跳至主要內容
繁體中文

Ubiquiti UniFi 與 Purple WiFi:整合指南

本指南為將 Purple WiFi 智慧平台與 Ubiquiti UniFi 網路部署整合提供了權威的技術參考,涵蓋架構、逐步控制器設定,以及符合 GDPR 的資料擷取。專為需要在飯店、零售、活動和公共部門環境中部署安全、功能豐富的訪客 WiFi 體驗的 IT 經理、網路架構師和營運總監設計。透過正確設定 UniFi 網路控制器以利用 Purple 的外部強制門戶,組織可以將標準的成本中心轉變為有價值的訪客分析和行銷智慧來源。

📖 8 分鐘閱讀📝 1,793 字數🔧 2 範例4 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收聽 Purple 技術簡報。我是主持人,在接下來的十分鐘內,我們將提供一份將 Purple 的 WiFi 智慧平台與 Ubiquiti UniFi 網路整合的高階指南。這是為需要可付諸行動指導以部署世界級訪客 WiFi 解決方案的 IT 經理、網路架構師和營運總監所準備的。我們將涵蓋核心架構、逐步實作計畫,以及要避免的常見陷阱。 那麼,讓我們設定一下情境。您有一個 UniFi 網路 — 它功能強大、可擴展,但其原生的訪客入口網站功能很基本。您的組織需要的不僅僅是密碼;它需要智慧。您想要了解訪客行為,以符合 GDPR 的方式擷取資料用於行銷,並提供無縫的品牌化使用者體驗。這就是 Purple 整合所解決的問題。它將您的 UniFi 基礎設施從簡單的網際網路提供者轉變為豐富的商業智慧來源。 這項整合的核心在於 UniFi 的外部入口網站伺服器功能。當訪客連線時,UniFi 控制器本身不處理登入。相反地,它將使用者重新導向至 Purple 雲端平台,該平台接管整個驗證過程。在使用者透過社群帳戶、表單或代碼登入後,Purple 會向您的 UniFi 控制器發送一個安全的 API 呼叫,表示:「此使用者已驗證,請授予其存取權。」這是一個簡單、穩健且高效的架構。 現在進行技術深入探討。讓我們逐步介紹成功部署的五個關鍵步驟。我會保持簡潔。 步驟一:控制器可存取性。您的 UniFi 控制器必須能被 Purple 的雲端平台連線到。這表示您需要一個靜態的公用 IP 或主機名稱,並且必須在防火牆上設定連接埠轉送規則。軟體控制器使用 TCP 連接埠 8443,而像 UDM Pro 或 Cloud Key Gen2 這樣的硬體則使用連接埠 443。 步驟二:訪客 SSID。在您的 UniFi 網路應用程式中,您將建立一個新的無線網路。這裡的關鍵設定是安全性通訊協定必須是「開放」。這是不可妥協的。正是這種開放狀態才允許強制門戶重新導向發生。不用擔心 — 安全性是由入口網站和網路分段來處理,而不是透過預先共用金鑰。 步驟三:熱點入口網站。這是您告訴 UniFi 使用 Purple 的地方。您將啟用熱點入口網站,並將驗證類型設為外部入口網站伺服器。然後,您將輸入 Purple 提供的特定 IP 位址和存取網域。要避免的一個關鍵錯誤是啟用 HTTPS 重新導向。Purple 管理安全性,因此應停用此功能。 步驟四:Walled Garden。這是設定中最關鍵且經常被誤解的部分。Walled Garden 是您的預先驗證白名單。您必須新增所有 Purple 的網域,以及您想提供的任何社群登入提供者的網域,例如 facebook.com。如果此清單不完整,入口網站就無法為您的訪客載入。這是疑難排解時首先要檢查的地方。 步驟五:Purple 入口網站。最後,您登入您的 Purple 帳戶。在您的場地設定中,您將輸入 UniFi 控制器的公用位址,以及非常重要的,專用本機管理員帳戶的憑證 — 而不是您的 Ubiquiti 雲端帳戶。這就是讓 Purple 能夠進行那關鍵的 API 呼叫以授權訪客的原因。 遵循這五個步驟,您就擁有一個穩健的企業級訪客 WiFi 解決方案。 讓我們談談實作建議和陷阱。最佳實踐第一條:網路分段。您的訪客 SSID 必須在其自己的 VLAN 上,與您的公司網路完全隔離。這對於安全性和 PCI DSS 合規性是不可妥協的。第二,使用頻寬節流。UniFi 允許您設定每位使用者的速率限制。使用它們來確保每個人都能享有公平的體驗。第三,正如我所提到的,為 API 使用專用的本機管理員帳戶。這限制了您的安全曝露。 我們看到的最常見陷阱是重新導向失敗 — 入口網站無法載入。十次中有九次,這是不完整的 Walled Garden 造成的。第二個最常見的問題是登入成功,但沒有網際網路存取。這直接指向 Purple 與您的控制器之間的通訊失敗。檢查您的連接埠轉送規則和 Purple 入口網站中的管理員憑證。 現在是快速問答時間。我經常被問到:我可以用 UDM Pro 做到嗎?可以,絕對可以。流程相同,只要記得使用連接埠 443。如果我的控制器 IP 變更怎麼辦?您需要一個靜態 IP 或動態 DNS 主機名稱。如果位址變更,整合將會中斷。開放 SSID 有多安全?安全性是由存取點上的用戶端隔離和 VLAN 防火牆規則來強制執行。訪客網路是隔離的。為了更高的安全性,我們可以部署 WPA3-Enterprise 與 RADIUS,這就是我們的 PurpleConnex 解決方案所做的。 總結來說,將 Purple 與 UniFi 整合,能將您的訪客 WiFi 從簡單的工具提升為策略資產。它提供深入的商業智慧、強大的行銷能力,以及專業的使用者體驗。成功的關鍵在於有條不紊的設定方法:確保控制器能被公開存取、使用開放 SSID、正確設定外部入口網站和 Walled Garden,並為 API 使用專用的本機管理員。遵循本指南,您可以確保順利、成功且極具價值的部署。如需詳細的逐步書面說明和圖表,請參閱我們網站上的完整技術參考指南。感謝收聽 Purple 技術簡報。

