跳至主要內容
繁體中文

WatchGuard Firebox 與 Purple WiFi 整合:設定與配置指南

本指南是為部署 WatchGuard Firebox 和 Access Points 與 Purple 的 IT 經理和網路架構師提供的逐步整合手冊。內容涵蓋訪客 Guest WiFi 的外部 Captive Portal 重新導向、員工 Staff WiFi 的安全 802.1X 驗證,以及使用 WatchGuard 私有預先共用金鑰 (PPSK) 搭配動態 VLAN 導向的多租戶分割,為您提供跨所有存取層級的單一、統一架構。

📖 8 分鐘閱讀📝 1,854 字數🔧 2 範例3 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到整合簡報。今天我們將介紹 WatchGuard Firebox 和 Access Point 與 Purple WiFi 的整合。這是一本針對 IT 經理、網路架構師以及場域營運總監的技術指南,旨在協助部署安全、具擴充性的無線基礎設施。我們將深入探討 Guest WiFi Captive Portal、使用 802.1X 的安全員工 WiFi,以及使用 WatchGuard 私人預共用金鑰(PPSK)的多租戶區段劃分。讓我們直接進入主題。 當您管理一個複雜的場域時,例如體育館、大型零售中心或多住戶住宅,您需要精確控制誰可以存取網路,以及連線後可以執行的操作。您還需要收集第一方數據以推動行銷營收。WatchGuard 提供統一的安全平台和硬體,Purple 則提供雲端覆蓋、身分管理和分析。透過將兩者整合,您可以自動化基於身分的存取控制。您不再需要獨立的訪客和員工閘道,從而減少了硬體支出並簡化管理。Purple 目前為超過 80,000 個實際場域提供服務,僅在 2024 年就處理了 4.4 億次登入,因此該平台專為應對您可能管理的任何規模場域而設計。 接下來進入技術深探。此架構依賴標準 RADIUS 協定和 HTTP 重新導向。我們有三個主要的存取層級。第一,Guest WiFi。這是一個開放式 SSID。WatchGuard AP 會攔截 HTTP 請求,並將使用者重新導向至 Purple 託管的 Splash Page(迎賓頁面)。第二,員工 WiFi。這是一個使用 802.1X、安全的 WPA3-Enterprise SSID。裝置使用 EAP-TLS 或 PEAP 直接向 Purple 的 RADIUS 伺服器進行驗證。第三,多租戶 WiFi。這使用 WatchGuard PPSK。多個使用者連接到單一 SSID,但每個使用者使用唯一的密碼。WatchGuard AP 會查詢 Purple 的 RADIUS 伺服器,然後根據該特定金鑰動態分配 VLAN。 那麼,我們如何配置 Guest WiFi Captive Portal 呢?第一步是在 WatchGuard Cloud 或 Firebox Policy Manager 中設定 RADIUS 伺服器。您將主要 RADIUS 伺服器指向您所在地區的 Purple IP 位址。驗證連接埠為 1812,計費連接埠為 1813。輸入 Purple 提供的共用秘密,並且至關重要的是,確保 NAS ID 與 Firebox 或 AP 的 MAC 位址相符。這會告訴 Purple 該請求來自哪一個場域。 第二步是 Captive Portal 重新導向本身。在 SSID 設定中,選擇「使用 RADIUS 驗證的第三方託管 Captive Portal」。輸入 Purple Splash Page URL,並輸入 Portal 共用秘密。這是 Purple Analyze 儀表板中產生的一個特定秘密,用於建立 HMAC 摘要以驗證身分驗證請求。HMAC-SHA1 演算法可確保來自 Purple 的身分驗證成功訊息是真實的,且在傳輸過程中未被篡改。 第三步是 Walled Garden(圍牆花園),這也是許多部署遭遇瓶頸的地方。如果您未配置此項,裝置將無法載入 Splash Page。在登入前,您必須允許存取 star dot mypurple dot com、api dot mypurple dot com 以及 cdn dot mypurple dot com。如果您使用 Microsoft Entra ID 或 Google Workspace 等社群登入,還需要新增這些識別提供者網域。將 Walled Garden 視為驗證前的接待大廳。沒有它,訪客甚至連前門都到不了。 現在,我們來看看使用 WatchGuard PPSK 的多租戶(Multi-Tenant)細分。