NETGEAR Enterprise AP 與訪客 WiFi：使用 Purple 設定 captive portal

歡迎閱讀 Purple 的技術簡報。今天我們將討論一個在與餐飲旅宿業、零售業和多租戶場域的 IT 經理及網路架構師交流時，經常被提及的主題：如何將 NETGEAR Insight 及 WAX 系列基地台與 Purple WiFi 進行整合。如果您正在營運飯店、零售園區、會議中心或綜合開發項目，本簡報將對您下一次的部署決策提供直接的參考價值。 讓我們言歸正傳。NETGEAR 的 WAX 系列 - 包括 WAX610、WAX620 和 WAX630 - 是透過 Insight 雲端平台管理的 WiFi 6 基地台。它們支援每個無線電頻段多達 8 個獨立的 SSID、WPA3 加密，並且在 WAX630 上可提供高達 6 Gbps 的吞吐量。它們採用 PoE 供電，可安裝於天花板，並能透過 Insight 雲端控制台進行單一窗口管理。對於 IT 安裝人員或中小企業網路管理員而言，這是一個功能強大且價格遠低於 Cisco Meraki 或 HPE Aruba 等級的實用平台。 Purple 是一款與硬體無關的雲端重疊服務。我們架構在您現有的基礎設施之上，為您增添顧客體驗層、數據擷取層和分析層。我們在 2024 年已為 80,000 個實體場域處理了 4.4 億次登入。與 NETGEAR Insight 的整合流程乾淨俐落且文件完善，涵蓋了我們今天將逐一介紹的四個不同應用場景。 現在讓我們深入探討技術細節。這四個應用場景分別是：使用 Purple Captive Portal 的訪客 WiFi、使用 802.1X 的安全員工 WiFi、使用 NETGEAR PPSK 功能的多租戶區段劃分，以及透過 RADIUS 針對身分識別網路進行的動態 VLAN 分配。 應用場景一：使用 Purple Captive Portal 的訪客 WiFi。這是最常見的起點。您在 NETGEAR Insight 中建立一個專用的訪客 SSID，並將其設定為開放網路。關鍵設定位於 SSID 設定中的 Captive Portal 區段。您選擇「外部 Captive Portal」，然後貼上 Purple 提供的 Splash Page URL。 接下來，設定驗證類型。對於大多數 Purple 部署，您將選擇 RADIUS 驗證。Purple 會為您提供一個主要 RADIUS 伺服器 IP 位址、用於驗證的連接埠 1812 和用於帳務的連接埠 1813，以及一個共用密鑰。您將這些資訊貼入 NETGEAR Insight 的外部 Captive Portal 設定中。您還需要設定一個 NAS 識別碼 - 這是一個向 RADIUS 伺服器識別此特定基地台或位置的字串。請使用有意義的名稱，例如您的場域名稱和位置代碼。 Walled garden（圍牆花園）是讓多數安裝人員最常出錯的部分。在訪客進行驗證之前，其裝置必須能夠連線至 Purple 的 splash page、驗證伺服器以及您啟用的任何社群登入提供者。NETGEAR Insight 在 External Captive Portal 設定中設有專用的 Walled Garden 區段，供您新增這些 URL。Purple 的支援文件提供了要列入白名單的確切網域清單。如果此步驟設定錯誤，訪客將會看到空白頁面，而非您的品牌入口網站。 設定完成後，流程如下：訪客連線至 Hotel Guest SSID。存取點會攔截其第一個 HTTP 請求，並將其重新導向至 Purple 的 splash page。訪客會看到您的品牌入口網站，接受條款，並可選擇提供其電子郵件地址或透過社群媒體登入。Purple 的 RADIUS 伺服器會向存取點傳回 Access-Accept 訊息，進而授予訪客網路存取權限。Purple 會擷取同意數據並記錄工作階段，而該數據會流入您的 Purple 分析儀表板。 使用案例二：使用 802.1X 的 Secure Staff WiFi。在此案例中，您將完全捨棄共用密碼。對於員工網路而言，預先共用金鑰是一項安全隱憂 - 當員工離職時，您必須為所有人變更密碼。IEEE 802.1X 標準中定義的 802.1X 可為每位使用者提供獨立的憑證。當他們離職時，您只需在目錄中停用其帳戶，其存取權限便會立即遭到撤銷。 在 NETGEAR Insight 中，您可以使用 WPA2 企業級安全性來設定獨立的 Staff SSID。這會指示存取點使用 802.1X 驗證，而非預先共用金鑰。接著，您可以在網路位置層級設定 RADIUS 伺服器設定。前往網路位置設定，選取 RADIUS，啟用 802.1X 存取驗證，然後輸入您的 RADIUS 伺服器 IP、連接埠和共用密鑰。預設的重新驗證間隔為 3,600 秒（一小時），這對大多數場所而言是合理的起點。 在中小企業部署中，最常用的 EAP 方法是 PEAP-MSCHAPv2，它使用伺服器端憑證在加密通道內建立連線，使用者可在其中使用其 Active Directory 使用者名稱和密碼進行驗證。EAP-TLS 安全性更高 - 它在雙邊都使用憑證 - 但它需要 PKI 架構和 MDM 來將憑證推送到裝置上。 一個關鍵點：在每台用戶端裝置上強制執行憑證驗證。請透過群組原則物件（GPO）設定您的 Windows 裝置，並透過 MDM 設定檔設定您的行動裝置，以驗證 RADIUS 伺服器的憑證。如果您忽略此步驟，裝置將容易受到惡意存取點攻擊，攻擊者會出示偽造憑證並擷取憑證資訊。使用案例三：適用於多租戶場所的 NETGEAR PPSK。Private Pre-Shared Key 解決了零售園區、綜合用途開發案和共同工作空間中的特定問題。當您有多個租戶共享同一個實體 WiFi 基礎架構，您不會想為每個租戶運行獨立的 SSID - 那會造成無線電頻率擁擠和管理複雜性。但您也不能給所有人相同的密碼，因為那樣一來租戶 A 就能看到租戶 B 的網路流量。 PPSK 優雅地解決了這個問題。您只需建立單一 SSID，並在 NETGEAR Insight 的 Wireless（無線）、Settings（設定）、Advanced（進階）、Multi PSK Settings（多重 PSK 設定）下建立多組預先共用金鑰。每個金鑰都與一個特定的 VLAN 相關聯。租戶 A 獲得對應到 VLAN 30 的專屬 16 字元密碼。租戶 B 獲得對應到 VLAN 40 的不同密碼。場所管理團隊則獲得對應到 VLAN 20 的第三組密碼，用以存取管理系統。 當租戶 A 的裝置使用其密碼進行連線時，無線基地台會自動將其分配至 VLAN 30。他們無法看到 VLAN 40 或 VLAN 20 上的任何流量。從租戶的角度來看，他們只需輸入 WiFi 密碼。從網路管理員的角度來看，您無需任何額外硬體，即可在租戶之間實現完全的流量隔離。 這裡有兩個重要的限制需要注意。首先，NETGEAR Insight 中的 PPSK 需要 WPA2 Personal 或 WPA2 Personal Mixed 加密。它無法在 6 GHz 頻段上運作。其次，PPSK 不能與同一 SSID 上的 Captive Portal 結合使用。如果您兩者都需要，則需要兩個獨立的 SSID - 這沒問題，因為 WAX 系列無線基地台支援多達八個 SSID。 使用案例四：透過 RADIUS 進行動態 VLAN 分配。這是最先進的配置，也是支援 Purple 身份識別網路能力（Identity-Based Networks）的基礎。您不需要將 VLAN 靜態分配給密碼或 SSID，而是讓 RADIUS 伺服器根據驗證身份的人員來決定要分配哪個 VLAN。 此機制使用三個標準 RADIUS 屬性：Tunnel-Type（VLAN 的值必須設定為 13）；Tunnel-Medium-Type（IEEE 802 的值必須設定為 6）；以及 Tunnel-Private-Group-ID（以字串形式攜帶 VLAN ID）。當使用者成功通過驗證時，RADIUS 伺服器會在 Access-Accept 訊息中傳回這三個屬性。無線基地台會讀取這些屬性並將用戶端置於指定的 VLAN 中。 在實際應用中，這代表您可以擁有單一 WPA2 Enterprise SSID，飯店經理驗證後會進入可存取物業管理系統的 VLAN 20，櫃台人員驗證後會進入僅能存取報到系統的 VLAN 21，而承包商驗證後則會進入僅能上網的 VLAN 50。這一切都來自同一個 SSID，並由 RADIUS 伺服器根據 Active Directory 群組成員身份自動執行。現在，讓我們來談談導入建議和常見陷阱。第一個陷阱是 walled garden（圍牆花園）。每個外部 captive portal 部署都至少會在 walled garden 失敗一次。其症狀是訪客連接到 SSID，但看到的是瀏覽器錯誤，而不是 splash page。解決方法很簡單：打開 Purple 支援文件，複製 walled garden 列表中的每個網域，然後將它們貼到 NETGEAR Insight 的 Walled Garden 區段中。使用沒有快取憑證的裝置進行測試。 第二個陷阱是 RADIUS 的連通性。NETGEAR 基地台需要能夠連線到您的 RADIUS 伺服器。RADIUS 使用 UDP 連接埠 1812 進行驗證，並使用 UDP 連接埠 1813 進行計費。在基地台管理 IP 到 RADIUS 伺服器 IP 之間開放這些連接埠。在正式上線前，請先使用 RADIUS 測試工具進行測試。 第三個陷阱是 PPSK 和 captive portal 衝突。NETGEAR Insight 不允許在同一個 SSID 上同時啟用 PPSK 和 captive portal。如果您兩者都需要，請建立兩個 SSID。明確命名它們 - 一個用於 PPSK 租戶，另一個用於 captive portal 訪客。 第四個陷阱是 802.1X 用戶端上的憑證驗證。每個 Windows 裝置都需要一個群組原則物件（Group Policy Object），以指定受信任的憑證授權單位（Certificate Authority）和預期的 RADIUS 伺服器名稱。每個行動裝置都需要一個具有相同設定的 MDM 設定檔。如果沒有這些設定，使用者可能會在不知情的情況下向惡意基地台進行驗證，並交出他們的 Active Directory 憑證。 現在進行快速問答時間。問題一：我可以在沒有 RADIUS 伺服器的情況下，將 Purple 與 NETGEAR Insight 搭配使用嗎？可以，對於訪客 captive portal 部署，您可以使用 Purple 的網頁驗證模式，而不是 RADIUS。基地台會透過 HTTP 重新導向至 splash page，並由 Purple 透過網頁工作階段處理驗證。RADIUS 提供您更多控制權和更好的計費數據，但對於基本的訪客入口網站部署，它並非強制性。 問題二：我可以在 NETGEAR Insight 中建立多少個 PPSK 金鑰？NETGEAR Insight 在 WAX 系列基地台上，每個 SSID 最多支援 64 個 PPSK 金鑰。對於大多數多租戶場域來說，這已經綽綽有餘。如果您有超過 64 個租戶，則需要改為採用基於 RADIUS 的動態 VLAN 解決方案。 問題三：NETGEAR Insight 支援 802.1X 的 WPA3 Enterprise 嗎？是的，WAX 系列基地台支援 WPA3 Enterprise。對於大多數中小企業部署，WPA2 Enterprise 已足夠，且具有更廣泛的用戶端裝置相容性。對於處理敏感資料的環境（例如醫療保健或金融服務），WPA3 Enterprise 值得考慮。問題四：如果無法連線至 Purple RADIUS 伺服器會怎麼樣？NETGEAR Insight 在 External Captive Portal 設定中支援安全防護（failsafe）選項。如果您啟用安全防護，即使無法連線至 captive portal 伺服器，訪客仍可在短時間內獲得網際網路存取權限。Purple 在我們的基礎架構中維持 99.999% 的正常執行時間，但對於任何實際部署，啟用安全防護都是一項良好的做法。 總結今天簡報的重點。NETGEAR WAX 系列無線基地台透過 NETGEAR Insight 中的 External Captive Portal 機制與 Purple 整合。您可以在 Insight Cloud Portal 中設定展示頁面 URL、RADIUS 伺服器憑證以及 walled garden 網域。對於員工網路，請使用搭配 802.1X 的 WPA2 Enterprise，並在每個用戶端裝置上強制執行憑證驗證。對於多租戶場所，NETGEAR 的 PPSK 功能可讓您從單一 SSID 中透過最多 64 個唯一金鑰，實現每個租戶的 VLAN 隔離。對於最複雜的部署，透過 RADIUS 屬性進行的動態 VLAN 分配可為您提供身分導向的網路分段，該分段會根據連線的使用者身分進行調整，而不僅僅是根據其連線位置。 如果您正計劃將 NETGEAR 與 Purple 一起部署，下一步是向 Purple 的支援團隊申請您的 Purple RADIUS 憑證和 walled garden 網域清單，並在正式部署前在測試 SSID 上測試 captive portal 重新導向。一旦您拿到這些憑證，設定只需不到 30 分鐘。 感謝您收聽 Purple 的技術簡報。如需完整的書面指南，包括逐步設定詳細資訊和實作範例，請造訪 purple.ai。