header_image.png

執行摘要

Ubiquiti UniFi 是全球部署最廣泛的企業 WiFi 平台之一,因其效能、可擴展性和成本效益而受到飯店、零售連鎖店、體育場館和公共部門組織的信賴。然而,其原生的訪客入口網站功能有限。Purple 的 WiFi 智慧平台透過其外部入口網站伺服器功能直接與 UniFi 網路控制器整合,解決了這一差距,提供完全品牌化、分析豐富的強制門戶體驗,無需任何額外硬體。

本指南為此整合提供了完整的技術參考。涵蓋基礎架構、目前(v7.4+)和舊版(v7.3 及以下)UniFi 版本的逐步設定流程、安全性和合規性的最佳實踐,以及結構化的疑難排解框架。完成此整合的組織將能夠存取即時訪客分析、符合 GDPR 的資料擷取、CRM 整合,以及傳遞目標行銷通訊的能力 — 將訪客 WiFi 從成本中心轉變為可衡量的商業資產。

技術深入探討

Ubiquiti UniFi 與 Purple 的整合關鍵在於 UniFi 的外部入口網站伺服器功能。此功能會將訪客使用者從本機 UniFi 控制器重新導向至指定的第三方強制門戶 — 在此案例中即為 Purple 平台。底層機制依賴一系列 HTTP 重新導向和 API 呼叫,來管理訪客授權的生命週期。

當訪客連線到指定的開放驗證 SSID 時,UniFi 控制器會將其裝置置於「待處理」狀態。在此狀態下,所有 HTTP 流量都會被攔截並重新導向至 Purple 啟動頁面 URL,並在 URL 查詢字串中附加關鍵參數:訪客的 MAC 位址、AP MAC 位址和站點識別碼。Purple 平台會擷取這些參數,呈現適當的登入體驗,並在成功驗證使用者後 — 無論是透過社群登入、電子郵件表單或代碼 — 向 UniFi 網路控制器發送安全的 HTTPS API 呼叫,以授權訪客的 MAC 位址在指定的工作階段持續時間內。此授權會將裝置從「待處理」狀態移至「已授權」狀態,授予其網際網路存取權。

