Captive Portal per Ruijie: come configurarlo con Purple guest WiFi

Speak in British English with a confident, authoritative, and conversational tone - like a senior IT consultant briefing a client. Measured pace, clear diction, professional but not stiff. Occasional natural emphasis on key technical terms: How to Configure a Ruijie Captive Portal for Guest WiFi. A Purple Technical Briefing. [medium pause] INTRODUCTION AND CONTEXT. [short pause] Benvenuti. Nei prossimi dieci minuti, copriremo tutto ciò che c'è da sapere sulla configurazione di un Captive Portal Ruijie per il WiFi per gli ospiti - dalle decisioni di architettura che determinano il successo o il fallimento della tua implementazione, fino ai passaggi di configurazione specifici che la maggior parte delle guide salta del tutto. Se sei un IT manager, un network architect o un direttore delle operazioni di una struttura alberghiera, catena di negozi, stadio o centro congressi, e hai hardware Ruijie in loco o lo stai valutando, questo briefing è per te. Ruijie Networks è uno dei fornitori di wireless enterprise in più rapida crescita a livello globale. Secondo i dati IDC, Ruijie detiene la posizione numero uno nel mercato WLAN enterprise in Cina con una quota del 23,34% e la loro presenza si sta espandendo rapidamente in Europa, Medio Oriente e Asia-Pacifico. I loro controller wireless della serie RG-WS, i gateway della serie Reyee EG e gli access point RG-RAP gestiti via cloud sono ora distribuiti in migliaia di sedi in tutto il mondo. Ma il punto è questo. Configurare correttamente il WiFi per gli ospiti sull'hardware Ruijie - in particolare per quanto riguarda il Captive Portal - richiede la comprensione preliminare di alcune decisioni architetturali. Sbaglia quelle decisioni e ti ritroverai con un portale che non funziona su iOS, ospiti che non riescono a autenticarsi e una rete che è o troppo aperta o troppo blindata. Risolviamo questo problema. [medium pause] TECHNICAL DEEP-DIVE. [short pause] In primo luogo, l'architettura. Ruijie offre tre diversi modelli di implementazione per i Captive Portal dedicati al WiFi per gli ospiti, e la scelta di quello corretto dipende dalla tua scala e dai tuoi requisiti di gestione. Il primo modello è il portale nativo gestito da Ruijie Cloud o JaCS. JaCS è il sistema di gestione orientato all'ospitalità di Ruijie. Questa è l'opzione integrata. Accedi a Ruijie Cloud, naviga su Device Config, poi su Basic, crea o modifica il tuo SSID per gli ospiti, abilita l'opzione Authentication e seleziona Captive Portal come modalità. JaCS supporta gli scenari Hotel e Other e offre un costruttore di portali drag-and-drop con opzioni di accesso che includono l'accesso con un clic, i codici voucher e l'accesso basato su account. Questa è la scelta giusta per implementazioni più piccole - un singolo hotel, un negozio boutique o un centro congressi che desidera una splash page rapida e personalizzata senza dipendenze esterne. Il modello due è il Captive Portal esterno tramite WISPr e RADIUS. WISPr - Wireless Internet Service Provider roaming - è il protocollo che gestisce il reindirizzamento e l'handshake di autenticazione tra il gateway Ruijie e una piattaforma portale esterna. Questo è l'approccio di livello enterprise. È ciò di cui hai bisogno quando desideri integrare Ruijie con una piattaforma di guest WiFi intelligence di terze parti. In questo caso, accedi a Auth and Account nell'interfaccia Ruijie, seleziona Captive Portal, imposta la Policy Mode su External e punta l'URL del Portal Server sulla tua piattaforma esterna. Configura quindi un gruppo di server RADIUS con le credenziali fornite dalla tua piattaforma. Questo modello si adatta a centinaia di siti, offre analisi centralizzate e ti consente di eseguire flussi di lavoro di acquisizione dati conformi al GDPR. Il modello tre è la modalità AP standalone. Gli access point Reyee di Ruijie con ReyeeOS versione 1.219 o successiva possono eseguire un Captive Portal locale senza un gateway, il che è utile per installazioni temporanee o piccoli siti senza un router EG. Tuttavia, le funzionalità sono limitate rispetto alle installazioni basate su gateway, quindi considera questa soluzione come un ripiego e non come un'architettura primaria. [medium pause] Ora, la parte fondamentale che la maggior parte delle guide salta completamente: l'isolamento della VLAN. Quando crei un SSID guest su Ruijie, hai due opzioni di forwarding - la modalità NAT e la modalità VLAN. La modalità NAT è più semplice. Il gateway assegna ai dispositivi guest indirizzi da un pool dedicato, in genere 192.168.23.0 slash 24 per impostazione predefinita, e tutto il traffico guest viene sottoposto a NAT verso internet. Questo funziona per un proof of concept, ma offre visibilità e controllo limitati sul traffico guest al Layer 3. La modalità VLAN è la scelta corretta per qualsiasi installazione di produzione. Assegna l'SSID guest a una VLAN dedicata, ad esempio la VLAN 100, e utilizza le ACL sul gateway per impedire al traffico guest di raggiungere la tua VLAN aziendale. La procedura è: crea una lista di accesso estesa, nega il traffico IP dalla subnet guest alla subnet aziendale, consenti tutto il resto e applica quella lista di accesso in ingresso sull'interfaccia BVI guest. Questo è lo stesso principio che applicheresti su Cisco Meraki, HPE Aruba o Ruckus - Ruijie ha semplicemente la propria sintassi CLI. Gli standard di sicurezza sono importanti in questo contesto. Ruijie supporta WPA3-Personal e la modalità mista WPA2 slash WPA3 sugli SSID guest. Per una rete guest in cui desideri un accesso senza attriti, in genere utilizzi un SSID aperto con autenticazione tramite Captive Portal anziché una chiave pre-condivisa. Il Captive Portal diventa il tuo livello di autenticazione. Se hai bisogno di una sicurezza più forte - ad esempio per un ambiente sanitario o di servizi finanziari - puoi aggiungere il protocollo IEEE 802.1X, utilizzando EAP-TLS o PEAP con un server RADIUS per l'autenticazione basata su certificati o credenziali. I controller della serie RG-WS di Ruijie supportano l'802.1X completo con assegnazione dinamica della VLAN, il che significa che puoi applicare VLAN diverse a diversi gruppi di utenti in base agli attributi RADIUS. [medium pause] Il walled garden - o allowlist - è un'altra area che spesso mette in difficoltà le persone. Prima che un ospite si autentichi tramite il Captive Portal, il suo dispositivo opera in uno stato limitato. Può raggiungere solo i domini esplicitamente inseriti nella allowlist. Come minimo, devi consentire il dominio e l'indirizzo IP della tua piattaforma portal, tutti i provider di social login che stai utilizzando e l'endpoint di rilevamento del Captive Portal di Apple - captive.apple.com. Se dimentichi quest'ultimo, i dispositivi iOS mostreranno un'esperienza di portale non funzionante. Configura la allowlist in Ruijie Cloud sotto Auth and Account, poi Allowlist. Aggiungi ogni dominio e indirizzo IP singolarmente. [medium pause] RACCOMANDAZIONI DI IMPLEMENTAZIONE ED ERRORI COMUNI. [short pause] Lascia che ti presenti le quattro decisioni che determinano il successo o il fallimento della tua implementazione WiFi per ospiti Ruijie. Decisione uno: portale nativo rispetto a piattaforma esterna. Se gestisci più di cinque siti o se hai bisogno di acquisire dati di prima parte per il marketing, utilizza una piattaforma esterna. Purple, ad esempio, opera come un overlay cloud agnostico rispetto all'hardware su oltre 80.000 sedi attive. Indirizza il tuo gateway Ruijie all'URL del portale di Purple, configura le credenziali RADIUS e otterrai analisi centralizzate, acquisizione dati conforme al GDPR e integrazioni CRM - il tutto senza dover toccare nuovamente l'hardware Ruijie. Purple ha gestito 440 milioni di accessi solo nel 2024 e possiede la certificazione ISO 27001, quindi la conformità è garantita. Decisione due: NAT rispetto a VLAN. Utilizza sempre la modalità VLAN per le implementazioni di produzione. La modalità NAT va bene per un proof of concept, ma la modalità VLAN offre un isolamento Layer 3 adeguato, una gestione più semplice delle policy del firewall e la possibilità di applicare policy QoS per VLAN. Decisione tre: gestione della larghezza di banda. I gateway EG di Ruijie dispongono di controlli QoS integrati. Imposta limiti di download e upload per utente sull'SSID ospite - in genere da due a cinque megabit al secondo in download per una rete ospiti standard. Questo evita che un singolo ospite che riproduce video in 4K possa compromettere l'esperienza di tutti gli altri. Se utilizzi una piattaforma esterna, disabilita il Client Escape sul lato Ruijie per garantire che i controlli della larghezza di banda della piattaforma abbiano effetto correttamente. Decisione quattro: timeout della sessione e riautenticazione. Imposta un timeout della sessione ragionevole - da otto a 24 ore per il settore hospitality, inferiore per il retail o gli eventi. Ruijie ti consente di configurarlo per ciascuna policy del portale. Associalo a un URL di reindirizzamento post-login in modo che gli ospiti atterrino sul sito web della tua struttura o su una pagina promozionale dopo la connessione. [medium pause] L'errore più comune che riscontro è che i team distribuiscono un Captive Portal senza testarlo contemporaneamente su iOS e Android. Apple e Google dispongono entrambi di meccanismi di rilevamento del Captive Portal che si comportano in modo diverso. Testali entrambi prima del lancio. Il secondo errore più comune è dimenticare di sincronizzare la configurazione del portale con il prodotto EG in JaCS - c'è un pulsante Sincronizza esplicito su cui devi fare clic dopo aver creato o modificato un portale, altrimenti il gateway non recepisce le modifiche. [medium pause] DOMANDE E RISPOSTE RAPIDE. [short pause] Permettetemi di passare in rassegna le domande che mi vengono rivolte più spesso. Gli AP Ruijie possono eseguire un Captive Portal senza un gateway? Sì, su ReyeeOS 1.219 o versioni successive, ma le funzionalità sono limitate rispetto alle distribuzioni basate su gateway. Ruijie supporta lo standard 802.1X per le reti guest? Sì, i controller della serie RG-WS supportano pienamente lo standard 802.1X con assegnazione dinamica delle VLAN tramite RADIUS. Posso integrare Ruijie con Purple? Sì. Configura la modalità Captive Portal esterno, punta l'URL del portale all'endpoint di Purple, configura il gruppo di server RADIUS con le credenziali di Purple e aggiungi i domini di Purple alla allowlist. L'architettura indipendente dall'hardware di Purple gestirà il resto. Il WPA3 funziona con i Captive Portal? Sì. Si esegue un SSID aperto per il flusso del Captive Portal. Il WPA3 si applica agli SSID autenticati. Per le reti guest, il portale stesso rappresenta il livello di autenticazione. Quali porte RADIUS utilizza Ruijie? La porta 1812 per l'autenticazione e la porta 1813 per l'accounting - queste sono le porte standard assegnate dallo IANA come da RFC 2865 e RFC 2866. [medium pause] RIASSUNTO E PROSSIMI PASSI. [short pause] Per riassumere. Ruijie Networks offre una piattaforma efficiente e flessibile per la distribuzione di WiFi guest e Captive Portal. I tre modelli di distribuzione - portale cloud nativo, portale esterno basato su RADIUS e AP standalone - coprono ogni esigenza, dal boutique hotel a sito singolo alla catena retail multisito. Le decisioni chiave sono: isolamento delle VLAN rispetto al NAT per qualsiasi distribuzione di produzione. Piattaforma esterna per qualsiasi caso d'uso multisito o di acquisizione dati. Configurazione corretta del walled garden per evitare errori di autenticazione su iOS. E testare sempre sia su iOS che su Android prima della messa in servizio. I prossimi passi: verifica le attuali versioni del firmware Ruijie per confermare la compatibilità con ReyeeOS. Decidi se hai bisogno di una gestione del portale nativa o esterna. Se gestisci più di cinque siti o hai bisogno di analisi, contatta Purple per integrare la loro piattaforma con la tua infrastruttura Ruijie. Purple opera in oltre 80.000 sedi, elabora centinaia di milioni di accessi all'anno ed è certificata ISO 27001, GDPR e Cyber Essentials. Puoi trovare la documentazione sull'integrazione di Purple e richiedere una demo su purple.ai. Grazie per l'attenzione. Ci vediamo nel prossimo briefing.