OpenWrt 客製化韌體與 Purple WiFi 整合
本指南提供部署 OpenWrt 客製化韌體與 Purple WiFi 整合的完整指南。內容涵蓋 CoovaChilli Captive Portal 設定、iptables 圍牆花園(walled garden)管理、使用 hostapd 的 802.1X 安全員工 WiFi,以及具備動態 VLAN 分配的多租戶 PPSK 區隔,為 IT 團隊提供在任何支援 OpenWrt 的硬體上建構身分辨識網路(Identity-Based Network)所需的確切設定步驟。
收聽此指南
查看播客逐字稿
執行摘要
對於需要硬體獨立性且不願犧牲企業級控制能力的 IT 團隊而言,OpenWrt 是首選的韌體。它部署於旅宿業、零售業和公共部門場所,提供完全可自訂的基於 Linux 的網路堆疊。但開箱即用的 OpenWrt 就像一張白紙。如果沒有結構化的身分層,房客網路將變得無法管理,員工網路仍不安全,而多租戶環境則會退化為單一的扁平網路。
本指南提供了將 OpenWrt 連接到 Purple 雲端 RADIUS 和 Captive Portal 平台的權威整合指南。我們涵蓋了四種不同的部署情境:使用 CoovaChilli 的房客 Captive Portal 重導向、iptables 圍牆花園設定、使用帶有 IEEE 802.1X 之 hostapd 的安全員工 WiFi,以及使用帶有動態 VLAN 分配的專屬預先共用金鑰(PPSK)的多租戶區隔。最後,您將獲得在任何支援 OpenWrt 的硬體上部署生產就緒、符合 GDPR 規範、身分驅動網路所需的確切設定參數、常見失敗模式和決策架構。
Purple 在全球 80,000 多個實體場所運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。此處描述的架構與在旅宿連鎖店、零售園區和交通樞紐大規模部署的架構完全相同。
技術深挖
CoovaChilli Captive Portal 架構
在 OpenWrt 上部署 房客 WiFi 時,CoovaChilli 是業界標準的存取控制器。它作為 Captive Portal 精靈運作,可攔截未經驗證的用戶端流量,透過其在 tun0 虛擬介面上的內部 DHCP 伺服器提供 IP 地址,並使用其直接管理的 iptables 規則強制執行圍牆花園政策。
驗證流程如下。房客裝置與開放式 SSID 建立關聯。CoovaChilli 從其內部集區(通常為 10.1.0.0/24)為該裝置分配一個 IP 地址。當裝置發送其第一個 HTTP 請求時,CoovaChilli 會攔截該請求,並向 Purple 登入頁面 URL 發送 HTTP 302 重導向。在此預先驗證階段,該裝置是被隔離的——它只能存取圍牆花園中明確列出的網域。
一旦房客在 Purple 入口網站上通過驗證,Purple 的雲端 RADIUS 伺服器就會向 UDP 連接埠 1812 上的 CoovaChilli 發送 Access-Accept 訊息。接著,CoovaChilli 會更新其 iptables 規則,以允許該特定 MAC 地址存取網際網路,並開始將計費數據(工作階段持續時間、傳輸的位元組數)傳輸到 UDP 連接埠 1813 上的 Purple RADIUS 計費伺服器。計費並非選配——這是 Purple 用工作階段數據填入您的 WiFi 分析 儀表板的機制。
圍牆花園:iptables 與網域允許清單
在任何 Captive Portal 部署中,圍牆花園都是營運上最關鍵的設定元素。CoovaChilli 透過兩種機制管理圍牆花園:針對個別 IP 地址的 uamallowed 參數,以及針對基於網域之允許清單(含 DNS 檢查)的 uamdomains 參數。
對於 Purple 整合,最低要求的圍牆花園項目如下:
| 網域 | 用途 |
|---|---|
*.purple.ai |
入口網站資源、API 和驗證端點 |
*.googleapis.com |
Google 字型與 Google 登入 |
*.gstatic.com |
Google 連線能力檢查與靜態資源 |
*.facebook.com |
Facebook 登入 API |
*.fbcdn.net |
用於登入資源的 Facebook CDN |
captive.apple.com |
Apple CNA 偵測(請參閱下方說明) |
connectivitycheck.gstatic.com |