如果您管理一個擁有 15 家店鋪的零售中心,廣播 15 個不同的 SSID 是一種很糟糕的做法。這會導致同頻道干擾、佔用空間頻寬,並產生管理開銷。PPSK 以優雅的方式解決了這個問題。您只需廣播一個 SSID(例如 Centre-Retail)。在 WatchGuard SSID 設定中啟用 Private Pre-Shared Key(這需要 WatchGuard 存取點上的韌體版本為 2.6 或更高)。在 Purple 中,您為每個租戶建立唯一的金鑰。 為了隔離流量,您可以使用動態 VLAN 分配(Dynamic VLAN Assignment)。在 WatchGuard Cloud 中,將 VLAN 設定為由 RADIUS 分配的動態 VLAN。當店鋪使用其特定金鑰連接裝置時,AP 會向 Purple 的 RADIUS 伺服器傳送 Access-Request。Purple 會驗證金鑰,並傳回一個包含三個重要 IETF RADIUS 屬性的 Access-Accept 封包。包括 Tunnel-Type(屬性 64,設定為 VLAN)、Tunnel-Medium-Type(屬性 65,設定為 802),以及 Tunnel-Private-Group-ID(屬性 81,設定為分配的 VLAN ID,例如零售租戶 A 的 VLAN 100)。接著,WatchGuard AP 會將該裝置放入 VLAN 100,與其他租戶完全隔離。這就是實務中的身分導向網路(Identity-Based Networking)。 我們來討論一下實作建議與常見的陷阱。首先是工作階段逾時(Session Timeouts)。在 Purple 和 WatchGuard 中配置嚴格的工作階段逾時以強制進行重新驗證。這能保持分析數據的準確性,並確保過期的工作階段不會消耗頻寬。將您的 RADIUS Interim-Update 間隔設定為 10 分鐘。其次是韌體。您必須確保您的 WatchGuard 存取點執行的是 2.6 或更高版本的韌體,才能支援 PPSK。更早的韌體版本不支援此功能。第三是 MAC 隨機化。現代裝置預設會隨機化其 MAC 位址。針對您的安全員工 WiFi 網路,請教育您的員工針對該特定 SSID 停用此功能,以確保穩定的 802.1X 驗證。MAC 隨機化可能會導致驗證失敗和分析數據不一致。 當發生問題時該如何處理?若 Captive Portal 無法載入,請先檢查 Walled Garden。如果裝置無法解析 DNS 或連線至 Purple 伺服器,則會顯示逾時錯誤,而非 Splash 頁面。若 VLAN 導向失敗,且用戶端從錯誤的 VLAN 取得 IP,請檢查 Purple 入口網站中的 RADIUS 記錄。請確保 Tunnel-Private-Group-ID 屬性的格式正確設定為字串,且與連接至 AP 的交換器連接埠上實際存在的 VLAN 相符。如果您在 WatchGuard 記錄中看到 HMAC 摘要錯誤,代表您的 Captive Portal 共用金鑰在 WatchGuard 與 Purple 之間不一致。兩側系統中的字元必須完全相同,一字不差。 接下來進行快速問答。問:我可以在同一個 SSID 上同時使用 PPSK 和 Captive Portal 嗎?答:不行。WatchGuard 不支援在同一個 SSID 上同時執行透過 PPSK 的動態 VLAN 以及 Captive Portal。您需要一個 SSID 用於入口網站,另一個獨立的 SSID 用於 PPSK。請依此規劃您的 SSID 架構。問:如果 RADIUS 伺服器沒有為 PPSK 使用者回傳 VLAN ID,會發生什麼事?答:在 WatchGuard Cloud 中,您可以配置「未分配用戶端」的備用選項。您可以將其放入未標記的 VLAN 或特定的隔離檢疫 VLAN,以確保他們無法存取企業網路。請務必配置此備用選項以避免意外存取。 總結來說,將 WatchGuard Firebox 與 Purple 整合,可為您提供一個統一的平台,在訪客、員工及多租戶網路中管理安全、身分識別與分析。您可以針對訪客使用外部 Captive Portal 重新導向,針對員工使用 802.1X,並在多租戶環境中搭配動態 VLAN 使用 PPSK。其投資報酬率顯而易見。您可以透過整合閘道器來降低硬體成本、透過單一雲端平台簡化管理,並透過 Purple Captive Portal 收集第一方數據來創造營收。您的後續步驟是檢視您目前的 SSID 架構,確保您的 WatchGuard 韌體版本在 2.6 或更高,並開始在 Purple 入口網站中設定您的 RADIUS 設定。感謝您的收聽。

header_image.png

執行摘要

在複雜的場域中部署安全、具擴充性的無線基礎架構,需要安全閘道器與身分識別提供者之間進行精確的整合。本指南詳細說明 WatchGuard Firebox 和 WatchGuard 存取點與 Purple 的整合,涵蓋三種不同的存取層級: Guest WiFi Captive Portal 重導向、使用 IEEE 802.1X 的安全員工 WiFi,以及透過 WatchGuard 私人預先共用金鑰 (PPSK) 進行的多租戶 WiFi 分割。

透過將 WatchGuard 的統一安全平台與 Purple 的雲端重疊服務相結合,您可以自動化執行基於身分的身分驗證控制、實施細粒度的安全原則,並大規模擷取第一方數據。Purple 在全球 80,000 多個實體場域運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據)。此整合在設計上與硬體無關 - 在 Purple 支援的硬體清單中,WatchGuard 與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 並列。如需更廣泛的企業 WiFi 安全標準觀點,請參閱我們的 企業 WiFi 安全:2026 年完整指南

architecture_overview.png

技術架構

此整合使用兩種標準機制將 WatchGuard 硬體連接到 Purple 的雲端服務:用於身分驗證和計費的 RADIUS (Remote Authentication Dial-In User Service),以及用於傳遞 Captive Portal 的 HTTP 重導向。該架構在單一實體基礎架構上支援三種存取層級。

存取層級 SSID 類型 身分驗證方法 Purple 角色
Guest WiFi 開放式 (Open) 外部 Captive Portal + RADIUS 計費 歡迎頁面、數據擷取、分析
員工 WiFi WPA3-Enterprise 802.1X (EAP-TLS 或 PEAP) RADIUS 伺服器、身分識別提供者代理
多租戶 WiFi WPA2/WPA3 Personal + PPSK 透過 RADIUS 驗證 PPSK 金鑰管理、動態 VLAN 分配

這三個層級可以同時在同一個 WatchGuard 存取點設備群上運作。WatchGuard Wi-Fi 6 機型 - AP130、AP230W、AP330、AP332CR、AP430CR 和 AP432 - 從韌體版本 v2.6 開始支援 PPSK。

設定 Guest WiFi Captive Portal 重導向

WatchGuard Captive Portal 整合會將未經身分驗證的 HTTP 請求重導向至 Purple 代管的歡迎頁面。這是擷取第一方數據和強制執行服務條款的主要機制。

步驟 1:RADIUS 伺服器設定

在 WatchGuard Cloud 或 Firebox Policy Manager 中,將 Purple 定義為 RADIUS 身分驗證和計費伺服器。

  • 主要 RADIUS 伺服器:設定為您所在區域的 Purple RADIUS IP 位址(可在 Purple 入口網站的「設定 > 硬體整合」下取得)。
  • 驗證連接埠:1812
  • 記帳連接埠:1813
  • 共用金鑰:輸入 Purple 入口網站中提供的唯一金鑰。
  • NAS ID:使用 %m 格式說明符將此項設定為 Firebox 或 AP 的 MAC 位址。這可以向 Purple 識別場所,並將分析數據發送到正確的帳戶。
  • 記帳間隔:設定為 10 分鐘,以確保工作階段資料定期傳送到 Purple 的分析儀表板。

步驟 2:SSID 和 Captive Portal 設定

在 WatchGuard Cloud 中,導覽至設定 > 裝置 > [您的 AP] > 裝置設定 > SSID。建立或編輯訪客 SSID。

  • 安全性:開放(無預先驗證密碼)。
  • Captive Portal 類型:選擇使用 RADIUS 驗證的第三方託管 Captive Portal
  • Splash Page URL:輸入 Purple 的 splash page URL(例如 https://wifi.mypurple.com/splash)。從 Purple > 分析 > 頁面取得此資訊。
  • 共用金鑰:在同一個 Purple 分析頁面中輸入 portal 共用金鑰。此金鑰會產生 HMAC-SHA1 摘要,WatchGuard 會使用該摘要來驗證來自 Purple 的驗證成功回應。

步驟 3:Walled Garden 設定

Walled Garden 定義了裝置在完成驗證之前可以存取哪些網域。如果沒有此設定,裝置將無法載入 Purple splash page。將以下項目新增至使用者登入前可存取的網站

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

如果您透過 Microsoft Entra ID、Okta 或 Google Workspace 啟用社群或同盟登入,請新增相關的身分識別提供者網域(例如 login.microsoftonline.comaccounts.google.com)。有關共用 WiFi 基礎設施的法律和合規性背景,請參閱我們的 共用 WiFi 基礎設施法律與合規要求 指南。

HMAC 驗證流程的工作原理

了解此流程有助於您快速診斷故障。

  1. 訪客裝置連線至開放的 SSID 並發出 HTTP 請求。
  2. WatchGuard AP 攔截該請求,並將瀏覽器重導向至 Purple splash page URL,同時附加 challenge 參數(隨機十六進位字串)和裝置的 MAC 位址。
  3. Purple 顯示 splash page。訪客填寫登入表單。
  4. Purple 使用 portal 共用金鑰和 challenge 值產生 HMAC-SHA1 摘要。
  5. Purple 將瀏覽器重導向回 WatchGuard AP 的登入 URL,並附加 challenge 和摘要。
  6. WatchGuard AP 使用相同的共用金鑰驗證該摘要。如果相符,AP 將授予網際網路存取權限,並向 Purple 傳送 RADIUS 記帳開始封包。

使用 802.1X 保護員工 Wi-Fi 安全

對於員工 WiFi,您可以將 Captive Portal 替換為 IEEE 802.1X —— 這是基於連接埠之網路存取控制的企業標準。每位員工使用唯一的憑證或證書進行身分驗證,消除共用密碼的風險。

在 WatchGuard Cloud 中,將員工 SSID 配置為 WPA3 Enterprise 安全性,並將 Authentication Domain 指向 Purple 的 RADIUS 伺服器。Purple 充當 RADIUS 伺服器,並可透過 SAML 或 LDAP 將身分驗證請求代理傳送至 Microsoft Entra ID、Okta 或 Google Workspace。

對於基於證書的身分驗證 (EAP-TLS),請透過 MDM 將用戶端證書部署到託管裝置。對於基於憑證的身分驗證 (PEAP-MSCHAPv2),使用者使用其目錄憑證進行身分驗證。Purple 會比對已配置的身分識別提供者驗證該請求,並向 WatchGuard AP 回傳 RADIUS Access-Accept 或 Access-Reject。

有關跨裝置類型之 802.1X 配置的詳細逐步說明,請參閱我們的指南: 802.1X 身分驗證:在現代裝置上保障網路存取安全

關於 MAC 隨機化的高要說明:現代 iOS 和 Android 裝置預設會隨機化其 MAC 位址。對於 802.1X 員工 WiFi,請指示員工針對員工 SSID 停用 MAC 隨機化。隨機化的 MAC 會導致身分驗證記錄不一致,並破壞基於 MAC 的策略執行。

搭配 WatchGuard PPSK 的多租戶 WiFi

在零售中心、共同工作空間或建商出租 (BTR) 開發項目中,為每個租戶廣播個別的 SSID 會導致同通道干擾並使 RF 環境雜亂。WatchGuard PPSK (Private Pre-Shared Key) —— 於 AP 韌體 v2.6 中推出 —— 透過在單一 SSID 上為每個使用者或租戶分配唯一密碼,解決了這個問題。

ppsk_vlan_segmentation_chart.png

步驟 1:在 SSID 上啟用 PPSK

在 WatchGuard Cloud 中,編輯目標 SSID (例如 Venue-WiFi)。

  • 安全性 (Security):WPA2 Personal 或 WPA3 Personal。
  • 身分驗證 (Authentication):啟用 Private Pre-Shared Key (PPSK)
  • RADIUS 伺服器:指向 Purple 的 RADIUS 伺服器。Purple 負責管理 PPSK 憑證庫,並在驗證時回傳 VLAN 屬性。

步驟 2:配置動態 VLAN 分配

為了隔離租戶流量,WatchGuard AP 會根據所使用的 PPSK 分配特定的 VLAN。

  • VLAN 設定 (VLAN setting):選擇 Dynamic VLAN assigned by RADIUS
  • 未分配用戶端後備 (Unassigned clients fallback):選擇隔離的隔離 VLAN (例如 VLAN 999),以確保 RADIUS 驗證失敗的裝置無法存取企業網路。

在 WatchGuard 存取點上使用動態 VLAN 的需求:

  • AP 韌體 v2.2 或更高版本。
  • 必須在 SSID 上停用 NAT。
  • 動態 VLAN 和 Captive Portal 無法在同一個 SSID 上同時執行。
  • 連接到 AP 的交換器連接埠必須設定為承載所有相關 VLAN 的 Trunk 連接埠。

步驟 3:用於 VLAN 轉導的 RADIUS 屬性

當使用者使用 PPSK 進行連接時,WatchGuard AP 會向 Purple 發送 RADIUS Access-Request。Purple 會驗證金鑰並回傳一個包含三個 IETF RADIUS 屬性的 Access-Accept 封包:

RADIUS 屬性 屬性編號
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 VLAN ID (例如 "100")

WatchGuard AP 會讀取屬性 81,並將用戶端置於相應的 VLAN 中。在 Purple 中,您可以將每個 PPSK 憑證對應到特定的 VLAN ID 和角色。這就是身分識別網路(Identity-Based Networks)背後的機制 —— 由憑證決定網路區段,而非 SSID。

最佳部署實務

這些建議適用於 旅宿餐飲業零售業醫療保健業交通運輸業 的部署。

工作階段逾時:在 Purple 和 WatchGuard 中皆設定工作階段逾時,以強制定期進行重新驗證。這能保持分析數據的準確性,並防止過期工作階段佔用頻寬。將 RADIUS Interim-Update (Acct-Interim-Interval) 設定為 600 秒(10 分鐘)。

韌體管理:確保 WatchGuard 存取點(Access Points)執行 v2.6 或更高版本的韌體以支援 PPSK。使用 WatchGuard Cloud 安排在非尖峰時段進行韌體升級,以避免訊號覆蓋中斷。

PCI DSS 合規性:對於處理刷卡交易的零售環境,請使用 PPSK 將 POS 裝置隔離在專用的 VLAN(例如 VLAN 200)上。確保 Guest WiFi VLAN 無法路由至 POS VLAN。這符合 PCI DSS 網路分割的要求。

GDPR 與數據收集:Purple 的 Captive Portal 採用主動同意加入機制,確保數據收集符合 GDPR 要求。Purple 通過 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證。請確保在開始收集數據之前,您的登入畫面(Splash Page)包含清晰的隱私權聲明與服務條款連結。

疑難排解與風險緩釋

Captive Portal 無法載入:圍牆花園(Walled Garden)是首要檢查的地方。如果裝置在驗證前無法解析 DNS 或連線至 Purple 的伺服器,瀏覽器將顯示逾時錯誤,而非登入畫面。請驗證所有 Purple 網域皆已列在 Walled Garden 清單中,且 WatchGuard DNS 設定允許驗證前的解析。

HMAC 摘要驗證錯誤:如果 WatchGuard 記錄顯示驗證失敗並伴隨 HMAC 錯誤,代表 WatchGuard 與 Purple 之間的 Captive Portal 共用金鑰(Shared Secret)不相符。兩端系統中的金鑰必須完全一致。請在 Purple 中重新產生金鑰,並重新輸入至 WatchGuard Cloud 中。

VLAN steering 失敗:如果 PPSK 使用者從錯誤的 VLAN 取得 IP,請檢查 Purple 傳送門中的 RADIUS 記錄。驗證 Purple 是否傳回所有三個 IETF RADIUS 屬性。確保 Tunnel-Private-Group-ID 值格式化為字串,並與交換器 trunk 埠上配置的 VLAN ID 相符。

PPSK 與 Captive Portal 衝突:WatchGuard 不支援在同一個 SSID 上同時使用動態 VLAN 和 Captive Portal。如果您兩者都需要,請使用兩個 SSID:一個用於訪客 Captive Portal,另一個用於 PPSK 多租戶存取。

802.1X 驗證失敗:使用 WatchGuard AP 韌體 v2.5 及更高版本中提供的封包擷取工具,擷取 AP 與 RADIUS 伺服器之間的流量。在回覆訊息屬性中尋找 RADIUS Access-Reject 封包和原因代碼。

投資報酬率與商業影響

WatchGuard 與 Purple 的整合將安全性和分析整合至單一架構中。一家擁有 200 間客房的飯店使用此整合方案,可免除對獨立訪客與員工閘道器的需求,與多閘道器部署相比,可減少約 30% 的硬體支出(Purple 內部數據)。Guest WiFi Captive Portal 可收集第一方數據(電子郵件地址、人口統計資訊和造訪頻率),進而透過 Purple 的 Engage 方案推動直接行銷營收。

對於多租戶場域,PPSK 消除管理多個 SSID 的營運開銷。在單一 SSID 上管理 15 家店鋪單位的零售中心可降低 AP 無線電使用率並簡化網路稽核。來自 Purple 的 WiFi Analytics 為場域營運商提供停留時間、人流量和重複造訪數據,這些指標向財務團隊證明了基礎設施投資的合理性。

Purple 維持 99.999% 的正常執行時間(Purple 內部數據),確保 Guest WiFi Captive Portal 即使在體育場和會議中心等高密度場域的尖峰時段也能保持可用。

關鍵定義

PPSK (Private Pre-Shared Key)

一種安全性功能,可為 WPA2/WPA3 Personal SSID 上的每個使用者或裝置分配唯一的密碼。於 WatchGuard AP 韌體 v2.6 中引入。

用於多租戶環境(零售中心、共同工作空間、租賃專用住宅(BTR)開發項目),在不需於用戶端裝置上設定 802.1X 請求程式的情況下,即可對使用者進行區段劃分。

動態 VLAN 導向 (Dynamic VLAN steering)

根據驗證期間傳回的 RADIUS 屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)將網路裝置分配給特定虛擬區域網路 (VLAN) 的程序。

在同一個實體存取點上隔離租戶、員工和訪客流量的機制。在 WatchGuard 硬體上需要 AP 韌體 v2.2 或更高版本。

Walled Garden

在完成 Captive Portal 驗證之前,允許未經驗證的使用者存取的 IP 位址或網域名稱清單。

在授予完整網際網路存取權限之前,允許訪客裝置載入 Purple 歡迎頁面並完成同盟登入(Microsoft Entra ID、Google Workspace)所必需的設定。

HMAC 摘要 (HMAC digest)

一種加密雜湊 (HMAC-SHA1),用於驗證來自 Captive Portal 的驗證成功訊息的完整性和真實性。

WatchGuard 使用 Captive Portal 共用金鑰驗證 HMAC 摘要。WatchGuard 中的金鑰與 Purple 中的金鑰不一致會導致驗證失敗。

RADIUS 計費 (RADIUS accounting)

RADIUS 協定的組成部分,用於追蹤網路使用情況,包括工作階段開始、工作階段持續時間和資料傳輸量。

Purple 依賴來自 WatchGuard Firebox 的 RADIUS 計費封包來填入分析儀表板並強制執行工作階段時間限制。運作於連接埠 1813。

Captive Portal

在裝置被授予存取公用網路的權限之前,會被重新導向至的網頁。WatchGuard 會攔截 HTTP 請求並重新導向至設定的外部入口網站 URL。

在訪客 WiFi 網路上收集第一方數據並強制執行服務條款的主要機制。Purple 負責託管歡迎頁面並管理數據。

802.1X

一個用於基於連接埠之網路存取控制的 IEEE 標準。要求每個裝置在被授予網路存取權限之前,必須使用唯一的認證或憑證進行驗證。

保護員工 WiFi 安全的企業標準。消除了 WPA2 Personal 共用密碼的風險。需要 RADIUS 伺服器 (Purple) 以及用戶端裝置上的請求程式。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

一種高度安全的 802.1X 驗證方法,需要用戶端憑證和伺服器憑證來進行雙向驗證。

適用於透過 MDM 管理裝置的高安全性環境。確保只有擁有有效憑證的企業專屬裝置才能連線至員工 WiFi SSID。

NAS ID (Network Access Server Identifier)

RADIUS 封包中傳送的一個字串,用於識別發出驗證請求的網路裝置(AP 或 Firebox)。

Purple 使用 NAS ID 來識別 RADIUS 請求源自哪個場域。在 WatchGuard 中,通常使用 %m 格式指定符設定為 AP MAC 位址。

身分識別型網路 (Identity-Based Networking)

一種網路架構,其存取原則、VLAN 分配和安全性控制是由使用者的身分識別決定,而非由其實體連接埠或 SSID 決定。

結合 WatchGuard PPSK、Purple RADIUS 與動態 VLAN 導向,以提供身分識別型網路——由憑證自動決定網路區段。

範例

一家擁有 200 間客房的 Premier Inn 飯店需要為旅客提供 Guest WiFi、為前台和後勤團隊提供安全的 Staff WiFi,並為 IoT 裝置(智慧電視、門鎖)提供獨立的網路。他們擁有透過 WatchGuard Cloud 管理的 WatchGuard AP330 存取點,以及一台 Firebox T85 閘道器。他們應該如何規劃這三個網路的架構?

在 WatchGuard AP330 設備群上部署三個 SSID。SSID 1:「Premier-Guest」— 開放式 SSID,具有至 Purple 的外部 Captive Portal 重新導向功能。將 Firebox T85 設定為指向 Purple 伺服器(連接埠 1812/1813)的 RADIUS 用戶端。新增 Purple 的 Walled Garden 網域。訪客透過 Purple 登入頁面使用電子郵件、社群媒體登入或客房代碼進行驗證。SSID 2:「Premier-Staff」— 採用 802.1X 驗證的 WPA3-Enterprise SSID。將驗證網域指向 Purple 的 RADIUS 伺服器,該伺服器會將憑證代理至飯店的 Microsoft Entra ID 租戶。員工使用其企業憑證進行驗證。SSID 3:「Premier-IoT」— 採用靜態 PSK 的 WPA2 Personal SSID,放置在專用 VLAN(例如 VLAN 50)上,並設有防火牆規則以阻擋對員工和訪客 VLAN 的存取。Firebox T85 負責執行 VLAN 間路由策略。所有三個 SSID 皆在相同的 AP 硬體上廣播,從而降低基礎設施成本。

考官評語: 此架構遵循最小權限原則。每個存取層級僅擁有其功能所需的最少網路存取權限。IoT SSID 使用靜態 PSK 而非 PPSK,因為 IoT 裝置通常無法處理動態憑證輪替。關鍵的設計決策是將 Purple 作為訪客和員工層級的 RADIUS 伺服器,這將身分識別管理與分析集中在單一平台中。

一家管理 12 個店面的零售中心希望使用單一 SSID 為每個租戶提供隔離的 WiFi 存取。該中心還需要確保某個租戶的憑證遭到外洩時,不會暴露其他租戶的流量。他們正在執行韌體版本為 v2.6 的 WatchGuard AP230W 存取點。

配置一個 SSID:「Centre-Retail」,並啟用 WPA2 Personal 和 PPSK。在 Purple 中,建立 12 個唯一的 PPSK 憑證,每個租戶一個。將每個憑證對應到專用 VLAN(例如,租戶 1 對應 VLAN 101,租戶 2 對應 VLAN 102,依此類推)。在 WatchGuard Cloud 中,將 SSID VLAN 設定為「由 RADIUS 指派的動態 VLAN」,並備份至隔離 VLAN (VLAN 999)。將連接至 AP230W 的交換器連接埠設定為傳輸 VLAN 101-112 和 999 的 Trunk 連接埠。當租戶裝置使用其 PPSK 連接時,AP 會查詢 Purple RADIUS,接收 Tunnel-Private-Group-ID 屬性,並將裝置放置在正確的 VLAN 上。租戶 3 的憑證外洩僅會暴露 VLAN 103 — 所有其他租戶仍保持隔離。

考官評語: PPSK 提供了基於每個憑證的隔離,而無需 802.1X 憑證管理的複雜性。關鍵的設計決策是備份 VLAN。如果沒有配置隔離 VLAN,RADIUS 驗證失敗的裝置可能會被放置在預設的未標記 VLAN 上,從而可能獲得管理基礎設施的存取權限。請務必明確配置備份機制。

練習題

Q1. 一家飯店的 IT 經理回報,房客連接到 WiFi 但從未出現 Purple splash page。瀏覽器顯示連線逾時錯誤。WatchGuard Cloud 設定顯示了正確的 Purple splash page URL 與共用金鑰。最可能的原因是什麼,該如何解決?

提示:請考慮在裝置進行驗證之前必須發生什麼情況。裝置需要存取哪些網域才能載入 splash page?

查看標準答案

Walled Garden 遺失或不完整。WatchGuard Firebox 在驗證完成前,阻擋了裝置向 Purple 伺服器發送的初始 HTTP 請求。請將必要的 Purple 網域新增至「使用者登入前可存取的網站」清單中:*.mypurple.com、api.mypurple.com 和 cdn.mypurple.com。如果房客使用社群媒體登入,也請新增相關的身分驗證提供者網域(例如適用於 Entra ID 的 login.microsoftonline.com)。

Q2. 您正在為一個擁有 8 個會員的共享工作空間設定基於 PPSK 的 VLAN 導向。RADIUS 驗證成功(WatchGuard 記錄顯示 Access-Accept),但每個會員裝置都從 VLAN 1(預設管理 VLAN)取得 IP 位址,而不是其指派的租戶 VLAN。您該如何診斷並解決此問題?

提示:驗證已成功,因此憑證是有效的。問題出在 VLAN 分配步驟。WatchGuard 需要從 RADIUS 伺服器取得什麼才能分配 VLAN?

查看標準答案

來自 Purple 的 RADIUS Access-Accept 封包遺失或格式化了錯誤的 VLAN 屬性。使用 WatchGuard 封包擷取工具在 AP 上擷取 RADIUS 流量,並檢查 Access-Accept 封包。驗證 Purple 是否回傳所有三個 IETF 屬性:Tunnel-Type(屬性 64,值為 13)、Tunnel-Medium-Type(屬性 65,值為 6)以及 Tunnel-Private-Group-ID(屬性 81,設定為字串形式的 VLAN ID,例如 "101")。同時確認連接至 AP 的交換器連接埠已設定為承載相關 VLAN 的 trunk 連接埠,且 WatchGuard Cloud 中的 SSID VLAN 設定為「由 RADIUS 指派的動態 VLAN」,而非靜態 VLAN ID。

Q3. 某場地營運商希望在同一台 WatchGuard AP330 存取點上,為 6 個零售商家運行一個訪客 WiFi Captive Portal(Purple splash page)和一個多租戶 PPSK 網路。他們計劃在單一 SSID 上設定這兩個功能以簡化射頻環境。這可行嗎?如果不可行,正確的架構是什麼?

提示:請檢視 WatchGuard 動態 VLAN 的需求。是否存在任何功能衝突?

查看標準答案

這在單一 SSID 上是不可行的。WatchGuard 不支援在同一個 SSID 上同時啟用動態 VLAN(PPSK 所需)和 Captive Portal。正確的架構是使用兩個 SSID:SSID 1("Venue-Guest")設定為開放式 SSID,並啟用外部 Captive Portal 重新導向至 Purple 以供公眾訪客使用。SSID 2("Venue-Retail")設定為 WPA2 Personal,啟用 PPSK,並為 6 個零售租戶進行動態 VLAN 分配。這兩個 SSID 都由同一個 AP330 硬體廣播,因此射頻影響僅限於增加一個額外的 SSID 信標。連接至 AP 的交換器連接埠必須是承載這兩個 SSID 所有相關 VLAN 的 trunk 連接埠。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →