AP Allied Telesis TQ Series e guest WiFi: configurazione del captive portal con Purple

Siete un consulente senior di rete che parla al direttore IT di un cliente in un briefing privato. Parlate in inglese britannico con un tono fiducioso, autorevole e colloquiale. Ritmo misurato, dizione chiara. Nessuna parola di riempimento. Pause naturali occasionali per dare enfasi: Benvenuti a questo briefing tecnico sull'integrazione degli access point Allied Telesis Serie TQ con Purple WiFi. Vi guiderò attraverso l'intero scenario di implementazione, dal reindirizzamento del Captive Portal per gli ospiti fino all'isolamento PPSK multi-tenant. Al termine di questo incontro, avrete una roadmap di implementazione chiara. [medium pause] Iniziamo con il contesto. Allied Telesis produce la Serie TQ, compresi gli access point Wi-Fi 6 TQ5403 e TQ6702 GEN2. Si tratta di AP di classe enterprise che eseguono il firmware AlliedWare Plus, ampiamente distribuiti nei settori dell'ospitalità, del retail e pubblico. Purple è una piattaforma cloud overlay indipendente dall'hardware che opera in oltre 80.000 location e che ha gestito 440 milioni di accessi nel 2024. L'integrazione tra queste due piattaforme è pulita, basata su standard e pronta per la produzione. [medium pause] Ora, la prima cosa che la maggior parte dei team IT deve configurare è il reindirizzamento del Captive Portal per gli ospiti. L'AP Allied Telesis supporta tre modalità di Captive Portal: click-through, autenticazione RADIUS e reindirizzamento a pagina esterna. Per l'integrazione con Purple, utilizzerete la modalità Reindirizzamento a Pagina Esterna. Ecco come funziona in pratica. Accedete alla GUI del dispositivo AP, andate su Wireless, selezionate il VAP pertinente, andate su Impostazioni Avanzate, quindi sulla scheda Sicurezza. Impostate il Captive Portal su Reindirizzamento a Pagina Esterna. Nel campo URL della Pagina Esterna, inserite l'URL della splash page di Purple fornito nella vostra dashboard Purple. Questo è l'URL che i vostri ospiti raggiungeranno al primo collegamento. [short pause] Ora, l'AP intercetta il primo pacchetto HTTP o HTTPS di ogni nuovo client e reindirizza il traffico verso la vostra splash page di Purple. L'ospite si autentica tramite Purple e il server RADIUS di Purple invia un messaggio di Access-Accept all'AP. L'AP concede quindi l'accesso alla rete. [medium pause] Per la configurazione RADIUS, Purple fornisce un indirizzo IP del server RADIUS, un secret condiviso e la porta di autenticazione, che è UDP 1812. L'accounting viene eseguito su UDP 1813. Questi parametri vanno configurati sotto Servizi di Rete, quindi RADIUS nella GUI dell'AP. L'identificatore NAS deve essere impostato sull'IP di gestione dell'AP o su un hostname descrittivo. Il servizio RADIUS-as-a-Service di Purple gestisce il backend di autenticazione, eliminando la necessità di gestire una propria infrastruttura RADIUS. [short pause] Una cosa da fare correttamente è la Walled Garden. Prima che un ospite si autentichi, l'AP blocca tutto il traffico ad eccezione delle destinazioni in whitelist. È necessario aggiungere i domini della piattaforma Purple alla walled garden affinché la splash page venga caricata correttamente. Come minimo, inserisci in whitelist il dominio della splash page di Purple, tutti gli endpoint CDN utilizzati da Purple per i contenuti e tutti i provider di login social abilitati, come Google o Facebook. Questo si configura nello stesso pannello VAP Advanced Settings alla voce Walled Garden. [medium pause] Passiamo ora al WiFi per il personale utilizzando lo standard 802.1X. Qui è dove configuri WPA Enterprise su un VAP separato. Nella GUI dell'AP, seleziona WPA Enterprise dal menu a discesa Security, quindi punta il RADIUS Authentication Group verso il tuo server RADIUS esterno, che in questo caso è il servizio SecurePass di Purple o il tuo RADIUS supportato da Microsoft Entra ID o Okta. I dispositivi del personale si autenticano utilizzando EAP-PEAP con MSCHAPv2, oppure EAP-TLS con certificati per ambienti con livelli di sicurezza più elevati. L'AP funge da autenticatore 802.1X, inoltrando le credenziali al server RADIUS e applicando la risposta. [short pause] Per l'assegnazione dinamica della VLAN sulla rete del personale, abilita la funzione Dynamic VLAN nelle impostazioni di Advanced Security del VAP. Quando il server RADIUS restituisce un Access-Accept, include tre attributi standard: Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su IEEE 802 e Tunnel-Private-Group-Id impostato sull'ID della VLAN. L'AP legge questi attributi e inserisce automaticamente il dispositivo autenticato nella VLAN corretta. Questo è il meccanismo definito nella specifica RFC 3580 e funziona in modo coerente su tutto l'hardware Allied Telesis. [medium pause] Parliamo ora della funzionalità più interessante per le distribuzioni multi-tenant: Allied Telesis PPSK, ovvero Private Pre-Shared Key. Questa funzione viene talvolta chiamata iPSK su altre piattaforme. Il concetto è semplice. Hai un unico SSID, ma ogni tenant o gruppo di utenti riceve una passphrase univoca. Quando un dispositivo si connette, l'AP invia quella passphrase al server RADIUS come campo password in un Access-Request RADIUS. Il server RADIUS associa la passphrase a un record utente e restituisce un Access-Accept con un attributo Tunnel-Private-Group-Id che specifica la VLAN per quel tenant. [short pause] In questo modo, in un edificio a uso misto, il Tenant A nell'unità commerciale si connette con la propria passphrase e finisce sulla VLAN 100. Il ristorante al piano terra utilizza una passphrase diversa e finisce sulla VLAN 300. Il WiFi per gli ospiti dell'edificio utilizza una terza passphrase e finisce sulla VLAN 400 dove è attivo il Captive Portal di Purple. Tutto questo funziona su un unico SSID. Nessuna proliferazione di SSID. Pulito, scalabile e facile da gestire. [medium pause] Sul lato Purple, configuri i record utente PPSK nella dashboard Purple o tramite l'interfaccia RADIUS-as-a-Service. Ogni tenant riceve una passphrase univoca mappata su un ID VLAN. Il server RADIUS di Purple gestisce l'associazione e restituisce il corretto Tunnel-Private-Group-Id. Quando devi revocare l'accesso di un tenant, elimini o disabiliti il suo record PPSK in Purple. L'AP applica la modifica al tentativo di autenticazione successivo. [medium pause] Lascia che ti presenti due scenari reali in cui questo fa la differenza. Primo, un hotel per conferenze da 250 camere. L'hotel gestisce tre reti: WiFi per gli ospiti con splash page Purple e social login, WiFi per il personale su 802.1X collegato ad Active Directory tramite Microsoft Entra ID, e una rete per i delegati delle conferenze per gli eventi. Gli AP Allied Telesis TQ6702 GEN2 gestiscono tutte e tre le reti su VAP separati con VLAN separate. Purple gestisce la splash page per gli ospiti, raccoglie dati di prima parte per il CRM dell'hotel e fornisce analisi sui periodi di picco di utilizzo. Il team IT dell'hotel gestisce la rete del personale tramite SecurePass di Purple senza mantenere un server RADIUS separato in loco. [short pause] Secondo scenario: un parco commerciale con 12 tenant indipendenti. Il proprietario vuole offrire il WiFi come servizio a ciascun tenant senza consentire l'accesso al traffico reciproco. Distribuisce AP Allied Telesis in tutto il sito con un unico SSID. Ogni tenant riceve una PPSK univoca. Il server RADIUS di Purple mappa ogni PPSK su una VLAN dedicata. Il proprietario può attivare un nuovo tenant in meno di dieci minuti creando un nuovo record PPSK in Purple e consegnando la passphrase al tenant. Nessuna riconfigurazione dell'AP richiesta. [medium pause] Ora, alcuni errori da evitare. Il problema più comune che riscontriamo riguarda i walled garden configurati in modo errato. Se dimentichi di inserire in whitelist un endpoint CDN di Purple, la splash page si caricherà parzialmente o fallirà su determinati dispositivi. Esegui i test con un dispositivo nuovo che non ha DNS memorizzati nella cache prima di andare live. Secondo, la mancata corrispondenza del segreto condiviso RADIUS. Il segreto configurato sull'AP deve corrispondere esattamente al segreto nella configurazione del server RADIUS di Purple. Una differenza di un solo carattere causa errori di autenticazione silenziosi. Utilizza un gestore di password per generare e memorizzare il segreto. Terzo, la VLAN dinamica che non si abilita. Sugli AP Allied Telesis, la VLAN dinamica è disabilitata per impostazione predefinita anche quando WPA Enterprise è attiva. È necessario abilitarla esplicitamente nelle impostazioni di Sicurezza Avanzata del VAP. Vediamo che questo passaggio viene saltato regolarmente. Quarto, il conflitto tra autenticazione PPSK e MAC. Se hai l'autenticazione MAC abilitata sullo stesso VAP della PPSK, l'ordine di autenticazione è importante. Verifica la documentazione dell'AP per la tua versione del firmware per confermare quale metodo ha la precedenza. [medium pause] Domande rapide che ricevo dai team IT. Posso utilizzare il server RADIUS di Purple sia per il Captive Portal degli ospiti che per l'802.1X del personale sulla stessa implementazione? Sì. Il servizio RADIUS-as-a-Service di Purple supporta entrambi i flussi di autenticazione. Configuri gruppi o criteri RADIUS separati in Purple per ciascun caso d'uso. Gli AP Allied Telesis supportano il WPA3 con il Captive Portal? Il modello TQ6702 GEN2 con firmware 5.5.4-2.3 o successivo supporta la cifratura WPA3 CCMP. Tuttavia, il Captive Portal con reindirizzamento esterno di solito funziona su un SSID aperto o WPA2 Personal. Il personale che utilizza l'802.1X può usare il WPA3 Enterprise. Cosa succede se il server RADIUS di Purple non è raggiungibile? L'AP rifiuterà i nuovi tentativi di autenticazione. Le sessioni esistenti continueranno fino al loro timeout. È consigliabile configurare un server RADIUS secondario nel gruppo RADIUS dell'AP per garantire la ridondanza. La piattaforma di Purple mantiene un uptime del 99.999%, ma la difesa in profondità rappresenta una buona pratica. [medium pause] Per riassumere. Gli AP Allied Telesis della serie TQ si integrano con Purple attraverso tre meccanismi principali: reindirizzamento esterno al Captive Portal per il WiFi ospiti, WPA Enterprise con RADIUS per l'802.1X del personale e PPSK con VLAN dinamica per l'isolamento multi-tenant. Gli attributi RADIUS necessari sono Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 e Tunnel-Private-Group-Id che trasporta l'ID della VLAN. Purple fornisce il backend RADIUS-as-a-Service, la piattaforma per la splash page e il livello di analytics. [short pause] I prossimi passi: recupera le credenziali RADIUS di Purple dalla tua dashboard, configura il reindirizzamento alla pagina esterna sul tuo VAP ospiti, aggiungi le voci del walled garden, abilita la VLAN dinamica sul tuo VAP del personale ed esegui un test di autenticazione per ciascun segmento di rete prima del rilascio definitivo. Se stai distribuendo il PPSK per il multi-tenant, pianifica lo schema di numerazione delle VLAN prima di iniziare, poiché la modifica degli ID VLAN dopo l'attivazione dei tenant richiede coordinamento. [medium pause] Questo è il briefing. Per la guida passo passo completa alla configurazione, il diagramma architetturale Mermaid e la tabella degli attributi RADIUS, consulta la guida scritta. Grazie per il tuo tempo.