Android Captive Portal 偵測 |
關於 Apple CNA 管理的說明: 如果您在圍牆花園中納入 captive.apple.com,iOS 裝置將在驗證前偵測到網際網路連線,並抑制 Captive Network Assistant 彈出視窗。大多數旅宿業部署都會刻意排除此網域,以觸發自動入口網站提示。正確的選擇取決於您的房客體驗設計。
安全員工 WiFi:hostapd 與 IEEE 802.1X
房客網路需要無摩擦的引導上網。員工網路則需要絕對的安全。對於內部使用者,OpenWrt 使用 hostapd 來促進 IEEE 802.1X 驗證。在此架構中,OpenWrt 基地台充當驗證器(Authenticator),在用戶端裝置(Supplicant)與 Purple RADIUS 伺服器之間轉發可延伸驗證協定(EAP)訊息。
對於企業裝置, EAP-TLS 是規定的標準。它依賴雙向憑證驗證——伺服器和用戶端裝置皆須出示數位憑證——從而完全免除密碼以及相關的憑證遭竊或網路釣魚風險。對於尚未準備好使用完整公開金鑰基礎架構(PKI)的環境,PEAP-MSCHAPv2 提供了一個合理的過渡方案,使用加密通道來保護使用者名稱和密碼憑證。
當員工成功通過驗證時,RADIUS 伺服器會傳回授權屬性。網路區隔的關鍵屬性是 Tunnel-Private-Group-ID,它指示 OpenWrt 將使用者動態分配到正確的 VLAN。這就是身分辨識網路(Identity-Based Networks)背後的機制:使用者的身分(而非其實體位置)決定了其網路存取權限。
多租戶區隔:OpenWrt PPSK設定
在多租戶環境中(例如:共享工作空間、僅租不售 (BTR) 物業、擁有多個商家的零售中心,或設有獨立贊助商區域的體育場),廣播多個 SSID 在營運上成本高昂且射頻 (RF) 效率低下。每增加一個 SSID 都會增加管理訊框的開銷,從而減少數據傳輸可用的空口時間 (airtime)。
私有預共享金鑰 (PPSK,有時稱為動態 PSK) 解決了這個問題。您只需廣播單一 SSID。當裝置嘗試連線時,hostapd 會透過標準的 Access-Request 將裝置的 MAC 位址傳送到 RADIUS 伺服器。RADIUS 伺服器會比對其資料庫驗證該 MAC 位址,並傳回包含兩個關鍵屬性的 Access-Accept:Tunnel-Password 屬性(該裝置的唯一密碼)和 Tunnel-Private-Group-ID 屬性(VLAN 分配)。裝置使用其唯一的密碼進行連線,並直接被分配到其指定的 VLAN 中。
這意味著零售經理和活動參與者可以連線到同一個 SSID,但會根據其唯一身分被路由到完全獨立且隔離的網路。
實作指南
步驟 1:取得 Purple RADIUS 憑證
在修改 OpenWrt 設定之前,請先從 Purple 入口網站管理主控台取得以下資訊:
- 主要 RADIUS 伺服器 IP 位址
- 次要 RADIUS 伺服器 IP 位址(用於容錯移轉)
- RADIUS 共用金鑰
- Captive Portal 歡迎頁面 URL
- 驗證後重導向 URL
步驟 2:安裝並設定用於訪客 WiFi 的 CoovaChilli
透過 opkg 安裝 coova-chilli 套件:
opkg update && opkg install coova-chilli
主要設定檔為 /etc/chilli/defaults。請定義核心網路參數:
# 網路介面
HS_WANIF=eth0 # 上游網際網路介面
HS_LANIF=wlan0 # 訪客 WiFi 介面(或 VLAN 子介面)
# 訪客子網路
HS_NETWORK=10.10.20.0
HS_NETMASK=255.255.255.0
HS_UAMLISTEN=10.10.20.1 # CoovaChilli 在訪客網路上的 IP
HS_UAMPORT=3990
# Purple RADIUS 整合
HS_RADIUS=
HS_RADIUS2=
HS_RADSECRET=
HS_NASID=venue-openwrt-01
# Purple 歡迎頁面
HS_UAMSERVER=
# 圍牆花園 (Walled garden) - 基於網域的允許清單
HS_UAMDOMAINS=".purple.ai,.googleapis.com,.gstatic.com,.facebook.com,.fbcdn.net"
啟用並啟動服務:
/etc/init.d/chilli enable
/etc/init.d/chilli start
步驟 3:為訪客 SSID 設定 OpenWrt 無線介面
在 /etc/config/wireless 中,將訪客 SSID 定義為繫結至 CoovaChilli 將管理的介面的開放網路:
config wifi-iface 'guest_wifi'
option device 'radio0'
option network 'guest'
option mode 'ap'
option ssid 'Venue_Guest'
option encryption 'none'
option isolate '1'
用戶端隔離 (isolate '1') 可防止訪客裝置互相通訊,這是任何共享網路強制執行的安全性控制措施。
步驟 4:為 802.1X 員工 WiFi 設定 hostapd
針對員工 SSID,在 /etc/config/wireless 中設定 WPA2-Enterprise:
config wifi-iface 'staff_wifi'
option device 'radio0'
option network 'staff_vlan10'
option mode 'ap'
option ssid 'Venue_Staff'
option encryption 'wpa2'
option server ''
option port '1812'
option key ''
option dynamic_vlan '2'
option vlan_tagged_interface 'eth0'
option vlan_bridge 'br-vlan'
option vlan_naming '0'
設定 dynamic_vlan '2' 會指示 hostapd 強制執行 RADIUS 伺服器傳回的 VLAN 分配,並在未傳回 VLAN 時拒絕驗證。
套件需求: 標準的 wpad-mini 套件不支援 WPA2-Enterprise。您必須安裝 wpad 或 wpad-openssl:
opkg remove wpad-mini && opkg install wpad-openssl
步驟 5:為多租戶分割設定 PPSK
PPSK 需要 hostapd 向 RADIUS 伺服器進行 MAC 位址驗證,然後由該伺服器傳回每個裝置的密碼。在 /etc/config/wireless 中:
config wifi-iface 'ppsk_ssid'
option device 'radio0'
option mode 'ap'
option ssid 'Venue_Connect'
option encryption 'psk2'
option key 'default_fallback_key'
option macfilter 'radius'
option server ''
option port '1812'
option key ''
option dynamic_vlan '2'
option vlan_tagged_interface 'eth0'
option wpa_psk_radius '2'
wpa_psk_radius '2' 參數會指示 hostapd 必須取得 RADIUS 回應中的 Tunnel-Password 屬性。如果 RADIUS 伺服器未傳回密碼,則會拒絕驗證。
在 Purple RADIUS 端,FreeRADIUS 設定(或同等設定)的 authorize 區段會將 MAC 位址對應至密碼和 VLAN ID:
# 用於 PPSK 的 RADIUS 授權項目範例
AA:BB:CC:DD:EE:FF Auth-Type := Accept
Tunnel-Password = "GuestPass2024",
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "20"
步驟 6:設定動態 VLAN 分配
為了使動態 VLAN 分配正常運作,您的 OpenWrt 交換器必須設定為在連接到核心交換器的 Trunk 埠上,將相關 VLAN 作為標記 (tagged) 流量進行傳輸。在 /etc/config/network 中:
config interface 'vlan10'
option ifname 'eth0.10'
option proto 'dhcp'
config interface 'vlan20'
option ifname 'eth0.20'
option proto 'dhcp'
config interface 'vlan30'
option ifname 'eth0.30'
option proto 'dhcp'
請確保您的核心交換器連接埠已設定為 Trunk,並允許標記的 VLAN 10、20 和 30 通過。
最佳實踐
絕對的網路隔離。 切勿橋接 g訪客介面與內部網路。訪客流量必須隔離在專用的 VLAN 上,並直接路由到網際網路防火牆。這是符合 PCI DSS 4.0 合規性的強制性要求,該規範強制要求訪客 WiFi 網路必須與處理持卡人資料的任何網路區段完全隔離。
**圍牆花園(Walled garden)精準度。**不完整的圍牆花園是 Captive Portal 失敗的主要原因。在連接到訪客 SSID 的測試裝置上使用瀏覽器的開發者工具,以識別哪些請求在驗證前被阻擋。每個被阻擋的網域都是潛在的入口網站失敗原因。
**RADIUS 計費間隔。**將 CoovaChilli 計費過渡間隔(interim interval)設定為 120 秒。這可在 Purple 分析儀表板中提供近乎即時的會話資料,而不會產生過多的 RADIUS 流量。
**次要 RADIUS 伺服器。**務必在您的 CoovaChilli 設定中配置 HS_RADIUS2。如果主要的 Purple RADIUS 伺服器無法連線,CoovaChilli 將無法驗證新的會話。次要伺服器提供自動容錯移轉,無需在存取點(access point)進行任何設定變更。
**套件選擇。**許多 OpenWrt 版本隨附的 wpad-mini 套件不支援 WPA2-Enterprise 或動態 VLAN 分配。對於任何需要 802.1X 或 PPSK 的部署,請務必安裝 wpad-openssl。
如需關於企業 WiFi 安全架構的進一步指引,請參閱我們的 企業 WiFi 安全:2026 年完整指南 。
疑難排解與風險緩釋
| 症狀 | 可能原因 | 解決方案 |
|---|---|---|
| 重新導向後入口網站無法載入 | 圍牆花園不完整 | 將遺失的 CDN/API 網域新增至 HS_UAMDOMAINS |
| 驗證無聲無息地失敗 | RADIUS 共用金鑰不相符 | 驗證 HS_RADSECRET 在 CoovaChilli 和 Purple 入口網站中完全一致 |
| Purple 分析中無資料 | RADIUS 計費被阻擋 | 驗證是否允許輸出 UDP 1813;檢查 HS_RADIUS2 計費設定 |
| iOS 未顯示入口網站彈出視窗 | 圍牆花園中包含 captive.apple.com |
從 HS_UAMDOMAINS 中移除 Apple 偵測網域 |
| PPSK 用戶端進入錯誤的 VLAN | vlan_tagged_interface 設定錯誤 |
驗證 OpenWrt 和核心交換器上的 trunk 連接埠設定 |
| 802.1X 驗證失敗並出現 wpad 錯誤 | 已安裝 wpad-mini |
移除 wpad-mini,安裝 wpad-openssl |
| 動態 VLAN 在 ath10k 上失敗 | 舊版本中的已知驅動程式問題 | 更新至 OpenWrt 21.02 或更新版本;使用非 CT ath10k 韌體 |
**GDPR 合規性說明:**CoovaChilli 本身不會擷取或儲存個人資料。所有同意擷取、資料處理和 GDPR 合規機制均由 Purple 平台在入口網站層處理。在正式上線前,請確保您的 Purple 入口網站已設定您場所的條款與條件以及資料處理聲明。
如需相關硬體整合模式,請參閱我們的指南: EnGenius Cloud 存取點與 Purple WiFi 整合 以及 DrayTek Vigor 路由器和存取點與 Purple WiFi 整合 。
投資報酬率(ROI)與業務影響
從基礎 PSK 網路轉移到由 Purple 管理的 OpenWrt 架構,可在三個維度上帶來可衡量的影響。
**資料擷取與行銷。**透過強制執行 Captive Portal 驗證,場所可以在連接 WiFi 時擷取合規的第一方人口統計資料(姓名、電子郵件地址、社群個人資料)。這些資料會直接匯入 CRM 和電子郵件行銷平台,從而推動會員計畫註冊並實現精準行銷活動。Purple 在 2024 年處理了 4.4 億次登入(Purple 內部資料),展示了在網路邊緣進行第一方資料擷取的可能規模。
**營運效率。**實作 PPSK 可減少 SSID 開銷,從而提高密集環境中的 WiFi 效能。對於擁有 200 個據點的零售連鎖店,透過 Purple 的雲端 RADIUS 集中管理身分(而不是更新每個站點的本機路由器設定),每年可節省數百個工程小時。單一 RADIUS 策略變更會立即傳播到所有 200 個據點。
**安全與合規性。**動態 VLAN 分配在邊緣強制執行最小權限存取。員工與訪客隔離。IoT 裝置與員工隔離。POS 終端機與所有其他流量隔離。這種區隔滿足了 PCI DSS 4.0 網路隔離要求,並為 GDPR 合規性審查提供了清晰、可稽核的網路拓撲。
如需特定垂直產業的部署模式,請參閱我們針對 零售 、 旅宿 、 醫療保健 和 交通運輸 環境的指南。您可能也會發現我們的指南 什麼是無線顯示:協定與最佳實踐 2026 對於理解場所部署中的互補無線技術非常有用。
關鍵定義
CoovaChilli
一個開源軟體存取控制器,為無線網路提供 Captive Portal 和圍牆花園環境,並使用 RADIUS 進行驗證和計費。
IT 團隊在 OpenWrt 上部署 CoovaChilli,以攔截房客的 HTTP 流量並將其重導向至 Purple 登入頁面。它負責管理強制執行圍牆花園並在驗證後授予網際網路存取權限的 iptables 規則。
Walled garden
未經驗證的使用者在完成 Captive Portal 驗證之前可以存取的 IP 地址或網域的嚴格允許清單。
這對於允許房客裝置載入 Purple 入口網站圖片並存取社群媒體登入 API,同時封鎖一般網際網路存取至關重要。不完整的圍牆花園是導致 Captive Portal 失敗最常見的原因。
PPSK (Private Pre-Shared Key)
一種安全機制,為同一個 WiFi SSID 的個別使用者或裝置分配專屬的密碼,並由 RADIUS 根據裝置的 MAC 地址傳回正確的密碼和 VLAN 分配。
用於在不廣播多個 SSID 的情況下區隔多租戶環境。在 OpenWrt 中透過 hostapd 中的 wpa_psk_radius 參數支援。
Dynamic VLAN assignment
RADIUS 伺服器使用 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 等 RADIUS 屬性,指示基地台將特定的已驗證使用者分配到特定虛擬區域網路(VLAN)的過程。
身分辨識網路(Identity-Based Networks)的核心機制。使用者的身分(而非其實體連接埠)決定了其網路區段和存取權限。
IEEE 802.1X
基於連接埠之網路存取控制的 IEEE 標準,定義了企業 WiFi 驗證中的驗證器(基地台)、用戶端(用戶端裝置)和驗證伺服器(RADIUS)角色。
OpenWrt 上安全員工 WiFi 的底層協定。需要完整的 wpad 或 wpad-openssl 套件,wpad-mini 並不支援。
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
一種 802.1X 驗證方法,使用基於雙向憑證的驗證,要求 RADIUS 伺服器和用戶端裝置皆須出示有效的數位憑證。
企業裝置驗證的黃金標準。完全免除密碼,從而杜絕憑證遭竊和網路釣魚攻擊。需要 PKI 基礎架構來核發用戶端憑證。
Captive Network Assistant (CNA)
當 iOS 和 Android 裝置根據探測特定的偵測 URL,偵測到其位於 Captive Portal 後方時,會自動顯示的虛擬瀏覽器。
網路工程師必須仔細管理其圍牆花園,以控制是否自動觸發 CNA。大多數旅宿業部署都會排除 Apple 和 Google 的偵測網域,以強制彈出 CNA 視窗。
RADIUS accounting
AAA(驗證、授權、計費)架構的第三大支柱,透過在 UDP 連接埠 1813 上記錄工作階段開始、過渡更新和工作階段停止事件,來追蹤網路資源消耗。
Purple 需要此功能來將工作階段持續時間和頻寬數據填入分析儀表板。在 CoovaChilli 中透過 HS_RADIUS2 和 radiusacctport 參數進行設定。
hostapd
OpenWrt 用於管理無線介面的開源 IEEE 802.11 基地台精靈,支援 WPA2/WPA3-Enterprise、802.1X 和 PPSK 驗證模式。
OpenWrt 上員工和 PPSK WiFi 的核心精靈。wpad-openssl 套件提供了企業驗證所需之功能齊全的 hostapd 版本。
Tunnel-Password attribute
在 PPSK 部署中使用的 RADIUS 屬性(屬性 69),用於在 MAC 驗證期間將每個裝置的密碼從 RADIUS 伺服器傳回至基地台。
Purple 的 RADIUS 伺服器藉此機制將專屬的 PSK 傳送至 OpenWrt 的 hostapd 精靈,以進行基於 PPSK 的多租戶區隔。
範例
一家擁有 200 間客房的飯店需要提供分級的 WiFi 存取:為房客提供免費的基本網路、為會員提供高速網路,以及為員工的 POS 裝置提供安全存取。IT 團隊希望將 SSID 開銷降至最低,並在 POS 終端機與房客流量之間強制執行 PCI DSS 網路隔離。
部署廣播兩個 SSID 的 OpenWrt 基地台:「Hotel_Guest」(開放式,由 CoovaChilli 管理)和「Hotel_Secure」(透過 hostapd 進行 PPSK 管理)。在「Hotel_Guest」上,CoovaChilli 會將所有未經驗證的流量重導向至 Purple 登入頁面。房客透過入口網站進行驗證,並進入 VLAN 20(僅限網際網路)。在「Hotel_Secure」上,將 hostapd 設定為 wpa_psk_radius=2。當會員的裝置連線時,RADIUS 伺服器會傳回其專屬的 PSK 和 VLAN 21(較高頻寬層級)。當 POS 終端機連線時,RADIUS 伺服器會傳回 POS 裝置的 PSK 和 VLAN 10(內部網路存取,封鎖網際網路)。VLAN 區隔在基地台層級強制執行持卡人資料(VLAN 10)與房客流量(VLAN 20 和 21)之間的 PCI DSS 隔離。
某零售連鎖店正在 50 個據點部署 OpenWrt 路由器。在第一個據點進行 UAT 期間,重導向後 Purple 登入頁面能正確載入,但點擊 Facebook 登入按鈕卻導致連線逾時。Google 登入按鈕則運作正常。
此問題是由於 CoovaChilli 圍牆花園設定不完整所致。Facebook 的驗證流程需要存取多個網域:facebook.com、connect.facebook.net 和 fbcdn.net(Facebook 用於登入資源的 CDN)。Google 登入可以運作,是因為 googleapis.com 和 gstatic.com 已在圍牆花園中。請更新 /etc/chilli/defaults 中的 HS_UAMDOMAINS 參數,加入「.facebook.com,.connect.facebook.net,.fbcdn.net」。使用「/etc/init.d/chilli restart」重新載入 chilli 精靈並重新測試。若要系統化地診斷未來的圍牆花園問題,請將測試裝置連線至房客 SSID,並使用瀏覽器開發者工具(網路分頁)來識別哪些請求在驗證前傳回連線錯誤。
練習題
Q1. 您已在 Premier Inn 飯店部署了帶有 CoovaChilli 的 OpenWrt。房客反映,當他們的 iPhone 連線至房客 WiFi 時,系統不會自動提示他們登入。他們必須手動開啟 Safari 並瀏覽某個 HTTP 網站才能觸發入口網站。是什麼設定變更導致了此情況?您該如何解決?
提示:思考 iOS 在建立關聯時如何判斷網路是否具有完整的網際網路存取權限。
查看標準答案
工程師已透過 HS_UAMDOMAINS 將 Apple 的 Captive Portal 偵測網域(captive.apple.com)納入 CoovaChilli 圍牆花園中。當 iPhone 連線時,iOS 會向 captive.apple.com 發送探測。由於此網域在圍牆花園中,探測在驗證前即宣告成功,iOS 因而判定其已擁有完整的網際網路存取權限,進而抑制了 Captive Network Assistant 彈出視窗。若要解決此問題,請從 HS_UAMDOMAINS 中移除 captive.apple.com 並重新啟動 chilli 精靈。如此一來,iOS 裝置將會收到探測失敗的判定,從而正確識別出 Captive Portal,並自動顯示登入提示。
Q2. 某共享辦公空間營運商希望在其園區內部署 IoT 智慧溫控器。他們已經廣播了「Cowork_Guest」SSID(CoovaChilli)和「Cowork_Staff」SSID(802.1X)。這些溫控器不支援 WPA2-Enterprise。您如何在不增加第三個 SSID 的情況下安全地讓它們上網?
提示:IoT 裝置通常僅支援 WPA2-PSK。請思考可以延伸哪一個現有的 SSID 來支援每個裝置專屬的密碼。
查看標準答案
透過在 hostapd 設定中啟用 wpa_psk_radius=2,在「Cowork_Staff」SSID 上設定 PPSK。在 Purple RADIUS 伺服器中註冊每個溫控器的 MAC 地址,並配有專屬密碼,並將 VLAN 40(IoT VLAN)設為 Tunnel-Private-Group-ID。當溫控器連線時,hostapd 會使用該裝置的 MAC 向 RADIUS 伺服器進行查詢,接收專屬的 PSK 和 VLAN 分配,並將溫控器置於 VLAN 40 中——與 VLAN 10 上的員工流量完全隔離。此方法避免了第三個 SSID,維持了射頻(RF)效率,並在不需要 802.1X 憑證基礎架構的情況下,對 IoT 裝置強制執行最小權限存取。
Q3. 在零售場地部署帶有 CoovaChilli 的 OpenWrt 後,儘管房客已成功連線並瀏覽網際網路,但 Purple 分析儀表板顯示的使用中工作階段為零,且沒有頻寬數據。最可能的原因是什麼?診斷此問題的兩個步驟為何?
提示:驗證(連接埠 1812)與計費(連接埠 1813)是獨立的 RADIUS 功能。
查看標準答案
RADIUS 計費(accounting)設定可能遺失或被封鎖。步驟 1:驗證 CoovaChilli 設定。檢查 /etc/chilli/defaults 中的 HS_RADIUS 和 HS_RADIUS2 是否設定正確,並確認 radiusacctport 設定為 1813。如果未設定 HS_RADIUS2,則表示未定義計費伺服器。步驟 2:驗證防火牆規則。確認場地的邊緣防火牆允許從 OpenWrt 路由器到 Purple RADIUS 伺服器 IP 地址的輸出 UDP 連接埠 1813 流量。在 OpenWrt 裝置上使用「tcpdump -i eth0 udp port 1813」來確認是否正在傳送計費封包。如果 tcpdump 中出現封包,但儀表板仍為空,則問題在於防火牆封鎖了路由器與 Purple 雲端 RADIUS 伺服器之間的流量。
Q4. 某體育場的 OpenWrt 部署使用透過 RADIUS 的動態 VLAN 分配來區隔球迷 WiFi(VLAN 30)、媒體(VLAN 40)和營運(VLAN 50)。在將基地台升級為執行帶有 ath10k 驅動程式之 OpenWrt 19.07 的新硬體後,VLAN 分配停止運作。無論 RADIUS 屬性為何,已驗證的使用者全都進入預設 VLAN。已知原因為何?
提示:考慮 ath10k 中 AP/VLAN 模式的驅動程式級支援。
查看標準答案
這是 OpenWrt 19.07 中隨附的 ath10k-ct (Candela Technologies) 韌體中已知的迴歸(regression)問題。此版本中的 ath10k-ct 驅動程式存在一個錯誤,會破壞 AP/VLAN 模式,導致動態 VLAN 分配無法運作。解決方案是升級到 OpenWrt 21.02 或更新版本,其中的 ath10k-ct 驅動程式已更新以恢復 AP/VLAN 功能。或者,在 19.07 版本上將 ath10k-ct 韌體替換為標準的 ath10k 韌體(非 CT 變體)。此問題不會影響基於 ath9k 的硬體,該硬體在所有 OpenWrt 版本中都能正確處理 AP/VLAN 模式。
繼續閱讀本系列
CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南
本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。
Allied Telesis Access Points Integration with Purple WiFi
本指南提供將 Allied Telesis TQ 系列無線基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。
Grandstream GWN Access Points Integration with Purple WiFi
本權威技術參考指南詳細說明如何將 Grandstream GWN 基地台與 Purple 的 Guest WiFi 及分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden(圍牆花園)設定、支援動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分割,為大規模部署訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體可行的逐步指引。