Visualizza trascrizione del podcast
Benvenuto alla serie di briefing tecnici di Purple. Oggi parleremo di un argomento che riguarda quasi tutti gli architetti di rete aziendali che lavorano nei settori dell'ospitalità, del retail o dei grandi spazi per eventi: l'integrazione dei controller Cisco Wireless LAN e dell'infrastruttura wireless Catalyst con la piattaforma Guest WiFi di Purple. Se utilizzi controller Cisco Catalyst serie 9800, o la piattaforma legacy AireOS, e hai la necessità di fornire una rete ospiti conforme, segmentata e basata sull'analisi dei dati, questo è il briefing che fa per te. [medium pause]
Iniziamo con un po' di contesto. Purple opera in oltre 80.000 location attive a livello globale, e Cisco è il fornitore di infrastrutture wireless leader negli ambienti aziendali. Far funzionare queste due piattaforme insieme in modo pulito non è complicato, ma richiede di prendere le giuste decisioni architetturali fin dall'inizio. Se sbagli, passerai settimane a risolvere problemi di loop di reindirizzamento, discrepanze di VLAN e timeout RADIUS. Se fai le scelte giuste, otterrai una rete che segmenta automaticamente ospiti, personale e dispositivi IoT, raccoglie dati di prima parte in modo conforme e si adatta a centinaia di siti senza interventi manuali. [medium pause]
Entriamo quindi nei dettagli dell'architettura. [short pause]
Quando un ospite si connette alla tua rete WiFi su un'installazione Cisco, devono accadere tre cose prima che possa accedere a Internet. In primo luogo, il WLC Cisco Catalyst 9800 deve intercettare la richiesta HTTP iniziale e reindirizzare il client al Captive Portal di Purple. In secondo luogo, il portale di Purple deve autenticare l'utente, sia tramite login social, e-mail, SMS o semplice accettazione di termini e condizioni. In terzo luogo, il server RADIUS di Purple deve segnalare al WLC che l'utente è autorizzato e, facoltativamente, assegnarlo a una VLAN specifica. [medium pause]
Il meccanismo che gestisce la prima fase si chiama External Web Authentication, o EWA. Sul Catalyst 9800, configuri una mappa dei parametri di autenticazione web che punta all'URL della splash page di Purple. Il WLC intercetta tutto il traffico HTTP proveniente dai client non autenticati e invia un reindirizzamento 302 a quell'URL. Dovrai anche configurare una ACL di pre-autenticazione, o utilizzare la funzione di filtro URL del 9800, per inserire in whitelist gli indirizzi IP del portale di Purple, in modo che i client possano effettivamente raggiungere la splash page prima di essere autorizzati. Purple fornisce due indirizzi IP per il suo portale, ed è necessario consentirli entrambi nella ACL di pre-autenticazione. [medium pause]
Ecco la sequenza di configurazione per il Catalyst 9800. Per prima cosa, crea la mappa dei parametri. Poi configura il filtro URL per consentire il dominio di Purple in fase di pre-autenticazione. Applica questo profilo al tuo profilo di policy WLAN, imposta la sicurezza Layer 2 su Nessuna, abilita la Web Policy su Layer 3 e indirizzala alla tua mappa dei parametri. [medium pause]
Ora, RADIUS. Purple agisce come server RADIUS in questa architettura. Configura il WLC per puntare all'endpoint RADIUS di Purple, che troverai nel dashboard di Purple sotto le impostazioni di rete della tua sede. Il segreto condiviso viene generato per singola sede. Sul Catalyst 9800, vai su Configuration, Security, AAA, Servers e aggiungi il server RADIUS di Purple con l'IP corretto e il segreto condiviso. Quindi crea un gruppo di server, un elenco di metodi di autenticazione e applicalo alla tua WLAN. [medium pause]
Un aspetto che spesso trae in inganno: sul 9800 devi anche configurare l'indirizzo IP virtuale nella mappa dei parametri web auth globale. Usa 192.0.2.1 come indirizzo IPv4 virtuale. Se salti questo passaggio, i client a volte vengono reindirizzati al portale interno anziché al portale di Purple, facendoti perdere un intero pomeriggio a capirne il motivo. [medium pause]
Passiamo ora alla WiFi per il personale con 802.1X. [short pause]
Per le reti del personale, è preferibile un'autenticazione basata su certificati che utilizzi EAP-TLS o, come minimo, PEAP con MSCHAPv2 per gli ambienti in cui l'implementazione dei certificati non è praticabile. Sul Catalyst 9800, crea una WLAN separata per il personale, imposta la sicurezza di Layer 2 su WPA2 Enterprise e punta l'autenticazione al tuo server RADIUS. Se utilizzi Microsoft Entra ID o Okta come provider di identità, l'add-on SecurePass di Purple funge da proxy RADIUS, traducendo le richieste di autenticazione 802.1X in ricerche nel provider di identità. Ciò significa che non hai bisogno di un server RADIUS on-premises separato per l'autenticazione del personale. Purple gestisce la terminazione EAP e inoltra il controllo di identità al tuo provider di identità. [medium pause]
Specificamente per EAP-TLS, dovrai distribuire i certificati client sui dispositivi del personale, tramite Microsoft Intune, Jamf o una piattaforma MDM simile. La catena di certificati deve essere considerata attendibile dal server RADIUS di Purple, il che significa caricare il certificato della tua CA radice nel dashboard di Purple. Una volta configurato, i dispositivi del personale si autenticano silenziosamente, senza richieste di password o splash page. L'utente si connette, il certificato viene convalidato e si trova sulla VLAN del personale in pochi secondi. [medium pause]
Ora, la parte che la maggior parte degli architetti trova davvero interessante: Cisco Identity PSK, o iPSK. [short pause]
iPSK risolve un problema specifico che si presenta costantemente negli ambienti multi-tenant. Immagina un hotel con 300 camere, o una proprietà retail con 50 negozi, o un complesso residenziale in affitto con 200 appartamenti. Desideri un unico SSID, ma hai la necessità che ogni tenant, ogni camera o ogni gruppo di dispositivi sia isolato sulla propria VLAN. La risposta tradizionale era creare un SSID separato per ogni tenant, il che non è scalabile e crea congestione delle radiofrequenze. iPSK offre un unico SSID in cui ogni client o gruppo di client ha una chiave precondivisa univoca e il server RADIUS mappa tale chiave su una VLAN specifica. [medium pause]
Ecco come funziona dal punto di vista tecnico. Quando un client si associa all'SSID, il Catalyst 9800 WLC invia un RADIUS Access-Request al server RADIUS di Purple, includendo l'indirizzo MAC del client. Il server RADIUS di Purple cerca l'indirizzo MAC nel suo database iPSK, trova la PSK associata e l'assegnazione della VLAN, e restituisce un RADIUS Access-Accept contenente il Cisco AV-pair con la PSK e gli attributi del tunnel IETF per l'assegnazione della VLAN. Il WLC utilizza la PSK restituita per completare l'handshake a quattro vie WPA2, quindi inserisce il client nella VLAN assegnata. [medium pause]
I tre attributi RADIUS necessari per l'assegnazione dinamica della VLAN sono: attributo IETF 64, Tunnel-Type, impostato su VLAN con un valore di 13. Attributo IETF 65, Tunnel-Medium-Type, impostato su 802, con un valore di 6. E l'attributo IETF 81, Tunnel-Private-Group-ID, impostato sull'ID della VLAN come stringa. Questi tre attributi, inviati insieme nel RADIUS Access-Accept, indicano al WLC esattamente quale VLAN assegnare. La VLAN deve già esistere sul WLC come interfaccia dinamica e la porta dello switch di uplink deve essere configurata come trunk che trasporta tutte le VLAN pertinenti. [medium pause]
Sul lato WLC, abilita il filtraggio MAC sulla WLAN iPSK, abilita AAA Override e imposta la sicurezza Layer 2 su WPA2-PSK. La PSK globale configurata sulla WLAN funge solo da fallback. La PSK restituita da RADIUS ha la precedenza per qualsiasi client il cui indirizzo MAC è registrato nel database iPSK di Purple. Per i dispositivi non registrati, puoi negare l'accesso o ricorrere alla PSK globale, a seconda della tua policy. [medium pause]
Permettimi di farti due scenari reali per rendere il tutto più concreto. [short pause]
Primo scenario: un hotel di 200 camere. L'hotel desidera gli ospiti sulla VLAN 10 con solo accesso a Internet, il personale sulla VLAN 20 con accesso al sistema di gestione della struttura e i dispositivi IoT, serrature, termostati, CCTV, sulla VLAN 30 senza accesso a Internet. Utilizzano controller Cisco Catalyst 9800 con access point Cisco serie 9100. [medium pause]
L'architettura: tre profili di policy sul WLC, uno per ciascuna VLAN. Un unico SSID per gli ospiti che utilizza l'External Web Authentication che punta a Purple. Un SSID separato per il personale che utilizza WPA2 Enterprise con EAP-TLS, autenticato tramite Purple SecurePass con Microsoft Entra ID. E iPSK per i dispositivi IoT, con l'indirizzo MAC di ogni dispositivo registrato nel portale di Purple e assegnato alla VLAN 30. Il sistema di gestione della struttura dell'hotel fornisce i nuovi dispositivi IoT tramite l'API di Purple, in modo che quando viene installata una nuova serratura, il suo indirizzo MAC viene automaticamente registrato e assegnato alla VLAN corretta. Nessuna configurazione manuale di RADIUS richiesta. [medium pause]
Secondo scenario: una catena di negozi con 80 punti vendita. Ogni negozio ha una rete WiFi per gli ospiti, una rete per il personale e una rete per i terminali di pagamento. La conformità PCI-DSS richiede che la rete dei terminali di pagamento sia completamente isolata dalla rete degli ospiti. Il rivenditore utilizza controller Cisco Catalyst 9800-L in ciascun sito, gestiti centralmente tramite Cisco Catalyst Centre. [medium pause]Purple si distribuisce come un overlay cloud. Il WLC di ciascun negozio è configurato con i dettagli del server RADIUS di Purple. L'autenticazione degli ospiti utilizza una pagina splash personalizzata con acquisizione e-mail, alimentando la piattaforma di analisi di Purple con dati di prima parte. L'autenticazione del personale utilizza PEAP contro Active Directory tramite Purple SecurePass. I terminali di pagamento utilizzano iPSK con una VLAN dedicata, e l'ACL di pre-autenticazione blocca esplicitamente qualsiasi traffico tra la VLAN di pagamento e la VLAN degli ospiti, soddisfacendo il requisito PCI-DSS 1.3 per la segmentazione della rete. [medium pause]
Ora parliamo delle insidie. [short pause]
Il problema più comune è il loop di reindirizzamento. Questo accade quando l'ACL di pre-autenticazione non inserisce correttamente nella whitelist gli indirizzi IP del portale di Purple, quindi il WLC reindirizza il client al portale di Purple, ma il client non può raggiungere il portale perché l'ACL lo blocca, quindi il WLC reindirizza di nuovo, all'infinito. Soluzione: verifica che il filtro URL o l'ACL di pre-autenticazione includa entrambi gli indirizzi IP del portale di Purple e conferma che la risoluzione DNS sia consentita prima dell'autenticazione. [medium pause]
Il secondo problema comune è la mancata corrispondenza della VLAN. Il server RADIUS restituisce un ID VLAN che non esiste come interfaccia dinamica sul WLC. Il WLC posiziona quindi il client sulla VLAN nativa, che di solito è la VLAN di gestione. Questo è un rischio per la sicurezza. Soluzione: prima della distribuzione, verifica le interfacce dinamiche del tuo WLC rispetto agli ID VLAN configurati nelle policy RADIUS di Purple. Devono corrispondere esattamente. [medium pause]
Terza insidia: errori di attendibilità del certificato nelle distribuzioni EAP-TLS. Se la catena di certificati del client non è considerata attendibile dal server RADIUS di Purple, l'autenticazione fallisce in modo silenzioso dal punto di vista dell'utente. Semplicemente non riescono a connettersi. Soluzione: carica la tua CA radice e tutti i certificati della CA intermedia nella configurazione di Purple SecurePass prima di distribuire i certificati client. Esegui un test con un singolo dispositivo prima di estendere la distribuzione all'intera flotta. [medium pause]
Domande rapide. [short pause]
Posso usare Purple con Cisco Meraki invece di un WLC? Sì. Cisco Meraki ha il proprio meccanismo di integrazione del Captive Portal e Purple lo supporta nativamente. La configurazione RADIUS è simile ma utilizza la dashboard di Meraki anziché la riga di comando del WLC. [short pause]
Purple supporta WPA3 su Cisco? Sì. WPA3-SAE è supportato su Cisco Catalyst 9800 con IOS-XE 17.3 e versioni successive. L'integrazione RADIUS di Purple funziona in modo identico con WPA3. [short pause]
Qual è la raccomandazione per il timeout RADIUS? Imposta il timeout del server RADIUS primario a tre secondi con due tentativi. Configura un server RADIUS secondario per il failover. Purple fornisce endpoint RADIUS ridondanti per i clienti aziendali. [short pause]
Posso usare Cisco ISE insieme a Purple? Sì. Alcune organizzazioni utilizzano ISE per la valutazione della postura e la profilazione dei dispositivi, mentre utilizzano Purple per il portale ospiti e l'analisi. I due server RADIUS sono configurati su WLAN separate. [medium pause]
Per riassumere. [short pause]
L'infrastruttura wireless Cisco WLC e Catalyst si integra perfettamente con Purple utilizzando l'External Web Authentication per il reindirizzamento del Captive Portal degli ospiti, 802.1X EAP-TLS o PEAP per l'autenticazione del personale tramite Purple SecurePass, e Cisco iPSK con assegnazione dinamica della VLAN per la segmentazione multi-tenant e IoT. I tre attributi VLAN di RADIUS, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, sono il meccanismo alla base della segmentazione dinamica. Configura correttamente le ACL di pre-autenticazione, associa gli ID VLAN tra RADIUS e WLC e verifica le catene di attendibilità dei certificati prima dell'implementazione su larga scala. [medium pause]
Purple opera in oltre 80.000 location e ha gestito 440 milioni di login nel 2024. L'integrazione Cisco è una delle nostre configurazioni più diffuse a livello globale. Se desideri iniziare, la dashboard di Purple ti guida passo dopo passo nella configurazione di RADIUS per ciascuna location, e il nostro team di integrazione è a disposizione per le implementazioni aziendali. [medium pause]
Questo è tutto per questo briefing. Grazie per l'ascolto.
