Grandstream GWN Access Points 與 Purple WiFi 整合

歡迎來到 Purple 技術簡報系列。我是您的主持人，今天我們要介紹一個在旅宿業、零售業和多租戶物業中越來越常見的部署模式：將 Grandstream GWN 基地台與 Purple 的 guest WiFi 平台進行整合。 如果您是 MSP、內部 IT 團隊或網路架構師，手頭上剛好有 Grandstream GWN 部署專案，並被要求加上品牌專屬的 Captive Portal 與分析功能，那麼這一集就是為您準備的。我們將涵蓋完整的技術架構：訪客歡迎頁面（splash page）重導向、Walled Garden（圍牆花園）設定、使用 802.1X 的安全員工 WiFi，以及使用 Grandstream 的 Private Pre-Shared Key 功能進行多租戶分割。讓我們開始吧。 --- 首先，介紹一些背景資訊。Grandstream 的 GWN 系列是相當可靠的中階市場基地台產品線。您有適用於室內部署的 GWN7600 和 GWN7630，適用於 Wi-Fi 6 環境的 GWN7660 和 GWN7664，以及作為高密度空間吸頂式選擇的 GWN7610。它們可以透過 GWN Manager（安裝在 Linux 或 Windows 伺服器上的地端控制器）或 GWN dot Cloud（Grandstream 的雲端託管管理平台，現已更名為 GDMS Networking）進行管理。 對 MSP 來說，好消息是這兩個管理平台都原生支援 Captive Portal 設定。您完全可以在 GWN Manager 或 GWN dot Cloud 中建立入口網站策略、自訂歡迎頁面，並將其與 SSID 關聯。但對於需要符合 GDPR 規範的數據收集、行銷自動化和即時分析的企業級部署，您會需要將該原生入口網站替換為外部平台。這就是 Purple 發揮作用的地方。 Purple 以雲端覆蓋（cloud overlay）的方式運作。它位於您的硬體之上，提供 Captive Portal、RADIUS 驗證層、分析引擎和行銷工具。Purple 支援 80,000 個實體場域，僅在 2024 年就處理了 4.4 億次登入，因此該平台在大規模應用上已得到充分驗證。與 Grandstream GWN 的整合遵循與 Purple 在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 上所使用的相同標準化方法。 --- 讓我們深入了解技術架構。在 Grandstream GWN 上搭配 Purple 的訪客 WiFi 流程如下。 訪客連線到您的訪客 SSID。他們的裝置會向任何網站發送 HTTP 請求。GWN 基地台會攔截該請求，並發出 HTTP 302 重導向至 Purple 入口網站 URL。訪客會抵達由 Purple 託管的品牌專屬歡迎頁面。他們進行驗證，無論是透過電子郵件、社群登入、簡訊驗證還是自訂表單。Purple 的平台會驗證該憑證，按照 GDPR 記錄同意聲明和數據，然後將 RADIUS Access-Accept 傳回給 GWN 基地台。AP 隨即授予網際網路存取權限。從連線到存取網際網路，整個流程大約需要三到五秒。 現在，Grandstream 端的核心設定元件包括：Captive Portal 策略、歡迎頁面設定、Walled Garden 和 SSID 關聯。讓我逐一說明。 --- 步驟一：在 GWN Manager 或 GWN dot Cloud 中設定 Captive Portal 策略。 導覽至 Captive Portal，然後選擇 Policy List，並建立一個新策略。給它一個描述性的名稱，例如 "Purple-Guest-Portal"。將 Authentication Type 設定為 RADIUS Server。接著您會看到 RADIUS Server Address、RADIUS Server Port 和 RADIUS Server Secret 的欄位。輸入 Purple 的 RADIUS 伺服器 IP 位址，並將驗證連接埠設為 1812。您的共用金鑰（shared secret）來自 Purple 入口網站管理主控台的場域硬體設定區段。將 RADIUS Authentication Method 設定為 PAP，這是 Purple 的 Captive Portal 流程所使用的驗證方法。 在 Landing Page 下，將其設定為 Redirect to External Page，並輸入您的 Purple 入口網站重導向 URL。這是訪客首次連線時會被引導至的 URL。同樣地，這來自您的 Purple 管理主控台。 將 Expiration 時間設定為符合您場域的連線階段策略。對於飯店，通常是 24 小時。對於會議場地，您可能會將其設定為活動的持續時間。對於零售環境，常見的是兩到四個小時。 啟用 Failsafe Mode。這非常重要。如果 GWN 基地台無法連線到 Purple 的 RADIUS 伺服器，安全模式仍會授予網際網路存取權限，而不是阻斷所有訪客。對於大多數旅宿和零售部署，短暫的 RADIUS 斷線不應導致所有訪客失去連線。 --- 步驟二：設定 Walled Garden。 Walled Garden 是訪客在透過入口網站驗證之前可以存取的網域和 IP 位址清單。如果這裡設定錯誤，訪客將會看到空白頁面或損壞的入口網站，並且會歸咎於 WiFi 問題。 在 GWN Manager 中，Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中進行設定。將以下網域新增為允許規則：Purple 入口網站網域（即 portal dot purple dot ai）；Purple 歡迎頁面載入資源所需的任何 CDN 網域，包括使用萬用字元項目的 cloudfront dot net；Apple 的 Captive Portal 偵測端點 captive dot apple dot com；以及 Google 的連線檢查端點 connectivitycheck dot gstatic dot com。 Purple 的支援入口網站在 support dot purple dot ai 提供了一個動態 Walled Garden 產生器。從硬體清單中選擇 Grandstream，選擇您的驗證方法，它就會產生您所需的確切網域清單。請使用該清單，不要嘗試手動從頭建置。 您需要做的一個決定是：是否將 captive dot apple dot com 納入 Walled Garden 中？如果納入，iOS 裝置將不會自動顯示 Captive Network Assistant 迷你瀏覽器。訪客需要手動開啟瀏覽器才能到達入口網站。如果不納入，iOS 會在裝置連線時自動啟動迷你瀏覽器。對於大多數旅宿部署，您會希望顯示迷你瀏覽器，因此請將 captive dot apple dot com 排除在 Walled Garden 之外。 --- 步驟三：設定 SSID。 在 GWN Manager 中，導覽至 SSID 並編輯您的訪客 SSID。啟用 Captive Portal 並選擇您剛建立的策略。將 SSID 設定為 WPA2-Personal 並搭配簡單的公開密碼，或者如果您的場所偏好該方式，也可以將其設定為開放式 SSID。此流程中的安全性來自於 Portal 驗證，而非 WiFi 密碼。 啟用用戶端隔離（Client Isolation）。這可以防止訪客在網路上看到彼此的裝置。這是一項基本的安全要求，且如果您的場所在相同的基礎架構上處理刷卡付費，這也是 PCI DSS 的考量因素。 將 SSID 指派給您的訪客 VLAN。VLAN 10 是訪客流量的常用慣例。請確保您的上游交換器和路由器已設定適當的防火牆規則，以將該 VLAN 路由至網際網路。 --- 現在我們來談談使用 802.1X 的員工 WiFi。 IEEE 802.1X 是基於連接埠之網路存取控制的標準。對於員工 WiFi，它將共享的金鑰替換為個別使用者的憑證，並透過識別提供者進行驗證。當員工連線時，GWN 存取點（AP）充當驗證者（authenticator），他們的裝置是請求者（supplicant），而 Purple 的 RADIUS 伺服器則是驗證伺服器。 在 GWN Manager 中，為員工建立一個獨立的 SSID。將安全模式設定為 WPA2-Enterprise，這會啟用 802.1X。使用 Purple 的 RADIUS IP、連接埠 1812 以及您的共用密鑰來設定 RADIUS 伺服器設定。在連接埠 1813 上啟用 RADIUS 計費（Accounting），以便您獲得誰在何時連線以及連線多長時間的完整稽核追蹤。此稽核追蹤是您符合 GDPR 合規性以及應對任何安全性事件所需要的。 對於 EAP 方法，您有兩個主要選擇。EAP-TLS 在伺服器和用戶端裝置上都使用數位憑證。這是最安全的選項，但它需要行動裝置管理（MDM）平台將憑證推送到員工裝置。如果您有 Microsoft Intune 或 Jamf，EAP-TLS 是正確的選擇。 PEAP（代表受保護的 EAP）在加密的 TLS 通道內使用使用者名稱和密碼。它更容易部署，特別是對於 BYOD 環境，但您必須確保員工接受過培訓，不要接受憑證警告。如果使用者點擊忽略憑證錯誤，惡意存取點可能會收集 PEAP 憑證。 在 SSID 設定中啟用動態 VLAN 指派。啟用此功能後，RADIUS 伺服器可以在 Access-Accept 封包中傳回 VLAN ID，而 GWN AP 將會把連線的裝置放置在該 VLAN 上。這意味著您可以擁有單一員工 SSID，但根據使用者在 Purple 目錄中的身分，自動將 IT 員工劃分到 VLAN 20、管理階層劃分到 VLAN 21，以及銷售點（POS）裝置劃分到 VLAN 40。 動態 VLAN 的 RADIUS 屬性為：Tunnel-Type 設定為 VLAN（屬性值為 13）；Tunnel-Medium-Type 設定為 IEEE-802（屬性值為 6）；以及 Tunnel-Private-Group-ID 設定為字串格式的 VLAN 編號。Access-Accept 封包中的這三個屬性就是 GWN AP 將裝置引導至正確 VLAN 所需的一切。 --- 現在來介紹對於多租戶物業特別有用的功能：Grandstream 私有預先共用金鑰（Private Pre-Shared Keys），或稱 PPSK。 PPSK 是一種允許單一 SSID 支援多個不重複密碼的機制，每個密碼都對應到不同的 VLAN 或網路策略。想像一下出租公寓大樓、共享工作空間或服務式辦公大樓。您希望所有人都能看到同一個 SSID，但每個租戶都會獲得自己的密碼，將他們置於自己隔離的網路區段中。 在 GWN Manager 中，PPSK 是在 SSID 設定下進行設定。將安全模式設定為 WPA2-Personal，然後啟用 PPSK。接著您可以建立個別的 PSK 項目，每個項目都有不重複的密碼和關聯的 VLAN ID。當裝置使用租戶 A 的密碼連線時，AP 會將其置於 VLAN 31。當裝置使用租戶 B 的密碼時，它會進入 VLAN 32。租戶共享相同的 SSID，但在網路層上完全彼此隔離。 對於更大規模的部署，Grandstream 也支援搭配 RADIUS 後端的 PPSK。在此模式下，AP 將 PSK 作為 RADIUS 屬性傳送到驗證伺服器，驗證伺服器對其進行驗證並傳回適當的 VLAN 指派。這正是 Purple 的「基於身分的網路（Identity-Based Networks）」功能直接整合之處。Purple 可以管理 PPSK 資料庫、對照其目錄驗證金鑰，並傳回動態 VLAN 指派，讓您從單一平台集中管理數百個租戶憑證。 用於 PPSK 驗證的 RADIUS 屬性通常是 Tunnel-Password 屬性，或取決於韌體版本的廠商專屬屬性。請檢查 Grandstream 針對您特定韌體的版本說明，因為屬性對應已隨著 GWN Manager 版本而演進。 --- 讓我說明一下在搭配外部 Portal 的 Grandstream 部署中，我最常看到的兩種失敗模式。 第一種是重新導向未觸發。訪客連線到 SSID，開啟瀏覽器，卻收到「無法連線至網站」的錯誤，而不是 Portal 頁面。最可能的原因是圍牆花園（walled garden）設定錯誤。Portal 頁面本身在驗證前被阻擋了。在連接到訪客 SSID 的測試裝置上開啟瀏覽器開發者工具，查看網路（Network）分頁，並識別哪些請求失敗。將這些網域新增到您的預先驗證規則中。 第二種失敗模式是 RADIUS 逾時。AP 向 Purple 的 RADIUS 伺服器傳送 Access-Request，但沒有收到回應。這通常意味著防火牆阻擋了從 AP 的管理 VLAN 到 Purple 的 RADIUS IP 範圍的輸出 UDP 連接埠 1812。請檢查您的防火牆規則。Purple 的 RADIUS IP 位址記錄在 Purple 管理主控台的場所設定下。請確保主要和次要 RADIUS IP 都已允許通過。 第三個值得一提的問題：動態 VLAN 無法運作。員工連線後進入了錯誤的 VLAN。最常見的原因是 GWN Manager 的 SSID 設定中未勾選「啟用動態 VLAN」。這是一個簡一個容易被忽略的單一核取方塊。第二個原因是共享金鑰（shared secret）不匹配。如果 AP 上的共享金鑰與 Purple 中設定的不一致，AP 就會默默丟棄 RADIUS 回應，並退回到預設的 VLAN。 --- 讓我給您兩個實際案例，以便更具體地說明。 案例一：一家擁有 120 間客房的飯店。該飯店運行透過 GWN dot Cloud 管理的 GWN7660 基地台。他們需要一個供房客使用的品牌專屬 Captive Portal、一個供櫃台和房務人員使用的安全員工網路，以及一個用於物業管理系統（PMS）的獨立管理 VLAN。 此設定使用三個 SSID：VLAN 10 上的 Guest WiFi，採用 Purple Captive Portal 策略；VLAN 20 上的 Staff WiFi，採用 WPA2-Enterprise 以及針對 Purple RADIUS 的 PEAP 驗證；以及 VLAN 30 上用於 PMS 終端機的隱藏版 Management SSID。在員工 SSID 上啟用動態 VLAN 分配，意味著房務設備會進入存取權限受限的 VLAN 21，而櫃台設備則會進入擁有完整存取權限的 VLAN 20。Purple 的分析儀表板可向飯店營運商顯示每日訪客數量、工作階段持續時間以及行銷活動的同意加入率（opt-in rates），為行銷團隊提供執行精準行銷活動所需的數據。 案例二：一棟擁有 40 個單元的租賃型公寓。營運商在現場運行配備 GWN Manager 的 GWN7630 基地台。每個公寓都需要自己獨立的網路。營運商使用以 RADIUS 為後端的 PPSK。Purple 管理 40 個獨特的租戶憑證，每個憑證都對應到專屬的 VLAN。住戶使用其單元的密碼連接到單一的 "BuildingConnect" SSID。Purple 的入口網站處理初始的引導流程、收集住戶同意，並為營運商提供入住率分析和互動數據。當住戶搬出時，營運商只需在 Purple 的管理主控台中撤銷其 PPSK 憑證，存取權限就會立即終止。無需更改 SSID 密碼或重新設定 AP。 --- 快速問答。關於 Grandstream 部署，我經常被問到的三個問題。 問題一：我可以使用 GWN dot Cloud 代替 GWN Manager 進行 Purple 整合嗎？可以。GWN dot Cloud 中的 Captive Portal 設定在功能上與 GWN Manager 完全相同。選單路徑相同，RADIUS 和 Walled Garden（圍牆花園）設定也位於相同位置。對於管理多個案場的 MSP 而言，GWN dot Cloud 是更好的選擇，因為您可以在單一介面中管理所有部署。 問題二：Purple 是否支援 Grandstream 的原生分析以及其自身的分析？Purple 會用自己更詳細的數據集取代原生的 Captive Portal 分析。您可以獲得工作階段數量、停留時間、同意加入率、來自表單欄位的人口統計數據，以及與行銷平台的整合。用於 RF 效能、AP 健康狀況和用戶端數量的原生 GWN 分析，仍可在 GWN Manager 或 GWN dot Cloud 中與 Purple 的入口網站分析並行使用。 問題三：在 GWN AP 上使用帶有 RADIUS 的 PPSK 需要什麼韌體版本？帶有 RADIUS 後端的 PPSK 需要 GWN76xx 系列上的 GWN 韌體 1.0.19 或更高版本。部署前請檢查 Grandstream 的版本說明。運行過時的韌體是 PPSK 部署中出現非預期行為最常見的單一原因。 --- 總結一下。只要遵循正確的步驟，將 Grandstream GWN 基地台與 Purple 整合就是一項簡單的部署。首先在 Captive Portal 策略中設定您的 RADIUS 伺服器設定。使用 Purple 的網域產生器工具建立您的 Walled Garden。將該策略與您的訪客 SSID 關聯並啟用用戶端隔離。對於員工 WiFi，啟用具有動態 VLAN 分配的 WPA2-Enterprise。對於多租戶物業，使用帶有 RADIUS 後端的 PPSK，並透過 Purple 集中管理憑證。 必須做對的五件事：UDP 1812 上的 RADIUS 且共享金鑰匹配；涵蓋所有入口網站資產網域的 Walled Garden；在訪客 SSID 上啟用用戶端隔離；在 SSID 設定中啟用動態 VLAN；以及 PPSK 韌體版本在 1.0.19 或更高。 做對這五件事，您就擁有了一個穩固、具擴充性的部署，可以為您的場所服務多年。Purple 的上線團隊可以在正式上線前驗證您的設定，而該平台 99.999% 的正常運行時間意味著您不需要在凌晨兩點向飯店客人解釋入口網站中斷的原因。 感謝您的收聽。如需更多關於企業級 WiFi 整合的技術指南，請造訪 purple dot ai。下一集，我們將介紹使用 Microsoft Entra ID 和 Purple 的 SecurePass 功能進行動態 VLAN 分配。下期再會。