CommScope Ruckus 與 Purple WiFi 整合：安裝與設定指南

歡迎收看 Purple 技術簡報。我是您的主持人，今天我們要介紹一個幾乎在我們所見的每個大型企業 WiFi 專案中都會出現的部署模式——將 CommScope Ruckus 與 Purple 的雲端平台整合。無論您是營運飯店集團、零售物業、體育場還是會議中心，本期節目都將為您提供所需的設定指南。 首先讓我們來設定場景。Ruckus（現隸屬於 CommScope）是全球領先的企業級 WiFi 平台之一。特別是 SmartZone，是高密度環境的首選控制器。像 Premier Inn 這樣的飯店、大型連鎖零售店、體育場和會議中心都執行 Ruckus 基礎架構。當您在這種規模下部署訪客 WiFi 時，您需要的不僅僅是一個開放的 SSID。您需要結構化的驗證、符合 GDPR 的數據擷取，以及將該訪客數據饋送到您的行銷技術堆疊中的能力。這正是 Purple 的用武之地。 Purple 在超過 80,000 個實體場域中運作，僅在 2024 年就處理了 4.4 億次登入，並持有 ISO 27001、GDPR 和 Cyber Essentials 認證。Ruckus 整合是我們最成熟的部署模式之一。 現在，在您接觸設定畫面之前，您需要了解 Ruckus 有三個不同的控制器平台。SmartZone（可作為實體 SZ300 裝置或虛擬 vSZ 使用）是適用於大型、多站點部署的企業級控制器。它管理著跨多個區域的數千個無線基地台，為您提供深度的原則控制，並支援我們今天將介紹的所有驗證方法。ZoneDirector 是傳統的本地控制器（仍被廣泛部署，特別是在餐旅業中），它支援相同的基於 WISPr 的 Captive Portal 流程，儘管設定路徑略有不同。而 Unleashed 是無控制器模型，其中一個 AP 作為最多 128 個其他 AP 的 Master。它非常適合較小的單一站點部署——獨立飯店、零售分店、中小企業辦公室。 好的。讓我們進入技術細節。我將介紹三個不同的使用案例：具有 Captive Portal 重新導向的 Guest WiFi、使用 802.1X 的安全員工 WiFi，以及使用 Ruckus Dynamic PSK 的多租戶網路隔離。 首先從 Guest WiFi 開始。這裡的架構是基於 WISPr 的熱點流程。WISPr（無線網際網路服務供應商漫遊）是一種業界標準，它定義了無線控制器如何攔截未驗證的 HTTP 流量並將其重新導向至外部 Portal。訪客連線到您的 SSID。他們的裝置傳送一個 HTTP 請求。SmartZone 攔截該請求並向您的外部 Portal URL（在此案例中為 Purple 的 Captive Portal）發出 HTTP 302 重新導向。訪客進行驗證（透過社群登入、電子郵件、簡訊或自訂表單），然後 Portal 透過北向介面（即 NBI）與控制器進行通訊以授予存取權限。 在 SmartZone 上，設定有四個主要元件。首先是 RADIUS 驗證伺服器設定檔。導覽至「服務與設定檔」，然後選擇「驗證」。建立一個新的 AAA 伺服器設定檔。將服務協定設定為 RADIUS。您的主要伺服器 IP 和共用密鑰已在 Purple 管理主控台中提供。驗證連接埠為 1812。請務必設定備用 RADIUS 伺服器以確保彈性。然後在「服務與設定檔」的「帳務」下建立帳務伺服器——連接埠 1813，使用相同的共用密鑰。 第二，熱點 WISPr 設定檔。前往「服務與設定檔」、「熱點與 Portal」，然後選擇「熱點 (WISPr)」索引標籤。建立一個新設定檔。將登入 URL 設定為「外部」，並輸入您的 Portal 重新導向 URL。將起始頁面設定為重新導向至您的驗證後 URL——通常是成功頁面或您場域的首頁。 現在是 Walled Garden。這是工程師最常出錯的地方。Walled Garden 定義了訪客在驗證之前可以存取哪些網域和 IP位址。您需要包含您的 Portal 網域、您的 Portal 載入資產的任何 CDN 或資產網域，以及標準作業系統的 Captive Portal 偵測端點。在 SmartZone 中，支援使用星號加點格式的萬用字元——因此 `*.purple.ai` 涵蓋了所有子網域。您還需要 Apple 的 Captive Portal 偵測網域（captive.apple.com）和 Google 的連線檢查端點，以防止 CNA 微型瀏覽器在 iOS 和 Android 裝置上出現異常行為。 一個容易被遺漏的關鍵步驟。預設情況下，SmartZone 會加密其在重新導向 URL 中傳遞給外部 Portal 的 MAC 位址和 IP 位址。Purple 需要查看實際的用戶端 MAC 位址才能執行基於 MAC 的工作階段管理。您必須透過 CLI 停用此功能。透過 SSH 進入您的 SmartZone，進入設定模式，然後執行：`no encrypt-mac-ip`。這只是一個指令，但如果您跳過它，它將是一個硬性阻礙。 北向介面是另一個不可或缺的部分。這是允許 Purple 與 SmartZone 進行通訊，以便在驗證後授予或拒絕存取權限的 API。在「管理」、「外部服務」、「WISPr 北向介面」下啟用它。設定使用者名稱和密碼，並將這些認證提供給 Purple。NBI 在 TCP 連接埠 9080（用於 HTTP）和 9443（用於 HTTPS）上執行——請確保您的防火牆允許來自 Purple IP 範圍的輸入連線到這些連接埠。 最後，建立您的 WLAN。將驗證類型設定為「熱點 WISPr」，選擇您的 Portal 設定檔，並分配您的 RADIUS 驗證和帳務服務。如果 Purple 需要特定值，請將 NAS ID 設定為「使用者定義」，將 Called Station ID 設定為「AP MAC」，並啟用「單一工作階段 ID」。 對於 Unleashed，其架構本質上是不同的——它是一個分散式的無控制器模型。設定位於「管理與服務」、「服務」、「熱點服務」。步驟大致相似——建立熱點服務、設定您的外部 Portal URL、設定您的 AAA 驗證伺服器、新增您的 Walled Garden 項目——但有兩個關鍵差異。Unleashed 中不需要北向介面。且預設不套用 MAC 位址加密，因此您不需要 CLI 指令。Unleashed 的 Walled Garden 也接受網域級別的項目，而不是完整的萬用字元語法。 現在讓我們轉向使用 802.1X 的安全員工 WiFi。這是一個完全不同的驗證模型。企業環境不依賴 Captive Portal，而是使用可延伸驗證協定 (EAP) 直接對裝置進行驗證。企業環境中最常用的方法是 PEAP-MSCHAPv2（使用者輸入其 Active Directory 認證）或 EAP-TLS（裝置出示憑證）。Purple 的 SecurePass 附加元件與 Microsoft Entra ID、Okta 和 Google Workspace 整合，以作為此流程的 RADIUS 後端。 在 SmartZone 上，建立一個新的 WLAN 並將驗證類型設定為「802.1X EAP」。在 AAA 設定下，指向您的 RADIUS 伺服器——Purple 的 SecurePass 端點。與訪客流程的關鍵區別在於，您還在此處設定了動態 VLAN 分配。當 Purple 的 RADIUS 伺服器傳回 Access-Accept 時，它會包含三個 IETF 標準屬性：Tunnel-Type 設定為 VLAN，值為 13；Tunnel-Medium-Type 設定為 IEEE-802，值為 6；以及 Tunnel-Private-Group-ID，其中包含 VLAN ID 字串——例如，員工 VLAN 的 20。SmartZone 會讀取這些屬性並動態標記員工的流量，將其放入正確的隔離網路分段中，無論他們連線到哪個實體 AP。這就是動態 VLAN 導向，它允許單一 SSID 為具有不同網路存取原則的多個使用者角色提供服務。 在 WLAN 進階設定中啟用「AAA Override」，以確保 SmartZone 處理 RADIUS 傳回的 VLAN 屬性。如果未勾選該核取方塊，即使 RADIUS 伺服器傳送了正確的屬性，動態分配也無法運作。 第三個使用案例是使用 Ruckus Dynamic PSK（或 DPSK）的多租戶隔離。這是一項 Ruckus 專利技術，可在單一 SSID 上為每個使用者或租戶分配唯一的 WPA2 密碼。與每個人都使用相同密碼的共用 PSK 不同，DPSK 意味著租戶 A 擁有唯一的 62 字元金鑰，租戶 B 擁有不同的金鑰，依此類推。每個金鑰都繫結至特定的 VLAN，因此租戶 A 的流量會分配至 VLAN 101，而租戶 B 的流量會分配至 VLAN 102——實現完全隔離、無共用密碼風險，且可立即撤銷而不影響其他租戶。 這在共享工作空間、租賃專用住宅大樓、學生宿舍和多租戶零售園區中特別強大。Purple 透過 SmartZone API 與 Ruckus DPSK 整合，以自動化金鑰佈建——當在 Purple 中啟用新租戶時，系統會自動產生一個 DPSK，將其繫結至正確的 VLAN，並自動交付給該租戶。 要在 SmartZone 上設定 DPSK：導覽至 WLAN，新增一個 WLAN，並在「安全性」下將方法設定為「Dynamic PSK」。將 DPSK 長度設定為 62 個字元以獲得最大熵。在 VLAN 下，啟用「每 DPSK VLAN 分配」。然後使用 SmartZone API 或 DPSK 管理介面為每個租戶建立個別的金鑰，每個金鑰都對應到其自己的 VLAN ID。在 Unleashed 上，相同的功能可在「WiFi 網路」、「進階選項」、「Dynamic PSK」下找到。 DPSK3 是 WPA3 變體，提供更強的基於 SAE 的加密。如果您的 AP 設備支援 WPA3（所有目前的 Ruckus R 系列 AP 都支援），DPSK3 是新部署的首選。 讓我介紹兩個實際的實作場景，以說明這三個使用案例是如何結合在一起的。 第一個場景：一間擁有 250 間客房的飯店。該物業在整個場域中執行帶有 R750 無線基地台的 Ruckus SmartZone。他們需要三種網路類型：用於飯店客房的 Guest WiFi、用於前台和後勤員工的安全員工 WiFi，以及用於智慧客房控制和監視器的 IoT 網路。 訪客 WLAN 使用與 Purple 整合的 WISPr Captive Portal 流程。訪客連線、被重新導向至品牌化的 Purple Portal、透過電子郵件或社群登入進行驗證，然後分配至 VLAN 10。Portal 會擷取第一方數據（電子郵件、行銷同意、住宿偏好），這些數據會直接饋送到飯店的 CRM 中。Purple 的分析儀表板向飯店顯示哪些樓層的連線率最高、尖峰使用時間以及重複訪客率。Premier Inn 在其英國的物業中部署了此模型，並看到了與 WiFi 體驗直接相關的訪客滿意度評分的顯著提升。 員工 WLAN 對 Purple 的 SecurePass 使用 802.1X。員工透過 PEAP-MSCHAPv2 使用其 Active Directory 認證進行驗證。前台員工分配至 VLAN 20，可存取物業管理系統。後勤員工分配至 VLAN 21，僅能存取人資和排班系統。VLAN 分配完全由 Purple 傳回的 RADIUS 屬性驅動——無需手動設定連接埠。當員工離職時，其帳戶會在 Microsoft Entra ID 中被停用，存取權限會立即在所有物業中被撤銷。 IoT WLAN 使用靜態 PSK，隔離在 VLAN 30 上，並啟用了用戶端隔離。智慧恆溫器、門鎖和監視器都位於此處，與訪客和員工流量完全隔離。 第二個場景：一個擁有 15 家租戶公司的共享工作空間。這正是 DPSK 發揮作用的地方。營運商在三個樓層執行 Ruckus Unleashed。每個租戶公司都會獲得一個繫結至其自身 VLAN 的唯一 DPSK。租戶 A 的 20 名員工都使用相同的 DPSK-A 密碼，但該密碼對租戶 A 而言是唯一的，且僅對應到 VLAN 101。租戶 B 使用 DPSK-B，對應到 VLAN 102。租戶在網路層彼此完全隔離。當租戶搬離時，營運商會在 SmartZone 中（或透過 Purple 的管理介面）撤銷其 DPSK——僅此而已。其他租戶不受影響，無需變更 SSID，也無需在整棟大樓中重設密碼。 Purple 的多租戶管理層位於其上，為共享工作空間營運商提供單一儀表板，以管理所有 15 個租戶的啟用、存取撤銷和使用分析。 現在讓我介紹最常見的失敗模式以及如何避免它們。 第一：Walled Garden 設定錯誤。如果您的 Portal 頁面在重新導向後無法載入，首先要檢查的是您的 Portal 頁面所參照的所有網域是否都在 Walled Garden 中。現代 Portal 頁面會從多個 CDN 網域、分析指令碼和社群登入 SDK 載入資產。如果其中任何一個在驗證前被封鎖，頁面將無法載入或載入不完整。在連線到訪客 SSID 的測試裝置上使用瀏覽器的開發者工具，以識別哪些請求被封鎖。Purple 為 SmartZone 和 Unleashed 提供了已記錄的 Walled Garden 清單——將其用作您的基準，並在頂部新增任何特定場域的網域。 第二：NBI 連線問題。如果訪客可以看到 Portal 並進行驗證，但始終無法存取網際網路，可能的原因是 SmartZone 無法接收來自 Purple 的 NBI 回呼。檢查連接埠 9080 和 9443 是否已對來自 Purple IP 範圍的 SmartZone 管理 IP 開放輸入連線。同時驗證您設定的 NBI 認證是否與 Purple 記錄的認證相符。 第三：遺失 `no encrypt-mac-ip` 指令。這是最常見的 SmartZone 特有陷阱。如果 Purple 正在接收重新導向請求，但無法將工作階段與 MAC 位址進行比對，這幾乎可以肯定是原因所在。這是一個單行的 CLI 修正，但很容易被遺漏，因為它沒有在 GUI 中呈現。 第四：未針對動態 VLAN 啟用 AAA Override。如果員工在 802.1X 上驗證成功，但全部都分配到同一個預設 VLAN，而不是其角色專用的 VLAN，請檢查 WLAN 進階設定中是否啟用了 AAA Override。這是通知 SmartZone 接受 RADIUS 伺服器傳回的 VLAN 屬性的開關。 第五：DPSK VLAN 未傳播。如果 DPSK 使用者已驗證但未分配至正確的 VLAN，請驗證 WLAN 設定中是否啟用了「每 DPSK VLAN 分配」，並且連線到 AP 的交換器連接埠已設定為承載所有 DPSK VLAN 的 Trunk 埠。如果交換器連接埠是 Access 埠，VLAN 標記將會被剝除。 現在，回答三個在每次 Ruckus-Purple 部署中都會被問到的快速問題。 我是否需要為 Guest WiFi 使用專用 VLAN？是的，務必如此。將訪客流量隔離在專用 VLAN 上。如果您的場域在同一個網路上處理刷卡付款，這既是安全要求，也是 PCI DSS 合規性考量。在訪客 WLAN 上啟用用戶端隔離，以防止訪客裝置相互通訊。 我可以在 Ruckus One（雲端管理平台）上使用 Purple，而不是 SmartZone 嗎？可以。設定路徑不同——位於 Ruckus One 入口網站中的「WiFi 網路」、「訪客存取」設定下——但 Walled Garden 和 RADIUS 設定原則是完全相同的。 Purple 是否支援 SmartZone 多區域部署？支援。Purple 的整合可處理多區域 SmartZone 環境，您可以將 Portal 設定範圍限定在單一 SmartZone 執行個體內的不同場域或樓層的個別區域。 總結一下。Ruckus 與 Purple 的整合涵蓋了三個不同的使用案例，每個案例都有其自己的設定模型。Guest WiFi 使用基於 WISPr 的 Captive Portal 流程——五個關鍵設定點：連接埠 1812 和 1813 上的 RADIUS（帶有備用伺服器）、具有外部登入 URL 的熱點 WISPr 設定檔、使用萬用字元項目正確限定範圍的 Walled Garden、`no encrypt-mac-ip` CLI 指令，以及啟用並配置正確認證的北向介面。 安全員工 WiFi 使用 802.1X EAP，並透過 RADIUS 屬性進行動態 VLAN 導向——關鍵的啟用因素是 WLAN 進階設定中的 AAA Override。 多租戶隔離使用 Ruckus DPSK——每個租戶唯一的金鑰，每個金鑰都繫結至專用 VLAN，具有立即撤銷且零共用密碼風險的優勢。 正確掌握這三種模式，您就擁有了一個網路架構，可以從 Unleashed 上擁有 50 間客房的獨立飯店，擴充到 SmartZone 上擁有 5,000 個座位的體育場，並由同一個 Purple 平台在上方提供統一的分析、符合 GDPR 的數據擷取和集中式存取管理。 如果您正計劃使用 Purple 進行 Ruckus 部署，技術上線團隊可以引導您完成上線前檢查清單，並在正式上線前驗證您的設定。Purple 平台還提供有關 Portal 載入時間、驗證成功率和工作階段數據的即時分析——讓您在訪客發現問題之前就能掌握狀況。 感謝您的收聽。我們下次再見。