Juniper Mist and guest WiFi：使用 Purple 設定 captive portal

歡迎來到 Purple 技術簡報，我們將在此探討為世界級訪客 WiFi 體驗提供支援的整合方案。今天，我們將深入探討任何企業級部署都至關重要的一項整合：Juniper Mist 與 Purple WiFi。 介紹與背景。 如果您是管理大型場域（例如飯店、零售連鎖店、體育場或會議中心）的 IT 主管，您一定知道訪客 WiFi 已不再只是可有可無的配備。它是關鍵的基礎設施。您需要可靠性、安全性，而最重要的是，您需要從中獲得真正的商業價值。這正是 Juniper Mist 的 AI 驅動網路與 Purple 的分析和互動平台相結合時展現其強大優勢之處。 Juniper Mist 是目前最先進的雲端管理無線平台之一。它建立在微服務架構之上，利用機器學習來持續優化無線電資源管理，在用戶察覺之前預測並解決網路問題，並透過其 Wi-Fi Assurance 架構提供精細的服務水準洞察。這正是企業 IT 團隊在大規模部署時所信賴的基礎設施。 另一方面，Purple 是一個企業訪客 WiFi 智慧平台。它提供了面向訪客的體驗 - 包括 Captive Portal、登入流程、數據擷取 - 然後將這些數據轉化為具備可行性的商業智慧。例如人流量分析、停留時間報告、回訪者追蹤、CRM 整合以及符合 GDPR 規範的行銷自動化。 將這兩個平台結合在一起，您就擁有了一個強大的組合：Mist 提供了強大、智慧的無線骨幹，而 Purple 則層層疊加訪客體驗、數據洞察和合規工具。在此簡報中，我們將介紹此整合在架構上如何運作、如何逐步進行設定，以及為什麼它代表了場域營運商極具吸引力的投資報酬率。 技術深度探討。 那麼，讓我們進入技術層面。這項整合實際上是如何運作的？其實非常簡潔優雅。其核心在於使用 Mist 在 WLAN 設定中的「轉發至外部入口網頁 (Forward to external portal)」功能。當訪客連線到您的 WiFi 網路時，Mist 基地台會偵測到該裝置先前尚未獲得授權。然後，它會將訪客的瀏覽器重新導向到一個 Captive Portal URL - 一個由 Purple 託管的 URL。 此重新導向不僅僅是簡單的頁面載入。Mist 會在重新導向 URL 中附加幾個關鍵參數。這些包括 WLAN 識別碼、訪客所連線之基地台的 MAC 位址、訪客裝置本身的 MAC 位址，以及訪客原本嘗試存取的原始 URL。這些參數非常重要，因為它們能讓 Purple 平台確切知道訪客位於哪個網路，並在驗證完成後正確授權該特定裝置。Captive Portal 本身完全支援自訂。您可以為其加上您場域的標誌與顏色，將其設定為支援 25 種以上的語言並具備自動裝置偵測功能，並從一系列驗證方法中進行選擇 - 簡單的電子郵件表單、透過 Facebook 或 Google 的社群媒體登入、預先共用的存取碼，甚至是付費存取購買。Purple 在其平台內處理所有這些流程。 授權流程的奧妙之處在於透過 Mist REST API 實現。一旦訪客在 Purple 門戶上完成驗證，Purple 平台就會向 Mist Cloud 進行安全 API 呼叫。這個指向 Mist 門戶授權端點的呼叫會告訴 Mist：「此裝置已獲得授權。授予其網際網路存取權限。」Mist 隨後會為該特定裝置開放網路。整個過程使用 API Secret 進行加密安全保護 - 這是您在 Mist 儀表板和 Purple 場域設定中配置的唯一密碼金鑰。這可確保只有您的 Purple 執行個體才能在您的 Mist 網路中授權裝置。 現在，讓我們談談回訪者，因為這正是整合變得真正精細之處。強迫訪客每次造訪時都必須登入是一種糟糕的體驗，坦白說，這是不必要的摩擦，可能會損害您的品牌形象。這就是我們的 Passpoint 解決方案 - PurpleConnex 發揮作用的地方。 Passpoint（也稱為 Hotspot 2.0）是一項 IEEE 802.11u 標準，可讓行動裝置自動偵測並連接到 WiFi 網路。在訪客首次造訪並透過 Captive Portal 進行驗證後，我們可以向其裝置配置 Passpoint 設定檔。在隨後的每次造訪中，其裝置都會自動且安全地連接到 PurpleConnex SSID，無需任何使用者互動。沒有門戶，沒有登入提示 - 只有無縫、即時的連線。 這是使用 RadSec（即 RADIUS over TLS）實現的。與傳統、未加密的 RADIUS 協定不同，RadSec 將所有驗證流量透過 TLS 連線進行通道傳輸，提供企業級的安全性。Mist Cloud 與 Purple 的 RadSec 伺服器（port 2083 上的 rad1-secure.purple.ai 和 rad2-secure.purple.ai）進行通訊，以對回訪訪客進行驗證。您還需要將 Purple 的 RadSec 憑證上傳到您的 Mist 組織設定中，這是一個簡單的過程。 PurpleConnex WLAN 設定為具有 802.1X 驗證的 WPA2 Enterprise 網路，這是無線安全性的黃金標準。對於在其 Mist 存取點上啟用了 6 GHz 無線頻段的場域，則需要 WPA3-Enterprise，透過 192 位元安全性模式提供更強大的加密。值得注意的是一個重要的架構考量：Juniper Mist 不支援 Captive Portal 本身的 RADIUS 驗證與計費功能。這意味著 Mist 儀表板中的即時使用者計數報告和某些網路工作階段指標將無法反映 Captive Portal 工作階段。然而，Purple 自己的分析平台提供了關於訪客工作階段的全面報告，因此在實務上，此限制對您從部署中獲取的整體情報影響微乎其微。 實作建議與常見陷阱 現在開始進行實作。基本設定非常簡單，但有幾個設定細節即使是經驗豐富的網路工程師也可能會出錯。讓我帶您了解關鍵步驟與常見陷阱。 第一步是在 Mist 儀表板中建立您的 Guest WLAN。導覽至 Network，然後選取 WLANs，並新增一個 WLAN。將安全性類型設定為 Open Access - 這是正確且刻意為之的，因為訪客網路的安全性是由 Captive Portal 和符合 GDPR 規範的資料收集在應用程式層進行處理。將 Guest Portal 選項設定為「Forward to an external portal」，並輸入 Purple 提供的 Portal URL。 我們在此階段最常看到的陷阱是不完整的 walled garden（圍牆花園）設定。walled garden 是允許未經驗證的使用者在完成登入程序之前存取的主機名稱清單。您必須將 Purple 所有必要的網域，以及您打算支援的任何社群媒體登入提供商新增到此清單中。如果 walled garden 不完整，訪客將無法載入 Captive Portal，並會停留在瀏覽器錯誤頁面。Purple 在其支援文件中提供了所需網域的完整清單，我強烈建議在正式上線前仔細檢視。 儲存 WLAN 後，返回設定並找到 API Secret。這是 Mist 自動產生的唯一密碼金鑰。複製它並將其貼到 Purple 場地設定中「Mist API secret」欄位下。這是允許 Purple 在您的 Mist 網路中授權裝置的連結。 針對 PurpleConnex Passpoint 設定，建立第二個啟用 WPA2 Enterprise 安全性和 Passpoint 的 WLAN。在 Operators 欄位設定為「OpenRoaming-Settlement-Free」，並將 NAI Realm 設定為 securewifi.purple.ai，將驗證方法設定為 EAP-TTLS。新增 Purple 提供的兩個 RadSec 伺服器地址，並將 NAS Identifier 設定為 MIST，後接裝置 MAC 地址變數。最後，將 RadSec 憑證上傳到您的 Mist 組織設定中。 針對多據點部署 - 這是管理數個以上場域的企業必備的關鍵建議 - 請使用 Mist 的 Organization Templates。在範本中配置一次您的顧客與安全 WLAN，然後將其套用至所有站點。這可確保整個企業維持絕對的一致性，並大幅減少管理開銷。