Vai al contenuto principale
Italiano

Aruba Central and Purple WiFi: Cloud-Managed Integration

Una guida di riferimento tecnico completa per integrare Aruba Central con la piattaforma cloud-hosted di guest WiFi intelligence di Purple. Questa guida copre l'architettura, la configurazione passo-passo di Captive Portal esterni e RADIUS, e le strategie di implementazione multi-sito per i team IT aziendali.

📖 7 minuti di lettura📝 1,633 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Aruba Central e Purple WiFi: integrazione gestita in cloud. Un briefing per i responsabili IT. Benvenuti. Se gestite il WiFi per gli ospiti in più sedi e utilizzate Aruba Central, questo episodio vi riguarda direttamente. Vi guiderò passo dopo passo nell'integrazione tra Purple e Aruba Central: l'architettura, i passaggi di configurazione, i modelli di implementazione multi-sito e le insidie che spesso mettono in difficoltà i team di lavoro. Questo è un briefing pratico, non una presentazione commerciale. Entriamo nel vivo. Sezione uno: Contesto e perché questo è importante. Aruba Central è la piattaforma di rete gestita in cloud di HPE. È il piano di controllo per decine di migliaia di Aruba Instant Access Point distribuiti in hotel, catene retail, stadi, centri congressi ed edifici della pubblica amministrazione. Se siete passati dai controller Aruba on-premises (i Mobility Controller o Mobility Conductor) a Central, avete già sperimentato il passaggio da una configurazione incentrata sulla CLI e specifica per ogni sito a una gestione delle policy basata su gruppi e distribuita via cloud. Questo cambiamento modifica radicalmente il modo in cui si integra una piattaforma di guest WiFi come Purple. Su un controller Aruba on-prem tradizionale, configurereste il reindirizzamento al Captive Portal e l'autenticazione RADIUS direttamente sul controller stesso. Il controller era il punto di applicazione delle policy e si trovava nel vostro data center o nella sala server. Con Aruba Central, l'applicazione delle policy avviene ancora a livello di Access Point, ma la configurazione viene inviata dal cloud. Ciò significa che i punti di contatto dell'integrazione sono diversi. Lavorerete con modelli di gruppo, profili SSID e oggetti profilo di Captive Portal esterni che risiedono nella gerarchia di configurazione di Central, non su un dispositivo in un rack. Purple si posiziona al di sopra di tutto questo come piattaforma di guest WiFi intelligence ospitata in cloud. Fornisce il Captive Portal (la splash page visualizzata dagli ospiti), gestisce la logica di autenticazione, acquisisce dati di prima parte con il consenso e invia i dati analitici ai vostri team di marketing e operation. La domanda è: come collegare queste due piattaforme cloud in modo pulito, su scala e potenzialmente su centinaia di siti? Sezione due: L'architettura tecnica. Permettetemi di descrivere il flusso di dati quando un ospite si connette. Il dispositivo di un ospite si associa al vostro SSID per gli ospiti (chiamiamolo Hotel-Guest) trasmesso da un Aruba Instant AP. L'AP è stato configurato, tramite Aruba Central, con un profilo Captive Portal esterno. Questo profilo contiene due informazioni fondamentali: l'URL di reindirizzamento, che punta al server del Captive Portal di Purple, e i dettagli del server RADIUS, che puntano all'endpoint RADIUS-as-a-Service di Purple. Quando l'ospite apre un browser, l'AP intercetta la richiesta HTTP e la reindirizza alla splash page di Purple. L'ospite si autentica — tramite social login, e-mail, SMS o un modulo personalizzato, a seconda della configurazione di Purple. Il backend di Purple invia quindi un messaggio RADIUS Access-Accept all'AP, che concede all'ospite l'accesso a Internet e lo sposta dal ruolo di pre-autenticazione a quello di ospite autenticato. I pacchetti di accounting RADIUS fluiscono durante tutta la sessione, offrendo a Purple visibilità sulla durata della sessione e sull'utilizzo dei dati. Ora, la differenza fondamentale rispetto ad Aruba on-premise: in Aruba Central, configuri il profilo del Captive Portal esterno una sola volta, a livello di gruppo, e questo si propaga a ogni AP in quel gruppo. Non intervieni sui singoli AP. Questo è incredibilmente potente per le distribuzioni multi-sito, ma richiede di definire correttamente la struttura del gruppo prima di iniziare. Aruba Central organizza i dispositivi in Gruppi e, all'interno dei gruppi, è possibile avere Siti. Un Gruppo è l'unità di configurazione — SSID, profili radio e policy di sicurezza risiedono tutti a livello di gruppo. I Siti sono l'unità di localizzazione e monitoraggio. Per una catena alberghiera, una struttura sensata è un gruppo per tipo di proprietà — ad esempio, Hotel Full-Service e Proprietà Budget — con ogni hotel fisico come sito separato all'interno del gruppo appropriato. La configurazione di Purple si mappa quindi sui gruppi: un profilo di Captive Portal esterno per gruppo, che punta allo stesso endpoint RADIUS di Purple, ma potenzialmente con temi di splash page diversi per sito utilizzando la personalizzazione a livello di sede di Purple. Il walled garden è un elemento di configurazione critico che i team spesso sbagliano. Prima che un ospite si autentichi, l'AP consente solo il traffico DNS e DHCP, oltre a tutti i domini esplicitamente inseriti in whitelist. Affinché Purple funzioni, è necessario inserire in whitelist il dominio del Captive Portal di Purple, tutti i domini CDN utilizzati da Purple per le risorse e tutti i domini dei provider di social login se si utilizza l'autenticazione social — Facebook, Google, Apple. Se si dimentica un dominio, la splash page si caricherà parzialmente o l'autenticazione fallirà in modo silenzioso. La documentazione di supporto di Purple fornisce l'elenco aggiornato del walled garden, ed è consigliabile trattare tale elenco come un documento vivo da rivedere ogni volta che Purple aggiorna la propria piattaforma. Sezione tre: superficie API di Aruba Central per l'automazione. Se si sta effettuando la distribuzione in più di circa venti siti, la configurazione manuale tramite l'interfaccia utente di Central diventa un collo di bottiglia. Aruba Central espone una REST API completa — la Central API — che consente di automatizzare la creazione di SSID, l'assegnazione del profilo del Captive Portal e la configurazione del walled garden. L'API è autenticata tramite OAuth 2.0 e sarà necessario generare le credenziali API dal portale Central. Gli endpoint API chiave per un'integrazione Purple sono: l'endpoint di configurazione WLAN, che consente di creare e aggiornare i profili SSID; l'endpoint del profilo del Captive Portal esterno, in cui si definiscono l'URL di reindirizzamento Purple e i dettagli del server RADIUS; e gli endpoint di gestione dei siti e dei gruppi, che consentono di assegnare i dispositivi a siti e gruppi in modo programmatico. Se stai effettuando l'onboarding di una nuova sede, puoi scrivere uno script che crei il sito in Central, assegni gli AP al sito, applichi il modello di gruppo corretto e configuri il profilo del Captive Portal specifico per Purple, il tutto senza toccare l'interfaccia utente. Purple espone anche la propria API, che consente di creare record di sedi, configurare i temi delle splash page e recuperare i dati analitici. Un'integrazione matura utilizzerà entrambe le API insieme: l'API di Central per gestire il livello di rete, l'API di Purple per gestire il livello dell'esperienza degli ospiti. Questo è il modello utilizzato dalle grandi catene di vendita al dettaglio e dai gruppi alberghieri quando effettuano l'onboarding di decine di nuovi siti a trimestre. Sezione quattro: Configurazione passo-passo. Permettimi di guidarti attraverso la sequenza di configurazione per un singolo sito, che potrai poi automatizzare su scala. In primo luogo, in Aruba Central, naviga verso il tuo gruppo di destinazione e apri la configurazione WLAN. Crea un nuovo SSID — ad esempio, Venue-Guest — e imposta il livello di sicurezza su Visitors. Questa è la terminologia di Aruba per una rete aperta o autenticata tramite Captive Portal. In secondo luogo, nella scheda Sicurezza, imposta il tipo di Splash Page su External Captive Portal. Crea un nuovo profilo External Captive Portal. Assegnagli un nome descrittivo — Purple-Guest-Portal è un'ottima scelta. Imposta il tipo di autenticazione su RADIUS Authentication. Inserisci l'hostname del server del Captive Portal di Purple nel campo IP o Hostname. Inserisci l'URL di reindirizzamento. Abilita HTTPS. Imposta il comportamento in caso di errore del Captive Portal su Deny Internet, che rappresenta l'impostazione predefinita più sicura. In terzo luogo, configura il server RADIUS. In Central, vai alle impostazioni del server di autenticazione e aggiungi il server RADIUS-as-a-Service di Purple. Avrai bisogno dell'IP o dell'hostname del server, del shared secret — che generi nella piattaforma Purple — e della porta di autenticazione, che è la standard 1812, con accounting sulla 1813. Aggiungi questo server come Server Primario per il tuo SSID ospiti. In quarto luogo, configura il walled garden. Nelle regole di accesso dell'SSID, aggiungi il dominio del Captive Portal di Purple e tutti i domini di login social alla allowlist. Testa questo passaggio con attenzione: un dominio mancante è la causa più comune di errore nel caricamento della splash page. In quinto luogo, salva e applica la configurazione. Central invierà la configurazione a tutti gli AP del gruppo. Verifica su un dispositivo di test che il reindirizzamento si attivi correttamente e che l'autenticazione venga completata. Sezione cinque: Modelli di implementazione multi-sito. Per una distribuzione su cinquanta o più siti, è necessario un approccio disciplinato. Il modello che raccomando è: pilota, modello, automazione, convalida. Esegui un progetto pilota su un singolo sito. Ottieni la configurazione esatta: walled garden completo, RADIUS funzionante, splash page caricata correttamente, accounting attivo. Documenta ogni valore dei parametri. Successivamente, crea un modello di gruppo in Central basato su quella configurazione. Il modello diventerà la tua fonte di verità. Per il rollout, utilizza le API di Central per inviare il modello ai nuovi gruppi man mano che integri i siti. Se la tua implementazione di Purple utilizza temi di splash page diversi per marchio o area geografica, parametrizza il profilo del Captive Portal: l'URL di reindirizzamento può includere parametri di query che Purple utilizza per mostrare il tema corretto. Ciò significa che puoi avere un singolo endpoint RADIUS ma molteplici esperienze di splash page, tutte gestite centralmente. Valuta ogni sito dopo l'integrazione. Uno script di convalida semplice che associa un dispositivo di test, verifica il reindirizzamento, autentica e verifica l'accesso a Internet rileverà eventuali discrepanze di configurazione prima che gli ospiti se ne accorgano. La dashboard di analisi di Purple ti mostrerà anche se le sessioni vengono registrate: se un sito smette di inviare dati nei report di Purple, questo è il segnale che qualcosa si è interrotto a livello di rete. Sezione sei: Errori comuni di implementazione. Il walled garden è il punto di errore numero uno. Esegui i test con un dispositivo che non ha sessioni portale o DNS memorizzate nella cache. Utilizza un profilo browser pulito o la modalità in incognito. Il secondo errore comune è la mancata corrispondenza del segreto condiviso RADIUS. Il segreto configurato in Central deve corrispondere esattamente al segreto nella piattaforma di Purple. Una differenza di un singolo carattere causerà errori di autenticazione invisibili: l'AP non riceverà alcuna risposta dal server RADIUS e rifiuterà l'ospite oppure, se hai impostato la modalità di errore del Captive Portal su Consenti Internet, concederà l'accesso senza autenticazione, il che rappresenta un rischio di conformità. Il terzo errore comune è la configurazione errata della VLAN. Il traffico degli ospiti dovrebbe trovarsi su una VLAN dedicata, isolata dalla rete aziendale. In Aruba Central, questo si configura nelle impostazioni VLAN del profilo SSID. Se la VLAN degli ospiti non è correttamente configurata in trunk sulla porta dello switch di uplink, gli AP si attiveranno ma gli ospiti non riceveranno gli indirizzi DHCP. Il quarto errore comune riguarda l'affidabilità del certificato sul reindirizzamento del Captive Portal. I browser e i sistemi operativi moderni sono sempre più rigidi riguardo all'applicazione dell'HTTPS. Il server del Captive Portal di Purple utilizza un certificato TLS valido, ma se il tuo walled garden blocca gli endpoint OCSP o CRL che il client utilizza per convalidare il certificato, vedrai errori di certificato sulla splash page. Aggiungi questi endpoint al tuo walled garden. Sezione sette: Domande rapide. Purple funziona sia con l'architettura AOS-10 di Aruba Central che con AOS-8? Sì. Il meccanismo del Captive Portal esterno è coerente in entrambi i flussi di firmware. Il percorso dell'interfaccia utente differisce leggermente, ma gli oggetti di configurazione sottostanti sono gli stessi. Posso utilizzare il RADIUS-as-a-Service di Purple senza gestire una mia infrastruttura RADIUS? Sì, è proprio questo il punto. Il RADIUS-as-a-Service di Purple è un server RADIUS ospitato nel cloud verso cui indirizzare i tuoi AP Aruba. Non hai bisogno di FreeRADIUS o Cisco ISE on-premises. Questa integrazione supporta il WPA3? Aruba Central supporta il WPA3 sugli AP compatibili, ed è possibile abilitare la modalità di transizione WPA3 sul tuo SSID ospiti. Il meccanismo di Captive Portal di Purple è indipendente dal livello di crittografia: opera a livello di reindirizzamento HTTP, non a livello di associazione 802.11. I dati raccolti da Purple sono conformi al GDPR? Purple è progettato con la conformità al GDPR come requisito fondamentale. La splash page presenta un meccanismo di consenso e il trattamento dei dati di Purple è regolato dal tuo accordo sul trattamento dei dati (DPA) con loro. Per le sedi nell'UE, assicurati che la tua configurazione di Purple includa il testo di consenso appropriato e che il tuo DPA sia attivo prima del go-live. Sezione otto: Riepilogo e prossimi passi. Per riassumere: Aruba Central e Purple si integrano tramite il meccanismo di External Captive Portal, con l'autenticazione RADIUS gestita dal servizio cloud RADIUS di Purple. La configurazione risiede a livello di gruppo in Central e si propaga a tutti gli AP del gruppo, che è la principale differenza architetturale rispetto ad Aruba on-premises. Per i roll-out multi-sito, utilizza l'API di Central per automatizzare il provisioning e considera la configurazione del sito pilota come modello per tutto ciò che segue. I tuoi prossimi passi immediati: in primo luogo, conferma che la struttura del gruppo Aruba Central mappi la gerarchia delle sedi Purple. In secondo luogo, ottieni l'elenco aggiornato dei domini walled garden di Purple e i dettagli degli endpoint RADIUS dal portale di supporto di Purple. In terzo luogo, esegui un pilota su un singolo sito e convalida l'intero flusso di autenticazione prima di scalare. In quarto luogo, crea i tuoi script di automazione utilizzando l'API di Central e l'API di Purple in parallelo. Se stai valutando Purple per la prima volta, le pagine della piattaforma di guest WiFi e analytics su purple.ai ti offrono un quadro chiaro di ciò che otterrai oltre al Captive Portal: l'acquisizione di dati di prima parte, la marketing automation, la footfall analytics. Questo è il business case che permette di finanziare questo progetto. Grazie per l'attenzione. Se hai domande su questa integrazione, il team di soluzioni di Purple può guidarti attraverso un proof-of-concept mirato per il tuo specifico ambiente Aruba Central.

header_image.png

Executive Summary

Per i team IT aziendali che gestiscono reti wireless distribuite, la migrazione dai controller on-premises a piattaforme gestite in cloud come Aruba Central cambia radicalmente il modello di implementazione. Sebbene i meccanismi principali dei Captive Portal e dell'autenticazione RADIUS rimangano gli stessi, il paradigma di configurazione passa da una gestione incentrata sui dispositivi a una gestione delle policy basata sui gruppi.

Questa guida fornisce un riferimento tecnico completo per l'integrazione di Aruba Central con la piattaforma cloud intelligente per guest WiFi di Purple. Vengono illustrate le differenze architetturali tra implementazioni on-premises e gestite in cloud, la configurazione passo-passo per Captive Portal esterni e RADIUS-as-a-Service, e le strategie per automatizzare i rollout multi-sito utilizzando l'API di Aruba Central. Sia che si stia distribuendo il Guest WiFi in una dozzina di uffici regionali o su una rete globale di punti vendita, questo riferimento fornisce le indicazioni pratiche necessarie per garantire un'integrazione sicura, scalabile e conforme.

Technical Deep-Dive

Architectural Shift: Controller to Cloud

In un'implementazione Aruba tradizionale, i Mobility Controller fungono da punti di applicazione delle policy. I profili dei Captive Portal, le regole di walled garden e le definizioni dei server RADIUS vengono configurati direttamente sul controller. Quando un utente guest si associa a un AP, il suo traffico viene incanalato tramite tunnel verso il controller, che gestisce il reindirizzamento HTTP al Captive Portal e funge da proxy per l'autenticazione RADIUS verso il server backend.

Aruba Central opera su un modello di applicazione distribuito. L'applicazione delle policy avviene all'edge dell'Instant Access Point (IAP), mentre la configurazione viene inviata dal cloud. I punti di contatto dell'integrazione passano dalla configurazione del dispositivo locale ai modelli di gruppo, ai profili SSID e agli oggetti Captive Portal esterni all'interno della gerarchia di configurazione di Central.

architecture_overview.png

Purple si posiziona al di sopra di questo livello di rete come piattaforma intelligente ospitata in cloud. Fornisce il motore del Captive Portal, gestisce la logica di autenticazione (inclusi social login, SMS e autenticazione basata su moduli), acquisisce dati di prima parte e invia i dati analitici ai team di marketing e operations tramite la dashboard di WiFi Analytics . Purple fornisce anche il servizio RADIUS-as-a-Service, eliminando la necessità di un'infrastruttura RADIUS on-premises come FreeRADIUS o Cisco ISE per l'autenticazione degli ospiti.

The Authentication Flow

  1. Associazione: Un dispositivo guest si associa all'SSID guest trasmesso da un IAP Aruba.
  2. Ruolo di Pre-Autenticazione: L'IAP assegna all'ospite un ruolo di pre-autenticazione. Questo ruolo consente solo il traffico DNS, DHCP e il traffico destinato ai domini esplicitamente consentiti nel walled garden.
  3. Intercettazione HTTP: Quando l'ospite apre un browser e tenta di accedere a un sito HTTP, l'IAP intercetta la richiesta.
  4. Reindirizzamento: L'IAP fa riferimento al suo profilo di Captive Portal esterno e reindirizza il browser dell'ospite all'URL della splash page di Purple, aggiungendo parametri come l'indirizzo MAC dell'AP e l'indirizzo MAC del client.
  5. Autenticazione: L'ospite si autentica tramite la splash page di Purple.
  6. RADIUS Access-Request: Il backend di Purple invia una richiesta RADIUS Access-Request all'IAP (o Virtual Controller) per conto dell'ospite.
  7. RADIUS Access-Accept: A seguito dell'avvenuta autenticazione, Purple invia un messaggio RADIUS Access-Accept all'IAP.
  8. Ruolo Autenticato: L'IAP sposta l'ospite dal ruolo di pre-autenticazione al ruolo di ospite autenticato, concedendo l'accesso completo a Internet.
  9. Accounting: L'IAP invia pacchetti di RADIUS Accounting-Start e aggiornamenti intermedi a Purple durante tutta la sessione, fornendo visibilità sulla durata della sessione e sull'utilizzo dei dati.

Guida all'implementazione

Questa sezione descrive la configurazione dettagliata richiesta per integrare un singolo sito all'interno di Aruba Central. Per le distribuzioni multi-sito, questa configurazione deve essere integrata in un Group Template.

Passaggio 1: Creare l'SSID Ospiti

  1. Nella WebUI di Aruba Central, navigare nel contesto del gruppo di destinazione.
  2. Sotto Manage, fare clic su Devices > Access Points, quindi fare clic sull'icona Config.
  3. Selezionare la scheda WLANs e fare clic su + Add SSID.
  4. Inserire un nome per l'SSID (ad es. Venue-Guest).
  5. Sotto la scheda Security, impostare il Security Level su Visitors.

Passaggio 2: Configurare il profilo del Captive Portal esterno

  1. Nelle impostazioni di sicurezza dell'SSID, selezionare il tipo di Splash Page come External Captive Portal.
  2. Fare clic sull'icona + per creare un nuovo profilo di Captive Portal.
  3. Name: Inserire un nome descrittivo (ad es. Purple-Portal).
  4. Authentication Type: Selezionare Radius Authentication.
  5. IP or Hostname: Inserire l'hostname del server del Captive Portal di Purple fornito nelle impostazioni del portale Purple.
  6. URL: Inserire l'URL di reindirizzamento fornito da Purple.
  7. Use HTTPS: Abilitare questa opzione per imporre una comunicazione sicura.
  8. Captive Portal Failure: Selezionare Deny Internet per garantire che gli ospiti non possano aggirare l'autenticazione se il portale non è raggiungibile.

Passaggio 3: Configurare RADIUS-as-a-Service

  1. Sempre all'interno delle impostazioni di sicurezza dell'SSID, individuare il campo Primary Server sotto la configurazione del External Captive Portal.
  2. Fare clic sull'icona + per aggiungere un nuovo server di autenticazione esterno.
  3. IP Address: Inserire l'indirizzo IP o l'hostname del server RADIUS di Purple.
  4. Shared Key: Inserire il segreto condiviso RADIUS generato nel portale Purple. Fondamentale: deve corrispondere esattamente.
  5. Auth Port: 1812
  6. Accounting Port: 1813
  7. Assicurarsi che Accounting sia abilitato e impostato su un intervallo ragionevole (ad es. 5 minuti) per garantire un tracciamento accurato delle sessioni nella dashboard di Purple.

Passaggio 4: Definire il Walled Garden

Il walled garden è l'elemento di configurazione più critico. Definisce i domini a cui un ospite può accedere prima di essersi autenticato. Se il walled garden è incompleto, il caricamento della splash page fallirà o l'autenticazione tramite social network si interromperà.

  1. Nelle impostazioni dell'SSID, navigare fino alle regole di Accesso (Access).
  2. Aggiungere regole per consentire il traffico verso i domini del Captive Portal di Purple e gli endpoint CDN.
  3. Se si utilizza il social login (ad es. Facebook, Google, X), è necessario aggiungere i rispettivi domini per tali provider di identità. Purple mantiene un elenco aggiornato dei domini walled garden richiesti nella propria documentazione di supporto.

Passaggio 5: Configurazione VLAN e DHCP

Assicurarsi che l'SSID ospite sia mappato su una VLAN dedicata, isolata dalla rete aziendale.

  1. Nella scheda VLANs all'interno della configurazione dell'SSID, selezionare External DHCP server assigned (se si utilizza la propria infrastruttura DHCP) o Instant AP assigned (se il Virtual Controller gestisce DHCP e NAT per gli ospiti).
  2. Specificare l'ID VLAN corretto per la rete ospiti.

Best Practice per Rollout Multi-Sito

Quando si effettua la distribuzione in decine o centinaia di sedi, sia nel settore Retail , Hospitality o Healthcare , la configurazione manuale è soggetta a errori. È necessario un approccio disciplinato e automatizzato.

multisite_rollout.png

1. Struttura del Gruppo e Gerarchia

Allineare la struttura dei gruppi di Aruba Central con la gerarchia delle sedi. Un modello comune consiste nel creare gruppi in base al tipo di sede o al brand (ad es. "Flagship Stores" rispetto a "Pop-up Locations"). Il profilo External Captive Portal viene applicato a livello di gruppo, il che significa che tutti gli AP in quel gruppo ereditano le stesse impostazioni di integrazione di Purple.

2. Reindirizzamenti Parametrizzati

Se siti diversi richiedono temi diversi per la splash page, non è necessario creare profili di captive portal separati per ciascun sito. Purple consente di utilizzare un unico URL di reindirizzamento che serve dinamicamente il tema corretto in base all'indirizzo MAC dell'AP o a un parametro personalizzato aggiunto all'URL dall'AP Aruba.

3. Provisioning Basato su API

Sfruttare l'API REST di Aruba Central per automatizzare l'onboarding dei siti. L'API di Central consente di creare programmaticamente SSID, assegnare profili di captive portal e aggiornare gli elenchi di walled garden. In combinazione con l'API di Purple, è possibile creare un flusso di lavoro di provisioning zero-touch:

  • Trigger dello script: Una nuova sede viene aggiunta al CMDB.
  • API di Purple: Crea il record della sede in Purple e genera il segreto RADIUS.
  • API di Central: Crea il sito in Aruba Central, assegna gli AP, applica il modello di gruppo e inserisce il segreto RADIUS di Purple.

4. Consolidamento degli SSID

Evita la tentazione di trasmettere più SSID guest per diversi tipi di utenti (ad es. "Guest", "Contractor", "Vendor"). Come dettagliato nella nostra guida su Indoor Positioning System: UWB, BLE, & WiFi Guide , un numero eccessivo di SSID riduce le prestazioni RF consumando tempo di trasmissione prezioso con i beacon frame. Trasmetti un singolo SSID e utilizza la logica di autenticazione di Purple per assegnare ruoli diversi o limiti di larghezza di banda in base all'identità dell'utente.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni

  • Mancato caricamento della Splash Page: Si tratta quasi sempre di un problema relativo al walled garden. Il dispositivo guest tenta di caricare una risorsa (ad es. un font, un'immagine o un file CSS) da un dominio non consentito prima dell'autenticazione. Utilizza gli strumenti di sviluppo del browser su un dispositivo di test per identificare le richieste bloccate.
  • Errori di autenticazione silenziosi: Se la splash page si carica, l'utente si autentica, ma non gli viene concesso l'accesso a Internet, il problema è in genere una mancata corrispondenza del segreto condiviso RADIUS o un firewall che blocca le porte UDP 1812/1813 tra l'AP e i server RADIUS di Purple.
  • Errori di certificato sul reindirizzamento: I sistemi operativi moderni impongono una convalida HTTPS rigorosa. Se il tuo walled garden blocca l'accesso agli endpoint Certificate Revocation List (CRL) o Online Certificate Status Protocol (OCSP) utilizzati dal dispositivo client per convalidare il certificato TLS di Purple, il browser mostrerà un avviso di sicurezza. Assicurati che questi endpoint siano inseriti nella whitelist.

Mitigazione dei rischi: conformità e privacy

Quando distribuisci il WiFi guest, elabori dati personali. L'integrazione deve essere progettata tenendo conto delle normative sulla privacy.

  • GDPR e CCPA: Assicurati che la tua splash page Purple presenti termini e condizioni chiari e meccanismi di consenso esplicito per l'acquisizione dei dati. Per ulteriori informazioni sugli impatti normativi, consulta il nostro briefing su EU AI Act and Guest WiFi: What Marketers Need to Know .
  • PCI DSS: Il traffico guest deve essere separato logicamente dalle reti di elaborazione dei pagamenti. Verifica che la VLAN assegnata all'SSID guest in Aruba Central non possa instradare il traffico verso l'infrastruttura del punto vendita (POS).

ROI e impatto aziendale

La transizione a un'integrazione gestita in cloud tra Aruba Central e Purple offre un valore aziendale misurabile:

  • TCO ridotto: L'eliminazione dei controller on-premises e dei server RADIUS locali riduce i costi hardware e le spese di manutenzione.
  • Agilità operativa: La gestione delle policy basata su gruppi e il provisioning basato su API consentono ai team IT di distribuire nuovi siti in pochi minuti anziché in giorni.
  • Intelligence operativa: Collegando perfettamente l'edge di rete alla piattaforma di analisi di Purple, le sedi ottengono visibilità immediata su affluenza, tempi di permanenza e dati demografici dei clienti, trasformando un centro di costo (il WiFi guest) in una risorsa che genera ricavi.

Ascolta il nostro podcast di approfondimento per ulteriori informazioni:

Definizioni chiave

External Captive Portal Profile

Un oggetto di configurazione in Aruba Central che definisce l'URL di reindirizzamento e i dettagli del server di autenticazione per una piattaforma WiFi per ospiti di terze parti come Purple.

Questo è il punto di integrazione principale in cui i team IT collegano la loro rete Aruba ai servizi cloud di Purple.

Walled Garden

Un insieme di regole di accesso che consentono il traffico verso indirizzi IP o domini specifici prima che un utente si sia autenticato.

Essenziale per consentire ai dispositivi degli ospiti di caricare la splash page di Purple, accedere ai provider di login social e convalidare i certificati TLS prima di ottenere l'accesso completo a Internet.

RADIUS-as-a-Service

Un server RADIUS ospitato nel cloud fornito da Purple che gestisce l'autenticazione e l'accounting per le sessioni WiFi degli ospiti.

Elimina la necessità per i team IT aziendali di implementare e mantenere un'infrastruttura RADIUS on-premises per l'accesso degli ospiti.

Pre-Authentication Role

Lo stato iniziale assegnato a un dispositivo ospite al momento dell'associazione con l'SSID, che limita l'accesso ai soli DNS, DHCP e destinazioni del walled garden.

Garantisce la sicurezza impedendo ai dispositivi non autenticati di accedere a Internet o alla rete aziendale.

Group Template

Una struttura di configurazione gerarchica in Aruba Central che consente di applicare in modo uniforme le policy e le impostazioni SSID su più access point.

Il meccanismo fondamentale per ottenere implementazioni multi-sito scalabili e coerenti.

RADIUS Accounting

Il processo mediante il quale l'access point invia i dati della sessione (ora di inizio, durata, dati trasferiti) al server RADIUS.

Fondamentale per consentire a Purple di fornire analisi accurate sul tempo di permanenza e sul consumo di larghezza di banda nella dashboard WiFi Analytics.

OCSP/CRL Endpoints

Endpoint di Online Certificate Status Protocol e Certificate Revocation List utilizzati dai browser per verificare la validità di un certificato SSL/TLS.

Se questi endpoint sono bloccati dal walled garden, i dispositivi moderni mostreranno avvisi di sicurezza invece della splash page di Purple.

OAuth 2.0

Il protocollo standard di settore per l'autorizzazione, utilizzato per proteggere l'accesso all'API REST di Aruba Central.

I team IT devono generare credenziali OAuth per programmare e automatizzare il provisioning di nuovi siti e profili Captive Portal.

Esempi pratici

Un hotel di 200 camere sta migrando dai controller di mobilità Aruba on-premises ad Aruba Central. Hanno la necessità di replicare la loro integrazione Purple WiFi esistente, che utilizza una splash page personalizzata e il social login, su 45 access point. In che modo il team IT dovrebbe approcciare la configurazione?

Il team IT deve innanzitutto creare un Gruppo dedicato in Aruba Central per l'hotel. All'interno di questo gruppo, configureranno un nuovo SSID guest con il livello di sicurezza impostato su "Visitors". Successivamente, dovranno creare un profilo di Captive Portal esterno che punti all'URL di reindirizzamento di Purple e configurare l'endpoint RADIUS-as-a-Service di Purple come server di autenticazione primario. Aspetto cruciale, poiché utilizzano il social login, il team deve configurare le regole di accesso dell'SSID (il walled garden) per consentire esplicitamente il traffico verso i domini di Purple, gli endpoint CDN e i domini specifici richiesti dai provider di identità social (es. Facebook, Google) prima dell'autenticazione. Infine, gli AP vengono assegnati al gruppo, ereditando automaticamente la configurazione.

Commento dell'esaminatore: Questo approccio sfrutta correttamente l'architettura basata su gruppi di Aruba Central. Applicando la configurazione a livello di gruppo anziché per singolo AP, l'implementazione risulta scalabile e coerente. La menzione esplicita della configurazione del walled garden per i domini di social login dimostra la comprensione del punto di errore più comune nelle integrazioni di Captive Portal gestite in cloud.

Una catena retail sta implementando Purple WiFi in 150 negozi gestiti da Aruba Central. Desiderano un tema di splash page diverso per i loro flagship store rispetto ai punti vendita standard, riducendo al minimo i costi di gestione della configurazione. Come possono raggiungere questo obiettivo?

Invece di creare Gruppi di Aruba Central separati e profili di Captive Portal esterni distinti per ciascun tipo di negozio, la catena può utilizzare un unico Modello di Gruppo e un solo URL di reindirizzamento. La piattaforma di Purple consente all'URL di reindirizzamento di mostrare dinamicamente diversi temi di splash page in base ai parametri aggiunti dall'AP Aruba, come l'indirizzo MAC dell'AP o l'ID del sito. Il team IT configura un solo profilo di Captive Portal esterno in Central e gestisce la mappatura dei temi interamente all'interno della piattaforma Purple.

Commento dell'esaminatore: Questa soluzione dimostra una conoscenza avanzata delle funzionalità di integrazione. L'uso di reindirizzamenti parametrizzati riduce il carico di configurazione in Aruba Central e centralizza la gestione dell'esperienza ospite all'interno di Purple, in linea con le migliori pratiche per la scalabilità aziendale.

Domande di esercitazione

Q1. Hai configurato un profilo External Captive Portal in Aruba Central che punta a Purple. Gli ospiti si connettono all'SSID, ma i loro browser mostrano un errore generico 'Impossibile raggiungere il server' invece della splash page. Qual è la causa più probabile?

Suggerimento: Considera quale traffico è consentito prima che un ospite si autentichi con successo.

Visualizza risposta modello

La causa più probabile è una configurazione incompleta o mancante del walled garden. Prima dell'autenticazione, l'AP scarta tutto il traffico ad eccezione di DNS, DHCP e del traffico destinato ai domini esplicitamente consentiti nelle regole di accesso. È necessario assicurarsi che i domini del Captive Portal di Purple e gli endpoint CDN siano inseriti nella whitelist.

Q2. La tua organizzazione sta distribuendo Purple WiFi in 50 uffici regionali. Vuoi assicurarti che, se il server RADIUS di Purple diventa temporaneamente irraggiungibile, agli ospiti non venga concesso l'accesso a Internet senza autenticazione. Quale impostazione devi configurare nel profilo External Captive Portal?

Suggerimento: Cerca il parametro di configurazione che determina il comportamento in caso di guasto del server esterno.

Visualizza risposta modello

È necessario impostare il comportamento di 'Captive Portal Failure' su 'Deny Internet'. Questo approccio fail-closed garantisce la sicurezza e la conformità impedendo l'accesso non autenticato se il server RADIUS non può essere raggiunto.

Q3. Dopo una distribuzione riuscita, il team di marketing segnala che la dashboard analitica di Purple mostra gli accessi degli ospiti, ma tutte le sessioni mostrano una durata di 0 minuti e 0 byte di dati utilizzati. Quale passaggio di configurazione della rete è stato saltato?

Suggerimento: Pensa a come la durata della sessione e l'utilizzo dei dati vengono comunicati dall'AP al server di autenticazione.

Visualizza risposta modello

Probabilmente il RADIUS Accounting non è stato abilitato, oppure la porta di accounting (1813) è bloccata da un firewall. L'AP utilizza i pacchetti RADIUS Accounting-Start, Interim-Update e Stop per segnalare le metriche di sessione a Purple. Senza di questi, Purple sa che si è verificato un accesso ma non ha visibilità sui dettagli della sessione.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →