Ruckus Unleashed 與訪客 WiFi：使用 Purple 設定 Captive Portal

歡迎來到 Purple 技術簡報。我是您的主持人，今天我們要介紹一個在我們所見的幾乎所有大型企業 WiFi 專案中都會遇到的佈署模式 - 將 CommScope Ruckus 與 Purple 的雲端平台進行整合。無論您是經營飯店集團、零售物業、體育場還是會議中心，本集都將為您提供所需的設定指南。 首先讓我們來了解一下背景。Ruckus - 現隸屬於 CommScope - 是全球領先的企業 WiFi 平台之一。特別是 SmartZone，是高密度環境的首選控制器。像 Premier Inn 這樣的飯店、大型連鎖零售店、體育場和會議中心都運行著 Ruckus 基礎設施。當您在這種規模下佈署訪客 WiFi 時，您需要的不僅僅是一個開放的 SSID。您需要結構化的身分驗證、符合 GDPR 規範的資料收集，以及將該訪客資料導入您的行銷系統的能力。這正是 Purple 的用武之地。 Purple 在超過 80,000 個實體場所中運行，僅在 2024 年就處理了 4.4 億次登入，並持有 ISO 27001、GDPR 和 Cyber Essentials 認證。Ruckus 的整合是我們最成熟的佈署模式之一。 現在，在您開始進行設定之前，您需要瞭解 Ruckus 有三種不同的控制器平台。SmartZone - 可作為實體 SZ300 設備或虛擬 vSZ 提供 - 是適用於大型、多站點佈署的企業控制器。它管理跨多個區域的數千個存取點，為您提供深入的原則控制，並支援我們今天將介紹的所有身分驗證方法。ZoneDirector 是傳統的在地部署 (on-premises) 控制器 - 仍廣泛佈署，特別是在餐旅業中 - 它支援相同的 WISPr 型 Captive Portal 流程，但設定路徑略有不同。而 Unleashed 是無控制器模型，其中一個 AP 作為多達 128 個其他 AP 的主控。它非常適合較小的單一站點佈署 - 獨立飯店、零售分店、中小企業辦公室。 好的。讓我們進入技術細節。我將介紹三種不同的使用案例：具有 Captive Portal 重導向的訪客 WiFi、使用 802.1X 的安全員工 WiFi，以及使用 Ruckus Dynamic PSK 的多租戶網路隔離。 首先是訪客 WiFi。這裡的架構是基於 WISPr 的熱點流程。WISPr (Wireless Internet Service Provider roaming) 是一種業界標準，定義了無線控制器如何攔截未經身分驗證的 HTTP 流量並將其重導向至外部入口網站。訪客連線至您的 SSID。他們的裝置傳送一個 HTTP 請求。SmartZone 攔截該請求並向您的外部入口網站 URL (在此案例中為 Purple 的 Captive Portal) 發出 HTTP 302 重導向。訪客進行身分驗證 - 透過社群登入、電子郵件、簡訊或自訂表單 - 然後入口網站透過 Northbound Interface (NBI) 回傳通訊給控制器以授予存取權限。 在 SmartZone 上，設定包含四個主要部分。首先是 RADIUS 驗證伺服器設定檔。導覽至「服務與設定檔」，然後選擇「驗證」。建立一個新的 AAA 伺服器設定檔。將服務協定設定為 RADIUS。您的主要伺服器 IP 與共用金鑰已提供於 Purple 管理主控台中。驗證連接埠為 1812。請務必設定備用 RADIUS 伺服器以確保彈性。接著在「服務與設定檔」下的「帳務」建立帳務伺服器 - 連接埠 1813，使用相同的共用金鑰。 第二，Hotspot WISPr 設定檔。前往「服務與設定檔」、「熱點與入口網站」，然後選取「Hotspot WISPr」分頁。建立一個新的設定檔。將「登入 URL」設定為「外部」，並輸入您的入口網站重新導向 URL。將「起始頁面」設定為重新導向至您的驗證後 URL - 通常是成功頁面或您場域的首頁。 現在，設定 Walled Garden（圍牆花園）。這是工程師最常出錯的地方。Walled Garden 定義了訪客在驗證前可以存取的網域和 IP 位址。您需要納入您的入口網站網域、您入口網站載入時所使用的任何 CDN 或資產網域，以及標準作業系統 Captive Portal 偵測端點。在 SmartZone 中，支援使用星號加句點格式的萬用字元 - 因此 *.purple.ai 可以涵蓋所有子網域。您還需要 Apple 的 Captive Portal 偵測網域 - captive.apple.com - 以及 Google 的連線檢查端點，以防止 CNA 微型瀏覽器在 iOS 和 Android 裝置上運作異常。 一個容易遺漏的關鍵步驟。在預設情況下，SmartZone 會將其在重新導向 URL 中傳遞給外部入口網站的 MAC 位址和 IP 位址進行加密。Purple 需要查看實際的用戶端 MAC 位址以進行基於 MAC 的工作階段管理。您必須透過 CLI 停用此功能。使用 SSH 進入您的 SmartZone，進入設定模式，並執行：no encrypt-mac-ip。這只是一行指令，但如果您跳過它，將會是個嚴重的阻礙。 Northbound Interface 是另一個不可或缺的部分。這是允許 Purple 與 SmartZone 進行通訊，以便在驗證後授予或拒絕存取權限的 API。在「系統管理」、「外部服務」、「WISPr Northbound Interface」下啟用此功能。設定使用者名稱和密碼，並將這些憑證提供給 Purple。NBI 在 HTTP 的 TCP 連接埠 9080 和 HTTPS 的 9443 上運作 - 請確保您的防火牆允許從 Purple 的 IP 範圍撥入這些連接埠。 最後，建立您的 WLAN。將「驗證類型」設定為「Hotspot WISPr」，選取您的入口網站設定檔，並指派您的 RADIUS 驗證和帳務服務。如果 Purple 需要特定值，請將 NAS ID 設定為「使用者定義」，將 Called Station ID 設定為「AP MAC」，並啟用 Single Session ID。 對於 Unleashed 而言，其架構本質上有所不同 - 它是一個分佈式、無控制器（controllerless）的模型。設定位於 Admin and Services、Services、Hotspot Services。其步驟大致相似 - 建立 Hotspot 服務、設定您的外部入口網頁 URL、設定您的 AAA 驗證伺服器、新增您的 Walled Garden 項目 - 但有兩個關鍵差異。Unleashed 不需要 Northbound Interface。而且預設不會啟用 MAC 位址加密，因此您不需要 CLI 指令。Unleashed 的 Walled Garden 也接受網域層級的項目，而非完整的萬用字元語法。 現在讓我們轉向使用 802.1X 的安全員工 WiFi。這是一個完全不同的驗證模型。員工裝置不會使用 Captive Portal，而是直接使用可延伸驗證協定 - EAP 進行驗證。企業環境中最常用的方法是 PEAP-MSCHAPv2（使用者輸入其 Active Directory 憑證）或 EAP-TLS（裝置提供憑證）。Purple 的 SecurePass 附加功能可與 Microsoft Entra ID、Okta 和 Google Workspace 整合，在此流程中充當 RADIUS 後端。 在 SmartZone 上，建立一個新的 WLAN，並將驗證類型（Authentication Type）設定為 802.1X EAP。在 AAA 設定下，指向您的 RADIUS 伺服器 - 即 Purple 的 SecurePass 端點。與訪客流程的關鍵區別在於，您還在此處設定了動態 VLAN 分配。當 Purple 的 RADIUS 伺服器傳回 Access-Accept 時，它會包含三個 IETF 標準屬性：Tunnel-Type 設定為 VLAN，值為 13；Tunnel-Medium-Type 設定為 IEEE-802，值為 6；以及 Tunnel-Private-Group-ID 包含 VLAN ID 字串 - 例如，員工 VLAN 為 20。SmartZone 會讀取這些屬性，並動態地為員工的流量標記正確的 VLAN，無論他們連接到哪台 AP。這就是動態 VLAN 導向，它允許單一 SSID 為具有不同網路存取原則的多個使用者角色提供服務。 在 WLAN 進階設定中啟用 AAA Override，以確保 SmartZone 處理 RADIUS 傳回的 VLAN 屬性。若未勾選該方塊，即使 RADIUS 伺服器傳送了正確的屬性，動態分配也無法運作。 第三個使用案例是使用 Ruckus Dynamic PSK（或稱 DPSK）的多租戶隔離。這是一項 Ruckus 專有技術，可在單一 SSID 上為每個使用者或租戶分配唯一的 WPA2 複雜密碼。與每個人都使用相同密碼的共享 PSK 不同，DPSK 意味著租戶 A 擁有唯一的 62 字元金鑰，租戶 B 擁有另一個不同的金鑰，依此類推。每個金鑰都與特定的 VLAN 綁定，因此租戶 A 的流量會進入 VLAN 101，而租戶 B 的流量會進入 VLAN 102 - 實現完全隔離、無共享密碼風險，且可立即撤銷而不影響其他租戶。 這在共享工作空間、租賃專用住宅、學生宿舍和多租戶零售園區中特別強大。Purple 透過 SmartZone API 與 Ruckus DPSK 整合以自動化金鑰配置 - 當在 Purple 中登入新租戶時，系統會自動生成一個 DPSK、綁定到正確的 VLAN 並傳遞給該租戶。 要在 SmartZone 上設定 DPSK：導覽至 WLAN，新增一個 WLAN，並在「安全性」下將方法設定為 Dynamic PSK。將 DPSK 長度設定為 62 個字元以獲得最大熵。在 VLAN 下，啟用「每 DPSK VLAN 分配」。然後使用 SmartZone API 或 DPSK 管理介面為每個租戶建立獨立金鑰，每個金鑰對應到其專屬的 VLAN ID。在 Unleashed 上，相同的功能在 WiFi 網路、進階選項、Dynamic PSK 下提供。 DPSK3 是 WPA3 的變體，提供更強的基於 SAE 的加密。如果您的 AP 設備支援 WPA3 - 目前所有 Ruckus R 系列 AP 都支援 - 則 DPSK3 是新部署的首選。 讓我介紹兩個實際的部署情境，以說明這三個使用案例如何結合在一起。 第一個情境：一家擁有 250 間客房的飯店。該物業全程運行 Ruckus SmartZone 與 R750 存取點。他們需要三種網路類型：供飯店賓客使用的客用 WiFi、供前台和後勤員工使用的安全員工 WiFi，以及用於智慧客房控制和閉路電視 (CCTV) 的 IoT 網路。 客用 WLAN 透過 Purple 使用 WISPr Captive Portal 流程。賓客進行連線，被重新導向至品牌化的 Purple 入口網站，透過電子郵件或社群媒體登入進行驗證，並進入 VLAN 10。該入口網站收集第一方數據 - 電子郵件、行銷同意書、住宿偏好 - 這些數據會直接匯入飯店的 CRM。Purple 的分析儀表板向飯店展示哪些樓層的連線率最高、尖峰使用時間以及重複訪客率。Premier Inn 在其英國的所有物業中部署了此模式，並發現與 WiFi 體驗直接相關的顧客滿意度分數有了顯著提升。 員工 WLAN 透過 Purple 的 SecurePass 使用 802.1X。員工透過 PEAP-MSCHAPv2 使用其 Active Directory 憑證進行驗證。前台員工進入 VLAN 20，可存取物業管理系統。後勤員工進入 VLAN 21，僅能存取人資和排班系統。VLAN 分配完全由 Purple 回傳的 RADIUS 屬性驅動 - 無需手動設定連接埠。當員工離職時，其帳戶會在 Microsoft Entra ID 中被停用，所有物業的存取權限會立即被撤銷。 IoT WLAN 使用靜態 PSK，隔離在 VLAN 30，並啟用了用戶端隔離。智慧恆溫器、門鎖和閉路電視相機都位於此處，與賓客和員工的流量完全隔離。 第二個情境：擁有 15 家租戶公司的共享工作空間。這正是 DPSK 發揮價值的之處。營運商在三個樓層運行 Ruckus Unleashed。每個租戶公司都會獲得一個綁定到其專屬 VLAN 的唯一 DPSK。租戶 A 的 20 名員工都使用同一個 DPSK-A 密碼，但該密碼是租戶 A 專用的，且僅對應到 VLAN 101。租戶 B 使用 DPSK-B，對應到 VLAN 102。租戶之間在網路層完全隔離。當租戶搬離時，營運商只需在 SmartZone 中 - 或透過 Purple 的管理介面 - 撤銷其 DPSK 即可。其他租戶完全不受影響，無需更改 SSID，也無需重設整棟大樓的密碼。 Purple 的多租戶管理層位於此架構之上，為共享工作空間營運商提供單一儀表板，以管理所有 15 個租戶的登入引導、存取權限撤銷和使用情況分析。 現在讓我說明最常見的故障模式以及如何避免這些問題。 第一：Walled Garden 設定錯誤。如果您的 Portal 頁面在重新導向後無法載入，首先要檢查的是您的 Portal 頁面所參照的所有網域是否都在 Walled Garden 中。現代的 Portal 頁面會從多個 CDN 網域、分析指令碼和社群登入 SDK 載入資源。如果其中任何一個在驗證前被阻擋，頁面將無法載入或載入不完整。在連接到訪客 SSID 的測試裝置上使用瀏覽器的開發者工具，以識別哪些請求被阻擋。Purple 為 SmartZone 和 Unleashed 提供了已記錄的 Walled Garden 清單 - 請將其作為您的基準，並在上方新增任何特定場域的網域。 第二：NBI 連線問題。如果訪客可以看到 Portal 並進行驗證，但始終無法存取網際網路，可能的原因是 SmartZone 無法接收來自 Purple 的 NBI 回呼。請檢查連接埠 9080 和 9443 是否已向來自 Purple IP 範圍的 SmartZone 管理 IP 開放輸入。同時驗證您設定的 NBI 認證是否與 Purple 存檔的認證相符。 第三：遺漏 no encrypt-mac-ip 指令。這是最常見的 SmartZone 特定陷阱。如果 Purple 正在接收重新導向請求，但無法將工作階段與 MAC 位址比對，這幾乎肯定就是原因。這是一個單行的 CLI 修正，但因為它沒有顯示在 GUI 中，所以很容易被遺漏。 第四：動態 VLAN 未啟用 AAA Override。如果員工在 802.1X 上成功驗證，但全都進入同一個預設 VLAN，而不是其特定角色的 VLAN，請檢查 WLAN 進階設定中是否啟用了 AAA Override。這個開關用於通知 SmartZone 接受 RADIUS 伺服器傳回的 VLAN 屬性。第五點：DPSK VLAN 無法傳遞。如果 DPSK 使用者已通過驗證但未進入正確的 VLAN，請確認 WLAN 設定中已啟用 Per-DPSK VLAN 指派，且連接到 AP 的交換器連接埠已設定為承載所有 DPSK VLAN 的 Trunk 連接埠。如果交換器連接埠是 Access 連接埠，VLAN 標籤將會被剝離。 現在，解答三個在每次 Ruckus 與 Purple 部署時都會被問到的快速問題。 我需要為訪客 WiFi 提供專屬的 VLAN 嗎？是的，務必如此。請在專屬的 VLAN 上隔離訪客流量。如果您的場域在同一網路上處理刷卡支付，這既是安全要求，也是 PCI-DSS 合規考量。請在訪客 WLAN 上啟用用戶端隔離，以防止訪客裝置互相通訊。 我可以在 Ruckus One - 雲端管理平台 - 而不是 SmartZone 上使用 Purple 嗎？可以。設定路徑有所不同 - 在 Ruckus One 入口網站的 WiFi 網路、訪客存取設定下 - 但 Walled Garden 和 RADIUS 設定原則是完全相同的。 Purple 是否支援 SmartZone 多區域部署？是的。Purple 的整合可處理多區域 SmartZone 環境，您可以將入口網站設定範圍縮小至單一 SmartZone 實例中的各個區域，以適用於不同的場域或樓層。 總結來說。Ruckus 與 Purple 的整合涵蓋了三種不同的使用案例，每種案例都有其獨特的設定模型。訪客 WiFi 使用 WISPr Captive Portal 流程 - 五個關鍵設定點：連接埠 1812 和 1813 上的 RADIUS（含備用伺服器）、帶有外部登入 URL 的 Hotspot WISPr 設定檔、使用萬用字元項目正確設定範圍的 Walled Garden、no encrypt-mac-ip CLI 指令，以及啟用並輸入正確憑證的 Northbound Interface。 安全員工 WiFi 使用 802.1X EAP 與透過 RADIUS 屬性的動態 VLAN 導向 - 關鍵的啟用因素是 WLAN 進階設定中的 AAA Override。 多租戶隔離使用 Ruckus DPSK - 每個租戶擁有專屬的金鑰，各自繫結至專屬的 VLAN，具備即時撤銷功能，且無共享密碼風險。 掌握這三種模式，您就能擁有一個能彈性擴充的網路架構 - 從使用 Unleashed 的 50 間客房獨立飯店，到使用 SmartZone 的 5,000 個座位體育場，全都能由同一個 Purple 平台在上方提供統一的數據分析、符合 GDPR 規範的數據收集以及集中式存取管理。 如果您正計劃與 Purple 一同進行 Ruckus 部署，技術導入團隊可以引導您完成上線前檢查清單，並在正式上線前驗證您的設定。Purple 平台還提供關於入口網站載入時間、驗證成功率和工作階段數據的即時分析 - 讓您能在訪客發現問題之前先一步掌握狀況。 感謝您的收聽。我們下次見。