Vai al contenuto principale
Italiano

Captive Portal for Ruckus

Questa guida di riferimento tecnico fornisce un manuale di integrazione autorevole per l'implementazione di captive portal esterni su architetture CommScope Ruckus SmartZone e Unleashed. Guida gli ingegneri di rete attraverso configurazioni dettagliate per WLAN Guest, reindirizzamento WISPr, impostazioni del server RADIUS AAA e eccezioni Walled Garden per fornire una soluzione WiFi per ospiti sicura e ad alta densità.

📖 14 minuti di lettura📝 3,327 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto nella serie Purple Technical Briefing. Sono il tuo presentatore e oggi parleremo di un argomento che emerge in quasi tutte le implementazioni WiFi aziendali che vediamo: la configurazione di un captive portal sui controller Ruckus SmartZone e Ruckus Unleashed. Che tu sia un MSP che distribuisce il guest WiFi in una catena alberghiera, un responsabile IT del settore hospitality che lancia una nuova struttura o un ingegnere wireless che integra la piattaforma di Purple con un'infrastruttura Ruckus, questo episodio fa al caso tuo. Cominciamo. --- In primo luogo, perché l'integrazione del captive portal di Ruckus è così importante? Ruckus, ora parte di CommScope, è una delle piattaforme WiFi aziendali leader a livello globale. SmartZone, in particolare, è il controller preferito per gli ambienti ad alta densità: stadi, centri congressi, grandi hotel e catene di negozi. Quando distribuisci il guest WiFi su tale scala, hai bisogno di qualcosa di più di un semplice SSID aperto. Ti occorrono un flusso di autenticazione strutturato, un'acquisizione dei dati conforme al GDPR e la possibilità di inviare i dati degli ospiti al tuo stack di marketing. È proprio qui che entra in gioco una piattaforma di captive portal esterna come Purple. L'architettura in questo caso è un flusso hotspot basato su WISPr. WISPr sta per Wireless Internet Service Provider roaming: è uno standard di settore che definisce il modo in cui un controller wireless intercetta il traffico HTTP non autenticato e lo reindirizza a un portale esterno. L'ospite si connette al tuo SSID, il suo dispositivo invia una richiesta HTTP, il controller SmartZone la intercetta ed emette un reindirizzamento HTTP 302 all'URL del tuo portale esterno. L'ospite si autentica (tramite social login, e-mail, SMS o un modulo personalizzato) e quindi il portale comunica nuovamente con il controller tramite la Northbound Interface, o NBI, per concedere l'accesso. Un processo pulito, basato su standard e altamente affidabile se configurato correttamente. --- Ora passiamo alla configurazione tecnica. Esaminerò prima SmartZone, poi tratterò le differenze per Unleashed. Su SmartZone (e questo vale sia per le distribuzioni fisiche SZ300 che per quelle virtuali vSZ) la configurazione prevede quattro componenti principali: il profilo del server di autenticazione RADIUS, il profilo del server di accounting RADIUS, il profilo del portale Hotspot WISPr e la WLAN stessa. Inizia con i tuoi server RADIUS. Vai su Services and Profiles, quindi su Authentication. Crea un nuovo profilo server AAA. Imposta il Service Protocol su RADIUS. L'IP del server primario e il segreto condiviso saranno forniti dal fornitore del portale; nel caso di Purple, questi sono documentati nella console di amministrazione del portale Purple. Porta 1812 per l'autenticazione. Configura sempre un server RADIUS di backup per la resilienza, anch'esso sulla porta 1812 del secondario. Fai lo stesso per l'accounting in Services and Profiles, Accounting: porta 1813, stesso segreto condiviso. Successivo, il profilo Hotspot WISPr. Vai su Servizi e Profili, Hotspot e Portali, e seleziona la scheda Hotspot WISPr. Crea un nuovo profilo. Imposta l'URL di Login su Esterno e inserisci l'URL di reindirizzamento del tuo portale: questo è l'URL a cui i tuoi ospiti verranno inviati prima di autenticarsi. Imposta la Pagina Iniziale per reindirizzare a un URL post-autenticazione, in genere una pagina di successo o la homepage della tua struttura. Ora, il Walled Garden. Questo è il punto in cui molti ingegneri si confondono. Il Walled Garden definisce quali domini e indirizzi IP un ospite può raggiungere prima di essersi autenticato. Devi includere il dominio del tuo portale, eventuali domini CDN o di asset da cui il tuo portale carica i contenuti, e gli endpoint standard di rilevamento del Captive Portal del sistema operativo. In SmartZone, i caratteri jolly sono supportati utilizzando il formato asterisco-punto, come ad esempio star-dot-purple-dot-ai. Quella singola voce copre tutti i sottodomini. Devi anche includere i domini di rilevamento del Captive Portal di Apple (captive.apple.com) e gli endpoint di controllo della connettività di Google per evitare che il mini-browser CNA non funzioni correttamente sui dispositivi iOS e Android. Un passaggio fondamentale che è facile dimenticare: per impostazione predefinita, SmartZone crittografa l'indirizzo MAC e l'indirizzo IP che passa al portale esterno nell'URL di reindirizzamento. Il fornitore del tuo portale deve vedere l'effettivo indirizzo MAC del client per eseguire la gestione della sessione basata su MAC. Devi disabilitare questa opzione tramite la CLI. Accedi in SSH alla tua SmartZone, entra in modalità config ed esegui: no encrypt-mac-ip. Tutto qui: un solo comando, ma è un blocco se lo salti. L'Interfaccia Northbound è l'altro elemento. Questa è l'API che consente alla piattaforma del tuo portale di comunicare con la SmartZone per concedere o negare l'accesso dopo l'autenticazione. Abilitala in Amministrazione, Servizi Esterni, Interfaccia Northbound WISPr. Imposta un nome utente e una password e fornisci tali credenziali al fornitore del tuo portale. L'NBI funziona sulla porta TCP 9080 per HTTP e 9443 per HTTPS: assicurati che il tuo firewall consenta le connessioni in entrata dall'intervallo IP della piattaforma del tuo portale verso queste porte. Infine, crea la tua WLAN. Imposta il Tipo di Autenticazione su Hotspot WISPr, seleziona il profilo del tuo portale e assegna i tuoi servizi di autenticazione e accounting RADIUS. Imposta il NAS ID su Definito dall'utente se il fornitore del tuo portale richiede un valore specifico, imposta il Called Station ID su AP MAC e abilita il Single Session ID. Quest'ultima impostazione assicura che la sessione di un ospite sia legata a un singolo record di sessione del controller, il che è importante per un accounting accurato. --- Ora passiamo a Unleashed. L'architettura è fondamentalmente diversa: Unleashed è un modello distribuito e senza controller in cui un AP funge da master. La configurazione si trova in Amministratore e Servizi, Servizi, Servizi Hotspot. I passaggi sono ampiamente simili: crea un servizio Hotspot, configura l'URL del tuo portale esterno, configura il tuo server di autenticazione AAA, aggiungi le voci del tuo Walled Garden, ma ci sono differenze chiave. In primo luogo, in Unleashed non è richiesto il Northbound Interface. Il modello di comunicazione del portale è più semplice. In secondo luogo, la crittografia dell'indirizzo MAC non è applicata di default in Unleashed, quindi non è necessario il comando CLI. In terzo luogo, il walled garden di Unleashed accetta voci a livello di dominio anziché la sintassi wildcard completa — pertanto si inserirà purple.ai anziché star-dot-purple.ai. Verificare la documentazione del proprio fornitore per il formato esatto richiesto. Unleashed scala fino a circa 50 access point, il che lo rende adatto per hotel di medie dimensioni, filiali retail e installazioni per PMI. Per qualsiasi struttura più grande — gruppi alberghieri multi-proprietà, stadi, grandi complessi retail — SmartZone è la piattaforma corretta. --- Permettetemi di illustrare i due scenari di errore più comuni che riscontro sul campo. Il primo è la configurazione errata del walled garden. Se la pagina del Captive Portal non si carica dopo il reindirizzamento, la prima cosa da verificare è se tutti i domini a cui fa riferimento la pagina del portale sono inclusi nel walled garden. Le moderne pagine dei portali caricano risorse da molteplici domini CDN, script di analytics e SDK di social login. Se uno qualsiasi di questi elementi viene bloccato prima dell'autenticazione, la pagina non si caricherà o si caricherà in modo errato. Utilizzare gli strumenti di sviluppo del browser su un dispositivo di test connesso al guest SSID per identificare quali richieste vengono bloccate. Il secondo è il problema di connettività NBI. Se gli ospiti riescono a visualizzare il portale e ad autenticarsi, ma non ottengono mai l'accesso a internet, la causa probabile è che lo SmartZone non riesce a ricevere la callback NBI dalla piattaforma del portale. Verificare che le porte 9080 e 9443 siano aperte in ingresso verso l'IP di gestione dello SmartZone dall'intervallo IP del fornitore del portale. Verificare inoltre che le credenziali NBI configurate corrispondano a quelle registrate dal fornitore del portale. Un terzo aspetto degno di nota riguarda l'Apple CNA, il Captive Network Assistant. Su iOS, quando un dispositivo si connette a una rete, invia una richiesta di probe a captive.apple.com. Se tale richiesta riceve una risposta diversa da 200, iOS apre il mini-browser. Se captive.apple.com è incluso nel walled garden, la richiesta ha successo, iOS rileva la presenza di internet e il CNA non viene visualizzato. Potrebbe sembrare un aspetto positivo, ma significa che gli ospiti non vedranno automaticamente il portale. È necessario decidere: si desidera che il CNA venga visualizzato o che gli ospiti aprano manualmente un browser? La maggior parte delle installazioni nel settore hospitality esclude captive.apple.com dal walled garden per attivare il CNA. --- Domande rapide. Tre quesiti che mi vengono posti costantemente. Ho bisogno di una VLAN per la mia WLAN guest? Sì. Isolare sempre il traffico guest su una VLAN dedicata. Si tratta sia di un requisito di sicurezza sia di una considerazione di conformità PCI DSS se la struttura elabora pagamenti con carta sulla stessa rete. Posso utilizzare Purple con Ruckus Cloud invece di SmartZone? Sì, ma il percorso di configurazione è diverso — si trova sotto WiFi Networks, impostazioni Guest Access. I principi di configurazione del walled garden e di RADIUS rimangono gli stessi. Purple supporta le distribuzioni multi-zona di SmartZone? Sì. L'integrazione di Purple gestisce gli ambienti SmartZone multi-zona ed è possibile definire la configurazione del portale per singole zone per sedi o piani diversi. --- Per concludere. L'integrazione del Captive Portal di Ruckus SmartZone con Purple è un modello di distribuzione maturo e ben documentato che offre un'autenticazione degli ospiti affidabile su scala. I punti chiave della configurazione sono: RADIUS sulle porte 1812 e 1813 con un server di backup, il profilo Hotspot WISPr con un URL di login esterno, un walled garden correttamente configurato utilizzando voci wildcard, il comando CLI no encrypt-mac-ip e la Northbound Interface abilitata con le credenziali corrette. Configurando correttamente questi cinque elementi, avrete una base solida. Per le distribuzioni Unleashed, si applicano gli stessi principi con un modello di configurazione più semplice e senza requisiti NBI. Se state distribuendo Purple su Ruckus e desiderate convalidare la configurazione prima della messa in servizio, il team di onboarding tecnico di Purple può guidarvi attraverso una checklist pre-lancio. La piattaforma Purple fornisce inoltre analisi in tempo reale sui tempi di caricamento del portale, sui tassi di successo dell'autenticazione e sui dati di sessione, offrendovi la visibilità necessaria per individuare i problemi prima dei vostri ospiti. Grazie per l'ascolto. Nel prossimo episodio parleremo dell'autenticazione 802.1X con Cloud RADIUS, un'altra integrazione che si abbina perfettamente a Ruckus SmartZone per l'accesso degli ospiti aziendali. A presto.

📚 Parte della nostra serie principale: Multi-Tenant WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

Definizioni chiave

WISPr (Wireless Internet Service Provider roaming)

Una bozza di protocollo sviluppata dalla Wi-Fi Alliance che consente a client intelligenti e browser web di autenticarsi automaticamente presso un hotspot wireless utilizzando un reindirizzamento standardizzato XML o HTTP 302.

Utilizzato come protocollo di reindirizzamento principale nei controller Ruckus per inoltrare i dispositivi guest non autenticati a piattaforme Captive Portal esterne.

Northbound Interface (NBI)

Un'API esposta dal controller Ruckus SmartZone che consente ai portali web esterni di inviare callback di autorizzazione, istruendo il controller a concedere l'accesso a Internet a uno specifico indirizzo MAC client.

Deve essere abilitata sulla porta TCP 9080 (HTTP) o 9443 (HTTPS) per consentire a Purple di autorizzare le sessioni guest dopo il login andato a buon fine.

Walled Garden

Un elenco di indirizzi IP, subnet o nomi di dominio a cui i client guest non autenticati possono accedere prima dell'autenticazione.

Deve essere configurato con il dominio del portale, le CDN e gli endpoint di rilevamento del captive portal del sistema operativo per garantire che la splash page si carichi correttamente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che opera sulle porte UDP 1812 (Autenticazione) e 1813 (Accounting) che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Accounting (AAA) per gli utenti.

I controller Ruckus inoltrano i dati della sessione client ai server RADIUS di Purple per convalidare le credenziali e tracciare la durata delle sessioni.

CNA (Captive Network Assistant)

Un browser leggero e limitato integrato nei sistemi operativi (come Apple iOS/macOS e Android) che si avvia automaticamente quando viene rilevata una rete aperta con un Captive Portal attivo.

Può essere bypassato nelle impostazioni WLAN se i tecnici desiderano forzare i guest ad aprire manualmente un browser completo per completare l'autenticazione.

Interim Accounting Update

Un messaggio RADIUS periodico inviato dal controller wireless al server RADIUS per aggiornare lo stato della sessione attiva, il consumo di banda e il tempo di connessione.

Deve essere impostato su 5 minuti nella configurazione WLAN di Ruckus per garantire che la dashboard di Purple mostri analisi accurate e in tempo reale.

Client Isolation

Una funzionalità di sicurezza configurata sul controller wireless che impedisce ai client wireless connessi allo stesso AP o SSID di comunicare direttamente tra loro.

Essenziale per le reti WiFi guest per proteggere gli utenti da spoofing ARP locale, attacchi man-in-the-middle e scansioni di dispositivi non autorizzate.

WPA3-Transition Mode

Una configurazione di sicurezza che consente ai dispositivi più vecchi compatibili con WPA2 e a quelli più recenti compatibili con WPA3 di connettersi contemporaneamente allo stesso SSID.

Può essere implementato sulle reti guest con Opportunistic Wireless Encryption (OWE) per fornire la crittografia via etere per gli SSID aperti senza richiedere una password.

Esempi pratici

Un centro congressi ad alta densità che utilizza Ruckus SmartZone (vSZ) deve implementare una rete WiFi per gli ospiti utilizzando il Captive Portal di Purple. La rete deve gestire fino a 5.000 sessioni simultanee, isolare il traffico degli ospiti dalle subnet aziendali e supportare l'autenticazione tramite social login.

  1. Configurare una VLAN 200 dedicata agli ospiti sugli switch core e mapparla sulla Ruckus AP Zone. Definire uno scope DHCP con server DNS pubblici (es. 1.1.1.1, 8.8.8.8) e un tempo di lease breve (2 ore) per gestire l'elevata rotazione.
  2. In SmartZone, navigare su Services & Profiles > Authentication > Proxy (SZ Authenticator) e creare server RADIUS primari/di backup che puntino agli IP Cloud RADIUS di Purple sulla porta 1812 con la chiave segreta condivisa fornita.
  3. Creare server RADIUS Accounting che puntino agli IP di Accounting di Purple sulla porta 1813. Impostare l'intervallo di aggiornamento provvisorio (interim update) a 5 minuti per tracciare accuratamente le sessioni attive.
  4. Creare un profilo Hotspot WISPr Portal. Impostare l'URL di login su 'External' con l'URL di reindirizzamento di Purple. Aggiungere eccezioni con wildcard nel walled garden per '.purple.ai', '.cloudfront.net' e per i domini dei social media (es. '*.facebook.com').
  5. Creare la WLAN Guest. Impostare il tipo di autenticazione su Hotspot (WISPr), selezionare il profilo Hotspot appena creato e associare i servizi di autenticazione e accounting RADIUS. Impostare il Called Station ID su 'AP MAC' e abilitare 'Single Session ID'.
  6. Accedere alla CLI di SmartZone tramite SSH ed eseguire 'no encrypt-mac-ip' per trasmettere gli indirizzi MAC in chiaro al portale. Abilitare la WISPr Northbound Interface (NBI) sul controller e inserire le credenziali nella console di amministrazione del portale Purple per abilitare i callback di autorizzazione NBI.
Commento dell'esaminatore: Questa architettura è altamente resiliente e conforme. L'uso di una VLAN 200 dedicata soddisfa i requisiti di segmentazione PCI DSS. Il tempo di lease DHCP breve di 2 ore previene l'esaurimento degli indirizzi IP in scenari ad alta densità. L'abilitazione dell'accounting RADIUS con un aggiornamento provvisorio di 5 minuti garantisce che la struttura disponga di un tracciamento delle sessioni in tempo reale, consentendo a Purple di monitorare accuratamente l'utilizzo della larghezza di banda. La disattivazione della crittografia degli indirizzi MAC tramite CLI è un passaggio fondamentale; senza di essa, il portale riceverebbe MAC con hash e non riuscirebbe a correlare le sessioni. La configurazione del callback NBI è l'unico modo sicuro per autorizzare i client su Ruckus SmartZone senza creare loop di autenticazione locale.

Un boutique hotel di medie dimensioni con 45 camere desidera distribuire una rete WiFi per gli ospiti con una splash page esterna utilizzando AP Ruckus Unleashed. Richiedono una configurazione leggera e senza controller che non richieda la gestione tramite CLI o una porta API NBI esposta pubblicamente.

  1. Accedere all'interfaccia web dell'AP Unleashed master. Andare su Admin & Services > Services > AAA Servers e creare le voci per i server RADIUS Authentication (Porta 1812) e Accounting (Porta 1813) che puntano all'infrastruttura Cloud RADIUS di Purple.
  2. Navigare su Admin & Services > Services > Hotspot Services e fare clic su Create New. Nominare il servizio 'Purple_Hotel_Hotspot'.
  3. Nella scheda General, impostare l'URL di login sull'URL di reindirizzamento del portale Purple. Impostare la Start Page per reindirizzare a ' https://login.purple.ai/success.php '.
  4. Nella scheda Authentication, selezionare i server RADIUS appena creati. Impostare l'intervallo di aggiornamento dell'accounting provvisorio a 5 minuti.
  5. Nella scheda Walled Garden, aggiungere i domini richiesti come voci a livello di dominio (es. 'purple.ai', 'cloudfront.net', 'gstatic.com'). Si noti che Unleashed non richiede né supporta il prefisso wildcard con asterisco (*.dominio.com).
  6. Andare su Wi-Fi Networks, fare clic su Create e impostare il nome dell'SSID (es. 'Hotel_Guest_WiFi'). Impostare lo Usage Type su 'Hotspot Service' e selezionare 'Purple_Hotel_Hotspot' dall'elenco a discesa. Salvare la configurazione per sincronizzare automaticamente l'SSID su tutti i 45 AP Unleashed.
Commento dell'esaminatore: Per le implementazioni nel mercato SMB e mid-market con meno di 50 AP, Ruckus Unleashed offre un'architettura distribuita estremamente conveniente. Poiché Unleashed non applica la crittografia dell'indirizzo MAC per impostazione predefinita, il passaggio CLI richiesto in SmartZone viene saltato. Inoltre, Unleashed non richiede un callback Northbound Interface (NBI) per l'autorizzazione; l'autorizzazione del client viene invece negoziata direttamente tramite transazioni RADIUS standard tra l'AP master e il server RADIUS. Ciò semplifica la configurazione del firewall poiché non è necessario aprire porte in entrata (come 9080/9443) verso il controller da Internet.

Domande di esercitazione

Q1. Un ingegnere ha configurato un'integrazione del Captive Portal con Ruckus SmartZone. Quando gli utenti si connettono al WiFi ospiti, vengono reindirizzati alla pagina di login. Tuttavia, dopo aver inserito le credenziali e aver cliccato su 'Connetti', vengono immediatamente reindirizzati alla pagina di login in un loop infinito. Qual è la causa più probabile di questo problema e come dovrebbe essere risolto?

Suggerimento: Concentrati sulla comunicazione tra il cloud del portale e il controller SmartZone al termine dell'autenticazione.

Visualizza risposta modello

La causa più probabile è un errore nella callback della WISPr Northbound Interface (NBI) o una mancata corrispondenza nell'autenticazione RADIUS. Quando l'utente clicca su 'Connetti', il portale autentica l'utente e tenta di inviare una callback NBI al controller SmartZone sulla porta TCP 9080 o 9443 per autorizzare l'indirizzo MAC del client. Se il firewall perimetrale blocca questa porta in entrata, o se le credenziali NBI inserite nella console del portale non corrispondono alle impostazioni del controller, quest'ultimo non autorizzerà mai il client. Di conseguenza, quando il client tenta nuovamente di accedere a Internet, il controller intercetta il traffico e lo reindirizza al portale. Per risolvere il problema: 1) Verificare che la porta TCP 9443 (o 9080) sia aperta in entrata sul firewall perimetrale dall'intervallo IP del portale all'IP di gestione di SmartZone. 2) Controllare la configurazione NBI di SmartZone in Administration > WISPr Northbound Interface e confermare che il nome utente e la password corrispondano a quelli configurati nella console di amministrazione del portale. 3) Testare la connettività RADIUS su SmartZone in Services & Profiles > Authentication > Test AAA per assicurarsi che il shared secret sia corretto.

Q2. Durante l'implementazione di una rete WiFi ospiti su un cluster Ruckus Unleashed, diversi ospiti segnalano che la splash page si carica con immagini e stili non funzionanti e che le opzioni di social login non funzionano. Altri ospiti su dispositivi diversi non riescono affatto a caricare la splash page. Qual è l'errore di configurazione più probabile?

Suggerimento: Analizza la differenza tra i domini che si caricano correttamente e quelli che falliscono prima dell'autenticazione.

Visualizza risposta modello

La causa più probabile è un Walled Garden configurato in modo errato o incompleto. Ai client non autenticati è impedito l'accesso a qualsiasi destinazione Internet, ad eccezione di quelle esplicitamente definite nel Walled Garden. Se la splash page si carica con stili e immagini non funzionanti, significa che al browser è impedito il download di tali risorse da CDN esterne. Se le opzioni di social login non funzionano, significa che gli endpoint di autenticazione del social provider (ad esempio, gli URL OAuth di Facebook o Google) sono bloccati. Per risolvere il problema: 1) Verificare le voci del Walled Garden nella configurazione del servizio Hotspot di Unleashed. 2) Assicurarsi che tutti i domini CDN utilizzati dal portale (come '.cloudfront.net') e i domini principali del portale (come 'purple.ai') siano aggiunti. 3) Se il social login è abilitato, aggiungere i domini specifici del social provider (ad esempio, '.facebook.com', '.facebook.net', '.google.com'). 4) Si noti che Unleashed utilizza la corrispondenza a livello di dominio, quindi non includere il prefisso jolly con l'asterisco (ad esempio, utilizzare 'purple.ai' invece di '*.purple.ai').

Q3. Un ingegnere wireless sta migrando una rete WiFi ospiti da Ruckus Unleashed a un controller centralizzato Virtual SmartZone (vSZ). Copia l'elenco del Walled Garden esattamente come era configurato in Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. Tuttavia, dopo la migrazione, i client sulla rete vSZ non riescono a caricare la splash page. Qual è la differenza di sintassi che ha causato questo errore?

Suggerimento: Esamina le regole specifiche di formattazione dei caratteri jolly per Ruckus SmartZone rispetto a Ruckus Unleashed.

Visualizza risposta modello

L'errore è causato da una differenza di sintassi nel modo in care le due piattaforme analizzano le voci del Walled Garden. Ruckus Unleashed applica una corrispondenza automatica a livello di dominio, il che significa che l'inserimento di 'purple.ai' copre automaticamente tutti i sottodomini (come 'login.purple.ai' o 'assets.purple.ai'). Tuttavia, Ruckus SmartZone non applica la corrispondenza automatica dei sottodomini; richiede una formattazione esplicita con caratteri jolly utilizzando il prefisso asterisco (ad esempio, '.purple.ai'). Se l'ingegnere ha inserito 'purple.ai' in SmartZone, il controller consentirà il traffico solo verso il dominio principale, impedendo al client di caricare l'effettiva pagina di login su 'login.purple.ai'. Per risolvere questo problema, l'ingegnere deve modificare il profilo Hotspot WISPr in SmartZone e aggiornare le voci del Walled Garden per utilizzare il formato corretto: '.purple.ai', '.cloudfront.net' e '.apple.com'.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →