Cisco WLC 與 Catalyst 與 Purple WiFi 整合：訪客存取逐步指南

執行摘要

企業無線網路必須同時服務不同的使用者群組：需要無縫網際網路存取的訪客、需要安全存取公司資源的員工，以及需要彼此隔離的無介面或租戶裝置。針對這些群組中的任何一個，依賴單一共享的預共用金鑰（Pre-Shared Key）都是一種安全隱患。單一憑證遭到破解就會暴露整個網路區段，而撤銷存取權限則需要變更全域密碼，這會中斷網路上每台裝置的連線。

本指南詳細介紹了 Cisco 無線區域網路控制器（WLC）和 Catalyst 9800 系列硬體與 Purple 雲端重疊網路（cloud overlay）的整合。我們為三種不同的驗證層級提供逐步設定：由 Purple 支援且具有 Captive Portal 重新導向的開放式 Guest WiFi 網路、使用 802.1X EAP-TLS 憑證驗證的安全員工 WiFi 網路，以及使用 Cisco 識別預共用金鑰（iPSK）搭配動態 VLAN 分配的多租戶 WiFi 環境。透過部署此架構，您可以將公司資源與訪客流量隔離、自動化基於身分的存取控制，並透過 Purple 的 WiFi Analytics 平台擷取第一方數據。Purple 在全球 80,000 多個實體場域運作，並在 2024 年記錄了 4.4 億次登入（Purple 內部數據），使其成為 Cisco 基礎架構在大規模應用下經實證的雲端重疊網路。

技術深度解析：三層架構

在 Cisco 硬體上部署的現代企業無線網路必須迎合具有不同安全和存取需求的不同使用者設定檔。Cisco WLC 與 Purple 之間的整合使統一的硬體基礎架構能夠透過不同的驗證機制服務這些設定檔，且全部由單一 Catalyst 9800 控制器進行管理。

第 1 層：Guest WiFi - 中央網頁驗證 (CWA)

對於 Hospitality （餐旅業）和 Retail （零售業）環境中的訪客，其目標是低阻力的上網體驗結合符合法規的數據擷取。這是透過開放式 SSID 結合中央網頁驗證（CWA）來實現的。當訪客連線時，Cisco WLC 會套用驗證前存取控制清單（ACL）- 即圍牆花園（walled garden）。此 ACL 會封鎖一般的網際網路流量，同時允許流量傳送到 Purple 的 Captive Portal 網域、DNS 和社群登入端點。

當訪客嘗試瀏覽網頁時，WLC 會攔截 HTTP 請求並將其重定向至 Purple 的 Splash 頁面（Captive Portal）。訪客透過其選擇的方式（社群登入、電子郵件註冊或憑證代碼）進行驗證。接著，Purple 扮演 RADIUS 伺服器的角色，向 WLC 發送 RADIUS 授權變更 (CoA) 訊息。CoA 會指示 WLC 將用戶端從驗證前狀態移轉至隔離訪客 VLAN 上的驗證後狀態，從而授予網際網路存取權限。每次登入都會記錄在 Purple 的分析平台中，並在符合 GDPR 和 CCPA 的規範下收集第一方數據。

第二層：員工 WiFi - 802.1X EAP-TLS

企業裝置需要最高層級的安全防護。IEEE 802.1X 定義了基於連接埠的網路存取控制 (PNAC)，當與 EAP-TLS (可延伸驗證通訊協定 - 傳輸層安全性) 結合使用時，它能提供基於憑證的驗證，完全免除密碼。數位憑證是透過行動裝置管理 (MDM)（如 Microsoft Intune、Jamf 或同等工具）部署到企業裝置。Cisco WLC 扮演驗證者 (Authenticator) 的角色，在要求端 (Supplicant，即裝置) 與 RADIUS 伺服器之間傳遞 EAP 訊息。RADIUS 伺服器會驗證憑證，並傳回包含選用 VLAN 分配屬性的 Access-Accept 訊息。

由於驗證依賴憑證而非密碼，因此沒有憑證會被竊取。如果裝置遺失或員工離職，您只需撤銷該憑證即可。存取權限會立即終止，且不會干擾任何其他使用者。如需深入瞭解包含 WPA3 和零信任 (Zero Trust) 在內的企業安全標準，請參閱我們的指南： 企業 WiFi 安全性：2026 年完整指南 。