此架構的一個關鍵組成部分是 Walled Garden — 一份 IP 位址和網域的白名單,允許訪客裝置在驗證前存取。這對於允許存取 Purple 自己的網域、社群登入提供者(Facebook、Google)、Apple 的 CNA 偵測端點,以及任何其他所需的外部服務至關重要。若無正確設定的 Walled Garden,強制門戶將完全無法載入。

對於更進階的部署,Purple 的 PurpleConnex 功能引入了 Passpoint (IEEE 802.11u) 支援,使用 RADIUS 伺服器為回訪使用者提供無縫、無需憑證的重新連線。這需要在 UniFi 內設定一個指向 Purple 驗證伺服器的 RADIUS 設定檔,IP 為 34.150.158.147,連接埠 1812(驗證)和 1813(帳務)。

architecture_overview.png

實作指南

本節提供設定您的 UniFi 網路控制器以與 Purple 整合的逐步指南。下列說明適用於 UniFi 網路應用程式 7.4 版或更新版本。對於舊版(v7.3 及以下),設定原則相同,但導覽路徑略有不同,使用「設定檔 > 訪客熱點」而非「熱點管理員」。

integration_checklist.png

步驟 1:驗證並建立控制器可存取性。 開始任何設定之前,請確認您的 UniFi 網路控制器可從公共網際網路存取。Purple 的雲端平台必須能夠與您控制器的 API 通訊,以授權訪客工作階段。對於以軟體為基礎的 UniFi 控制器,這需要在您的防火牆上設定一個連接埠轉送規則,將 TCP 連接埠 8443 對應到控制器的內部 LAN IP 位址。對於以硬體為基礎的部署 — 包括 UniFi Dream Machine Pro (UDM Pro)、UDM Special Edition、UDR 和 CloudKey Gen2+ — 相關連接埠是 TCP 443

步驟 2:建立專用的本機管理員帳戶。 為了安全衛生,切勿將您的主要 Ubiquiti 超級管理員或雲端帳戶憑證用於 Purple API 整合。為此目的,在您的 UniFi 控制器上建立一個新的專用本機管理員帳戶。此帳戶應擁有相關站點的完整管理權限。使用專用帳戶可限制任何潛在憑證洩露的影響範圍,並確保整合不會因您主要帳戶的變更而中斷。

步驟 3:建立訪客 WiFi SSID。 在 UniFi 網路應用程式中,導覽至 設定 > WiFi,然後按一下 建立新的。指定一個公開名稱(例如「飯店訪客 WiFi」)。將 安全性通訊協定設為 開放 — 這是強制門戶重新導向機制運作的必要條件。將 SSID 指派給您指定的訪客 VLAN。啟用 熱點入口網站切換開關。

步驟 4:設定熱點入口網站和外部伺服器。 導覽至 熱點管理員 > 登陸頁面。在 驗證下,選取 外部入口網站伺服器,並輸入 Purple 提供的外部入口網站 IP 位址。在 設定下,進行如下設定:啟用 安全入口網站,啟用 使用主機名稱重新導向並輸入 Purple 提供的存取網域,並確保 HTTPS 重新導向設為 停用。工作階段 預設到期時間應設為 8 小時。

步驟 5:設定 Walled Garden。 在熱點管理員設定中,找到 預先授權存取區段。從 Purple 提供的清單中新增所有網域。此清單通常包括 Purple 自己的平台網域、社群登入提供者網域(facebook.com、google.com、accounts.google.com)、Apple 的 Captive Network Assistant (CNA) 偵測端點,以及在您的啟動頁面上使用的任何其他第三方服務。此步驟是部署失敗最常見的來源,必須精確完成。

步驟 6:在 Purple 入口網站中輸入控制器詳細資料。 登入您的 Purple 帳戶,並導覽至相關場地的設定。輸入您 UniFi 控制器的公用 IP 位址或主機名稱,以及步驟 2 中建立的專用本機管理員帳戶的憑證。儲存設定。Purple 將嘗試驗證連線。

步驟 7:測試與驗證。 使用一部先前未連線至網路的行動裝置,連線至新的訪客 SSID。您應該會自動重新導向至 Purple 強制門戶。使用其中一種已設定的方法進行驗證。成功後,您應該會獲得網際網路存取權。若重新導向失敗或驗證後未授予網際網路存取權,請參閱下方的疑難排解章節。

最佳實踐

網路分段是任何訪客 WiFi 部署的基本安全性要求。訪客 SSID 必須指派給一個專用的 VLAN,並與所有公司和管理網路進行防火牆隔離。這可防止訪客裝置存取內部資源,滿足 PCI DSS 網路隔離要求,並限制訪客網路上任何安全事件的影響。

在高密度環境中,頻寬管理同樣重要。應設定 UniFi 的每位使用者速率限制功能,為訪客使用者設定合理的上傳和下載上限。這可防止少數高頻寬使用者降低所有訪客的體驗,這在飯店和會議中心的部署中尤其重要。

Walled Garden 需要持續維護。社群登入提供者和其他第三方服務會定期更新其網域結構。每季檢查 Walled Garden 設定,並與 Purple 最新推薦的網域清單進行交叉比對,是一項良好的營運實務。未能維護此清單是部署後入口網站故障的主要原因。

對於 API 整合,始終使用專用的本機管理員帳戶,而非連結雲端的帳戶。這既是安全性最佳實踐,也是一項可靠性措施 — 雲端帳戶憑證會受到多重要素驗證流程的限制,這可能會中斷 Purple 用於授權訪客的自動化 API 呼叫。

疑難排解與風險緩解

最常見的故障模式是強制門戶無法載入。當訪客連線至 SSID 但未看到重新導向,或入口網站頁面無法呈現時,根本原因幾乎總是 Walled Garden 不完整。請開始疑難排解:連線一部測試裝置,並嘗試導覽至一個已知的 HTTP URL。若重新導向發生但頁面無法載入,請將缺少的網域新增至 Walled Garden。同時驗證訪客網路的 DNS 是否正確設定,以解析外部主機名稱。

第二常見的故障是訪客在 Purple 入口網站上成功驗證,但未獲得網際網路存取權。這表示 Purple 與 UniFi 控制器之間的 API 通訊失敗。診斷步驟為:首先,從外部網路嘗試連線至控制器,確認控制器可在正確的連接埠上公開存取;其次,驗證在 Purple 入口網站中輸入的本機管理員憑證是否正確,且帳戶未被鎖定;第三,檢查 UniFi 控制器的事件記錄中是否有任何 API 驗證錯誤。

對於生產環境部署,控制器可用性是一個關鍵風險因素。若 UniFi 控制器離線,新的訪客授權將失敗。緩解策略包括部署雲端託管的 UniFi 控制器(提供內建備援)、實作高可用性控制器配對,或設定監控和警示來追蹤控制器的可用性。Purple 的平台會將授權嘗試排入佇列並重試,但長時間的控制器停機將導致訪客體驗下降。

從合規性的角度來看,透過強制門戶收集的資料受到 GDPR 和同等資料保護法規的約束。Purple 的平台架構設計符合合規性,提供同意管理、資料主體存取請求 (DSAR) 工具,以及可設定的資料保留政策。然而,合法資料處理的法律責任仍在場地營運商身上。確保您的隱私權政策在啟動頁面上清楚地連結,您有記錄的資料收集法律依據,且您的資料保留設定與組織政策一致。

投資報酬率與商業影響

將 Purple 與 UniFi 整合不僅是技術升級;這是一項策略性商業決策,能將訪客 WiFi 從成本中心轉變為強大的資產。投資報酬率可在幾個關鍵維度上進行衡量。

商業智慧是主要的價值驅動力。Purple 會擷取豐富的匿名化訪客行為資料 — 包括客流、停留時間、造訪頻率和移動模式。對於零售連鎖店,這些資料可直接影響店面佈局決策、人員配置層級和促銷時機。對於飯店,則可揭示哪些設施最常使用以及使用的時間,從而實現更具針對性的向上銷售和營運效率。

行銷和互動能力代表了一項重要的次要效益。透過在取得同意的情況下擷取訪客聯絡詳細資料,組織可以建立第一方行銷資料庫,不受第三方 Cookie 淘汰的限制。造訪後的電子郵件活動、滿意度調查和忠誠計畫邀請可以直接從 Purple 平台自動化,推動重複造訪率和客戶終身價值的可衡量改善。

對於體育場館、會議中心和購物中心等大型場地,從即時客流分析和熱度圖中獲得的營運智慧可以帶來顯著的效率提升 — 根據實際的訪客移動資料而非假設,最佳化清潔排程、安全部署和零售攤位配置。

在某些情況下,訪客 WiFi 基礎設施本身可以透過分層存取模式、贊助啟動頁面或目標廣告來獲利,創造直接的收入流,抵銷基礎設施投資的成本。

關鍵定義

Captive Portal

一個網頁,在授予更廣泛的網際網路存取權之前,顯示給新連線的 WiFi 網路使用者。它控制存取、驗證使用者,和/或呈現服務條款和行銷內容。

在 UniFi/Purple 整合中,UniFi 控制器會將訪客重新導向至 Purple 託管的強制門戶,該門戶管理整個訪客體驗,包括驗證、同意擷取和品牌化。

External Portal Server

一個 UniFi 設定選項,將強制門戶體驗委派給第三方網頁應用程式,而不是使用 UniFi 的內建入口網站。UniFi 控制器會將訪客重新導向至指定的外部 URL,並依賴該系統處理驗證,並回呼控制器的 API 來授權訪客。

這是啟用 Purple 整合的核心 UniFi 設定。在 UniFi Network v7.4+ 中,它位於「熱點管理員 > 登陸頁面 > 驗證」之下。

Walled Garden

一份 IP 位址、主機名稱和網域的白名單,允許訪客裝置在被強制門戶驗證之前存取。在訪客完成驗證流程之前,對非白名單目的地的流量將被封鎖。

這對於允許裝置載入 Purple 啟動頁面本身,以及其依賴的任何第三方資源(例如社群登入提供者或付款閘道)至關重要。不完整的 Walled Garden 是強制門戶失敗的主要原因。

RADIUS (Remote Authentication Dial-In User Service)

一種網路通訊協定 (RFC 2865),為連線至網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。

雖然標準的 Purple 整合使用 UniFi API 進行訪客授權,但 PurpleConnex (Passpoint) 功能使用 RADIUS 為回訪使用者提供更安全且無縫的連線體驗,無需透過強制門戶重新驗證。

Passpoint (IEEE 802.11u / Hotspot 2.0)

一個 WiFi Alliance 認證計畫,可讓裝置自動、安全地驗證 WiFi 網路,無需使用者手動選取網路或輸入憑證。具有 Passpoint 設定檔的裝置會使用基於 EAP 的驗證自動安全連線。

Purple 的 PurpleConnex 功能利用 Passpoint 為回訪訪客提供無縫的重新連線體驗。一旦使用者透過強制門戶驗證一次,後續造訪即可自動連線,無需再次看到啟動頁面。

SSID (Service Set Identifier)

無線區域網路 (WLAN) 的公開名稱 — 使用者在其裝置上搜尋可用 WiFi 連線時顯示的網路名稱。

對於訪客網路整合,會建立一個專用的 SSID,設為開放安全性,並連結至強制門戶。這與使用 WPA2/WPA3-Enterprise 驗證的公司 SSID 分開。

VLAN (Virtual Local Area Network)

一種在同一實體網路基礎設施上建立邏輯分離網路的方法。不同 VLAN 上的裝置在沒有路由器的情況下無法相互通訊,從而提供網路分段和安全隔離。

安全性最佳實踐和 PCI DSS 合規性要求將訪客 SSID 放置在其自己的 VLAN 上,完全隔離於公司、管理和 POS 網路。這可防止訪客裝置存取內部資源。

WISPr (Wireless Internet Service Provider Roaming)

