跳至主要內容
繁體中文

Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態

本技術參考指南涵蓋 Alta Labs AP6 和 AP6 Pro 無線基地台與 Purple 雲端託管 captive portal 的端到端整合。內容詳細介紹了外部重新導向設定、RADIUS 驗證、圍牆花園(walled garden)要求,以及使用 AltaPass 私有預共用金鑰(Private Pre-Shared Keys)進行的多租戶區隔。場地營運商和 IT 團隊將獲得適用於餐旅、零售和智慧辦公環境的可重複部署指南。

📖 8 分鐘閱讀📝 1,844 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
播客腳本:Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 Purple WiFi 智慧平台 - 技術簡報系列 長度:約 10 分鐘 配音:英式英語,資深顧問語氣 — 自信、口語、具權威性 --- [引言 - 1 分鐘] 歡迎收聽 Purple 技術簡報系列。我是您的主持人,今天我們將深入剖析 Alta Labs 無線基地台與 Purple WiFi 智慧平台之間的整合。 如果您是 IT 經理、網路架構師或場地營運總監,正尋求部署強健且具擴充性的房客 WiFi 解決方案,那麼本次簡報正是為您量身打造。我們將涵蓋 Alta Labs AP6 和 AP6 Pro 的具體設定、如何設定外部 captive portal 重新導向,以及使社群登入在實際環境中真正運作所需的關鍵圍牆花園(walled garden)設定。我們還將深入探討 AltaPass — Alta Labs 對於私有預共用金鑰(PPSK)的實作 — 以及您如何利用它來區隔多租戶環境,而不會因為 SSID 阻礙而破壞您的射頻(RF)效能。 讓我們開始吧。 --- [技術深挖 - 5 分鐘] Alta Labs 與 Purple 之間的整合依賴於兩個基本的網路概念:用於 captive portal 的 HTTP 重新導向,以及用於驗證和計費的 RADIUS。 當房客步入您的場地 — 例如零售店或飯店大廳 — 並連線至您的開放式或 WPA3-OWE 房客網路時,Alta Labs AP 就會扮演守門人的角色。它會攔截用戶端的初始 HTTP 請求,並將其重新導向至您的專屬品牌 Purple 登入頁面(splash page)。 若要在 Alta Labs 雲端管理平台中進行此設定,請導覽至您的 WiFi 設定,選取您的房客 SSID,並在「進階設定」下,將網路類型設定為「Guest」(房客)。這至關重要,因為它會自動套用戶端隔離,防止裝置在網路上進行橫向通訊。接著,在「Hotspot」(熱點)區段下,選取「External」(外部),並填入您場地設定中提供的 Purple 重新導向 URL,以及您的授權密鑰(Authorisation Secret)。 但這正是大多數部署遇到障礙的地方:圍牆花園(walled garden)。 圍牆花園是裝置在驗證之前允許存取的網域和 IP 地址清單。如果您希望房客使用 Google、Facebook 或 Apple 登入,他們的裝置就必須在仍處於未驗證狀態時連線至這些 OAuth 伺服器。 您必須明確地將 Purple 基礎架構網域(例如 region1.purpleportal.net 和 cloudfront.net)加入白名單。接著,您需要新增作業系統的 captive portal 探測:iOS 的 captive.apple.com,以及 Android 的 connectivitycheck.gstatic.com。如果您封鎖了這些,手機就不知道它處於 captive portal 後方,登入頁面也永遠不會彈出。 最後,您要新增社群登入網域。對於 Google,那是 accounts.google.com、oauth2.googleapis.com 和 gstatic.com。