Vai al contenuto principale
Italiano

Captive Portal for Aruba

Una guida di riferimento tecnico autorevole per configurare gli access point gestiti da Aruba Instant (IAP) e Aruba Central per reindirizzare gli utenti ospiti verso il Captive Portal esterno sicuro e ad alta conversione di Purple. Questa guida copre la configurazione passo-passo dell'SSID ospiti, il reindirizzamento al Captive Portal esterno, i parametri di autenticazione e accounting del server RADIUS, gli elenchi di eccezione del walled garden e il supporto WISPr.

📖 11 minuti di lettura📝 2,686 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
CAPTIVE PORTAL PER ARUBA: INTEGRARE PURPLE PER IL GUEST WIFI AZIENDALE Un briefing tecnico di Purple — Circa 10 minuti [INTRODUZIONE E CONTESTO — circa 1 minuto] Benvenuti alla serie di briefing tecnici di Purple. Sono il vostro ospite e oggi affronteremo un argomento che emerge in quasi tutte le conversazioni sulle installazioni wireless aziendali: come configurare un captive portal sull'infrastruttura Aruba e, nello specifico, come collegare tale portale alla piattaforma di guest WiFi intelligence di Purple. Se gestite AP Aruba Instant o una flotta di access point tramite Aruba Central, questo episodio fa al caso vostro. Procederemo rapidamente — si tratta di un briefing per professionisti, non di una lezione teorica — quindi darò per scontato che sappiate muovervi all'interno di una schermata di configurazione WLAN e che conosciate le basi dell'autenticazione RADIUS. Il problema principale che andiamo a risolvere è questo: il portale guest integrato di Aruba è funzionale, ma limitato. Non offre l'acquisizione di dati di marketing, i flussi di consenso conformi al GDPR o le analisi in tempo reale di cui i locali aziendali hanno bisogno. Sostituirlo con il captive portal esterno di Purple è la decisione architetturale corretta, e oggi vi guiderò passo dopo passo su come farlo. [APPROFONDIMENTO TECNICO — circa 5 minuti] Iniziamo con l'architettura. Quando un ospite si connette al vostro SSID Aruba e apre un browser, l'AP intercetta la richiesta HTTP sulla porta TCP 80 e la reindirizza all'URL del portale esterno — in questo caso, la splash page ospitata sul cloud di Purple. L'ospite si autentica tramite il portale di Purple, che invia quindi una richiesta RADIUS Access-Request ai server RADIUS di Purple sulla porta UDP 1812. In caso di successo, il server RADIUS restituisce un messaggio di Access-Accept e l'AP concede al client l'accesso completo a Internet. I record di accounting vengono inviati sulla porta UDP 1813 per tutta la durata della sessione. Questo è il flusso fondamentale. Ora passiamo alla configurazione. Ci sono due piani di gestione con cui potreste lavorare: Aruba Instant, che è il modello di controller virtuale on-premises con ArubaOS 8.x, e Aruba Central, che è la piattaforma di gestione cloud di HPE. I passaggi di configurazione sono simili nel concetto, ma differiscono nella posizione in cui si trovano le impostazioni. Iniziamo con Aruba Instant su ArubaOS 8. Per prima cosa, configurerete il vostro server RADIUS. Andate su Security, poi su Authentication Server e fate clic su New. Avrete bisogno di quattro informazioni fornite dalla piattaforma Purple: l'indirizzo IP del server primario, la porta di autenticazione — solitamente 1812 — la porta di accounting — solitamente 1813 — e la chiave segreta condivisa (shared secret). Purple fornisce questi dati nella dashboard di configurazione della vostra sede. Aggiungete un server secondario per garantire la resilienza; Purple gestisce un'infrastruttura RADIUS multi-regione, quindi avrete a disposizione un backup geograficamente appropriato. Successivamento, crea il profilo dell'External Captive Portal. Vai su Security, poi su Captive Portal, clicca su New e imposta il Type su External. Inserisci l'URL della splash page ricavato dalla configurazione della tua location Purple — si tratterà di un endpoint HTTPS ospitato da Purple. Imposta la porta su 443, abilita Use HTTPS e, cosa fondamentale, imposta il campo WISPr su Enabled. Il WISPr — ovvero il roaming Wireless Internet Service Provider — è il protocollo che consente ai dispositivi di rilevare automaticamente il captive portal e di presentarlo correttamente, in particolare sui dispositivi iOS e Android che utilizzano il rilevamento del captive portal in background. Senza il WISPr abilitato, alcuni dispositivi non riusciranno ad attivare automaticamente il portale. Ora, l'SSID Guest. Crea una nuova WLAN, imposta Primary Usage su Guest e, nella scheda Security, imposta Splash Page Type su External — RADIUS Server. Assegna il profilo del captive portal e il server RADIUS appena creati. Imposta il Reauth Interval su un valore sensato — 1440 minuti, ovvero 24 ore, è una scelta comune per gli ambienti hospitality. Abilita l'autenticazione MAC se desideri che gli ospiti che ritornano saltino il portale nelle visite successive all'interno di quella finestra temporale. Per Aruba Central su AOS-8, il flusso è essenzialmente lo stesso ma vi si accede tramite la procedura guidata WLAN in Devices, Config, WLANs. Imposta Security Level su Visitors, Type su External Captive Portal e crea un nuovo profilo captive portal con l'URL della splash page di Purple. Aggiungi i tuoi server RADIUS primario e secondario, abilita l'accounting e imposta un intervallo di accounting di cinque minuti. Questo intervallo è importante — garantisce che la piattaforma di analytics di Purple riceva aggiornamenti regolari sulle sessioni per un reporting accurato del tempo di permanenza e del coinvolgimento. Su AOS-10, che è l'architettura cloud-first, c'è una differenza importante: il walled garden non si configura più nella scheda WLAN Security. Al contrario, lo si configura tramite le Access Rules. Crea un ruolo di pre-autenticazione — chiamalo Guest Logon — e aggiungi regole di autorizzazione (allow) per ciascun dominio presente nella whitelist del walled garden. Quindi assegna quel ruolo come Pre-Authentication Role sull'SSID. A proposito del walled garden — è qui che la maggior parte delle distribuzioni fallisce. Il walled garden è l'elenco dei domini che gli ospiti non autenticati possono raggiungere prima di aver completato il flusso del portale. Senza queste voci, il portale stesso non si caricherà, perché il dispositivo dell'ospite non può raggiungere la CDN di Purple per scaricare le risorse della splash page. Le voci obbligatorie di Purple sono: star dot purple dot ai, star dot cloudfront dot net e star dot venuewifi dot com. Se utilizzi il social login — Google, Facebook, Apple, Microsoft — dovrai aggiungere i relativi domini OAuth per ciascun provider. Google richiede star dot google dot com, star dot googleapis dot com e star dot gstatic dot com. Facebook richiede star dot facebook dot com, star dot fbcdn dot net e connect dot facebook dot net. Apple Sign-In richiede star dot apple dot com e appleid dot apple dot com. Microsoft Entra ID richiede star dot microsoft dot com e star dot microsoftonline dot com. Un aspetto importante da sottolineare: su Aruba, è possibile abilitare l'Automatic URL Whitelisting nel profilo del captive portal. Questa funzione inserisce dinamicamente in whitelist gli URL a cui fa riferimento la pagina del portale. È utile come soluzione di ripiego, ma consiglio di configurare esplicitamente il walled garden piuttosto che affidarsi al whitelisting automatico in produzione: è più prevedibile e più facile da verificare. Parliamo nello specifico dei parametri RADIUS. Gli attributi chiave utilizzati da Purple sono: NAS-IP-Address, che identifica l'AP o il controller; Called-Station-Id, che trasporta il BSSID e l'SSID nel formato indirizzo-MAC:nome-SSID — Purple lo usa per mappare le sessioni su sedi e punti di accesso specifici; e Calling-Station-Id, che è l'indirizzo MAC del client. Sul lato accounting, Acct-Session-Id fornisce l'identificatore univoco della sessione, mentre Acct-Status-Type trasporta gli eventi Start, Interim-Update e Stop. Assicurati che la tua configurazione Aruba invii tutti e tre i tipi di eventi di accounting: alcune distribuzioni inviano solo Start e Stop, il che significa che l'analytics di Purple perde i dati di sessione intermedi necessari per calcolare con precisione i tempi di permanenza. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI — circa 2 minuti] Permettimi di darti i consigli pratici che darei a qualsiasi cliente che implementa questa soluzione. Primo: testa sempre con un dispositivo di test dedicato prima di andare online. Connettiti all'SSID ospiti, apri un browser su un URL HTTP — non HTTPS — e verifica che il reindirizzamento si attivi. Se vai direttamente su HTTPS, il reindirizzamento non funzionerà perché l'AP non può intercettare il traffico crittografato. Questa è la segnalazione di supporto numero uno che riceviamo. Secondo: regole del firewall. La VLAN di gestione dell'AP o il controller necessitano di accesso UDP in uscita verso gli IP del server RADIUS di Purple sulle porte 1812 e 1813. Se disponi di un firewall stateful tra i tuoi AP e Internet, assicurati che consenta questi flussi UDP. RADIUS è connectionless, quindi alcuni firewall richiedono regole esplicite anziché affidarsi all'ispezione stateful. Terzo: attendibilità dei certificati. Quando configuri l'URL della splash page come HTTPS, l'AP deve considerare attendibile il certificato presentato dal server del portale di Purple. Su Aruba Central, potrebbe essere necessario importare un certificato CA attendibile nelle impostazioni globali prima che il reindirizzamento del portale funzioni correttamente su HTTPS. Purple utilizza certificati di una CA ampiamente attendibile, ma vale la pena verificarlo nel tuo ambiente. Quarto: segmentazione della VLAN. Il tuo SSID ospiti dovrebbe trovarsi su una VLAN dedicata e isolata dalla rete aziendale. Questo è sia un requisito di sicurezza — lo standard PCI DSS 3.2.1 richiede la segmentazione della rete per gli ambienti con dati dei titolari di carta — sia una necessità pratica per la funzionalità del captive portal. La VLAN ospiti deve avere accesso a Internet ma nessuna rotta verso le risorse interne. Quinto: l'impostazione WISPr. L'ho menzionato prima, ma vale la pena ripeterlo. Abilita WISPr. Senza di esso, i dispositivi iOS in particolare non rileveranno automaticamente il captive portal e gli ospiti vivranno un'esperienza confusa in cui sembreranno connessi ma non avranno accesso a Internet. [DOMANDE E RISPOSTE RAPIDE — circa 1 minuto] Passiamo in rassegna le domande che ricevo più spesso. Posso utilizzare Aruba Instant On — il prodotto per le piccole imprese — con Purple? Sì, con alcune limitazioni. Instant On supporta i Captive Portal esterni, ma l'interfaccia di configurazione è più limitata rispetto ad Aruba Central completo. Purple dispone di una guida all'integrazione dedicata a Instant On. Purple supporta RadSec per il RADIUS crittografato? Sì. Purple supporta RADIUS su TLS — RadSec — per le distribuzioni in cui il traffico RADIUS attraversa reti non attendibili. Questo è sempre più rilevante per le distribuzioni gestite in cloud in cui lo scambio RADIUS attraversa la rete internet pubblica. Cosa succede se il portale Purple non è raggiungibile? È possibile configurare l'impostazione Captive Portal Failure su "Nega Internet" — che è l'impostazione predefinita sicura — o su "Consenti Internet", che fornisce una modalità di accesso aperto di fallback. Per la maggior parte delle sedi aziendali, "Nega Internet" è la scelta corretta. Posso gestire più SSID con diverse sedi Purple sulla stessa infrastruttura Aruba? Assolutamente sì. Ogni SSID riceve il proprio profilo di Captive Portal esterno che punta a un URL di sede Purple diverso. L'attributo RADIUS Called-Station-Id trasporta il nome dell'SSID, che Purple utilizza per instradare la sessione alla corretta configurazione della sede. [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Riassumiamo il tutto. L'implementazione di Purple come Captive Portal esterno su infrastruttura Aruba è un percorso di integrazione ampiamente collaudato. I passaggi chiave sono: configurare i server RADIUS con le credenziali di Purple, creare un profilo di Captive Portal esterno che punti all'URL della splash page di Purple con WISPr abilitato, creare l'SSID guest con il tipo di splash page "External RADIUS Server" e configurare il walled garden con i domini principali di Purple e gli eventuali domini dei provider di social login abilitati. La differenza di AOS-10 da ricordare è che la configurazione del walled garden si sposta su "Access Rules" anziché sulla scheda "WLAN Security". Dal punto di vista aziendale, la sostituzione del portale locale di base di Aruba con Purple offre un'acquisizione dei dati conforme al GDPR, analisi della posizione in tempo reale, report demografici e automazione del marketing — il tutto a partire dalla stessa infrastruttura WiFi che già possiedi. Per i prossimi passi: recupera le credenziali RADIUS della tua sede Purple dalla dashboard di Purple, esegui la checklist di configurazione nella guida scritta allegata e fai un test con un dispositivo dedicato prima di passare alla produzione. Se stai effettuando la distribuzione su più siti, la console di gestione multi-sito di Purple ti consente di gestire le configurazioni dei Captive Portal, il branding e l'analisi dell'intera proprietà da un'unica interfaccia. Grazie per l'attenzione. La guida scritta completa, le tabelle di configurazione e gli elenchi di riferimento del walled garden sono disponibili su purple dot ai. Alla prossima. [FINE DELLO SCRIPT]

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Executive Summary

Per gli ingegneri wireless aziendali, gli architetti di rete e i direttori operativi delle sedi, l'implementazione di un'infrastruttura wireless per ospiti robusta non si limita più alla semplice fornitura di un accesso a Internet di base. Le strutture moderne richiedono una soluzione in grado di bilanciare una rigorosa sicurezza di rete, la conformità alle normative e un'esperienza utente ad alta conversione. Sebbene le funzionalità native di Captive Portal di HPE Aruba siano altamente affidabili, mancano della sofisticata acquisizione di dati di marketing, della scalabilità globale multi-sito e dell'analisi demografica e di localizzazione in tempo reale richieste dalle sedi aziendali nei settori dell'ospitalità, del retail e pubblico.

Integrando Purple direttamente con gli access point gestiti da Aruba Instant (IAP) o Aruba Central, le organizzazioni possono sostituire le splash page locali di base con un portale ospiti globale, sicuro e altamente scalabile. Questa integrazione sfrutta i protocolli di rete standard, tra cui Remote Authentication Dial-In User Service (RADIUS) e il roaming Wireless Internet Service Provider (WISPr), per offrire un onboarding fluido, sicuro e coerente con il brand. Questa guida di riferimento tecnico fornisce i parametri di configurazione esatti, i diagrammi architetturali e i flussi di lavoro di risoluzione dei problemi necessari per implementare con successo Purple sull'infrastruttura Aruba.

Approfondimento Tecnico

L'integrazione di Purple con l'infrastruttura wireless Aruba si basa su un reindirizzamento standard a un Captive Portal esterno e su un flusso di autenticazione RADIUS. Questa architettura garantisce che l'autenticazione degli utenti e la contabilizzazione del traffico siano gestite in modo sicuro nel cloud, mentre gli access point locali applicano il controllo degli accessi e le policy di Quality of Service (QoS).

Il Flusso di Reindirizzamento del Captive Portal

Quando un client non autenticato si associa al Service Set Identifier (SSID) ospite, l'access point Aruba intercetta la richiesta HTTP iniziale del client (in genere la porta TCP 80) ed esegue un reindirizzamento HTTP 302 alla splash page ospitata sul cloud di Purple.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Presents Splash Page ----------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Submits Login Form ------------------------------------>|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (with Session Timeout)   |                                |
       |<-- 8. Internet Granted ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (every 5 min) ---------------->|

architecture_overview.png

Parametri di Autenticazione e Accounting RADIUS

Una volta che l'ospite invia le proprie credenziali o completa un social login sulla splash page di Purple, il backend del portale Purple comunica con l'access point o controller locale Aruba per avviare l'autenticazione RADIUS. L'AP Aruba funge da Network Access Server (NAS) e invia una richiesta RADIUS Access-Request ai server RADIUS cloud di Purple sulla porta UDP 1812.

Per garantire un tracciamento accurato delle sessioni, l'applicazione delle policy e la reportistica, devono essere scambiati i seguenti attributi RADIUS:

Nome Attributo ID Attributo Descrizione Contesto Pratico
NAS-IP-Address 4 L'indirizzo IP di gestione del virtual controller o AP Aruba. Identifica l'hardware fisico che ha originato la richiesta di autenticazione.
Calling-Station-Id 31 L'indirizzo MAC del dispositivo client (solitamente formattato come XX-XX-XX-XX-XX-XX). Utilizzato da Purple per tracciare i dispositivi univoci e applicare il caching del MAC per gli ospiti che ritornano.
Called-Station-Id 30 L'indirizzo MAC della radio dell'AP (BSSID) combinato con il nome dell'SSID (formattato come MAC:SSID). Fondamentale per Purple per identificare l'esatta sede fisica e lo specifico SSID a cui l'utente si sta connettendo.
Acct-Session-Id 44 Un identificatore univoco generato dall'AP per ogni sessione client. Collega gli eventi di autenticazione con i successivi record di avvio, intermedi e di arresto dell'accounting.
Acct-Status-Type 40 Indica il tipo di record di accounting: Start (1), Stop (2) o Interim-Update (3). Consente il tracciamento in tempo reale delle sessioni attive e calcoli precisi del tempo di permanenza.
Acct-Interim-Interval 85 Specifica la frequenza (in secondi) degli aggiornamenti di accounting intermedi inviati dall'AP. Deve essere impostato su 300 secondi (5 minuti) per garantire che la dashboard analitica di Purple mostri dati in tempo reale accurati.

L'architettura del Walled Garden (Lista delle eccezioni)

Prima che un utente venga autenticato, l'AP Aruba limita tutto il traffico ad eccezione delle destinazioni esplicitamente definite nel Walled Garden (o lista delle eccezioni). Poiché il Captive Portal di Purple è ospitato in cloud e si affida a provider di identità esterni (come Google, Facebook e Apple) per l'autenticazione social, l'AP deve consentire ai client non autenticati di risolvere il DNS e comunicare con questi domini esterni.

Se un qualsiasi dominio richiesto viene omesso dal walled garden, l'ospite visualizzerà una pagina vuota, CSS non caricati, immagini mancanti o un timeout completo durante il flusso di login.

walled_garden_infographic.png

Guida all'implementazione

La distribuzione di Purple sull'infrastruttura wireless Aruba può essere eseguita tramite Aruba Instant (IAP) con ArubaOS 8.x (modalità virtual-controller on-premises) o Aruba Central (gestione in cloud AOS-8 o AOS-10).

Configurazione di Aruba Instant (IAP) (ArubaOS 8.x)

Passaggio 1: Configurare i server RADIUS

  1. Accedere all'interfaccia web del virtual controller di Aruba Instant AP.
  2. Passare a Security > Authentication Server e fare clic su New.
  3. Configurare il Server RADIUS primario con i seguenti parametri:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Fornita nella dashboard del tuo Venue Purple]
  4. Fare clic su OK per salvare.
  5. Fare clic nuovamente su New per configurare il Server RADIUS secondario:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Fornita nella dashboard del tuo Venue Purple]
  6. Fare clic su OK per salvare.

Passaggio 2: Creare il profilo del Captive Portal

  1. Passare a Security > Captive Portal e fare clic su New.
  2. Configurare il profilo con le seguenti impostazioni:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Fondamentale per l'attivazione automatica del portale sui dispositivi iOS e Android)
  3. Fare clic su OK per salvare.

Passaggio 3: Configurare la whitelist del Walled Garden

  1. Nel menu Security > Captive Portal, selezionare il profilo Purple_Portal appena creato.
  2. Nella sezione Walled Garden, fai clic sul link per aprire la configurazione della whitelist.
  3. Aggiungi i seguenti domini principali di Purple:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. Se l'accesso tramite social è abilitato, aggiungi i rispettivi domini (es. *.google.com, *.facebook.com, *.apple.com).
  5. Fai clic su Salva.

Passaggio 4: Creare e configurare l'SSID Guest

  1. Passa a Rete > Nuovo per avviare la procedura guidata WLAN.
  2. Nella scheda Impostazioni WLAN:
    • Nome (SSID): Guest-WiFi
    • Utilizzo principale: Guest
    • Fai clic su Avanti.
  3. Nella scheda VLAN, configura l'assegnazione di IP e VLAN in base all'architettura della tua rete (in genere Assegnazione IP client: Assegnato da rete su una VLAN guest dedicata). Fai clic su Avanti.
  4. Nella scheda Sicurezza:
    • Tipo di splash page: Esterna
    • Profilo Captive Portal: Seleziona Purple_Portal
    • Server di autenticazione 1: Seleziona Purple_Primary
    • Server di autenticazione 2: Seleziona Purple_Secondary
    • Intervallo di riautenticazione: 1440 (24 ore, o in base alle policy della sede)
    • Accounting: Abilitato
    • Intervallo di accounting: 5 minuti
  5. Fai clic su Avanti per passare alla scheda Accesso. Assicurati che la regola guest predefinita consenta la pre-autenticazione DHCP e DNS, quindi fai clic su Fine.

Configurazione di Aruba Central (AOS-8 e AOS-10)

Aruba Central AOS-8

  1. Passa a Dispositivi nella sezione Gestisci del tuo gruppo in Aruba Central.
  2. Fai clic su Config (icona dell'ingranaggio) in alto a destra, quindi vai alla scheda WLAN e fai clic su + Aggiungi SSID.
  3. Nel Passaggio 1: Generale, inserisci il nome dell'SSID (es. Guest-WiFi) e fai clic su Avanti.
  4. Nel Passaggio 2: VLAN, configura la mappatura della tua VLAN guest e fai clic su Avanti.
  5. Nel Passaggio 3: Sicurezza:
    • Imposta il Livello di sicurezza su Visitatori.
    • Imposta il Tipo su Captive Portal esterno.
    • Assicurati che la Gestione delle chiavi sia impostata su Aperta (non utilizzare Enhanced Open/OWE per i portali guest standard, poiché può causare problemi di compatibilità con i client).
    • Fai clic sull'icona + accanto a Profilo Captive Portal per aggiungere un nuovo profilo:
      • Nome: Purple_Central_Portal
      • IP o nome host: portal.venuewifi.com
      • URL: /
      • Porta: 443
      • URL di reindirizzamento: https://portal.venuewifi.com
      • Usa HTTPS: Vero
      • Errore Captive Portal: Nega Internet (Consigliato per la conformità in materia di sicurezza)
    • Fai clic su Salva.
    • Fai clic sull'icona + accanto a Server primario e Server secondario per aggiungere i server RADIUS Purple utilizzando rispettivamente gli IP 34.94.146.135 e 34.94.183.201, con le porte 1812 (Autenticazione) e 1813 (Accounting).
    • Espandi Impostazioni avanzate, scorri fino a Accounting, seleziona Usa server di autenticazione e imposta l'Intervallo di accounting su 5 minuti.
  6. Scorri verso il basso fino alla sezione Walled Garden, fai clic su + Aggiungi e inserisci i domini Purple e di social login richiesti.
  7. Fai clic su Salva impostazioni.

Aruba Central AOS-10

In AOS-10, la configurazione del walled garden si sposta dalla scheda WLAN Security ad Access Rules.

  1. Segui gli stessi passaggi di configurazione per SSID e RADIUS descritti sopra per AOS-8.
  2. Nella procedura guidata dell'SSID, naviga fino alla scheda Access.
  3. Fai clic su + Add Role e crea un ruolo di pre-autenticazione denominato Purple_Pre_Auth.
  4. Nell'editor delle regole per questo ruolo, configura regole di tipo Allow esplicite per DNS, DHCP e i domini walled garden richiesti (ad es. *.purple.ai, *.venuewifi.com).
  5. Scorri verso il basso fino a Assign Pre-Authentication Role, abilita l'opzione e seleziona Purple_Pre_Auth dal menu a discesa.
  6. Il ruolo post-autorizzazione (che in genere corrisponde al nome dell'SSID) deve rimanere configurato con Allow any to all destinations o con le tue policy di accesso aziendali specifiche.
  7. Fai clic su Save Settings.

Best Practice

Per garantire massime prestazioni, sicurezza e conformità, i network architect devono attenersi ai seguenti standard di settore e best practice indipendenti dal fornitore durante l'implementazione di Captive Portal su Aruba e Purple.

1. Gestione sicura dei certificati

Gli access point Aruba devono presentare un certificato SSL/TLS valido e attendibile durante il flusso di reindirizzamento al Captive Portal.

  • Evitare certificati autofirmati: se l'AP presenta un certificato autofirmato, i browser moderni mostreranno un avviso molto visibile "La connessione non è privata", danneggiando gravemente la fiducia degli ospiti e riducendo i tassi di conversione.
  • Implementare un certificato CA attendibile: carica un certificato wildcard di una Certificate Authority (CA) riconosciuta a livello globale nelle impostazioni globali di Aruba Central o nei controller virtuali Instant. Assicurati che i certificati intermedi e root siano combinati in un unico file per completare la catena di attendibilità.

2. Segmentazione della rete e conformità

Il traffico degli ospiti deve essere mantenuto completamente separato dal traffico aziendale e amministrativo per mitigare i rischi di sicurezza e garantire la conformità agli standard di settore.

  • Isolamento VLAN: mappa l'SSID ospite su una VLAN dedicata e non instradabile. Utilizza le Access Control List (ACL) sullo switch core a monte o sul firewall per impedire qualsiasi instradamento tra la VLAN ospite e le subnet aziendali interne.
  • Conformità PCI DSS: se la tua sede elabora pagamenti con carta (ad es. punti vendita al dettaglio), la segmentazione della rete è un requisito obbligatorio ai sensi del requisito PCI DSS 1.2 [3]. Il WiFi per gli ospiti deve essere isolato fisicamente o logicamente dal Cardholder Data Environment (CDE).
  • GDPR e privacy dei dati: assicuratevi che il portale Purple sia configurato per mostrare caselle di controllo di consenso esplicite e non selezionate per l'adesione al marketing, soddisfacendo i severi requisiti del General Data Protection Regulation (GDPR) [4].

3. Ottimizzazione di WISPr e del rilevamento del Captive Portal

I moderni sistemi operativi mobili utilizzano il probing attivo per rilevare i Captive Portal immediatamente dopo l'associazione.

  • Abilita WISPr: Assicurati sempre che il supporto WISPr sia abilitato nel tuo profilo di Captive Portal Aruba. Questo protocollo passa metadati formattati in XML al sistema operativo del client, consentendo a iOS (Captive Network Assistant) e Android (Captive Portal Login) di avviare correttamente la schermata di accesso in una finestra del browser dedicata.
  • Previeni problemi di "Enhanced Open" (OWE): Sebbene l'Opportunistic Wireless Encryption (OWE) fornisca la crittografia su reti aperte, molti dispositivi client legacy non lo supportano. Per le reti guest pubbliche, attieniti alla gestione standard delle chiavi Open per massimizzare la compatibilità dei dispositivi.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione meticolosa, le distribuzioni di Captive Portal possono riscontrare modalità di guasto comuni. La seguente matrice di risoluzione dei problemi fornisce passaggi immediati e pratici per i tecnici wireless.

Matrice di risoluzione dei problemi del Captive Portal

Sintomo Causa probabile Passaggi diagnostici Soluzione pratica
Il guest si associa ma la splash page non si carica (Timeout/Pagina vuota). Configurazione del Walled Garden mancante o incompleta. Prova a eseguire il ping di portal.venuewifi.com da un dispositivo cablato sulla stessa VLAN. Verifica se il dispositivo sta tentando di caricare risorse esterne (ad es. script di social login) che sono bloccate. Aggiungi esplicitamente *.purple.ai, *.venuewifi.com e *.cloudfront.net al walled garden di Aruba. Verifica che la risoluzione DNS sia consentita nel ruolo di pre-autenticazione.
Il guest viene reindirizzato ma il browser visualizza un avviso di certificato SSL/TLS. L'AP Aruba presenta un certificato non attendibile o autofirmato per la pagina di reindirizzamento locale. Ispeziona i dettagli del certificato del browser per vedere quale certificato viene presentato. Carica un certificato SSL valido e attendibile firmato da una CA pubblica sul controller virtuale Aruba o nelle impostazioni globali di Central.
Il guest compila il modulo di accesso ma non ottiene l'accesso a Internet (Loop di reindirizzamento). Errore di comunicazione RADIUS tra l'AP Aruba e i server Purple. Controlla i log del controller virtuale Aruba per timeout RADIUS o rifiuti di accesso (access-rejects). Esegui show auth-survivability o controlla i log del firewall. Verifica che le porte UDP in uscita 1812 (Auth) e 1813 (Acct) siano aperte sul firewall perimetrale. Assicurati che il segreto condiviso RADIUS corrisponda esattamente sia su Purple che su Aruba.
Il captive portal non si apre automaticamente sui dispositivi iOS o Android. WISPr è disabilitato o l'AP sta bloccando gli URL di rilevamento del captive portal del sistema operativo. Verifica se il dispositivo può accedere a Internet senza effettuare l'accesso o se rimane connesso con "Nessuna connessione Internet" e senza popup. Abilita WISPr nel profilo del Captive Portal Aruba. Assicurati che gli URL di rilevamento del captive portal (ad es. captive.apple.com, connectivitycheck.gstatic.com) non siano bloccati da ACL di pre-autenticazione personalizzate.
I dati analitici in tempo reale sul tempo di permanenza sono imprecisi o mancanti in Purple. Il RADIUS Accounting è disabilitato o l'intervallo di accounting è impostato su un valore troppo alto. Verificare la configurazione dell'AP per controllare se l'accounting è abilitato ed esaminare l'intervallo. Abilitare il RADIUS Accounting sull'Aruba SSID. Impostare l'Accounting Interval esattamente a 5 minuti (300 secondi) per garantire aggiornamenti regolari delle sessioni.

ROI e impatto aziendale

Il passaggio da un Captive Portal locale e di base a una piattaforma di WiFi intelligence di livello enterprise come Purple offre risultati aziendali misurabili in termini di operazioni, marketing e gestione della rete.

Efficienza operativa e scalabilità

La gestione di singoli Captive Portal locali in centinaia di negozi al dettaglio, hotel o spazi pubblici rappresenta un collo di bottiglia amministrativo. Purple offre una console centralizzata gestita in cloud che consente ai team IT di distribuire, aggiornare e verificare le configurazioni dei Captive Portal a livello globale con un solo clic. Ciò riduce la frammentazione delle configurazioni, garantisce una branding coerente e abbatte i costi amministrativi fino al 60%.

Monetizzazione dei dati e ROI di marketing

Per settori come il Retail e l'Hospitality, il WiFi per gli ospiti è un canale potente per l'acquisizione e il coinvolgimento dei clienti. Purple sostituisce le connessioni anonime con ricchi profili demografici.

  • Integrazione diretta: Purple si integra con le piattaforme di CRM e marketing automation per avviare campagne in tempo reale e sensibili al contesto. Ad esempio, un punto vendita può attivare l'invio di un SMS con uno sconto personalizzato nel momento esatto in cui un cliente del programma fedeltà si connette al WiFi ospiti.
  • Analisi accurata delle presenze: Analizzando i dati di RADIUS accounting e le associazioni BSSID, Purple fornisce report estremamente precisi su tempi di permanenza, tassi di ritorno e analisi dei percorsi. Questi dati consentono ai direttori operativi delle strutture di ottimizzare i livelli di personale, valutare l'efficacia delle vetrine e misurare il ROI diretto delle campagne di marketing.

Analisi costi-benefici: Aruba nativo vs. Integrazione con Purple

Funzionalità / Metrica Portale locale Aruba nativo Integrazione Aruba + Purple Impatto aziendale
Gestione centralizzata multi-sito Limitata. Richiede la configurazione individuale per ogni controller virtuale o una complessa mappatura dei gruppi in Central. Completamente centralizzata. Gestisci migliaia di sedi e SSID da un'unica dashboard cloud. Riduce i costi di gestione IT ed elimina la frammentazione delle configurazioni in proprietà distribuite.
Acquisizione dati e conformità Acquisizione dati tramite modulo di base. Nessun workflow integrato per la convalida del consenso GDPR/CCPA. Di livello enterprise. Tracciamento del consenso automatizzato e conforme alla legge con sincronizzazione API in tempo reale verso i CRM. Mitiga il rischio legale e garantisce la conformità alle normative globali sulla privacy [4].
Analytics & Reporting Log di sessione di base (IP, MAC, tempo di connessione). Nessun tracciamento demografico o comportamentale. Analisi avanzate: età, genere, tempo di permanenza, tassi di ritorno, mappe di calore e roaming tra diverse sedi. Incentiva il ROI del marketing e fornisce business intelligence fruibile per le attività operative.

Definizioni chiave

Captive Portal

Una pagina web che viene mostrata agli utenti appena connessi a una rete Wi-Fi prima che venga concesso loro un accesso più ampio alle risorse di rete.

Utilizzato per acquisire i dati degli ospiti, applicare i termini di servizio e presentare contenuti di marketing personalizzati con il brand.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Purple funge da server RADIUS esterno, autenticando gli ospiti e tracciando la durata della loro sessione.

WISPr (Wireless Internet Service Provider roaming)

Un protocollo bozza che consente ai provider di servizi internet wireless indipendenti di permettere agli utenti di effettuare il roaming sulle rispettive reti utilizzando un portale di accesso comune.

L'abilitazione di WISPr sugli AP Aruba consente agli smartphone moderni di rilevare automaticamente il Captive Portal e visualizzare la splash page in una finestra nativa del sistema.

Walled Garden

Un insieme limitato di siti web o domini a cui un utente non autenticato può accedere prima di completare il processo di accesso al Captive Portal.

Fondamentale per consentire agli ospiti di caricare gli asset della splash page (CSS, JS, immagini) e accedere ai provider di login social (Google, Facebook) prima di essere autenticati.

BSSID (Basic Service Set Identifier)

L'indirizzo MAC dell'interfaccia radio dell'access point wireless per uno specifico SSID.

Inviato nell'attributo RADIUS Called-Station-Id, consente a Purple di mappare la posizione fisica dell'utente su uno specifico AP.

NAS-IP-Address

L'indirizzo IP del Network Access Server (l'AP o controller Aruba) che origina la richiesta RADIUS.

Utilizzato nei pacchetti RADIUS per identificare quale hardware fisico sta richiedendo l'autenticazione.

RadSec

Un protocollo che protegge le transazioni RADIUS utilizzando Transport Layer Security (TLS) su TCP.

Utilizzato per crittografare il traffico di autenticazione e contabilità RADIUS quando attraversa reti pubbliche non attendibili tra l'AP locale e il cloud di Purple.

Enhanced Open (OWE)

Un'estensione di Wi-Fi Certified Easy Connect che fornisce la crittografia delle trasmissioni wireless su reti aperte senza richiedere una password.

Può causare problemi di compatibilità con i dispositivi degli ospiti più datati; la sicurezza Open standard è consigliata per i Captive Portal pubblici.

Esempi pratici

Un ingegnere di rete wireless aziendale sta distribuendo il WiFi per gli ospiti in una catena di vendita al dettaglio nazionale con 150 negozi. Ogni negozio dispone di 3-5 AP Aruba Instant gestiti tramite Aruba Central. Il team di marketing richiede un Captive Portal personalizzato con opzioni di accesso social tramite Facebook e Google, e il team di conformità impone che il traffico degli ospiti sia completamente isolato dalla rete Point-of-Sale (PoS) del negozio. Come dovrebbe essere progettata e configurata questa architettura?

  1. Segmentazione della rete: mappare l'SSID Guest sulla VLAN 100 sugli AP Aruba. Configurare le porte dello switch locale come porte trunk, consentendo la VLAN 100. Sul firewall gateway del negozio, configurare la VLAN 100 con un ambito DHCP e una policy NAT solo in uscita. Applicare una ACL sul firewall per bloccare tutto il traffico dalla VLAN 100 alla VLAN PoS (VLAN 10).
  2. Configurazione di RADIUS e del portale in Aruba Central: creare un nuovo SSID denominato 'Store-Guest' sulla VLAN 100. Impostare la sicurezza su 'Visitors' e la Splash Page su 'External Captive Portal'. Aggiungere il server RADIUS primario di Purple (34.94.146.135) e il server secondario (34.94.183.201) con le porte 1812/1813. Abilitare il RADIUS Accounting con un intervallo di 5 minuti.
  3. Walled Garden: configurare il walled garden in Aruba Central per includere: *.purple.ai, *.venuewifi.com, *.cloudfront.net (per il core di Purple) e i domini di accesso social: *.google.com, *.googleapis.com, *.gstatic.com (per Google) e *.facebook.com, *.fbcdn.net, connect.facebook.net (per Facebook).
  4. Test: connettere un dispositivo di test a 'Store-Guest', verificare che il DHCP assegni un IP sulla VLAN 100, confermare che il browser reindirizzi al portale Purple tramite HTTPS, completare l'accesso con Facebook e verificare che l'accesso a Internet sia concesso mentre le risorse PoS interne rimangono completamente irraggiungibili.
Commento dell'esaminatore: Questo approccio è altamente efficace perché affronta sia la sicurezza che l'esperienza utente. L'uso dell'isolamento VLAN a livello di switch fisico e firewall gateway garantisce una solida conformità PCI DSS, impedendo ai dispositivi degli ospiti di raggiungere l'ambiente dei dati dei titolari di carta (CDE). Definire esplicitamente i domini di accesso social nel walled garden è fondamentale; affidarsi al 'Whitelisting automatico degli URL' può talvolta causare errori intermittenti se il provider social modifica dinamicamente i sottodomini della propria CDN. L'impostazione dell'intervallo di accounting RADIUS a 5 minuti garantisce che il team di marketing ottenga analisi dei tempi di permanenza ad alta fedeltà senza sovraccaricare la CPU dell'AP.

Uno stadio con 50.000 posti a sedere esegue Aruba Central su AOS-10 con access point AP-555 ad alta densità. Durante le ore di punta degli eventi, migliaia di utenti tentano di connettersi contemporaneamente al WiFi per gli ospiti. Il direttore IT è preoccupato per l'impatto sulle prestazioni dei reindirizzamenti del Captive Portal sul controller virtuale e desidera garantire che il processo di autenticazione sia il più rapido e resiliente possibile. Quali configurazioni avanzate dovrebbero essere applicate?

  1. Ruolo di pre-autenticazione (AOS-10): in AOS-10, configurare un ruolo di pre-autenticazione dedicato denominato 'Stadium-Pre-Auth'. Applicare una ACL che consenta DHCP (UDP 67-68), DNS (UDP 53) e il traffico in uscita verso i domini del walled garden di Purple. Assegnare questo ruolo come 'Pre-Authentication Role' nelle impostazioni dell'SSID. Questo sposta il filtraggio dei pacchetti dal controller centrale ai singoli AP, distribuendo il carico.
  2. Bilanciamento del carico RADIUS: in Aruba Central, abilitare il bilanciamento del carico RADIUS tra i server RADIUS Purple primario e secondario. Questo distribuisce uniformemente il carico di autenticazione durante le finestre di picco di accesso.
  3. Server Offload: abilitare 'Server Offload' nelle impostazioni del profilo del Captive Portal. Ciò impedisce alle applicazioni client non-browser (come app mobili in background, aggiornamenti di sistema o dispositivi IoT) di essere ripetutamente reindirizzate al Captive Portal esterno, preservando i cicli della CPU dell'AP e la larghezza di banda WAN.
  4. Criterio di errore del Captive Portal: impostare 'Captive Portal Failure' su 'Deny Internet'. Sebbene 'Allow Internet' sembri favorevole al cliente, durante un evento di rete estremo potrebbe portare a un accesso aperto non controllato, aggirando i controlli di sicurezza ed esaurendo i pool DHCP.
Commento dell'esaminatore: Gli ambienti ad alta densità come gli stadi richiedono un modello di elaborazione distribuito. La configurazione del walled garden tramite le regole di accesso in AOS-10 garantisce che le liste di controllo degli accessi siano compilate ed eseguite localmente nel percorso dati accelerato dall'hardware dell'AP, anziché essere incanalate nuovamente verso un gateway. L'abilitazione del Server Offload è una best practice standard del settore per le installazioni negli stadi; attenua la 'tempesta del Captive Portal' causata dalle app in background su migliaia di telefoni bloccati che tentano di raggiungere contemporaneamente i rispettivi server cloud.

Domande di esercitazione

Q1. Un ingegnere di rete configura un nuovo SSID guest su un cluster Aruba Instant AP. Durante il test, si connette all'SSID, ma invece della splash page personalizzata di Purple, visualizza un errore di timeout del browser. Qual è la causa più probabile di questo problema e quali passaggi di risoluzione dei problemi dovrebbero essere intrapresi?

Suggerimento: Pensa a cosa è necessario affinché il dispositivo client raggiunga la splash page ospitata in cloud prima dell'autenticazione.

Visualizza risposta modello

La causa più probabile è una configurazione del Walled Garden mancante o incompleta, oppure un problema di risoluzione DNS. Prima dell'autenticazione, l'AP blocca tutto il traffico ad eccezione dei domini inseriti nella whitelist. Se i domini Purple (*.purple.ai, *.venuewifi.com, *.cloudfront.net) non sono presenti nel walled garden, il client non può caricare la splash page. Passaggi per la risoluzione dei problemi: 1. Verificare che il dispositivo client abbia ricevuto un indirizzo IP valido e un server DNS tramite DHCP. 2. Tentare di risolvere "portal.venuewifi.com" da un dispositivo cablato sulla stessa VLAN per confermare che il DNS funzioni. 3. Controllare la configurazione dell'AP Aruba per assicurarsi che la whitelist del Walled Garden sia attiva e contenga tutti i domini Purple richiesti. 4. Verificare che il ruolo di pre-autenticazione consenta il traffico DNS (porta UDP 53) verso il server DNS.

Q2. Durante l'implementazione del WiFi guest di Purple presso un grande centro congressi, il team IT segnala che i dispositivi degli ospiti si connettono correttamente, ma viene richiesto loro di accedere nuovamente ogni 15 minuti. Il comportamento desiderato è che gli ospiti rimangano connessi per 24 ore. Quali parametri di configurazione di Aruba e Purple dovrebbero essere esaminati per risolvere questo problema?

Suggerimento: Esamina i parametri che controllano la durata della sessione e gli intervalli di riautenticazione.

Visualizza risposta modello

Questo problema è causato da una mancata corrispondenza nelle impostazioni del timeout di sessione o dell'intervallo di riautenticazione. Per risolvere il problema: 1. Esaminare il "Reauth Interval" nella scheda di sicurezza dell'SSID Aruba; dovrebbe essere impostato su 1440 minuti (24 ore) anziché su 15 minuti. 2. Verificare l'attributo "Session Timeout" restituito dal server RADIUS di Purple nel messaggio Access-Accept. Se Purple è configurato con una durata della sessione breve, forzerà la riautenticazione. 3. Assicurarsi che l'autenticazione MAC sia abilitata sull'SSID Aruba. Ciò consente all'AP di autenticare automaticamente gli ospiti che ritornano tramite il loro indirizzo MAC confrontandolo con il database di Purple, senza mostrare nuovamente la Captive Portal durante la finestra di 24 ore.

Q3. Un'organizzazione del settore pubblico sta distribuendo il WiFi guest in diverse biblioteche utilizzando Aruba Central su AOS-10. La politica di sicurezza impone che tutto il traffico guest debba essere crittografato via etere, ma i direttori delle biblioteche desiderano un'esperienza di accesso fluida e senza attriti. In che modo l'architetto wireless può soddisfare entrambi i requisiti utilizzando Aruba e Purple?

Suggerimento: Considera le differenze tra Open, OWE (Enhanced Open) e WPA2/WPA3-Enterprise, e come interagiscono con i captive portal.

Visualizza risposta modello

Per ottenere sia la crittografia via etere che un'esperienza di Captive Portal fluida, l'architetto dovrebbe implementare "Enhanced Open" (Opportunistic Wireless Encryption - OWE) con una modalità di transizione se è richiesta la compatibilità con i dispositivi legacy. Enhanced Open crittografa la connessione wireless tra il client e l'AP senza richiedere una chiave precondivisa, proteggendo gli ospiti dalle intercettazioni passive. 1. Configurare l'SSID guest in Aruba Central con il livello di sicurezza impostato su "Visitors" e la gestione delle chiavi impostata su "Enhanced Open". 2. Abilitare la "OWE Transition Mode" e associarla a un SSID guest Open standard per supportare i dispositivi più vecchi che non supportano WPA3 OWE. 3. Configurare il profilo del Captive Portal esterno puntando a Purple come di consueto. Questa combinazione garantisce che i dispositivi moderni ottengano automaticamente il trasporto wireless crittografato, pur continuando a reindirizzare alla splash page di Purple per l'acquisizione dei dati e la conformità.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →