Cisco Meraki e guest WiFi: configurazione del captive portal con Purple

Integrazione Cisco Meraki con Purple WiFi — Briefing per Senior Consultant Tempo di lettura: circa 10 minuti INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti. Se siete responsabili di un deployment Cisco Meraki e state cercando di decidere se Purple WiFi sia il giusto livello di guest intelligence da integrarvi, questo briefing fa al caso vostro. Vi guiderò esattamente attraverso il funzionamento dell'integrazione, cosa è necessario configurare, quali sono le trappole più comuni e quale tipo di ritorno possiate realisticamente aspettarvi. Inquadriamo la situazione. Cisco Meraki è, con un margine significativo, l'infrastruttura wireless gestita in cloud più diffusa nel settore enterprise per hospitality, retail e settore pubblico. È affidabile, scalabile e la sua dashboard cloud è davvero eccellente. Ma il punto è questo - le funzionalità native di guest WiFi di Meraki sono funzionali, non strategiche. Potete connettere un ospite online, ma non potete acquisire dati di prima parte significativi, non potete costruirci un funnel di marketing e di certo non potete dimostrare il ROI al vostro consiglio di amministrazione. Questo è esattamente il vuoto che Purple colma. APPROFONDIMENTO TECNICO (circa 5 minuti) Parliamo di architettura. L'integrazione tra Purple e Meraki opera su due livelli tecnici distinti, e comprenderli entrambi è essenziale prima di toccare una singola impostazione di configurazione. Il primo livello è la Meraki Dashboard API - questo è il livello di provisioning. Purple utilizza la REST API di Meraki per importare l'intero parco di access point nel Purple Portal in un'unica operazione batch. Vi autenticate con la vostra chiave API di Meraki, che generate dalla sezione Organizzazione della dashboard Meraki sotto API e Webhooks. Una volta che Purple dispone di quella chiave, può estrarre ogni access point, ogni rete, ogni configurazione SSID direttamente dal vostro cloud Meraki. Per un parco di, ad esempio, trecento access point in un gruppo alberghiero, questo riduce quello che sarebbe un esercizio di configurazione manuale di più giorni a qualcosa che si può completare in meno di un'ora. Non si tratta di un risparmio operativo da poco. Il secondo livello è il livello di autenticazione e Captive Portal - questo è il luogo in cui risiede effettivamente l'esperienza dell'ospite. Purple opera come provider esterno di splash page, utilizzando la Captive Portal API di Meraki. Quando un ospite si connette al vostro SSID ospite, Meraki intercetta il suo traffico HTTP e lo reindirizza alla splash page ospitata di Purple - il vostro Captive Portal personalizzato. L'ospite si autentica tramite il metodo che avete configurato: login social, modulo email, verifica SMS o una combinazione di questi. Purple comunica poi nuovamente con Meraki via RADIUS - Remote Authentication Dial-In User Service - operando sulla porta 1812 per l'autenticazione e sulla porta 1813 per l'accounting. Una volta che il RADIUS conferma l'autenticazione, Meraki concede all'ospite l'accesso completo alla rete. Ora, vi guiderò attraverso la configurazione specifica della dashboard Meraki, perché i dettagli contano. Nel dashboard Meraki, naviga su Wireless, quindi su Access Control. Seleziona il tuo SSID ospite dal menu a discesa. Imposta la sicurezza su Open — sì, aperto, perché l'autenticazione è gestita a livello di RADIUS e Captive Portal, non a livello di associazione 802.11. Imposta il tipo di splash page su Sign-on con il mio server RADIUS. Questa è la selezione critica — indica a Meraki di utilizzare un server RADIUS esterno per l'autenticazione anziché le proprie opzioni integrate. Sotto Advanced Splash Settings, imposta la forza del Captive Portal su Block all access until sign-on is complete. Abilita il walled garden — questo è l'elenco dei domini che gli ospiti possono raggiungere prima di essersi autenticati, che deve includere i domini della piattaforma di Purple in modo che la splash page stessa possa caricarsi. Purple fornisce una whitelist aggiornata di questi domini nella propria documentazione di supporto. Per la configurazione del server RADIUS, dovrai aggiungere due server — Purple fornisce endpoint primari e secondari per la ridondanza. La porta di autenticazione è 1812 e utilizzerai il segreto RADIUS fornito nel tuo Purple Portal. Aggiungi le voci corrispondenti per il RADIUS accounting sulla porta 1813. Imposta l'intervallo provvisorio di accounting su quattro minuti — questo è importante per un tracciamento accurato delle sessioni e per l'analisi. Imposta il timeout del server a cinque secondi con tre tentativi. Sotto Advanced RADIUS Settings, configura Called-Station-ID e NAS-ID per utilizzare l'indirizzo MAC dell'AP. Questo è fondamentale per l'analisi della posizione di Purple — senza di esso, Purple non può attribuire accuratamente le sessioni a punti di accesso specifici e quindi non può generare analisi significative a livello di piano. Quindi naviga su Wireless, Splash Page. Inserisci l'URL personalizzato della splash page fornito dal tuo Purple Portal — questo è l'URL del tuo Captive Portal personalizzato. Configura l'URL di reindirizzamento post-autenticazione — in genere il sito web della tua struttura o una landing page specifica. Ora c'è un secondo componente che vale la pena discutere in dettaglio: PurpleConnex, che è la soluzione SecurePass di Purple. Questo crea un secondo SSID — in genere chiamato PurpleConnex — configurato come rete WPA2 Enterprise che utilizza i server RADIUS RadSec di Purple. RadSec è RADIUS su TLS, che fornisce un trasporto crittografato per il traffico di autenticazione. Questo SSID, combinato con la configurazione Hotspot 2.0 — nota anche come Passpoint, lo standard IEEE 802.11u — consente agli ospiti che ritornano di riconnettersi automaticamente senza visualizzare nuovamente il Captive Portal. Il loro dispositivo riconosce il profilo Passpoint e si connette in modo trasparente. Questo è particolarmente utile in contesti in cui si desidera eliminare l'attrito delle autenticazioni ripetute, come un hotel in cui un ospite soggiorna per tre notti o un membro di un programma fedeltà retail che visita la struttura settimanalmente. La configurazione Hotspot 2.0 in Meraki richiede di impostare il nome dell'operatore su PURPLE colon GB, configurare l'elenco dei domini su securewifi.purple.ai e aggiungere i Roaming Consortium OI specificati da Purple. Il NAI Realm è configurato con il metodo di autenticazione EAP-TTLS e PAP. Tutto questo è documentato nel portale di supporto di Purple ed è semplice una volta compreso il funzionamento di ciascun campo. RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI (circa 2 minuti) Permettetemi di illustrare i tre scenari di errore più comuni che riscontro nelle distribuzioni Meraki e Purple, e come evitarli. Primo: errata configurazione del walled garden. Se l'elenco del walled garden è incompleto, gli ospiti visualizzeranno una splash page non funzionante - il CSS non verrà caricato, le immagini non verranno visualizzate e l'autenticazione fallirà in modo silenzioso. Purple mantiene un elenco di domini consentiti sempre aggiornato. Considerate questo elenco come un documento dinamico e verificatelo ogni volta che Purple rilascia un aggiornamento della piattaforma. Raccomando di testare l'esperienza del Captive Portal da un dispositivo ospite su un segmento di rete separato prima del lancio definitivo. Secondo: impostazioni di timeout RADIUS. Il timeout RADIUS predefinito di Meraki è spesso impostato su un valore troppo basso per i server RADIUS ospitati in cloud. La configurazione corretta prevede cinque secondi con tre tentativi. Se lo lasciate al valore predefinito di due secondi, si verificheranno errori di autenticazione intermittenti durante i picchi di carico - esattamente il momento peggiore in cui far degradare l'esperienza dei vostri ospiti. Terzo: errata configurazione di NAS-ID e Called-Station-ID. Questo è l'errore che più spesso trae in inganno i tecnici. Se configurate questi campi in modo errato - o li lasciate ai valori predefiniti - il motore di analytics di Purple non sarà in grado di mappare le sessioni sui singoli access point. Otterrete dati aggregati ma nessuna informazione dettagliata a livello di piano. Il valore deve essere impostato sull'indirizzo MAC dell'AP, non sul nome del SSID o su qualsiasi altra opzione. Sul fronte della conformità: l'acquisizione dei dati di Purple è conforme a GDPR e CCPA per progettazione. Il Captive Portal presenta un meccanismo di consenso che soddisfa i requisiti di entrambe le normative. Se operate in un ambiente soggetto all'ambito PCI-DSS - ad esempio un hotel con un terminale di pagamento sullo stesso segmento di rete - assicuratevi che il vostro SSID ospiti si trovi su una VLAN separata con regole firewall appropriate. La modalità NAT di Meraki per l'assegnazione degli IP dei client, che è l'impostazione consigliata, fornisce un certo livello di isolamento, ma l'architettura di segmentazione della rete deve essere esaminata in modo indipendente dal vostro team di sicurezza. DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Domanda: Purple può integrarsi con i dispositivi di sicurezza Meraki MX oltre che con gli AP wireless? Risposta: Sì. Il processo di configurazione è essenzialmente identico - il MX supporta la stessa splash page e la stessa configurazione RADIUS degli AP wireless. L'articolo di supporto copre le configurazioni per AP, MX e gateway di telelavoro Z1. Domanda: Quanto tempo richiede una distribuzione completa per un gruppo alberghiero di 50 siti? Risposta: Con il provisioning automatizzato tramite Meraki API, l'importazione degli access point è un'operazione singola per organizzazione. La configurazione di SSID e RADIUS può essere modellata tramite template su tutte le reti. Un'implementazione su 50 siti con un ingegnere di rete competente dovrebbe essere realizzabile in due o tre giorni di lavoro di configurazione, oltre al tempo di test. Domanda: Purple supporta i più recenti access point Wi-Fi 6 e Wi-Fi 6E di Meraki? Risposta: Sì. L'integrazione opera a livello applicativo - reindirizzamento RADIUS e HTTP - quindi è indipendente dalla generazione dell'hardware. Purple funziona con qualsiasi AP Meraki che supporti la splash page e la configurazione RADIUS descritte. RIASSUNTO E PROSSIMI PASSI (circa 1 minuto) Per riassumere: l'integrazione tra Cisco Meraki e Purple WiFi è un'implementazione matura e ben documentata che unisce l'eccellente infrastruttura gestita in cloud di Meraki con le funzionalità di guest intelligence e acquisizione dati di Purple. L'integrazione utilizza due meccanismi principali - la Meraki Dashboard API per il provisioning automatizzato e la Captive Portal API con autenticazione RADIUS per il livello di esperienza dell'ospite. Le tre cose da fare bene sono: la configurazione del walled garden, le impostazioni di timeout e riprova di RADIUS e la configurazione del NAS-ID per analisi di localizzazione accurate. Il caso aziendale è convincente. McDonald's Belgium, Walmart Canada e Harrods sono tutti progetti attivi con implementazioni Purple e Cisco. AGS Airports ha ottenuto un ritorno sull'investimento dell'842 percento. Harrods ha trasformato 600.000 accessi WiFi in un ritorno sull'investimento di 57 volte. Se sei pronto a procedere, il passo successivo consiste nel generare la tua chiave Meraki API, accedere al portale Purple e utilizzare l'Hardware Import Wizard per importare il tuo parco di access point. Da lì, il team del tuo account Purple potrà guidarti attraverso la configurazione di SSID e RADIUS in un'unica sessione. Grazie per il tuo tempo.