷部署的标准企业 VLAN 方案如下所示:

VLAN ID 用途 备注
10 企业 员工设备、内部服务器
20 语音 VoIP 话机
30 访客 Captive Portal、仅限互联网
40 物联网 打印机、智能电视、传感器
99 管理 控制器、交换机管理

有关为什么消费级方法在此处会失败的更多信息,请阅读 为什么消费级 WiFi 设备不适用于您的访客网络

所需组件

要完成此部署,您需要:

  • 一个锐捷云账号或本地锐捷 RG-WS 系列无线控制器(例如 RG-WS6008 或 RG-WS7110)。
  • 一台锐捷 RG-EG 系列网关 - 通过 WISPr 进行外部门户认证所必需。
  • 锐捷 RG-AP 系列无线接入点(例如 RG-AP820-I、RG-AP850-AR)。
  • 需要 Purple Connect、Capture 或 Engage 许可。
  • 允许从网关到 Purple 服务器的端口 1812(RADIUS 认证)和 1813(RADIUS 计费)的出站 UDP 访问。

认证协议概述

锐捷(Ruijie)支持多种认证方式。企业级部署应使用外部 RADIUS 认证。此方法使用 WISPr(无线互联网服务提供商漫游)协议,安全地将未认证的用户重定向到 Purple 的 Splash Page(登录页面),处理其凭据,并向锐捷控制器返回 RADIUS 接受(Accept)或拒绝(Reject)消息。

comparison_chart.png

上表总结了锐捷平台提供的五种认证方式。电子邮件注册和社交媒体登录是酒店和零售环境中最常用的选择,因为它们可以捕获结构化的、符合 GDPR 规范的第一方数据。凭证码(Voucher codes)适用于会议室和付费访问层级。带有 802.1X 的 RADIUS 则专用于需要目录支持身份验证的员工网络。

分步实施指南

请在锐捷云(Ruijie Cloud)或本地控制器界面中执行以下步骤。以下 UI 路径适用于锐捷云新界面(2024 年后)和锐捷 JaCS 平台。

第 1 步:配置访客 SSID

建立无线广播网络。

  1. 登录锐捷云或本地控制器 Web 界面。
  2. 导航至 Device Config(设备配置),并在 Wireless(无线)部分下选择 Wi-Fi
  3. 点击 + 创建新的 SSID,或编辑现有 SSID。
  4. 设置 SSID Name(SSID 名称,例如 "Free Guest WiFi")。
  5. Security Mode(安全模式)设置为 Open(开放)- 无预共享密钥。
  6. 将该 SSID 分配给您的专用访客 VLAN(例如 VLAN 30)。
  7. 保存 SSID 配置。

第 2 步:定义 Captive Portal 策略

指示控制器拦截访客流量并将其重定向到 Purple。

  1. 导航至 Auth & Account(认证与账户),并在 Authentication(认证)下选择 Captive Portal
  2. 创建新策略。设置一个描述性的 Policy Name(策略名称,例如 "Purple-Guest-Portal")。
  3. Policy Mode(策略模式)设置为 External(外部)。
  4. Authentication Device(认证设备)设置为您的锐捷网关(RG-EG 系列)或接入点。
  5. 选择在第 1 步中创建的访客 SSID。
  6. Portal Server URL 字段中,输入您专属的 Purple Splash Page URL(可在 Purple 控制面板的“硬件配置”下找到)。
  7. 在指定字段中输入 Purple RADIUS 服务器的 IP 地址。
  8. 设置 Seamless Online(无感上网)时长,以匹配您的会话超时策略(例如,酒店行业为 24 小时,零售行业为 1 小时)。
  9. 确定 Portal Escape(Portal 逃生)行为 - 请参阅下文的“最佳实践”部分。

第 3 步:配置围墙花园(白名单)

Captive Portal 会拦截所有流量,直到用户完成身份验证。某些特定流量必须允许在预身份验证阶段通过,以便加载登录页面并处理社交媒体登录。这是任何 Captive Portal 部署中最容易配置错误的部分。

  1. 导航至 Auth & Account(认证与账户)并选择 Allowlist(白名单)。
  2. 添加所有必需的 Purple 基础设施域名。您的 Purple 仪表板会提供您所在地区的具体列表。
  3. 如果您提供社交媒体登录,请添加每个提供商的 OAuth 域名:
    • 对于 Microsoft Entra ID:*.microsoft.com*.microsoftonline.comlogin.live.com
    • 对于 Google Workspace:*.google.comaccounts.google.com
    • 对于 Okta:您特定的 Okta 租户域名
  4. 如果您提供付费 WiFi 方案,请添加任何支付处理商的域名。
  5. 保存并应用白名单。

第 4 步:配置 RADIUS 身份验证

配置 Ruijie 与 Purple 之间的安全通信通道。

  1. 导航至 Ruijie 控制器或网关中的 RADIUS 服务器设置。
  2. 添加 Purple 主 RADIUS 服务器的 IP 地址和端口 1812 用于身份验证。
  3. 添加 Purple 备用 RADIUS 服务器的 IP 地址作为故障转移。
  4. 输入您 Purple 仪表板中的 Shared Secret(共享密钥)。这必须完全一致。
  5. 添加端口 1813 上的计费服务器并启用 RADIUS 计费。这将跟踪会话时长和数据使用情况,并直接反馈到 Purple 的 WiFi Analytics 报告中。
  6. NAS Identifier 设置为有意义的字符串(例如您的场馆名称),以便在 Purple 的分析中区分流量。

第 5 步:应用 QoS 策略

在高峰时段,不受限制的访客访问可能会使您的互联网链路饱和。

  1. 导航至 Ruijie 网关的 QoS 或带宽管理部分。
  2. 设置单用户下载限制(例如:酒店住客为 10 Mbps,零售顾客为 5 Mbps)。
  3. 设置单用户上传限制(例如:2-5 Mbps)。
  4. 禁用 Client Escape,以确保在门户服务器暂时无法访问时,未经验证的用户无法访问网络。
  5. 保存并向所有相关设备推送配置。

第 6 步:测试部署

请务必使用没有缓存凭据的干净设备进行测试。

  1. 将移动设备连接到访客 SSID。
  2. 打开浏览器并导航至非 HTTPS URL(例如 http://example.com)。门户页面应当进行重定向。
  3. 验证 Purple 闪屏页面(splash page)是否正确加载。
  4. 完成身份验证流程。
  5. 确认身份验证后已授予互联网访问权限。
  6. 检查 Purple 仪表板以确认该会话已显示在您的分析数据中。

企业部署最佳实践

安全与合规性

切勿依赖共享 PSK 进行访客接入。共享密码无法实现责任追溯,且无法针对单个用户进行撤销。通过使用 Purple 带有个人身份验证的 Captive Portal,您可以强制要求用户对数据处理提供明确同意,从而满足 GDPR 第 7 条的要求。Purple 拥有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证,确保数据捕获机制本身是可审计的。

如需深入了解安全架构,请阅读我们的《 企业 WiFi 安全:2026 年完整指南 》和《 什么是安全 WiFi:2026 年企业必备指南 》。

Portal Escape:深思熟虑的决策

锐捷(Ruijie)的 Portal Escape 功能会在 AP 与 Portal 服务器无法连接时,自动放行用户流量。在酒店环境中,您可能会选择启用它——因为服务器出现短暂波动导致访客无法连接 WiFi 会引发投诉。而在零售或医疗环境中,您可能会选择禁用它——未经身份验证的接入代表着合规与安全风险。请在您的网络运行手册中记录您的决定及理由。

多站点一致性

使用锐捷云(Ruijie Cloud)跨所有站点进行集中配置管理。同时推送 Portal 策略,以消除各站点之间的配置偏差——这是分布式资产中导致访客体验不一致的最常见原因。Purple 的云覆盖网络也基于相同的原理运行:一个控制面板,管理所有场所。

固件管理

某些锐捷 Captive Portal 功能(特别是带宽控制和动态 VLAN 分配)需要网关上运行特定的固件版本。锐捷的发布说明中记录了这些依赖关系。请确保您的 RG-EG 网关运行固件版本 RGOS11.9(6)B17T1 或以上,以在云管理部署中获得完整的 QoS 支持。

故障排除与风险缓解

Portal 页面加载失败

如果设备连接时未出现 Captive Portal,请先验证您的围墙花园(Walled Garden)设置。设备在进行身份验证之前,必须能够解析 DNS 并访问 Purple Portal URL。请检查您的锐捷白名单是否包含了所有必要的域名,以及您的 DNS 服务器是否可以从访客 VLAN 访问。

身份验证超时

如果用户能看到 Portal 但无法登录,问题通常出在 RADIUS 配置上。请验证 RADIUS 服务器的 IP 地址、端口(1812 用于身份验证,1813 用于计费)以及共享密钥。确保您的防火墙允许来自锐捷网关管理 IP 的这些端口的入站和出站 UDP 流量。

社交媒体登录卡死

如果用户点击社交媒体登录按钮后毫无反应,说明 OAuth 重定向被阻止了。请将所需的社交媒体提供商域名添加到您的锐捷白名单中。可以通过在身份验证前临时允许所有流量来进行测试,以确认 Portal 是否正常工作,然后逐步收紧白名单。

动态 VLAN 分配失败

如果您使用 RADIUS 动态地将用户分配到 VLAN,请确保 RADIUS 响应中包含正确的 VLAN 属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)。锐捷的 RG-EG310GH-E 及类似网关支持动态 VLAN 分配,但该功能需要在 RADIUS 服务器和网关上进行显式配置。

ROI 与业务影响

部署安全的 Captive Portal 可将访客 WiFi 从成本中心转变为战略资产。Purple 的 WiFi Analytics 平台与您的锐捷基础设施集成,可捕获第一方数据、构建高意向联系人列表,并对您整个场所内的访客行为提供切实可行的洞察。

哈罗德百货(Harrods)使用 Purple 的 Guest WiFi 推广其会员计划,实现了行业领先的选择加入率和 57 倍的 ROI(Purple 客户数据)。c2c 铁路公司(c2c Rail)使用 Purple 鼓励直接预订,实现了 121% 的投资回报率,并节省了 76,000 英镑的运营成本(Purple 客户数据)。必胜客(Pizza Express)在 470 多家餐厅部署了 Purple,以构建更丰富的客户画像。

对于 酒店餐饮 运营商,登录时捕获的数据(电子邮件、人口统计数据、访问频率)可以直接馈送到 CRM 系统和会员计划中。对于 零售 环境,重复访问分析可以识别出您最具价值的购物者。对于 交通 枢纽,旅客流量数据可以优化人员配置和商业空间规划。

Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme、Fortinet 以及锐捷集成,使其成为与硬件无关的云覆盖层,可与您现有的设备协同工作,而无需进行更换。


相关指南: Grandstream GWN 接入点与 Purple WiFi 集成

關鍵定義

Captive Portal

公共訪問網絡的用戶在獲得互聯網訪問權限之前必須查看並與之互動的網頁。它會攔截所有 HTTP 流量,並將用戶的瀏覽器重定向到門戶頁面。

在來賓 WiFi 網絡上強制執行身份驗證的核心機制。用於酒店、零售、體育場館和公共部門場所,以控制訪問並獲取同意。

Walled garden

一個預先身份驗證的白名單,允許特定域名和 IP 地址繞過 Captive Portal 的攔截。在用戶進行身份驗證之前,允許流向這些目的地的流量。

對於在用戶完全通過身份驗證之前允許設備加載歡迎頁面、訪問社交登錄提供商以及處理付款流程至關重要。此處配置錯誤是導致 Captive Portal 失敗的主要原因。

RADIUS

遠程用戶撥號認證系統。一種網絡協議,為連接到網絡服務的用戶提供集中式的身份驗證、授權和計費管理。

Ruijie 控制器與 Purple 的服務器進行安全通信所使用的協議。身份驗證請求發送到端口 1812 (UDP);計費記錄發送到端口 1813 (UDP)。

WISPr

無線互聯網服務提供商漫遊。一種協議規範,定義了 Captive Portal 如何將未授權的用戶重定向到登錄頁面,以及訪問控制器如何接收身份驗證結果。

Ruijie 和 Purple 用於處理外部 Captive Portal 重定向和身份驗證流程的特定協議框架。Ruijie 網關上的外部門戶模式需要此協議。

VLAN isolation

在交換機級別將網絡流量劃分為不同的虛擬局域網的實踐,防止不同 VLAN 上的設備進行直接通信。

來賓網絡不容妥協的要求。確保來賓設備無法與企業服務器、員工筆記本電腦或支付終端進行通信,即使它們連接到同一個物理基礎設施也是如此。

Portal Escape

Ruijie 的一項功能,如果接入點和門戶服務器變得不可訪問,該功能會自動釋放用戶流量,從而在服務中斷期間允許未經身份驗證的互聯網訪問。

在可用性和安全性之間做出的刻意折衷。酒店運營商可能會啟用它,以防止在發生故障時引起顧客投訴。醫療保健和零售運營商通常會禁用它,以便在任何時候都強制執行嚴格的身份驗證。

SSID

服務集標識符。無線網絡的公共名稱,設備會在其中顯示其可用網絡列表。

來賓在其設備上選擇的網絡名稱,這會觸發 Captive Portal 重定向。Ruijie 部署中的每個 SSID 都映射到特定的 VLAN 和身份驗證策略。

QoS

服務質量。一組管理數據流量的技術,旨在減少丟包、延遲和抖動,並確保特定流量類型的可預測性能。

用於來賓網絡中以限制每個用戶的帶寬,防止單個設備飽和互聯網鏈路並降低所有其他已連接用戶的體驗。

802.1X

基於端口的網絡訪問控制的 IEEE 標準,為連接到局域網 (LAN) 或無線局域網 (WLAN) 的設備提供身份驗證機制。

用於需要目錄備份身份(例如,通過 Microsoft Entra ID 或 Okta)的員工網絡。通常不合適用於來賓網絡,來賓網絡的合適模式是帶有 RADIUS 的 Captive Portal。

範例

一家擁有 250 間客房的飯店使用 Ruijie RG-AP820-I 基地台和 RG-EG310GH-E 閘道器。他們要求訪客透過電子郵件進行驗證,以建立行銷資料庫。管理階層擔心訪客繞過 portal,以及會議活動期間尖峰時段的頻寬飽和問題。

IT 團隊在核心交換器上建立一個專用的訪客 VLAN (VLAN 40),並將其 Trunk 連線至 Ruijie 閘道器和 AP。在 Ruijie Cloud 中,他們建立一個對應至 VLAN 40 的開放 SSID。他們設定了外部 Captive Portal 策略,指向 Purple 歡迎頁面 URL,並填入來自 Purple 管理後台的 Portal 伺服器 URL 和 RADIUS 憑證。至關重要的是,他們設定了 Walled Garden 以僅允許流量傳送到 Purple 的網域,並停用 Ruijie 閘道器上的 Portal Escape 功能,防止在 portal 發生任何故障期間出現未經驗證的存取。他們套用了 QoS 策略,限制每個用戶端的下載速度為 10 Mbps,上傳速度為 3 Mbps。針對會議活動,他們在 VLAN 50 上建立了一個獨立的 SSID,使用憑證型 portal,並套用更嚴格的每台裝置 5 Mbps 頻寬限制。

考官評語: 此方法正確地在 Layer 2 隔離了訪客流量,強制執行符合 GDPR 規範數據收集的外部 RADIUS 驗證,並套用了與使用情境相符的頻寬控制。停用 Portal Escape 是一個深思熟慮的安全決策,可防止在網路中斷期間發生未經驗證的存取。使用憑證驗證的獨立會議 SSID 是一種實用的模式,適用於同時接待臨時訪客和具有不同存取權限需求的活動參與者的場所。

一家擁有 50 個據點的零售連鎖店使用 Ruijie WS6008 控制器。他們為存取 WiFi 的顧客實作了社群登入(Facebook 和 Google Workspace),但當使用者點擊社群登入按鈕時,portal 頁面會卡住。此問題同時影響了所有 50 個據點。

IT 經理發現 Ruijie 控制器上的允許清單 (Walled Garden) 設定缺少了 Facebook 和 Google 所需的 OAuth 網域。雖然 Purple portal URL 已被正確允許,但 OAuth 握手所需的社群提供者網域被 captive portal 攔截阻擋了。團隊將必要的萬用字元網域(特別是 *.facebook.com*.fbcdn.netaccounts.google.com*.googleapis.com)新增至 Ruijie 允許清單中。他們透過 Ruijie Cloud 將更新後的設定同時推送至所有 50 個據點,在單次操作中解決了整個區域的問題。

考官評語: Walled garden 設定錯誤是 captive portal 部署中社群登入失敗最常見的原因。captive portal 必須明確允許預先驗證流量傳送到身分驗證提供者的 OAuth 網域,否則重新導向程序無法完成。使用 Ruijie Cloud 進行集中式設定推送是多據點環境的正確做法,在 50 個地點進行手動逐點設定極易出錯且耗時。

練習題

Q1. 您已在 Ruijie RG-EG 閘道器上設定了外部 Captive Portal。訪客連線到 SSID,但他們的裝置回報「沒有網際網路連線」,且 Portal 頁面從未載入。最可能的設定錯誤是什麼,您該如何解決?

提示:考慮在使用者看到登入頁面之前,哪些網路操作必須成功。

查看標準答案

Walled garden (允許清單) 設定錯誤。Ruijie 閘道器封鎖了連線到外部 Purple 預載頁面 URL 所需的 DNS 解析或 HTTP 流量。在驗證之前,裝置必須能夠解析 Portal 網域並與其建立 HTTP 連線。請在 Ruijie 驗證與帳戶 (Auth & Account) 區段中,將特定的 Purple 網域新增至驗證前允許清單中。同時確認訪客 VLAN 已透過 DHCP 指派有效的 DNS 伺服器。

Q2. 體育場 IT 總監希望在活動期間部署 Ruijie AP 以提供歌迷 WiFi。他們希望收集行銷資料,但擔心在開放入場的前 30 分鐘內,當 10,000 名歌迷同時連線時,RADIUS 驗證會造成延遲。他們應該如何設計驗證流程,以平衡資料收集與使用者體驗?

提示:考慮在大型情境下,資料豐富度與驗證阻力之間的權衡。

查看標準答案

對於先前已驗證過的回訪歌迷,他們應使用 Purple 的一鍵登入 (One-Click Login),這可以跳過表單填寫並減輕 RADIUS 負載。對於新歌迷,較佳的做法是使用最少欄位的手機/電子郵件收集表單,而非需要額外 OAuth 來回通訊的社群媒體登入。Ruijie 閘道器的規格必須足以處理同時進行的 RADIUS 請求——針對 10,000 個同時連線,需要高容量的 RG-EG 系列閘道器。啟用無感上網 (Seamless Online) 並設定 30 天的工作階段有效期,意味著回訪歌迷在後續活動中會自動連線。應實施嚴格的 QoS 限制 (每台裝置 5 Mbps),以防止先到的群眾在主力人群到達前就將頻寬佔滿。

Q3. 在安全性稽核期間,渗透測試人員在連線到 Ruijie AP 廣播的「Guest WiFi」SSID 時,存取了企業檔案伺服器。訪客網路使用的是設定正確的 Captive Portal。您該如何解決這個嚴重的安全漏洞?

提示:驗證和網路區隔是不同的事項。一者並不代表另一者。

查看標準答案

Captive Portal 運作正常,但缺少 VLAN 隔離或設定錯誤。訪客 SSID 將已驗證的使用者置於企業 VLAN 或原生 VLAN 中,該 VLAN 具有通往內部伺服器的路由權限。您需要:(1) 在核心交換器上建立專用的訪客 VLAN (例如 VLAN 50);(2) 在 Ruijie 控制器中將訪客 SSID 指派給 VLAN 50;(3) 將連接 AP 的交換器連接埠設定為允許 VLAN 50 的 802.1Q trunk;(4) 設定 Ruijie 閘道器以封鎖 VLAN 50 與所有企業子網之間的路由,僅允許來自訪客 VLAN 的網際網路流量。驗證與網路區隔是獨立的安全控制措施——兩者都必須正確設定。

Q4. 您的 Ruijie 部署已啟用 Portal Escape。在 Purple RADIUS 伺服器的計劃維護期間,您發現訪客無需驗證即可存取網際網路。這是預期中的行為嗎?這對合規性有何影響?

提示:考慮 Portal Escape 的目的以及您的 GDPR 義務。

查看標準答案

是的,這是 Portal Escape 的預期行為。當 Portal 伺服器無法連線時,Ruijie 會自動開放流量以維持連線。然而,這會產生合規性漏洞:使用者在未同意資料處理的情況下存取網際網路,如果您的服務條款或資料收集與驗證事件綁定,這可能會違反 GDPR 要求。對於將同意書收集視為法律或商業要求的場所,應停用 Portal Escape。請將 RADIUS 伺服器的維護時間安排在訪客活動最少的時段,並向場所管理團隊溝通維護時間。考慮實施備用 Purple RADIUS 伺服器作為容錯移轉,以完全避免此情況。