一種業界標準通訊協定,定義用戶端裝置如何探索和驗證至 WiFi 熱點強制門戶。它使用 HTTP 重新導向和基於 XML 的驗證訊息來管理入口網站互動。

UniFi 的外部入口網站功能基於 WISPr 原則。了解此通訊協定有助於網路工程師疑難排解重新導向失敗,並理解為何某些用戶端裝置(特別是 iOS 和 Android)在連線至強制門戶網路時會有不同的行為。

Port Forwarding

一種網路位址轉換 (NAT) 技術,將路由器或防火牆上的外部連接埠對應到特定的內部 IP 位址和連接埠,允許外部服務對私人網路上的裝置發起連線。

如果您的 UniFi 控制器託管在本地網路上,則必須設定連接埠轉送規則,以允許 Purple 雲端平台連線至控制器的 API。軟體控制器所需的連接埠是 8443,硬體控制器則是 443。

PurpleConnex

Purple 對 Passpoint (IEEE 802.11u) 標準的實作,透過專用的 RADIUS 伺服器,使用 EAP-TTLS 驗證為回訪使用者提供安全、無縫的 WiFi 連線。它消除了回訪訪客透過強制門戶重新驗證的需要。

PurpleConnex 需要在 UniFi 中進行額外的設定:一個指向 Purple 驗證伺服器的 RADIUS 設定檔,以及一個獨立的啟用 Passpoint 的 SSID。這在回訪訪客常見的飯店和零售環境中特別有價值。

範例

一家擁有 250 間客房的精品飯店希望將其基本且不可靠的訪客 WiFi 更換為優質的品牌化體驗。他們的目標是擷取訪客的電子郵件地址以進行住宿後行銷,在登入頁面上宣傳其水療中心和餐廳,並確保使用多部裝置的訪客能享有無縫連線。其基礎設施包括一部 UniFi Dream Machine Pro 和 40 部 UniFi U6 Pro 存取點。

建議的部署方式是透過外部入口網站伺服器方法將 UDM Pro 與 Purple 整合。建立一個新的 'Hotel Guest WiFi' SSID,設為開放安全性,並指派給專用的訪客 VLAN(例如 VLAN 20),該 VLAN 與飯店的管理和 POS 網路進行防火牆隔離。啟用熱點入口網站,並設定為使用 Purple 作為外部入口網站伺服器。由於 UDM Pro 使用連接埠 443,因此在 UDM Pro 的 WAN 介面上建立一個連接埠轉送規則,將 TCP 443 對應至 UDM Pro 的 LAN IP。在 UDM Pro 上建立一個專用的本機管理員帳戶 ('purple-api'),並具有完整的站點權限。在 Purple 入口網站中,設計一個自訂品牌的啟動頁面,包含飯店的標誌、一個帶有 GDPR 同意核取方塊的簡單電子郵件擷取表單,以及一個顯眼的橫幅廣告,宣傳水療中心並提供直接預訂連結。設定 Walled Garden,將所有 Purple 網域、Facebook、Google 和 Apple CNA 端點包含在內。飯店的行銷團隊可存取 Purple 分析儀表板,使他們能夠追蹤每日訪客數量、尖峰連線時間和電子郵件擷取率。在第一季內,飯店每週平均擷取 180 個新的電子郵件地址,這些地址會自動同步到他們的 CRM 中,用於住宿後活動自動化。

考官評語: 此解決方案正確處理了所有需求。選擇外部強制門戶而非 UniFi 內建入口網站,是實現所需品牌化、資料擷取和 CRM 整合層級的唯一可行方法。決定使用專用的本機管理員帳戶 ('purple-api') 而非主要的超級管理員,是一項關鍵的安全性最佳實踐 — 它限制了 API 存取的範圍,並確保整合不會因主要帳戶的變更而中斷。VLAN 分段保護了飯店的 POS 和管理系統免受訪客網路流量的影響,這是一項 PCI DSS 要求。對於習慣軟體控制器的工程師而言,UDM Pro 的連接埠 443 設定是一個常見的混淆點;在部署之前,必須清楚理解此區別。

一家在英國擁有 20 間門市的零售連鎖店,每間門市都配備由單一雲端託管 UniFi 控制器管理的 UniFi AP,希望使用訪客 WiFi 資料來了解客戶行為。營運總監需要衡量所有門市的客流、停留時間和重複訪客率,以制定店面佈局重新設計計畫,並評估店內促銷活動的成效。

雲端託管的 UniFi 控制器已具有公用主機名稱,因此無需連接埠轉送 — 這顯著簡化了部署。透過 UniFi 控制器的站點管理功能,設定單一的訪客 SSID ('Brand WiFi') 並套用至所有 20 個站點。設定熱點入口網站,使用 Purple 的外部入口網站伺服器。在 Purple 入口網站中,這 20 間門市中的每一間都設定為獨立的場地,以便進行細緻的門市層級分析。啟動頁面設計為能達到最大採用率:一個「連線」按鈕加上簡短的隱私權聲明,將摩擦降至最低。在 Purple 分析平台中,營運總監可以查看一個比較儀表板,顯示每間門市的客流、停留時間以及新訪客與回訪客的比例。在收集了 90 天的資料後,分析結果顯示有三間門市的停留時間明顯高於其他門市,這與特定的店面佈局相關。此洞察直接影響了佈局重新設計計畫,並將高效能的佈局推廣到所有 20 間門市。在所有門市同時進行一項促銷活動,Purple 儀表板提供了客流和停留時間的清晰前後對比,顯示出可衡量的活動提升效果。

考官評語: 此場景突顯了集中式、多場地 Purple 部署的強大功能。關鍵的架構決策是使用單一雲端託管的 UniFi 控制器,這消除了本地部署中存在的連接埠轉送複雜性,並為所有 20 個站點提供了單一管理點。低摩擦的「一鍵連線」啟動頁面設計,對於以最大化資料收集量為主要目標的零售環境而言是正確的選擇 — 複雜的登入表單會顯著降低採用率。將每間門市在 Purple 中區分為獨立的場地,對於產生可據以行動的門市層級洞察,而非模糊地點之間效能差異的彙總資料至關重要。

練習題

Q1. 一家飯店的 IT 經理已完成 UniFi/Purple 整合設定,並在辦公室成功測試。然而,部署到實際飯店環境後,訪客反映強制門戶頁面會載入,但「Facebook 登入」按鈕無作用。最可能的原因是什麼,以及應如何解決?

提示:考慮 Facebook 登入按鈕需要載入哪些資源才能運作,以及這些資源在驗證前是否可供訪客裝置存取。

查看標準答案

最可能的原因是 Facebook 登入網域未包含在 Walled Garden(預先授權存取清單)中。當訪客裝置處於「待處理」狀態時,它只能存取 Walled Garden 中明確列入白名單的網域。Facebook 登入流程需要存取 facebook.com、fbcdn.net 及相關網域。解決方案是在 UniFi 熱點管理員設定中,將所有必要的 Facebook 網域新增至 Walled Garden。Purple 為每個社群登入提供者提供了一份維護的必要網域清單。更新 Walled Garden 後,使用新的裝置連線再次測試 Facebook 登入流程。

Q2. 一位網路架構師正計劃為一個有 5,000 個座位的會議中心部署訪客 WiFi,該會議中心將舉辦多達 3,000 人同時使用 WiFi 的活動。場地使用架設在機房伺服器上的軟體式 UniFi 控制器。為了確保 Purple 整合在活動高峰期能維持可靠,最關鍵的三個基礎設施考量是什麼?

提示:思考整合架構中的單點故障 — 如果控制器離線、網際網路連線飽和,或控制器的硬體效能不足,會發生什麼事?

查看標準答案

最關鍵的三個考量是:第一,控制器的可用性與效能 — UniFi 控制器是每次訪客授權中的關鍵元件。在有 3,000 個同時使用者的情況下,控制器必須有足夠的 CPU 和 RAM 來處理負載。考慮升級到高規格伺服器,或遷移到雲端託管的控制器以獲得內建備援。第二,網際網路連線和連接埠轉送的可靠性 — Purple 對控制器的 API 呼叫必須穿過場地的網際網路連線。確保連接埠轉送規則是在具有復原能力的防火牆上,且網際網路連線有足夠的容量。對於關鍵任務活動,建議使用具有自動容錯移轉功能的第二條網際網路連線。第三,頻寬管理 — 對於 3,000 個使用者,在 UniFi 中實作嚴格的每位使用者速率限制,以防止頻寬耗盡。若沒有速率限制,少數高頻寬使用者可能會降低所有訪客的體驗。

Q3. 一家零售連鎖店的 IT 經理被法律團隊要求確保訪客 WiFi 資料收集完全符合 GDPR。目前的啟動頁面只有一個簡單的「連線」按鈕,沒有明確的同意機制。需要對 Purple 設定進行哪些變更?以及應實作哪些持續的營運流程?

提示:GDPR 要求處理個人資料要有合法基礎、透明度,說明資料將如何使用,以及讓資料主體行使權利的機制。

查看標準答案

需要下列變更和流程:在啟動頁面上,「連線」按鈕必須更換為明確的選擇加入機制。這表示要新增一個措辭清楚的同意核取方塊(預設為未勾選),說明正在收集哪些資料、將如何使用,以及將與誰分享。必須醒目地顯示完整隱私權政策的連結。處理的法律基礎應是行銷通訊的明確同意,以及匿名分析的合法利益。在 Purple 入口網站中,設定資料保留設定,以符合組織的資料保留政策 — 行銷資料通常不超過 24 個月。啟用 Purple 的 GDPR 工具,以處理資料主體存取請求 (DSAR) 和刪除權請求。在營運上,實作每季審查流程,以確保隱私權政策保持準確、同意措辭是最新的,且資料保留設定有被執行。為訪客 WiFi 資料收集維護一份處理活動記錄 (ROPA) 項目。

Q4. 一位網路工程師已按照所有文件步驟設定 UniFi/Purple 整合。在測試時,訪客裝置連線至 SSID 並重新導向至 Purple 入口網站。訪客成功驗證,但未獲得網際網路存取權。Purple 入口網站顯示驗證成功。診斷流程為何?

提示:如果 Purple 顯示驗證成功,但訪客沒有網際網路存取權,問題出在 Purple 與 UniFi 控制器之間的通訊路徑。

查看標準答案

此症狀表示 Purple 對 UniFi 控制器的 API 呼叫 — 即讓訪客裝置從「待處理」移至「已授權」的呼叫 — 失敗。診斷流程如下:首先,嘗試從外部網路或使用線上連接埠檢查工具連線至控制器的管理介面,以驗證 UniFi 控制器可在正確的連接埠(軟體為 8443,硬體為 443)上公開存取。第二,登入 Purple 入口網站,並驗證控制器 IP/主機名稱和本機管理員憑證是否正確。常見的錯誤是輸入控制器的內部 LAN IP 而非其公用 IP,或使用雲端帳戶憑證而非本機管理員憑證。第三,檢查 UniFi 控制器的事件記錄,查看是否有任何 API 驗證錯誤,或來自 Purple IP 位址的登入嘗試失敗。第四,驗證防火牆規則或連接埠轉送是否正確設定,以及 Purple 的來源 IP 位址沒有被任何上游安全設備封鎖。

繼續閱讀本系列

Grandstream GWN 基地台與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN 基地台與 Purple 的 Guest WiFi 及分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden(圍牆花園)設定、支援動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分割,為大規模部署訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體可行的逐步指引。

閱讀指南 →

MikroTik RouterOS Captive Portal 與 Purple WiFi 整合指南

本技術指南提供將 MikroTik RouterOS 與 Purple 的 WiFi 平台整合的逐步說明。內容涵蓋訪客 WiFi Captive Portal 設定、員工 WiFi 802.1X 驗證,以及使用 Private PSK 進行動態 VLAN 切割的多租戶 WiFi。

閱讀指南 →

Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 配置

本技術參考指南涵蓋了 Alta Labs AP6 和 AP6 Pro 基地台與 Purple 雲端託管 Captive Portal 的端到端整合。本指南詳細介紹了外部重新導向配置、RADIUS 驗證、Walled Garden 需求,以及使用 AltaPass 私有預先共用金鑰(PPSK)的多租戶區隔。場地營運商和 IT 團隊將獲得一份適用於餐旅、零售和智慧辦公環境的可重複部署指南。

閱讀指南 →