Integrazione di Cisco WLC e Catalyst con Purple WiFi: guida passo-passo all'accesso guest

Executive summary

Le reti wireless aziendali devono servire contemporaneamente diversi gruppi di utenti: i guest che necessitano di un accesso a Internet senza attriti, il personale che richiede un accesso sicuro alle risorse aziendali e i dispositivi headless o dei tenant che necessitano di isolamento reciproco. Affidarsi a una singola Pre-Shared Key condivisa per uno qualsiasi di questi gruppi rappresenta un rischio per la sicurezza. Una singola credenziale compromessa espone l'intero segmento e la revoca dell'accesso richiede la modifica di una password globale, con conseguente interruzione del servizio per ogni dispositivo sulla rete.

Questa guida descrive in dettaglio l'integrazione dei controller Wireless LAN (WLC) Cisco e dell'hardware della serie Catalyst 9800 con l'overlay cloud di Purple. Forniamo la configurazione passo-passo per tre distinti livelli di autenticazione: una rete Guest WiFi aperta con reindirizzamento al Captive Portal gestito da Purple, una rete WiFi sicura per il personale che utilizza l'autenticazione tramite certificato 802.1X EAP-TLS e un ambiente WiFi multi-tenant che utilizza Cisco Identity Pre-Shared Keys (iPSK) con assegnazione dinamica della VLAN. Implementando questa architettura, isolerete le risorse aziendali dal traffico dei visitatori, automatizzerete il controllo degli accessi basato sull'identità e acquisirete dati di prima parte tramite la piattaforma WiFi Analytics di Purple. Purple opera in oltre 80.000 sedi attive e ha registrato 440 millioni di accessi nel 2024 (dati interni Purple), confermandosi come un overlay cloud collaudato per l'infrastruttura Cisco su larga scala.

Approfondimento tecnico: l'architettura a tre livelli

Una moderna implementazione wireless aziendale su hardware Cisco deve soddisfare diversi profili utente con requisiti di sicurezza e accesso differenti. L'integrazione tra Cisco WLC e Purple consente a un'infrastruttura hardware unificata di servire questi profili attraverso distinti meccanismi di autenticazione, tutti gestiti da un singolo controller Catalyst 9800.

Livello 1: Guest WiFi - Central Web Authentication (CWA)

Per i visitatori negli ambienti Hospitality e Retail , l'obiettivo è un onboarding senza attriti combinato con un'acquisizione dei dati conforme alle normative. Questo si ottiene utilizzando un SSID aperto abbinato alla Central Web Authentication (CWA). Quando un guest si connette, il Cisco WLC applica una Access Control List (ACL) di pre-autenticazione (il walled garden). Questa ACL blocca il traffico internet generale consentendo al contempo il traffico verso i domini del Captive Portal di Purple, il DNS e gli endpoint di login social.

Quando il guest tenta di navigare, il WLC intercetta la richiesta HTTP e reindirizza l'utente alla splash page di Purple. Il guest si autentica tramite il metodo scelto (social login, registrazione via e-mail o codice voucher). Purple funge quindi da server RADIUS, inviando un messaggio RADIUS Change of Authorization (CoA) al WLC. Il CoA indica al WLC di spostare il client dallo stato di pre-autenticazione a uno stato di post-autenticazione su una VLAN guest isolata, concedendo l'accesso a Internet. Ogni accesso viene registrato nella piattaforma di analytics di Purple, acquisendo dati di prima parte in conformità con il GDPR e il CCPA.

Livello 2: WiFi del personale - 802.1X EAP-TLS

I dispositivi aziendali richiedono il massimo livello di sicurezza. Lo standard IEEE 802.1X definisce il Network Access Control basato su porta (PNAC) e, se combinato con EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), offre un'autenticazione basata su certificati che elimina completamente le password. I certificati digitali vengono distribuiti ai dispositivi aziendali tramite Mobile Device Management (MDM): Microsoft Intune, Jamf o equivalenti. Il Cisco WLC funge da autenticatore, passando i messaggi EAP tra il supplicant (dispositivo) e il server RADIUS. Il server RADIUS convalida il certificato e restituisce un messaggio di Access-Accept con attributi opzionali di assegnazione della VLAN.

Poiché l'autenticazione si basa sui certificati anziché sulle password, non ci sono credenziali da sottrarre. Se un dispositivo viene smarrito o un dipendente lascia l'azienda, è sufficiente revocare il certificato. L'accesso si interrompe istantaneamente senza interrompere il servizio per gli altri utenti. Per una trattazione completa degli standard di sicurezza aziendali, inclusi WPA3 e Zero Trust, consultate la nostra guida sulla Sicurezza WiFi aziendale: una guida completa per il 2026 .

Livello 3: WiFi Multi-Tenant - Cisco iPSK e assegnazione dinamica della VLAN

In ambienti come alloggi per studenti, spazi di coworking o centri commerciali, è necessario disporre di reti private e segmentate per i diversi tenant senza trasmettere decine di SSID. Cisco Identity PSK (iPSK) risolve questo problema. Tutti i tenant si connettono a un singolo SSID. Il WLC invia una richiesta di autenticazione MAC al server RADIUS per ogni dispositivo che si connette. Il server RADIUS restituisce la PSK specifica per quel tenant come attributo cisco-av-pair, insieme agli attributi RADIUS IETF standard per assegnare dinamicamente il client alla VLAN corretta.

I tre attributi RADIUS IETF che guidano l'assegnazione dinamica della VLAN sono:

L'attributo Tunnel-Private-Group-ID è codificato come stringa, come definito nella RFC 2868. L'ID della VLAN deve esistere sul WLC affinché l'assegnazione vada a buon fine.

Guida all'implementazione: configurazione di Cisco Catalyst 9800 WLC

I passaggi seguenti descrivono in dettaglio la configurazione di un Cisco Catalyst 9800 WLC con IOS-XE per l'integrazione con Purple per il reindirizzamento del Guest WiFi. Per le implementazioni WLC AireOS legacy, le impostazioni equivalenti sono disponibili nel portale di supporto di Purple.

Step 1: Configurare l'autenticazione e l'accounting RADIUS

È necessario indirizzare il WLC verso i server RADIUS di Purple per gestire l'autenticazione degli ospiti e l'accounting delle sessioni.

1. Passare a Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
2. Inserire l'indirizzo IP del server RADIUS Purple primario, impostare auth-port su 1812, acct-port su 1813 e inserire la shared secret dal portale Purple.
3. Abilitare Support for CoA - questo è obbligatorio per il reindirizzamento del Captive Portal.
4. Ripetere l'operazione per il server RADIUS Purple secondario.
5. Passare a RADIUS > Server Groups > + Add e creare un gruppo contenente entrambi i server.
6. Passare a AAA Method List > Authorization > + Add, impostare Type su network e indirizzarlo al gruppo di server RADIUS.
7. Passare a AAA Method List > Accounting > + Add, impostare Type su identity e indirizzarlo allo stesso gruppo.

I comandi CLI equivalenti su IOS-XE sono:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Step 2: Definire l'ACL di pre-autenticazione (walled garden)

L'ACL di pre-autenticazione consente il traffico verso la splash page di Purple e i servizi essenziali prima che l'utente si autentichi. Questo è il walled garden.

1. Passare a Configuration > Security > ACL > + Add.
2. Creare un'ACL estesa IPv4 denominata Purple_Guest_Walled_Garden.
3. Aggiungere regole per negare il traffico verso l'IP di gestione del WLC e gli IP dei server RADIUS.
4. Aggiungere regole per consentire il DNS (porta UDP 53) verso i propri server DNS.
5. Aggiungere regole per consentire il traffico verso gli intervalli IP e i domini del walled garden di Purple (ottenere l'elenco aggiornato dal portale di supporto Purple per il proprio tipo di hardware specifico).
6. Aggiungere una regola finale permit ip any any - il WLC reindirizzerà il traffico consentito alla CPU per l'elaborazione del portale.

Step 3: Configurare la WLAN guest

1. Passare a Configuration > Tags & Profiles > WLANs > + Add.
2. Creare una WLAN denominata Guest-WiFi con l'SSID scelto.
3. Sotto Security > Layer 2, impostare la sicurezza su None (Open).
4. Sotto Security > Layer 3, abilitare Web Policy e impostare Web Auth type su External.
5. Inserire l'URL di accesso Purple nel campo di reindirizzamento.
6. Applicare l'ACL Purple_Guest_Walled_Garden.
7. Sotto Security > AAA Servers, assegnare i server RADIUS Purple sia a Authentication che a Accounting.

Step 4: Configurare il Policy Profile

1. Passare a Configuration > Tags & Profiles > Policy > + Add.
2. Sotto Access Policies, assegnare la VLAN 20 (o la VLAN guest designata).
3. Sotto Advanced, abilitare Allow AAA Override e NAC State.
4. Assegnare l'elenco dei metodi di accounting Purple.

L'equivalente CLI:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: Configurare iPSK per distribuzioni multi-tenant o IoT

Per iPSK, la configurazione della WLAN differisce da quella guest. La WLAN utilizza WPA2-PSK con il filtraggio MAC abilitato, e il Policy Profile ha AAA Override attivo per accettare la PSK e la VLAN per client dal server RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

Il server RADIUS (configurato in Purple o nella propria piattaforma RADIUS) restituisce i seguenti attributi per gruppo di tenant:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID = 

Best practice

L'adesione agli standard stabiliti garantisce stabilità, sicurezza e conformità normativa in tutta la distribuzione.

Imporre una convalida rigorosa dei certificati. Quando si distribuisce l'802.1X, configurare i dispositivi client tramite MDM per considerare esplicitamente attendibile l'autorità di certificazione del server RADIUS e specificare il nome del server previsto. La mancata applicazione di questa misura lascia i client vulnerabili ad attacchi di rogue access point, in cui un utente malintenzionato presenta un certificato fraudolento per acquisire le credenziali. Questo è un requisito vincolante, non una raccomandazione.

Isolare il traffico guest a livello di rete. Il WiFi guest deve terminare su una VLAN dedicata, protetta da firewall rispetto a tutte le risorse aziendali. Lo standard PCI DSS 4.0 richiede che gli ambienti dei dati dei titolari di carta siano isolati dalle reti pubbliche. Un ospite sulla VLAN 20 non deve avere alcun instradamento verso la rete aziendale sulla VLAN 10.

Utilizzare iPSK per i dispositivi IoT, non il MAC Authentication Bypass. Gli indirizzi MAC vengono trasmessi in chiaro e sono facili da contraffare. L'iPSK fornisce sicurezza crittografica per i dispositivi headless. Per indicazioni su come i display e i dispositivi IoT interagiscono con i protocolli wireless, consultare Cos'è il display wireless: protocolli e best practice 2026 .

Definire condizioni d'uso chiare. Il Captive Portal deve presentare un accordo sulle condizioni d'uso prima di concedere l'accesso. Questo è un requisito del GDPR per la raccolta dei dati e una necessità legale per le policy di utilizzo della rete. Per le reti del personale interno, consultare Termini e condizioni del WiFi per il personale: aspetti legali e di conformità .

Configurare la ridondanza RADIUS. Configurare sempre un server RADIUS primario e uno secondario. Purple fornisce due indirizzi IP del server a questo scopo. Il guasto di un singolo server RADIUS impedirà tutti gli accessi degli ospiti.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una configurazione attenta, l'integrazionequando si verificano problemi. Affronta i casi di errore più comuni in modo sistematico prima di procedere con l'escalation.

Problema: gli ospiti si connettono ma la splash page non viene visualizzata.

Questo è il problema più comune. L'ACL di pre-autenticazione sta bloccando il DNS. Senza DNS, il client non può risolvere la richiesta HTTP iniziale e il sistema operativo non avvierà il mini-browser del Captive Portal. Verifica che la porta UDP 53 sia consentita verso i tuoi server DNS nell'ACL del walled garden. Sul WLC, esegui show wireless client summary per confermare che il client si trovi in uno stato Webauth Pending anziché Run.

Problema: i client iPSK non riescono a connettersi o finiscono sulla VLAN errata.

La VLAN specificata in Tunnel-Private-Group-ID non esiste sul WLC, oppure gli attributi cisco-av-pair sono formattati in modo errato. Esegui debug radius all sul WLC per ispezionare la risposta RADIUS non elaborata. Verifica che l'ID VLAN sia creato in Configuration > Layer 2 > VLAN > VLAN List.

Problema: i client del personale 802.1X non riescono ad autenticarsi in modo intermittente.

Questo è in genere dovuto a un timeout del server RADIUS o a un problema di attendibilità del certificato sul client. Controlla i log del server RADIUS per verificare la presenza di messaggi Access-Reject. Sui client Windows, verifica che il profilo WiFi sia configurato per convalidare il certificato del server e che specifichi la CA attendibile corretta.

Problema: il CoA da Purple non viene elaborato dal WLC.

Il segreto condiviso CoA deve corrispondere al segreto condiviso RADIUS configurato sul WLC. Su IOS-XE 17.4 e versioni successive, la chiave CoA è configurata separatamente dal segreto condiviso. Verifica che entrambi corrispondano ai valori nel portale Purple.

ROI e impatto aziendale

La transizione da reti PSK di base a un'architettura strutturata e basata sull'identità con Purple offre risultati aziendali misurabili nei settori verticali Hospitality , Retail , Healthcare e Transport .

In primo luogo, l'architettura elimina i costi operativi di gestione delle password condivise. Quando il personale se ne va, si revoca il loro certificato. Non è necessario modificare una password globale e aggiornare ogni dispositivo dell'infrastruttura. In secondo luogo, l'integrazione con il Captive Portal di Purple trasforma un centro di costo IT in un generatore di ricavi. La piattaforma di Purple acquisisce dati di prima parte conformi a ogni accesso, consentendo campagne di marketing automatizzate e analisi dei visitatori. Con 29 miliardi di punti dati raccolti attraverso la rete Purple (dati interni Purple), la piattaforma fornisce informazioni utili sul comportamento dei visitatori, sul tempo di permanenza e sui tassi di ritorno.

Per i gestori di sedi che conducono sondaggi per comprendere la soddisfazione dei visitatori, la piattaforma Purple si integra direttamente con i flussi di lavoro di ricerca. Consulta Progettazione di un sondaggio: una guida pratica per le sedi per indicazioni su come strutturare sondaggi efficaci per le sedi, erogati tramite il Captive Portal.

Integrando l'hardware di livello enterprise di Cisco con l'overlay cloud di Purple, si ottiene una rete sicura e scalabile che contribuisce attivamente agli obiettivi commerciali della sede. Purple è certificata ISO 27001, conforme a GDPR e CCPA, certificata Cyber Essentials e certificata B Corp, soddisfacendo i requisiti di conformità dei team di procurement aziendali.