Cambium Networks cnPilot 與 cnMaestro 與 Purple WiFi 整合

Cambium Networks cnPilot 與 cnMaestro 與 Purple WiFi 整合。顧問簡報。 歡迎。如果您正在運行 Cambium Networks 環境，且被要求提供一個能夠收集數據、推動行銷並保持合規的訪客 WiFi 體驗——這份簡報正是您所需要的。 我將帶您瞭解 Cambium cnPilot 無線基地台、cnMaestro 雲端控制器和 Purple WiFi 如何協同運作。我們將涵蓋架構、RADIUS 驗證流程、Walled Garden 設定、使用 802.1X 的安全員工 WiFi，以及使用 Cambium ePSK 功能搭配動態 VLAN 分配的多租戶區隔。 無論您是管理飯店資產、零售組合、會議中心還是公共部門校園，其原理都是相同的。讓我們開始吧。 首先，快速介紹這兩個平台。 Cambium Networks 生產 cnPilot 系列企業級 WiFi 無線基地台——包括用於室內和室外部署的 e410、e425H、e430H 和 e505。這些 AP 透過 Cambium 的雲端管理平台 cnMaestro 進行集中管理。cnMaestro 為您提供整個 AP 資產的集中能見度、設定管理和韌體更新——無論是單一場所中的少數裝置，還是跨越全國資產的數千個 AP。 Purple WiFi 是一款企業級訪客 WiFi 智慧平台。它負責處理 Captive Portal（即訪客連線時看到的品牌歡迎頁面），同時也扮演 RADIUS 驗證伺服器、數據收集引擎和行銷自動化平台。Purple 在全球超過 80000 個實體場所運作，僅在 2024 年就處理了 4.4 億次登入。Cambium cnMaestro 與 Purple 的結合，為您提供了一個在技術上紮實且在商業上極具價值的生產級訪客 WiFi 堆疊。 現在，讓我們來談談整合架構。 核心機制是 Captive Portal 重新導向結合 RADIUS 驗證。以下是實際運作流程。 訪客裝置與您的訪客 SSID 建立關聯。該 SSID 在 cnMaestro 中設定為開放式網路——訪客無需預共用金鑰。Cambium AP 會攔截裝置的第一個 HTTP 請求，並將其重新導向至 Purple 的 Captive Portal URL。此重新導向是在 cnMaestro 的 WLAN 訪客存取 (Guest Access) 設定下進行設定，您可以在其中將外部頁面 URL (External Page URL) 設定為您的 Purple 場所入口網站端點。 接著，訪客與 Purple 入口網站進行互動。他們可能會透過社群登入、電子郵件、簡訊驗證或自訂表單進行驗證。一旦他們完成驗證流程，Purple 的後端就會在 UDP 連接埠 1812 上向 Cambium AP 傳送 RADIUS Access-Accept 訊息。AP 隨後會將用戶端裝置從驗證前的 Walled Garden 狀態轉移到完整的網路存取狀態。 讓我帶您瞭解 cnMaestro 中的確切設定步驟。 導覽至「Configuration」（設定），然後是「WiFi Profiles」（WiFi 設定檔），接著是「WLANs」。為您的訪客網路建立一個新的 WLAN。設定 SSID 名稱（例如 "Hotel Guest WiFi"），並將安全性設定為「Open」（開放）。在「Guest Access」（訪客存取）下，啟用「External Hotspot」（外部熱點）選項。這是告訴 cnMaestro 將未驗證的用戶端重新導向至外部入口網站的關鍵設定。 將外部頁面 URL 設定為您的 Purple 場所入口網站 URL。啟用 RADIUS 驗證並輸入 Purple 的 RADIUS 伺服器 IP 位址、共用金鑰，並將驗證連接埠設定為 UDP 1812。在 UDP 1813 上啟用 RADIUS 計費——這對於 Purple 的分析功能正常運作至關重要。如果沒有計費記錄，Purple 就無法建立工作階段數據、停留時間指標或造訪頻率分析。 現在，談談 Walled Garden。這是訪客裝置在驗證前可以連線的網域和 IP 位址清單。您需要將 Purple 的入口網站網域以及用於提供入口網站資產的任何 CDN 端點加入白名單。您還需要將任何驗證提供者網域加入白名單——如果您使用 Google 或 Facebook 的社群登入，他們的 OAuth 網域需要包含在 Walled Garden 中。設定錯誤的 Walled Garden 是導致 Captive Portal 失敗最常見的單一原因。訪客裝置需要先解析 DNS 並透過 HTTPS 連線至 Purple 入口網站，然後才能進行驗證。 在 cnMaestro 中，Walled Garden 是在「External Hotspot」設定下進行設定。請為 Purple 的入口網站網域、任何社群登入提供者網域，以及任何付款閘道網域（如果您有運行付費 WiFi 層級）新增條目。 現在讓我們來談談使用 IEEE 802.1X 的安全員工 WiFi。 對於員工網路，您不需要 Captive Portal。您需要的是在裝置層級靜默進行的憑證型或認證型驗證。在 cnMaestro 中，為員工建立一個獨立的 WLAN。將安全性設定為 WPA2-Enterprise。設定 RADIUS 伺服器詳細資料——同樣是 UDP 1812 上的 Purple RADIUS 伺服器 IP。員工裝置使用包含使用者名稱和密碼憑證的 EAP-PEAP 進行驗證，或使用裝置憑證的 EAP-TLS 以獲得最高的安全性。 Purple 與 Microsoft Entra ID、Okta 和 Google Workspace 等身分識別提供者整合。這意味著您的員工可以使用其現有的企業憑證驗證連線至 WiFi——無需管理獨立的 WiFi 密碼。Purple 會向您的身分識別提供者驗證憑證，並向 Cambium AP 回傳 Access-Accept。接著，動態 VLAN 分配會將已驗證的員工裝置放置在正確的員工 VLAN 上，將其與訪客流量隔離開來。 現在，使用 Cambium ePSK 的多租戶區隔。 ePSK（增強型預共用金鑰）是 Cambium 對業界所稱 PPSK 或 iPSK 的實現方式。這個概念非常簡單：與其為整個 SSID 共用一個密碼，每個使用者或租戶都會獲得自己唯一的密碼。他們都連線到同一個 SSID，但每個唯一的金鑰都會對應到特定的 VLAN，從而在不增加運行多個 SSID 之複雜性的情況下為您提供網路隔離。 cnMaestro 每個 WLAN 支援最多 2,000 個 ePSK 條目。每個 ePSK 都可以分配特定的 VLAN ID、速率限制和到期日。這使其非常適合多租戶環境——例如會議中心，其中每個參展商都獲得自己隔離的網路區段；或是租賃型住宅大樓，其中每個居民都獲得自己私有的區域網路。 要在 cnMaestro 中設定 ePSK，請導覽至「Configuration」、「WiFi Profiles」、「WLANs」。建立一個新的 WLAN。將安全性設定為 WPA2 Pre-Shared Key。啟用 ePSK 選項。然後，您可以手動新增個別的 ePSK 條目，或使用 cnMaestro API 以程式化方式進行佈署——這是您在大規模部署時會想要採用的方法。 對於每個 ePSK 條目，設定密碼、分配的 VLAN ID，以及選填的速率限制和到期日。當裝置使用該密碼連線時，Cambium AP 會自動將其放置在分配的 VLAN 上。ePSK 流程本身不需要 RADIUS——VLAN 分配是由 AP 根據所使用的密碼在本地處理的。 Purple 透過 cnMaestro API 管理 ePSK 生命週期來與此模式整合。當新租戶入駐時，Purple 可以佈署新的 ePSK 條目、更新 VLAN 分配、設定到期日，並在租戶離開時撤銷存取權限。這消除了管理數百或數千個獨立金鑰的手動開銷。 好的，讓我們來談談可能會發生什麼問題以及如何避免。 最常見的陷阱是 Walled Garden。如果您的 Walled Garden 條目不完整，Captive Portal 重新導向就永遠無法完成。訪客會看到連線逾時，而不是登入頁面。請務必使用全新的裝置（而不是先前連線過的裝置）進行測試，並確認在驗證前是否能載入 Purple 入口網站。檢查在驗證前狀態下，針對 Purple 入口網站網域的 DNS 解析是否正常運作。 第二：RADIUS 共用金鑰不匹配。在具有多個站點的大規模部署中，很容易在 cnMaestro 中設定的共用金鑰與 Purple 記錄中的金鑰不同。在正式上線之前，請務必驗證雙方的共用金鑰。使用強大且隨機產生的金鑰（至少 32 個字元），並將其儲存在金鑰管理器中，而不是試算表中。 第三：RADIUS 計費。請勿跳過此步驟。計費記錄是 Purple 用於建立工作階段分析（停留時間、造訪頻率、裝置類型）的依據。請在 cnMaestro 中的 UDP 1813 上設定 RADIUS 計費。如果沒有它，您將失去 Purple 提供的分析價值。這只是一個需要五分鐘的設定步驟。 第四：VLAN Trunking。為了使動態 VLAN 分配正常運作，必須在連接到 Cambium AP 的交換器連接埠上對 VLAN 進行 Trunk 設定。如果 Trunk 上不允許用於訪客的 VLAN 100，則已驗證的訪客將無法取得 IP 位址，並且即使在成功驗證後，也會顯得無法存取網際網路。在測試前，請先驗證您的交換器 Trunk 設定。 第五：ePSK VLAN 範圍衝突。確保您的 ePSK VLAN 範圍不會與網路中現有的 VLAN 衝突——特別是管理 VLAN 或基礎架構 VLAN。在開始之前，請先記錄您的 VLAN 分配。 第六：韌體版本。確保您的 cnPilot AP 正在運行韌體版本 6.0 或更新版本，以獲得完整的外部熱點支援和 ePSK 功能。較早的韌體版本在 Captive Portal 重新導向行為方面存在已知問題。 現在來進行一些快速問答。 我可以在沒有 RADIUS 的情況下將 Purple 與 Cambium 搭配使用嗎——只進行簡單的重新導向？可以，但您會失去動態 VLAN 分配和工作階段計費數據。對於基本歡迎頁面以外的任何應用，強烈建議使用 RADIUS。 Purple 是否支援 Cambium AP 上的 WPA3？是的。Purple 基於入口網站的驗證與 SSID 上的 WPA3-SAE 相容。RADIUS 流程與無線安全協定無關。 我是否可以從單一 Purple 帳戶跨多個 Cambium 站點運行 Purple？當然可以。Purple 的多場所架構正是為此設計的。每個站點都會對應到 Purple 中的一個場所，而 cnMaestro 的網路政策可以乾淨俐落地擴展到全國資產。 cnMaestro 可以支援多少個 ePSK 條目？每個 WLAN 最多 2,000 個。對於需要更多條目的部署，請使用基於 RADIUS 的方法進行金鑰管理。 總結來說：Cambium cnMaestro 與 Purple WiFi 的整合是一個經過充分驗證的架構，可提供具有數據收集、RADIUS 驗證、動態 VLAN 區隔和完整分析功能的訪客 WiFi——這一切都透過 cnMaestro 的雲端主控台進行集中管理。 使其上線的關鍵步驟：在 cnMaestro 中設定您的訪客 WLAN，啟用外部熱點並設定 Purple 入口網站 URL，新增 Purple 的 RADIUS 伺服器詳細資料以進行驗證和計費，設定您的 Walled Garden 條目，驗證交換器上的 VLAN Trunking，並在正式上線前使用全新裝置進行測試。 對於多租戶部署，請在專用 WLAN 上設定 ePSK，為每個租戶分配 VLAN ID，並使用 cnMaestro API 進行大規模的生命週期管理。 投資報酬率 (ROI) 的案例非常直接。Purple 的分析平台將您的訪客 WiFi 從成本中心轉變為第一方數據資產。Harrods 透過其 Purple 訪客 WiFi 部署實現了 57 倍的行銷 ROI。AGS Airports 產生了 842% 的 ROI。結合 Cambium 的企業級基礎架構，您將獲得一個無需更改架構即可從單一場所擴展到全國資產的解決方案。 接下來的步驟：從您的 Purple 客戶經理那裡取得 Purple 的 RADIUS 伺服器詳細資料，調出您訪客 SSID 的 cnMaestro WLAN 設定，並逐一檢查設定清單。大多數單一站點部署都可以在一天內上線。 感謝您的收聽。如果您想深入瞭解 Captive Portal 設計、VLAN 區隔策略或 ePSK 生命週期管理，Purple 的說明文件和支援團隊是您下一個合適的聯絡對象。