Huawei AirEngine 與 CloudCampus 與 Purple WiFi 整合

歡迎收看 Purple 技術系列。我是您的主持人，今天我們將介紹我們在實務中看到最細緻的企業 WiFi 整合之一：Huawei AirEngine 基地台和 CloudCampus iMaster NCE-Campus 控制器，與 Purple 整合以實現訪客 WiFi、員工驗證和多租戶網路區段劃分。 如果您是管理 Huawei 設備的網路架構師或 IT 經理（無論是飯店集團、零售連鎖店、會議中心還是公共部門園區），這一集非常適合您。我們將涵蓋完整堆疊：Captive Portal 重新導向、驗證前 ACL、使用 802.1X 的安全員工 WiFi，以及用於跨多個租戶進行動態 VLAN 導向的 Huawei 私有預共用金鑰（Private Pre-Shared Key）功能。 讓我們開始吧。 第一部分：背景與架構。 Huawei 的 AirEngine 產品組合（涵蓋 5700、6700、8700 和 9700 系列）運行於 WiFi 6 和 WiFi 6E，其中高階的 9700 系列更支援 WiFi 7。這些是專業的企業級基地台。管理層是 iMaster NCE-Campus，這是 Huawei 的雲端網路控制器，負責處理從 SSID 佈署和 RADIUS 轉發，到原則執行和系統記錄（syslog）轉發的所有事務。 Purple 作為雲端重疊網路（cloud overlay）位於其上。我們在超過 80,000 個實體場域運作，僅在 2024 年就處理了 4.4 億次登入。我們與硬體無關，這意味著我們可以使用每個企業控制器都支援的相同 RADIUS 和 Captive Portal 標準，與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist，當然還有 Huawei AirEngine 進行整合。 這裡的整合模式非常簡單。iMaster NCE-Campus 作為 RADIUS 轉發器，將來自基地台的驗證請求轉發到 Purple 的 RADIUS 伺服器。Purple 處理驗證邏輯（無論是訪客登入頁面、802.1X 憑證檢查還是 PPSK 查詢），並傳回適當的 RADIUS 回應，包括任何動態 VLAN 分配屬性。 第二部分：訪客 WiFi 和 Captive Portal 設定。 讓我們從最常見的部署開始：搭配 Purple Captive Portal 的訪客 WiFi。 在 iMaster NCE-Campus 中，您導覽至「Design」（設計），然後是「Network Design」（網路設計），接著是「Template Management」（範本管理）。您建立一個 RADIUS Relay Server（RADIUS 轉發伺服器）範本。關鍵參數為：將驗證服務設定為 Portal 驗證、在 UDP 連接埠 1812（用於驗證）和 1813（用於計費）上新增 Purple 的 RADIUS 伺服器 IP 位址、將 NAS 識別碼設定為 Device MAC，並設定共用金鑰。Purple 會在 Purple 儀表板的場域設定畫面中提供這些 RADIUS 憑證。 接下來，您建立一個 ACL，這就是您的 Walled Garden。在訪客通過驗證之前，他們需要連線到 Purple 的登入頁面和任何支援的網域。您的 ACL 規則應允許 UDP 53 上的 DNS、允許傳送至 Purple 的 Portal 網域的 HTTPS，並允許您啟用的任何社群登入提供者（例如，如果您使用社群登入，則允許 Facebook 的 Graph API 端點）。驗證前，其他所有內容都會被拒絕。 然後您設定 SSID。將網路類型設定為 Open，選擇 Open plus Portal 驗證，將驗證類型設定為 Relay authentication by cloud platform（雲端平台轉發驗證），並選擇 RADIUS relay 作為互連模式。將頁面推送協定設定為 HTTPS。在第三方 Portal 驗證參數中，貼上 Purple 重新導向 URL，這是您從 Purple 場域儀表板複製的登入頁面 URL，其尾碼已修改為包含 Huawei 特定的參數：ap-mac、uaddress、umac、ssid 和 redirect-url。 最後，在 iMaster NCE-Campus 中建立一個 URL 範本，將這些參數名稱對應到 Huawei 在重新導向中傳遞的值。參數對應為：redirect-url 對應至 redirect-url、loginurl 對應至 login-url、device-mac 對應至 ap-mac、user-ip 對應至 uaddress、user-mac 對應至 umac，以及 ssid 對應至 ssid。 設定完成後，訪客連線到 SSID，取得 DHCP 位址，其 HTTP 流量會被控制器攔截並重新導向至 Purple 登入頁面。他們透過電子郵件、社群登入或簡訊驗證進行驗證，Purple 的 RADIUS 伺服器會將 Access-Accept 傳回給 iMaster NCE-Campus，從而授予訪客完整的網際網路存取權限。 從數據的角度來看，Purple 此時會收集第一方同意數據。每次登入都是符合 GDPR 和 CCPA 規範的自願選擇加入。該數據會傳送至 Purple 的分析平台，為您提供工作階段持續時間、裝置類型、重複訪客率和停留時間，而這一切都無需任何第三方追蹤。 第三部分：使用 802.1X 保護員工 WiFi。 現在我們來談談員工 WiFi。這完全是不同的安全態勢。您不希望員工與訪客位於同一個網路區段，也不希望使用在有人離職時會外流的共享 PSK 密碼。 答案是使用 EAP-TLS 或 EAP-PEAP 的 802.1X 驗證（定義於 IEEE 802.1X-2020）。在 iMaster NCE-Campus 中，您為員工建立一個獨立的 SSID，我們稱之為 CorpNet。在此 SSID 的驗證設定檔中，您將驗證模式設定為 802.1X，將其指向 Purple 的 RADIUS 伺服器，並將安全設定檔設定為具有 AES-CCMP 加密的 WPA2-Enterprise 或 WPA3-Enterprise。 Purple 在這裡也充當 RADIUS 伺服器，但現在它會針對您的身分識別提供者驗證憑證。Purple 與 Microsoft Entra ID、Okta 和 Google Workspace 原生整合。當員工連線到 CorpNet時，其裝置會將 EAP 憑證傳送到基地台，基地台透過 RADIUS 將其轉發給 Purple，Purple 則使用 SCIM 或 SAML 針對 Entra ID 進行驗證。如果憑證有效，Purple 會傳回一個 Access-Accept，其中包含指定員工 VLAN（例如 VLAN 20）的 RADIUS 屬性。iMaster NCE-Campus 會自動將用戶端導向至該 VLAN。 用於動態 VLAN 分配的關鍵 RADIUS 屬性為：Tunnel-Type 設定為 VLAN 或值 13、Tunnel-Medium-Type 設定為 802 或值 6，以及 Tunnel-Private-Group-ID 設定為 VLAN ID。這三個屬性共同告訴 Huawei 控制器確切要將已驗證的用戶端分配到哪個 VLAN。 特別是對於 EAP-TLS（這是員工驗證的黃金標準），您需要用戶端憑證。Purple 的 SecurePass 附加元件可處理憑證核發和生命週期管理，與您現有的 PKI 整合或充當輕量級憑證授權機構。這完全消除了基於密碼的攻擊。沒有密碼，就沒有網路釣魚媒介。 第四部分：使用 Huawei PPSK 進行多租戶區段劃分。 這就是真正有趣的地方。如果您營運的是綜合用途場域（例如擁有多個零售租戶的購物中心、擁有多個會員公司的共享工作空間，或舉辦並行活動的會議中心），您需要租戶之間的網路隔離，而無需為每個租戶部署獨立的 SSID。 Huawei 的 PPSK 功能（私有預共用金鑰）解決了這個問題。在其他廠商的生態系統中，它有時被稱為 iPSK。其概念是：單一 SSID、多個唯一的密碼，每個密碼對應到特定的 VLAN。租戶 A 取得密碼 Alpha，對應到 VLAN 30。租戶 B 取得密碼 Beta，對應到 VLAN 40。兩個租戶看到相同的 SSID，但他們在 Layer 2 完全隔離。 在 Huawei CLI 中，您可以使用 ppsk-user 命令在 WLAN 檢視中進行設定。對於每個租戶，您執行：ppsk-user psk pass-phrase，後跟唯一的密碼，然後是 user-name、租戶識別碼，接著是 vlan、VLAN ID，最後是 ssid、SSID 名稱。如果您需要更嚴格的控制，還可以設定到期日、最大裝置數量，並繫結至特定的 MAC 位址。 在 iMaster NCE-Campus 中，PPSK 查詢可以在控制器上本機處理，或者（對於大規模部署）透過 RADIUS 處理。當使用支援 RADIUS 的 PPSK 時，Purple 成為 PPSK 到 VLAN 對應的授權來源。租戶的裝置使用其唯一的密碼進行連線，控制器向 Purple 傳送一個 RADIUS Access-Request（以該密碼作為憑證），Purple 查詢對應關係，並傳回包含三個 VLAN 通道屬性的 Access-Accept。控制器將用戶端導向至正確的 VLAN。 此架構可在單一 SSID 上擴充至數百個租戶。這也意味著您可以從 Purple 儀表板佈署、輪替和撤銷租戶憑證，而無需變更控制器設定。 第五部分：實作陷阱及如何避免。 讓我為您介紹在 Huawei 和 Purple 部署中我最常看到的的三種失敗模式。 第一：Walled Garden 不完整。訪客連線到 SSID，被重新導向至登入頁面，但頁面無法載入，因為所需的網域（通常是 CDN 端點或社群登入 API）被驗證前 ACL 封鎖。解決方法是在上線前使用新裝置測試登入頁面流程，擷取其進行的 DNS 查詢和 HTTPS 連線，並將每個所需的網域新增至 ACL。Purple 在整合文件中發佈了所需網域的清單。 第二：RADIUS 共用金鑰不相符。在 iMaster NCE-Campus 中設定的金鑰必須與 Purple 儀表板中的金鑰完全一致。單個字元的差異就會導致無聲的驗證失敗，控制器記錄會顯示 Access-Reject，且沒有任何有用的錯誤訊息。請務必複製並貼上金鑰，切勿手動輸入。 第三：VLAN Trunk 設定錯誤。只有當 VLAN 已經在基地台與聚合交換器之間的上行連接埠上進行 Trunk 時，透過 RADIUS 進行的動態 VLAN 分配才能運作。如果交換器介面上的 Trunk 允許通過（allow-pass）清單中沒有 VLAN 20，已驗證的員工用戶端將會遇到 DHCP 逾時，且看起來像是驗證失敗。在測試 RADIUS 分配的 VLAN 之前，請先稽核您的 Trunk 設定。 第六部分：快速問答。 問題：我可以在 Huawei 的地端 iMaster NCE-Campus 部署（而非雲端版本）中使用 Purple 的內建 RADIUS 嗎？ 是的。Purple 的 RADIUS 伺服器託管於雲端，可透過網際網路存取。您的地端 iMaster NCE-Campus 控制器需要開放對 Purple 的 RADIUS IP 範圍的輸出 UDP 1812 和 1813。Purple 在儀表板的場域設定下發佈了這些 IP 範圍。 問題：Huawei PPSK 是否支援 WPA3-SAE？ 自 AirEngine 韌體 V600R025 起，6700 和 9700 系列已支援 WPA3-SAE-PPSK。在 PPSK SSID 上啟用 WPA3 之前，請先檢查您的韌體版本。 問題：Purple 如何在 Huawei 硬體上處理訪客 WiFi 的 GDPR 同意聲明？ Purple 的登入頁面會在驗證時收集同意聲明。同意記錄（包括時間戳記、IP 位址和接受的特定條款）儲存在 Purple 的平台中，並可匯出以進行合規性稽核。無論底層硬體廠商為何，這都適用。 第七部分：總結與後續步驟。 簡要重申：Huawei AirEngine 和 iMaster NCE-Campus 透過 RADIUS 轉發與 Purple 整合，以實現訪客 Captive Portal、員工 WiFi 的 802.1X，以及多租戶 VLAN 區段劃分的 PPSK。設定位於 iMaster NCE-Campus 的「Design」（設計）>「Network Design」（網路設計）>「Template Management」（範本管理）下（用於 RADIUS 和 ACL 設定），以及「Provision」（配置）>「Device Configuration」（裝置設定）>「Site Configuration」（站點設定）下（用於 SSID 和驗證設定檔繫結）。 您的後續步驟：從您的場域儀表板中取得 Purple RADIUS 憑證、在 iMaster NCE-Campus 中設定 RADIUS 轉發伺服器範本、建立您的 Walled Garden ACL、建立具有 Open plus Portal 驗證的訪客 SSID，並在正式部署到現場之前使用新裝置進行端對端測試。 如果您要部署用於多租戶隔離的 PPSK，請先規劃您的 VLAN 方案，確保在設定單個 PPSK 使用者之前，每個租戶 VLAN 都已進行端對端 Trunk。 如需完整的逐步設定指南（包括 CLI 範例和架構圖），請閱讀 Purple 網站上的完整書面指南。感謝您的收聽。