Visualizza trascrizione del podcast
Benvenuti al briefing. Oggi analizzeremo l'integrazione di Arista Cognitive Wi-Fi con la piattaforma Purple. Questo è un briefing per consulenti senior, rivolto direttamente agli architetti di rete aziendali e agli amministratori di sistemi cloud che devono implementare questa soluzione correttamente, fin da subito.
Inquadriamo lo scenario. Arista Cognitive Wi-Fi, gestito tramite la piattaforma CloudVision Cognitive Unified Edge, è un'infrastruttura wireless gestita in cloud che supporta implementazioni di reti per ospiti e personale di livello enterprise. Purple è un overlay cloud indipendente dall'hardware che fornisce il portale ospiti, l'acquisizione dell'identità, l'autenticazione RADIUS e il livello di analisi. Combinando le due soluzioni, si ottiene un'architettura WiFi per ospiti completa, conforme e di valore commerciale. Entriamo nei dettagli tecnici.
La prima cosa da capire è il flusso di onboarding del Captive Portal. Quando un dispositivo ospite si associa all'SSID ospite aperto su un access point Arista, l'AP inserisce immediatamente il dispositivo in una VLAN di pre-autenticazione. In questo stato, il dispositivo ha un indirizzo IP assegnato tramite DHCP, ma il suo traffico DNS e HTTP è fortemente limitato. Il sistema operativo del dispositivo, che sia iOS, Android o Windows, esegue un test di rilevamento del Captive Portal. iOS invia una richiesta HTTP a captive.apple.com. Android interroga connectivitycheck.gstatic.com. L'AP Arista intercetta questa richiesta e restituisce un reindirizzamento 302, indirizzando il dispositivo all'URL della splash page di Purple.
Questo è il punto in cui la maggior parte delle implementazioni fallisce. Affinché il reindirizzamento funzioni e la splash page venga effettivamente visualizzata, è necessario configurare correttamente il Walled Garden in Arista CV-CUE. Il Walled Garden è una whitelist esplicita. Nello stato di pre-autenticazione, tutto il traffico viene bloccato per impostazione predefinita. È necessario inserire nella whitelist ogni dominio richiesto per caricare il portale. Come minimo, questo significa i domini core di Purple: region1.purpleportal.net, venuewifi.com e cloudfront.net. Se si offre il social login tramite Google Workspace, è necessario aggiungere accounts.google.com e i relativi intervalli CDN. Per Facebook, sono necessari facebook.com, fbcdn.net e akamaihd.net. Se ne dimenticate anche solo uno, l'ospite vedrà una schermata vuota o un pulsante di login che gira all'infinito. Rinuncerà e voi perderete l'opportunità di acquisire i dati.
Vediamo ora la configurazione RADIUS in CV-CUE. Passare a Configura, quindi Profili di rete, quindi RADIUS. Fare clic su Aggiungi server RADIUS. Inserire l'indirizzo IP del server RADIUS primario di Purple, impostare la porta di autenticazione su 1812, la porta di accounting su 1813 e inserire il segreto condiviso fornito da Purple. Ripetere l'operazione per il server secondario. Questa ridondanza è fondamentale. Se il server primario non è raggiungibile, il secondario subentra senza interrompere l'accesso degli ospiti.
Una volta salvati i profili RADIUS, vai su Configure, poi WiFi, poi SSID e fai clic su Add New SSID. Assegna un nome al tuo SSID, imposta il tipo su Guest e, nella scheda Security, imposta il livello di sicurezza su Open. Questo è corretto per un deployment con Captive Portal. Nella scheda Captive Portal, abilita la casella di controllo Captive Portal, seleziona Third-Party Hosted dal menu a discesa Cloud Hosted e seleziona la casella With RADIUS Authentication. Incolla l'URL della Splash Page di Purple nel campo Splash Page URL. Questo è in genere nel formato https://region1.purpleportal.net/access/. Inserisci il segreto condiviso. Quindi, nella sezione Websites that users can access before login, aggiungi i tuoi domini Walled Garden. Imposta il formato Called Station ID su percent-m, che invia l'indirizzo MAC nel formato previsto da Purple. Imposta l'Accounting Interval a 2 minuti. Deseleziona la casella di controllo HTTPS Redirection. Salva l'SSID. Verrà propagato ai tuoi AP Arista in pochi minuti.
Ora parliamo di cosa succede dopo che l'ospite ha inviato i suoi dati sul portale Purple. Purple funge da server RADIUS. Convalida l'identità, acquisisce il consenso e invia un messaggio RADIUS Access-Accept all'AP Arista. Ma ecco la parte fondamentale: quel messaggio Access-Accept contiene gli attributi Change of Authorisation, definiti nella RFC 3576. Questi attributi istruiscono l'AP Arista a far passare dinamicamente quel client specifico dallo stato di pre-autenticazione limitato alla VLAN post-autenticazione con accesso completo a Internet. Contemporaneamente, l'AP invia un messaggio RADIUS Accounting-Start a Purple sulla porta 1813. Questo avvia il timer di sessione e inserisce i dati sulla durata della sessione nella dashboard di analisi di Purple.
Passiamo al caso d'uso più avanzato: il WiFi Multi-Tenant che utilizza le Arista Private Pre-Shared Keys, o PPSK. Questa è l'architettura ideale per spazi di coworking, centri commerciali, edifici residenziali o qualsiasi ambiente in cui si hanno più gruppi di utenti distinti che necessitano di un isolamento di rete rigoroso.
Il problema con gli approcci tradizionali è che la trasmissione di un SSID separato per ciascun tenant crea un enorme sovraccarico RF. Ogni SSID richiede beacon frame. In un ambiente denso con 20 tenant, si tratta di 20 SSID che consumano tempo di trasmissione radio. PPSK risolve questo problema in modo elegante. Trasmetti un singolo SSID. Ma nel portale Purple, a ciascun tenant viene assegnata una passphrase univoca. Quando un utente si connette, l'AP Arista autentica quella passphrase rispetto al server RADIUS di Purple. Purple cerca la passphrase, identifica il tenant associato e restituisce un messaggio Access-Accept. Ma, cosa fondamentale, aggiunge tre attributi RADIUS: Tunnel-Type, impostato su VLAN; Tunnel-Medium-Type, impostato su 802; e Tunnel-Private-Group-ID, impostato sull'ID VLAN specifico del tenant. L'AP Arista legge questi attributi e indirizza dinamicamente il client alla VLAN corretta. Il tenant A, utilizzando la propria passphrase, atterra sulla VLAN 100. Il tenant B atterra sulla VLAN 200. Sono completamente isolati a livello Layer 2. Non possono vedere i dispositivi, le stampanti o i server degli altri.Questo è l'Identity-Based Networking in pratica. L'identità della passphrase determina il segmento di rete. Viene gestito centralmente tramite Purple, quindi quando un tenant se ne va, è sufficiente revocare la sua passphrase nel portale Purple e l'accesso viene immediatamente interrotto. Non è richiesta alcuna modifica sulla struttura Arista.
Ora, passiamo a Secure Staff WiFi utilizzando IEEE 802.1X. Per il vostro SSID del personale, non dovreste utilizzare una passphrase condivisa. Dovreste invece utilizzare 802.1X con EAP, Extensible Authentication Protocol. In CV-CUE, create un nuovo SSID aziendale. Nella scheda Sicurezza, selezionate WPA2-Enterprise o WPA3-Enterprise. Selezionate il vostro profilo RADIUS, che dovrebbe puntare al vostro provider di identità aziendale, come Microsoft Entra ID o Okta. Quando un membro del personale si connette, il suo dispositivo presenta le credenziali all'AP Arista, che le inoltra al server RADIUS tramite EAP. Il provider di identità convalida le credenziali e restituisce un Access-Accept. Per l'autenticazione basata su certificato tramite EAP-TLS, il dispositivo presenta un certificato client anziché un nome utente e una password, eliminando del tutto il furto di credenziali come vettore di attacco.
Parliamo ora dell'integrazione con Arista Cloud WIPS. Il sistema Wireless Intrusion Prevention System di Arista opera in background, eseguendo la scansione alla ricerca di access point non autorizzati e client non autorizzati. In CV-CUE, andate su Configura, poi WIPS, quindi Prevenzione automatica delle intrusioni. È possibile configurare il livello di prevenzione da Degrada fino a Blocca. Per le implementazioni aziendali, consigliamo il livello Interrompi come punto di partenza, che interrompe le comunicazioni non autorizzate senza bloccarle completamente, riducendo il rischio di falsi positivi. Dovreste anche configurare il monitoraggio delle VLAN in Configura, poi Dispositivo, poi Access Point, selezionando la scheda Sicurezza. Abilitate il monitoraggio delle VLAN SSID in modo che gli AP monitorino attivamente le VLAN assegnate alla ricerca di attività non autorizzate.
Ora, alcuni errori di implementazione da evitare. In primo luogo, l'esaurimento del pool DHCP. In ambienti ad alta affluenza come negozi al dettaglio o stadi, i dispositivi si connettono brevemente e poi si allontanano. Se il timeout di inattività è impostato su un valore troppo alto, queste sessioni rimangono attive, trattenendo gli indirizzi IP. Impostate il timeout di inattività in CV-CUE a 10 minuti per il retail e fino a 5 minuti per i luoghi di eventi. Questo recupera in modo aggressivo gli IP ed evita l'esaurimento del pool.
In secondo luogo, la casualità degli indirizzi MAC. A partire da iOS 14 e Android 10, i dispositivi rendono casuale il proprio indirizzo MAC per ciascun SSID per impostazione predefinita. Questo interrompe qualsiasi architettura che si affida agli indirizzi MAC per identificare i visitatori di ritorno. La risposta corretta è spostare il modello di identità su credenziali autenticate, l'indirizzo email o l'accesso social acquisito tramite il portale Purple. Per una riconnessione fluida senza portale, il percorso di migrazione a lungo termine è Passpoint, noto anche come Hotspot 2.0, che utilizza l'autenticazione basata su certificati ed elimina completamente il Captive Portal.
Terzo, il reindirizzamento HTTPS. Quando si configura il Captive Portal in CV-CUE, assicurarsi che la casella di controllo HTTPS Redirection sia deselezionata. Purple gestisce la sessione HTTPS in modo indipendente. L'abilitazione del reindirizzamento HTTPS sul lato Arista può causare errori di mancata corrispondenza del certificato che impediscono il caricamento del portale.
Passiamo a una rapida sessione di domande e risposte su scenari comuni.
Domanda: La pagina del portale di un ospite mostra una schermata vuota. Dove guardare prima? Risposta: Nel Walled Garden. La causa è quasi sempre un dominio mancante. Verificare che tutti i domini Purple e i relativi domini CDN dell'Identity Provider siano inseriti nella whitelist in CV-CUE.
Domanda: Gli utenti PPSK finiscono tutti sulla VLAN predefinita. Cosa c'è che non va? Risposta: Il server RADIUS di Purple non restituisce l'attributo Tunnel-Private-Group-ID. Controllare la risposta RADIUS nei log di risoluzione dei problemi di CV-CUE e verificare la mappatura VLAN nel portale Purple.
Domanda: I dati di accounting RADIUS in Purple mostrano sessioni di zero secondi. Qual è il problema? Risposta: La porta di accounting è probabilmente configurata in modo errato o bloccata. Verificare che la porta 1813 sia aperta sul firewall tra gli AP Arista e i server RADIUS di Purple, e che l'intervallo di accounting sia impostato su 2 minuti nelle impostazioni dell'SSID.
Per riassumere i punti chiave di questo briefing. Uno: il Walled Garden è una lista di autorizzazione esplicita. Gestitela come un'attività operativa ricorrente, non come una configurazione una tantum. Due: il RADIUS Change of Authorization è il meccanismo che concede l'accesso. Senza di esso, il portale si completa ma l'ospite rimane bloccato. Tre: Arista PPSK con Purple RADIUS consente il routing dinamico della VLAN per l'isolamento multi-tenant su un singolo SSID, eliminando il sovraccarico dei beacon. Quattro: abilitare sempre il Client Isolation sugli SSID Guest per impedire movimenti laterali. Cinque: la randomizzazione degli indirizzi MAC richiede il passaggio all'autenticazione basata sull'identità per analisi accurate. Sei: una corretta integrazione soddisfa i requisiti di consenso GDPR e acquisisce dati di prima parte che guidano direttamente il ROI di marketing.
I vostri prossimi passi: recuperare gli indirizzi IP del server RADIUS di Purple e le chiavi condivise dalla pagina di configurazione hardware del portale Purple. Configurare i profili RADIUS in CV-CUE. Creare l'elenco dei domini del Walled Garden. Distribuire l'SSID Guest. Testare l'intero flusso di autenticazione da un dispositivo mobile prima di passare alla produzione. E se si distribuiscono ambienti multi-tenant, mappare gli ID VLAN dei tenant in Purple prima di configurare le passphrase PPSK.
Questo conclude il briefing tecnico. Grazie per l'attenzione.