例如，擁有 50 家分店的連鎖零售商可以同時將配置變更推送至所有站點，而無需手動逐一修改各個站點。 最後一項實作建議：在正式部署前，務必先在測試環境中測試整合。使用 Mist 的測試授權端點 - /authorize-test - 來驗證 Captive Portal 流程是否正常運作，且不會影響上線用戶。此外，務必在多種裝置類型上進行測試 - 包括 iOS、Android、Windows 和 macOS - 因為 Captive Portal 在不同作業系統和瀏覽器版本之間的行為可能會有顯著差異。 快速問答時間。 讓我們來解答網路架構師在規劃部署時，經常提出的一些快速問題。 第一個問題：此整合是否會影響網路效能？不會。驗證交握（authentication handshake）非常輕量，且每個工作階段僅發生一次。顧客獲得授權後，其流量會直接從 Mist 存取點傳輸至網際網路。Purple 完全不在資料路徑中，因此對於正常的瀏覽流量，不會產生任何效能開銷。 第二個問題：Purple 收集的顧客資料有多安全？非常安全。Purple 通過 ISO 27001 認證，且該平台架構符合 GDPR、CCPA 和其他主要資料隱私法規。所有資料在傳輸時皆使用 TLS 加密，在靜態儲存時亦進行加密。Purple 的同意管理工具可確保在收集任何個人資料之前，顧客均已提供知情且明確的同意，這是 GDPR 第 7 條的基本要求。 第三個問題：我是否可以提供分級頻寬以透過 WiFi 獲利？當然可以。Purple 平台支援分級頻寬配置。您可以提供低速限制的免費基本方案，以及高速的付費進階方案。這對於機場、會議中心和體育場館特別實用，因為在這些場所中，優質的連線服務是顧客願意付費購買的真正增值服務。一家採用此方案的 Purple 客戶（某機場營運商）透過 Purple 平台實施分級頻寬，獲得了 842% 的投資報酬率。第四個問題：如果 Purple 平台暫時無法使用會怎樣？這是考量韌性的重要因素。預設情況下，如果無法連線至外部入口網站，Mist 將不會向未經身分驗證的訪客提供網路存取權限。您可以選擇在 Mist 中啟用「在異常情況下繞過訪客入口網站」（bypass guest portal in case of exception）設定，如此一來，若入口網站無法使用，系統將會提供開放存取。然而，這必須審慎評估，因為這會移除數據收集與合規性層級。對於大多數企業級部署，我們建議保持停用此設定，並確保將 Purple 平台 - 該平台在高度可用的雲端基礎架構上運作 - 納入您的服務管理流程中進行監控。 摘要與後續步驟。 總結本次簡報：將 Juniper Mist 與 Purple 整合，可將您的訪客 WiFi 從簡單的公用程式，轉變為強大的商業智慧與客戶互動工具。 您將同時獲得 Mist 的 AI 驅動網路可靠性（具備機器學習驅動的無線電資源管理與主動式故障偵測），以及 Purple 的深度訪客分析、行銷自動化和符合 GDPR 的數據收集。此整合由 API 驅動且具備彈性，同時支援簡單的 Captive Portal 部署，以及精密的、安全的 Passpoint 實作，以提供真正無縫的重複訪客體驗。 關鍵要點如下。第一：務必設定完整的 Walled Garden - 這是整合失敗最常見的原因。第二：從第一天起就規劃兩個 SSID - 一個供首次訪客使用的開放式訪客網路，以及一個供重複訪客使用的安全 Passpoint 網路。第三：在任何多站點部署中使用 Mist 的組織範本（Organisation Templates），以確保一致性與營運效率。第四：利用 Purple 的分析平台，從您的訪客 WiFi 數據中獲取具可行性的商業智慧 - 這正是實現真正投資報酬率的地方。 您的下一步？如果您已經是 Purple 的客戶，請至我們的支援入口網站 support.purple.ai 參閱 Juniper Mist 整合指南。如果您剛接觸 Purple，請前往 purple.ai 並與我們的解決方案架構師預約展示。我們可以帶您體驗即時環境、討論您的特定場域需求，並為您的部署評估預期的投資報酬率。 感謝您參加本次 Purple 技術簡報。我們下次見。