Visualizza trascrizione del podcast
Benvenuto al Technical Briefing di Purple. Oggi affronteremo un argomento che emerge costantemente nelle nostre conversazioni con IT manager e architetti di rete nei settori hospitality, retail e spazi multi-tenant: come integrare NETGEAR Insight e gli access point della serie WAX con Purple WiFi. Se gestisci un hotel, un parco commerciale, un centro congressi o un complesso a uso misto, questo briefing è direttamente rilevante per la tua prossima decisione di deployment.
Inquadriamo lo scenario. La serie WAX di NETGEAR - WAX610, WAX620 e WAX630 - comprende access point WiFi 6 gestiti tramite la piattaforma cloud Insight. Supportano fino a otto SSID separati per radio, la crittografia WPA3 e fino a sei gigabit di throughput sul modello WAX630. Sono alimentati tramite PoE, montabili a soffitto e gestiti da un'unica interfaccia centralizzata attraverso l'Insight Cloud Portal. Per un installatore IT o un amministratore di rete di PMI, si tratta di una piattaforma estremamente capace a un prezzo di gran lunga inferiore rispetto alla gamma Cisco Meraki o HPE Aruba.
Purple è un overlay cloud agnostico rispetto all'hardware. Ci posizioniamo al di sopra della tua infrastruttura esistente e aggiungiamo il livello di guest experience, il livello di data capture e il livello di analytics. Abbiamo elaborato 440 milioni di accessi nel 2024 in 80.000 sedi attive. L'integrazione con NETGEAR Insight è pulita, ben documentata e copre quattro casi d'uso distinti che analizzeremo oggi.
Ora entriamo nel dettaglio tecnico. I quattro casi d'uso sono: Guest WiFi con Captive Portal Purple, Secure Staff WiFi tramite 802.1X, segmentazione Multi-Tenant tramite la funzione PPSK di NETGEAR e assegnazione dinamica della VLAN via RADIUS per le reti basate sull'identità (Identity-Based Networks).
Caso d'uso uno: Guest WiFi con Captive Portal Purple. Questo è il punto di partenza più comune. Crei un SSID Guest dedicato in NETGEAR Insight e lo configuri come rete aperta. La configurazione chiave si trova nella sezione Captive Portal delle impostazioni dell'SSID. Selezioni Captive Portal Esterno e incolli l'URL della Splash Page fornito da Purple.
Successivamente, configuri il tipo di autenticazione. Per la maggior parte dei deployment Purple, selezionerai l'autenticazione RADIUS. Purple ti fornisce l'IP di un server RADIUS primario, la porta 1812 per l'autenticazione, la porta 1813 per l'accounting e un segreto condiviso. Incolla questi dati nella configurazione del Captive Portal Esterno di NETGEAR Insight. Imposti anche un NAS Identifier - una stringa che identifica questo specifico access point o questa specifica posizione per il server RADIUS. Usa un nome significativo, come il nome della tua sede e il codice della posizione.Il walled garden è la parte che mette più in difficoltà la maggior parte degli installatori. Prima che un ospite si autentichi, il suo dispositivo deve essere in grado di raggiungere la splash page di Purple, i server di autenticazione e gli eventuali provider di social login abilitati. NETGEAR Insight ha una sezione dedicata al Walled Garden nella configurazione dell'External Captive Portal in cui aggiungere questi URL. La documentazione di supporto di Purple fornisce l'elenco esatto dei domini da inserire nella whitelist. Se si sbaglia questo passaggio, gli ospiti vedranno una pagina vuota invece del portale personalizzato con il vostro brand.
Una volta configurato, il flusso funziona in questo modo: un ospite si connette all'SSID Hotel Guest. L'access point intercetta la sua prima richiesta HTTP e lo reindirizza alla splash page di Purple. L'ospite visualizza il vostro portale personalizzato, accetta i termini e, facoltativamente, fornisce il proprio indirizzo email o accede tramite social media. Il server RADIUS di Purple restituisce un messaggio di Access-Accept all'access point e all'ospite viene concesso l'accesso a Internet. Purple acquisisce i dati di consenso, registra la sessione e tali dati confluiscono nella dashboard di Purple analytics.
Secondo caso d'uso: WiFi sicuro per il personale che utilizza il protocollo 802.1X. In questo caso si abbandonano completamente le password condivise. Per le reti del personale, una chiave precondivisa rappresenta un rischio - quando un dipendente se ne va, è necessario cambiare la password per tutti. Lo standard 802.1X, definito nello standard IEEE 802.1X, fornisce a ogni utente una credenziale individuale. Quando un dipendente si dimette, è sufficiente disattivare il suo account nella directory per revocare istantaneamente il suo accesso.
In NETGEAR Insight, si configura un SSID aziendale separato con sicurezza WPA2 Enterprise. Questo indica all'access point di utilizzare l'autenticazione 802.1X anziché una chiave precondivisa. Successivamente, si configurano le impostazioni del server RADIUS a livello di sede di rete. Andare nelle impostazioni della sede di rete, selezionare RADIUS, abilitare l'autenticazione di accesso 802.1X e inserire l'IP del server RADIUS, la porta e il segreto condiviso. L'intervallo di riautenticazione predefinito è di 3.600 secondi - un'ora - che rappresenta un punto di partenza ragionevole per la maggior parte delle strutture.
Il metodo EAP più comune nelle distribuzioni per le PMI è PEAP-MSCHAPv2, che utilizza un certificato lato server per creare un tunnel crittografato all'interno del quale l'utente si autentica con il proprio nome utente e password di Active Directory. Il metodo EAP-TLS è più sicuro - utilizza certificati su entrambi i lati - ma richiede un'infrastruttura PKI e un MDM per distribuire i certificati sui dispositivi.
Un punto critico: imporre la validazione del certificato su ogni dispositivo client. Configurare i dispositivi Windows tramite Group Policy Objects e i dispositivi mobili tramite profili MDM per convalidare il certificato del server RADIUS. Se si salta questo passaggio, i dispositivi sono vulnerabili ad attacchi di tipo rogue access point, in cui un utente malintenzionato presenta un certificato falso e acquisisce le credenziali.Use case three: NETGEAR PPSK for multi-tenant venues. Private Pre-Shared Key solves a specific problem in retail parks, mixed-use developments, and co-working spaces. You have multiple tenants sharing the same physical WiFi infrastructure. You do not want to run separate SSIDs for each tenant - that creates radio frequency congestion and management complexity. But you also cannot give everyone the same password, because then Tenant A can see Tenant B's traffic.
PPSK solves this elegantly. You create a single SSID and you create multiple pre-shared keys in NETGEAR Insight under Wireless, Settings, Advanced, Multi PSK Settings. Each key is associated with a specific VLAN. Tenant A gets a unique 16-character password that maps to VLAN 30. Tenant B gets a different password that maps to VLAN 40. The venue management team gets a third password that maps to VLAN 20, which has access to management systems.
When Tenant A's devices connect using their password, the access point automatically places them on VLAN 30. They cannot see any traffic on VLAN 40 or VLAN 20. From a tenant's perspective, they just have a WiFi password. From your perspective as the network administrator, you have complete traffic isolation between tenants with zero additional hardware.
There are two important limitations to know. First, PPSK in NETGEAR Insight requires WPA2 Personal or WPA2 Personal Mixed encryption. It does not work on the 6 GHz band. Second, PPSK cannot be combined with captive portal on the same SSID. If you need both, you need two separate SSIDs - which is fine, because WAX series access points support up to eight.
Use case four: dynamic VLAN assignment via RADIUS. This is the most sophisticated configuration and the one that underpins Purple's Identity-Based Networks capability. Instead of statically assigning a VLAN to a password or an SSID, you let the RADIUS server decide which VLAN to assign based on who is authenticating.
The mechanism uses three standard RADIUS attributes: Tunnel-Type, which must be set to value 13 for VLAN; Tunnel-Medium-Type, which must be set to value 6 for IEEE 802; and Tunnel-Private-Group-ID, which carries the VLAN ID as a string. When a user authenticates successfully, the RADIUS server returns these three attributes in the Access-Accept message. The access point reads them and places the client on the specified VLAN.
In practice, this means you can have a single WPA2 Enterprise SSID where a hotel manager authenticates and lands on VLAN 20 with access to property management systems, a front desk agent authenticates and lands on VLAN 21 with access to the check-in system only, and a contractor authenticates and lands on VLAN 50 with internet-only access. All from the same SSID, all enforced automatically by the RADIUS server based on Active Directory group membership.
Ora, parliamo di consigli di implementazione e di potenziali insidie. La prima insidia è il walled garden. Ogni implementazione di Captive Portal esterno fallisce a causa del walled garden almeno una volta. Il sintomo è che gli ospiti si connettono all'SSID ma vedono un errore del browser invece della splash page. La soluzione è metodica: apri la documentazione di supporto di Purple, copia ogni dominio nell'elenco del walled garden e incollali nella sezione Walled Garden di NETGEAR Insight. Esegui il test con un dispositivo che non ha credenziali memorizzate nella cache.
La seconda insidia è la raggiungibilità RADIUS. L'access point NETGEAR deve raggiungere il tuo server RADIUS. RADIUS utilizza la porta UDP 1812 per l'autenticazione e la porta UDP 1813 per l'accounting. Apri queste porte dall'IP di gestione dell'access point all'IP del server RADIUS. Effettua un test con uno strumento di test RADIUS prima di andare online.
La terza insidia è il conflitto tra PPSK e Captive Portal. NETGEAR Insight non consente PPSK e Captive Portal sullo stesso SSID. Se hai bisogno di entrambi, crea due SSID. Nominali chiaramente - uno per gli utenti PPSK e uno per gli ospiti del Captive Portal.
La quarta insidia è la convalida del certificato sui client 802.1X. Ogni dispositivo Windows necessita di un Group Policy Object che specifichi l'Autorità di Certificazione attendibile e il nome del server RADIUS previsto. Ogni dispositivo mobile necessita di un profilo MDM con le stesse impostazioni. Senza questo, un utente potrebbe inconsapevolmente autenticarsi su un access point non autorizzato e cedere le proprie credenziali Active Directory.
Ora passiamo a una sessione di domande e risposte rapide. Domanda uno: posso usare Purple con NETGEAR Insight senza un server RADIUS? Sì, per le implementazioni di Captive Portal per ospiti, puoi utilizzare la modalità di autenticazione web di Purple invece di RADIUS. L'access point reindirizza alla splash page tramite HTTP e Purple gestisce l'autenticazione tramite una sessione web. RADIUS offre un maggiore controllo e migliori dati di accounting, ma non è obbligatorio per le implementazioni di base del portale ospiti.
Domanda due: quanti codici PPSK posso creare in NETGEAR Insight? NETGEAR Insight supporta fino a 64 codici PPSK per SSID sugli access point della serie WAX. Per la maggior parte delle sedi multi-tenant, questo è più che sufficiente. Se hai più di 64 tenant, devi invece passare a una soluzione VLAN dinamica basata su RADIUS.
Domanda tre: NETGEAR Insight supporta WPA3 Enterprise per 802.1X? Sì, gli access point della serie WAX supportano WPA3 Enterprise. Per la maggior parte delle implementazioni SMB, WPA2 Enterprise è sufficiente e offre una compatibilità più ampia con i dispositivi client. Vale la pena considerare WPA3 Enterprise per gli ambienti che gestiscono dati sensibili, come il settore sanitario o i servizi finanziari.
Quarta domanda: cosa succede se il server Purple RADIUS non è raggiungibile? NETGEAR Insight supporta un'opzione di failsafe nella configurazione dell'External Captive Portal. Se abiliti il failsafe, agli ospiti viene concesso l'accesso a Internet per un breve periodo anche se i server del captive portal non sono raggiungibili. Purple mantiene un uptime del 99,999% su tutta la nostra infrastruttura, ma l'abilitazione del failsafe è una buona pratica per qualsiasi implementazione di produzione.
Per riassumere i punti chiave del briefing di oggi: gli access point della serie NETGEAR WAX si integrano con Purple tramite il meccanismo dell'External Captive Portal in NETGEAR Insight. Configura l'URL della splash page, le credenziali del server RADIUS e i domini walled garden nell'Insight Cloud Portal. Per le reti del personale, utilizza WPA2 Enterprise con 802.1X e applica la convalida del certificato su ogni dispositivo client. Per le sedi multi-tenant, la funzionalità PPSK di NETGEAR offre l'isolamento VLAN per tenant da un singolo SSID con un massimo di 64 chiavi univoche. Per le distribuzioni più sofisticate, l'assegnazione dinamica della VLAN tramite attributi RADIUS offre una segmentazione della rete basata sull'identità che si adatta a chi si connette, non solo da dove si connette.
Se stai pianificando un'implementazione NETGEAR con Purple, il passaggio successivo consiste nel richiedere le credenziali Purple RADIUS e l'elenco dei domini walled garden al team di supporto di Purple, e testare il reindirizzamento del captive portal su un SSID di staging prima di passare alla produzione. La configurazione richiede meno di 30 minuti una volta ottenute le credenziali.
Grazie per aver ascoltato il Technical Briefing di Purple. Per la guida scritta completa, inclusi i dettagli di configurazione passo-passo e gli esempi pratici, visita purple.ai.