第三層：多租戶 WiFi - Cisco iPSK 與動態 VLAN 分配

在學生宿舍、共享工作空間或零售商場等環境中，您需要為不同的租戶提供私有、隔離的網路，而無需廣播數十個 SSID。Cisco Identity PSK (iPSK) 解決了這個問題。所有租戶都連線到單一 SSID。WLC 會針對每個連線的裝置向 RADIUS 伺服器發送 MAC 驗證請求。RADIUS 伺服器會將該租戶的特定 PSK 作為 cisco-av-pair 屬性傳回，並結合標準的 IETF RADIUS 屬性，將用戶端動態分配到正確的 VLAN。

驅動動態 VLAN 分配的三個 IETF RADIUS 屬性為：

如 RFC 2868 中所定義，Tunnel-Private-Group-ID 會編碼為字串。VLAN ID 必須存在於 WLC 上，分配才能成功。

實作指南：Cisco Catalyst 9800 WLC 設定

以下步驟詳細說明如何設定執行 IOS-XE 的 Cisco Catalyst 9800 WLC，以與 Purple 整合進行訪客 WiFi 重新導向。對於舊版的 AireOS WLC 部署，Purple 支援入口網站中也提供對應的設定。

步驟 1：設定 RADIUS 驗證與計費

您必須將 WLC 指向 Purple 的 RADIUS 伺服器，以處理訪客驗證和工作階段計費。

1. 導覽至 Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add。
2. 輸入主要 Purple RADIUS 伺服器的 IP 位址，將 auth-port 設為 1812，acct-port 設為 1813，並輸入來自 Purple 入口網站的共用金鑰。
3. 啟用 Support for CoA - 這是 Captive Portal 重新導向的必要項目。
4. 對次要 Purple RADIUS 伺服器重複上述步驟。
5. 導覽至 RADIUS > Server Groups > + Add 並建立一個包含這兩台伺服器的群組。
6. 導覽至 AAA Method List > Authorization > + Add，將 Type 設為 network，並將其指向該 RADIUS 伺服器群組。
7. 導覽至 AAA Method List > Accounting > + Add，將 Type 設為 identity，並將其指向同一個群組。

IOS-XE 上對應的 CLI 指令為：

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

步驟 2：定義預先驗證 ACL (walled garden)

預先驗證 ACL 允許在使用者驗證之前，將流量傳送至 Purple 的展示網頁 (splash page) 和基本服務。這就是 walled garden。

1. 導覽至 Configuration > Security > ACL > + Add。
2. 建立一個名為 Purple_Guest_Walled_Garden 的 IPv4 擴充 ACL。
3. 新增規則以 deny (拒絕) 前往 WLC 管理 IP 和 RADIUS 伺服器 IP 的流量。
4. 新增規則以 permit (允許) DNS (UDP 連接埠 53) 前往您的 DNS 伺服器。
5. 新增規則以 permit (允許) 流量前往 Purple 的 walled garden IP 範圍和網域 (請從 Purple 支援入口網站取得適用於您特定硬體類型的最新清單)。
6. 新增最後一條 permit ip any any 規則 - WLC 將會把允許的流量重新導向至 CPU 以進行入口網站處理。

步驟 3：設定訪客 WLAN

1. 導覽至 Configuration > Tags & Profiles > WLANs > + Add。
2. 建立一個名為 Guest-WiFi 的 WLAN，並設定您選擇的 SSID。
3. 在 Security > Layer 2 下，將安全性設為 None (Open)。
4. 在 Security > Layer 3 下，啟用 Web Policy 並將 Web Auth 類型設為 External。
5. 在重新導向欄位中輸入您的 Purple 存取 URL。
6. 套用 Purple_Guest_Walled_Garden ACL。
7. 在 Security > AAA Servers 下，將 Purple RADIUS 伺服器指派給驗證 (Authentication) 和計費 (Accounting)。

步驟 4：設定 Policy Profile

1. 導覽至 Configuration > Tags & Profiles > Policy > + Add。
2. 在 Access Policies 下，指派 VLAN 20（或您指定的訪客 VLAN）。
3. 在 Advanced 下，啟用 Allow AAA Override 與 NAC State。
4. 指派 Purple 計費方法列表。

等效的 CLI 指令：

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

步驟 5：針對多租戶或 IoT 部署設定 iPSK

針對 iPSK，WLAN 設定與訪客設定有所不同。WLAN 使用啟用 MAC 過濾的 WPA2-PSK，且 Policy Profile 已啟用 AAA Override，以接受來自 RADIUS 伺服器的每用戶 PSK 與 VLAN。

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS 伺服器（於 Purple 或您的 RADIUS 平台中設定）會針對每個租戶群組傳回以下屬性：

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID = 

最佳實踐

遵循既定標準可確保您整個部署的穩定性、安全性與合規性。

強制執行嚴格的憑證驗證。 部署 802.1X 時，請透過 MDM 設定用戶端裝置，以明確信任您 RADIUS 伺服器的憑證授權單位，並指定預期的伺服器名稱。未強制執行此操作會使用戶端容易受到惡意存取點攻擊，攻擊者會出示偽造的憑證以擷取憑證。這是強制性要求，而非建議。

在網路層隔離訪客流量。 訪客 WiFi 必須終止於專用的 VLAN，且該 VLAN 必須與所有企業資源進行防火牆隔離。PCI DSS 4.0 要求持卡人資料環境必須與公共網路隔離。VLAN 20 上的訪客必須沒有路由可通往 VLAN 10 上的企業網路。

針對 IoT 裝置使用 iPSK，而非 MAC Authentication Bypass。 MAC 位址是以純文字廣播，極易被偽造。iPSK 為無螢幕裝置提供加密安全性。如需了解顯示器與 IoT 裝置如何與無線協定互動的指引，請參閱 What Is Wireless Display: Protocols & Best Practices 2026 。

定義明確的使用條款。 您的 Captive Portal 在授予存取權限之前，必須先呈現使用條款合約。這是 GDPR 對於資料收集的要求，也是網路使用政策的法律必要條件。針對內部員工網路，請參閱 Staff WiFi Terms and Conditions: Legal and Compliance Essentials 。 部署 RADIUS 備援。 務必設定主要與次要 RADIUS 伺服器。Purple 為此提供了兩個伺服器 IP 位址。單一 RADIUS 伺服器故障將會導致所有訪客無法登入。

疑難排解與風險緩釋

即使經過仔細設定，整合問題仍可能發生。在呈報問題之前，請系統化地處理最常見的故障模式。

問題：訪客已連線，但未出現 Splash Page。

這是最常見的問題。預先驗證 ACL 封鎖了 DNS。若沒有 DNS，用戶端將無法解析初始 HTTP 請求，且作業系統不會觸發 Captive Portal 迷你瀏覽器。請確認在 Walled Garden ACL 中，已允許 UDP 連接埠 53 連線至您的 DNS 伺服器。在 WLC 上，執行 show wireless client summary 以確認用戶端處於 Webauth Pending 狀態，而非 Run 狀態。

問題：iPSK 用戶端連線失敗或進入錯誤的 VLAN。

Tunnel-Private-Group-ID 中指定的 VLAN 在 WLC 上不存在，或者 cisco-av-pair 屬性格式錯誤。在 WLC 上執行 debug radius all 以檢查原始 RADIUS 回應。請至 Configuration > Layer 2 > VLAN > VLAN List 確認該 VLAN ID 已建立。

問題：802.1X 員工用戶端發生間歇性驗證失敗。

這通常是 RADIUS 伺服器逾時或用戶端上的憑證信任問題。請檢查 RADIUS 伺服器記錄中的 Access-Reject 訊息。在 Windows 用戶端上，請確認 WiFi 設定檔已設定為驗證伺服器憑證，並指定了正確的信任 CA。

問題：WLC 未處理來自 Purple 的 CoA。

CoA 共用金鑰必須與 WLC 上設定的 RADIUS 共用金鑰相符。在 IOS-XE 17.4 及更高版本中，CoA 金鑰是與共用金鑰分開設定的。請確認兩者皆與 Purple 入口網站中的數值相符。

投資報酬率與商業影響

從基礎的 PSK 網路轉移至使用 Purple 的結構化、基於身分識別的架構，能為 餐飲旅宿業 、 零售業 、 醫療保健業 和 交通運輸業 等垂直領域帶來可衡量的商業成果。

首先，此架構消除了管理共用密碼的營運成本。當員工離職時，您只需撤銷其憑證，而無需變更全域密碼並更新園區內的每台裝置。其次，與 Purple 的 Captive Portal 整合，將 IT 成本中心轉化為營收驅動器。Purple 的平台在每次登入時擷取合規的一方數據，實現自動化行銷活動與訪客分析。透過在 Purple 網路中收集的 290 億個數據點（Purple 內部數據），該平台能針對訪客行為、停留時間和回訪率提供具實用價值的洞察。對於透過執行調查來了解訪客滿意度的場域營運商，Purple 平台可直接與研究工作流程整合。請參閱 Design of a Survey: A Practical Guide for Venues ，以取得有關如何建構透過 Captive Portal 傳送之有效場域調查的指引。

透過將 Cisco 的企業級硬體與 Purple 的雲端重疊網路整合，您將能獲得一個安全、具擴充性且能積極協助達成場域商業目標的網路。Purple 通過 ISO 27001 認證、符合 GDPR 和 CCPA 規範、通過 Cyber Essentials 認證以及 B Corp 認證，完全符合企業採購團隊的合規性要求。