Vai al contenuto principale
Italiano

Arista Cognitive Wi-Fi Integration with Purple WiFi

Questa guida tecnica di riferimento descrive dettagliatamente l'integrazione passo-passo di Arista Cognitive Wi-Fi (CV-CUE) con la piattaforma guest WiFi di Purple per le sedi aziendali. Copre la configurazione del captive portal di Arista, la progettazione delle ACL del Walled Garden, la configurazione del server RADIUS, l'autenticazione sicura del personale tramite 802.1X e l'isolamento Multi-Tenant utilizzando Arista PPSK con steering dinamico della VLAN, offrendo ai team IT e agli architetti di rete un modello di implementazione definitivo.

📖 10 minuti di lettura📝 2,486 parole🔧 3 esempi pratici3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti al briefing. Oggi analizzeremo l'integrazione di Arista Cognitive Wi-Fi con la piattaforma Purple. Questo è un briefing per consulenti senior, rivolto specificamente ad architetti di rete aziendali e amministratori di sistemi cloud che hanno la necessità di implementare questa soluzione correttamente, fin da subito. Inquadriamo la situazione. Arista Cognitive Wi-Fi, gestito tramite la piattaforma CloudVision Cognitive Unified Edge, è un'infrastruttura wireless gestita in cloud che supporta l'implementazione di reti per ospiti e personale di livello enterprise. Purple è un overlay cloud indipendente dall'hardware che fornisce il Captive Portal, l'acquisizione dell'identità, l'autenticazione RADIUS e il livello di analytics. Combinando i due elementi, si ottiene un'architettura WiFi per ospiti completa, conforme e di alto valore commerciale. Entriamo nei dettagli tecnici. Il primo aspetto da comprendere è il flusso di onboarding del Captive Portal. Quando un dispositivo ospite si associa all'SSID ospite aperto su un access point Arista, l'AP inserisce immediatamente il dispositivo in una VLAN di pre-autenticazione. In questo stato, il dispositivo ha un indirizzo IP assegnato tramite DHCP, ma il suo traffico DNS e HTTP è fortemente limitato. Il sistema operativo del dispositivo, che sia iOS, Android o Windows, esegue un test di rilevamento del Captive Portal. iOS invia una richiesta HTTP a captive.apple.com. Android interroga connectivitycheck.gstatic.com. L'AP Arista intercetta questa richiesta e restituisce un redirect 302, indirizzando il dispositivo all'URL della splash page di Purple. Ora, questo è il punto in cui la maggior parte delle implementazioni fallisce. Affinché il redirect funzioni e la splash page venga effettivamente visualizzata, è necessario configurare correttamente il Walled Garden in Arista CV-CUE. Il Walled Garden è una whitelist esplicita. Nello stato di pre-autenticazione, tutto il traffico viene bloccato per impostazione predefinita. È necessario inserire nella whitelist ogni singolo dominio richiesto per caricare il portale. Come minimo, questo significa i domini core di Purple: region1.purpleportal.net, venuewifi.com e cloudfront.net. Se si offre il social login tramite Google Workspace, è necessario aggiungere accounts.google.com e i relativi intervalli CDN. Per Facebook, sono necessari facebook.com, fbcdn.net e akamaihd.net. Se si tralascia anche uno solo di questi, l'ospite visualizzerà una schermata vuota o un pulsante di accesso che continua a caricare. L'utente rinuncerà e voi perderete l'opportunità di acquisire i dati. Lasciate che vi guidi attraverso la configurazione RADIUS in CV-CUE. Passate a Configure, poi Network Profiles, quindi RADIUS. Fate clic su Add RADIUS Server. Inserite l'indirizzo IP del server RADIUS primario di Purple, impostate la porta di autenticazione (Authentication Port) su 1812, la porta di accounting (Accounting Port) su 1813 e inserite la chiave segreta condivisa (shared secret) fornita da Purple. Ripetete questa operazione per il server secondario. Questa ridondanza è fondamentale. Se il server primario non è raggiungibile, il secondario subentra senza interrompere l'accesso degli ospiti. Una volta salvati i profili RADIUS, vai su Configura, poi WiFi, poi SSID e clicca su Aggiungi nuovo SSID. Dai un nome al tuo SSID, imposta il tipo su Guest e, nella scheda Sicurezza, imposta il livello di sicurezza su Open. Questa è la configurazione corretta per un'installazione con Captive Portal. Nella scheda Captive Portal, abilita la casella di controllo Captive Portal, seleziona Third-Party Hosted dal menu a discesa Cloud Hosted e spunta la casella With RADIUS Authentication. Incolla l'URL della Splash Page di Purple nel campo Splash Page URL. Questo è in genere nel formato https://region1.purpleportal.net/access/. Inserisci il segreto condiviso. Successivamente, nella sezione dei siti web a cui gli utenti possono accedere prima del login, aggiungi i domini della tua Walled Garden. Imposta il formato del Called Station ID su percent-m, che invia l'indirizzo MAC nel formato previsto da Purple. Imposta l'intervallo di Accounting su 2 minuti. Deseleziona la casella di controllo HTTPS Redirection. Salva l'SSID. Verrà propagato ai tuoi AP Arista in pochi minuti. Parliamo ora di cosa succede dopo che l'ospite ha inserito i propri dati sul portale Purple. Purple funge da server RADIUS. Valida l'identità, acquisisce il consenso e invia un messaggio RADIUS Access-Accept all'AP Arista. Ma ecco l'elemento cruciale: quel messaggio Access-Accept contiene attributi di Change of Authorization, definiti nella RFC 3576. Questi attributi indicano all'AP Arista di far passare dinamicamente quel client specifico dallo stato limitato di pre-autenticazione alla VLAN post-autenticazione con accesso completo a Internet. Contemporaneamente, l'AP invia un messaggio di RADIUS Accounting-Start a Purple sulla porta 1813. Questo avvia il timer di sessione e trasmette i dati sulla durata della sessione alla dashboard di analisi di Purple. Passiamo ora al caso d'uso più avanzato: il WiFi multi-tenant che utilizza le Private Pre-Shared Key di Arista, o PPSK. Questa è l'architettura ideale per spazi di coworking, centri commerciali, edifici residenziali o qualsiasi ambiente in cui sono presenti più gruppi di utenti distinti che richiedono un isolamento di rete rigoroso. Il problema con gli approcci tradizionali è che la trasmissione di un SSID separato per ciascun tenant crea un enorme sovraccarico di radiofrequenza (RF). Ogni SSID richiede frame di beacon. In un ambiente densamente popolato con 20 tenant, si avrebbero 20 SSID che consumano tempo di trasmissione. PPSK risolve questo problema in modo elegante. Viene trasmesso un unico SSID. Ma nel portale Purple, a ogni tenant viene assegnata una passphrase univoca. Quando un utente si connette, l'AP Arista autentica quella passphrase con il server RADIUS di Purple. Purple verifica la passphrase, identifica il tenant associato e restituisce un messaggio Access-Accept. Tuttavia, in modo cruciale, aggiunge tre attributi RADIUS: Tunnel-Type, impostato