Integrazione di Cisco WLC e Catalyst con Purple WiFi: guida passo-passo per l'accesso guest

Questa guida dettaglia l'integrazione passo-passo di Cisco WLC e Catalyst 9800 Wireless con Purple, coprendo il reindirizzamento al Captive Portal Guest WiFi tramite Central Web Authentication, il Wi-Fi protetto per il personale tramite 802.1X EAP-TLS e la segmentazione Multi-Tenant tramite Cisco Identity Pre-Shared Keys (iPSK) con assegnazione dinamica della VLAN. È scritta per architetti di reti aziendali e direttori della sicurezza IT che distribuiscono infrastrutture Cisco in settori quali hospitality, retail e grandi spazi pubblici.

📖 9 minuti di lettura📝 2,116 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e oggi esamineremo uno scenario di implementazione definitivo per gli architetti di rete aziendali: l'integrazione dei Wireless LAN Controller Cisco e dell'hardware Catalyst 9800 con la piattaforma Purple WiFi. Se gestite l'IT per una catena alberghiera, una rete retail o una grande struttura pubblica, sapete bene che affidarsi a chiavi pre-condivise di base rappresenta un rischio di sicurezza inaccettabile. Oggi illustreremo l'architettura passo-passo per segmentare la vostra rete, proteggere il vostro personale e trasformare il vostro guest WiFi in una risorsa basata sui dati.

Contestualizziamo lo scenario. Un ambiente wireless aziendale deve gestire tre profili distinti: Ospiti, Personale e dispositivi Headless o Tenant. Non è possibile trattarli allo stesso modo e non si possono trasmettere venti SSID diversi per gestirli. La soluzione è un'infrastruttura hardware unificata che sfrutta diversi meccanismi di autenticazione su un unico Cisco Catalyst 9800 Wireless LAN Controller.

Ora approfondiamo l'architettura tecnica. Il primo livello è il Guest WiFi. L'obiettivo qui è un accesso a basso attrito combinato con l'acquisizione dei dati. Raggiungiamo questo scopo utilizzando un SSID aperto e la Central Web Authentication, o CWA. Quando un ospite si connette, il WLC Cisco applica una Access Control List di pre-autenticazione. Questo è il vostro walled garden. Blocca l'accesso generale a Internet ma consente il traffico verso i domini di Purple e i servizi essenziali. Quando l'ospite tenta di navigare, il WLC intercetta la richiesta HTTP e lo reindirizza alla splash page del Captive Portal di Purple. Una volta autenticato, ad esempio tramite un modulo di registrazione, un login social o un codice monouso, Purple funge da server RADIUS. Invia un messaggio di Change of Authorization, noto come CoA, al WLC. Questo sposta il client su una VLAN guest isolata e concede l'accesso a Internet. L'intero flusso è automatizzato e ogni accesso viene registrato nella piattaforma di analytics di Purple.

Il secondo livello è il WiFi del Personale. Per i dispositivi aziendali, imponiamo l'autenticazione 802.1X. Nello specifico, EAP-TLS, che sta per Extensible Authentication Protocol Transport Layer Security. Questo metodo utilizza certificati digitali installati sui dispositivi aziendali tramite la piattaforma di Mobile Device Management, sia essa Microsoft Intune, Jamf o un'altra soluzione. Il WLC funge da autenticatore, passando i messaggi EAP al server RADIUS. Poiché utilizziamo i certificati, non ci sono password da rubare. Se un dispositivo viene smarrito o un dipendente si dimette, si revoca il certificato. L'accesso viene interrotto all'istante, senza modificare una password globale o interrompere il lavoro di altri utenti. EAP-TLS è lo standard di riferimento per la sicurezza aziendale.

Il terzo livello è il Wi-Fi Multi-Tenant o IoT. Pensa agli inquilini di un centro commerciale, ai membri di uno spazio di coworking o ai sensori di un edificio intelligente che non supportano lo standard 802.1X. Per questo, implementiamo Cisco Identity PSK, o iPSK. Tutti si connettono allo stesso SSID, ma il server RADIUS assegna una password univoca e una VLAN univoca a ciascun tenant in base al loro indirizzo MAC. Quando il dispositivo di un tenant si connette, il WLC invia una richiesta di autenticazione MAC al server RADIUS. Il server restituisce la PSK specifica per quel tenant come attributo Cisco AV-Pair, insieme a tre attributi RADIUS IETF standard per assegnare dinamicamente il client alla VLAN corretta. Tali attributi sono: Tunnel-Type, impostato su VLAN; Tunnel-Medium-Type, impostato su 802; e Tunnel-Private-Group-ID, impostato sull'ID della VLAN di destinazione. Il WLC elabora questi attributi e inserisce il dispositivo nel segmento di rete isolato corretto. iPSK offre la segmentazione aziendale con la semplicità d'uso tipica del mercato consumer.

Ora discutiamo le raccomandazioni di implementazione e le insidie che riscontriamo più frequentemente nelle implementazioni in produzione.

Il punto di errore più comune nelle distribuzioni guest è l'ACL del walled garden. Se i visitatori si connettono ma la splash page non viene visualizzata, controlla prima la configurazione DNS. Se l'ACL di pre-autenticazione blocca la porta UDP 53, il client non può risolvere i nomi di dominio. Il sistema operativo non avvierà il mini-browser del Captive Portal e l'ospite vedrà un errore "Nessuna connessione Internet". Consenti sempre esplicitamente il traffico DNS nella tua ACL di walled garden. Questo è il problema di supporto in assoluto più comune che riscontriamo.

La seconda insidia riguarda le implementazioni per il personale. Se scegli di implementare PEAP-MSCHAPv2 invece di EAP-TLS, perché non disponi ancora di una soluzione MDM per distribuire i certificati, devi configurare i dispositivi client in modo che convalidino esplicitamente il certificato del server RADIUS. Ciò significa specificare l'esatta Autorità di Certificazione da considerare attendibile e il nome del server previsto nel profilo Wi-Fi. Se lasci questa configurazione manuale all'utente finale, un utente malintenzionato può attivare un access point non autorizzato, presentare un certificato fraudolento e catturare le credenziali aziendali. Questo non è un attacco teorico. Si tratta di una minaccia reale e ampiamente documentata. Imponi la convalida del certificato tramite Criteri di gruppo per i dispositivi Windows e tramite profili MDM per macOS e dispositivi mobili.

La terza insidia riguarda le implementazioni iPSK. Se un client si connette ma riceve la VLAN errata, o non riesce a connettersi del tutto, la causa più probabile è che l'ID della VLAN di destinazione specificato nell'attributo Tunnel-Private-Group-ID non esista sul WLC. La VLAN deve essere creata e attiva sul controller prima che il server RADIUS possa indirizzarvi i client. Utilizza il comando debug radius sul WLC per verificare che gli attributi vengano ricevuti correttamente dal server RADIUS.

Ora passiamo a una sessione rapida di domande e risposte sulle richieste che riceviamo più spesso.

Domanda uno: Posso utilizzare il MAC Authentication Bypass invece di iPSK per i dispositivi IoT?

È possibile farlo, ma è sconsigliato. Gli indirizzi MAC vengono trasmessi in chiaro e sono estremamente facili da contraffare. Il MAC Authentication Bypass fornisce l'identificazione del dispositivo, non la sicurezza. L'iPSK fornisce una reale sicurezza crittografica per i dispositivi headless. Se il dispositivo supporta una qualsiasi forma di PSK, utilizza l'iPSK.

Seconda domanda: Purple supporta i controller Cisco Catalyst 9800 IOS-XE?

Sì. Purple supporta pienamente i moderni controller Catalyst 9800 IOS-XE e i controller legacy AireOS WLC. L'integrazione di RADIUS e Change of Authorization è completamente validata per entrambe le piattaforme.

Terza domanda: Come si gestisce la ridondanza del server RADIUS?

Configura sempre sia un server RADIUS primario sia uno secondario negli elenchi dei metodi AAA del tuo WLC. Il WLC passerà automaticamente al server secondario se il primario non risponde entro il timeout configurato. Purple fornisce due indirizzi IP del server RADIUS esattamente per questo scopo. Non distribuire mai un singolo server RADIUS in un ambiente di produzione.

Quarta domanda: Quali numeri di porta RADIUS utilizza Purple?

Purple utilizza la porta UDP 1812 per l'autenticazione e la porta UDP 1813 per l'accounting. Queste sono le porte standard registrate dallo IANA per RADIUS, come definito in RFC 2865 e RFC 2866.

Per riassumere i punti chiave del briefing odierno: controlla la tua attuale architettura wireless. Se utilizzi password condivise per il personale, pianifica una migrazione a 802.1X. Se stai trasmettendo più SSID per diversi tenant, consolidali utilizzando Cisco iPSK. Se la tua rete WiFi per gli ospiti è semplicemente una rete aperta senza acquisizione di dati, integrala con Purple per raccogliere dati di prima parte, incrementare il ritorno sull'investimento di marketing e garantire la conformità con i requisiti GDPR e PCI DSS.

Combinando l'infrastruttura di livello aziendale di Cisco con l'overlay cloud di Purple, offri una connettività sicura, segmentata e intelligente in tutta la tua sede. Purple opera in oltre 80.000 sedi attive e ha registrato 440 milioni di accessi nel 2024. La piattaforma è indipendente dall'hardware, certificata ISO 27001 e progettata per la scalabilità aziendale.

Il prossimo passo è chiaro. Consulta la guida alla configurazione passo-passo completa sul sito web di Purple, ottieni le credenziali del server RADIUS dal portale Purple e avvia oggi stesso l'integrazione con il tuo WLC Cisco. Per guide di configurazione dettagliate e documentazione specifica per l'hardware, visita il portale di supporto Purple all'indirizzo support dot purple dot ai.

Grazie per aver ascoltato questo Briefing Tecnico Purple. Alla prossima, resta al sicuro.

Punti chiave

✓Sostituisci le chiavi pre-condivise (Pre-Shared Keys) non sicure con un'architettura a tre livelli: Guest WiFi tramite Captive Portal, Staff WiFi tramite 802.1X EAP-TLS e Tenant/IoT WiFi tramite Cisco iPSK.
✓Integra Cisco WLC con Purple utilizzando Central Web Authentication (CWA) e RADIUS CoA per automatizzare l'onboarding degli ospiti e raccogliere dati di prima parte su scala.
✓Configura ACL di pre-autenticazione precise (walled garden) sul WLC, consentendo sempre il DNS (UDP 53), altrimenti il reindirizzamento al Captive Portal fallirà.
✓Distribuisci EAP-TLS per Staff WiFi per eliminare completamente le password e affidati ai certificati digitali distribuiti tramite MDM per garantire il massimo livello di sicurezza disponibile.
✓Utilizza Cisco iPSK con assegnazione dinamica della VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) per segmentare ambienti multi-tenant e IoT su un unico SSID.
✓Imponi sempre la convalida del certificato del server RADIUS sui dispositivi client quando utilizzi PEAP-MSCHAPv2 per prevenire il furto di credenziali da parte di access point non autorizzati.
✓Purple opera in oltre 80.000 sedi, è certificato ISO 27001 e GDPR e fornisce un'infrastruttura RADIUS ridondante: configura sia il server primario che quello secondario sul WLC.

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলোকে অবশ্যই একই সাথে বিভিন্ন ব্যবহারকারী গ্রুপকে পরিষেবা দিতে হবে: অতিথি যাদের নিরবচ্ছিন্ন ইন্টারনেট অ্যাক্সেস প্রয়োজন, স্টাফ যাদের কর্পোরেট রিসোর্সে নিরাপদ অ্যাক্সেস প্রয়োজন, এবং হেডলেস বা টেন্যান্ট ডিভাইস যেগুলোর একে অপরের থেকে আইসোলেশন প্রয়োজন। এই গ্রুপগুলোর যেকোনো একটির জন্য একটি একক শেয়ার্ড প্রি-শেয়ার্ড কি-এর (Pre-Shared Key) ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। একটি মাত্র আপোসকৃত শংসাপত্র পুরো সেগমেন্টটিকে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় যা নেটওয়ার্কের প্রতিটি ডিভাইসকে ব্যাহত করে।

এই নির্দেশিকাটি Cisco ওয়্যারলেস ল্যান কন্ট্রোলার (WLC) এবং Catalyst 9800 সিরিজের হার্ডওয়্যারের সাথে Purple-এর ক্লাউড ওভারলে-র ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। আমরা তিনটি ভিন্ন অথেন্টিকেশন স্তরের জন্য ধাপে ধাপে কনফিগারেশন প্রদান করি: Purple দ্বারা চালিত Captive Portal রিডাইরেকশন সহ একটি ওপেন Guest WiFi নেটওয়ার্ক, 802.1X EAP-TLS সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে একটি সিকিউর স্টাফ WiFi নেটওয়ার্ক, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco আইডেন্টিটি প্রি-শেয়ার্ড কি (iPSK) ব্যবহার করে একটি মাল্টি-টেন্যান্ট WiFi পরিবেশ। এই আর্কিটেকচারটি স্থাপন করার মাধ্যমে, আপনি ভিজিটর ট্রাফিক থেকে কর্পোরেট রিসোর্সগুলোকে আইসোলেট করতে পারেন, আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন এবং Purple-এর WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন রেকর্ড করেছে (Purple-এর অভ্যন্তরীণ ডেটা), যা এটিকে স্কেলে Cisco অবকাঠামোর জন্য একটি প্রমাণিত ক্লাউড ওভারলে করে তোলে।

টেকনিক্যাল ডিপ-ডাইভ: থ্রি-টিয়ার আর্কিটেকচার

Cisco হার্ডওয়্যারে একটি আধুনিক এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টকে অবশ্যই ভিন্ন ভিন্ন নিরাপত্তা এবং অ্যাক্সেসের প্রয়োজনীয়তা সহ বিভিন্ন ব্যবহারকারীর প্রোফাইল পূরণ করতে হবে। Cisco WLC এবং Purple-এর মধ্যে ইন্টিগ্রেশন একটি একক Catalyst 9800 কন্ট্রোলার থেকে পরিচালিত বিভিন্ন অথেন্টিকেশন মেকানিজমের মাধ্যমে এই প্রোফাইলগুলোকে পরিষেবা দেওয়ার জন্য একটি ইউনিফাইড হার্ডওয়্যার ফুটপ্রিন্ট সক্ষম করে।

টিয়ার ১: Guest WiFi - সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA)

Hospitality এবং Retail পরিবেশের ভিজিটরদের জন্য, উদ্দেশ্য হলো কম-ঝামেলাপূর্ণ অনবোর্ডিংয়ের সাথে কমপ্লায়েন্ট ডেটা ক্যাপচারের সমন্বয় করা। এটি সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA) এর সাথে যুক্ত একটি ওপেন SSID ব্যবহার করে অর্জন করা হয়। যখন একজন অতিথি সংযোগ করেন, তখন Cisco WLC একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে - যা ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত। এই ACL সাধারণ ইন্টারনেট ট্রাফিক ব্লক করে এবং Purple-এর Captive Portal ডোমেন, DNS এবং সোশ্যাল লগইন এন্ডপয়েন্টগুলোতে ট্রাফিকের অনুমতি দেয়। যখন গেস্ট ব্রাউজ করার চেষ্টা করেন, তখন WLC HTTP রিকোয়েস্টটিকে ইন্টারসেপ্ট করে এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট তাদের পছন্দের পদ্ধতির মাধ্যমে (সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, বা ভাউচার কোড) অথেন্টিকেট করেন। এরপর Purple RADIUS সার্ভার হিসেবে কাজ করে, WLC-তে একটি RADIUS Change of Authorization (CoA) মেসেজ ফেরত পাঠায়। CoA মেসেজটি WLC-কে নির্দেশ দেয় ক্লায়েন্টকে প্রি-অথেন্টিকেশন স্টেট থেকে একটি আইসোলেটেড গেস্ট VLAN-এ পোস্ট-অথেন্টিকেশন স্টেটে নিয়ে যেতে, যার ফলে ইন্টারনেট অ্যাক্সেস মঞ্জুর হয়। প্রতিটি লগইন Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে রেকর্ড করা হয়, যা GDPR এবং CCPA মেনে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে।

Tier 2: Staff WiFi - 802.1X EAP-TLS

কর্পোরেট ডিভাইসগুলোর জন্য সর্বোচ্চ স্তরের নিরাপত্তার প্রয়োজন। IEEE 802.1X পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে, এবং যখন এটি EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)-এর সাথে যুক্ত হয়, তখন এটি সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। Mobile Device Management (MDM) - Microsoft Intune, Jamf, বা সমমানের মাধ্যমে কর্পোরেট ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেট স্থাপন করা হয়। Cisco WLC অথেন্টিকেটর হিসেবে কাজ করে, যা সাপ্লিক্যান্ট (ডিভাইস) এবং RADIUS সার্ভারের মধ্যে EAP মেসেজ আদান-প্রদান করে। RADIUS সার্ভার সার্টিফিকেটটি যাচাই করে এবং ঐচ্ছিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট সহ একটি Access-Accept ফেরত পাঠায়।

যেহেতু অথেন্টিকেশন পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের ওপর নির্ভর করে, তাই চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। কোনো ডিভাইস হারিয়ে গেলে বা কোনো কর্মচারী চলে গেলে, আপনি সার্টিফিকেটটি রিভোক (বাতিল) করে দিতে পারেন। অন্য কোনো ব্যবহারকারীকে ব্যাহত না করেই তাৎক্ষণিকভাবে অ্যাক্সেস বন্ধ হয়ে যায়। WPA3 এবং Zero Trust সহ এন্টারপ্রাইজ সিকিউরিটি স্ট্যান্ডার্ডের বিস্তারিত আলোচনার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 গাইডটি দেখুন।

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

স্টুডেন্ট অ্যাকোমোডেশন, কোওয়ার্কিং স্পেস বা রিটেল মলের মতো পরিবেশে, ডজন ডজন SSID ব্রডকাস্ট না করেই বিভিন্ন টেন্যান্টের জন্য প্রাইভেট, সেগমেন্টেড নেটওয়ার্কের প্রয়োজন হয়। Cisco Identity PSK (iPSK) এই সমস্যার সমাধান করে। সমস্ত টেন্যান্ট একটি একক SSID-তে সংযুক্ত হন। WLC প্রতিটি সংযোগকারী ডিভাইসের জন্য RADIUS সার্ভারে একটি MAC অথেন্টিকেশন রিকোয়েস্ট পাঠায়। RADIUS সার্ভার সেই টেন্যান্টের জন্য নির্দিষ্ট PSK-টি একটি cisco-av-pair অ্যাট্রিবিউট হিসেবে ফেরত পাঠায়, সাথে ক্লায়েন্টকে ডাইনামিকভাবে সঠিক VLAN-এ অ্যাসাইন করার জন্য স্ট্যান্ডার্ড IETF RADIUS অ্যাট্রিবিউটও পাঠায়।

ডাইনামিক VLAN অ্যাসাইনমেন্ট পরিচালনাকারী তিনটি IETF RADIUS অ্যাট্রিবিউট হলো:

RADIUS Attribute	ID	Value
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Target VLAN ID (e.g., 31)

RFC 2868-এ সংজ্ঞায়িত নিয়ম অনুযায়ী Tunnel-Private-Group-ID একটি স্ট্রিং হিসেবে এনকোড করা হয়। অ্যাসাইনমেন্ট সফল হওয়ার জন্য VLAN ID-টি অবশ্যই WLC-তে থাকতে হবে।

Implementation guide: Cisco Catalyst 9800 WLC configuration

নিচের ধাপগুলোতে Guest WiFi রিডাইরেকশনের জন্য Purple-এর সাথে ইন্টিগ্রেট করতে IOS-XE চালিত একটি Cisco Catalyst 9800 WLC কনফিগার করার বিস্তারিত বিবরণ দেওয়া হয়েছে। লিগ্যাসি AireOS WLC ডেপ্লয়মেন্টের জন্য, সমমানের সেটিংস Purple সাপোর্ট পোর্টালে পাওয়া যাবে।

ধাপ ১: RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং কনফিগার করুন

গেস্ট অথেন্টিকেশন এবং সেশন অ্যাকাউন্টিং পরিচালনা করতে আপনাকে অবশ্যই WLC-কে Purple-এর RADIUS সার্ভারগুলোর দিকে নির্দেশ করতে হবে।

১. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add-এ যান। ২. প্রাইমারি Purple RADIUS সার্ভারের IP অ্যাড্রেস লিখুন, auth-port ১৮১২, acct-port ১৮১৩ সেট করুন এবং Purple পোর্টাল থেকে প্রাপ্ত শেয়ার্ড সিক্রেটটি লিখুন। ৩. Support for CoA সক্রিয় করুন - Captive Portal রিডাইরেকশনের জন্য এটি বাধ্যতামূলক। ৪. সেকেন্ডারি Purple RADIUS সার্ভারের জন্য এই প্রক্রিয়াটি পুনরাবৃত্তি করুন। ৫. RADIUS > Server Groups > + Add-এ যান এবং উভয় সার্ভার সম্বলিত একটি গ্রুপ তৈরি করুন। ৬. AAA Method List > Authorization > + Add-এ যান, Type সেট করুন network এবং এটিকে RADIUS সার্ভার গ্রুপের দিকে নির্দেশ করুন। ৭. AAA Method List > Accounting > + Add-এ যান, Type সেট করুন identity এবং এটিকে একই গ্রুপের দিকে নির্দেশ করুন।

IOS-XE-তে সমমানের CLI কমান্ডগুলো হলো:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

ধাপ ২: প্রি-অথেন্টিকেশন ACL (walled garden) নির্ধারণ করুন

প্রি-অথেন্টিকেশন ACL ব্যবহারকারী অথেন্টিকেট করার আগে Purple-এর স্প্ল্যাশ পেজ এবং প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। এটিই হলো walled garden।

১. Configuration > Security > ACL > + Add-এ যান। ২. Purple_Guest_Walled_Garden নামে একটি IPv4 Extended ACL তৈরি করুন। ৩. WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-তে ট্রাফিক deny করার জন্য নিয়ম যোগ করুন। ৪. আপনার DNS সার্ভারগুলোতে DNS (UDP port 53) permit করার জন্য নিয়ম যোগ করুন। ৫. Purple-এর walled garden IP রেঞ্জ এবং ডোমেনগুলোতে ট্রাফিক permit করার জন্য নিয়ম যোগ করুন (আপনার নির্দিষ্ট হার্ডওয়্যার টাইপের জন্য Purple সাপোর্ট পোর্টাল থেকে বর্তমান তালিকাটি সংগ্রহ করুন)। ৬. একটি চূড়ান্ত permit ip any any নিয়ম যোগ করুন - WLC অনুমোদিত ট্রাফিককে পোর্টাল প্রসেসিংয়ের জন্য CPU-তে রিডাইরেক্ট করবে।

৩. গেস্ট WLAN কনফিগার করুন

১. Configuration > Tags & Profiles > WLANs > + Add-এ যান। ২. আপনার পছন্দসই SSID দিয়ে Guest-WiFi নামে একটি WLAN তৈরি করুন। ৩. Security > Layer 2-এর অধীনে, সিকিউরিটি None (Open) সেট করুন। ৪. Security > Layer 3-এর অধীনে, Web Policy সক্রিয় করুন এবং Web Auth টাইপ External সেট করুন। ৫. রিডাইরেক্ট ফিল্ডে আপনার Purple অ্যাক্সেস URL লিখুন। ৬. Purple_Guest_Walled_Garden ACL-টি প্রয়োগ করুন। ৭. Security > AAA Servers-এর অধীনে, Authentication এবং Accounting উভয়ের জন্যই Purple RADIUS সার্ভারগুলো অ্যাসাইন করুন।### Step 4: Policy Profile কনফিগার করুন

Configuration > Tags & Profiles > Policy > + Add-এ নেভিগেট করুন।
Access Policies-এর অধীনে, VLAN 20 (অথবা আপনার নির্ধারিত গেস্ট VLAN) অ্যাসাইন করুন।
Advanced-এর অধীনে, Allow AAA Override এবং NAC State সক্রিয় করুন।
Purple অ্যাকাউন্টিং মেথড লিস্টটি অ্যাসাইন করুন।

CLI সমতুল্য:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: মাল্টি-টেন্যান্ট বা IoT ডেপ্লয়মেন্টের জন্য iPSK কনফিগার করুন

iPSK-এর জন্য, WLAN কনফিগারেশন গেস্ট সেটআপ থেকে ভিন্ন হয়। WLAN-টি MAC ফিল্টারিং সক্রিয় সহ WPA2-PSK ব্যবহার করে, এবং RADIUS সার্ভার থেকে প্রতি-ক্লায়েন্ট PSK এবং VLAN গ্রহণ করার জন্য Policy Profile-এ AAA Override সক্রিয় থাকে।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS সার্ভার (যা Purple বা আপনার RADIUS প্ল্যাটফর্মে কনফিগার করা হয়েছে) প্রতি টেন্যান্ট গ্রুপ অনুযায়ী নিম্নলিখিত অ্যাট্রিবিউটগুলো রিটার্ন করে:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

সর্বোত্তম অনুশীলন (Best practices)

প্রতিষ্ঠিত মানদণ্ড মেনে চললে আপনার ডেপ্লয়মেন্ট জুড়ে স্থায়িত্ব, নিরাপত্তা এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত হয়।

কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন। 802.1X ডেপ্লয় করার সময়, MDM-এর মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোকে এমনভাবে কনফিগার করুন যাতে তারা আপনার RADIUS সার্ভারের সার্টিফিকেট অথরিটিকে স্পষ্টভাবে বিশ্বাস করে এবং প্রত্যাশিত সার্ভারের নাম নির্দিষ্ট করে। এটি প্রয়োগ করতে ব্যর্থ হলে ক্লায়েন্টরা রোগ অ্যাক্সেস পয়েন্ট (rogue access point) আক্রমণের ঝুঁকিতে পড়ে, যেখানে আক্রমণকারী ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য একটি প্রতারণামূলক সার্টিফিকেট প্রদর্শন করে। এটি একটি কঠোর প্রয়োজনীয়তা, কোনো সাধারণ সুপারিশ নয়।

নেটওয়ার্ক লেয়ারে গেস্ট ট্রাফিক আইসোলেট করুন। গেস্ট WiFi অবশ্যই একটি ডেডিকেটেড VLAN-এ শেষ হতে হবে যা সমস্ত কর্পোরেট রিসোর্স থেকে ফায়ারওয়াল দ্বারা সুরক্ষিত। PCI DSS 4.0 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট পাবলিক নেটওয়ার্ক থেকে আইসোলেট করা আবশ্যক। VLAN 20-এ থাকা একজন গেস্টের যেন VLAN 10-এ থাকা কর্পোরেট নেটওয়ার্কে যাওয়ার কোনো রুট না থাকে।

IoT ডিভাইসের জন্য iPSK ব্যবহার করুন, MAC Authentication Bypass নয়। MAC অ্যাড্রেসগুলো প্লেইনটেক্সটে ব্রডকাস্ট হয় এবং এগুলো স্পুফ (spoof) করা অত্যন্ত সহজ। iPSK হেডলেস ডিভাইসগুলোর জন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। ডিসপ্লে এবং IoT ডিভাইসগুলো কীভাবে ওয়্যারলেস প্রোটোকলের সাথে ইন্টারঅ্যাক্ট করে সে সম্পর্কে নির্দেশনার জন্য, What Is Wireless Display: Protocols & Best Practices 2026 দেখুন।

ব্যবহারের স্পষ্ট শর্তাবলী (Terms of Use) নির্ধারণ করুন। অ্যাক্সেস দেওয়ার আগে আপনার Captive Portal-এ অবশ্যই একটি ব্যবহারের শর্তাবলীর চুক্তি প্রদর্শন করতে হবে। ডেটা সংগ্রহের জন্য এটি একটি GDPR প্রয়োজনীয়তা এবং নেটওয়ার্ক ব্যবহারের নীতিমালার জন্য একটি আইনি বাধ্যবাধকতা। অভ্যন্তরীণ স্টাফ নেটওয়ার্কের জন্য, Staff WiFi Terms and Conditions: Legal and Compliance Essentials দেখুন।RADIUS রিডানডেন্সি স্থাপন করুন। সর্বদা একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এই উদ্দেশ্যে দুটি সার্ভার IP অ্যাড্রেস প্রদান করে। একটি একক RADIUS সার্ভার ব্যর্থ হলে সমস্ত গেস্ট লগইন বন্ধ হয়ে যাবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সতর্কতার সাথে কনফিগার করার পরেও, ইন্টিগ্রেশন সংক্রান্ত সমস্যা দেখা দিতে পারে। সমস্যা আরও বড় হওয়ার আগে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো সুশৃঙ্খলভাবে সমাধান করুন।

সমস্যা: গেস্টরা কানেক্ট করছেন কিন্তু স্প্ল্যাশ পেজটি প্রদর্শিত হচ্ছে না।

এটি সবচেয়ে সাধারণ সমস্যা। প্রি-অথেনটিকেশন ACL মূলত DNS ব্লক করছে। DNS ছাড়া, ক্লায়েন্ট প্রাথমিক HTTP রিকোয়েস্ট সমাধান করতে পারে না এবং অপারেটিং সিস্টেম Captive Portal মিনি-ব্রাউজারটি ট্রিগার করবে না। আপনার ওয়াল্ড গার্ডেন ACL-এ DNS সার্ভারগুলোর জন্য UDP পোর্ট ৫৩ অনুমোদিত কিনা তা যাচাই করুন। WLC-তে, ক্লায়েন্টটি Run স্টেটের পরিবর্তে Webauth Pending স্টেটে আছে কিনা তা নিশ্চিত করতে show wireless client summary রান করুন।

সমস্যা: iPSK ক্লায়েন্টরা কানেক্ট হতে ব্যর্থ হচ্ছে বা ভুল VLAN-এ ল্যান্ড করছে।

Tunnel-Private-Group-ID-তে নির্দিষ্ট করা VLAN-টি WLC-তে নেই, অথবা cisco-av-pair অ্যাট্রিবিউটগুলো ত্রুটিপূর্ণ। র-RADIUS রেসপন্স পরীক্ষা করতে WLC-তে debug radius all রান করুন। VLAN ID-টি Configuration > Layer 2 > VLAN > VLAN List-এর অধীনে তৈরি করা হয়েছে কিনা তা যাচাই করুন।

সমস্যা: 802.1X স্টাফ ক্লায়েন্টরা মাঝে মাঝে অথেনটিকেট হতে ব্যর্থ হচ্ছে।

এটি সাধারণত একটি RADIUS সার্ভার টাইমআউট বা ক্লায়েন্টের সার্টিফিকেট ট্রাস্ট সংক্রান্ত সমস্যা। Access-Reject মেসেজগুলোর জন্য RADIUS সার্ভার লগ পরীক্ষা করুন। Windows ক্লায়েন্টগুলোতে, WiFi প্রোফাইলটি সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়েছে কিনা এবং সঠিক ট্রাস্টেড CA নির্দিষ্ট করে কিনা তা যাচাই করুন।

সমস্যা: Purple থেকে পাঠানো CoA, WLC দ্বারা প্রসেস হচ্ছে না।

CoA শেয়ার্ড সিক্রেট অবশ্যই WLC-তে কনফিগার করা RADIUS শেয়ার্ড সিক্রেটের সাথে মিলতে হবে। IOS-XE 17.4 এবং পরবর্তী সংস্করণগুলোতে, CoA কি (key) শেয়ার্ড সিক্রেট থেকে আলাদাভাবে কনফিগার করা হয়। উভয়ই Purple পোর্টালের মানগুলোর সাথে মিলছে কিনা তা যাচাই করুন।

ROI এবং ব্যবসায়িক প্রভাব

বেসিক PSK নেটওয়ার্ক থেকে Purple-এর সাথে একটি সুগঠিত, আইডেন্টিটি-ভিত্তিক আর্কিটেকচারে রূপান্তর Hospitality , Retail , Healthcare , এবং Transport ভার্টিক্যাল জুড়ে পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে।

প্রথমত, এই আর্কিটেকচারটি শেয়ার্ড পাসওয়ার্ড পরিচালনার অপারেশনাল খরচ দূর করে। যখন কর্মীরা চলে যান, আপনি তাদের সার্টিফিকেট রিভোক বা বাতিল করে দেন। আপনাকে একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় না এবং এস্টেটের প্রতিটি ডিভাইস আপডেট করতে হয় না। দ্বিতীয়ত, Purple-এর Captive Portal-এর সাথে ইন্টিগ্রেশন একটি IT কস্ট সেন্টারকে রেভিনিউ ড্রাইভারে পরিণত করে। Purple-এর প্ল্যাটফর্ম প্রতিটি লগইনে সম্মতিপূর্ণ ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা স্বয়ংক্রিয় মার্কেটিং ক্যাম্পেইন এবং ভিজিটর অ্যানালিটিক্স সক্ষম করে। Purple নেটওয়ার্ক জুড়ে সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্টের মাধ্যমে (Purple-এর অভ্যন্তরীণ ডেটা), প্ল্যাটফর্মটি ভিজিটরদের আচরণ, ডুয়েলিং টাইম এবং রিটার্ন রেট সম্পর্কে কার্যকরী ইনসাইট প্রদান করে।

ভিজিটরদের সন্তুষ্টি বোঝার জন্য যে সমস্ত ভেন্যু অপারেটররা সমীক্ষা বা সার্ভে পরিচালনা করছেন, তাদের জন্য Purple প্ল্যাটফর্মটি সরাসরি রিসার্চ ওয়ার্কফ্লো-এর সাথে একীভূত হয়। Captive Portal-এর মাধ্যমে বিতরণ করা কার্যকর ভেন্যু সমীক্ষাগুলো সাজানোর নির্দেশনার জন্য Design of a Survey: A Practical Guide for Venues দেখুন।

Cisco-এর এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যারকে Purple-এর ক্লাউড ওভারলে-র সাথে একীভূত করার মাধ্যমে, আপনি একটি সুরক্ষিত, স্কেলযোগ্য নেটওয়ার্ক লাভ করবেন যা ভেন্যুর বাণিজ্যিক লক্ষ্য অর্জনে সক্রিয়ভাবে অবদান রাখে। Purple হলো ISO 27001 সার্টিফাইড, GDPR এবং CCPA কমপ্লায়েন্ট, Cyber Essentials সার্টিফাইড এবং B Corp সার্টিফাইড - যা এন্টারপ্রাইজ প্রকিউরমেন্ট টিমের কমপ্লায়েন্স সংক্রান্ত প্রয়োজনীয়তাগুলো পূরণ করে।

Definizioni chiave

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce la gestione centralizzata di Authentication, Authorization, e Accounting (AAA) per l'accesso alla rete. Definito nelle specifiche RFC 2865 e RFC 2866.

I team IT configurano il Cisco WLC per inoltrare le credenziali dei client al server RADIUS, che le verifica rispetto a una directory e restituisce una risposta Access-Accept o Access-Reject insieme agli attributi dei criteri.

Captive Portal

Una pagina web che l'utente di una rete ad accesso pubblico deve visualizzare e con cui deve interagire prima che venga concesso l'accesso a Internet. Implementata tramite reindirizzamento HTTP da parte del dispositivo di accesso alla rete.

Utilizzato nelle distribuzioni WiFi per ospiti per acquisire i dati dei visitatori, presentare le condizioni d'uso o mostrare contenuti di brand prima di consentire l'accesso a Internet. Purple fornisce l'infrastruttura ospitata del Captive Portal.

iPSK (Identity Pre-Shared Key)

Una funzionalità Cisco che consente di assegnare chiavi pre-condivise (Pre-Shared Keys) univoche a diversi utenti o gruppi di dispositivi sullo stesso SSID, con la PSK fornita per singolo client da un server RADIUS.

Essenziale per i dispositivi IoT o per ambienti multi-tenant in cui lo standard 802.1X non è fattibile ma è richiesta la segmentazione della rete. Elimina la necessità di trasmettere più SSID.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC). Fornisce un meccanismo di autenticazione che blocca tutto il traffico dati da un dispositivo fino a quando il server RADIUS non ha confermato l'autorizzazione.

La base del WiFi aziendale per il personale, che garantisce che solo i dispositivi aziendali autorizzati con credenziali o certificati validi possano accedere alle risorse interne.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione basato su certificati che richiede certificati digitali sia sul server RADIUS che sul dispositivo client, eliminando completamente le password.

Il metodo più sicuro per l'autenticazione dei dispositivi aziendali. I certificati vengono distribuiti tramite MDM. L'accesso viene revocato invalidando il certificato, non modificando una password condivisa.

Walled garden

Un ambiente di rete limitato che controlla l'accesso dell'utente ai contenuti web prima che si sia autenticato completamente. Implementato come ACL di pre-autenticazione sul WLC.

Configurato sul Cisco WLC per consentire l'accesso alla splash page di Purple, al DNS e ai provider di login social prima che all'ospite venga concesso l'accesso completo a Internet.

Assegnazione VLAN dinamica

Il processo di inserimento automatico di un dispositivo connesso su una specifica rete Virtual LAN in base agli attributi di autorizzazione RADIUS restituiti al momento dell'autenticazione.

Garantisce che il personale, gli ospiti e i dispositivi IoT vengano inseriti automaticamente in segmenti di rete isolati al momento della connessione, senza configurazione manuale per singolo dispositivo.

Change of Authorization (CoA)

Un'estensione RADIUS (RFC 5176) che consente al server RADIUS di modificare dinamicamente gli attributi di autorizzazione della sessione di un client già connesso.

Richiesto per i Captive Portal. Una volta che l'ospite si autentica sulla splash page di Purple, Purple invia un messaggio di CoA al WLC per far passare il client dallo stato di walled garden di pre-autenticazione all'accesso completo a Internet.

Central Web Authentication (CWA)

Un metodo di autenticazione Cisco in cui il server RADIUS (anziché il WLC) ospita o reindirizza al portale di autenticazione web, abilitando soluzioni di Captive Portal ospitate in cloud.

Utilizzato per integrare il Cisco WLC con il Captive Portal ospitato in cloud di Purple, consentendo a Purple di gestire l'esperienza di autenticazione degli ospiti e l'acquisizione dei dati.

Esempi pratici

Un grande centro commerciale deve fornire un Wi-Fi sicuro e privato a 50 negozianti inquilini utilizzando un singolo Cisco Catalyst 9800 WLC e un singolo SSID di trasmissione. Ogni inquilino deve essere isolato dai dispositivi di tutti gli altri. Come si può ottenere questo risultato senza trasmettere 50 SSID separati?

Il team IT distribuisce Cisco iPSK. Configura un singolo SSID denominato "Mall-Tenant-WiFi" con WPA2-PSK e filtraggio MAC abilitato. Nel server RADIUS, crea 50 gruppi di identità di endpoint, uno per ogni inquilino. A ciascun gruppo viene assegnata una PSK univoca tramite l'attributo cisco-av-pair psk= e un ID VLAN univoco tramite l'attributo IETF Tunnel-Private-Group-ID. Quando il dispositivo POS di un negozio si connette utilizzando la sua password specifica, il WLC invia una richiesta di autenticazione MAC al server RADIUS. Il server associa l'indirizzo MAC al gruppo dell'inquilino e restituisce la PSK e l'assegnazione della VLAN. Il WLC elabora gli attributi, convalida la PSK e inserisce il dispositivo nella VLAN isolata dell'inquilino. L'impostazione peer-blocking allow-private-group garantisce che i dispositivi che condividono la stessa PSK possano comunicare tra loro, mentre ai dispositivi su PSK diverse viene impedita la comunicazione tra inquilini diversi.

Commento dell'esaminatore: Questo approccio offre un'eccellente scalabilità. La trasmissione di 50 SSID separati causerebbe gravi interferenze co-canale in un ambiente ad alta densità, riducendo le prestazioni per tutti gli utenti. Ogni SSID aggiuntivo consuma tempo di trasmissione con i frame di gestione. iPSK offre la sicurezza e la segmentazione di 50 reti separate con l'efficienza RF di una sola. Il compromesso è che il server RADIUS diventa una dipendenza critica: assicurati che sia altamente disponibile.

Una struttura Premier Inn da 300 camere sta migrando dagli account guest WLC locali al Captive Portal in cloud di Purple. Dopo aver applicato la configurazione, i clienti segnalano di connettersi all'SSID Wi-Fi, di ricevere un indirizzo IP, ma i loro dispositivi mostrano "Nessuna connessione Internet" e la splash page non compare mai. Qual è il processo di diagnostica?

Passo 1: Verificare lo stato del client sul WLC utilizzando show wireless client detail <mac-address>. Il client dovrebbe trovarsi nello stato "Webauth Pending". Se mostra "Run", l'ACL di pre-autenticazione non è applicata correttamente. Passo 2: Controllare l'ACL di pre-autenticazione. La causa più comune di questo sintomo è che l'ACL blocca il DNS (porta UDP 53). Senza DNS, il client non può risolvere alcun dominio e il meccanismo di rilevamento del Captive Portal del sistema operativo fallisce in modo silenzioso. Aggiungere una regola di autorizzazione esplicita per la porta UDP 53 verso gli IP dei server DNS della struttura. Passo 3: Verificare che i domini del walled garden di Purple siano consentiti nell'ACL. Il client deve essere in grado di raggiungere l'URL della splash page di Purple prima dell'autenticazione. Passo 4: Confermare che l'indirizzo IP virtuale del WLC sia stato modificato da quello predefinito 1.1.1.1 a un indirizzo non instradabile come 192.0.2.1, poiché l'indirizzo predefinito può entrare in conflitto con il traffico internet legittimo.

Commento dell'esaminatore: Il sintomo "Nessuna connessione Internet" senza reindirizzamento è quasi sempre un problema di DNS o di ACL del walled garden. I sistemi operativi moderni (iOS, Android, Windows, macOS) utilizzano il rilevamento del Captive Portal effettuando richieste HTTP a URL noti. Se il DNS non funziona, queste richieste non possono essere eseguite e il sistema operativo non avvia mai il browser del Captive Portal. Consenti sempre il DNS nell'ACL di pre-autenticazione: questo è l'errore di distribuzione più comune che riscontriamo.

Domande di esercitazione

Q1. Stai implementando la rete Staff WiFi in 40 filiali di vendita al dettaglio utilizzando i WLC Cisco Catalyst 9800. Desideri utilizzare 802.1X, ma l'azienda non dispone ancora di una soluzione MDM per distribuire i certificati agli smartphone dei dipendenti. Qual è l'approccio praticabile più sicuro e quale mitigazione del rischio devi implementare?

Suggerimento: Considera il bilancio tra sicurezza delle credenziali e fattibilità dell'implementazione quando i certificati non sono ancora un'opzione. Concentrati sul rischio specifico derivante dal metodo alternativo.

Visualizza risposta modello

Implementa PEAP-MSCHAPv2 come misura provvisoria. Pur non essendo sicuro come EAP-TLS, fornisce l'autenticazione tramite password crittografata all'interno di un tunnel TLS. La mitigazione critica del rischio consiste nell'imporre la convalida del certificato del server su ogni dispositivo client. Per i laptop Windows, distribuisci un Group Policy Object che specifichi l'esatta Autorità di Certificazione attendibile e il nome del server RADIUS previsto nel profilo WiFi. Per i dispositivi iOS e Android, distribuisci un profilo di configurazione WiFi tramite e-mail o uno strumento leggero senza MDM che imponga la convalida del certificato. Senza questo passaggio, un utente malintenzionato potrebbe distribuire un access point non autorizzato con un certificato fraudolento e intercettare le credenziali. Pianifica la migrazione a EAP-TLS non appena l'MDM sarà disponibile.

Q2. Il direttore IT di uno stadio deve segmentare le emittenti multimediali, i terminali di biglietteria e i sensori IoT HVAC su reti isolate separate. I sensori IoT non supportano 802.1X. Tutti e tre i gruppi devono utilizzare il WiFi. Come deve essere configurato il WLC?

Suggerimento: Cerca una soluzione che fornisca credenziali uniche e assegnazione VLAN per gruppo di dispositivi senza richiedere supplicant enterprise sui dispositivi headless.

Visualizza risposta modello

Implementa Cisco iPSK con un singolo SSID per le operazioni dell'impianto. Crea tre gruppi di identità di endpoint nel server RADIUS: Emittenti, Biglietteria e HVAC. Assegna a ciascun gruppo una PSK unica tramite cisco-av-pair e un ID VLAN unico tramite Tunnel-Private-Group-ID. Configura la WLAN del WLC con WPA2-PSK, filtro MAC abilitato e AAA Override attivo. Le emittenti ricevono PSK-A e VLAN 31, la biglietteria riceve PSK-B e VLAN 32 e i sensori HVAC ricevono PSK-C e VLAN 33. Imposta peer-blocking su allow-private-group in modo che i dispositivi all'interno dello stesso gruppo possano comunicare (ad esempio, i terminali di biglietteria con il loro server), mentre la comunicazione tra gruppi diversi viene bloccata. In questo modo si evita il MAC Authentication Bypass, che verrebbe facilmente violato tramite spoofing.

Q3. Durante l'implementazione del Guest WiFi presso un centro congressi, i client si connettono all'SSID e ricevono un indirizzo IP, ma il reindirizzamento al Captive Portal non avviene mai. L'ACL del walled garden consente il traffico verso tutti gli intervalli IP di Purple. Qual è l'elemento di configurazione mancante più probabile e come lo verifichi?

Suggerimento: Pensa ai protocolli richiesti prima che un dispositivo client possa effettuare una richiesta HTTP.

Visualizza risposta modello

La causa più probabile è che l'ACL di pre-autenticazione blocchi il traffico DNS (porta UDP 53). Prima che un dispositivo client possa effettuare la richiesta HTTP che il WLC intercetta per attivare il reindirizzamento, deve risolvere il nome di dominio tramite DNS. I moderni meccanismi di rilevamento del Captive Portal dei sistemi operativi (captive.apple.com di Apple, www.msftconnecttest.com di Microsoft, connectivitycheck.gstatic.com di Google) richiedono tutti la risoluzione DNS. Per verificare: esegui 'show wireless client detail ' sul WLC e conferma che il client si trovi nello stato 'Webauth Pending'. Quindi controlla i contatori di hit dell'ACL per verificare se il traffico DNS viene rifiutato. Risolvi il problema aggiungendo una regola di autorizzazione esplicita per la porta UDP 53 verso gli IP del server DNS dell'impianto nell'ACL del walled garden.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.