Captive Portal for Cisco Meraki

Una guida di riferimento tecnico autorevole di livello intermedio per l'integrazione degli access point Cisco Meraki MR con il Captive Portal in cloud di Purple. Copre le configurazioni dettagliate della Dashboard Meraki, le impostazioni del server RADIUS (porte 1812/1813), le eccezioni dei domini wildcard per il walled garden e i parametri di timeout della sessione per implementazioni WiFi guest ad alte prestazioni.

📖 8 minuti di lettura📝 1,892 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti alla serie di Technical Briefing di Purple. Sono il vostro ospite e oggi parleremo di un argomento che emerge in quasi tutte le implementazioni di guest WiFi aziendali su cui lavoriamo: la configurazione di un captive portal sugli access point Cisco Meraki MR, e nello specifico come integrarlo con la piattaforma cloud di Purple utilizzando l'autenticazione RADIUS. Che siate un MSP che sta integrando un nuovo cliente nel settore hospitality o un network architect interno di una catena retail, questo episodio vi fornirà i passaggi di configurazione precisi e le motivazioni alla base di ciascuno di essi.

Inquadriamo la situazione. Avete una sede — potrebbe essere un hotel, un centro congressi, uno stadio o un parco commerciale — che utilizza access point Cisco Meraki MR gestiti tramite la Meraki Dashboard. L'obiettivo è implementare un'esperienza guest WiFi personalizzata con il vostro brand che acquisisca dati di prima parte, imponga l'accettazione dei termini di servizio e invii i dati analitici a una piattaforma di marketing. Questo è esattamente ciò per cui Purple è stato progettato, e Meraki è una delle nostre implementazioni hardware più comuni a livello globale.

Ora, il punto architetturale chiave da comprendere prima di toccare una singola impostazione è questo: su Cisco Meraki, l'autenticazione RADIUS per una splash page non viene elaborata localmente dall'access point. La richiesta RADIUS Access-Request ha origine dal cloud Meraki — dall'infrastruttura della Dashboard — e non dall'AP sulla vostra LAN. Questa è una distinzione fondamentale che mette in difficoltà molti ingegneri alla loro prima implementazione Meraki. Significa che il vostro server RADIUS, in questo caso l'endpoint RADIUS cloud di Purple, deve essere raggiungibile da Internet e le regole del firewall devono consentire il traffico dagli intervalli IP della Dashboard di Meraki, non solo dalla sottorete locale dell'AP. Troverete gli intervalli IP correnti della Dashboard alla voce Help, quindi Firewall Info nella vostra Dashboard Meraki.

Bene, passiamo alla configurazione. Vi guiderò attraverso questo processo nell'ordine in cui lo fareste effettivamente in un'implementazione reale.

Fase uno: configurazione dell'SSID. Nella Dashboard Meraki, andate su Wireless, quindi Configure, e poi SSIDs. Selezionate lo slot SSID che desiderate utilizzare per l'accesso guest. Assegnategli un nome chiaro, come GuestWiFi o NomeSede underscore Guest. In Association requirements, impostate Security su Open, no encryption. Questo è corretto e intenzionale: il livello di sicurezza per gli ospiti è gestito dal captive portal e dall'autenticazione RADIUS, non dalla crittografia WPA. Se state effettuando l'implementazione in un ambiente PCI DSS, dovrete assicurarvi che il traffico guest sia isolato sulla propria VLAN, aspetto che tratteremo a breve.

Fase due: Splash page e autenticazione. Rimanendo nella pagina Access Control per il tuo SSID, scorri verso il basso fino alla sezione Splash page. Impostala su Sign-on con e, dal menu a discesa, seleziona il mio server RADIUS. Questa è l'impostazione fondamentale che indica a Meraki di autenticare gli utenti tramite un server RADIUS esterno prima di concedere l'accesso alla rete. Sotto questa voce, vedrai l'opzione Forza del Captive Portal. Impostala su Blocca tutti gli accessi fino al completamento del sign-on. Questo è ciò che applica il walled garden — senza di esso, gli ospiti potrebbero aggirare completamente il portale.

Fase tre: Configurazione del server RADIUS. Nella sezione RADIUS, fai clic su Aggiungi server. Avrai bisogno di tre informazioni dal tuo account Purple: l'indirizzo IP o FQDN del server RADIUS, la porta di autenticazione che è UDP 1812 e il segreto condiviso. Purple fornisce questi dati nella sezione di configurazione della location del portale. Per garantire la ridondanza nelle distribuzioni di produzione, dovresti aggiungere un server RADIUS secondario — Purple fornisce un endpoint di failover. Imposta la porta di accounting su UDP 1813 se desideri che i dati di sessione vengano inviati al motore di analisi di Purple, cosa che consiglio vivamente per qualsiasi location in cui il tempo di permanenza e la durata della sessione sono metriche significative.

Una breve nota sugli attributi RADIUS. Meraki rispetta l'attributo Session-Timeout restituito nella risposta RADIUS Access-Accept. Purple lo utilizza per controllare la durata di una sessione ospite prima che sia necessaria una nuova autenticazione. Per un hotel, potresti impostarlo su 86.400 secondi — ovvero 24 ore. Per una caffetteria, è più appropriato un valore come 3.600 secondi, ovvero un'ora. Viene rispettato anche l'attributo Idle-Timeout, ma solo se l'accounting RADIUS è abilitato. Questo disconnette le sessioni inattive, il che è importante per la gestione della capacità in location ad alta densità.

Fase quattro: URL della Splash page. Naviga su Wireless, poi su Configura, quindi su Splash page. Seleziona il tuo SSID ospite dal menu a discesa. Imposta l'URL personalizzato della splash page sull'URL del portale Purple per la tua location. Questo è l'URL a cui Meraki reindirizzerà i client non autenticati. Meraki aggiunge parametri di query a questo URL — incluso un parametro login_url — che Purple utilizza per completare l'handshake di autenticazione. Non modificare o rimuovere questi parametri.

Fase cinque: il walled garden. Questo è il punto in cui la maggior parte delle distribuzioni riscontra problemi. Il walled garden è l'elenco di domini e intervalli IP che un dispositivo ospite può raggiungere prima di essersi autenticato. Senza le voci corrette, la pagina stessa del Captive Portal non si caricherà, poiché al browser sarà impedito di raggiungere la CDN di Purple e i provider di social login.

Torna alla sezione Access Control per il tuo SSID ospiti. Imposta Walled garden su Walled garden is enabled. Nel campo Walled garden ranges, devi aggiungere quanto segue. In primo luogo, i domini della piattaforma Purple: star dot purple dot ai e star dot venuewifi dot com. In secondo luogo, i domini CDN che Purple utilizza per distribuire gli asset del portale: star dot cloudfront dot net e star dot akamaihd dot net. In terzo luogo, l'infrastruttura di reindirizzamento Meraki: star dot network-auth dot com. In quarto luogo, se offri opzioni di social login, devi inserire i relativi domini OAuth. Per Google: accounts dot google dot com, star dot googleapis dot com, star dot gstatic dot com. Per Facebook: star dot facebook dot com, star dot fbcdn dot net e connect dot facebook dot net. Per Twitter o X: star dot twitter dot com e star dot twimg dot com.

Una nota importante su come Meraki gestisce i domini wildcard nel walled garden. Meraki supporta le voci wildcard utilizzando il prefisso asterisco, ad esempio star dot cloudfront dot net. Tuttavia, si tratta di una corrispondenza basata su DNS: Meraki risolve il dominio e consente gli indirizzi IP risultanti. Ciò significa che per i provider CDN come CloudFront o Akamai, dove gli IP risolti possono variare frequentemente, è necessario utilizzare il dominio wildcard anziché intervalli IP statici. Le voci IP statiche vanno bene per gli endpoint RADIUS di Purple, che sono stabili, ma non per il traffico CDN.

Ora parliamo di due scenari reali su cui ho lavorato direttamente.

Il primo riguarda un hotel di 350 camere nel Regno Unito. Il cliente utilizzava access point Meraki MR46 in tre edifici, con circa 400 dispositivi guest simultanei nei momenti di picco. La distribuzione iniziale utilizzava una splash page click-through: nessun RADIUS, solo l'accettazione dei termini. Il problema era che non avevano alcuna visibilità su chi si connettesse, nessuna acquisizione di e-mail e nessun modo per avviare campagne di marketing post-soggiorno. Li abbiamo migrati a Purple con un accesso basato su RADIUS. La configurazione è stata semplice, ma l'inghippo era che il loro firewall a monte bloccava l'UDP in uscita sulla porta 1812 verso qualsiasi elemento esterno alla sottorete locale. Una volta aggiunti gli intervalli IP della Meraki Dashboard all'elenco dei consentiti del firewall, l'autenticazione ha funzionato immediatamente. Dopo l'implementazione, l'hotel ha acquisito gli indirizzi e-mail di circa il 68% degli ospiti connessi nel primo mese e il loro team di marketing ha avviato una campagna di re-engagement che ha generato un aumento misurabile delle prenotazioni dirette.

Il secondo scenario riguarda una catena retail con 45 negozi, ciascuno dotato di access point Meraki MR33. La sfida in questo caso era rappresentata dalla scalabilità e dalla coerenza. Configurare manualmente 45 SSID con le impostazioni RADIUS corrette e gli elenchi di walled garden avrebbe comportato il rischio di errori e una notevole perdita di tempo. La soluzione è stata quella di utilizzare la configurazione basata su modelli di Meraki. Abbiamo creato un unico modello di rete con le impostazioni SSID, RADIUS e walled garden corrette, per poi associare a quel modello tutte le reti dei 45 negozi. Qualsiasi modifica — ad esempio, l'aggiunta di un nuovo provider di social login al walled garden — viene effettuata una sola volta nel modello e si propaga automaticamente a tutti i negozi. La piattaforma di analytics di Purple ha poi aggregato i dati sull'affluenza e sul tempo di permanenza di tutti i punti vendita, offrendo al team retail un'unica dashboard per visualizzare il comportamento degli ospiti per negozio, per regione e per fascia oraria.

Ecco tre regole empiriche che vi faranno risparmiare tempo in ogni implementazione del Captive Portal di Meraki.

Regola uno: verificate sempre gli intervalli IP della dashboard Meraki prima di configurare il server RADIUS. Questi intervalli cambiano occasionalmente e, se il firewall li blocca, l'autenticazione fallirà in modo silenzioso dal punto di vista dell'utente, che vedrà semplicemente la pagina del portale bloccarsi. Utilizzate lo strumento di test RADIUS integrato nella dashboard, alla voce Controllo Accessi, per verificare la connettività prima di andare online.

Regola due: utilizzate i domini jolly (wildcard) nel walled garden, non gli intervalli IP, per qualsiasi contenuto ospitato su CDN. Gli intervalli IP delle CDN sono ampi e cambiano frequentemente. L'inserimento di un dominio jolly è più facile da gestire e più affidabile.

Regola tre: abilitate il RADIUS accounting sulla porta 1813 anche se pensate che non vi serva ancora. I dati di sessione sono preziosi per risolvere i problemi di disconnessione e per inviare metriche precise sul tempo di permanenza alla vostra piattaforma di analytics. L'abilitazione non costa nulla ed è molto difficile da implementare a posteriori.

Ora, alcune risposte rapide alle domande che mi vengono poste più di frequente.

Posso usare la splash page integrata di Meraki invece di Purple? Sì, ma perderete l'acquisizione dei dati, gli analytics, la marketing automation e la gestione del consenso conforme al GDPR. La splash page integrata va bene per un semplice click-through, ma non è una piattaforma di guest intelligence.

Questa configurazione funziona sui firewall Meraki MX così come sugli access point MR? La configurazione della splash page RADIUS è supportata sugli access point MR. I dispositivi MX gestiscono l'autenticazione VPN dei client in modo diverso. Per il WiFi ospiti nello specifico, la configurazione viene eseguita sugli SSID degli MR.

E per quanto riguarda il WPA3? Gli access point Meraki MR supportano il WPA3 sugli SSID aziendali. Per le implementazioni di Captive Portal per ospiti, l'SSID è solitamente Aperto, quindi il WPA3 non si applica direttamente. Tuttavia, se insieme all'SSID del Captive Portal state implementando un SSID Passpoint o OpenRoaming — supportato da Purple — quell'SSID utilizzerà il WPA3-Enterprise con 802.1X, ed è qui che il WPA3 diventa rilevante.

Per riassumere: l'integrazione tra Cisco Meraki e Purple è ampiamente testata e affidabile, ma richiede attenzione a tre aspetti: il routing dell'IP sorgente RADIUS, la completezza del walled garden e la configurazione del timeout di sessione. Configurando correttamente questi tre elementi, l'implementazione risulta lineare. Il caso aziendale è evidente: le location che implementano una piattaforma di guest WiFi configurata correttamente con acquisizione dati registrano costantemente ritorni misurabili in termini di coinvolgimento marketing e insight operativi.

Se desideri approfondire, consulta la guida di Purple sull'implementazione dell'autenticazione 802.1X con RADIUS cloud e la nostra guida all'implementazione degli AP Cisco Wireless sul blog di Purple. Entrambe sono collegate nelle note dell'episodio.

Grazie per l'ascolto. Se hai uno scenario di implementazione specifico che vorresti trattassimo, contatta il team tecnico di Purple. Ci vediamo nel prossimo episodio.

Punti chiave

✓Le richieste RADIUS della splash page per gli ospiti di Cisco Meraki provengono dalla Meraki Cloud Dashboard, non dagli access point MR locali.
✓Disaccoppiare il guest WiFi in un livello agnostico come Purple consente un'acquisizione dati avanzata e analisi di marketing conformi al GDPR.
✓Un walled garden robusto deve includere i domini Purple, gli host CDN (*.cloudfront.net, *.akamaihd.net) e gli endpoint OAuth social.
✓Cisco Meraki gestisce i domini wildcard nel walled garden in modo dinamico tramite whitelist in tempo reale basate su DNS.
✓Gli attributi RADIUS Session-Timeout e Idle-Timeout sono essenziali per la gestione dei pool di lease DHCP in sedi ad alta densità.
✓Le configurazioni basate su modelli nella Meraki Dashboard consentono implementazioni WiFi per ospiti coerenti e prive di errori in sedi multi-sito.

📚 Part of our core series: Multi-Tenant WiFi →

Executive Summary

Questa guida di riferimento autorevole fornisce un framework di configurazione completo e dettagliato per integrare le reti wireless Cisco Meraki con il Captive Portal basato su cloud di Purple. Progettato per IT manager, architetti di rete e managed service provider (MSP), questo documento descrive in dettaglio le configurazioni esatte richieste all'interno della Dashboard Meraki per implementare una soluzione WiFi per ospiti sicura e ad alte prestazioni [1].

Disaccoppiando il livello di guest intelligence dall'hardware, le grandi strutture aziendali possono sfruttare le piattaforme certificate Guest WiFi e WiFi Analytics di Purple per acquisire dati di prima parte ricchi e conformi al GDPR, garantendo al contempo l'integrità della rete e la conformità normativa [2]. Questa guida affronta i parametri di integrazione critici, tra cui l'autenticazione RADIUS (porte 1812/1813), le eccezioni di dominio del walled garden, la risoluzione dei caratteri jolly CDN e i meccanismi di reindirizzamento degli ospiti in diverse strutture fisiche come i settori Retail , Healthcare , Hospitality e gli hub di Transport .

Approfondimento Tecnico

Per integrare con successo gli Access Point (AP) Cisco Meraki MR con un Captive Portal esterno come Purple, gli ingegneri di rete devono comprendere l'architettura sottostante del piano di controllo e del piano dati. A differenza dei controller wireless on-premise tradizionali, in cui le richieste di autenticazione RADIUS provengono dal controller fisico o dai singoli AP, Cisco Meraki utilizza un'architettura gestita in cloud [1].

Separazione tra Piano di Controllo e Piano Dati

Quando un client ospite si associa a un SSID aperto configurato per un Captive Portal esterno, l'AP Meraki MR pone il client in uno stato di pre-autenticazione. In questo stato, tutto il traffico viene bloccato ad eccezione delle query DNS, del DHCP e del traffico destinato a indirizzi IP o nomi host esplicitamente definiti nel Walled Garden [3].

I messaggi effettivi di RADIUS Access-Request non vengono generati dall'AP Meraki MR locale. Provengono invece dall'Infrastruttura Cloud della Dashboard Cisco Meraki [1]. Si tratta di una distinzione architetturale fondamentale:

> "I messaggi di richiesta di accesso RADIUS per una splash page proverranno dalla dashboard, non dai dispositivi Meraki locali. Pertanto, l'indirizzo IP LAN privato del server RADIUS non può essere specificato qui." [1]

Di conseguenza, i firewall a monte che proteggono i server RADIUS devono consentire il traffico in entrata dall'intero blocco di intervalli IP in uscita della Meraki Dashboard, che sono dinamici e specifici per regione [1]. Questi intervalli possono essere recuperati dinamicamente tramite la Meraki Dashboard in Help > Firewall info [1].

Protocollo di autenticazione RADIUS (PAP)

Per l'autenticazione della splash page di accesso, Meraki utilizza il Password Authentication Protocol (PAP) [1]. Sebbene il PAP sia storicamente non crittografato, l'integrazione Meraki-Purple mitiga i rischi di sicurezza attraverso una crittografia a più livelli:

Crittografia Client-to-Cloud: Il client ospite stabilisce una sessione HTTPS (SSL/TLS) sicura direttamente con il Captive Portal ospitato da Purple. Le credenziali (ad es. token di social login, moduli e-mail) sono crittografate in transito dal browser del client ai server di Purple [1].
Crittografia del segreto condiviso RADIUS: Quando il Cloud Meraki invia l'Access-Request RADIUS al server Cloud RADIUS di Purple, crittografa la password dell'utente utilizzando il RADIUS Shared Secret configurato e una funzione XOR standard in conformità con la norma RFC 2865 [1]. Ciò garantisce che le credenziali in chiaro non vengano mai trasmesse su Internet pubblica.

Attributi RADIUS supportati

Il Cloud Meraki e il Cloud RADIUS di Purple si scambiano diversi attributi chiave durante l'handshake di autenticazione per applicare i parametri e le policy di sessione:

Attributo RADIUS	Tipo	Direzione	Descrizione e contesto pratico
User-Name	Stringa	Richiesta	L'identificativo dell'utente ospite (ad es. indirizzo e-mail, indirizzo MAC) [1].
User-Password	Stringa	Richiesta	La password utente crittografata o il token di sessione [1].
Called-Station-ID	Stringa	Richiesta	Formattato come `AP_MAC:SSID_NAME` (ad es. `AA-BB-CC-DD-EE-FF:GuestWiFi`). Cruciale per il routing delle policy basato sulla posizione [1].
Calling-Station-ID	Stringa	Richiesta	L'indirizzo MAC fisico del client (ad es. `11-22-33-44-55-66`). Utilizzato per il tracciamento del dispositivo e il ripristino della sessione [1].
Session-Timeout	Intero	Accetta	La durata massima della sessione in secondi. Dopo la scadenza, il client viene reindirizzato al Captive Portal [1].
Idle-Timeout	Intero	Accetta	Il tempo massimo di inattività in secondi. Se non viene trasferito alcun dato, la sessione viene interrotta. Richiede RADIUS Accounting [1].
Filter-Id	Stringa	Accetta	Trasmette il nome di una specifica Group Policy di Meraki da applicare al client (ad es. limitando la larghezza di banda o bloccando categorie specifiche) [1].

Guida all'implementazione

Questa guida alla configurazione passo-passo illustra come integrare gli access point Cisco Meraki MR con il Captive Portal esterno di Purple.

Passaggio 1: Configurare il controllo degli accessi SSID

Passa a Wireless > Configure > Access control nella Dashboard Meraki [1]. Seleziona l'SSID guest di destinazione e configura i seguenti parametri:

Association Requirements: Imposta su Open (no encryption) [1]. Questo garantisce un'esperienza di onboarding senza attriti. Se richiedi il transito guest crittografato, valuta l'implementazione di Passpoint / Hotspot 2.0 con Cloud RADIUS [4].
Splash Page: Seleziona Sign-on with e scegli my RADIUS server dal menu a discesa [1].
RADIUS Servers: Fai clic su Add server e inserisci gli endpoint primario e secondario di Cloud RADIUS di Purple [1]:
- Host IP: 116.203.120.121 (Primario) e 195.201.123.149 (Secondario)
- Port: 1812 (Autenticazione) [1]
- Secret: [Il tuo Purple Shared Secret]
RADIUS Accounting: Imposta su RADIUS accounting is enabled e aggiungi i server di accounting:
- Host IP: 116.203.120.121 (Primario) e 195.201.123.149 (Secondario)
- Port: 1813 (Accounting)
- Secret: [Il tuo Purple Shared Secret]
Captive Portal Strength: Seleziona Block all access until sign-on is complete [1]. Questo impone rigorosamente che i client non possano accedere a Internet senza passare attraverso la splash page.

Step 2: Configura l'URL personalizzato della Splash Page

Passa a Wireless > Configure > Splash page [1]. Seleziona il tuo SSID guest e configura:

Custom Splash URL: Seleziona Or point to a custom URL e inserisci l'URL di reindirizzamento di Purple:
- https://login.venuewifi.com/ip/v2/meraki
Splash Page Redirect: Imposta su The URL they were trying to fetch o reindirizzali a una landing page specifica (ad es. la homepage della tua struttura) [3].

Step 3: Configura le eccezioni dei nomi di dominio nel Walled Garden

Per garantire che i client guest possano caricare il Captive Portal, scaricare risorse dalle reti di distribuzione dei contenuti (CDN) e completare l'autenticazione social (ad es. OAuth di Google o Facebook), è necessario abilitare e configurare il Walled Garden [3].

Torna a Wireless > Configure > Access control e individua la sezione Walled Garden [1].

Imposta Walled Garden su Walled garden is enabled [1].
Nel campo Walled garden ranges, inserisci gli FQDN e i domini jolly richiesti [1].

Come Meraki gestisce i caratteri jolly e il traffico CDN

Gli access point Cisco Meraki MR supportano i domini jolly nel walled garden utilizzando il prefisso asterisco (ad es. *.purple.ai) [1]. Tuttavia, è fondamentale comprenderne il funzionamento sottostante:

Whitelisting basato su DNS: L'AP Meraki intercetta le richieste DNS del client. Quando il client richiede un dominio corrispondente a una voce nel walled garden, l'AP risolve il dominio nel suo indirizzo IP corrente e consente temporaneamente al client di comunicare con quell'IP [3].
IP CDN dinamici: le CDN come Amazon CloudFront (*.cloudfront.net) e Akamai (*.akamaihd.net) si risolvono in indirizzi IP altamente dinamici e distribuiti geograficamente che cambiano frequentemente. Il whitelisting basato su DNS di Meraki gestisce questo aspetto in modo ottimale risolvendo i domini in tempo reale. Non utilizzare mai indirizzi IP statici per le risorse CDN nel tuo walled garden, poiché ciò causerebbe errori di caricamento intermittenti degli asset del portale.

Best Practice

Per garantire un'elevata disponibilità, sicurezza e un'esperienza utente ottimale, attieniti a queste best practice di implementazione standard del settore:

1. Segmentazione della rete e isolamento della VLAN

Non collegare mai il traffico degli ospiti direttamente alla LAN aziendale. Configura i tuoi AP Meraki MR per taggare il traffico ospiti con una VLAN Ospiti dedicata (es. VLAN 30) [4]. Assicurati che questa VLAN termini su una DMZ o su un'istanza VRF (virtual routing and forwarding) separata sul firewall a monte. Ciò riduce i rischi di movimento laterale e garantisce la conformità agli standard di sicurezza come PCI DSS e GDPR [2] [4].

2. Configurazione del failover e della resilienza della sessione

I collegamenti di rete possono interrompersi. Per evitare che gli ospiti rimangano bloccati senza accesso a Internet durante un'interruzione del server di autenticazione, configura la RADIUS Failover Policy nella Dashboard Meraki:

Failover Policy: imposta su Deny access per la massima sicurezza, oppure su Allow access se la priorità è mantenere la connettività degli ospiti rispetto all'acquisizione dei dati durante un disservizio.
Server secondari: configura sempre sia il server RADIUS primario che quello secondario per distribuire il carico e fornire un failover automatico [1].

3. Implementazione dei timeout di sessione e di inattività

Gestisci lo spettro wireless e i lease del pool DHCP configurando parametri di timeout appropriati [1]:

Session Timeout: imposta su 1440 minuti (24 ore) per gli ambienti hospitality, consentendo agli ospiti di rimanere connessi per tutta la durata del soggiorno senza dover ripetere continuamente l'autenticazione [1]. Per il retail o il trasporto pubblico, riduci questo valore a 120 minuti (2 ore) per incoraggiare nuove interazioni e liberare i lease DHCP.
Idle Timeout: imposta su 15 minuti. Se un dispositivo client entra in modalità sospensione o lascia la struttura, l'AP termina la sessione, liberando le risorse di rete [1].

Risoluzione dei problemi e mitigazione dei rischi

Durante l'implementazione di Captive Portal esterni su Cisco Meraki, i tecnici riscontrano comunemente tre principali modalità di guasto. Utilizza questa matrice diagnostica per isolare e risolvere rapidamente i problemi:

Sintomo	Causa radice	Passaggio diagnostico	Soluzione
La splash page non si carica; il browser mostra "Connessione scaduta".	Il firewall a monte sta bloccando il traffico DNS o HTTP/HTTPS in uscita verso la CDN di Purple [1].	Prova a risolvere `login.venuewifi.com` da un dispositivo cablato sulla stessa VLAN.	Assicurati che la VLAN ospiti abbia accesso in uscita al DNS pubblico (UDP 53) e HTTP/HTTPS (TCP 80/443).
La Splash page si carica, ma l'autenticazione delle credenziali utente fallisce.	Il firewall a monte sta bloccando il traffico RADIUS proveniente dal Meraki Cloud [1].	Utilizza l'utility RADIUS Test nella dashboard Meraki alla voce Access Control [1].	Aggiungi gli intervalli IP in uscita della dashboard Meraki (disponibili in Help > Firewall info) alla allow-list in uscita del tuo firewall per le porte UDP 1812 e 1813 [1].
Il social login (es. Google OAuth) fallisce con un errore di reindirizzamento.	Mancano i domini helper OAuth richiesti nel Meraki Walled Garden [1].	Controlla la console del browser sul dispositivo client per verificare la presenza di caricamenti di risorse bloccati.	Aggiungi i domini OAuth obbligatori (es. `.googleapis.com`, `.gstatic.com`) all'elenco del Walled Garden [1].

ROI e impatto aziendale

L'integrazione di Cisco Meraki con Purple trasforma il WiFi per gli ospiti da un centro di costo a una risorsa aziendale strategica. Sfruttando hardware di livello enterprise insieme ad analisi avanzate, le organizzazioni ottengono ritorni misurabili su molteplici dimensioni:

Monetizzazione dei dati e portata del marketing: Acquisendo indirizzi e-mail verificati e profili social, le location creano un database pulito e conforme di dati sui clienti di prima parte [2]. Questo alimenta direttamente i sistemi di customer relationship management (CRM) e di marketing automation, consentendo campagne di marketing altamente mirate e iper-locali.
Efficienza operativa: L'onboarding automatizzato tramite Purple riduce il carico di lavoro del personale della reception e del supporto IT. Nei settori dell'ospitalità, ciò si traduce in un minor numero di reclami da parte degli ospiti relativi alla connettività WiFi e in minori costi operativi.
Analisi avanzata delle presenze: Combinando le API di localizzazione di Meraki con il motore di analisi di Purple, i gestori delle location ottengono informazioni approfondite sul comportamento dei visitatori, inclusi flussi di visitatori, tempi di permanenza, tassi di ritorno e ore di punta [2]. Questi dati guidano decisioni informate in merito al personale, al layout dei punti vendita e alla valutazione degli immobili.

Riferimenti

Definizioni chiave

Captive Portal

Una pagina web che viene mostrata agli utenti appena connessi a una rete Wi-Fi prima che venga concesso loro un accesso più ampio alle risorse di rete.

Utilizzato dalle sedi per applicare i termini di servizio, raccogliere i dati degli utenti e autenticare gli ospiti tramite RADIUS prima di consentire l'accesso a Internet.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Contabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Gli AP Meraki interrogano i server Cloud RADIUS di Purple per verificare le credenziali degli ospiti e autorizzare l'accesso alla rete.

Walled Garden

Un insieme limitato di indirizzi IP o nomi di dominio a cui i client ospiti non autenticati possono accedere prima di completare il processo di accesso al Captive Portal.

Fondamentale per consentire ai client di raggiungere la splash page ospitata, scaricare risorse CSS/JS da CDN e comunicare con gli endpoint OAuth per il login social.

Session-Timeout

Un attributo RADIUS RFC 2865 che specifica il numero massimo di secondi in cui una sessione utente può rimanere attiva prima di richiedere una nuova autenticazione.

Restituito da Purple RADIUS nel pacchetto Access-Accept per controllare per quanto tempo un ospite rimane connesso (es. 24 ore per gli ospiti di un hotel).

Idle-Timeout

Un attributo RADIUS che definisce il periodo massimo di inattività (nessun dato trasferito) consentito prima che la sessione dell'utente venga interrotta.

Utilizzato per disconnettere i dispositivi inattivi e recuperare indirizzi IP in ambienti ad alta densità come stadi o negozi al dettaglio.

PAP (Password Authentication Protocol)

Un protocollo di autenticazione semplice e non crittografato utilizzato da RADIUS per convalidare le credenziali dell'utente.

Richiesto da Cisco Meraki per l'autenticazione RADIUS della splash page esterna. La sicurezza viene mantenuta crittografando il transito da client a portale tramite HTTPS e crittografando il campo della password del pacchetto RADIUS utilizzando il segreto condiviso.

Passpoint (Hotspot 2.0)

Uno standard di settore sviluppato dalla Wi-Fi Alliance che consente il roaming automatico simile a quello cellulare e la connessione sicura alle reti Wi-Fi.

Supportato dagli access point Meraki MR e da Purple per consentire una registrazione degli ospiti fluida e basata su certificati senza Captive Portal.

CMX (Cisco Meraki Location APIs)

Un framework API che consente agli access point Meraki di esportare dati di localizzazione e presenza in tempo reale (richieste di probe) a piattaforme di analisi di terze parti.

Integrato con Purple per fornire analisi dettagliate su affluenza, tempi di permanenza e tassi di ritorno per le sedi fisiche.

Esempi pratici

Un hotel di lusso con 350 camere che utilizza access point Cisco Meraki MR46 deve implementare una rete WiFi guest sicura. Desidera acquisire le e-mail degli ospiti, limitare la larghezza di banda a 5 Mbps per ospite e garantire che gli ospiti debbano accedere solo una volta ogni 7 giorni. In che modo l'architetto di rete dovrebbe configurare la Dashboard Meraki e le impostazioni RADIUS?

Configurazione SSID: Configurare un SSID aperto denominato 'Hotel_Guest' con la splash page impostata su 'Sign-on con' e 'il mio server RADIUS'.\n2. Configurazione RADIUS: Inserire gli IP RADIUS primario (116.203.120.121) e secondario (195.201.123.149) di Purple. Impostare la porta di autenticazione su 1812 e la porta di accounting su 1813. Configurare il shared secret.\n3. Parametri di Timeout: Nel profilo del server RADIUS o nella dashboard di Purple, impostare l'attributo Session-Timeout su 604800 secondi (7 giorni) e Idle-Timeout su 1800 secondi (30 minuti) per recuperare i lease DHCP inattivi.\n4. Traffic Shaping: Nella Dashboard Meraki sotto Wireless > Configura > Firewall e traffic shaping, selezionare l'SSID, abilitare il traffic shaping e impostare un limite per client a 5 Mbps in downstream e 2 Mbps in upstream.\n5. Walled Garden: Abilitare il walled garden e aggiungere *.purple.ai, *.venuewifi.com e le wildcard CDN necessarie come *.cloudfront.net per consentire il rendering della splash page prima dell'autenticazione.

Commento dell'esaminatore: Questa soluzione bilancia con successo l'esperienza utente con le prestazioni della rete. L'uso di un Session-Timeout di 7 giorni previene l'affaticamento da login per gli ospiti che soggiornano a lungo, mentre l'Idle-Timeout di 30 minuti previene l'esaurimento degli indirizzi IP nel pool DHCP. È preferibile configurare il traffic shaping direttamente sugli AP Meraki piuttosto che affidarsi agli attributi RADIUS (come Maximum-Data-Rate-Downstream), poiché riduce il sovraccarico di elaborazione sugli AP e fornisce un meccanismo di applicazione più coerente.

Una catena di vendita al dettaglio nazionale con 45 negozi desidera implementare il WiFi guest in tutte le sedi utilizzando AP Meraki MR33. Devono garantire una configurazione coerente, bloccare l'accesso alla rete aziendale e raccogliere dati analitici sulle presenze. Come dovrebbe essere implementato questo sistema su scala?

Modelli di Configurazione: Creare un unico Modello di Configurazione di Rete nella Dashboard Meraki. Configurare l'SSID guest con le impostazioni RADIUS di Purple, i domini del walled garden e l'URL splash personalizzato: https://login.venuewifi.com/ip/v2/meraki. Associare tutte le 45 reti dei negozi a questo modello.\n2. Segmentazione VLAN: Sullo switch locale e sul firewall di ciascun negozio, configurare una VLAN Guest dedicata (es. VLAN 50). Nelle impostazioni dell'SSID Meraki, impostare l'assegnazione IP del client su 'Server DHCP esterno' e specificare la VLAN 50. Assicurarsi che il firewall blocchi tutto il routing dalla VLAN 50 alle subnet aziendali.\n3. Analisi della Posizione: Abilitare l'API di scansione Meraki (CMX) nella Dashboard Meraki sotto In tutta la rete > Configura > Generale. Inserire l'URL di invio di Purple e il validatore segreto. Ciò consente agli AP Meraki di trasmettere dati in tempo reale sulle richieste di probe al motore di analisi di Purple per i report sulle presenze e sui tempi di permanenza.

Commento dell'esaminatore: L'implementazione su scala richiede automazione e una gestione basata su modelli. Associando tutte le reti a un singolo modello, qualsiasi aggiornamento futuro del walled garden (come l'aggiunta di un nuovo provider di login social) può essere inviato istantaneamente a tutti i 45 negozi, eliminando gli errori di configurazione manuale. L'abilitazione dell'API di scansione Meraki insieme all'accounting RADIUS garantisce che il rivenditore acquisisca sia le analisi delle sessioni degli ospiti attivi sia le metriche passive delle presenze dei visitatori, massimizzando il valore aziendale dell'implementazione.

Domande di esercitazione

Q1. Un ingegnere di rete distribuisce un nuovo SSID guest Meraki con un Captive Portal Purple. I client non autenticati vengono reindirizzati correttamente alla pagina di login, ma quando tentano di utilizzare "Accedi con Google", la pagina gira a vuoto e alla fine fallisce con un errore DNS o di timeout. Altri metodi di login (come il modulo email) funzionano perfettamente. Qual è la causa più probabile di questo problema e come dovrebbe essere risolto?

Suggerimento: Considera quali domini esterni deve raggiungere il browser del client per completare l'handshake di Google OAuth prima che l'autenticazione RADIUS sia completata.

Visualizza risposta modello

La causa più probabile è che i domini di supporto di Google OAuth mancano nella configurazione del Walled Garden dell'SSID Meraki. Sebbene i domini principali di Purple e i domini CDN siano consentiti (motivo per cui la splash page si carica), i server di autenticazione di Google vengono bloccati dalle regole del firewall di pre-autenticazione dell'AP. Per risolvere questo problema, vai su Wireless > Configura > Controllo degli accessi, seleziona l'SSID guest e aggiungi i seguenti domini Google OAuth all'elenco del Walled Garden: accounts.google.com, *.googleapis.com, *.gstatic.com e *.googleusercontent.com. Una volta salvato, l'AP consentirà al client di completare l'handshake di autenticazione di Google e di reindirizzare nuovamente a Purple per completare il login RADIUS.

Q2. Durante un audit post-installazione di una rete WiFi ad alta densità in uno stadio, il team IT nota che il pool DHCP per la VLAN guest (una sottorete /21 con 2048 IP) si esaurisce completamente entro le prime 2 ore di un evento, anche se le connessioni simultanee attive non superano mai le 800. L'accounting RADIUS è abilitato. In che modo l'architetto di rete può regolare le impostazioni Meraki e RADIUS per mitigare questo problema?

Suggerimento: Analizza la relazione tra i timeout di sessione del client, i timeout di inattività e i tempi di lease DHCP in ambienti transitori ad alta densità.

Visualizza risposta modello

L'esaurimento del pool DHCP è causato da client transitori (utenti che passano a piedi o entrano brevemente nello stadio) che si connettono, ottengono un indirizzo IP e poi lasciano la struttura. Poiché il Session-Timeout predefinito di Meraki o il tempo di lease DHCP è troppo lungo, quegli indirizzi IP rimangono riservati anche se i dispositivi fisici non sono più presenti. Per risolvere questo problema, l'architetto dovrebbe implementare tre modifiche coordinate: 1) Ridurre il tempo di lease DHCP: Sul server DHCP (o sull'appliance di sicurezza Meraki che gestisce il DHCP), ridurre il tempo di lease a 10 o 15 minuti. 2) Configurare l'Idle Timeout: Assicurarsi che l'accounting RADIUS sia abilitato sulla porta 1813 e configurare un Idle-Timeout di 10 minuti (600 secondi) nel profilo Access-Accept di RADIUS. Questo indica all'AP Meraki di terminare la sessione di qualsiasi client inattivo per 10 minuti. 3) Accorciare il Session Timeout: Ridurre il Session-Timeout globale per il profilo dello stadio a 120 minuti (7200 secondi) per forzare la rivalutazione periodica dei dispositivi attivi.

Q3. Un MSP sta configurando un SSID guest Meraki con un Captive Portal Purple. Ha inserito gli IP e le porte dei server RADIUS Purple corretti (1812/1813) nella Dashboard Meraki, ma quando esegue il test con lo strumento di "Test" RADIUS integrato, tutti gli access point non riescono a raggiungere il server. L'MSP verifica che il segreto condiviso RADIUS sia corretto e che il cloud Purple sia online. Quale configurazione di routing o firewall ha probabilmente trascurato l'MSP?

Suggerimento: Ricorda da dove provengono le richieste di autenticazione RADIUS in un'architettura gestita in cloud Cisco Meraki.

Visualizza risposta modello

L'MSP ha probabilmente configurato i firewall della propria rete locale per consentire il traffico RADIUS in uscita dalle sottoreti AP locali, ma ha dimenticato che in una distribuzione con splash page Meraki, i RADIUS Access-Request provengono direttamente dalla Cisco Meraki Dashboard Cloud Infrastructure, non dagli AP locali. Per risolvere questo problema, l'MSP deve ottenere gli intervalli IP in uscita della Dashboard Meraki (disponibili nella Dashboard Meraki sotto Guida > Informazioni sul firewall) e configurare il proprio firewall aziendale a monte per consentire il traffico UDP in entrata e in uscita sulle porte 1812 (Autenticazione) e 1813 (Accounting) tra quegli intervalli IP della Dashboard Meraki e i server Cloud RADIUS di Purple. Inoltre, deve assicurarsi che gli IP della Dashboard Meraki siano aggiunti come client RADIUS validi nella configurazione del portale Purple.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.