Huawei iMaster NCE (CloudCampus) 與訪客 WiFi：使用 Purple 設定 captive portal

歡迎來到 Purple 技術系列。我是您的主持人，今天我們將介紹我們在現場看到、更為細緻的企業級 WiFi 整合之一：Huawei AirEngine 基地台與 CloudCampus iMaster NCE-Campus 控制器，並與 Purple 整合以實現訪客 WiFi、員工身分驗證以及多租戶網路分段。 如果您是負責管理 Huawei 設備的網路架構師或 IT 經理（無論是飯店集團、零售連鎖、會議中心還是公共部門園區），這一集就是為您準備的。我們將涵蓋完整的技術棧：Captive Portal 重新導向、預驗證 ACL、使用 802.1X 的安全員工 WiFi，以及用於跨多個租戶進行動態 VLAN 引導的 Huawei 私有預共享金鑰（PPSK）功能。 讓我們開始吧。 第一部分：背景與架構。 Huawei 的 AirEngine 產品組合（涵蓋 5700、6700、8700 和 9700 系列）執行於 WiFi 6 和 WiFi 6E，高階的 9700 系列更支援 WiFi 7。這些是專業的企業級基地台。管理層是 iMaster NCE-Campus，這是 Huawei 的雲端網路控制器，負責處理從 SSID 佈署、RADIUS 轉發到原則執行和 syslog 轉送的一切事務。 Purple 作為雲端疊加層（cloud overlay）位居其上。我們在 80,000 個實體場域營運，光是在 2024 年就處理了 4.4 億次登入。我們與硬體無關 - 這意味著我們與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist，當然還有 Huawei AirEngine 整合 - 使用每個企業控制器都支援的相同 RADIUS 和 Captive Portal 標準。 這裡的整合模型非常簡單。iMaster NCE-Campus 作為 RADIUS 轉發器，將來自基地台的身分驗證請求轉送到 Purple 的 RADIUS 伺服器。Purple 處理驗證邏輯（無論是訪客展示頁面、802.1X 憑證檢查還是 PPSK 查詢），並傳回適當的 RADIUS 回應，包括任何動態 VLAN 分配屬性。 第二部分：訪客 WiFi 與 Captive Portal 設定。 讓我們從最常見的佈署開始：使用 Purple Captive Portal 的訪客 WiFi。 在 iMaster NCE-Campus 中，您導航至「Design」，然後是「Network Design」，接著是「Template Management」。您建立一個 RADIUS Relay Server 範本。關鍵參數為：將驗證服務設定為 Portal authentication，在 UDP 連接埠 1812（驗證）和 1813（記帳）上新增 Purple 的 RADIUS 伺服器 IP 位址，將 NAS 識別碼設定為 Device MAC，並設定共用金鑰。Purple 會從 Purple 管理介面中的場域設定畫面提供這些 RADIUS 憑證。 接下來，您需要建立一個 ACL - 這就是您的 Walled Garden。在訪客進行驗證之前，他們需要存取 Purple 的 splash page 以及任何支援的網域。您的 ACL 規則應允許 UDP 53 上的 DNS、允許 HTTPS 傳輸至 Purple 的 portal 網域，並允許您啟用的任何社群登入提供商 - 例如，如果您使用社群登入，則允許 Facebook 的 graph API 端點。在驗證之前，其他所有內容都會被拒絕。 然後您需要設定 SSID。將網路類型設定為 Open，選擇 Open plus Portal 驗證，將驗證類型設定為 Relay authentication by cloud platform，並選擇 RADIUS relay 作為互連模式。將頁面推送協定設定為 HTTPS。在第三方 portal 驗證參數中，貼上 Purple 重新導向 URL - 這是您從 Purple 場域儀表板複製的 splash page URL，其字尾已修改為包含 Huawei 特定的參數：ap-mac、uaddress、umac、ssid 和 redirect-url。 最後，在 iMaster NCE-Campus 中建立一個 URL 範本，將這些參數名稱對應到 Huawei 在重新導向中傳遞的值。參數對應為：redirect-url 對應到 redirect-url、loginurl 對應到 login-url、device-mac 對應到 ap-mac、user-ip 對應到 uaddress、user-mac 對應到 umac，以及 ssid 對應到 ssid。 設定完成後，訪客連接到 SSID，取得 DHCP 位址，其 HTTP 流量會被控制器攔截並重新導向至 Purple splash page。他們透過電子郵件、社群登入或簡訊驗證進行驗證，然後 Purple 的 RADIUS 伺服器會將 Access-Accept 傳回給 iMaster NCE-Campus，從而授予訪客完整的網際網路存取權限。 從數據的角度來看，Purple 此時會擷取第一方同意數據。每次登入都是自願選擇的同意訂閱，符合 GDPR 和 CCPA。該數據會傳送到 Purple 的分析平台，為您提供工作階段持續時間、裝置類型、重複訪客率和停留時間 - 完全不需要任何第三方追蹤。 第三部分：使用 802.1X 保護員工 WiFi 安全。 現在讓我們來談談員工 WiFi。這完全是不同的安全狀態。您不希望員工與訪客位於同一個網路區段，也不希望使用共享的 PSK 密碼，因為當有人離職時，這些密碼就會流失。 解決方案是使用 EAP-TLS 或 EAP-PEAP 的 802.1X 驗證 (定義於 IEEE 802.1X-2020)。在 iMaster NCE-Campus 中，您為員工建立一個獨立的 SSID - 我們稱之為 CorpNet。在此 SSID 的驗證設定檔中，將驗證模式設定為 802.1X，將其指向 Purple 的 RADIUS 伺服器，並將安全性設定檔設定為具有 AES-CCMP 加密的 WPA2-Enterprise 或 WPA3-Enterprise。Purple 在此處也充當 RADIUS 伺服器，但現在它會針對您的身分識別提供者驗證憑證。Purple 與 Microsoft Entra ID、Okta 和 Google Workspace 進行原生整合。當員工連接到 CorpNet 時，其裝置會向存取點發送 EAP 憑證，存取點將憑證透過 RADIUS 轉發給 Purple，Purple 則使用 SCIM 或 SAML 針對 Entra ID 進行驗證。如果憑證有效，Purple 會返回 Access-Accept，其中包含指定員工 VLAN（例如 VLAN 20）的 RADIUS 屬性。iMaster NCE-Campus 會自動將用戶端引導至該 VLAN。 動態 VLAN 分配的金鑰 RADIUS 屬性為：Tunnel-Type 設定為 VLAN 或值 13、Tunnel-Medium-Type 設定為 802 或值 6，以及 Tunnel-Private-Group-ID 設定為 VLAN ID。這三個屬性共同向 Huawei 控制器明確指示要將已驗證的用戶端分配到哪個 VLAN。 專門針對 EAP-TLS - 這是員工驗證的金科玉律 - 您需要用戶端憑證。Purple 的 SecurePass 附加功能可處理憑證核發與生命週期管理，與您現有的 PKI 整合或充當輕量級憑證授權單位。這完全消除了基於密碼的攻擊。沒有密碼，就沒有網路釣魚媒介。 第四節：使用 Huawei PPSK 進行多租戶資料分割。 這正是真正有趣的地方。如果您營運的是綜合用途場所 - 擁有有多家零售租戶的購物中心、擁有多家會員公司的共同工作空間，或舉辦多項並行活動的會議中心 - 您需要租戶之間的網路隔離，而無需為每個租戶部署個別的 SSID。 Huawei 的 PPSK 功能 - Private Pre-Shared Key - 解決了這個問題。在其他供應商生態系統中，它有時被稱為 iPSK。其概念是：一個 SSID、多個不重複的密碼，每個密碼對應到一個特定的 VLAN。租戶 A 獲得密碼 Alpha，該密碼對應到 VLAN 30。租戶 B 獲得密碼 Beta，該密碼對應到 VLAN 40。兩個租戶都會看到相同的 SSID，但他們在 Layer 2 是完全隔離的。 在 Huawei CLI 中，您可以在 WLAN 檢視中使用 ppsk-user 指令進行設定。對於每個租戶，您執行：ppsk-user psk pass-phrase，後跟不重複的密碼，然後是 user-name、租戶識別碼、然後是 vlan、VLAN ID、然後是 ssid、SSID 名稱。如果您需要更嚴格的控制，還可以設定到期日、最大裝置數量，並綁定到特定的 MAC 位址。 在 iMaster NCE-Campus 中，PPSK 查詢可以在控制器上本機處理，或者 - 對於大規模部署 - 透過 RADIUS 處理。當使用 RADIUS 支援的 PPSK 時，Purple 成為 PPSK 與 VLAN 對應關係的權威來源。租戶的裝置使用其不重複的密碼進行連線，控制器向 Purple 發送 RADIUS Access-Request，並以該密碼作為憑證，Purple 查詢對應關係，並返回包含三個 VLAN 通道屬性的 Access-Accept。控制器將用戶端引導至正確的 VLAN。 此架構可在單一 SSID 上擴展至數百個租戶。這也意味著您可以直接從 Purple 儀表板設定、轮換和撤銷租戶憑證，而無需變更控制器設定。 第五部分：執行陷阱以及如何避免。 讓我說明在華為和 Purple 部署中最常見的三種失敗模式。 第一：Walled Garden 設定不完整。訪客連線至 SSID，被重新導向至 splash page，但頁面無法載入，因為預先驗證 ACL 阻擋了所需的網域 - 通常是 CDN 端點或社群登入 API。解決方法是在上線前使用全新的裝置測試 splash page 流程，記錄其發出的 DNS 查詢與 HTTPS 連線，並將所有需要的網域加入 ACL 中。Purple 會在整合文件中公佈所需網域的列表。 第二：RADIUS 共享金鑰（shared secret）不符。在 iMaster NCE-Campus 中設定的金鑰必須與 Purple 儀表板中的金鑰完全一致。單一字元的差異就會導致無聲的驗證失敗 - 控制器記錄會顯示 Access-Reject，且沒有任何有用的錯誤訊息。請務必複製並貼上金鑰，切勿手動輸入。 第三：VLAN trunk 設定錯誤。只有在存取點與聚合交換器之間的 uplink 連接埠上已將 VLAN 設為 trunk 時，透過 RADIUS 進行的動態 VLAN 指派才能正常運作。如果交換器介面上的 trunk allow-pass 列表中沒有 VLAN 20，通過驗證的員工用戶端將會發生 DHCP 逾時，且看起來像驗證失敗。在測試 RADIUS 指派的 VLAN 之前，請先稽核您的 trunk 設定。 第六部分：快速問答。 問：我可以在華為地端（on-premises）部署的 iMaster NCE-Campus（而非雲端版本）中使用 Purple 內建的 RADIUS 嗎？ 可以。Purple 的 RADIUS 伺服器託管於雲端，並可透過網際網路存取。您的地端 iMaster NCE-Campus 控制器需要對 Purple 的 RADIUS IP 範圍開放輸出 UDP 1812 和 1813 連線。Purple 會在儀表板的場地設定（venue settings）中公佈這些 IP 範圍。 問：華為 PPSK 是否支援 WPA3-SAE？ 自 AirEngine 韌體 V600R025 起，6700 和 9700 系列已支援 WPA3-SAE-PPSK。在 PPSK SSID 上啟用 WPA3 之前，請先檢查您的韌體版本。 問：Purple 如何在華為硬體上處理訪客 WiFi 的 GDPR 同意書？ Purple 的 splash page 會在驗證時收集同意書。同意記錄 - 包括時間戳記、IP 地址以及接受的特定條款 - 都會儲存在 Purple 的平台中，並可匯出以供合規性稽核之用。不論底層的硬體廠商為何，此機制皆適用。 第七部分：總結與後續步驟。 重點回顧：Huawei AirEngine 與 iMaster NCE-Campus 透過 RADIUS 轉發與 Purple 整合，以提供訪客 Captive Portal、員工 WiFi 802.1X 驗證，以及多租戶 VLAN 隔離的 PPSK。設定位於 iMaster NCE-Campus 中：進行 RADIUS 和 ACL 設定時請前往「Design」>「Network Design」>「Template Management」；進行 SSID 與驗證設定檔綁定時請前往「Provision」>「Device Configuration」>「Site Configuration」。 您的後續步驟：從場域儀表板中取得 Purple RADIUS 憑證、在 iMaster NCE-Campus 中設定 RADIUS 轉發伺服器範本、建立您的 Walled Garden ACL、建立採用 Open 加 Portal 驗證的訪客 SSID，並在實際部署前使用新裝置進行端到端測試。 如果您要部署用於多租戶隔離的 PPSK，請先規劃您的 VLAN 架構 - 在設定任何 PPSK 使用者之前，請確保每個租戶 VLAN 已完成端到端 Trunk 串接。 如需完整的逐步設定指南（包含 CLI 範例和架構圖），請閱讀 Purple 官方網站上的完整書面指南。感謝您的收聽。