對於 Facebook,則是 facebook.com、graph.facebook.com 和 fbcdn.net 網域。靜態 IP 白名單在此處無法運作,因為這些提供者使用動態內容傳遞網路(CDN)。您必須使用網域名稱,並確保您的控制器執行動態 DNS 解析。 一次使用者在 Purple 登入頁面上完成登入,Purple 的 RADIUS 伺服器就會向 Alta Labs AP 傳回 Access-Accept 訊息。接著,AP 會解除圍牆花園限制,並授予裝置完整的網際網路存取權限。這是一個乾淨、安全的流程,在擷取第一方數據的同時維持網路完整性。 現在,我們來談談多租戶區隔。 在智慧辦公室、學生宿舍或多住戶單元(MDU)等環境中,您通常需要為不同群組提供安全、隔離的網路。過去,IT 團隊會為每個租戶廣播一個獨立的 SSID。這是一個非常糟糕的做法。它會造成巨大的管理開銷,並因信標訊框(beacon frame)開銷而破壞您的無線效能。 Alta Labs 透過 AltaPass(其私有預共用金鑰版本)解決了這個問題。使用 AltaPass,您只需廣播一個單一 SSID — 我們稱之為 BuildingWiFi。但是,您會為不同的使用者或裝置產生不重複的密碼。 當租戶 A 輸入其特定密碼時,AP 會動態地將其分配至 VLAN 101,並限制 100 Mbps 的頻寬。當管理團隊在同一個 SSID 上輸入其密碼時,他們會被分配至 VLAN 200,且不限制頻寬。您甚至可以為 IoT 裝置(如智慧恆溫器)建立密碼,將其分配至隔離的 VLAN 並完全繞過 captive portal。 單一 SSID。無限密碼。完全隔離。這就是邊緣端的基於身分網路(Identity-Based Networking),對於困擾多租戶部署多年的問題,這是一個真正優雅的解決方案。 讓我給您一個在實際應用中的具體範例。想像一個擁有 72 個單元的公寓大樓 — 這是 Alta Labs 被廣泛應用的實際部署類型。網路管理員無需廣播 72 個獨立的 SSID,而是建立一個單一 SSID,並為每個單元產生一個不重複的密碼。每個密碼對應到專屬的 VLAN 和子網路。基本方案的住戶可獲得 100 Mbps。付費升級尊榮方案的住戶可獲得 300 Mbps。大樓管理團隊則獲得無限制的存取權限。大樓自動化系統 — 門鎖、空調、電梯 — 則擁有自己專屬且啟用了深層封包檢測(DPI)的隔離 VLAN。這一切都來自同一個 SSID。射頻環境更乾淨,效能更高,管理也大幅簡化。 現在,我們轉到用於安全員工 WiFi 的 802.1X 設定。 對於您的員工網路,您根本不應該使用預共用金鑰。您應該使用帶有 802.1X 驗證的 WPA2 或 WPA3 企業版(Enterprise)。在 Alta Labs 平台中,您只需選取您的員工 SSID,將安全模式設定為 WPA2-Enterprise 或 WPA3-Enterprise,並將 AP 指向您的 RADIUS 伺服器即可進行設定。 如果您正在與 Purple 的 SecurePass 產品整合,Purple 將扮演 RADIUS 中介角色,連線至您的身分識別提供者 — 無論是 Microsoft Entra ID、Okta 還是 Google Workspace — 並在 Access-Accept 訊息中傳回適當的 VLAN 分配。Alta Labs AP 會讀取 RADIUS 回應中的 Tunnel-Private-Group-Id 屬性,並自動將裝置置於正確的 VLAN 上。 關於 Alta Labs 動態 VLAN 分配的一個重要注意事項:在設定 RADIUS 分配的 VLAN 時,請將 SSID 上的預設 VLAN 設定為 VLAN 1 或保持未標記狀態。存在一個已知行為,即如果預設 VLAN 設定為特定值, AP 可能會使用設定的預設值覆寫 RADIUS 分配的 VLAN。將預設值設定為 VLAN 1 可確保 RADIUS 分配具有優先權。 --- [實作建議與常見陷阱 - 2 分鐘] 當您開始推行此方案時,我想強調幾個關鍵建議。 首先,務必使用全新的裝置測試您的 captive portal 流程。請勿使用您在測試期間已連線過網路的個人手機。您的裝置會記住 MAC 地址授權或擁有快取的 DNS 項目,這會掩蓋圍牆花園的失敗。請拿一台從未連接過該網路的平板電腦,進行連線,並驗證作業系統的 captive portal 助理是否會自動啟動。 其次,注意過度加入白名單的問題。我看到有些工程師因為社群登入錯誤而感到沮喪,於是直接將整個萬用字元網域或龐大的 IP 區段加入白名單。這會製造安全漏洞,讓聰明的使用者可以完全繞過您的 captive portal。請堅持僅加入 OAuth 流程所需的特定網域。 第三,當部署帶有動態 VLAN 的 AltaPass PPSK 時,請確保您的整個交換器基礎架構設定正確。連接至 Alta Labs AP 的交換器連接埠必須設定為 Trunk,允許所有標記的 VLAN 通過閘道器。如果 AP 將流量標記為 VLAN 101,但交換器連接埠在 VLAN 1 上設定為 Access 模式,則流量將會中斷,且用戶端將無法取得 IP 地址。 第四,對您的圍牆花園設定進行每季審查。OAuth 提供者和內容傳遞網路會變更其網域結構。Apple 在 2023 年曾兩次更新其「使用 Apple 登入」網域。若無主動維護,部署時正確的圍牆花園將會逐漸偏離。 --- [快速問答 - 1 分鐘] 讓我們快速瀏覽幾個來自一線的常見問題。 問題一:我可以在 Alta Labs 硬體上將 WPA3 與 Purple captive portal 結合使用嗎? 可以。您應該使用 WPA3-OWE,這代表機會性無線加密(Opportunistic Wireless Encryption)。這會在空中對數據進行加密,保護房客隱私,同時仍能作為開放式網路運作,觸發 captive portal 重新導向。這是 2026 年任何新房客 WiFi 部署的正確選擇。 問題二:我需要在防火牆上為 RADIUS 流量開啟哪些連接埠? Purple 的 RADIUS 伺服器透過 UDP 連接埠 1812 進行驗證,並透過 UDP 連接埠 1813 進行計費。請確保您的邊緣防火牆允許來自 Alta Labs AP 到 Purple 基礎架構的這些連接埠之連外流量。 問題三:我可以在同一個 SSID 上同時使用 AltaPass PPSK 和 Purple captive portal 嗎? 可以,這實際上是一個非常實用的設定。您可以建立一個 AltaPass 密碼,為已知裝置(例如您的 POS 終端機或數位看板)繞過 captive portal,而連線至相同 SSID 的標準連線仍會通過 Purple 登入頁面。這為您提供了一個單一、乾淨的 SSID,可同時處理已驗證的裝置和房客使用者。 --- [總結與後續步驟 - 1 分鐘] 總結來說:將 Alta Labs 與 Purple WiFi 整合,可為您提供一個安全、具擴充性的平台,用於擷取第一方數據並提供具品牌特色的房客體驗。 請記住成功部署的三大支柱。第一,在 Alta Labs 雲端管理平台中精確設定外部熱點重新導向和 RADIUS 設定。第二,細緻地定義您的圍牆花園網域,以確保作業系統探測和社群登入正常運作。第三,利用 AltaPass PPSK 實作基於身分的網路,區隔您的流量,而不會用不必要的 SSID 污染您的空域。 Purple 在全球 80,000 個活躍場地運作,並在 2024 年處理了 4.4 億次登入。該平台已通過 ISO 27001 認證,符合 GDPR 規範,且其架構可從單一精品飯店擴充至全國性零售資產。當您將其與 Alta Labs 硬體的效能和彈性相結合時,您就擁有了一個極具吸引力的企業級 WiFi 解決方案組合。 如果您遵循這份指南,您將能提供無縫且合規的 WiFi 體驗,讓您的行銷團隊和安全團隊都感到滿意。 感謝您收聽 Purple 技術簡報系列。我們下次再見,請保持您的網路安全,並讓您的數據發揮價值。

header_image.png

執行摘要

Alta Labs AP6 和 AP6 Pro 無線基地台使用標準 RADIUS 驗證和 HTTP 重新導向與 Purple 的雲端 captive portal 整合。AP 會攔截未驗證的房客流量,將其重新導向至您的 Purple 登入頁面(splash page),並在 Purple 的 RADIUS 伺服器傳回 Access-Accept 後授予存取權限。針對多租戶環境,Alta Labs 的 AltaPass 技術會根據所使用的密碼,將每個連線裝置分配至不重複的 VLAN 和頻寬原則 — 無需額外的 SSID。本指南為您提供從頭開始部署整合所需的確切設定步驟、圍牆花園(walled garden)網域清單和 RADIUS 參數。Purple 在全球 80,000 多個活躍場地運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據)。對於需要以具競爭力價格獲得企業級區隔功能的 MSP 和智慧辦公室安裝商而言,Alta Labs 硬體是非常合適的選擇。

技術架構

此整合橫跨三個層級:Alta Labs 雲端管理平台、邊緣端的 AP6 或 AP6 Pro 硬體,以及處理驗證和分析的 Purple 雲端基礎架構。

當房客連線至開放式或 WPA3-OWE SSID 時,AP 會將裝置置於受限的預驗證狀態。所有連外的 HTTP 流量都會被攔截並重新導向至 Purple 登入頁面 URL。在驗證完成之前,裝置僅能存取圍牆花園中明確列出的網域。一旦房客在 Purple 登入頁面上提交其憑證,Purple 的 RADIUS 伺服器就會向 AP 發送 Access-Accept,AP 隨即解除限制並授予完整的網際網路存取權限。Purple 會記錄工作階段數據 — 裝置類型、停留時間、登入方式 — 並將其提供於 WiFi 分析 控制面板中。

architecture_overview.png

對於員工和後台網路,相同的 AP 硬體可處理 WPA2/WPA3-Enterprise (IEEE 802.1X) 驗證。AP 扮演 RADIUS 用戶端,將驗證請求轉發至 Purple 的 SecurePass 基礎架構,後者進而針對 Microsoft Entra ID、Okta 或 Google Workspace 驗證憑證。RADIUS Access-Accept 回應攜帶 Tunnel-Private-Group-Id 屬性,AP 會使用該屬性動態地將裝置置於正確的 VLAN 上。

實作指南

步驟 1:在 Purple 中新增場地和硬體

在操作 Alta Labs 控制器之前,請先在 Purple 中註冊部署。

  1. 登入 Purple 管理入口網站,並導覽至 Management > Locations
  2. 選取 Venues and Groups > Add venue 並完成場地精靈。
  3. 在您的場地中,選取 Hardware > Add hardware > Add new hardware
  4. 將硬體類型設定為 WiFi AP 並選取適當的 AP 類型。
  5. 輸入每台 Alta Labs AP6 或 AP6 Pro 裝置的 MAC 地址。
  6. 按一下 View Manual Online 以取得此場地的 RADIUS 伺服器 IP 地址、連接埠和共用金鑰。記錄這些值 — 您將在步驟 3 中需要它們。

步驟 2:在 Alta Labs 中設定房客 SSID

登入 Alta Labs 雲端管理平台(manage.alta.inc)。

  1. 導覽至 Settings > WiFi 並選取預計用於房客存取的 SSID。
  2. Advanced Settings 中,將網路類型設定為 Guest。這會自動強制執行用戶端隔離。
  3. 捲動至 Hotspot 區段並選取 External
  4. Redirect URL 欄位中,貼上您場地硬體設定中提供的 Purple 登入頁面 URL(例如 https://region1.purpleportal.net/access/)。
  5. 輸入來自您 Purple 場地設定的 Authorisation Secret(RADIUS 共用金鑰)。
  6. 按一下 Save

步驟 3:設定 RADIUS 驗證

設定好外部重新導向後,請設定 RADIUS 設定,以便 AP 能與 Purple 的驗證基礎架構進行通訊。

參數
主要驗證伺服器 IP 由 Purple 場地設定提供
驗證連接埠 UDP 1812
主要計費伺服器 IP 由 Purple 場地設定提供
計費連接埠 UDP 1813
共用金鑰 由 Purple 場地設定提供

對於高可用性部署,請使用 Purple 提供的備用 IP 地址設定次要 RADIUS 伺服器。

步驟 4:定義圍牆花園

圍牆花園在驗證完成前允許特定的網域。遺漏項目將會破壞 captive portal 流程或導致社群登入無法載入。請在 Alta Labs 熱點設定的 Additional Authorised Hosts / IPs 欄位中輸入以下網域。

Purple 基礎架構(必要)

網域 用途
region1.purpleportal.net 登入頁面託管
venuewifi.com Purple 重新導向基礎架構
cloudfront.net 入口網站資產的 CDN

作業系統 captive portal 探測(必要)

網域 作業系統
captive.apple.com iOS / macOS
connectivitycheck.gstatic.com Android
msftconnecttest.com Windows

社群登入(依啟用的提供者新增)

提供者 網域
Google accounts.google.com, oauth2.googleapis.com, apis.google.com, gstatic.com
Facebook facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple appleid.apple.com, idmsa.apple.com, *.apple.com

captive_portal_flow.png

AltaPass PPSK 與多租戶區隔

AltaPass 是 Alta Labs 申請專利中的私有預共用金鑰(PPSK)實作。它允許單一 SSID 承載多個不重複的密碼,,每個密碼皆對應到獨立的 VLAN、頻寬限制、排程和熱點繞過規則。這消除了為每個租戶、員工群組或裝置類別廣播獨立 SSID 的需求。

在 Alta Labs 儀表板中設定 AltaPass

  1. 選擇您的 SSID 並導覽至密碼管理區段。
  2. 點擊每個密碼輸入項左側的紫色網路類型按鈕
  3. 為該密碼分配一個 VLAN ID。使用此密碼連線的用戶端將被分配到指定的 VLAN 子網路。
  4. 根據需要設定每個密碼的頻寬限制(上傳和下載)。
  5. 啟用或停用每個密碼的熱點繞過。IoT 裝置和 POS 終端機通常會繞過 Captive Portal。
  6. 根據需要套用排程限制(例如:在營業時間外限制特定裝置的網際網路存取)。

altapass_ppsk_segmentation.png

對於一棟擁有 72 個住戶的住宅大樓,這意味著只需要一個 SSID 和 72 個以上的專屬密碼——每個住戶一個、管理部門一個、大樓自動化系統一個。每個密碼都對應到一個隔離的 VLAN 和子網路。標準方案的住戶可獲得 100 Mbps。高級方案的住戶可獲得 300 Mbps。大樓管理團隊則不受限制。IoT 裝置被隔離在啟用深層封包檢測的專用 VLAN 上。這就是將 SSID 數量從 72 個減少到 1 個的部署模式。

透過 RADIUS 進行動態 VLAN 分配

對於 802.1X 員工網路,VLAN 分配是透過 RADIUS 屬性而非 PPSK 進行。RADIUS Access-Accept 回應必須包含:

屬性
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (IEEE-802)
Tunnel-Private-Group-Id 目標 VLAN ID(例如 "20")

重要提示:使用 RADIUS 分配的 VLAN 時,請將 SSID 上的預設 VLAN 設定為 VLAN 1(或保持未標記狀態)。如果預設 VLAN 設定為特定值,AP 可能會使用已設定的預設值覆寫 RADIUS 分配。這是目前 Alta Labs 韌體中的已知行為。

最佳做法

以下建議適用於任何搭配 Purple 的 Alta Labs 部署,不論場域類型為何。

針對圍牆花園(Walled Garden)項目使用動態 DNS 解析。 OAuth 供應商和 CDN 經常輪換 IP 地址。靜態 IP 白名單會隨著時間失效。請將 Alta Labs 控制器設定為動態解析圍牆花園網域,並將 DNS TTL 設定為不低於 30 秒,以避免過多的查詢負載。

精確界定圍牆花園的範圍。 僅將驗證流程所需的網域加入白名單。過度放寬白名單(特別是為大型網域新增萬用字元項目)會產生繞過漏洞,從而破壞 Captive Portal 的目的。

在正式上線前,使用未驗證的裝置進行測試。 使用從未連線到該網路的裝置。先前已驗證的裝置可能快取了 MAC 授權或 DNS 項目,從而掩蓋了圍牆花園的失敗。請完整測試您打算提供的每一種登入方式。

每季審查圍牆花園網域。 Apple、Google 和 Meta 會定期更新其 OAuth 網域結構。請將每季審查納入您的營運日程中,以便在影響使用者之前發現變更。

從一開始就對 IoT 裝置進行區隔。 使用 AltaPass 將 IoT 裝置分配到啟用熱點繞過的專用 VLAN。將 IoT 流量與訪客或員工流量混合會帶來不必要的風險,並使事件回應變得複雜。

如需更廣泛地瞭解企業 WiFi 安全架構,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險降低

iOS 上無法顯示 Splash 頁面。 最常見的原因是圍牆花園中缺少 captive.apple.com 項目。iOS 使用此網域來偵測 Captive Portal。如果該探測被阻擋,Captive Network Assistant 將永遠不會啟動,使用者會看到一般的連線錯誤。

