Vai al contenuto principale
Italiano

Captive Portal for Ruckus

Questa guida di riferimento tecnico fornisce un manuale di integrazione autorevole per l'implementazione di captive portal esterni su architetture CommScope Ruckus SmartZone e Unleashed. Guida gli ingegneri di rete attraverso configurazioni dettagliate per WLAN Guest, reindirizzamento WISPr, impostazioni del server RADIUS AAA e eccezioni Walled Garden per fornire una soluzione WiFi per ospiti sicura e ad alta densità.

📖 14 minuti di lettura📝 3,327 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto nella serie Purple Technical Briefing. Sono il tuo presentatore e oggi parleremo di un argomento che emerge in quasi tutte le implementazioni WiFi aziendali che vediamo: la configurazione di un captive portal sui controller Ruckus SmartZone e Ruckus Unleashed. Che tu sia un MSP che distribuisce il guest WiFi in una catena alberghiera, un responsabile IT del settore hospitality che lancia una nuova struttura o un ingegnere wireless che integra la piattaforma di Purple con un'infrastruttura Ruckus, questo episodio fa al caso tuo. Cominciamo. --- In primo luogo, perché l'integrazione del captive portal di Ruckus è così importante? Ruckus, ora parte di CommScope, è una delle piattaforme WiFi aziendali leader a livello globale. SmartZone, in particolare, è il controller preferito per gli ambienti ad alta densità: stadi, centri congressi, grandi hotel e catene di negozi. Quando distribuisci il guest WiFi su tale scala, hai bisogno di qualcosa di più di un semplice SSID aperto. Ti occorrono un flusso di autenticazione strutturato, un'acquisizione dei dati conforme al GDPR e la possibilità di inviare i dati degli ospiti al tuo stack di marketing. È proprio qui che entra in gioco una piattaforma di captive portal esterna come Purple. L'architettura in questo caso è un flusso hotspot basato su WISPr. WISPr sta per Wireless Internet Service Provider roaming: è uno standard di settore che definisce il modo in cui un controller wireless intercetta il traffico HTTP non autenticato e lo reindirizza a un portale esterno. L'ospite si connette al tuo SSID, il suo dispositivo invia una richiesta HTTP, il controller SmartZone la intercetta ed emette un reindirizzamento HTTP 302 all'URL del tuo portale esterno. L'ospite si autentica (tramite social login, e-mail, SMS o un modulo personalizzato) e quindi il portale comunica nuovamente con il controller tramite la Northbound Interface, o NBI, per concedere l'accesso. Un processo pulito, basato su standard e altamente affidabile se configurato correttamente. --- Ora passiamo alla configurazione tecnica. Esaminerò prima SmartZone, poi tratterò le differenze per Unleashed. Su SmartZone (e questo vale sia per le distribuzioni fisiche SZ300 che per quelle virtuali vSZ) la configurazione prevede quattro componenti principali: il profilo del server di autenticazione RADIUS, il profilo del server di accounting RADIUS, il profilo del portale Hotspot WISPr e la WLAN stessa. Inizia con i tuoi server RADIUS. Vai su Services and Profiles, quindi su Authentication. Crea un nuovo profilo server AAA. Imposta il Service Protocol su RADIUS. L'IP del server primario e il segreto condiviso saranno forniti dal fornitore del portale; nel caso di Purple, questi sono documentati nella console di amministrazione del portale Purple. Porta 1812 per l'autenticazione. Configura sempre un server RADIUS di backup per la resilienza, anch'esso sulla porta 1812 del secondario. Fai lo stesso per l'accounting in Services and Profiles, Accounting: porta 1813, stesso segreto condiviso. Successivo, il profilo Hotspot WISPr. Vai su Servizi e Profili, Hotspot e Portali, e seleziona la scheda Hotspot WISPr. Crea un nuovo profilo. Imposta l'URL di Login su Esterno e inserisci l'URL di reindirizzamento del tuo portale: questo è l'URL a cui i tuoi ospiti verranno inviati prima di autenticarsi. Imposta la Pagina Iniziale per reindirizzare a un URL post-autenticazione, in genere una pagina di successo o la homepage della tua struttura. Ora, il Walled Garden. Questo è il punto in cui molti ingegneri si confondono. Il Walled Garden definisce quali domini e indirizzi IP un ospite può raggiungere prima di essersi autenticato. Devi includere il dominio del tuo portale, eventuali domini CDN o di asset da cui il tuo portale carica i contenuti, e gli endpoint standard di rilevamento del Captive Portal del sistema operativo. In SmartZone, i caratteri jolly sono supportati utilizzando il formato asterisco-punto, come ad esempio star-dot-purple-dot-ai. Quella singola voce copre tutti i sottodomini. Devi anche includere i domini di rilevamento del Captive Portal di Apple (captive.apple.com) e gli endpoint di controllo della connettività di Google per evitare che il mini-browser CNA non funzioni correttamente sui dispositivi iOS e Android. Un passaggio fondamentale che è facile dimenticare: per impostazione predefinita, SmartZone crittografa l'indirizzo MAC e l'indirizzo IP che passa al portale esterno nell'URL di reindirizzamento. Il fornitore del tuo portale deve vedere l'effettivo indirizzo MAC del client per eseguire la gestione della sessione basata su MAC. Devi disabilitare questa opzione tramite la CLI. Accedi in SSH alla tua SmartZone, entra in modalità config ed esegui: no encrypt-mac-ip. Tutto qui: un solo comando, ma è un blocco se lo salti. L'Interfaccia Northbound è l'altro elemento. Questa è l'API che consente alla piattaforma del tuo portale di comunicare con la SmartZone per concedere o negare l'accesso dopo l'autenticazione. Abilitala in Amministrazione, Servizi Esterni, Interfaccia Northbound WISPr. Imposta un nome utente e una password e fornisci tali credenziali al fornitore del tuo portale. L'NBI funziona sulla porta TCP 9080 per HTTP e 9443 per HTTPS: assicurati che il tuo firewall consenta le connessioni in entrata dall'intervallo IP della piattaforma del tuo portale verso queste porte. Infine, crea la tua WLAN. Imposta il Tipo di Autenticazione su Hotspot WISPr, seleziona il profilo del tuo portale e assegna i tuoi servizi di autenticazione e accounting RADIUS. Imposta il NAS ID su Definito dall'utente se il fornitore del tuo portale richiede un valore specifico, imposta il Called Station ID su AP MAC e abilita il Single Session ID. Quest'ultima impostazione assicura che la sessione di un ospite sia legata a un singolo record di sessione del controller, il che è importante per un accounting accurato. --- Ora passiamo a Unleashed. L'architettura è fondamentalmente diversa: Unleashed è un modello distribuito e senza controller in cui un AP funge da master. La configurazione si trova in Amministratore e Servizi, Servizi, Servizi Hotspot. I passaggi sono ampiamente simili: crea un servizio Hotspot, configura l'URL del tuo portale esterno, configura il tuo server di autenticazione AAA, aggiungi le voci del tuo Walled Garden, ma ci sono differenze chiave. In primo luogo, in Unleashed non è richiesto il Northbound Interface. Il modello di comunicazione del portale è più semplice. In secondo luogo, la crittografia dell'indirizzo MAC non è applicata di default in Unleashed, quindi non è necessario il comando CLI. In terzo luogo, il walled garden di Unleashed accetta voci a livello di dominio anziché la sintassi wildcard completa — pertanto si inserirà purple.ai anziché star-dot-purple.ai. Verificare la documentazione del proprio fornitore per il formato esatto richiesto. Unleashed scala fino a circa 50 access point, il che lo rende adatto per hotel di medie dimensioni, filiali retail e installazioni per PMI. Per qualsiasi struttura più grande — gruppi alberghieri multi-proprietà, stadi, grandi complessi retail — SmartZone è la piattaforma corretta. --- Permettetemi di illustrare i due scenari di errore più comuni che riscontro sul campo. Il primo è la configurazione errata del walled garden. Se la pagina del Captive Portal non si carica dopo il reindirizzamento, la prima cosa da verificare è se tutti i domini a cui fa riferimento la pagina del portale sono inclusi nel walled garden. Le moderne pagine dei portali caricano risorse da molteplici domini CDN, script di analytics e SDK di social login. Se uno qualsiasi di questi elementi viene bloccato prima dell'autenticazione, la pagina non si caricherà o si caricherà in modo errato. Utilizzare gli strumenti di sviluppo del browser su un dispositivo di test connesso al guest SSID per identificare quali richieste vengono bloccate. Il secondo è il problema di connettività NBI. Se gli ospiti riescono a visualizzare il portale e ad autenticarsi, ma non ottengono mai l'accesso a internet, la causa probabile è che lo SmartZone non riesce a ricevere la callback NBI dalla piattaforma del portale. Verificare che le porte 9080 e 9443 siano aperte in ingresso verso l'IP di gestione dello SmartZone dall'intervallo IP del fornitore del portale. Verificare inoltre che le credenziali NBI configurate corrispondano a quelle registrate dal fornitore del portale. Un terzo aspetto degno di nota riguarda l'Apple CNA, il Captive Network Assistant. Su iOS, quando un dispositivo si connette a una rete, invia una richiesta di probe a captive.apple.com. Se tale richiesta riceve una risposta diversa da 200, iOS apre il mini-browser. Se captive.apple.com è incluso nel walled garden, la richiesta ha successo, iOS rileva la presenza di internet e il CNA non viene visualizzato. Potrebbe sembrare un aspetto positivo, ma significa che gli ospiti non vedranno automaticamente il portale. È necessario decidere: si desidera che il CNA venga visualizzato o che gli ospiti aprano manualmente un browser? La maggior parte delle installazioni nel settore hospitality esclude captive.apple.com dal walled garden per attivare il CNA. --- Domande rapide. Tre quesiti che mi vengono posti costantemente. Ho bisogno di una VLAN per la mia WLAN guest? Sì. Isolare sempre il traffico guest su una VLAN dedicata. Si tratta sia di un requisito di sicurezza sia di una considerazione di conformità PCI DSS se la struttura elabora pagamenti con carta sulla stessa rete. Posso utilizzare Purple con Ruckus Cloud invece di SmartZone? Sì, ma il percorso di configurazione è diverso — si trova sotto WiFi Networks, impostazioni Guest Access. I principi di configurazione del walled garden e di RADIUS rimangono gli stessi. Purple supporta le distribuzioni multi-zona di SmartZone? Sì. L'integrazione di Purple gestisce gli ambienti SmartZone multi-zona ed è possibile definire la configurazione del portale per singole zone per sedi o piani diversi. --- Per concludere. L'integrazione del Captive Portal di Ruckus SmartZone con Purple è un modello di distribuzione maturo e ben documentato che offre un'autenticazione degli ospiti affidabile su scala. I punti chiave della configurazione sono: RADIUS sulle porte 1812 e 1813 con un server di backup, il profilo Hotspot WISPr con un URL di login esterno, un walled garden correttamente configurato utilizzando voci wildcard, il comando CLI no encrypt-mac-ip e la Northbound Interface abilitata con le credenziali corrette. Configurando correttamente questi cinque elementi, avrete una base solida. Per le distribuzioni Unleashed, si applicano gli stessi principi con un modello di configurazione più semplice e senza requisiti NBI. Se state distribuendo Purple su Ruckus e desiderate convalidare la configurazione prima della messa in servizio, il team di onboarding tecnico di Purple può guidarvi attraverso una checklist pre-lancio. La piattaforma Purple fornisce inoltre analisi in tempo reale sui tempi di caricamento del portale, sui tassi di successo dell'autenticazione e sui dati di sessione, offrendovi la visibilità necessaria per individuare i problemi prima dei vostri ospiti. Grazie per l'ascolto. Nel prossimo episodio parleremo dell'autenticazione 802.1X con Cloud RADIUS, un'altra integrazione che si abbina perfettamente a Ruckus SmartZone per l'accesso degli ospiti aziendali. A presto.

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Sintesi Esecutiva

La distribuzione di una rete wireless per ospiti ad alte prestazioni in ambienti aziendali richiede un delicato equilibrio tra un'esperienza utente fluida e una sicurezza tecnica robusta. Per le organizzazioni che utilizzano architetture CommScope Ruckus, che spaziano da stadi e centri congressi ad alta densità a vasti complessi commerciali e gruppi alberghieri, il Captive Portal funge da gateway principale per l'onboarding degli utenti, l'applicazione della conformità e l'acquisizione di dati di prima parte.

Questa guida fornisce un manuale operativo autorevole e dettagliato per l'integrazione di Captive Portal esterni con i controller Ruckus SmartZone e Ruckus Unleashed. Sfruttando i protocolli di roaming standard del settore Wireless Internet Service Provider roaming (WISPr), gli ingegneri di rete possono implementare un reindirizzamento affidabile, un'autenticazione sicura Remote Authentication Dial-In User Service (RADIUS) e configurazioni granulari di Walled Garden.

Se abbinata alla piattaforma Guest WiFi di Purple e a WiFi Analytics , questa integrazione consente ai gestori delle strutture di acquisire dati demografici fondamentali sui visitatori, rispettare le normative internazionali sui dati (come GDPR e PCI DSS) e sbloccare potenti funzionalità di marketing automation. Sia che si distribuiscano architetture Virtual SmartZone (vSZ) centralizzate nei settori Hospitality e Transport , sia che si utilizzino reti Unleashed distribuite basate su AP in ambienti Retail , questo riferimento tecnico garantisce una distribuzione resiliente e ad alta capacità.

Approfondimento Tecnico

Per distribuire una rete ospiti altamente scalabile, i progettisti devono comprendere gli standard di comunicazione sottostanti che regolano il flusso del Captive Portal. Le architetture Ruckus utilizzano lo standard WISPr 2.0 per gestire il reindirizzamento e l'autenticazione dei client. Il protocollo WISPr definisce il modo in cui un access point (AP) wireless o un controller intercetta il traffico HTTP/HTTPS non autenticato e reindirizza il browser del client a un server web del portale esterno.

Il Flusso di Autenticazione WISPr

Il processo di reindirizzamento del Captive Portal esterno segue una sequenza rigorosa di transazioni di rete. La comprensione di questo flusso è essenziale per la risoluzione dei problemi e la configurazione delle policy dei firewall a monte:

  1. Associazione: Il client ospite si associa all'SSID Guest aperto e non crittografato. L'AP assegna un indirizzo IP al client tramite DHCP.
  2. Sonda HTTP: Il sistema operativo del client avvia una sonda HTTP (ad esempio, la sonda Captive Network Assistant di Apple verso captive.apple.com o il controllo di connettività di Android verso connectivitycheck.gstatic.com) per verificare l'accesso a Internet.
  3. Reindirizzamento HTTP 302: L'AP Ruckus o il controller SmartZone intercetta questa richiesta HTTP non autenticata. Risponde con un reindirizzamento HTTP 302, inoltrando il browser del client all'URL del portale esterno (ad es. la pagina di login di Purple). A questo URL di reindirizzamento vengono aggiunti parametri di query fondamentali, tra cui l'indirizzo MAC del client (client_mac), l'indirizzo IP del client (client_ip), l'indirizzo MAC dell'AP (ap_mac) e l'IP della Northbound Interface del controller (nbiIP).
  4. Rendering del Portale: Il browser del client carica la pagina del portale esterno. Il traffico non autenticato verso il dominio del portale e le relative risorse associate è consentito dalla policy Walled Garden del controller.
  5. Autenticazione Utente: L'utente completa i requisiti di accesso (ad es. social login, registrazione tramite SMS, invio di un modulo) sul portale.
  6. RADIUS Access-Request: La piattaforma del portale esterno, agendo come client RADIUS, invia una richiesta di accesso (Access-Request) al server di autenticazione RADIUS configurato (come l'infrastruttura Cloud RADIUS di Purple).
  7. RADIUS Access-Accept: Il server RADIUS convalida le credenziali e restituisce un pacchetto Access-Accept contenente i parametri di sessione (ad es. timeout della sessione, limiti di banda) al controller Ruckus.
  8. Callback NBI: Il portale esterno effettua una chiamata API alla Northbound Interface (NBI) del controller Ruckus utilizzando le credenziali WISPr, istruendo il controller ad autorizzare l'indirizzo MAC del client.
  9. Accesso a Internet: Il controller passa lo stato del client a "Autenticato", consentendo il pieno accesso a Internet nel rispetto delle policy di sessione configurate.

architecture_overview.png

Confronto dell'Architettura Core

A seconda delle dimensioni della sede, le organizzazioni distribuiscono le architetture CommScope Ruckus SmartZone (su scala aziendale, basata su controller) o Ruckus Unleashed (distribuita, senza controller). Sebbene entrambe supportino Captive Portal esterni basati su WISPr, i percorsi di configurazione e le funzionalità sottostanti differiscono in modo significativo:

Funzionalità Tecnica Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (AP Distribuito)
Architettura del Controller Appliance fisica o virtuale centralizzata che gestisce fino a 10.000 AP. Architettura AP master-member distribuita che gestisce fino a 50 AP.
Percorso di Configurazione Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
Metodo di Callback API Northbound Interface (NBI) tramite porte TCP 9080/9443. Autenticazione RADIUS/Locale diretta senza callback API esterni.
Crittografia Indirizzo MAC Abilitata per impostazione predefinita; deve essere disabilitata tramite CLI (no encrypt-mac-ip). Disabilitata per impostazione predefinita; gli indirizzi MAC vengono passati in testo non crittografato.
Walled Garden Wildcards Supporta la formattazione con caratteri jolly completi (es. *.purple.ai). Supporta voci a livello di dominio (es. purple.ai).
Supporto RADIUS Proxy Supportato tramite "Proxy (SZ Authenticator)" o AAA diretto. Supportato tramite configurazione diretta del server AAA.
Target di implementazione Stadi, grandi hotel, hub di Trasporto , campus Sanitari . Hotel di fascia media, negozi al Dettaglio , Scuole .

Guida all'implementazione

Questa guida all'implementazione passo dopo passo accompagna gli ingegneri di rete nella configurazione di un Captive Portal esterno sui controller Ruckus SmartZone e Ruckus Unleashed.

Parte A: Configurazione di Ruckus SmartZone

Passaggio 1: Configurare i server RADIUS AAA

Per autenticare gli utenti guest rispetto a un database esterno, è necessario prima definire i server di autenticazione e accounting RADIUS.

  1. Passare a Services & Profiles > Authentication e selezionare la scheda Proxy (SZ Authenticator).
  2. Selezionare la Zone di destinazione e fare clic su Create.
  3. Configurare i seguenti parametri:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: Inserire l'indirizzo IP fornito nella console di amministrazione Purple.
    • Port: 1812
    • Shared Secret: Inserire il proprio segreto condiviso RADIUS Purple.
    • Backup RADIUS: Enabled (Configurare l'IP secondario, la porta 1812 e lo stesso segreto condiviso per l'alta affidabilità).
  4. Fare clic su OK per salvare.
  5. Passare a Services & Profiles > Accounting e fare clic su Create sotto la scheda Proxy (SZ Authenticator).
  6. Configurare i seguenti parametri:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: Inserire l'indirizzo IP fornito nella console di amministrazione Purple.
    • Port: 1813
    • Shared Secret: Inserire il proprio segreto condiviso RADIUS Purple.
    • Backup RADIUS: Enabled (Configurare l'IP secondario, la porta 1813 e lo stesso segreto condiviso).
  7. Fare clic su OK per salvare.

Passaggio 2: Configurare il profilo del portale Hotspot WISPr

Il profilo Hotspot WISPr definisce il comportamento di reindirizzamento e le regole di Walled Garden.

  1. Passare a Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Selezionare la Zone di destinazione e fare clic su Create.
  3. Nella sezione General Options, configurare:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: Selezionare External e inserire l'URL di reindirizzamento principale fornito da Purple (es. https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (Questo formato è fondamentale per l'analisi del database di Purple).
  4. Nella sezione Start Page, configurare:
    • Selezionare Redirect to the following URL e inserire: https://login.purple.ai/success.php
  5. Nella sezione Session Options, configurare:
    • Session Timeout: 1440 minuti (24 ore, o in base alla propria policy aziendale).
    • Grace Period: 60 minuti (consente agli utenti di riconnettersi entro 1 ora senza doversi autenticare nuovamente).
  6. Fare clic su OK per salvare il profilo.

Passaggio 3: Definire le eccezioni della Walled Garden

La Walled Garden consente ai client non autenticati di risolvere il DNS e scaricare risorse da domini specifici necessari per caricare la splash page e autenticarsi.

  1. Modificare il profilo Purple_WISPr_Portal appena creato.
  2. Scorrere verso il basso e fare clic sul segno + per espandere la sezione Walled Garden.
  3. Aggiungere i seguenti domini obbligatori. Si noti che Ruckus SmartZone richiede il formato wildcard *.domain.com:
    • *.purple.ai (Portale principale e dominio di reindirizzamento)
    • *.cloudfront.net (CDN per il caricamento di fogli di stile e risorse JavaScript)
    • *.apple.com e captive.apple.com (Per gestire il comportamento di Apple Captive Network Assistant)
    • *.googleapis.com e *.gstatic.com (Per le API di Google e la distribuzione delle risorse)
  4. Aggiungere eventuali domini di social media se si abilita il social login (ad es. *.facebook.com, *.facebook.net per il login con Facebook).
  5. Fare clic su OK per salvare.

Passaggio 4: Configurare la LAN wireless guest (WLAN)

Ora, associare i server RADIUS e il profilo Hotspot a un nuovo SSID.

  1. Passare a Wireless LANs e selezionare la Zone di destinazione.
  2. Fare clic su Create per creare una nuova WLAN.
  3. Configurare le General Options:
    • Name: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Configurare le Security Options:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Espandere la sezione Hotspot Portal:
    • Hotspot (WISPr) Portal: Selezionare Purple_WISPr_Portal.
    • Authentication Service: Selezionare Purple_RADIUS_Auth.
    • Accounting Service: Selezionare Purple_RADIUS_Acct.
    • Send Interim Update: Impostare su 5 minuti (fondamentale per il monitoraggio delle sessioni in tempo reale).
  6. Espandere le RADIUS Options:
    • NAS ID: Impostare su User-defined e inserire l'ID della sede assegnato da Purple.
    • Called Station ID: Selezionare AP MAC.
    • Single Session ID: ON (Previene la duplicazione delle sessioni tra gli AP).
  7. Fare clic su OK per distribuire la WLAN.

Passaggio 5: Abilitare l'interfaccia WISPr Northbound (NBI)

L'NBI consente a Purple di comunicare con lo SmartZone per autorizzare i client.

  1. Passare a Administration > External Services > WISPr Northbound Interface.
  2. Selezionare la casella Enable Northbound Interface support.
  3. Definire un Username e una Password (ad es. purple_nbi / SecureNbiPassword123!).
  4. Inserire queste credenziali nella Console di amministrazione di Purple in Integrations > Ruckus SmartZone.

Passaggio 6: Disabilitare la crittografia MAC/IP (PASSAGGIO CLI CRITICO)

Per impostazione predefinita, SmartZone crittografa gli indirizzi MAC nell'URL di reindirizzamento. È necessario disabilitare questa funzione affinché Purple possa leggere i MAC dei client.

  1. Aprire una sessione SSH sull'IP di gestione del controller SmartZone.
  2. Accedere con le proprie credenziali di amministratore.
  3. Eseguire i seguenti comandi:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

Parte B: Configurazione di Ruckus Unleashed

Per le sedi più piccole che utilizzano un'architettura Unleashed senza controller, configurare il Captive Portal tramite l'interfaccia web dell'AP master.

Passaggio 1: Definire i server AAA

  1. Passare a Admin & Services > Services > AAA Servers.
  2. Fare clic su Create New per aggiungere il server di autenticazione RADIUS:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Inserire l'IP RADIUS di Purple.
    • Port: 1812
    • Shared Secret: Inserire il segreto condiviso RADIUS di Purple.
  3. Fare clic su OK.
  4. Fare clic su Create New per aggiungere il server di accounting RADIUS:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Inserire l'IP RADIUS di Purple.
    • Port: 1813
    • Shared Secret: Inserire il segreto condiviso RADIUS di Purple.
  5. Fare clic su OK.

Passaggio 2: Configurare il servizio Hotspot

  1. Passare a Admin & Services > Services > Hotspot Services.
  2. Fare clic su Create New.
  3. Nella scheda General:
    • Name: Purple_Hotspot
    • Login URL: Inserire l'URL di reindirizzamento di Purple.
    • Start Page: Selezionare Redirect to the following URL e inserire https://login.purple.ai/success.php.
  4. Nella scheda Authentication:
    • Authentication Server: Selezionare Purple_Auth.
    • Accounting Server: Selezionare Purple_Acct.
    • Interim Update: Impostare su 5 minuti.
  5. Nella scheda Walled Garden:
    • Aggiungere le voci a livello di dominio (ad es. purple.ai, cloudfront.net, gstatic.com). Si noti che Unleashed non richiede il prefisso jolly asterisco; la corrispondenza standard a livello di dominio viene applicata automaticamente.
  6. Fare clic su OK per salvare.

Passaggio 3: Assegnare il servizio Hotspot alla WLAN

  1. Passare a Wi-Fi Networks e fare clic su Create.
  2. Impostare Name e SSID con il nome della rete guest.
  3. Impostare Usage Type su Hotspot Service.
  4. Selezionare Purple_Hotspot dall'elenco dei servizi.
  5. Fare clic su OK per pubblicare l'SSID su tutti gli AP Unleashed.

comparison_chart.png

Best Practice

Per garantire massime prestazioni, sicurezza e conformità normativa, i progettisti di rete dovrebbero implementare le seguenti best practice standard del settore:

1. Segmentazione granulare della VLAN Guest

Non mappare mai il traffico guest sulla VLAN nativa o di gestione. Isolare sempre i client guest su una VLAN dedicata e non instradabile (ad es. VLAN 100). Implementare liste di controllo degli accessi (ACL) rigorose sullo switch o firewall a monte per impedire al traffico guest di raggiungere le sottoreti aziendali, i sistemi POS (point-of-sale) e l'infrastruttura IoT. Questa segmentazione è un requisito fondamentale per la conformità PCI DSS.

2. Ottimizzazione RF ad alta densità

In ambienti ad alta densità come stadi, centri congressi e grandi poli commerciali, l'ottimizzazione RF è fondamentale. Disabilita i data rate legacy inferiori (ad es. disabilita i rate 802.11b inferiori a 12 Mbps) per forzare i client a utilizzare velocità superiori, riducendo la congestione del tempo di trasmissione (airtime). Abilita il Band Steering per indirizzare i dispositivi client dual-band verso lo spettro a 5 GHz e 6 GHz, preservando la banda a 2.4 GHz, altamente congestionata, per i dispositivi legacy.

3. Gestione dinamica del Walled Garden

Mantieni il tuo Walled Garden il più snello possibile. Walled garden eccessivamente permissivi (come l'aggiunta di ampie subnet IP come 172.217.0.0/16) possono consentire agli utenti non autenticati di aggirare il Captive Portal e accedere a servizi esterni (come Google Search o YouTube) senza effettuare l'accesso. Esegui regolarmente un audit dei domini del tuo walled garden, in particolare dopo aver abilitato nuovi provider di social login.

4. Gestione sicura delle sessioni

Imposta timeout di sessione ragionevoli (ad es. 1440 minuti / 24 ore) e periodi di tolleranza (grace period, ad es. 60 minuti). Un grace period ben configurato previene la "fatica da portale" consentendo agli utenti che perdono temporaneamente la copertura WiFi (ad es. uscendo dalla hall di un hotel) di riconnettersi senza problemi senza essere costretti a riautenticarsi.

5. Conformità normativa e sicurezza

La distribuzione di reti WiFi pubbliche per gli ospiti espone le strutture a rischi legali. Assicurati che l'integrazione del tuo Captive Portal sia conforme alle normative locali:

  • GDPR / CCPA: Assicurati che la splash page mostri termini di servizio e informative sulla privacy chiari, richiedendo un consenso esplicito (opt-in) per le comunicazioni di marketing.
  • Modalità WPA3-Transition: Sebbene le reti ospiti siano solitamente aperte, valuta la possibilità di abilitare la modalità WPA3-Transition con Opportunistic Wireless Encryption (OWE) per crittografare il traffico wireless tra il client e l'AP senza richiedere una chiave precondivisa, proteggendo gli ospiti dall'intercettazione passiva.
  • Filtraggio dei contenuti web: I server DNS a monte (come Cisco Umbrella o Cloudflare Families) devono essere configurati per bloccare domini dannosi, contenuti per adulti e traffico di file-sharing illegale sulla VLAN ospiti.

Risoluzione dei problemi e mitigazione dei rischi

Durante la distribuzione di Captive Portal esterni su hardware Ruckus, i tecnici riscontrano comunemente una serie prevedibile di problemi di configurazione e di percorso di rete. Utilizza questo framework strutturato di risoluzione dei problemi per risolvere i colli di bottiglia della distribuzione.

Modalità di guasto comuni e percorsi di risoluzione

Problema 1: I dispositivi degli ospiti non vengono reindirizzati alla pagina del Captive Portal.

  • Causa principale A: Errore di risoluzione DNS. I client non autenticati devono essere in grado di risolvere le query DNS prima del reindirizzamento. Se il client non riesce a risolvere login.purple.ai, il reindirizzamento fallirà.
    • Risoluzione: Verifica che lo scope DHCP assegnato alla VLAN ospiti fornisca server DNS pubblici validi (ad es. 1.1.1.1 o 8.8.8.8). Assicurati che il firewall a monte consenta il traffico sulla porta UDP 53 dalla subnet ospiti verso Internet prima dell'autenticazione.
  • Causa principale B: Il firewall blocca la porta 9080/9443. SmartZone richiede l'apertura di porte specifiche per caricare la splash page.
    • Risoluzione: Assicurarsi che la porta TCP 9080 (HTTP) o 9443 (HTTPS) sia consentita attraverso eventuali firewall locali.
  • Causa principale C: Errata configurazione del Walled Garden. L'URL di reindirizzamento stesso potrebbe essere bloccato.
    • Risoluzione: Assicurarsi che *.purple.ai sia esplicitamente definito nel Walled Garden WISPr dell'Hotspot.

Problema 2: Gli ospiti possono visualizzare e completare la pagina di login, ma non riescono ad accedere a Internet dopo aver fatto clic su "Connetti".

  • Causa principale A: Errore di comunicazione NBI. Il portale esterno non riesce a inviare la chiamata API di autorizzazione al controller SmartZone.
    • Risoluzione: Verificare che la Northbound Interface (NBI) dello SmartZone sia abilitata e che le credenziali inserite nella Purple Admin Console corrispondano alla configurazione del controller. Assicurarsi che il firewall perimetrale consenta il traffico in entrata sulla porta TCP 9080 (o 9443) dall'intervallo IP pubblico di Purple verso l'IP di gestione dello SmartZone.
  • Causa principale B: Errore di autenticazione RADIUS. Il controller rifiuta il pacchetto RADIUS Access-Accept o non lo ha ricevuto.
    • Risoluzione: Passare a Services & Profiles > Authentication sullo SmartZone, selezionare il server RADIUS e fare clic su Test AAA. Inserire le credenziali di test per verificare la connettività. Se il test fallisce, verificare l'IP RADIUS, la porta 1812 e la Shared Secret. Assicurarsi che le porte UDP 1812 e 1813 siano consentite in uscita sul firewall perimetrale.

Problema 3: I dispositivi Apple iOS non mostrano automaticamente il mini-browser Captive Network Assistant (CNA).

  • Causa principale: Bypass del CNA Apple abilitato o Walled Garden troppo permissivo. Se il dominio di test di Apple è consentito nel walled garden, iOS presuppone di avere un accesso diretto a Internet e disattiva il CNA.
    • Risoluzione: Assicurarsi che captive.apple.com NON sia completamente bypassato nel walled garden se si desidera forzare la comparsa del CNA. Al contrario, se la policy prevede di bypassare il CNA e forzare gli utenti ad aprire un browser standard, assicurarsi che l'opzione Bypass CNA sia impostata su ON nella configurazione WLAN.

Requisiti di porte di rete e protocolli

Per garantire una comunicazione fluida tra il controller Ruckus, i dispositivi client e il portale esterno, verificare che le seguenti porte siano consentite sui firewall di rete:

Origine Destinazione Protocollo Porta Scopo
Sottorete Ospiti DNS Pubblico UDP 53 Risoluzione DNS pre-autenticazione.
Sottorete Ospiti Controller SmartZone TCP 9080 / 9443 Reindirizzamento del Captive Portal e autenticazione web WISPr.
Controller SmartZone Server RADIUS Purple UDP 1812 Traffico di autenticazione RADIUS.
Controller SmartZone Server RADIUS Purple UDP 1813 Accounting RADIUS / Tracciamento della sessione.
Purple Portal Cloud Controller SmartZone TCP 9080 / 9443 Chiamate API in entrata tramite Northbound Interface (NBI).

ROI e impatto aziendale

Mentre gli ingegneri di rete si concentrano sui flussi di pacchetti e sulle configurazioni delle porte, i direttori IT e i CTO devono giustificare l'investimento nel Wi-Fi guest aziendale. L'integrazione dell'hardware ad alta densità Ruckus con la piattaforma Purple's WiFi Analytics trasforma una rete che rappresenta un centro di costo in un asset aziendale ad alto valore, offrendo un ritorno sull'investimento (ROI) misurabile.

1. Acquisizione di dati di prima parte su scala

In settori come il Retail e l' Hospitality , la comprensione dei dati demografici dei clienti è un fattore chiave per la crescita aziendale. Un SSID aperto standard non acquisisce alcun dato sui visitatori. Implementando il Captive Portal di Purple, le strutture ottengono tassi medi di completamento dell'accesso dal 25% al 40%. Ciò consente agli operatori di acquisire legalmente indirizzi e-mail verificati, numeri di telefono e profili social.

2. Marketing e coinvolgimento iper-localizzati

Abbinando i servizi di localizzazione di precisione di Ruckus al motore di marketing di Purple, le strutture possono attivare campagne automatizzate in tempo reale basate sulla presenza fisica. Ad esempio, un marchio retail può attivare un coupon SMS mirato per un ospite che sta navigando in un reparto specifico da più di 15 minuti, oppure un hotel può inviare un'e-mail di benvenuto con un link per prenotare i servizi della spa subito dopo che l'ospite si è connesso al Wi-Fi della hall.

3. Efficienza operativa e approfondimenti sulla struttura

L'integrazione dei Captive Portal con l'analisi della posizione fornisce una potente intelligenza operativa. I direttori delle strutture possono monitorare:

  • Affluenza e tempo di permanenza: misurare il numero esatto di visitatori, la durata della loro permanenza e il loro percorso all'interno dello spazio fisico.
  • Fidelizzazione e tassi di ritorno: identificare i visitatori nuovi rispetto a quelli di ritorno per valutare l'impatto delle campagne di marketing e delle modifiche operative.
  • Ottimizzazione del personale: allineare i livelli di personale con le mappe di densità dei visitatori in tempo reale, riducendo i costi generali durante le ore non di punta e migliorando il servizio clienti nei periodi di massima affluenza.

Matrice dell'impatto aziendale

La tabella seguente illustra i risultati aziendali tipici nei principali settori verticali a seguito dell'implementazione di una rete Wi-Fi guest integrata Ruckus e Purple:

Settore verticale Sfida aziendale principale Soluzione Ruckus + Purple Impatto aziendale misurabile
Hospitality (Hotel, Resort) Elevato attrito nel processo di onboarding degli ospiti; bassi tassi di prenotazione diretta; scarso volume di recensioni. Onboarding WISPr fluido; invio automatico di e-mail post-soggiorno collegate a TripAdvisor. Aumento del 20% delle prenotazioni dirette; aumento del 35% del volume di recensioni online positive.
Retail (Centri commerciali, Flagship store) Impossibilità di tracciare i percorsi fisici dei visitatori; bassa iscrizione ai programmi di fidelizzazione. Acquisizione di dati demografici tramite splash page; tracciamento dei percorsi fisici e dei tempi di permanenza. Crescita del 15% del database di fidelizzazione; aumento del 10% del valore medio del carrello tramite SMS mirati.
Trasporti (Aeroporti, Stazioni Ferroviarie) Elevata congestione; onboarding passeggeri multilingua complesso. Prestazioni AP Ruckus ad alta densità; Captive Portal multilingua con tracciamento dei voli. Riduzione del 40% dei ticket di supporto relativi alla connessione; aumento del 25% della spesa per concessioni commerciali.
Sanità (Ospedali, Cliniche) Rigida conformità di sicurezza; elevato sovraccarico amministrativo per l'accesso degli ospiti. VLAN ospiti isolata; portale di autoregistrazione sicuro; integrazione con soluzioni NAC . Conformità al 100% con HIPAA e PCI DSS; riduzione del 30% del volume di ticket all'helpdesk IT.

Allineando l'eccellenza tecnica dell'ingegneria wireless con gli obiettivi aziendali strategici, l'integrazione tra Ruckus e Purple offre un'infrastruttura di rete aziendale sicura, conforme e altamente redditizia.

Riferimenti

Definizioni chiave

WISPr (Wireless Internet Service Provider roaming)

Una bozza di protocollo sviluppata dalla Wi-Fi Alliance che consente a client intelligenti e browser web di autenticarsi automaticamente presso un hotspot wireless utilizzando un reindirizzamento standardizzato XML o HTTP 302.

Utilizzato come protocollo di reindirizzamento principale nei controller Ruckus per inoltrare i dispositivi guest non autenticati a piattaforme Captive Portal esterne.

Northbound Interface (NBI)

Un'API esposta dal controller Ruckus SmartZone che consente ai portali web esterni di inviare callback di autorizzazione, istruendo il controller a concedere l'accesso a Internet a uno specifico indirizzo MAC client.

Deve essere abilitata sulla porta TCP 9080 (HTTP) o 9443 (HTTPS) per consentire a Purple di autorizzare le sessioni guest dopo il login andato a buon fine.

Walled Garden

Un elenco di indirizzi IP, subnet o nomi di dominio a cui i client guest non autenticati possono accedere prima dell'autenticazione.

Deve essere configurato con il dominio del portale, le CDN e gli endpoint di rilevamento del captive portal del sistema operativo per garantire che la splash page si carichi correttamente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che opera sulle porte UDP 1812 (Autenticazione) e 1813 (Accounting) che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Accounting (AAA) per gli utenti.

I controller Ruckus inoltrano i dati della sessione client ai server RADIUS di Purple per convalidare le credenziali e tracciare la durata delle sessioni.

CNA (Captive Network Assistant)

Un browser leggero e limitato integrato nei sistemi operativi (come Apple iOS/macOS e Android) che si avvia automaticamente quando viene rilevata una rete aperta con un Captive Portal attivo.

Può essere bypassato nelle impostazioni WLAN se i tecnici desiderano forzare i guest ad aprire manualmente un browser completo per completare l'autenticazione.

Interim Accounting Update

Un messaggio RADIUS periodico inviato dal controller wireless al server RADIUS per aggiornare lo stato della sessione attiva, il consumo di banda e il tempo di connessione.

Deve essere impostato su 5 minuti nella configurazione WLAN di Ruckus per garantire che la dashboard di Purple mostri analisi accurate e in tempo reale.

Client Isolation

Una funzionalità di sicurezza configurata sul controller wireless che impedisce ai client wireless connessi allo stesso AP o SSID di comunicare direttamente tra loro.

Essenziale per le reti WiFi guest per proteggere gli utenti da spoofing ARP locale, attacchi man-in-the-middle e scansioni di dispositivi non autorizzate.

WPA3-Transition Mode

Una configurazione di sicurezza che consente ai dispositivi più vecchi compatibili con WPA2 e a quelli più recenti compatibili con WPA3 di connettersi contemporaneamente allo stesso SSID.

Può essere implementato sulle reti guest con Opportunistic Wireless Encryption (OWE) per fornire la crittografia via etere per gli SSID aperti senza richiedere una password.

Esempi pratici

Un centro congressi ad alta densità che utilizza Ruckus SmartZone (vSZ) deve implementare una rete WiFi per gli ospiti utilizzando il Captive Portal di Purple. La rete deve gestire fino a 5.000 sessioni simultanee, isolare il traffico degli ospiti dalle subnet aziendali e supportare l'autenticazione tramite social login.

  1. Configurare una VLAN 200 dedicata agli ospiti sugli switch core e mapparla sulla Ruckus AP Zone. Definire uno scope DHCP con server DNS pubblici (es. 1.1.1.1, 8.8.8.8) e un tempo di lease breve (2 ore) per gestire l'elevata rotazione.
  2. In SmartZone, navigare su Services & Profiles > Authentication > Proxy (SZ Authenticator) e creare server RADIUS primari/di backup che puntino agli IP Cloud RADIUS di Purple sulla porta 1812 con la chiave segreta condivisa fornita.
  3. Creare server RADIUS Accounting che puntino agli IP di Accounting di Purple sulla porta 1813. Impostare l'intervallo di aggiornamento provvisorio (interim update) a 5 minuti per tracciare accuratamente le sessioni attive.
  4. Creare un profilo Hotspot WISPr Portal. Impostare l'URL di login su 'External' con l'URL di reindirizzamento di Purple. Aggiungere eccezioni con wildcard nel walled garden per '.purple.ai', '.cloudfront.net' e per i domini dei social media (es. '*.facebook.com').
  5. Creare la WLAN Guest. Impostare il tipo di autenticazione su Hotspot (WISPr), selezionare il profilo Hotspot appena creato e associare i servizi di autenticazione e accounting RADIUS. Impostare il Called Station ID su 'AP MAC' e abilitare 'Single Session ID'.
  6. Accedere alla CLI di SmartZone tramite SSH ed eseguire 'no encrypt-mac-ip' per trasmettere gli indirizzi MAC in chiaro al portale. Abilitare la WISPr Northbound Interface (NBI) sul controller e inserire le credenziali nella console di amministrazione del portale Purple per abilitare i callback di autorizzazione NBI.
Commento dell'esaminatore: Questa architettura è altamente resiliente e conforme. L'uso di una VLAN 200 dedicata soddisfa i requisiti di segmentazione PCI DSS. Il tempo di lease DHCP breve di 2 ore previene l'esaurimento degli indirizzi IP in scenari ad alta densità. L'abilitazione dell'accounting RADIUS con un aggiornamento provvisorio di 5 minuti garantisce che la struttura disponga di un tracciamento delle sessioni in tempo reale, consentendo a Purple di monitorare accuratamente l'utilizzo della larghezza di banda. La disattivazione della crittografia degli indirizzi MAC tramite CLI è un passaggio fondamentale; senza di essa, il portale riceverebbe MAC con hash e non riuscirebbe a correlare le sessioni. La configurazione del callback NBI è l'unico modo sicuro per autorizzare i client su Ruckus SmartZone senza creare loop di autenticazione locale.

Un boutique hotel di medie dimensioni con 45 camere desidera distribuire una rete WiFi per gli ospiti con una splash page esterna utilizzando AP Ruckus Unleashed. Richiedono una configurazione leggera e senza controller che non richieda la gestione tramite CLI o una porta API NBI esposta pubblicamente.

  1. Accedere all'interfaccia web dell'AP Unleashed master. Andare su Admin & Services > Services > AAA Servers e creare le voci per i server RADIUS Authentication (Porta 1812) e Accounting (Porta 1813) che puntano all'infrastruttura Cloud RADIUS di Purple.
  2. Navigare su Admin & Services > Services > Hotspot Services e fare clic su Create New. Nominare il servizio 'Purple_Hotel_Hotspot'.
  3. Nella scheda General, impostare l'URL di login sull'URL di reindirizzamento del portale Purple. Impostare la Start Page per reindirizzare a ' https://login.purple.ai/success.php '.
  4. Nella scheda Authentication, selezionare i server RADIUS appena creati. Impostare l'intervallo di aggiornamento dell'accounting provvisorio a 5 minuti.
  5. Nella scheda Walled Garden, aggiungere i domini richiesti come voci a livello di dominio (es. 'purple.ai', 'cloudfront.net', 'gstatic.com'). Si noti che Unleashed non richiede né supporta il prefisso wildcard con asterisco (*.dominio.com).
  6. Andare su Wi-Fi Networks, fare clic su Create e impostare il nome dell'SSID (es. 'Hotel_Guest_WiFi'). Impostare lo Usage Type su 'Hotspot Service' e selezionare 'Purple_Hotel_Hotspot' dall'elenco a discesa. Salvare la configurazione per sincronizzare automaticamente l'SSID su tutti i 45 AP Unleashed.
Commento dell'esaminatore: Per le implementazioni nel mercato SMB e mid-market con meno di 50 AP, Ruckus Unleashed offre un'architettura distribuita estremamente conveniente. Poiché Unleashed non applica la crittografia dell'indirizzo MAC per impostazione predefinita, il passaggio CLI richiesto in SmartZone viene saltato. Inoltre, Unleashed non richiede un callback Northbound Interface (NBI) per l'autorizzazione; l'autorizzazione del client viene invece negoziata direttamente tramite transazioni RADIUS standard tra l'AP master e il server RADIUS. Ciò semplifica la configurazione del firewall poiché non è necessario aprire porte in entrata (come 9080/9443) verso il controller da Internet.

Domande di esercitazione

Q1. Un ingegnere ha configurato un'integrazione del Captive Portal con Ruckus SmartZone. Quando gli utenti si connettono al WiFi ospiti, vengono reindirizzati alla pagina di login. Tuttavia, dopo aver inserito le credenziali e aver cliccato su 'Connetti', vengono immediatamente reindirizzati alla pagina di login in un loop infinito. Qual è la causa più probabile di questo problema e come dovrebbe essere risolto?

Suggerimento: Concentrati sulla comunicazione tra il cloud del portale e il controller SmartZone al termine dell'autenticazione.

Visualizza risposta modello

La causa più probabile è un errore nella callback della WISPr Northbound Interface (NBI) o una mancata corrispondenza nell'autenticazione RADIUS. Quando l'utente clicca su 'Connetti', il portale autentica l'utente e tenta di inviare una callback NBI al controller SmartZone sulla porta TCP 9080 o 9443 per autorizzare l'indirizzo MAC del client. Se il firewall perimetrale blocca questa porta in entrata, o se le credenziali NBI inserite nella console del portale non corrispondono alle impostazioni del controller, quest'ultimo non autorizzerà mai il client. Di conseguenza, quando il client tenta nuovamente di accedere a Internet, il controller intercetta il traffico e lo reindirizza al portale. Per risolvere il problema: 1) Verificare che la porta TCP 9443 (o 9080) sia aperta in entrata sul firewall perimetrale dall'intervallo IP del portale all'IP di gestione di SmartZone. 2) Controllare la configurazione NBI di SmartZone in Administration > WISPr Northbound Interface e confermare che il nome utente e la password corrispondano a quelli configurati nella console di amministrazione del portale. 3) Testare la connettività RADIUS su SmartZone in Services & Profiles > Authentication > Test AAA per assicurarsi che il shared secret sia corretto.

Q2. Durante l'implementazione di una rete WiFi ospiti su un cluster Ruckus Unleashed, diversi ospiti segnalano che la splash page si carica con immagini e stili non funzionanti e che le opzioni di social login non funzionano. Altri ospiti su dispositivi diversi non riescono affatto a caricare la splash page. Qual è l'errore di configurazione più probabile?

Suggerimento: Analizza la differenza tra i domini che si caricano correttamente e quelli che falliscono prima dell'autenticazione.

Visualizza risposta modello

La causa più probabile è un Walled Garden configurato in modo errato o incompleto. Ai client non autenticati è impedito l'accesso a qualsiasi destinazione Internet, ad eccezione di quelle esplicitamente definite nel Walled Garden. Se la splash page si carica con stili e immagini non funzionanti, significa che al browser è impedito il download di tali risorse da CDN esterne. Se le opzioni di social login non funzionano, significa che gli endpoint di autenticazione del social provider (ad esempio, gli URL OAuth di Facebook o Google) sono bloccati. Per risolvere il problema: 1) Verificare le voci del Walled Garden nella configurazione del servizio Hotspot di Unleashed. 2) Assicurarsi che tutti i domini CDN utilizzati dal portale (come '.cloudfront.net') e i domini principali del portale (come 'purple.ai') siano aggiunti. 3) Se il social login è abilitato, aggiungere i domini specifici del social provider (ad esempio, '.facebook.com', '.facebook.net', '.google.com'). 4) Si noti che Unleashed utilizza la corrispondenza a livello di dominio, quindi non includere il prefisso jolly con l'asterisco (ad esempio, utilizzare 'purple.ai' invece di '*.purple.ai').

Q3. Un ingegnere wireless sta migrando una rete WiFi ospiti da Ruckus Unleashed a un controller centralizzato Virtual SmartZone (vSZ). Copia l'elenco del Walled Garden esattamente come era configurato in Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. Tuttavia, dopo la migrazione, i client sulla rete vSZ non riescono a caricare la splash page. Qual è la differenza di sintassi che ha causato questo errore?

Suggerimento: Esamina le regole specifiche di formattazione dei caratteri jolly per Ruckus SmartZone rispetto a Ruckus Unleashed.

Visualizza risposta modello

L'errore è causato da una differenza di sintassi nel modo in care le due piattaforme analizzano le voci del Walled Garden. Ruckus Unleashed applica una corrispondenza automatica a livello di dominio, il che significa che l'inserimento di 'purple.ai' copre automaticamente tutti i sottodomini (come 'login.purple.ai' o 'assets.purple.ai'). Tuttavia, Ruckus SmartZone non applica la corrispondenza automatica dei sottodomini; richiede una formattazione esplicita con caratteri jolly utilizzando il prefisso asterisco (ad esempio, '.purple.ai'). Se l'ingegnere ha inserito 'purple.ai' in SmartZone, il controller consentirà il traffico solo verso il dominio principale, impedendo al client di caricare l'effettiva pagina di login su 'login.purple.ai'. Per risolvere questo problema, l'ingegnere deve modificare il profilo Hotspot WISPr in SmartZone e aggiornare le voci del Walled Garden per utilizzare il formato corretto: '.purple.ai', '.cloudfront.net' e '.apple.com'.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →