Cambium cnPilot and guest WiFi: configurazione del captive portal con Purple

Integrazione di Cambium Networks cnPilot e cnMaestro con Purple WiFi. Un briefing per consulenti. Benvenuto. Se gestisci un ambiente Cambium Networks e ti è stato chiesto di offrire un'esperienza WiFi per ospiti che acquisisca dati, guidi il marketing e garantisca la conformità, questo briefing è esattamente ciò di cui hai bisogno. Ti guiderò attraverso l'integrazione tra gli access point Cambium cnPilot, il controller cloud cnMaestro e Purple WiFi. Esamineremo l'architettura, il flusso di autenticazione RADIUS, la configurazione del walled garden, il WiFi sicuro per il personale tramite 802.1X e la segmentazione multi-tenant che utilizza la funzione ePSK di Cambium con assegnazione VLAN dinamica. Sia che tu stia gestendo un complesso alberghiero, un portafoglio retail, un centro congressi o un campus del settore pubblico, i principi sono gli stessi. Cominciamo. Innanzitutto, un rapido orientamento sulle due piattaforme. Cambium Networks produce la gamma cnPilot di access point WiFi aziendali - i modelli e410, e425H, e430H ed e505 per installazioni interne ed esterne. Questi AP sono gestiti centralmente tramite cnMaestro, la piattaforma di gestione cloud di Cambium. cnMaestro offre visibilità centralizzata, gestione della configurazione e aggiornamenti firmware su tutto il parco AP - sia che si tratti di pochi dispositivi in una singola sede o di migliaia di AP in un patrimonio nazionale. Purple WiFi è una piattaforma aziendale di intelligence per il WiFi per ospiti. Gestisce il Captive Portal - la pagina di benvenuto personalizzata che gli ospiti vedono quando si connettono - e funge anche da server di autenticazione RADIUS, motore di acquisizione dati e piattaforma di marketing automation. Purple opera in 80.000 sedi attive e ha elaborato 440 milioni di accessi nel solo 2024. La combinazione di Cambium cnMaestro e Purple offre uno stack WiFi per ospiti di livello enterprise, tecnicamente solido e commercialmente prezioso. Ora parliamo dell'architettura di integrazione. Il meccanismo principale è un reindirizzamento al Captive Portal combinato con l'autenticazione RADIUS. Ecco come funziona il flusso nella pratica. Un dispositivo ospite si associa al tuo SSID ospite. Tale SSID è configurato in cnMaestro come rete aperta - nessuna chiave precondivisa per gli ospiti. L'AP Cambium intercetta la prima richiesta HTTP dal dispositivo e la reindirizza all'URL del Captive Portal di Purple. Questo reindirizzamento è configurato in cnMaestro nelle impostazioni di Accesso Ospiti della WLAN, dove si imposta l'URL della pagina esterna sull'endpoint del portale della sede di Purple. L'ospite interagisce quindi con il portale Purple. Potrebbe autenticarsi tramite social login, e-mail, verifica SMS o un modulo personalizzato. Una volta completato il flusso di autenticazione, il backend di Purple invia un messaggio RADIUS Access-Accept all'AP Cambium sulla porta UDP 1812. L'AP sposta quindi il dispositivo dallo stato di pre-autenticazione al pieno accesso alla rete. Ti guiderò attraverso i passaggi esatti di configurazione in cnMaestro. Passare a Configuration, poi WiFi Profiles, quindi WLANs. Creare una nuova WLAN per la rete guest. Impostare il nome SSID - ad esempio "Hotel Guest WiFi" - e impostare la sicurezza su Open. Sotto Guest Access, abilitare l'opzione External Hotspot. Questa è l'impostazione chiave che indica a cnMaestro di reindirizzare i client non autenticati a un portale esterno. Impostare l'URL della pagina esterna sull'URL del portale della sede di Purple. Abilitare l'autenticazione RADIUS e inserire l'indirizzo IP del server RADIUS di Purple, il segreto condiviso e impostare la porta di autenticazione su UDP 1812. Abilitare il RADIUS accounting su UDP 1813 - questo è fondamentale per il corretto funzionamento degli analytics di Purple. Senza i record di accounting, Purple non può generare dati di sessione, metriche sul tempo di permanenza o analisi della frequenza delle visite. Ora, il walled garden. Questo è l'elenco di domini e indirizzi IP che i dispositivi guest possono raggiungere prima di autenticarsi. È necessario inserire nella whitelist il dominio del portale di Purple e tutti gli endpoint CDN utilizzati per servire le risorse del portale. È inoltre necessario inserire nella whitelist i domini dei provider di autenticazione - se si utilizza l'accesso social tramite Google o Facebook, i loro domini OAuth devono essere nel walled garden. Un walled garden configurato in modo errato è la causa più comune di guasti del Captive Portal. Il dispositivo guest deve risolvere il DNS e raggiungere il portale Purple tramite HTTPS prima di potersi autenticare. In cnMaestro, il walled garden è configurato nelle impostazioni dell'External Hotspot. Aggiungere voci per il dominio del portale di Purple, per i domini dei provider di social login e per i domini dei gateway di pagamento se si gestiscono livelli di WiFi a pagamento. Parliamo ora del WiFi sicuro per il personale che utilizza lo standard 802.1X. Per le reti del personale, non si desidera un Captive Portal. Si desidera un'autenticazione basata su certificati o credenziali che avvenga in modo silenzioso a livello di dispositivo. In cnMaestro, creare una WLAN separata per il personale. Impostare la sicurezza su WPA2-Enterprise. Configurare i dettagli del server RADIUS - ancora una volta, l'IP del server RADIUS di Purple su UDP 1812. I dispositivi del personale si autenticano utilizzando PEAP con credenziali username e password, o EAP-TLS con certificati di dispositivo per il massimo livello di sicurezza. Purple si integra con Microsoft Entra ID, Okta e Google Workspace come identity provider. Ciò significa che il personale può autenticarsi al WiFi utilizzando le credenziali aziendali esistenti - nessuna password WiFi separata da gestire. Purple convalida le credenziali rispetto all'identity provider e restituisce un Access-Accept all'AP Cambium. L'assegnazione dinamica della VLAN inserisce quindi il dispositivo del personale autenticato nella VLAN corretta del personale, isolandolo dal traffico guest. Ora, la segmentazione multi-tenant che utilizza Cambium ePSK. ePSK - enhanced pre-shared key - è l'implementazione di Cambium di ciò che il settore chiama PPSK o iPSK. Il concetto è semplice: invece di avere una sola password condivisa per un intero SSID, ogni utente o tenant riceve la propria passphrase univoca. Tutti si connettono allo stesso SSID, ma ogni chiave univoca è mappata su una VLAN specifica, offrendo un isolamento di rete senza la complessità di gestire più SSID. cnMaestro supporta fino a 2.000 voci ePSK per WLAN. A ciascun ePSK è possibile assegnare un ID VLAN specifico, un limite di larghezza di banda e una data di scadenza. Questo lo rende ideale per ambienti multi-tenant - ad esempio un centro congressi in cui ogni espositore ha il proprio segmento di rete isolato, o un edificio residenziale in affitto in cui ogni residente ha la propria rete privata. Per configurare ePSK in cnMaestro, vai su Configuration, WiFi Profiles, WLANs. Crea una nuova WLAN. Imposta la sicurezza su WPA2 Pre-Shared Key. Abilita l'opzione ePSK. È quindi possibile aggiungere manualmente le singole voci ePSK o utilizzare l'API di cnMaestro per fornirle a livello di programmazione - che è l'approccio consigliato per le installazioni su larga scala. Per ogni voce ePSK, imposta la passphrase, l'ID VLAN assegnato e facoltativamente il limite di larghezza di banda e la scadenza. Quando un dispositivo si connette utilizzando quella passphrase, l'AP Cambium lo inserisce automaticamente nella VLAN assegnata. Nessun RADIUS richiesto per il flusso ePSK stesso - l'assegnazione della VLAN viene gestita localmente dall'AP in base alla passphrase utilizzata. Purple si integra con questo modello gestendo il ciclo di vita degli ePSK tramite l'API di cnMaestro. Purple può fornire nuove voci ePSK quando viene aggiunto un nuovo tenant, aggiornare l'assegnazione della VLAN, impostare date di scadenza e revocare l'accesso quando un tenant se ne va. Ciò elimina il carico di lavoro manuale per la gestione di centinaia o migliaia di chiavi individuali. Ora parliamo di cosa può andare storto e di come evitarlo. L'errore più comune riguarda il walled garden. Se le voci del walled garden sono incomplete, il reindirizzamento al Captive Portal non viene mai completato. Gli ospiti visualizzano un timeout di connessione anziché una pagina di login. Esegui sempre i test con un dispositivo pulito - non uno che si è connesso in precedenza - e verifica che il portale Purple si carichi prima dell'autenticazione. Verifica che la risoluzione DNS funzioni per il dominio del portale Purple dallo stato di pre-autenticazione. Secondo: discrepanze nei codici segreti condivisi RADIUS. Nelle grandi installazioni con più siti, è facile che un codice segreto condiviso sia configurato in modo diverso in cnMaestro rispetto a quello registrato in Purple. Verifica sempre il codice segreto condiviso su entrambi i lati prima di attivare il servizio. Utilizza un codice segreto sicuro, generato in modo casuale - di almeno 32 caratteri - e conservalo in un gestore di credenziali, non in un foglio di calcolo. Terzo: il RADIUS accounting. Non saltarlo. I record di accounting sono ciò che Purple utilizza per creare i dati analitici delle sessioni - tempo di permanenza, frequenza delle visite, tipo di dispositivo. Configura il RADIUS accounting sulla porta UDP 1813 in cnMaestro. Senza di esso, perdi il valore dei dati analitici forniti da Purple. Si tratta di un passaggio di configurazione che richiede cinque minuti. Quarto: VLAN trunking. Affinché l'assegnazione dinamica della VLAN funzioni, le VLAN devono essere configurate in trunking sulle porte dello switch che si collegano agli AP Cambium. Se la VLAN 100 per gli ospiti non è consentita nel trunk, gli ospiti autenticati non riceveranno un indirizzo IP e sembreranno non avere accesso a Internet anche dopo un'autenticazione riuscita. Verificare la configurazione del trunk dello switch prima del test. Quinto: conflitti di intervallo VLAN ePSK. Assicurarsi che l'intervallo VLAN ePSK non sia in conflitto con le VLAN esistenti nella rete - in particolare le VLAN di gestione o le VLAN infrastrutturali. Documentare l'allocazione delle VLAN prima di iniziare. Sesto: versione del firmware. Assicurarsi che gli AP cnPilot eseguano la versione del firmware 6.0 o successiva per il supporto completo dell'hotspot esterno e la funzionalità ePSK. Le versioni precedenti del firmware presentano problemi noti con il comportamento di reindirizzamento del Captive Portal. Ora alcune domande rapide. Posso usare Purple con Cambium senza RADIUS - solo con un semplice reindirizzamento? Sì, ma si perde l'assegnazione dinamica della VLAN e i dati di contabilità delle sessioni. Per qualsiasi cosa vada oltre una pagina di benvenuto di base, RADIUS è caldamente raccomandato. Purple supporta WPA3 sugli AP Cambium? Sì. L'autenticazione basata su portale di Purple è compatibile con WPA3-SAE sull'SSID. Il flusso RADIUS è indipendente dal protocollo di sicurezza wireless. Posso gestire Purple su più siti Cambium da un singolo account Purple? Assolutamente sì. L'architettura multi-sede di Purple è progettata esattamente per questo. Ogni sito corrisponde a una sede in Purple, e le policy di rete di cnMaestro si scalano in modo lineare su un intero patrimonio nazionale. Quante voci ePSK può supportare cnMaestro? Fino a 2.000 per WLAN. Per implementazioni che richiedono di più, utilizzare un approccio basato su RADIUS per la gestione delle chiavi. In sintesi: l'integrazione tra Cambium cnMaestro e Purple WiFi è un'architettura collaudata che offre WiFi per gli ospiti con acquisizione dati, autenticazione RADIUS, segmentazione dinamica della VLAN e analisi complete - il tutto gestito centralmente tramite la console cloud di cnMaestro. I passaggi chiave per renderlo operativo: configurare la WLAN ospiti in cnMaestro con l'opzione External Hotspot abilitata e l'URL del portale Purple impostato, aggiungere i dettagli del server RADIUS di Purple per l'autenticazione e la contabilità, configurare le voci del walled garden, verificare il VLAN trunking sugli switch e testare con un nuovo dispositivo prima del go-live. Per le distribuzioni multi-tenant, configurare ePSK su una WLAN dedicata, assegnare gli ID VLAN per tenant e utilizzare l'API di cnMaestro per la gestione del ciclo di vita su scala. Il caso di ROI è immediato. La piattaforma di analisi di Purple trasforma il WiFi per gli ospiti da un centro di costo a una risorsa di dati proprietari. Harrods ha ottenuto un ROI di marketing pari a 57 volte l'investimento grazie all'implementazione del WiFi per gli ospiti di Purple. AGS Airports ha generato un ROI dell'842%. In combinazione con l'infrastruttura di livello enterprise di Cambium, si ottiene una soluzione che si scala da una singola sede a un patrimonio nazionale senza modifiche architetturali. Per i passaggi successivi: richiedi i dettagli del server RADIUS di Purple al tuo account manager Purple, apri la configurazione WLAN di cnMaestro per il tuo SSID ospiti e segui la checklist di configurazione. La maggior parte delle installazioni su singolo sito diventa attiva entro un giorno. Grazie per l'attenzione. Se desideri approfondire la progettazione del Captive Portal, la strategia di segmentazione VLAN o la gestione del ciclo di vita ePSK, la documentazione e il team di supporto di Purple sono i contatti ideali per il passaggio successivo.