跳至主要內容
繁體中文

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

本權威指南詳細介紹 Cisco Catalyst 9800 WLC 與 Purple WiFi 的逐步整合。內容涵蓋用於訪客 Captive Portal 的外部網頁驗證、用於員工安全存取的 802.1X EAP-TLS,以及用於多租戶動態 VLAN 隔離的 Cisco iPSK。

📖 6 分鐘閱讀📝 1,300 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
歡迎觀看 Purple 技術簡報系列。今天我們將探討幾乎每位在餐旅、零售或大型場館工作的企業網路架構師都會面臨的任務:將 Cisco Wireless LAN Controllers 和 Catalyst 無線基礎架構與 Purple 的 Guest WiFi 平台進行整合。如果您正在運作 Cisco Catalyst 9800 系列控制器或舊版 AireOS 平台,並且需要提供一個合規、進行區段劃分且由分析驅動的訪客網路,那麼本簡報正是為您準備的。 [medium pause] 首先讓我們來看看背景資訊。Purple 在全球 80,000 多個營運中的場館中運作,而 Cisco 是企業環境中佔主導地位的無線基礎架構供應商。讓這兩個平台流暢地協同工作並不複雜,但確實需要您在前期做出正確的架構決策。如果決策錯誤,您將花費數週時間來排查重定向迴圈、VLAN 不匹配和 RADIUS 逾時等問題。如果決策正確,您將擁有一個能自動區隔訪客、員工和 IoT 裝置、合規地收集第一方數據,並可在數百個站點之間橫向擴充而無需手動干預的網路。 [medium pause] 現在讓我們深入探討架構。 [short pause] 在 Cisco 部署中,當訪客連接到您的 WiFi 網路時,在他們存取網際網路之前需要完成三件事。首先,Cisco Catalyst 9800 WLC 需要攔截該初始 HTTP 請求,並將用戶端重定向到 Purple 的 Captive Portal。其次,Purple 的入口網站需要對使用者進行身分驗證,無論是透過社群媒體登入、電子郵件、簡訊,還是簡單的條款與條件接受。第三,Purple 的 RADIUS 伺服器需要向 WLC 回傳訊號,確認使用者已獲得授權,並可選擇將其分配給特定的 VLAN。 [medium pause] 處理第一步的機制稱為外部網頁驗證(External Web Authentication),簡稱 EWA。在 Catalyst 9800 上,您需要設定一個指向 Purple 的 Splash Page URL 的網頁驗證參數對照表(parameter map)。WLC 會攔截來自未驗證用戶端的所有 HTTP 流量,並向該 URL 發出 302 重定向。您還需要設定驗證前 ACL,或使用 9800 的 URL 篩選功能,將 Purple 的入口網站 IP 位址加入白名單,以便用戶端在通過驗證前能夠實際存取 Splash Page。Purple 為其入口網站提供兩個 IP 位址,您需要在驗證前 ACL 中允許這兩個位址。 [medium pause] 以下是 Catalyst 9800 的設定步驟。首先,建立參數對照表。然後設定您的 URL 篩選,以允許在驗證前存取 Purple 的網域。將其套用到您的 WLAN 原則設定檔,將 Layer 2 安全性設定為「無」,在 Layer 3 上啟用 Web Policy,並將其指向您的參數對照表。 [medium pause] 現在,談談 RADIUS。在此架構中,Purple 充當 RADIUS 伺服器的角色。您需要設定 WLC,將其指向 Purple 的 RADIUS 端點(您可以在 Purple 管理後台中,您場域的網路設定下找到此端點)。共享密鑰是依每個場域個別產生的。在 Catalyst 9800 上,導覽至「Configuration」、「Security」、「AAA」、「Servers」,然後新增 Purple 的 RADIUS 伺服器,並輸入正確的 IP 和共享密鑰。接著建立一個伺服器群組與一個認證方法清單,並將其套用至您的 WLAN。[medium pause] 有一個大家常忽略的地方:在 9800 上,您還必須在全球網頁認證參數對應(global web auth parameter map)中設定虛擬 IP 位址。請使用 192.0.2.1 作為虛擬 IPv4 位址。如果您跳過此步驟,用戶端有時會被重新導向到內部入口網站,而非 Purple 的入口網站,您可能會花上一個令人沮喪的下午來苦思原因。[medium pause] 接下來,我們看看使用 802.1X 的員工 WiFi。[short pause] 對於員工網路,您會希望使用基於憑證的 EAP-TLS 認證,或在無法部署憑證的環境中,至少使用帶有 MSCHAPv2 的 PEAP。在 Catalyst 9800 上,為員工建立一個獨立的 WLAN,將 Layer 2 安全性設定為 WPA2 Enterprise,並將認證指向您的 RADIUS 伺服器。如果您使用 Microsoft Entra ID 或 Okta 作為身分識別提供者,Purple 的 SecurePass 附加功能可作為 RADIUS 代理,將 802.1X 認證請求轉換為身分識別提供者查詢。這意味著您不需要為了員工認證而設置獨立的本地端 RADIUS 伺服器。Purple 會處理 EAP 終端,並將身分核對轉發給您的身分識別提供者。[medium pause] 特別是針對 EAP-TLS,您需要透過 Microsoft Intune、Jamf 或類似的 MDM 平台,將用戶端憑證部署到員工裝置。憑證鏈必須受到 Purple 的 RADIUS 伺服器信任,這代表您需要將您的根憑證授權單位(root CA)憑證上傳到 Purple 管理後台。完成此設定後,員工裝置即可進行無感認證 - 無需密碼提示,無需歡迎頁面。使用者一連線,憑證通過驗證,即可在幾秒鐘內進入員工 VLAN。[medium pause] 現在,來談談大多數架構師真正感興趣的部分:Cisco Identity PSK,即 iPSK。[short pause] iPSK 解決了多租戶環境中經常出現的特定問題。想像一間有 300 間客房的飯店、一個擁有 50 家店面的零售商場,或是一個有 200 套公寓的租賃型住宅開發項目。您希望使用單一 SSID,但又需要讓每個租戶、每個房間或每個裝置群組隔離在各自的 VLAN 上。傳統的做法是為每個租戶建立一個獨立的 SSID,這不僅無法擴充,還會造成無線射頻擁塞。iPSK 則為您提供單一 SSID,其中每個用戶端或用戶端群組都擁有一個專屬的預共用金鑰,而 RADIUS 伺服器會將該金鑰對應到特定的 VLAN。[medium pause] 以下是其技術運作原理。當用戶端與 SSID 關聯時,Catalyst 9800 WLC 會向 Purple 的 RADIUS 伺服器傳送 RADIUS Access-Request,其中包含用戶端的 MAC 位址。Purple 的 RADIUS 伺服器會在其 iPSK 資料庫中查詢該 MAC 位址,找到關聯的 PSK 和 VLAN 分配,並傳回一個包含含有 PSK 的 Cisco AV-pair 以及用於 VLAN 分配的 IETF 隧道屬性的 RADIUS Access-Accept。WLC 使用傳回的 PSK 來完成 WPA2 四向握手,然後將用戶端放入分配的 VLAN 中。[medium pause] 動態 VLAN 分配所需的三個 RADIUS 屬性為:IETF 屬性 64(Tunnel-Type),設定為 VLAN 且值為 13;IETF 屬性 65(Tunnel-Medium-Type),設定為 802 且值為 6;以及 IETF 屬性 81(Tunnel-Private-Group-ID),設定為字串格式的 VLAN ID。這三個屬性在 RADIUS Access-Accept 中一同傳送,可確切告知 WLC 要分配哪一個 VLAN。該 VLAN 必須已作為動態介面存在於 WLC 上,且上行交換器連接埠必須設定為承載所有相關 VLAN 的 Trunk。[medium pause] 在 WLC 端,請在 iPSK WLAN 上啟用 MAC 過濾、啟用 AAA Override,並將 Layer 2 安全性設定為 WPA2-PSK。您在 WLAN 上設定的全域 PSK 僅作為備用方案。對於在 Purple 的 iPSK 資料庫中註冊了 MAC 位址的任何用戶端,RADIUS 傳回的 PSK 具有優先權。對於未註冊的裝置,您可以根據您的原則拒絕存取或遞補至全域 PSK。[medium pause] 讓我提供兩個實際情境,讓這項說明更具體。[short pause] 第一個情境:擁有 200 間客房的飯店。飯店希望將房客分配在僅能存取網際網路的 VLAN 10,將員工分配在可存取物業管理系統的 VLAN 20,並將 IoT 裝置(門鎖、溫控器、監視器)分配在無法存取網際網路的 VLAN 30。他們運作的是 Cisco Catalyst 9800 控制器搭配 Cisco 9100 系列無線基地台。[medium pause] 架構:WLC 上有三個原則設定檔,每個 VLAN 一個。單一 SSID 供房客使用指向 Purple 的外部網頁驗證(External Web Authentication)。另一個獨立的 SSID 供員工使用 WPA2 Enterprise 搭配 EAP-TLS,並透過 Purple SecurePass 對 Microsoft Entra ID 進行驗證。而 IoT 裝置則使用 iPSK,每台裝置的 MAC 位址都會註冊在 Purple 的入口網站中並分配至 VLAN 30。飯店的物業管理系統透過 Purple 的 API 佈署新的 IoT 裝置,因此當安裝新的門鎖時,其 MAC 位址會自動註冊並分配至正確的 VLAN。無需手動進行 RADIUS 設定。[medium pause] 第二個情境:擁有 80 家分店的連鎖零售商。每家分店都有房客 WiFi 網路、員工網路以及付款終端機網路。PCI DSS 合規性要求付款終端機網路必須與房客網路完全隔離。該零售商在每個據點使用 Cisco Catalyst 9800-L 控制器,並透過 Cisco Catalyst Centre 進行集中管理。[medium pause] Purple 以雲端覆蓋層(cloud overlay)方式部署。每家分店的 WLC 均設定了 Purple 的 RADIUS 伺服器詳細資訊。訪客驗證使用具備電子郵件收集功能之品牌宣傳頁面,將第一方數據導入 Purple 的分析平台。員工驗證則透過 Purple SecurePass 對 Active Directory 進行 PEAP。付款終端機使用具備專用 VLAN 的 iPSK,且驗證前 ACL 明確封鎖付款 VLAN 與訪客 VLAN 之間的所有流量,符合 PCI DSS 關於網路分段的要求 1.3。[medium pause] 現在我們來談談常見的陷阱。[short pause] 最常見的失敗模式是重新導向迴圈。當驗證前 ACL 未正確將 Purple 的入口網站 IP 位址加入白名單時,就會發生這種情況,導致 WLC 將用戶端重新導向到 Purple 的入口網站,但用戶端卻因為 ACL 封鎖而無法連接入口網站,於是 WLC 再次進行重新導向,無限循環。解決方法:驗證您的 URL 篩選器或驗證前 ACL 是否同時包含 Purple 的兩個入口網站 IP 位址,並確認在驗證前已允許 DNS 解析。[medium pause] 第二個常見問題是 VLAN 不相符。RADIUS 伺服器傳回了一個在 WLC 上不存在作為動態介面的 VLAN ID。WLC 隨後會將用戶端置於原生 VLAN,這通常是管理 VLAN。這會帶來安全性風險。解決方法:在部署之前,請根據 Purple 的 RADIUS 原則中設定的 VLAN ID 稽核您的 WLC 動態介面。它們必須完全一致。[medium pause] 第三個陷阱:EAP-TLS 部署中的憑證信任失敗。如果用戶端的憑證鏈不被 Purple 的 RADIUS 伺服器信任,從使用者的角度來看,驗證會無聲無息地失敗。他們就是無法連線。解決方法:在部署用戶端憑證之前,先將您的根 CA 及任何中繼 CA 憑證上傳至 Purple 的 SecurePass 設定中。在推廣到整批設備之前,先用單一裝置進行測試。[medium pause] 快速問答。[short pause] 我可以在 Cisco Meraki 上使用 Purple 代替 WLC 嗎?可以。Cisco Meraki 有其專屬的 Captive Portal 整合機制,且 Purple 原生支援。RADIUS 設定類似,但使用的是 Meraki 的儀表板,而非 WLC 命令列。[short pause] Purple 在 Cisco 上支援 WPA3 嗎?支援。搭載 IOS-XE 17.3 及更高版本的 Cisco Catalyst 9800 支援 WPA3-SAE。Purple 的 RADIUS 整合在 WPA3 上的運作方式完全相同。[short pause] 建議的 RADIUS 逾時時間是多少?將您的主要 RADIUS 伺服器逾時時間設定為三秒,並重試兩次。設定次要 RADIUS 伺服器以進行容錯移轉。Purple 為企業客戶提供備份 RADIUS 端點。[short pause] 我可以在使用 Purple 的同時使用 Cisco ISE 嗎?可以。部分企業組織在將 Purple 用於訪客入口網站和分析的同時,使用 ISE 進行狀態評估和裝置描述檔分析。這兩台 RADIUS 伺服器設定在不同的 WLAN 上。[medium pause] 總結一下。[short pause] Cisco WLC 與 Catalyst 無線基礎架構使用 External Web Authentication 進行訪客 Captive Portal 重新導向、透過 Purple SecurePass 進行員工認證的 802.1X EAP-TLS 或 PEAP,以及搭配動態 VLAN 分配的 Cisco iPSK 用於多租戶與 IoT 分群,與 Purple 完美整合。這三個 RADIUS VLAN 屬性:Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID,是驅動動態分群的機制。在整批部署之前,請確保預先認證 ACL 設定正確、比對 RADIUS 與 WLC 之間的 VLAN ID,並測試憑證信任鏈。[medium pause] Purple 在全球超過 80,000 個場所運作,並在 2024 年處理了 4.4 億次登入。Cisco 整合是我們在全球部署最廣泛的設定之一。如果您想開始使用,Purple 儀表板將引導您完成每個場所的 RADIUS 設定,且我們的整合團隊可為企業部署提供協助。[medium pause] 以上為本次簡報內容,感謝您的收聽。

header_image.png

執行摘要

在企業環境中部署安全、合規且具擴充性的無線網路,需要基礎設施與身分識別提供商之間的緊密整合。本指南詳細說明了將 Cisco Catalyst 9800 Wireless LAN Controllers (WLC) 與 Purple 雲端平台整合所需的架構決策和設定步驟。

針對訪客存取,我們探討了用於 Captive Portal 重新導向的外部網頁驗證 (EWA),以實現第一方數據收集與 Guest WiFi 分析。針對員工存取,我們詳細介紹了使用 Purple SecurePass 作為 RADIUS 代理至 Microsoft Entra ID 或 Okta 的 802.1X EAP-TLS 與 PEAP 驗證。針對 IoT 和多租戶環境,我們概述了 Cisco Identity PSK (iPSK) 設定,這使得在單一 SSID 上實現動態 VLAN 分配和網路分割,而無需依賴複雜的憑證部署。

Purple 在全球 80,000 多個實體場所運作,並在 2024 年處理了 4.4 億次登入。此整合已在對可用性、合規性和無縫使用者體驗有嚴格要求的密集型 HospitalityRetailTransport 環境中得到驗證。

技術深入探討:架構與驗證流程

1. Guest WiFi:外部網頁驗證 (EWA)

為了提供品牌化的 Captive Portal 並收集使用者數據以進行 WiFi Analytics ,Cisco Catalyst 9800 WLC 必須攔截未經驗證的 HTTP 流量,並將其重新導向至 Purple 的雲端託管導向頁面。此機制稱為外部網頁驗證 (EWA)。

architecture_overview.png

該流程遵循以下特定順序:

  1. 用戶端關聯到開放或機會性無線加密 (OWE) SSID。
  2. WLC 將用戶端置於 Webauth_reqd 狀態,並套用預先驗證存取控制清單 (ACL)。
  3. WLC 攔截用戶端的 HTTP 請求,並向 Purple 的導向頁面 URL 發出 302 重新導向,並附加 AP MAC 位址、用戶端 MAC 位址和 WLAN SSID 等參數。
  4. 用戶端在 Purple 入口網站上完成驗證流程(例如:社群登入、電子郵件收集或接受條款)。
  5. Purple 的 RADIUS 伺服器向 WLC 發送 Access-Accept 訊息。
  6. WLC 將用戶端轉移到 Run 狀態,根據驗證後的策略授予網際網路存取權限。

2. Staff WiFi:802.1X EAP-TLS 與 PEAP

對於企業設備,使用 802.1X 的 WPA2/WPA3 Enterprise 提供了最強大的安全防護。Purple SecurePass 可以作為雲端 RADIUS 代理,而無需部署像 Cisco ISE 這樣的地端 RADIUS 伺服器。它會終止可延伸驗證協定 (EAP) 通道,並將身分驗證轉發給您的身分識別提供者 (IdP),例如 Microsoft Entra ID 或 Google Workspace。

  • EAP-TLS:建議用於託管的企業設備。需要透過 MDM (例如 Microsoft Intune) 部署用戶端憑證。驗證過程為無聲背景執行且高度安全。
  • PEAP-MSCHAPv2:建議用於無法部署憑證的 BYOD 環境。使用者使用其企業憑證進行驗證。

3. IoT 與多租戶:Cisco Identity PSK (iPSK)

在建置後出租 (BTR) 物業、學生宿舍或擁有大量 IoT 設備的零售商店等環境中,由於設備缺乏 Supplicant 支援,通常無法部署 802.1X。為每個租戶或設備類型建立個別的 SSID 會導致 RF 頻譜擁塞。

Cisco iPSK 解決了這個問題,它允許在單一 SSID 上使用多個唯一的預先共用金鑰 (PSK)。當設備關聯時,WLC 會將其 MAC 位址傳送到 Purple 的 RADIUS 伺服器。Purple 會傳回該設備的特定 PSK 以及動態 VLAN 分配屬性,從而在交換器連接埠上對流量進行區隔。

ipsk_multitenant_diagram.png

實作指南

設定訪客 Captive Portal 重新導向

若要在 Catalyst 9800 WLC 上設定外部網頁驗證,您必須定義參數對應和 URL 篩選器,以允許未驗證流量存取 Purple 的入口網站 [1]。

步驟 1:建立網頁驗證參數對應

設定 WLC 以將用戶端重新導向至 Purple 入口網站,並傳遞必要的變數。您必須在全域設定虛擬 IPv4 位址(通常為 192.0.2.1)。

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

步驟 2:設定預先驗證 URL 篩選器

用戶端必須在通過驗證前存取 Purple 的入口網站。9800 WLC 使用 URL 篩選器,根據 DNS 探聽動態地在攔截 ACL 中開通權限。

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

將此 URL 篩選器套用至預先驗證 ACL 設定下的 WLAN 策略設定檔。

設定 iPSK 的動態 VLAN 分配

若要將使用者或裝置動態分配到特定的 VLAN,Purple RADIUS 伺服器必須在 Access-Accept 回應中傳送三個特定的 IETF 屬性 [2]。

  1. IETF 64 (Tunnel-Type):設定為 VLAN (值為 13)。
  2. IETF 65 (Tunnel-Medium-Type):設定為 802 (值為 6)。
  3. IETF 81 (Tunnel-Private-Group-ID):設定為字串格式的 VLAN ID (例如 "10")。

在 Catalyst 9800 WLC 上,請確保在 iPSK WLAN 上設定以下內容:

  • 已啟用 MAC 篩選。
  • 已啟用 AAA 覆寫 (這對於接受 RADIUS VLAN 分配至關重要)。
  • Layer 2 安全性設定為 WPA2-PSK (設定的 PSK 作為備用方案)。

最佳實踐

  • VLAN 驗證:RADIUS 伺服器在 Tunnel-Private-Group-ID 中傳回的 VLAN ID 必須存在於 WLC 上作為動態介面。如果不存在,WLC 會將用戶端歸入原生 VLAN,這會造成嚴重的安全性風險。
  • 憑證信任鏈:對於 EAP-TLS 部署,在推出用戶端憑證之前,請先將您的根憑證授權單位 (Root CA) 和任何中間憑證授權單位 (Intermediate CA) 憑證上傳到 Purple SecurePass 儀表板。如果 RADIUS 伺服器無法驗證該信任鏈,驗證將會靜默失敗。
  • 備援 RADIUS:務必設定次要 RADIUS 伺服器。將主要逾時時間設定為 3 秒,並重試 2 次,以確保快速容錯移轉,避免影響使用者體驗。
  • WPA3 採用:在用戶端裝置支援的情況下,針對 iPSK 網路使用 WPA3-SAE。對於開放式訪客網路,請實作 WPA3-OWE (Opportunistic Wireless Encryption) 以在不需要密碼的情況下加密流量。

疑難排解與風險緩釋

失敗模式 症狀 根本原因 緩釋措施
重新導向迴圈 用戶端裝置不斷重新整理 Captive Portal 頁面,但無法載入該頁面。 驗證前的 ACL 或 URL 篩選器不允許存取 Purple 的 Portal IP 位址。WLC 重新導向用戶端,用戶端嘗試載入頁面,WLC 予以封鎖並再次重新導向。 驗證 PURPLE-PREAUTH URL 篩選器已套用到原則設定檔,且 Portal 網域拼寫正確。確保驗證前允許 DNS 流量。
iPSK 備用失敗 未登冊的 IoT 裝置連線到網路,但收到錯誤的 IP 位址。 裝置的 MAC 位址不在 Purple 的 RADIUS 資料庫中。WLC 退回到 WLAN 上設定的全域 PSK,並分配預設的 VLAN。 在 Purple 儀表板中稽核該 MAC 位址。確保分配給 WLAN 原則設定檔的預設 VLAN 是一個受限制的隔離網路,而非公司 LAN。
RADIUS 逾時 用戶端連線時遇到長時間延遲;WLC 紀錄顯示 RADIUS 伺服器無法連線。 WLC 與 Purple 的雲端 RADIUS 端點之間的防火牆封鎖了 UDP 連接埠 1812 (驗證) 或 1813 (帳務)。 驗證輸出防火牆規則是否允許從 WLC 管理介面到 Purple 已發布的 RADIUS IP 位址的 UDP 1812/1813 流量。

投資報酬率與商業效益

實施 Cisco 與 Purple 的整合架構,可在以下三個支柱中提供可衡量的商業價值:

  1. 營運效率:以 iPSK 取代手動 VLAN 設定與多個 SSID,可減少 IT 工單數量。透過 API 自動進行 IoT 裝置上線,可為每個站點省下技術人員數小時的時間。
  2. 合規與安全性:動態 VLAN 分配透過將支付終端與訪客流量嚴格隔離(要求 1.3),確保零售環境符合 PCI DSS。EAP-TLS 則能消除員工共用密碼的風險。
  3. 創造營收:整合 Captive Portal 將成本中心(訪客 WiFi)轉變為行銷資產。獲取用戶主動選擇的同意訂閱,可建立第一方資料庫,從而推動忠誠度活動與回訪率。

參考資料

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," 2025 年 5 月。 [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," 2012 年 9 月。

關鍵定義

External Web Authentication (EWA)

一種機制,Cisco WLC 藉此攔截未經驗證的 HTTP 流量,並將用戶端重新導向至外部託管的 Captive Portal(例如 Purple)進行驗證。

用於提供品牌形象登入頁面並收集第一方數據,而無需依賴 WLC 受限的內部網頁伺服器。

Identity PSK (iPSK)

一項 Cisco 功能,允許在單一 SSID 上使用多個唯一的預共用金鑰,每個金鑰透過 RADIUS 對應至特定的用戶端 MAC 地址和 VLAN。

對於不支援 802.1X 的安全 IoT 設備和多租戶環境至關重要,可減少對多個 SSID 的需求。

AAA Override

Cisco WLC 上的 WLAN 設定,強制控制器接受 RADIUS 伺服器傳回的原則參數(例如 VLAN ID 或 ACL),並覆寫本地 WLAN 設定。

必須啟用此功能,動態 VLAN 指派和 iPSK 才能正常運作。

EAP-TLS

可延伸驗證協定 - 傳輸層安全性。一種高度安全的 802.1X 驗證方法,依賴雙向憑證交換而非密碼。

員工 WiFi 安全的黃金標準,需要 MDM 向企業設備部署用戶端憑證。

PEAP-MSCHAPv2

受保護的可延伸驗證協定。一種 802.1X 方法,在 TLS 通道內加密驗證過程,允許使用者使用帳號和密碼安全地進行驗證。

用於無法部署用戶端憑證的 BYOD 員工網路。

Pre-Authentication ACL

在無線用戶端通過驗證之前套用至該用戶端的存取控制清單,用以明確定義其可存取的網路資源。

對 Captive Portal 至關重要;它必須允許 DNS 以及對 Purple 登入頁面 IP 的存取,同時封鎖所有其他流量。

Dynamic Interface

在 WLC 上建立的邏輯介面,對應至特定的 VLAN ID 和實體連接埠。

當 RADIUS 傳回 VLAN ID 進行動態指派時,該 VLAN 必須已作為動態介面存在於 WLC 上,否則用戶端將會被放入原生 VLAN。

WPA3-SAE

對等同時認證。WPA2-PSK 的現代替代方案,提供正向保密並防止離線字典攻擊。

由 Cisco Catalyst 9800 和 Purple RADIUS 支援,用於保護現代物聯網(IoT)和訪客網路的安全。

範例

一家擁有 200 間客房的飯店需要使用單一 Cisco Catalyst 9800 WLC 隔離訪客、員工和 IoT 設備(門鎖、溫控器)之間的網路流量,且不建立會導致射頻擁塞的多個 SSID。

使用 Cisco iPSK 部署單一 SSID。在 Purple 的控制面板中註冊每個 IoT 設備的 MAC 地址,並將各自指派至 VLAN 30。設定 WLC WLAN 的 MAC 篩選、AAA Override 和 WPA2-PSK。當門鎖關聯時,Purple 的 RADIUS 伺服器會傳回唯一的 PSK 以及 IETF 屬性 64、65 和 81,以動態將設備導向至 VLAN 30。訪客則使用另一個指向 Purple Captive Portal 的外部網頁驗證開放式 SSID。

考官評語: 此方法在保持嚴格 Layer 2 隔離的同時,將 SSID 開銷降至最低。針對無顯示介面的 IoT 設備使用 iPSK,可避免向不支援 802.1X 憑證的端點部署憑證的複雜性。

一家擁有 80 家門市的零售連鎖店必須隔離付款終端設備流量與訪客 WiFi 流量,以維持 PCI DSS 合規性,並透過 Cisco Catalyst Centre 進行集中管理。

為訪客 SSID 設定驗證前 ACL,明確丟棄前往付款終端設備子網路 (VLAN 40) 的流量。使用 iPSK 驗證付款終端設備,透過 Purple 的 RADIUS 伺服器將其動態指派至 VLAN 40。訪客流量則透過 Purple Captive Portal 進行驗證,並置於 VLAN 10。

考官評語: 此設計透過實施網路隔離來滿足 PCI DSS 要求 1.3。在 Purple 中集中管理 RADIUS 原則可確保所有 80 家門市的 VLAN 指派一致,無需手動設定交換器連接埠。

練習題

Q1. 您正在 Catalyst 9800 WLC 上部署 Captive Portal。用戶端已與 SSID 建立關聯,但其瀏覽器不斷重新整理登入頁面 URL,而無法載入內容。最可能的架構原因是什麼?

提示:考慮在認證完成前用戶端的狀態,以及允許哪些流量通過。

查看標準答案

認證前 ACL 或 URL 篩選器設定錯誤。它阻擋了對 Purple 的入口網站 IP 位址的存取。WLC 攔截了流量並重導向至入口網站,但用戶端無法連線至該入口網站以載入內容,從而觸發無止境的重導向迴圈。您必須明確允許 Purple 的 IP 位址,或針對該入口網站網域使用 URL 篩選器。

Q2. 某個 IoT 裝置透過 iPSK 成功完成認證,且 Purple 的 RADIUS 伺服器回傳了帶有 IETF 屬性 64、65 和 81(指定 VLAN 50)的 Access-Accept。然而,該裝置卻被分配到 VLAN 10(管理 VLAN)。為什麼會發生這種情況?

提示:思考在 WLC 本身需要哪些先決條件,才能接受並套用 RADIUS 指派的 VLAN。

查看標準答案

可能是在 WLAN 進階設定中停用了 "AAA Override",導致 WLC 忽略 RADIUS 屬性;或者 VLAN 50 在 WLC 上並不存在已設定的動態介面。如果指派的 VLAN 在本地不存在,WLC 就會退回到原生/管理 VLAN。

Q3. 某個場地想使用 Microsoft Entra ID 為員工 WiFi 部署 802.1X。他們沒有像 Cisco ISE 那樣的本地 RADIUS 伺服器。如何使用 Purple 平台來實現這一點?

提示:考慮 Purple 如何處理 EAP 通道和身分驗證。

查看標準答案

將 WLC 設定為使用 Purple SecurePass 作為 RADIUS 伺服器。Purple 充當雲端 RADIUS 代理,終止來自 WLC 的 EAP-TLS 或 PEAP 通道,並透過 API/SAML 安全地將身分查詢轉發給 Microsoft Entra ID。不需要任何本地 RADIUS 伺服器。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →