HPE Aruba Instant 與訪客 WiFi：搭配 Purple 設定 captive portal

歡迎閱讀這份關於將 HPE Aruba ClearPass 與 Purple WiFi 平台整合的技術簡報。我是您的主持人，今天我們將深入探討如何結合 ClearPass Policy Manager 強大的網路存取控制與 Purple 業界領先的顧客 WiFi 及分析功能，並分析其架構、部署策略與營運優勢。 對於管理大型場域（無論是擴展迅速的零售連鎖店、高密度的體育場，還是複雜的醫療園區）的 IT 經理、網路架構師及 CTO 而言，提供安全、隔離且具洞察力的無線網路存取至關重要。ClearPass 在企業裝置的情境感知原則強制執行與 802.1X 驗證方面表現極為出色。然而，若談到顧客上網引導、Captive Portal 以及從訪客數據中擷取具可行性的行銷分析，Purple 則是無庸置疑的領導者。 我們今天要求解的核心問題是：如何配置 ClearPass 以使用 Purple 作為 Captive Portal，同時保留 ClearPass 進行 NAC 與動態基於角色的 VLAN 指派？讓我們深入探討。 首先，我們來建立架構。在高階層面上，此整合仰賴標準 RADIUS 協定與 HTTP 重新導向機制。您的 Aruba 行動控制器或 Instant Access Point 會廣播顧客 SSID。當未經驗證的裝置連線時，控制器會攔截 HTTP 流量，並將使用者的瀏覽器重新導向至 Purple Captive Portal。這個重新導向是第一個需要正確設定的關鍵環節。 現在，使用者透過 Purple 進行驗證。這可能是透過 Facebook 或 Google 的社群登入、自訂電子郵件與密碼表單，甚至是 OpenRoaming - 其中 Purple 在 Connect 授權下扮演免費身分識別提供者的角色。一旦 Purple 驗證了使用者，它就會將 RADIUS Access-Accept 訊息傳回控制器，隨後控制器便會授與網路存取權限。 但這正是 ClearPass 變得不可或缺的地方。您不需要讓 Aruba 控制器直接與 Purple 的 RADIUS 伺服器通訊，而是將 ClearPass 作為 RADIUS 代理伺服器插入兩者之間。控制器會將所有 RADIUS 請求傳送至 ClearPass。ClearPass 會評估該請求，如果符合您的顧客服務路由原則，就會將其轉發至 Purple 的雲端 RADIUS 伺服器。Purple 做出回應，ClearPass 則將該回應傳回給控制器，但至關重要的一點是，它可以在執行此操作之前附加自己的原則屬性。 這種代理架構讓您兼顧兩者的優勢。ClearPass 會保留您網路上每個驗證事件（包括企業與顧客）的完整稽核記錄。您能獲得安全維運的單一管理介面，而 Purple 則處理面向使用者的體驗與分析，您完全不需要更換現有的 NAC 投資。 接著我們來談談動態 VLAN 指派，因為這正是功能變得無比強大之處 - 也是大多數部署在不夠謹慎時容易遇到問題的地方。 ClearPass 使用一種稱為「角色」與「強制設定檔」（Roles and Enforcement Profiles）的概念。當驗證請求傳入時，ClearPass 會評估其上下文：使用者是誰、他們使用什麼裝置、時間、以及他們從哪個位置連線。根據這些因素，它會指派一個「角色」。對於一般訪客，可能是 ROLE_GUEST。對於 VIP，可能是 ROLE_VIP。對於承包商，則是 ROLE_CONTRACTOR。 此角色隨後會對應到一個「強制設定檔」，該設定檔定義了要傳回給 Aruba 控制器的特定 RADIUS 屬性。這裡最重要的屬性是 Aruba-User-Role 廠商專屬屬性（VSA）。這會告訴控制器在無線端確切要將使用者歸入哪一個角色。 在 Aruba 控制器上，每個角色都對應到特定的 VLAN 和一組防火牆原則。因此，ROLE_GUEST 對應到 VLAN 20，僅限存取網際網路，且頻寬限制為 10 Mbps。ROLE_VIP 對應到 VLAN 40，限制為 50 Mbps。ROLE_IOT 則對應到 VLAN 30，這是一個完全隔離的網段，沒有網際網路存取權，僅供智慧型裝置進行本機連線。 這種分割不僅是最佳做法，更是合規性要求。根據 PCI-DSS，任何接觸到持卡人資料的網路都必須與訪客網路隔離。根據 GDPR，您需要能夠證明透過訪客入口網頁收集的個人資料得到適當處理，且訪客流量無法穿過您的企業基礎架構。 現在，讓我帶您了解一個實際案例：一家在多個據點擁有 500 間客房的大型連鎖飯店。他們在每個站點都部署了 Aruba 控制器，並集中部署了 ClearPass，他們希望推出 Purple 訪客 WiFi。 部署架構如下。每個站點有兩個 SSID：Hotel_Corp 和 Hotel_Guest。Hotel_Corp 使用 802.1X 憑證，透過 ClearPass 對 Active Directory 進行驗證。Hotel_Guest 是一個開放式 SSID，會觸發 Purple Captive Portal。 在 ClearPass 中，他們建立了兩個服務。服務一符合 Hotel_Corp，並在本地處理 802.1X 驗證。服務二符合 Hotel_Guest，並使用 RADIUS 路由原則將請求代理傳送到 Purple。服務二的強制原則會傳回 guest-authenticated 的 Aruba-User-Role，對應到控制器上的 VLAN 20。 對於 IoT 裝置（智慧電視、恆溫器、門鎖），他們使用第三個 SSID：Hotel_IoT，並採用基於 MAC 的驗證。ClearPass 利用裝置的 OUI 分析其特性並指派 ROLE_IOT，將其歸入 VLAN 30。 結果如何？員工獲得完整的企業存取權限。訪客獲得具備社群登入與行銷訂閱功能、符合品牌形象且具互動性的入口網頁體驗。IoT 裝置則被隔離。而 IT 團隊在 ClearPass 的 Access Tracker 中，對這三種使用者類型都擁有完整的能見度。 現在我們來談談陷阱，因為如果您沒有做好準備，有幾個陷阱會讓您措手不及。 第一，walled garden（圍牆花園）。這是 Captive Portal 失敗最常見的原因。在裝置通過驗證之前，Aruba 控制器只允許流量傳送到預先定義的目標清單 - 即 walled garden。如果 Purple 的 portal URL、其後端 API 端點以及社群登入供應商網域不在該清單中，portal 就無法載入。您需要主動維護此清單。Facebook 和 Google 等社群登入供應商會定期變更其 IP 範圍和 CDN 網域。請將 walled garden 視為動態的設定。 第二，RADIUS 逾時。大多數 Aruba 控制器上的預設 RADIUS 逾時為三秒。在代理架構中，請求從 AP 傳送到控制器、傳送到 ClearPass、跨網際網路傳送到 Purple 的雲端 RADIUS，然後返回。在擁擠的網路中，該往返時間很容易超過三秒。請將您的逾時時間增加到至少十秒，並設定重試邏輯。 第三，共用金鑰（shared secret）不比對。這會導致無聲的失敗，極難診斷。Aruba 控制器與 ClearPass 之間的共用金鑰必須完全一致。ClearPass 與 Purple 的 RADIUS 伺服器之間的共用金鑰也必須完全一致。單個字元的差異都會導致驗證失敗，且不會向終端使用者顯示任何有意義的錯誤訊息。請務必重複檢查這些設定。 第四，角色名稱區分大小寫。ClearPass 傳回的 Aruba-User-Role VSA 必須與 Aruba 控制器上定義的角色名稱完全一致（包括大小寫）。如果 ClearPass 傳回 guest-authenticated，但控制器上定義的是 Guest-Authenticated，使用者將退回到預設角色，這通常是沒有網際網路存取權限的登入角色。 第五，RADIUS 計費（accounting）。許多部署正確設定了驗證代理，但忘記同時代理計費。Purple 使用 RADIUS 計費數據來追蹤工作階段持續時間、數據使用量，並填入其分析儀表板。如果計費數據沒有傳送到 Purple，您的分析將不完整。 讓我們進入快速問答環節。 我可以使用單一 SSID 同時供員工和訪客使用嗎？可以。設定 ClearPass 在同一個 SSID 上同時處理 802.1X 和 MAC-Auth。使用服務規則（Service Rules）來區分流量類型並進行相應路由。這管理起來較為複雜，但能減少 SSID 的過度增殖。 Purple 支援授權變更（Change of Authorisation）嗎？支援。CoA 允許控制器動態更新使用者的工作階段，而無需他們重新連線。這對於限制時間的存取或層級升級非常有用。 我可以在 Aruba Instant 上使用此整合，而不是完整的 Mobility Controller 嗎？可以，Aruba Instant 支援外部 RADIUS 伺服器和 Captive Portal 重新導向。設定略有不同，但原理完全相同。 這項整合是否支援 WPA3？是的。我們同時支援適用於個人網路的 WPA3-SAE 以及適用於 802.1X 的 WPA3-Enterprise。針對使用 Captive Portal 的訪客網路，WPA3-SAE 或搭配 Opportunistic Wireless Encryption 的開放式 SSID 是典型的選擇。 總結今天的簡報。ClearPass 與 Purple 的整合採用 RADIUS 代理架構。ClearPass 仍是您所有網路存取的中央原則決策點。Purple 則負責處理面向訪客的體驗與分析。Aruba 控制器透過動態 VLAN 分配來執行產生的原則。三個最關鍵的設定要素是 walled garden、RADIUS 逾時以及角色名稱的一致性。只要正確配置這些要素，您就能擁有一個強大、合規且具商業價值的訪客 WiFi 部署。 感謝您的收聽。若您想進一步了解，請造訪 purple.ai，與解決方案架構師討論您的具體部署。