Zyxel Nebula Cloud 與 USG 與 Purple WiFi 的整合

執行摘要

Zyxel Nebula Cloud 與 USG Flex 防火牆已部署於數千個企業場域，從連鎖飯店到零售物業。當您將此硬體與 Purple 整合時，即可加入符合法規且具備數據收集功能的訪客驗證層，將標準無線網路轉化為第一方數據資產。本指南涵蓋四種部署情境：透過外部網頁導向的訪客 Captive Portal 重新導向、基於 RADIUS 的驗證與計費、使用 IEEE 802.1X 的安全員工 WiFi，以及使用 Zyxel 動態個人預共用金鑰 (DPPSK) 的多租戶網路分割。Purple 在全球 80,000 多個實體場域運作，並在 2024 年處理了 4.4 億次登入（Purple 內部數據）。它擁有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 等認證。此處描述的整合架構在平台層級上與硬體無關，但本指南中特定的設定路徑與參數適用於執行最新韌體的 Zyxel Nebula 控制中心 (NCC) 與 USG Flex 防火牆。

如需深入瞭解企業 WiFi 安全架構，請參閱我們的 Enterprise WiFi Security: A Complete Guide for 2026 。

技術深度解析

整合架構

Zyxel 與 Purple 的整合依賴三個依序運作的標準協定：HTTP 重新導向（Captive Portal 偵測）、RADIUS 驗證 (UDP 1812) 以及 RADIUS 計費 (UDP 1813)。當訪客裝置連線至訪客 WiFi SSID 時，Zyxel 無線基地台會攔截第一個 HTTP 請求，並發出 HTTP 302 重新導向至 Purple 外部 Captive Portal URL。訪客在 Purple 登入網頁上進行驗證（透過電子郵件、社群登入或簡訊），接著 Purple 會向 Zyxel 控制器傳回 RADIUS Access-Accept 訊息。控制器隨即授予網際網路存取權限，並開始傳送 RADIUS Accounting Start 封包以記錄工作階段數據。

Zyxel USG Flex 防火牆介於無線區段與 WAN 之間。它執行基於區域的安全原則，將訪客、員工和多租戶 VLAN 彼此隔離，並與企業 LAN 隔離。Nebula 控制中心透過連接埠 443 上的 HTTPS 連線至 Nebula 雲端，集中管理無線基地台與 SSID 設定。

RADIUS 參數

下表彙整了您需要從 Purple 管理主控台取得的 RADIUS 設定參數。

請務必同時設定主要與次要 RADIUS 伺服器。單一 RADIUS 端點屬於單一故障點，一旦伺服器無法連線，將會導致訪客無法登入。

Walled Garden 設定

Walled Garden（亦稱為白名單）定義了裝置在完成驗證前可以存取的網域和 IP 範圍。在 Zyxel Nebula 中，您可以在 Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting 下進行此設定。

您必須包含以下類別的項目：

• Purple portal 網域及其所有子網域（使用萬用字元格式：*.purple.ai）
• 提供 portal 的 CSS、JavaScript 和圖片資源的 CDN 網域
• 若您啟用了 Facebook、Google 或 Microsoft 登入，則需包含社群登入提供商的網域
• Apple Captive Portal 偵測：captive.apple.com
• Google 連線檢查：connectivitycheck.gstatic.com
• Microsoft NCSI：www.msftconnecttest.com

遺漏上述任何項目都將導致 Splash Page 在特定裝置類型上無法正常轉譯。特別是 iOS 裝置，若未正確處理 Apple CNA 端點，將會顯示空白的微型瀏覽器。

使用 IEEE 802.1X 的安全員工 WiFi

針對員工網路，您不應使用共用的 PSK。IEEE 802.1X（定義於 IEEE 802.1X-2020 標準中）透過為每位使用者提供獨立憑證，來提供基於連接埠的網路存取控制。在 Nebula 中，您可以透過將 SSID 安全性設定為 WPA2-Enterprise，並將驗證指向 Nebula Cloud Authentication Server (NCAS) 或透過 RADIUS 代理指向外部 RADIUS 伺服器（例如 Microsoft Entra ID 或 Okta）來進行此設定。

針對 WPA3-Enterprise 部署，設定路徑完全相同，但您需在安全性選項中選擇 WPA3。WPA3 強制要求受保護的管理畫面 (PMF)，並使用對等同時驗證 (SAE) 以提高對離線字典攻擊的防禦能力。

適用於多租戶場域的 PPSK 與動態 VLAN 分配

Zyxel DPPSK (Dynamic Personal Pre-Shared Key) 允許單一 SSID 為多個隔離的網路區段提供服務。每位使用者或裝置都會收到一個專屬的密碼。當他們進行驗證時，Nebula 控制器會將該密碼對應到 DPPSK 資料庫中定義的 VLAN ID。對於需要租戶隔離而又不想廣播數十個 SSID 的共同工作空間、學生宿舍、建案出租 (BTR) 開發項目以及多住戶單元 (MDU) 而言，這是最正確的做法。 DPPSK requires the Nebula Pro Pack licence and access point firmware version 6.00 or later. You configure the DPPSK database under Configure > Cloud authentication > DPPSK in Nebula Control Center. Each entry includes the passphrase, an optional expiry date, an email address for delivery, and the target VLAN ID.

The maximum number of simultaneously authorised DPPSK entries is 2,048. For deployments with more than 2,048 concurrent users, you will need to manage expiry dates carefully to ensure active credentials remain within this limit.

實作指南

步驟 1：準備網路基礎架構

在操作 Nebula Control Center 之前，請先在 USG Flex 防火牆和下游交換器上設定您的 VLAN。

1. 建立一個 Guest VLAN（例如：VLAN 10）並配置專用子網路（例如：192.168.10.0/24）。在此介面上設定 DHCP 伺服器。
2. 建立一個 Staff VLAN（例如：VLAN 20）並配置專用子網路（例如：192.168.20.0/24）。
3. 針對多租戶部署，請為每個租戶建立額外的 VLAN（例如：VLAN 30、40、50）。
4. 在 USG Flex 上，建立一個對應到 VLAN 10 的 Guest Zone。建立一條安全策略，允許流量從 Guest Zone 流向 WAN 區域。建立一條全部拒絕（deny-all）的策略，阻擋從 Guest Zone 流向 LAN 區域的流量。
5. 確保連接 Zyxel AP 的交換器連接埠已設定為承載所有所需 VLAN 標記的 802.1Q trunk。

步驟 2：在 Nebula Control Center 中設定訪客 SSID

1. 登入 Nebula Control Center：ncc.nebula.zyxel.com。
2. 導覽至 Site-wide > Configure > Access points > SSID settings。
3. 啟用訪客 SSID 並切換至 Advanced mode。
4. 啟用 Guest network 以啟用 Layer 2 用戶端隔離。這可防止訪客裝置在同一個 SSID 上直接互相通訊。
5. 儲存。

步驟 3：設定外部 Captive Portal

1. 導覽至 Site-wide > Configure > Access points > SSID advanced settings。
2. 從下拉式選單中選擇您的訪客 SSID。
3. 在 Sign-in method 下，針對初始重新導向選擇 Click-to-continue，或者如果您使用的是 Purple 的 RADIUS 基礎 MAC 驗證，請選擇 My RADIUS server。
4. 導覽至 Site-wide > Configure > Access points > Captive portal customisation。
5. 在 External captive portal URL 下，輸入來自 Purple 管理主控台的 Purple 重新導向 URL。格式為 https://[your-purple-domain]/[venue-id]。
6. 在 Captive portal advance setting 下，輸入所有必要的 Walled Garden 網域。
7. 將 Strict policy 設定為 Block all access until sign-on，以防止訪客繞過 Captive Portal。
8. 設定 Reauth time 以符合您場所的階段作業策略（通常餐旅業為 24 小時，零售業會員計劃為 30 天）。
9. 儲存。

步驟 4：在 Nebula 中設定 RADIUS

1. 在 SSID advanced settings 的 Network access 下，選擇 My RADIUS server。
2. 輸入來自 Purple 管理主控台的 Primary RADIUS server IP。
3. 將 Authentication port（驗證連接埠）設定為 1812。
4. 輸入 Shared secret（共用金鑰）。
5. 針對次要 RADIUS 伺服器重複上述步驟。
6. 啟用 RADIUS accounting（RADIUS 計費）並將計費連接埠設定為 1813。
7. 儲存。

步驟 5：設定 DPPSK 以進行多租戶區隔

1. 導覽至 Configure > Access points > SSID advanced settings。
2. 選擇多租戶 SSID，並將 Network access 設定為 Dynamic personal PSK。
3. 導覽至 Configure > Cloud authentication > DPPSK。
4. 按一下 Add 並選擇 Batch create DPPSK。
5. 設定憑證數量、到期日以及每個租戶群組的目的地 VLAN ID。
6. 輸入接收批次憑證的電子郵件地址。
7. 儲存並將憑證發送給租戶。

步驟 6：驗證部署

1. 將測試裝置連線至 Guest WiFi SSID。
2. 確認裝置已重新導向至 Purple 的 splash page。
3. 完成驗證並確認已成功連線至網際網路。
4. 在 Purple 管理主控台中，確認該工作階段已顯示在分析儀表板中。
5. 在 Nebula 中，導覽至 Access point > Monitor > Clients，以確認用戶端已關聯並分配到正確的 VLAN。
6. 使用租戶憑證進行連線，以測試 DPPSK 並確認 VLAN 分配正確。

最佳實踐

區隔每種流量類型。 訪客、員工和 IoT 流量必須各自佔用專屬的 VLAN。如果您的場域在相同的實體基礎架構上處理刷卡交易，這將是強制性的要求 — PCI DSS v4.0 要求持卡人資料環境與訪客網路之間必須進行網路區隔。

使用 RADIUS 備援。 在 Nebula 中設定主要和次要的 Purple RADIUS IP。單一 RADIUS 伺服器故障將會阻止所有訪客進行驗證，直到問題解決為止。

定期稽核 Walled Garden（圍牆花園）。 Portal 廠商會更新其 CDN 設定。部署時可正常運作的網域，在六個月後若廠商將資產遷移至新的 CDN，可能會發生故障。請安排每季審查您的 Walled Garden 項目。

啟用 RADIUS accounting。 若未啟用計費功能，Purple 將無法追蹤工作階段持續時間、數據使用量，或執行基於時間的存取限制。計費數據同時也會提供給 WiFi Analytics 分析儀表板。

在硬體支援的情況下套用 WPA3。 2021 年起推出的 Zyxel 基地台均支援 WPA3。針對員工 WiFi，採用 192 位元安全模式的 WPA3-Enterprise 符合 NIST SP 800-187 對企業無線安全的建議。

在正式上線前測試 CNA 行為。 在 iOS 上，Captive Network Assistant (CNA) 迷你瀏覽器的功能與完整瀏覽器相比有所限制。在部署給訪客之前，請先在 CNA 環境中測試您的 Purple splash page — 特別是社群登入流程和自訂 JavaScript。針對 旅宿業 部署，另請參閱我們關於區隔訪客與後勤網路的指南。對於 零售業 環境，相同的 PPSK 方法也適用於將 POS 系統與顧客 WiFi 進行隔離。

疑難排解與風險緩釋

登入頁面（Splash page）無法載入

症狀：訪客連線至 SSID，但在 CNA 中看到空白頁面或瀏覽器錯誤。

原因：登入頁面所需的一或多個網域未加入 Walled Garden（圍牆花園）。

解決方案：將測試裝置連線至訪客 SSID。開啟瀏覽器（非 CNA）並導覽至任何 HTTP URL。重新導向至 Portal 頁面時，開啟瀏覽器的開發者工具並檢查「網路（Network）」分頁。找出任何傳回 403 或連線遭拒錯誤的請求。將這些網域新增至 Nebula Walled Garden 中。

訪客已通過驗證但無法存取網際網路

症狀：訪客填寫完 Portal 表單並看到成功頁面，但無法瀏覽網際網路。

原因：Zyxel 控制器未收到來自 Purple 的 RADIUS Access-Accept，或 USG Flex 防火牆封鎖了 RADIUS 回應。

解決方案：驗證是否已允許從 Zyxel AP 管理 IP 到 Purple RADIUS 伺服器 IP 的輸出 UDP 連接埠 1812 與 1813。檢查 USG Flex 安全性原則記錄中是否有遭封鎖的流量。

Purple 儀表板缺少 RADIUS 計費（Accounting）資料

症狀：工作階段顯示在 Nebula 中，但 Purple 分析儀表板未顯示任何工作階段持續時間資料。

原因：Nebula SSID 設定中未啟用 RADIUS Accounting，或 UDP 連接埠 1813 遭封鎖。

解決方案：確認 SSID 進階設定中已啟用 RADIUS 計費。驗證計費連接埠是否設定為 1813，且共用金鑰與 Purple 設定相符。

DPPSK 使用者被分配到錯誤的 VLAN

症狀：租戶使用其 PPSK 進行連線，但被分配到錯誤的網路區段。

原因：DPPSK 資料庫項目中的 VLAN ID 與交換器 Trunk 或 USG Flex 介面上設定的 VLAN 不符。

解決方案：交叉比對 Nebula DPPSK 資料庫中的 VLAN ID 與上游交換器及 USG Flex 上的 VLAN 設定。確保 AP 交換器連接埠為承載所有租戶 VLAN 的 Trunk 連接埠。

投資報酬率（ROI）與業務影響

將 Zyxel 基礎架構與 Purple 整合，可將原本屬於成本中心的無線網路轉化為能創造營收的數據資產。對於擁有 200 間客房的飯店，在登入 WiFi 時收集訪客的電子郵件地址與行銷同意書，可建立起推動直接訂房行銷活動的 CRM 資料庫，進而降低對 OTA 佣金的依賴。對於零售連鎖店，Purple 的 Guest WiFi 平台提供人流量分析、停留時間數據以及重複造訪率，為排班與商品陳列決策提供有力支援。 對於多租戶營運商（如 BTR 開發項目、學生宿舍、共享工作空間）而言，將 Zyxel DPPSK 與 Purple 結合部署，可消除為每個租戶管理獨立 SSID 和憑證的營運開銷。單一 SSID 搭配動態 VLAN 分配，能減少射頻干擾、簡化上網引導流程，並在無需額外基礎設施的情況下擴展至數百名住戶。

Purple 達 99.999% 的運作時間 SLA 可確保驗證層不會成為訪客存取的瓶頸。透過該平台收集的 290 億個數據點（Purple 內部數據），經由 Purple 管理主控台提供的分析，能為場域營運商提供具體可行的情報，證明在部署的第一個季度內即可回收整合投資。

對於將訪客 WiFi 視為受監管服務的 醫療保健 和 交通運輸 環境，Purple 的 Captive Portal 中內建符合 GDPR 規範的數據擷取與同意管理功能，消除了與未受管理開放網路相關的合規風險。

另請參閱： Arista Cognitive Wi-Fi 與 Purple WiFi 整合 ，以瞭解在不同硬體平台上類似的整合模式。