社群登入返回空白畫面或 CORS 錯誤。 檢查圍牆花園是否缺少 CDN 或 API 子網域。Facebook 的 *.fbcdn.net 和 Google 的 gstatic.com 是最常被遺漏的項目。請在未驗證的工作階段中使用瀏覽器開發者工具,以識別哪些網域請求失敗。

使用 AltaPass 時 VLAN 分配失敗。 請確認連接到 AP 的上游交換器連接埠已設定為 Trunk 連接埠,並允許標記的 VLAN。Access 模式的交換器連接埠會靜默丟棄標記的訊框,導致用戶端無法取得 IP 地址。

RADIUS 驗證逾時。 請確認邊緣防火牆上的 UDP 連接埠 1812 和 1813 已對外開放。檢查 Alta Labs 設定中的共用金鑰是否與 Purple 場域設定中的值完全一致——單個字元不符就會導致所有驗證請求失敗。

動態 VLAN 分配將使用者分配到錯誤的 VLAN。 請將 802.1X SSID 上的預設 VLAN 設定為 VLAN 1。如果預設 VLAN 設定為特定值,AP 可能會覆寫 RADIUS 分配的 VLAN。這是 Alta Labs 社群論壇中確認的韌體層級行為。

投資報酬率(ROI)與業務影響

部署 Alta Labs 硬體搭配 Purple Guest WiFi 可在三個維度上帶來可衡量的回報:營運效率、數據收集和安全態勢。

在營運方面,將多個 SSID 整合到單個由 AltaPass 管理的網路中,可減少管理開銷並提高無線效能。較少的 SSID 意味著較少的信標訊框(Beacon Frame)開銷,這會直接轉化為所有連線裝置的更高吞吐量。

在數據方面,Purple 的 Captive Portal 在每次登入時都會收集經驗證的第一方數據。使用 Purple 的 Capture 和 Engage 方案的場域報告指出,與未管理的訪客 WiFi 相比,行銷資料庫的訂閱率(Opt-in)增加了 40%(Purple 內部數據)。這些數據直接匯入 WiFi 分析 ,讓行銷團隊能夠掌握客流量模式、停留時間和重複造訪率。

在安全性方面,動態 VLAN 分配可在邊緣端隔離訪客、員工和 IoT 流量。結合 Purple 的 ISO 27001 認證基礎架構和符合 GDPR 規範的資料處理,此架構符合處理刷卡交易的場所對於 PCI DSS 網路分割的要求。

特別是針對 餐旅業 部署,品牌專屬登入頁面、會員計劃整合以及單一裝置頻寬控制的結合,創造了差異化的訪客體驗,且不會增加網路營運團隊的複雜性。

針對 零售 環境,在相同的實體基礎架構上(使用 AltaPass 旁路規則)將 POS 終端與訪客 WiFi 進行分割的能力,免除了獨立佈線或硬體的需求,從而降低了資本支出與營運成本。

相關指南: Arista Cognitive Wi-Fi 與 Purple WiFi 整合 | 訪客 WiFi 的 Walled Garden 設定

關鍵定義

Captive portal

一個攔截未驗證網路流量的網頁,要求使用者在獲得網際網路存取權限之前進行互動(例如登入、接受條款或付費)。Purple 在雲端託管登入頁面;Alta Labs AP 負責處理重新導向。

餐旅、零售和公共部門 WiFi 部署中收集房客數據的主要機制。

Walled garden

用戶端裝置在完成 captive portal 驗證前可以存取的特定網域和 IP 地址清單。在使用者登入之前,清單之外的所有內容都會被封鎖。

對於在驗證完成前允許社群登入 API、作業系統偵測探測和入口網站 CDN 資產正常運作至關重要。

PPSK (Private Pre-Shared Key)

一種安全方法,可在單一 SSID 上使用多個不重複的密碼,每個密碼會將連線裝置分配至特定的 VLAN、頻寬原則和存取排程。

Alta Labs 將此功能實作為 AltaPass。用於多住戶單元(MDU)、智慧辦公室和體育場,以提供隔離存取,避免 SSID 數量激增。

RADIUS

遠端使用者撥入驗證服務。一種提供集中式驗證、授權和計費(AAA)管理的網路協定。Purple 擔任 RADIUS 伺服器;Alta Labs AP 則擔任 RADIUS 用戶端。

告知 AP 房客已成功驗證並應獲准存取網際網路的機制。

Identity-Based Networking

一種網路架構,其中存取權限、VLAN 和頻寬限制是根據使用者或裝置的已驗證身分套用,而非根據其連線的實體連接埠或 SSID。

Purple 對於結合 RADIUS、PPSK 和 VLAN 分配的稱呼,可在分散式資產中實現一致的原則。

Dynamic VLAN assignment

根據 RADIUS 伺服器傳回的驗證憑證,將用戶端裝置分配至特定虛擬區域網路(VLAN)的程序,而非靜態的 SSID 到 VLAN 對應。

對於在共享無線基礎架構上隔離員工、房客和 IoT 流量至關重要。需要正確的 RADIUS 屬性:Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-Id。

Captive Network Assistant (CNA)

iOS、Android 和 Windows 上內建的作業系統機制,透過探測已知 URL 來偵測 captive portal。如果探測被重新導向,作業系統會啟動虛擬瀏覽器供使用者登入。

如果圍牆花園(walled garden)封鎖了 CNA 探測網域,使用者將永遠看不到登入頁面。這是最常見的 captive portal 故障模式。

WPA3-OWE

Wi-Fi Protected Access 3 - 機會性無線加密。一種在開放網路上加密傳輸中數據而無需密碼的標準,在保護房客隱私的同時,仍允許進行 captive portal 重新導向。

2026 年推薦用於房客 SSID 的安全模式。提供加密功能,且無需預共用金鑰的繁瑣步驟。

AltaPass

Alta Labs 申請專利中的多密碼 SSID 技術實作。允許單一 SSID 承載無限個不重複的密碼,每個密碼都有其專屬的 VLAN、頻寬限制、排程和熱點旁路設定。

Alta Labs 硬體上多租戶區隔的主要工具。在住宅、餐旅和智慧辦公室部署中,取代了對多個 SSID 的需求。

範例

一間擁有 200 間客房的飯店需要提供分級的 WiFi 存取:針對一般房客提供免費基本方案(10 Mbps)、針對會員提供付費尊榮方案(50 Mbps),以及針對房務人員提供安全網路。他們希望避免廣播多個 SSID,以維持 40 台 Alta Labs AP6 Pro 裝置的射頻(RF)效能。

部署一個名為「Hotel Guest WiFi」且啟用 AltaPass 的單一 SSID。在 Alta Labs 控制面板中建立三個密碼設定檔:(1) 分配給 VLAN 10 的標準房客密碼,限制下載速度為 10 Mbps,並將外部熱點重新導向至 Purple 登入頁面(splash page);(2) 分配給 VLAN 20 的會員密碼,限制速度為 50 Mbps — Purple 可在驗證後透過其行銷自動化功能發送此密碼;(3) 分配給 VLAN 30 的房務人員密碼,不設頻寬限制、啟用熱點旁路(hotspot bypass),並停用用戶端隔離(client isolation),以便員工裝置能與後台系統通訊。將交換器上行鏈路設定為 Trunk,並允許 VLAN 10、20 和 30。房客和會員 VLAN 透過 NAT 路由至網際網路。員工 VLAN 則路由至物業管理系統子網路。

考官評語: 此方法使用 AltaPass 實現基於身分的網路(Identity-Based Networking),而無需增加 SSID 數量。關鍵在於熱點旁路是針對每個密碼進行設定,而非針對每個 SSID。這使得同一個 SSID 能同時服務 captive-portal 房客和啟用旁路的員工。透過 Purple 的驗證後流程發送尊榮方案密碼是餐旅業的常見模式 — 房客在標準方案登入,若符合會員資格,Purple 的行銷引擎就會向其發送尊榮存取碼。

某零售連鎖店正使用 Alta Labs 硬體在 50 家門市部署 Purple Guest WiFi。測試期間,Android 裝置能正常載入登入頁面,但 Apple iOS 裝置卻顯示一般的「無網際網路連線」錯誤,且未顯示登入畫面。圍牆花園(walled garden)已包含 Purple 入口網站網域和 Google OAuth 項目。

在 Alta Labs 熱點設定中,將 captive.apple.com 新增至圍牆花園(walled garden)。iOS 使用此網域作為其 Captive Network Assistant 探測。當裝置連線至新網路時,iOS 會向 captive.apple.com 發送 HTTP 請求。若收到預期回應,則判定網路已開啟。若收到重新導向,則會啟動虛擬瀏覽器。若該網域被完全封鎖,iOS 將無法偵測到 captive portal 並顯示連線錯誤。一旦將該網域加入白名單,iOS 裝置將會偵測到重新導向並自動啟動登入畫面。

考官評語: 這是實際部署中最常見的 captive portal 故障模式。Android 使用 connectivitycheck.gstatic.com,Windows 則使用 msftconnecttest.com 來達到相同目的。為了進行跨平台部署,這三個網域都必須加入圍牆花園(walled garden)。此故障特別容易令人困惑,因為它呈現為網路連線錯誤而非入口網站錯誤,導致工程師在檢查圍牆花園之前先去調查 DHCP 和 DNS。

練習題

Q1. 您正在會議中心部署 Alta Labs AP6 Pro 無線基地台。客戶需要為與會者提供 captive portal,但同時也需要銷售點(POS)終端機安全地連線至相同的無線基地台,且不顯示登入頁面。兩種裝置類型應使用相同的 SSID 以簡化標示。您該如何設定?

提示:AltaPass 允許在同一個 SSID 上針對每個密碼進行熱點旁路設定。

查看標準答案

在該單一 SSID 上啟用 AltaPass。為 POS 終端機建立一個密碼,將其分配至安全的 VLAN(例如 VLAN 50)並啟用熱點旁路 — 這些裝置將直接連線至網路,而不會看到 captive portal。為與會者建立另一個密碼(或使用開放式連線),以觸發重新導向至 VLAN 10 上的 Purple 登入頁面。兩種裝置類型皆連線至相同的 SSID,但會根據其密碼接收不同的網路原則。

Q2. 在 Alta Labs 網路上設定 Purple captive portal 後,Android 裝置能成功顯示登入頁面,但 Apple iOS 裝置卻顯示一般的「無網際網路連線」錯誤,且未開啟登入畫面。圍牆花園(walled garden)已包含 Purple 入口網站網域和 Google OAuth 項目。最可能的原因和解決方法是什麼?

提示:iOS 使用特定網域來偵測 captive portal。如果無法連線至該網域,它會判定網路無法存取網際網路。

查看標準答案

圍牆花園(walled garden)遺漏了 captive.apple.com。iOS 在連線至新網路時會向此網域發送 HTTP 探測。如果探測被封鎖,iOS 將無法偵測到 captive portal,並顯示連線錯誤,而不會啟動 Captive Network Assistant。請在 Alta Labs 熱點設定中將 captive.apple.com 新增至圍牆花園。同時新增適用於 Android 的 connectivitycheck.gstatic.com 和適用於 Windows 的 msftconnecttest.com,以確保跨平台相容性。

Q3. 體育場 IT 總監在 Alta Labs 802.1X 員工網路上設定了 RADIUS 分配的 VLAN。RADIUS 伺服器發送了正確的 Tunnel-Private-Group-Id 屬性(VLAN 20),但所有員工裝置卻都進入了 VLAN 5(即 SSID 上設定的預設 VLAN)。這是什麼原因造成的?該如何解決?

提示:Alta Labs 韌體中存在一個已知行為,與 SSID 預設 VLAN 和 RADIUS 分配的 VLAN 之間的互動有關。

查看標準答案

Alta Labs AP 正在使用 SSID 預設 VLAN 值覆寫 RADIUS 分配的 VLAN。這是已知的韌體行為:當 SSID 上的預設 VLAN 設定為特定值(在此案例中為 VLAN 5)時,AP 會使用該值,而非 RADIUS 傳回的 VLAN。解決方法是將 802.1X SSID 上的預設 VLAN 設定為 VLAN 1(或保持未標記狀態)。將預設值設定為 VLAN 1 後,AP 就會正確地依據 RADIUS 分配的 VLAN 來處理每個已驗證的使用者。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →