Visualizza trascrizione del podcast
Benvenuti alla serie Purple Technical Briefing. Sono il vostro ospite e oggi parleremo di un argomento che si presenta in quasi tutte le implementazioni WiFi aziendali: la configurazione di un Captive Portal sui controller Ruckus SmartZone e Ruckus Unleashed. Che tu sia un MSP che distribuisce WiFi per ospiti in una catena alberghiera, un responsabile IT del settore hospitality che lancia una nuova struttura o un ingegnere wireless che integra la piattaforma Purple con un'infrastruttura Ruckus, questa puntata fa al caso tuo. Cominciamo.
---
Innanzitutto, perché l'integrazione del Captive Portal Ruckus è così importante? Ruckus, ora parte di CommScope, è una delle piattaforme WiFi aziendali leader a livello globale. SmartZone, in particolare, è il controller d'elezione per gli ambienti ad alta densità - stadi, centri congressi, grandi hotel e catene di vendita al dettaglio. Quando si distribuisce il WiFi per ospiti su tale scala, è necessario qualcosa di più di un semplice SSID aperto. Occorrono un flusso di autenticazione strutturato, un'acquisizione di dati conforme al GDPR e la possibilità di inviare i dati degli ospiti al proprio stack di marketing. È proprio qui che entra in gioco una piattaforma di Captive Portal esterna come Purple.
L'architettura in questo caso è un flusso di hotspot basato su WISPr. WISPr sta per Wireless Internet Service Provider roaming - è uno standard di settore che definisce il modo in cui un controller wireless intercetta il traffico HTTP non autenticato e lo reindirizza a un portale esterno. L'ospite si connette al tuo SSID, il suo dispositivo invia una richiesta HTTP, il controller SmartZone la intercetta e genera un reindirizzamento HTTP 302 verso l'URL del tuo portale esterno. L'ospite si autentica - tramite social login, e-mail, SMS o un modulo personalizzato - e quindi il portale comunica nuovamente con il controller tramite la Northbound Interface, o NBI, per concedere l'accesso. Un processo pulito, basato su standard e altamente affidabile se configurato correttamente.
---
Passiamo ora alla configurazione tecnica. Analizzerò prima SmartZone, poi vedremo le differenze per Unleashed.
Su SmartZone - e questo vale sia per le distribuzioni fisiche SZ300 sia per quelle virtuali vSZ - la configurazione prevede quattro componenti principali: il profilo del server di autenticazione RADIUS, il profilo del server di accounting RADIUS, il profilo del portale Hotspot WISPr e la WLAN stessa.
Inizia con i tuoi server RADIUS. Vai su Services and Profiles, quindi su Authentication. Crea un nuovo profilo server AAA. Imposta il Service Protocol su RADIUS. L'IP del server primario e il shared secret saranno forniti dal tuo fornitore del portale - nel caso di Purple, questi sono documentati nella console amministrativa del portale Purple. Porta 1812 per l'autenticazione. Configura sempre un server RADIUS di backup per garantire la resilienza - porta 1812 anche sul secondario. Fai lo stesso per l'accounting in Services and Profiles, Accounting - porta 1813, stesso shared secret.
Successivo, il profilo Hotspot WISPr. Vai su Services and Profiles, Hotspots and Portals, e seleziona la scheda Hotspot WISPr. Crea un nuovo profilo. Imposta la Login URL su External, e inserisci l'URL di reindirizzamento del portale - questo è l'URL a cui i tuoi ospiti verranno inviati prima di autenticarsi. Imposta la Start Page per reindirizzare a un URL post-autenticazione, in genere una pagina di successo o la homepage della tua sede.
Ora, il Walled Garden. Questo è il punto in cui molti ingegneri inciampano. Il Walled Garden definisce quali domini e indirizzi IP un ospite può raggiungere prima di essersi autenticato. Devi includere il dominio del tuo portale, qualsiasi dominio CDN o di risorse da cui il tuo portale carica i dati, e gli endpoint standard di rilevamento del Captive Portal del sistema operativo. In SmartZone, i caratteri jolly sono supportati utilizzando il formato asterisco-punto - ad esempio, star-dot-purple-dot-ai. Quella singola voce copre tutti i sottodomini. Devi anche includere i domini di rilevamento del Captive Portal di Apple - captive.apple.com - e gli endpoint di controllo della connettività di Google per evitare che il mini-browser CNA si comporti in modo anomalo sui dispositivi iOS e Android.
Un passaggio fondamentale che è facile trascurare: per impostazione predefinita, SmartZone crittografa l'indirizzo MAC e l'indirizzo IP che passa al portale esterno nell'URL di reindirizzamento. Il fornitore del tuo portale deve vedere l'effettivo indirizzo MAC del client per eseguire la gestione delle sessioni basata su MAC. Devi disattivarlo tramite la CLI. Accedi in SSH alla tua SmartZone, entra in modalità config, ed esegui: no encrypt-mac-ip. Questo è tutto - un solo comando, ma è un bloccante se lo salti.
La Northbound Interface è l'altro elemento. Questa è l'API che consente alla tua piattaforma di portale di comunicare nuovamente con la SmartZone per concedere o negare l'accesso dopo l'autenticazione. Abilitala sotto Administration, External Services, WISPr Northbound Interface. Imposta un nome utente e una password, e fornisci queste credenziali al fornitore del tuo portale. La NBI funziona sulla porta TCP 9080 per HTTP e 9443 per HTTPS - assicurati che il tuo firewall consenta le connessioni in entrata dall'intervallo IP della piattaforma del tuo portale a queste porte.
Infine, crea la tua WLAN. Imposta l'Authentication Type su Hotspot WISPr, seleziona il tuo profilo portale, e assegna i tuoi servizi di autenticazione e accounting RADIUS. Imposta il NAS ID su User-defined se il fornitore del tuo portale richiede un valore specifico, imposta Called Station ID su AP MAC, e abilita Single Session ID. Quest'ultima impostazione assicura che la sessione di un ospite sia legata a un singolo record di sessione del controller, il che è importante per un accounting accurato.
---
Ora passiamo a Unleashed. L'architettura è fondamentalmente diversa - Unleashed è un modello distribuito e senza controller in cui un AP funge da master. La configurazione si trova in Admin and Services, Services, Hotspot Services. I passaggi sono sostanzialmente simili - crea un servizio Hotspot, configura l'URL del tuo portale esterno, imposta il tuo server di autenticazione AAA, aggiungi le tue voci nel Walled Garden - ma ci sono differenze chiave.
In primo luogo, non è richiesto alcun Northbound Interface in Unleashed. Il modello di comunicazione del portale è più semplice. In secondo luogo, la crittografia dell'indirizzo MAC non viene applicata per impostazione predefinita in Unleashed, quindi non è necessario il comando CLI. Terzo, il walled garden di Unleashed accetta voci a livello di dominio piuttosto che la sintassi jolly completa - quindi inseriresti purple.ai invece di star-dot-purple.ai. Verifica la documentazione del tuo fornitore per il formato esatto richiesto.
Unleashed scala fino a circa 50 access point, rendendolo adatto per hotel di medie dimensioni, filiali di vendita al dettaglio e distribuzioni PMI. Per qualsiasi dimensione superiore - gruppi alberghieri multiproprietà, stadi, grandi proprietà retail - SmartZone è la piattaforma corretta.
-
Permettetemi di coprire i due scenari di guasto più comuni che vedo sul campo.
Il primo è la configurazione errata del walled garden. Se la pagina del tuo portale non si carica dopo il reindirizzamento, la prima cosa da verificare è se tutti i domini a cui fa riferimento la pagina del tuo portale sono nel walled garden. Le moderne pagine del portale caricano asset da più domini CDN, script di analisi, SDK di social login. Se uno qualsiasi di questi viene bloccato prima dell'autenticazione, la pagina non si caricherà o si caricherà in modo errato. Utilizza gli strumenti di sviluppo del browser su un dispositivo di test connesso al SSID dell'ospite per identificare quali richieste vengono bloccate.
Il secondo è il problema di connettività NBI. Se gli ospiti riescono a vedere il portale e ad autenticarsi, ma non ottengono mai l'accesso a Internet, la causa probabile è che lo SmartZone non può ricevere il callback NBI dalla piattaforma del portale. Verifica che le porte 9080 e 9443 siano aperte in ingresso verso l'IP di gestione dello SmartZone dall'intervallo IP del fornitore del tuo portale. Verifica anche che le credenziali NBI configurate corrispondano a quelle registrate dal fornitore del portale.
Un terzo aspetto degno di nota - Apple CNA, il Captive Network Assistant. Su iOS, quando un dispositivo si connette a una rete, invia un probe a captive.apple.com. Se tale probe riceve una risposta diversa da 200, iOS apre il mini-browser. Se captive.apple.com è nel tuo walled garden, il probe ha successo, iOS pensa che ci sia Internet e il CNA non appare. Potrebbe sembrare una cosa positiva, ma significa che i tuoi ospiti non vedranno automaticamente il portale. Devi decidere: vuoi che appaia il CNA o vuoi che gli ospiti aprano manualmente un browser? La maggior parte delle distribuzioni nel settore alberghiero tiene captive.apple.com fuori dal walled garden per attivare il CNA.
-
Domande a raffica. Tre domande che mi vengono poste costantemente.
Ho bisogno di una VLAN per la mia WLAN ospite? Sì. Isola sempre il traffico degli ospiti su una VLAN dedicata. Questo è sia un requisito di sicurezza sia una considerazione di conformità PCI-DSS se la tua struttura elabora pagamenti con carta sulla stessa rete.
Posso utilizzare Purple con Ruckus Cloud invece di SmartZone? Sì, ma il percorso di configurazione è diverso - si trova in Reti WiFi, impostazioni Accesso Ospiti. I principi del walled garden e della configurazione RADIUS sono gli stessi.
Purple supporta i deployment multi-zona SmartZone? Sì. L'integrazione di Purple gestisce ambienti SmartZone multi-zona, ed è possibile limitare l'ambito delle configurazioni del portale a singole zone per diverse sedi o piani.
---
Per riassumere. L'integrazione del Captive Portal Ruckus SmartZone con Purple è un modello di deployment maturo e ben documentato che offre un'autenticazione degli ospiti affidabile su scala. I punti di configurazione chiave sono: RADIUS sulle porte 1812 e 1813 con un server di backup, il profilo Hotspot WISPr con un URL di login esterno, un walled garden correttamente configurato che utilizza voci wildcard, il comando CLI no encrypt-mac-ip e la Northbound Interface abilitata con le credenziali corrette. Configura correttamente questi cinque elementi e avrai una base solida.
Per i deployment Unleashed, si applicano gli stessi principi con un modello di configurazione più semplice e senza alcun requisito NBI.
Se stai implementando Purple su Ruckus e desideri convalidare la tua configurazione prima del go-live, il team di onboarding tecnico di Purple può guidarti attraverso una checklist pre-lancio. La piattaforma Purple offre anche analytics in tempo reale sui tempi di caricamento del portale, sui tassi di successo dell'autenticazione e sui dati delle sessioni - offrendoti la visibilità necessaria per individuare i problemi prima che lo facciano i tuoi ospiti.
Grazie per l'ascolto. Nel prossimo episodio parleremo dell'autenticazione 802.1X con Cloud RADIUS - un'altra integrazione che si abbina perfettamente a Ruckus SmartZone per l'accesso degli ospiti aziendali. Alla prossima.