su VLAN; Tunnel-Medium-Type, impostato su 802; e Tunnel-Private-Group-ID, impostato sull'ID VLAN specifico del tenant. L'AP Arista legge questi attributi e indirizza dinamicamente il client alla VLAN corretta. Il Tenant A, utilizzando la propria passphrase, atterra sulla VLAN 100. Il Tenant B atterra sulla VLAN 200. Sono completamente isolati a livello Layer 2. Non possono vedere i dispositivi, le stampanti o i server degli altri.Questo è il Networking basato sull'identità (Identity-Based Networking) nella pratica. L'identità della passphrase determina il segmento di rete. La gestione è centralizzata tramite Purple, quindi quando un utente abbandona la struttura, è sufficiente revocare la sua passphrase nel portale Purple per interrompere immediatamente l'accesso. Non è richiesta alcuna modifica sull'infrastruttura Arista. Passiamo ora al Secure Staff WiFi utilizzando IEEE 802.1X. Per il SSID del personale non si dovrebbe utilizzare una passphrase condivisa. Si dovrebbe invece utilizzare lo standard 802.1X con EAP (Extensible Authentication Protocol). In CV-CUE, crea un nuovo Corporate SSID. Nella scheda Security, seleziona WPA2-Enterprise o WPA3-Enterprise. Seleziona il tuo profilo RADIUS, che deve puntare al tuo identity provider aziendale, come ad esempio Microsoft Entra ID o Okta. Quando un membro del personale si connette, il suo dispositivo presenta le credenziali all'AP Arista, che le inoltra al server RADIUS tramite EAP. L'identity provider convalida le credenziali e restituisce un messaggio di Access-Accept. Per l'autenticazione basata su certificato tramite EAP-TLS, il dispositivo presenta un certificato client anziché un nome utente e una password, eliminando del tutto il furto di credenziali come vettore di attacco. Vediamo ora l'integrazione con Arista Cloud WIPS. Il sistema di prevenzione delle intrusioni wireless (Wireless Intrusion Prevention System) di Arista opera in background, scansionando la rete alla ricerca di access point non autorizzati e client abusivi. In CV-CUE, naviga su Configure, poi WIPS, e infine su Automatic Intrusion Prevention. Puoi configurare il livello di prevenzione da Degrade fino a Block. Per le implementazioni aziendali, consigliamo il livello Disrupt come punto di partenza, che interrompe le comunicazioni non autorizzate senza bloccarle completamente, riducendo il rischio di falsi positivi. È inoltre opportuno configurare il monitoraggio delle VLAN andando su Configure, poi Device, infine Access Point, selezionando la scheda Security. Abilita SSID VLAN Monitoring in modo che gli AP monitorino attivamente le VLAN assegnate per rilevare attività non autorizzate. Analizziamo ora alcuni errori di implementazione da evitare. In primo luogo, l'esaurimento del pool DHCP. In ambienti ad alta affluenza come negozi al dettaglio o stadi, i dispositivi si connettono brevemente e poi si allontanano. Se il timeout di inattività (idle timeout) è impostato su un valore troppo alto, queste sessioni rimangono attive, occupando indirizzi IP. Imposta l'idle timeout in CV-CUE a 10 minuti per il retail, e fino a un minimo di 5 minuti per i luoghi di eventi. In questo modo si recuperano gli IP in modo aggressivo, evitando l'esaurimento del pool. In secondo luogo, la randomizzazione dell'indirizzo MAC. A partire da iOS 14 e Android 10, i dispositivi randomizzano l'indirizzo MAC per ogni SSID per impostazione predefinita. Questo interrompe qualsiasi architettura che si affidi agli indirizzi MAC per identificare gli ospiti che ritornano. La risposta corretta consiste nello spostare il modello di identità verso credenziali autenticate, come l'indirizzo e-mail o il login social acquisito tramite il Captive Portal di Purple. Per una riconnessione fluida senza portale, il percorso di migrazione a lungo termine è rappresentato da Passpoint, noto anche come Hotspot 2.0, che utilizza l'autenticazione basata su certificati ed elimina completamente il Captive Portal. Terzo, il reindirizzamento HTTPS. Quando configuri il Captive Portal in CV-CUE, assicurati che la casella di controllo Reindirizzamento HTTPS sia deselezionata. Purple gestisce la sessione HTTPS in modo indipendente. L'abilitazione del reindirizzamento HTTPS sul lato Arista può causare errori di mancata corrispondenza dei certificati che impediscono il caricamento del portale. Passiamo ora a una rapida sessione di domande e risposte sugli scenari comuni. Domanda: La pagina del Captive Portal di un ospite mostra una schermata vuota. Dove guardi prima? Risposta: Nel Walled Garden. La causa è quasi sempre un dominio mancante. Verifica che tutti i domini Purple e i relativi domini CDN dell'Identity Provider siano inseriti nella whitelist in CV-CUE. Domanda: Gli utenti PPSK finiscono tutti sulla VLAN predefinita. Cosa c'è che non va? Risposta: Il server RADIUS di Purple non restituisce l'attributo Tunnel-Private-Group-ID. Controlla la risposta RADIUS nei log di risoluzione dei problemi di CV-CUE e verifica la mappatura VLAN nel portale Purple. Domanda: I dati di accounting RADIUS in Purple mostrano sessioni di zero secondi. Qual è il problema? Risposta: È probabile che la porta di accounting sia configurata in modo errato o bloccata. Verifica che la porta 1813 sia aperta sul firewall tra gli AP Arista e i server RADIUS di Purple, e che l'intervallo di accounting sia impostato su 2 minuti nelle impostazioni dell'SSID. Per riassumere i punti chiave di questo briefing. Uno: il Walled Garden è una lista di autorizzazione esplicita. Gestiscila come un'attività operativa ricorrente, non come una configurazione una tantum. Due: il RADIUS Change of Authorization è il meccanismo che concede l'accesso. Senza di esso, il portale completa la procedura ma l'ospite rimane bloccato. Tre: Arista PPSK con RADIUS di Purple consente il dynamic VLAN steering per l'isolamento multi-tenant su un singolo SSID, eliminando il sovraccarico dei beacon. Quattro: abilita sempre il Client Isolation sugli SSID Guest per impedire movimenti laterali. Cinque: la randomizzazione degli indirizzi MAC richiede il passaggio all'autenticazione basata sull'identità per ottenere analisi accurate. Sei: una corretta integrazione soddisfa i requisiti di consenso del GDPR e acquisisce dati di prima parte che guidano direttamente il ROI del marketing. I tuoi prossimi passi: recupera gli indirizzi IP del server RADIUS di Purple e i segreti condivisi dalla pagina di configurazione hardware del portale Purple. Configura i profili RADIUS in CV-CUE. Crea la tua lista di domini per il Walled Garden. Distribuisci il tuo SSID Guest. Testa l'intero flusso di autenticazione da un dispositivo mobile prima di passare alla produzione. E se stai implementando ambienti multi-tenant, mappa gli ID VLAN dei tuoi tenant in Purple prima di configurare le passphrase PPSK. Questo conclude questo briefing tecnico. Grazie per l'attenzione.

header_image.png

Sintesi per l'executive

L'implementazione di un Captive Portal Arista per l'accesso degli ospiti non è una semplice attività di connettività. Si tratta di un'intersezione critica tra sicurezza di rete, conformità normativa e strategia dei dati. Per i responsabili IT che gestiscono sedi distribuite, l'integrazione di Arista CloudVision Cognitive Unified Edge (CV-CUE) con Purple trasforma il traffico guest non gestito in una risorsa sicura, segmentata e misurabile.

Questo riferimento fornisce un modello definitivo per la configurazione di Arista Cognitive Wi-Fi con Purple. Descriviamo nel dettaglio gli esatti meccanismi richiesti per implementare splash page ospitate da terze parti, creare elenchi di controllo degli accessi Walled Garden precisi e implementare l'autenticazione RADIUS. Copriamo anche l'isolamento avanzato del WiFi multi-tenant utilizzando le Private Pre-Shared Keys (PPSK) di Arista e lo steering dinamico delle VLAN, l'architettura che elimina la proliferazione degli SSID negli spazi di coworking, nei centri commerciali e negli edifici residenziali.

Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple). La piattaforma è certificata ISO 27001, conforme a GDPR e CCPA, e possiede le certificazioni Cyber Essentials e B Corp. Questa guida rispecchia configurazioni testate in produzione e convalidate in contesti hospitality, retail e settore pubblico.

Approfondimento tecnico

L'architettura di onboarding del Captive Portal Arista

Il flusso di onboarding degli ospiti determina il modo in care i dispositivi interagiscono con l'access point (AP) Arista prima e dopo l'autenticazione. Quando un dispositivo si associa all'SSID guest aperto, l'AP Arista lo assegna a una VLAN di pre-autenticazione. In questo stato, l'AP limita il traffico DNS e HTTP a un elenco di consentiti definito. Il sistema operativo del dispositivo rileva il Captive Portal e tenta di raggiungere un endpoint noto: iOS invia una richiesta HTTP a captive.apple.com, Android a connectivitycheck.gstatic.com e Windows a www.msftconnecttest.com. L'AP Arista intercetta questa richiesta ed esegue un reindirizzamento HTTP 302 all'URL della splash page di Purple.

{{asset:captive_portal_flow.png}}

Per garantire che questo flusso venga eseguito senza errori, il controller Arista CV-CUE deve essere configurato per puntare a Purple come portale ospitato da terze parti. Ciò richiede la definizione dei server RADIUS di Purple (Porta di autenticazione 1812, Porta di accounting 1813) all'interno dei profili di rete di CV-CUE. Una volta che l'ospite invia le proprie credenziali o accetta i termini sul portale Purple, Purple funge da server RADIUS e invia un messaggio di Access-Accept all'AP Arista. Questo messaggio include gli attributi RADIUS Change of Authorization (CoA) definiti nella RFC 3576, che indicano all'AP di far passare l'indirizzo MAC del client dallo stato limitato di pre-autenticazione all'accesso completo a Internet sulla VLAN post-autenticazione.

architecture_overview.png

Progettazione delle ACL per il Walled Garden in CV-CUE

Il Walled Garden è una whitelist di domini e indirizzi IP che i dispositivi non autenticati devono poter raggiungere per caricare la splash page e completare l'autenticazione. In Arista CV-CUE, questo si configura sotto le impostazioni del Captive Portal come "Siti web a cui gli utenti possono accedere prima del login".

Il Walled Garden è una lista di autorizzazione esplicita. È necessario includere i domini principali di Purple per poter mostrare il portale. Se si offre il social login, è necessario inserire nella whitelist anche i domini dell'Identity Provider (IdP). La mancata manutenzione di questo elenco impedisce agli ospiti di caricare la schermata di login del fornitore di autenticazione, provocando l'abbandono immediato.

Zona Traffico consentito Implementazione
Pre-autenticazione DNS (limitato), DHCP, server del portale, endpoint di rilevamento del captive portal ACL del Gateway - nega tutto eccetto la whitelist
Walled Garden Domini del portale Purple, provider di social login, elaboratori di pagamento ACL basata su FQDN in CV-CUE
Post-autenticazione Accesso completo a Internet soggetto a filtraggio dei contenuti e policy sulla larghezza di banda ACL per utente applicata tramite RADIUS CoA

Voci minime del Walled Garden richieste per Purple:

  • region1.purpleportal.net
  • venuewifi.com
  • cloudfront.net
  • openweathermap.org
  • stripe.com (se è abilitato l'accesso a pagamento)

Voci aggiuntive per il social login:

  • Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
  • Google Workspace: accounts.google.com, googleapis.com
  • Twitter/X: twitter.com, twimg.com
  • LinkedIn: linkedin.com, licdn.net

Configurazione di Arista PPSK per l'isolamento multi-tenant

Per ambienti come spazi di coworking, edifici residenziali o centri commerciali, lo standard 802.1X è spesso troppo complesso per i dispositivi non gestiti, mentre le reti aperte mancano della sicurezza necessaria. Le Arista Private Pre-Shared Keys (PPSK) risolvono questo problema consentendo l'uso di più passphrase univoche su un singolo SSID, ciascuna associata a una policy di rete distinta.

ppsk_vlan_diagram.png

Quando integrato con Purple RADIUS, Arista PPSK consente l'instradamento dinamico della VLAN. Un residente o un inquilino commerciale si connette all'SSID unificato utilizzando la propria PPSK specifica. L'AP Arista autentica la chiave con il server RADIUS di Purple. Purple restituisce lo standard Access-Accept, ma aggiunge tre attributi RADIUS che gestiscono l'assegnazione della VLAN:

Attributo RADIUS Valore Scopo
Tunnel-Type 13 (VLAN) Specifica il tipo di tunnel
Tunnel-Medium-Type 6 (802) Specifica il tipo di mezzo trasmissivo
Tunnel-Private-Group-ID es. "100" L'ID specifico della VLAN da assegnare

L'AP Arista assegna dinamicamente il dispositivo a quella VLAN. Ciò fornisce un rigido isolamento di Livello 2 tra i tenant senza trasmettere decine di SSID separati, ottimizzando l'utilizzo RF e mantenendo al contempo confini di sicurezza assoluti.

Secure Staff WiFi con IEEE 802.1X

Per le reti del personale, le password condivise rappresentano un rischio per la sicurezza. Lo standard IEEE 802.1X (definito in IEEE Std 802.1X-2020) fornisce un controllo dell'accesso alla rete basato su porta utilizzando credenziali per singolo utente. In CV-CUE, configuri un SSID aziendale con sicurezza WPA2-Enterprise o WPA3-Enterprise. L'AP funge da autenticatore, inoltrando le credenziali al server RADIUS tramite EAP (Extensible Authentication Protocol). Purple supporta EAP-PEAP per l'autenticazione tramite nome utente/password ed EAP-TLS per l'autenticazione basata su certificati.

Per le distribuzioni EAP-TLS, l'integrazione avviene con Microsoft Entra ID, Okta o Google Workspace come autorità di certificazione. Quando il dispositivo di un membro del personale presenta un certificato client valido, il server RADIUS lo convalida rispetto alla directory e restituisce un Access-Accept. Questo elimina completamente il furto di credenziali come vettore di attacco.

Integrazione Arista Cloud WIPS

Il sistema WIPS (Wireless Intrusion Prevention System) di Arista opera continuamente in background, eseguendo la scansione alla ricerca di access point non autorizzati (rogue AP), AP configurati in modo errato e client non autorizzati. In CV-CUE, naviga su Configure > WIPS > Automatic Intrusion Prevention per configurare il livello di prevenzione. Arista offre quattro livelli: Degrade, Interrupt, Disrupt e Block. Per le distribuzioni aziendali, si consiglia di iniziare con Disrupt, che interrompe le comunicazioni non autorizzate senza bloccarle completamente, riducendo il rischio di falsi positivi durante la distribuzione iniziale.

Abilita SSID VLAN Monitoring sotto Configure > Device > Access Point > Security tab per garantire che gli AP monitorino attivamente le VLAN assegnate alla ricerca di attività non autorizzate. I modelli della serie Arista AP-3xx supportano il monitoraggio simultaneo di un massimo di 42 VLAN (documentazione Arista WIPS, 2025).

Guida all'implementazione

Fase 1: Segmentazione della rete e configurazione RADIUS

  1. Accedi ad Arista CV-CUE e naviga su Configure > Network Profiles > RADIUS.
  2. Fai clic su Add RADIUS Server.
  3. Inserisci i dettagli del server RADIUS Purple primario: indirizzo IP, porta di autenticazione (1812), porta di accounting (1813) e il Shared Secret presente nella pagina di configurazione dell'hardware del portale Purple.
  4. Ripeti l'operazione per il server RADIUS Purple secondario per garantire l'alta affidabilità.
  5. Verifica sul tuo firewall che le porte UDP 1812 e 1813 siano aperte tra gli AP Arista e i server RADIUS Purple.

Fase 2: SSID Guest e configurazione del Captive Portal

  1. Naviga su Configure > WiFi > SSID e fai clic su Add New SSID.
  2. Definisci il nome dell'SSID (ad es., Guest_WiFi) e imposta il tipo di SSID su Guest.
  3. Sotto la scheda Security, imposta il livello di sicurezza su Open.
  4. Sotto la scheda Network, configura la VLAN di pre-autenticazione (ad es., VLAN 10) con un ambito DHCP dedicato.
  5. Sotto la scheda Captive Portal, abilita la casella di controllo Captive Portal.
  6. Seleziona Third-Party Hosted dal menu a discesa Cloud Hosted.
  7. Seleziona With RADIUS Authentication e seleziona il profilo RADIUS Purple.
  8. Inserisci l'URL della Splash Page di Purple (es. https://region1.purpleportal.net/access/) e l'URL di reindirizzamento (es. https://region1.purpleportal.net/access/?res=success).
  9. Imposta il formato del Called Station ID su %m (formato dell'indirizzo MAC richiesto da Purple).
  10. Imposta l'Accounting Interval su 2 minuti.
  11. Deseleziona la casella di controllo HTTPS Redirection.

Fase 3: Distribuzione del Walled Garden

  1. All'interno della scheda Captive Portal, individua la sezione Websites that users can access before login.
  2. Aggiungi tutti i domini Purple richiesti e i domini dell'Identity Provider come elencati sopra.
  3. Salva la configurazione dell'SSID e applicala ai gruppi AP Arista di destinazione.

Fase 4: Configurazione multi-tenant PPSK

  1. Nel portale Purple, naviga fino alla configurazione dell'hardware della sede e recupera le impostazioni RADIUS PPSK.
  2. In CV-CUE, crea un nuovo SSID con sicurezza WPA2-Personal e abilita la modalità PPSK.
  3. Configura l'SSID per l'autenticazione tramite il profilo RADIUS Purple.
  4. Nel portale Purple, crea una passphrase PPSK per ciascun tenant e mappala al corrispondente ID VLAN.
  5. Verifica che le porte dello switch che si collegano agli AP Arista siano configurate in modalità trunk per le VLAN dei tenant richieste.

Fase 5: WiFi aziendale sicuro (802.1X)

  1. Crea un nuovo SSID aziendale in CV-CUE.
  2. Sotto la scheda Security, seleziona WPA2-Enterprise o WPA3-Enterprise.
  3. Seleziona il profilo RADIUS che punta al tuo identity provider aziendale (Microsoft Entra ID, Okta o Google Workspace).
  4. Configura il tipo di EAP: PEAP per nome utente/password, EAP-TLS per l'autenticazione basata su certificato.
  5. Assegna l'SSID del personale a una VLAN dedicata (es. VLAN 20) isolata dalla VLAN Guest.

Best practice

Automatizza gli aggiornamenti del Walled Garden. Gli identity provider cambiano frequentemente i loro domini CDN. Pianifica una revisione trimestrale della configurazione del Walled Garden in Arista CV-CUE rispetto agli elenchi di domini aggiornati di Purple. Una singola voce CDN mancante interromperà l'accesso tramite social network per tutti gli ospiti.

Ottimizza i timer di sessione in base al tipo di sede. Configura i timeout di inattività in Arista CV-CUE per adattarli al profilo di traffico della tua sede. Gli ambienti di vendita al dettaglio beneficiano di un timeout di inattività di 10 minuti per recuperare gli indirizzi IP dai dispositivi che hanno lasciato il negozio. Le installazioni alberghiere dovrebbero utilizzare timeout più lunghi (4-8 ore) per evitare di attivare nuovamente il portale durante il soggiorno di un ospite.

Imponi l'isolamento dei client. Abilita sempre l'isolamento dei client (Client Isolation) sull'SSID Guest all'interno di Arista CV-CUE. Ciò impedisce ai dispositivi degli ospiti di comunicare tra loro, mitigando i rischi di movimento laterale e soddisfacendo i requisiti di segmentazione della rete PCI DSS. Abilita RADIUS Accounting. Assicurati che il RADIUS Accounting sia abilitato con un intervallo di 2 minuti. Questo fornisce a Purple metriche precise sulla durata della sessione e sul trasferimento dei dati, che alimentano la dashboard di WiFi Analytics e consentono un'analisi accurata del tempo di permanenza dei visitatori.

Segmenta per tipo di SSID, non per AP. Applica gli SSID Guest, Staff e Multi-Tenant agli stessi gruppi di AP. Arista CV-CUE gestisce il tagging VLAN per SSID, quindi non sono necessari AP separati per ciascun tipo di utente. Questo semplifica la distribuzione dell'hardware mantenendo una rigorosa separazione logica.

Per una panoramica più ampia sull'architettura di sicurezza del WiFi aziendale, consulta la nostra Enterprise WiFi Security: A Complete Guide for 2026 .

Casi di studio

Caso di studio 1: Catena alberghiera da 350 camere

Una catena di hotel di fascia media con 12 strutture ha distribuito AP Arista Wi-Fi 6E in tutti i siti, gestiti tramite un'unica istanza CV-CUE. Il requisito era quello di fornire un Captive Portal Guest WiFi personalizzato con acquisizione di e-mail per il marketing, isolato dalla rete del sistema di gestione immobiliare (PMS), supportando al contempo lo standard 802.1X per i dispositivi del personale.

Il team ha configurato tre SSID per struttura: un SSID Guest (VLAN 10) orientato a Purple, un SSID Staff (VLAN 20) che utilizza lo standard 802.1X con Microsoft Entra ID e un SSID IoT (VLAN 30) per i dispositivi di gestione dell'edificio. Il Captive Portal di Purple ha acquisito gli indirizzi e-mail e il consenso degli ospiti al momento del check-in. Entro 90 giorni, la catena ha raccolto dati di prima parte verificati dal 68% degli ospiti (dati interni Purple), consentendo campagne di re-engagement mirate. La rete PMS è rimasta completamente isolata, soddisfacendo i requisiti PCI DSS per la segmentazione dell'ambiente dei dati dei titolari di carta.

Caso di studio 2: Spazio di coworking multi-tenant

Un operatore di coworking che gestisce otto sedi aveva la necessità di fornire un servizio WiFi isolato a 35 aziende associate per sito senza trasmettere 35 SSID. Lo spettro di radiofrequenza era già congestionato e la proliferazione di SSID stava riducendo le prestazioni per tutti i membri.

La soluzione è stata un unico SSID per sito che utilizza Arista PPSK con Purple RADIUS. Ciascuna azienda associata ha ricevuto una passphrase PPSK univoca. Purple ha mappato ciascuna passphrase a una VLAN dedicata (da VLAN 100 a VLAN 3500). Quando un membro si connetteva, l'AP Arista lo indirizzava dinamicamente alla propria VLAN in base al parametro Tunnel-Private-Group-ID restituito da Purple RADIUS. Il risultato è stato una riduzione da 35 SSID a uno solo per sito, un miglioramento misurabile dell'efficienza del tempo di trasmissione (airtime efficiency) e un isolamento completo a livello Layer 2 tra le aziende associate. Al termine del contratto di un membro, l'operatore revocava la relativa passphrase nel portale Purple, interrompendo l'accesso nel giro di pochi secondi.

Risoluzione dei problemi e mitigazione dei rischi

Problema: la Splash page non si carica sui dispositivi Apple. iOS utilizza un meccanismo specifico per rilevare i Captive Portal. Se la splash page non si carica automaticamente, verificare che il Walled Garden di Arista includa tutti i domini CDN di Purple. Se il Walled Garden è troppo restrittivo, il dispositivo iOS non può caricare le risorse del portale e interrompe la connessione.

Problema: la randomizzazione dell'indirizzo MAC impedisce il riconoscimento degli ospiti di ritorno. I dispositivi iOS 14+ e Android 10+ randomizzano il proprio indirizzo MAC per ciascun SSID. Ciò impedisce a Purple di riconoscere un ospite di ritorno basandosi esclusivamente sul suo indirizzo MAC. Affidarsi all'identità autenticata (e-mail o login social) per il tracciamento a lungo termine. Per una riconnessione fluida e sicura senza un Captive Portal, migrare alle architetture Passpoint/Hotspot 2.0.

Problema: l'instradamento dinamico della VLAN non riesce con PPSK. Se agli utenti viene assegnata la VLAN predefinita anziché la loro VLAN specifica, verificare la risposta RADIUS utilizzando gli strumenti di risoluzione dei problemi di Arista CV-CUE. Assicurarsi che Purple restituisca i corretti attributi Tunnel-Private-Group-ID, Tunnel-Type e Tunnel-Medium-Type e che la VLAN specificata esista sulla porta dello switch collegata all'AP Arista.

Problema: esaurimento del pool DHCP sulla VLAN Guest. Ridurre il timeout di inattività a 5-10 minuti in ambienti ad alto traffico. Aumentare la dimensione dello scope DHCP se la sede supera regolarmente l'80% di utilizzo del pool. Considerare l'utilizzo di una subnet /22 o superiore per sedi ad alta densità come stadi o centri congressi.

Problema: i dati di accounting RADIUS mostrano sessioni di zero secondi. Verificare che la porta UDP 1813 sia aperta sul firewall tra gli AP Arista e i server RADIUS di Purple. Confermare che l'intervallo di Accounting sia impostato su 2 minuti nelle impostazioni SSID di CV-CUE.

Per indicazioni correlate sulla visualizzazione wireless e sulle migliori pratiche di protocollo in ambienti aziendali, consultare What Is Wireless Display: Protocols and Best Practices 2026 .

ROI e impatto sul business

L'implementazione di Arista Cognitive Wi-Fi con Purple trasforma un centro di costo di rete in una risorsa aziendale misurabile. Imponendo un Captive Portal conforme, si riduce il rischio di sanzioni GDPR, che possono raggiungere il 4% del fatturato annuo globale. Aspetto ancora più importante, il portale Guest WiFi acquisisce dati di prima parte verificati. Purple ha raccolto 29 miliardi di punti dati all'interno della sua rete (dati interni di Purple), a dimostrazione della portata di ciò che un'architettura guest WiFi correttamente implementata può generare.

Per i punti vendita del settore Retail , questi dati alimentano direttamente i sistemi CRM, consentendo campagne di marketing mirate in base alla frequenza delle visite e al tempo di permanenza. Per gli operatori del settore Hospitality , consentono un re-engagement personalizzato con gli ospiti che ritornano. Per gli hub di Transport , forniscono dati precisi sul flusso dei passeggeri per supportare le decisioni operative. Per le strutture di Healthcare , garantiscono che i pazienti e i visitatori ricevano un accesso di rete appropriato, mantenendo i sistemi clinici completamente isolati.

La piattaforma Purple opera con un uptime del 99,999% (dati interni Purple), garantendo che l'accesso degli ospiti non sia mai interrotto da problemi di disponibilità della piattaforma. In combinazione con l'infrastruttura gestita in cloud di Arista, si ottiene un'architettura end-to-end che scala da un singolo locale a oltre 80.000 sedi senza modifiche strutturali.

Per ulteriori informazioni sull'integrazione, consulta la nostra guida sull' Integrazione degli Access Point NETGEAR Insight ed Enterprise con Purple WiFi . Per gli operatori che valutano strumenti di sondaggio da affiancare alle analisi WiFi, consulta Progettazione di un sondaggio: Guida pratica per i locali .

Definizioni chiave

Arista CV-CUE

CloudVision Cognitive Unified Edge. La piattaforma di gestione cloud centralizzata utilizzata per configurare, monitorare e gestire gli access point Wi-Fi, gli switch e i profili di rete Arista, incluse le impostazioni RADIUS e SSID.

I team IT utilizzano CV-CUE per definire gli SSID, configurare i server RADIUS, impostare le regole di Walled Garden e gestire le policy WIPS su tutti gli AP Arista da un'unica interfaccia.

Captive Portal

Una pagina web che intercetta il traffico di rete non autenticato, richiedendo all'utente di interagire (accesso, accettazione dei termini o pagamento) prima di concedere l'accesso a Internet. Implementata a livello di controller wireless o di gateway.

L'interfaccia principale per l'acquisizione di dati di prima parte e l'applicazione del consenso GDPR sulle reti WiFi ospiti. Nelle implementazioni Arista, la funzione di Captive Portal è delegata a Purple come servizio ospitato di terze parti.

Walled Garden

Un ambiente di rete limitato che consente l'accesso solo a una whitelist specifica di domini o indirizzi IP prima dell'autenticazione. Implementato come ACL sul controller wireless.

Essenziale per consentire ai dispositivi di raggiungere la splash page di Purple e gli Identity Provider prima di avere pieno accesso a Internet. Deve essere gestito come un'attività operativa ricorrente man mano che gli intervalli IP della CDN cambiano.

PPSK (Private Pre-Shared Key)

Un meccanismo di sicurezza che consente l'uso di più passphrase univoche su un singolo SSID, con ciascuna passphrase mappata a una diversa policy di rete o VLAN tramite autenticazione RADIUS.

Utilizzato in ambienti multi-tenant per fornire reti sicure e isolate senza trasmettere numerosi SSID. Arista PPSK con Purple RADIUS consente il reindirizzamento dinamico della VLAN per passphrase.

Dynamic VLAN steering

Il processo di assegnazione di un dispositivo client a una VLAN specifica in base agli attributi RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) restituiti durante l'autenticazione, anziché a una mappatura statica da SSID a VLAN.

Fondamentale per il WiFi multi-tenant, in quanto consente a un singolo SSID di servire più gruppi di utenti isolati. Richiede che le porte dello switch collegate agli AP eseguano il trunking di tutte le possibili VLAN dei tenant.

RADIUS CoA (Change of Authorization)

Un'estensione del protocollo RADIUS (RFC 3576) che consente a un server RADIUS di modificare dinamicamente gli attributi di autorizzazione di una sessione attiva senza richiedere una nuova autenticazione.

Utilizzato da Purple per istruire l'AP Arista a concedere l'accesso completo a Internet immediatamente dopo che l'utente ha completato l'accesso al portale, senza richiedere che il dispositivo si riassoci all'SSID.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione per i dispositivi che si connettono a una LAN o WLAN. Utilizza EAP (Extensible Authentication Protocol) per trasmettere le credenziali tra il client, l'autenticatore e il server di autenticazione.

Lo standard di autenticazione corretto per il WiFi del personale. Elimina le passphrase condivise e consente la gestione delle credenziali per singolo utente integrata con provider di identità aziendali come Microsoft Entra ID o Okta.

MAC address randomization

Una funzione di riservatezza nei sistemi operativi moderni (iOS 14+, Android 10+) in cui il dispositivo genera un indirizzo MAC casuale per ogni rete Wi-Fi a cui si connette, anziché utilizzare l'indirizzo MAC memorizzato nell'hardware.

Influisce sulla capacità di tracciare gli ospiti che ritornano basandosi esclusivamente sugli identificatori hardware. Richiede il passaggio all'autenticazione basata sull'identità (e-mail, login social) per analisi accurate dei visitatori e integrazione con il CRM.

Client Isolation

Un'impostazione della rete wireless che impedisce ai dispositivi client connessi allo stesso AP di comunicare direttamente tra loro a livello Layer 2, forzando tutto il traffico attraverso il gateway.

Una configurazione di sicurezza obbligatoria per il WiFi ospiti per prevenire spostamenti laterali e attacchi da dispositivo a dispositivo. Richiesta anche per la conformità PCI DSS quando le reti ospiti condividono l'infrastruttura fisica con i sistemi di pagamento.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo EAP basato su certificati in cui sia il client che il server di autenticazione presentano certificati X.509 per la mutua autenticazione. Considerato il metodo EAP più sicuro per il WiFi aziendale.

Il metodo di autenticazione consigliato per il WiFi del personale in ambienti ad alta sicurezza. Elimina il furto di credenziali basato su password richiedendo un certificato client valido rilasciato da un'autorità di certificazione attendibile.

Esempi pratici

Una catena di negozi con 40 punti vendita deve implementare il Guest WiFi in tutte le sedi utilizzando AP Arista. Richiedono l'autenticazione degli ospiti tramite Google Workspace o Facebook e devono garantire che la rete aziendale rimanga completamente isolata dal traffico degli ospiti. Hanno anche bisogno di acquisire il consenso in conformità con il GDPR.

L'architetto di rete crea una VLAN Guest dedicata (VLAN 50) sugli switch core e la collega in trunking agli AP Arista. In CV-CUE viene creato un nuovo SSID Guest, mappato sulla VLAN 50, con Client Isolation abilitato. Il Captive Portal è impostato su Third-Party Hosted, puntando a Purple. Il Walled Garden è configurato per includere i domini di Purple, oltre a accounts.google.com, facebook.com e i relativi CDN associati. I server RADIUS di Purple sono configurati per l'autenticazione sulle porte 1812 e 1813. Il portale Purple è configurato con una casella di controllo del consenso GDPR deselezionata e termini in linguaggio semplice. Quando un cliente si connette, viene isolato sulla VLAN 50, si autentica tramite il portale Purple utilizzando Google o Facebook e ottiene l'accesso tramite RADIUS CoA. Il consenso viene registrato con data e ora e versione dei termini in Purple, soddisfacendo i requisiti dell'Articolo 7 del GDPR.

Commento dell'esaminatore: Questo approccio garantisce un isolamento assoluto a Livello 2 tra il traffico aziendale e quello degli ospiti. Affidandosi a Purple per il livello di identità e consenso e ad Arista per il livello di applicazione delle policy, il rivenditore ottiene conformità e sicurezza senza una complessa infrastruttura on-premise. La decisione chiave qui è l'uso della segmentazione VLAN a livello di switch piuttosto che affidarsi esclusivamente al firewall dell'AP, il che fornisce una difesa approfondita.

Uno spazio di coworking richiede un WiFi Multi-Tenant per 40 aziende associate. Desiderano la trasmissione di un singolo SSID, ma hanno bisogno che ogni azienda associata sia isolata sulla propria VLAN per motivi di sicurezza. Al termine del contratto di un membro, l'accesso deve essere revocato immediatamente.

Il responsabile IT distribuisce gli AP Arista e configura un singolo SSID utilizzando Arista PPSK. L'SSID è configurato per l'autenticazione tramite Purple RADIUS. Nel portale Purple, a ogni azienda associata viene assegnata una passphrase univoca e un ID VLAN specifico (da VLAN 100 a VLAN 4000). Quando un utente dell'Azienda A si connette utilizzando la propria passphrase, l'AP Arista interroga Purple RADIUS. Purple restituisce un Access-Accept contenente Tunnel-Type (13), Tunnel-Medium-Type (6) e Tunnel-Private-Group-ID (100). L'AP indirizza dinamicamente l'utente alla VLAN 100. Quando il contratto di un membro scade, l'operatore revoca la passphrase nel portale Purple. Il successivo tentativo di connessione da parte di qualsiasi dispositivo che utilizza quella passphrase riceve un RADIUS Access-Reject, interrompendo immediatamente l'accesso.

Commento dell'esaminatore: Questa è l'architettura ottimale per gli ambienti multi-tenant. Riduce il sovraccarico degli SSID da 40 a uno solo per sito, migliorando direttamente l'efficienza del tempo di trasmissione (airtime) e le prestazioni di roaming dei client. La revoca centralizzata tramite Purple RADIUS elimina la necessità di modificare qualsiasi configurazione Arista quando un tenant abbandona la struttura, riducendo significativamente i costi operativi.

Un centro congressi ospita 10 eventi a settimana, ognuno con un organizzatore diverso che necessita della propria splash page personalizzata e di una rete guest isolata. Il team IT non può riconfigurare l'infrastruttura Arista per ogni evento.

Il centro congressi implementa un'architettura WiFi Multi-Tenant permanente utilizzando Arista PPSK. Ogni organizzatore di eventi viene pre-configurato nel portale Purple con una passphrase PPSK univoca, una VLAN dedicata (ad esempio, VLAN 200 per l'Evento A, VLAN 201 per l'Evento B) e un modello di splash page personalizzato. Gli AP Arista trasmettono un unico SSID per tutto l'anno. L'organizzatore dell'evento distribuisce la propria PPSK ai partecipanti. I partecipanti si connettono, si autenticano tramite Purple RADIUS, ricevono l'assegnazione della propria VLAN e visualizzano il portale personalizzato dell'organizzatore. Il team IT abilita e disabilita le passphrase degli eventi nel portale Purple in base a una pianificazione, senza che siano necessarie modifiche alla configurazione di Arista CV-CUE.

Commento dell'esaminatore: Questa architettura separa chiaramente le competenze operative: Arista gestisce lo spettro RF e il livello di applicazione delle policy, mentre Purple gestisce l'identità e il livello delle policy. Il team IT del centro congressi gestisce un'unica configurazione infrastrutturale stabile. La personalizzazione specifica per l'evento viene gestita interamente tramite il portale Purple, che può essere delegata agli organizzatori dell'evento o al personale operativo della struttura senza richiedere competenze di ingegneria di rete.

Domande di esercitazione

Q1. Un ospite dell'hotel si connette all'SSID Guest WiFi, ma la pagina di login del portale mostra una schermata vuota o un errore di timeout sul suo iPhone. Il WiFi aziendale funziona perfettamente. L'AP Arista è online e i server RADIUS Purple sono raggiungibili. Qual è il primo elemento di configurazione da verificare in Arista CV-CUE e quali voci specifiche stai cercando?

Suggerimento: Considera quale tipo di accesso alla rete ha il dispositivo prima del completamento dell'autenticazione e di cosa ha bisogno per caricare la pagina del portale.

Visualizza risposta modello

Verifica la configurazione del Walled Garden all'interno delle impostazioni del Captive Portal in CV-CUE. Il Walled Garden deve inserire esplicitamente in whitelist i domini del portale Purple: region1.purpleportal.net, venuewifi.com e cloudfront.net. Se questi mancano, il dispositivo non può caricare gli asset del portale. Inoltre, verifica che gli endpoint di rilevamento del captive portal (captive.apple.com per iOS) non siano bloccati. Una schermata vuota indica in genere che l'HTML del portale si sta caricando ma che gli asset JavaScript o CSS provenienti da una CDN sono bloccati.

Q2. Stai implementando un WiFi Multi-Tenant utilizzando Arista PPSK per uno spazio di coworking con 30 aziende associate. Gli utenti segnalano di potersi connettere all'SSID e di ricevere un indirizzo IP, ma finiscono tutti sulla VLAN di gestione predefinita (VLAN 1) anziché sulle VLAN assegnate ai rispettivi tenant. Quali attributi RADIUS sono probabilmente mancanti o configurati in modo errato e come lo verifichi?

Suggerimento: Pensa a come il RADIUS indica all'AP di assegnare un segmento di rete specifico e quali tre attributi lavorano insieme per ottenere questo risultato.

Visualizza risposta modello

Il server RADIUS Purple probabilmente non riesce a restituire gli attributi VLAN dinamici nel messaggio di Access-Accept. Devono essere presenti tre attributi: Tunnel-Type (valore 13, ovvero VLAN), Tunnel-Medium-Type (valore 6, ovvero 802) e Tunnel-Private-Group-ID (l'ID VLAN specifico come stringa, ad es. '100'). Per verificare, utilizza gli strumenti di risoluzione dei problemi di Arista CV-CUE per catturare l'interscambio RADIUS per una connessione di prova. Controlla il pacchetto Access-Accept per verificare la presenza di questi tre attributi. Verifica anche che la porta dello switch che collega l'AP Arista sia configurata per il trunking di tutte le VLAN tenant richieste: se la VLAN non è in modalità trunk, l'AP non può associarvi il client anche se l'attributo RADIUS è corretto.

Q3. Un punto vendita con 200 visitatori giornalieri nota che Purple Analytics mostra un numero elevato di sessioni molto brevi (inferiori a 1 minuto) e lo scope DHCP sulla VLAN Guest si esaurisce costantemente a metà mattina, impedendo ai nuovi acquirenti di connettersi. Lo scope DHCP è una /24 (254 indirizzi utilizzabili). Quali sono le due cause più probabili e quali modifiche di configurazione specifiche apporti in Arista CV-CUE e sul server DHCP?

Suggerimento: Considera in che modo la rete determina quando un dispositivo ha lasciato la sede e come si comportano i dispositivi moderni durante la scansione delle reti.

Visualizza risposta modello

Le due cause più probabili sono: in primo luogo, un timeout di inattività troppo lungo, che mantiene attive le sessioni dei dispositivi che hanno lasciato il negozio; in secondo luogo, la casualizzazione degli indirizzi MAC che fa apparire i dispositivi come nuovi client a ogni visita, consumando ulteriori lease IP. Per risolvere il timeout di inattività, riducilo a 10 minuti nelle impostazioni di sessione dell'SSID in CV-CUE. Questo assicura che le sessioni inattive vengano eliminate e gli IP vengano restituiti al pool. Per risolvere l'esaurimento del pool, aumenta lo scope DHCP a una /22 (1022 indirizzi utilizzabili) per accogliere il volume di indirizzi MAC univoci generati dalla casualizzazione. Inoltre, riduci il tempo di lease DHCP a 30 minuti per accelerare il recupero degli IP dai dispositivi disconnessi.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →