NETGEAR Insight 與企業級無線基地台整合 Purple WiFi

歡迎收聽 Purple 的技術簡報。今天我們要探討一個在我們與餐旅業、零售業和多租戶場域的 IT 經理及網路架構師交流時，經常被提及的話題：如何將 NETGEAR Insight 和 WAX 系列無線基地台與 Purple WiFi 進行整合。如果您正在營運飯店、零售園區、會議中心或綜合開發項目，這份簡報將與您下一次的部署決策直接相關。 讓我們來還原一下場景。NETGEAR 的 WAX 系列（包括 WAX610、WAX620 和 WAX630）是透過 Insight 雲端平台管理的 WiFi 6 無線基地台。它們支援每個射頻最多八個獨立的 SSID、WPA3 加密，且 WAX630 的吞吐量高達 6 Gbps。它們採用 PoE 供電、可安裝於天花板，並可透過 Insight 雲端入口網站進行單一窗口管理。對於 IT 安裝人員或中小企業網路管理員來說，這是一個功能真正強大且價格遠低於 Cisco Meraki 或 HPE Aruba 等級的平台。 Purple 是一個與硬體無關的雲端重疊網路（cloud overlay）。我們架構在您現有的基礎設施之上，並加入了訪客體驗層、數據收集層和分析層。我們在 2024 年已為 80,000 個實體場域處理了 4.4 億次登入。與 NETGEAR Insight 的整合非常乾淨且文件齊全，涵蓋了我們今天將逐一介紹的四個不同使用案例。 現在讓我們深入探討技術細節。這四個使用案例分別是：搭配 Purple Captive Portal 的訪客 WiFi、使用 802.1X 的安全員工 WiFi、使用 NETGEAR PPSK 功能的多租戶隔離，以及透過 RADIUS 進行身分導向網路的動態 VLAN 分配。 使用案例一：搭配 Purple Captive Portal 的訪客 WiFi。這是最常見的起點。您在 NETGEAR Insight 中建立一個專用的訪客 SSID，並將其配置為開放網路。關鍵配置位於 SSID 設定的 Captive Portal 區段。您選擇「外部 Captive Portal」，然後貼上 Purple 提供的登入頁面（Splash Page）URL。 接下來，您配置驗證類型。對於大多數 Purple 部署，您將選擇 RADIUS 驗證。Purple 會為您提供主要 RADIUS 伺服器 IP 位址、用於驗證的連接埠 1812 和用於計費的連接埠 1813，以及一個共用金鑰。您將這些內容貼到 NETGEAR Insight 的外部 Captive Portal 配置中。您還需要設定 NAS 識別碼（NAS Identifier）——這是一個向 RADIUS 伺服器識別此特定無線基地台或位置的字串。請使用有意義的名稱，例如您的場域名稱和位置代碼。 Walled Garden 是最容易讓安裝人員出錯的部分。在訪客通過驗證之前，他們的裝置需要能夠連線至 Purple 登入頁面、驗證伺服器以及您已啟用的任何社群登入提供者。NETGEAR Insight 在外部 Captive Portal 配置中設有專用的 Walled Garden 區段，您可以在其中新增這些 URL。Purple 的支援文件提供了要加入白名單的確切網域清單。如果這部分設定錯誤，訪客將會看到空白頁面，而不是您的品牌入口網站。 配置完成後，流程如下：訪客連線至飯店訪客 SSID。無線基地台會攔截他們的第一個 HTTP 請求，並將其重新導向至 Purple 登入頁面。訪客會看到您的品牌入口網站、接受條款，並可選擇提供其電子郵件地址或透過社群媒體登入。Purple 的 RADIUS 伺服器會向無線基地台傳回 Access-Accept 訊息，訪客隨即獲得網際網路存取權限。Purple 會收集同意數據、記錄工作階段，而這些數據會流向您的 Purple 分析儀表板。 使用案例二：使用 802.1X 的安全員工 WiFi。這是您完全淘汰共享密碼的地方。對於員工網路而言，預先共用金鑰是一個安全隱憂——當員工離職時，您必須為每個人更改密碼。IEEE 802.1X 標準中定義的 802.1X 為每位使用者提供獨立的認證。當他們離職時，您只需在目錄中停用其帳戶，其存取權限就會立即被撤銷。 在 NETGEAR Insight 中，您配置一個獨立的員工 SSID，並採用 WPA2 Enterprise 安全性。這會告知無線基地台使用 802.1X 驗證，而不是預先共用金鑰。然後，您在網路位置層級配置 RADIUS 伺服器設定。前往網路位置設定，選擇 RADIUS，啟用 802.1X 存取驗證，並輸入您的 RADIUS 伺服器 IP、連接埠和共用金鑰。預設的重新驗證間隔為 3,600 秒（一小時），這對大多數場域來說是一個合理的起點。 中小企業部署中最常用的 EAP 方法是 PEAP-MSCHAPv2，它使用伺服器端憑證來建立加密通道，使用者在該通道內使用其 Active Directory 使用者名稱和密碼進行驗證。EAP-TLS 更為安全——它在雙方都使用憑證——但它需要 PKI 基礎設施和 MDM 來將憑證推送到裝置。 一個關鍵點：在每個用戶端裝置上強制執行憑證驗證。透過群組原則物件配置您的 Windows 裝置，並透過 MDM 設定檔配置您的行動裝置，以驗證 RADIUS 伺服器的憑證。如果您跳過此步驟，裝置將容易受到惡意無線基地台攻擊，攻擊者會提供虛假憑證並擷取認證。 使用案例三：適用於多租戶場域的 NETGEAR PPSK。Private Pre-Shared Key 解決了零售園區、綜合開發項目和共享辦公空間中的特定問題。您有多個租戶共享相同的實體 WiFi 基礎設施。您不想為每個租戶運行獨立的 SSID——這會造成射頻干擾和管理複雜性。但您也不能給每個人相同的密碼，因為這樣租戶 A 就能看到租戶 B 的流量。 PPSK 優雅地解決了這個問題。您建立單一 SSID，並在 NETGEAR Insight 的「無線 > 設定 > 進階 > Multi PSK 設定」下建立多個預先共用金鑰。每個金鑰都與特定的 VLAN 相關聯。租戶 A 獲得一個對應到 VLAN 30 的不重複 16 字元密碼。租戶 B 獲得一個對應到 VLAN 40 的不同密碼。場域管理團隊獲得第三個密碼，對應到可存取管理系統的 VLAN 20。 當租戶 A 的裝置使用其密碼連線時，無線基地台會自動將其分配到 VLAN 30。他們無法看到 VLAN 40 或 VLAN 20 上的任何流量。從租戶的角度來看，他們只有一個 WiFi 密碼。從您作為網路管理員的角度來看，您在無需額外硬體的情況下實現了租戶之間完全的流量隔離。 有兩個重要的限制需要了解。首先，NETGEAR Insight 中的 PPSK 需要 WPA2 Personal 或 WPA2 Personal Mixed 加密。它無法在 6 GHz 頻段上運作。其次，PPSK 無法與 Captive Portal 在同一個 SSID 上合併使用。如果您兩者都需要，則需要兩個獨立的 SSID——這沒問題，因為 WAX 系列無線基地台最多支援八個。 使用案例四：透過 RADIUS 進行動態 VLAN 分配。這是最複雜的配置，也是支援 Purple 身分導向網路功能的基礎。您不需要將 VLAN 靜態分配給密碼或 SSID，而是讓 RADIUS 伺服器根據正在進行驗證的使用者來決定分配哪個 VLAN。 該機制使用三個標準 RADIUS 屬性：Tunnel-Type（必須將值設定為 13 以代表 VLAN）、Tunnel-Medium-Type（必須將值設定為 6 以代表 IEEE 802）以及 Tunnel-Private-Group-ID（以字串形式攜帶 VLAN ID）。當使用者成功通過驗證時，RADIUS 伺服器會在 Access-Accept 訊息中傳回這三個屬性。無線基地台會讀取這些屬性並將用戶端分配到指定的 VLAN。 在實務上，這意味著您可以擁有單一 WPA2 Enterprise SSID，飯店經理進行驗證後會進入可存取物業管理系統的 VLAN 20，前台人員驗證後會進入僅能存取報到系統的 VLAN 21，而承包商驗證後則會進入僅限網際網路存取的 VLAN 50。全部都來自同一個 SSID，全部由 RADIUS 伺服器根據 Active Directory 群組成員資格自動執行。 現在讓我們來談談實作建議和常見陷阱。第一個陷阱是 Walled Garden。每個外部 Captive Portal 部署都至少會在 Walled Garden 上失敗一次。症狀是訪客連線至 SSID，但瀏覽器顯示錯誤，而不是登入頁面。解決方法非常公式化：開啟 Purple 支援文件，複製 Walled Garden 清單中的每個網域，然後將它們貼到 NETGEAR Insight 的 Walled Garden 區段中。使用沒有快取認證的裝置進行測試。 第二個陷阱是 RADIUS 的可達性。NETGEAR 無線基地台需要能夠連線至您的 RADIUS 伺服器。RADIUS 使用 UDP 連接埠 1812 進行驗證，並使用 UDP 連接埠 1813 進行計費。請從無線基地台管理 IP 開放這些連接埠至 RADIUS 伺服器 IP。在正式上線前，請使用 RADIUS 測試工具進行測試。 第三個陷阱是 PPSK 和 Captive Portal 的衝突。NETGEAR Insight 不允許在同一個 SSID 上同時使用 PPSK 和 Captive Portal。如果您兩者都需要，請建立兩個 SSID。清晰地為它們命名——一個用於 PPSK 租戶，另一個用於 Captive Portal 訪客。 第四個陷阱是 802.1X 用戶端上的憑證驗證。每個 Windows 裝置都需要一個指定信任憑證授權單位和預期 RADIUS 伺服器名稱的群組原則物件。每個行動裝置都需要一個具有相同設定的 MDM 設定檔。如果沒有這些設定，使用者可能會在不知情的情況下向惡意無線基地台進行驗證，並交出其 Active Directory 認證。 現在進入快速問答環節。問題一：我可以在沒有 RADIUS 伺服器的情況下將 Purple 與 NETGEAR Insight 搭配使用嗎？可以，對於訪客 Captive Portal 部署，您可以使用 Purple 的網頁驗證模式，而不是 RADIUS。無線基地台會透過 HTTP 重新導向至登入頁面，並由 Purple 透過網頁工作階段處理驗證。RADIUS 可為您提供更多控制和更好的計費數據，但對於基本的訪客入口網站部署來說並非強制性。 問題二：我可以在 NETGEAR Insight 中建立多少個 PPSK 金鑰？在 WAX 系列無線基地台上，NETGEAR Insight 支援每個 SSID 最多 64 個 PPSK 金鑰。對於大多數多租戶場域，這已經綽綽有餘。如果您有超過 64 個租戶，則需要改用基於 RADIUS 的動態 VLAN 解決方案。 問題三：NETGEAR Insight 是否支援適用於 802.1X 的 WPA3 Enterprise？支援，WAX 系列無線基地台支援 WPA3 Enterprise。對於大多數中小企業部署，WPA2 Enterprise 已足夠且具有更廣泛的用戶端裝置相容性。對於處理敏感數據的環境（例如醫療保健或金融服務），WPA3 Enterprise 值得考慮。 問題四：如果 Purple RADIUS 伺服器無法連線會怎樣？NETGEAR Insight 在外部 Captive Portal 配置中支援容錯移轉（failsafe）選項。如果您啟用容錯移轉，即使無法連線至 Captive Portal 伺服器，訪客仍可在短時間內獲得網際網路存取權限。Purple 在我們的基礎設施中維持 99.999% 的上線時間，但對於任何生產部署，啟用容錯移轉都是很好的做法。 總結今天簡報的關鍵要點。NETGEAR WAX 系列無線基地台透過 NETGEAR Insight 中的外部 Captive Portal 機制與 Purple 整合。您在 Insight 雲端入口網站中配置登入頁面 URL、RADIUS 伺服器認證和 Walled Garden 網域。對於員工網路，請使用帶有 802.1X 的 WPA2 Enterprise，並在每個用戶端裝置上強制執行憑證驗證。對於多租戶場域，NETGEAR 的 PPSK 功能可讓您透過單一 SSID 和最多 64 個不重複金鑰來實現每個租戶的 VLAN 隔離。對於最複雜的部署，透過 RADIUS 屬性進行動態 VLAN 分配可為您提供身分驅動的網路區隔，該區隔會根據連線者是誰而調整，而不僅僅是他們從哪裡連線。 如果您正計劃使用 Purple 進行 NETGEAR 部署，下一步是向 Purple 的支援團隊索取您的 Purple RADIUS 認證和 Walled Garden 網域清單，並在推向生產環境之前在預備（staging）SSID 上測試 Captive Portal 重新導向。一旦您拿到這些認證，配置過程只需不到 30 分鐘。 感謝收聽 Purple 的技術簡報。如需完整的書面指南（包括逐步配置詳細資訊和實作範例），請造訪 purple.ai。