Vai al contenuto principale
Italiano

Come configurare il WiFi ospiti e i Captive Portal su Ruijie Networks

Questa guida tecnica descrive in dettaglio la configurazione del WiFi ospiti e dei Captive Portal sull'hardware Ruijie Networks, coprendo sia i portali cloud nativi sia le integrazioni RADIUS esterne. Fornisce ai manager IT e agli architetti di rete passaggi pratici per l'isolamento VLAN, la configurazione del walled garden e l'integrazione con piattaforme di terze parti per promuovere l'analisi dei dati e i ricavi.

📖 6 minuti di lettura📝 1,489 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come configurare il WiFi ospiti e i Captive Portal su Ruijie Networks Un briefing tecnico Purple - Circa 10 minuti INTRODUZIONE E CONTESTO - 1 minuto Benvenuti al briefing tecnico Purple. Sono il vostro ospite e nei prossimi dieci minuti copriremo tutto ciò che c'è da sapere sulla configurazione del WiFi ospiti e dei Captive Portal sull'hardware Ruijie Networks. Se siete manager IT, architetti di rete o direttori operativi di hotel, catene di negozi, stadi o centri congressi, e avete apparecchiature Ruijie in loco o le state valutando, questo briefing fa al caso vostro. Ruijie Networks è uno dei vendor wireless aziendali in più rapida crescita a livello globale. I loro controller della serie RG-WS, i gateway Reyee EG e gli access point gestiti in cloud sono ora distribuiti in migliaia di sedi in Europa, Medio Oriente, Asia e oltre. Ma configurare correttamente il WiFi ospiti sull'hardware Ruijie, in particolare la parte relativa al Captive Portal, richiede la comprensione preliminare di alcune decisioni architetturali. Sbagliando queste decisioni, vi ritroverete con un portale che si blocca su iOS, ospiti che non riescono ad autenticarsi e una rete troppo aperta o troppo bloccata. Risolviamo questo problema. APPROFONDIMENTO TECNICO - 5 minuti Innanzitutto, l'architettura. Ruijie offre tre diversi modelli di distribuzione per il WiFi ospiti, e la scelta di quello giusto dipende dalla vostra scala e dal vostro approccio di gestione. Il primo modello è il portale gestito da Ruijie Cloud o JaCS. Questa è l'opzione nativa e integrata. Accedete a Ruijie Cloud, andate su Device Config, poi su Basic, create o modificate il vostro SSID ospiti, abilitate l'opzione Authentication e selezionate Captive Portal come modalità. La piattaforma JaCS di Ruijie, che è il loro sistema di gestione focalizzato sull'ospitalità, supporta gli scenari Hotel e Other e offre un costruttore di portali drag-and-drop con opzioni di accesso che includono l'accesso con un clic, codici voucher e accesso basato su account. Questa è la scelta giusta per distribuzioni più piccole: un singolo hotel, un negozio boutique o un centro congressi che desidera una splash page rapida e personalizzata senza dipendenze esterne. Il secondo modello è il Captive Portal esterno tramite WISPr e RADIUS. Questo è l'approccio di livello enterprise ed è ciò di cui avete bisogno quando desiderate integrare Ruijie con una piattaforma di intelligence WiFi ospiti di terze parti, come Purple. Qui, andate su Auth and Account nell'interfaccia Ruijie, selezionate Captive Portal, impostate la Policy Mode su External e indirizzate l'URL del Portal Server alla vostra piattaforma esterna. Configurate quindi un gruppo di server RADIUS con le credenziali fornite dalla vostra piattaforma. Il protocollo WISPr gestisce il reindirizzamento e l'handshake di autenticazione tra il gateway Ruijie e il portale esterno. Questo modello si adatta a centinaia di siti, offre analisi centralizzate e consente di eseguire flussi di lavoro di acquisizione dati conformi al GDPR. Il terzo modello è la modalità AP autonoma. Gli access point Reyee di Ruijie con ReyeeOS versione 1.219 o successiva possono eseguire un Captive Portal locale senza un gateway, il che è utile per distribuzioni temporanee o piccoli siti senza un router EG. Ora, l'elemento critico che la maggior parte delle guide tralascia: l'isolamento VLAN. Quando si crea un SSID ospiti su Ruijie, si hanno due opzioni di inoltro: modalità NAT e modalità VLAN. La modalità NAT è più semplice. Il gateway assegna ai dispositivi degli ospiti indirizzi da un pool dedicato, in genere 192.168.23.0 slash 24 per impostazione predefinita, e tutto il traffico degli ospiti viene sottoposto a NAT verso Internet. Funziona, ma offre meno controllo. La modalità VLAN è la scelta giusta per qualsiasi distribuzione seria. Si assegna l'SSID ospiti a una VLAN dedicata, ad esempio la VLAN 100, e si utilizzano le ACL sul gateway per impedire al traffico degli ospiti di raggiungere la VLAN aziendale. Il pattern dei comandi CLI si presenta così: si crea una lista di accesso estesa, si nega il traffico IP dalla sottorete ospiti alla sottorete aziendale, si consente tutto il resto e si applica tale lista di accesso in entrata sull'interfaccia BVI ospiti. Questo è lo stesso principio che si applicherebbe su Cisco Meraki, HPE Aruba o Ruckus; Ruijie ha semplicemente la propria sintassi CLI. Gli standard di sicurezza sono importanti in questo contesto. Ruijie supporta WPA3-Personal e la modalità mista WPA2/WPA3 sugli SSID ospiti. Per una rete ospiti in cui si desidera un accesso senza attriti, in genere si esegue un SSID aperto con autenticazione tramite Captive Portal anziché una chiave precondivisa. Il Captive Portal diventa il vostro livello di autenticazione. Se avete bisogno di una sicurezza più forte, ad esempio per un ambiente sanitario o di servizi finanziari, potete aggiungere il protocollo IEEE 802.1X, utilizzando EAP-TLS o PEAP con un server RADIUS per l'autenticazione basata su certificati o credenziali. I controller della serie RG-WS di Ruijie supportano l'802.1X completo con assegnazione dinamica della VLAN, il che significa che è possibile inviare VLAN diverse a diversi gruppi di utenti in base agli attributi RADIUS. Il walled garden, o allowlist, è un'altra area che spesso mette in difficoltà. Prima che un ospite si autentichi tramite il Captive Portal, il suo dispositivo può raggiungere solo i domini esplicitamente inseriti nella whitelist. Come minimo, è necessario consentire il dominio e l'indirizzo IP della piattaforma del portale, eventuali provider di social login in uso e l'endpoint di rilevamento del Captive Portal di Apple, ovvero captive.apple.com. Se dimenticate quest'ultimo, i dispositivi iOS mostreranno un'esperienza di portale non funzionante. Configurate la allowlist in Ruijie Cloud sotto Auth and Account, quindi Allowlist. RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI - 2 minuti Permettetemi di presentarvi le quattro decisioni che determinano il successo o il fallimento della vostra distribuzione del WiFi ospiti Ruijie. Decisione uno: portale nativo rispetto a piattaforma esterna. Se gestite più di cinque siti o se avete bisogno di acquisire dati di prima parte per il marketing, utilizzate una piattaforma esterna. Purple, ad esempio, opera come un overlay cloud indipendente dall'hardware in oltre 80.000 sedi attive. Indirizzate il vostro gateway Ruijie all'URL del portale di Purple, configurate le credenziali RADIUS e otterrete analisi centralizzate, acquisizione dati conforme al GDPR e integrazioni CRM, il tutto senza dover toccare nuovamente l'hardware Ruijie. Purple ha elaborato 440 million di accessi solo nel 2024 e possiede la certificazione ISO 27001, quindi la conformità è garantita. Decisione due: NAT rispetto a VLAN. Utilizzate sempre la modalità VLAN per le distribuzioni in produzione. La modalità NAT va bene per un proof of concept, ma la modalità VLAN offre un corretto isolamento a livello Layer 3, una gestione più semplice delle policy del firewall e la possibilità di applicare policy QoS per ciascuna VLAN. Decisione tre: gestione della larghezza di banda. I gateway Ruijie EG dispongono di controlli QoS integrati. Impostate limiti di download e upload per utente sull'SSID ospiti, in genere da due a cinque megabit al secondo in download per una rete ospiti standard. Ciò evita che un singolo ospite che riproduce video in streaming 4K peggiori l'esperienza di tutti gli altri. Se utilizzate una piattaforma esterna, disabilitate il Client Escape sul lato Ruijie per garantire che i controlli della larghezza di banda della piattaforma abbiano effetto correttamente. Decisione quattro: timeout della sessione e riautenticazione. Impostate un timeout di sessione ragionevole: da otto a 24 ore per il settore alberghiero, inferiore per la vendita al dettaglio o gli eventi. Ruijie consente di configurare questo parametro per ciascuna policy del portale. Abbinatelo a un URL di reindirizzamento post-accesso in modo che gli ospiti atterrino sul sito web della vostra sede o su una pagina promozionale dopo la connessione. La trappola più comune che vedo è l'implementazione di un Captive Portal senza testarlo contemporaneamente su iOS e Android. Apple e Google dispongono entrambi di meccanismi di rilevamento del Captive Portal che si comportano in modo diverso. Testateli entrambi prima della messa in servizio. La seconda trappola più comune è dimenticare di sincronizzare la configurazione del portale con il prodotto EG in JaCS: c'è un pulsante Sincronizza esplicito su cui fare clic dopo aver creato o modificato un portale, altrimenti il gateway non recepisce le modifiche. DOMANDE E RISPOSTE RAPIDE - 1 minuto Passiamo in rassegna le domande che mi vengono poste più spesso. Gli AP Ruijie possono eseguire un Captive Portal senza un gateway? Sì, su ReyeeOS 1.219 o versioni successive, ma le funzionalità sono limitate rispetto alle distribuzioni basate su gateway. Ruijie supporta l'802.1X per le reti ospiti? Sì, i controller della serie RG-WS supportano l'802.1X completo con assegnazione dinamica della VLAN tramite RADIUS. Posso integrare Ruijie con Purple? Sì. Configurate la modalità Captive Portal esterna, indirizzate l'URL del portale all'endpoint di Purple, impostate il gruppo di server RADIUS con le credenziali di Purple e aggiungete i domini di Purple alla allowlist. L'architettura indipendente dall'hardware di Purple gestirà il resto. Il WPA3 funziona con i Captive Portal? Sì. Si esegue un SSID aperto per il flusso del Captive Portal. Il WPA3 si applica agli SSID autenticati. Per le reti ospiti, il portale stesso rappresenta il livello di autenticazione. RIASSUNTO E PROSSIMI PASSI - 1 minuto In sintesi: Ruijie Networks offre una piattaforma capace e flessibile per la distribuzione del WiFi ospiti e del Captive Portal. I tre modelli di distribuzione (portale cloud nativo, portale esterno basato su RADIUS e AP autonomo) coprono qualsiasi esigenza, dall'hotel boutique a sito singolo alla catena di negozi multisito. Le decisioni chiave sono l'isolamento VLAN rispetto al NAT, l'uso di una piattaforma esterna per qualsiasi caso d'uso multisito o di acquisizione dati e una corretta configurazione del walled garden per evitare errori di autenticazione su iOS. I vostri prossimi passi: verificate le versioni attuali del firmware Ruijie per confermare la compatibilità con ReyeeOS, decidete se avete bisogno di una gestione del portale nativa o esterna e, se gestite più di cinque siti o avete bisogno di analisi dei dati, parlate con Purple per integrare la loro piattaforma con la vostra infrastruttura Ruijie. Potete trovare la documentazione di integrazione di Purple e richiedere una demo su purple.ai. Grazie per l'ascolto. Ci vediamo al prossimo briefing.

header_image.png

Sintesi esecutiva

La configurazione del WiFi ospiti e dei Captive Portal sull'hardware Ruijie Networks richiede una chiara comprensione dell'architettura della piattaforma, in particolare della scelta tra portali cloud nativi e integrazioni RADIUS esterne. Questa guida di riferimento tecnica fornisce ai manager IT, agli architetti di rete e ai direttori operativi delle sedi i passaggi definitivi per distribuire reti ospiti sicure, isolate e scalabili utilizzando i controller Ruijie RG-WS e i gateway Reyee EG. Copriamo la transizione dal forwarding NAT di base a un solido isolamento VLAN, la configurazione di Captive Portal esterni tramite WISPr e l'integrazione di piattaforme di terze parti come Purple per acquisire dati di prima parte e generare ricavi. Sia che gestiate un singolo hotel o una catena di negozi multisito, questa guida fornisce i passaggi di configurazione pratici e indipendenti dal vendor necessari per creare una rete wireless conforme e ad alte prestazioni.

Approfondimento tecnico

Ruijie Networks fornisce un'architettura wireless robusta e di livello enterprise che supporta molteplici modelli di distribuzione per l'accesso degli ospiti. La decisione fondamentale per qualsiasi architetto di rete consiste nel selezionare il flusso di autenticazione e la strategia di isolamento appropriati.

Modelli di distribuzione del Captive Portal

Ruijie supporta tre distinti modelli di distribuzione del Captive Portal, ciascuno adatto a diverse esigenze operative:

  1. Portale cloud nativo (Ruijie JaCS): la piattaforma integrata Ruijie Cloud, in particolare l'interfaccia JaCS per il settore alberghiero, fornisce un costruttore di portali drag-and-drop. Questo modello viene configurato in Device Config, dove l'autenticazione dell'SSID è impostata su Captive Portal. Supporta opzioni di accesso di base, tra cui l'accesso con un clic e i codici voucher. Questo modello è adatto per sedi a sito singolo che non richiedono analisi approfondite o l'integrazione con CRM esterni.
  2. Captive Portal esterno (WISPr/RADIUS): per le distribuzioni aziendali, la vendita al dettaglio multisito e le grandi sedi pubbliche, il modello di portale esterno è obbligatorio. Questo approccio utilizza il protocollo WISPr per reindirizzare il traffico degli ospiti verso una piattaforma di terze parti come Purple. L'autenticazione viene gestita tramite un gruppo di server RADIUS esterno che utilizza la crittografia PAP. Questo modello consente l'acquisizione avanzata dei dati, la gestione della conformità al GDPR e un'integrazione fluida con gli stack di marketing esistenti.
  3. Portale AP autonomo: gli access point Ruijie Reyee con ReyeeOS 1.219 o versioni successive supportano un Captive Portal localizzato senza richiedere un gateway EG. Questa è un'opzione di ripiego per distribuzioni temporanee, ma è priva delle robuste funzionalità di QoS e isolamento di un'architettura basata su controller.

architecture_overview.png

Isolamento di rete: NAT rispetto a VLAN

La decisione architetturale più critica riguarda le modalità di isolamento del traffico degli ospiti dalla rete aziendale. Ruijie offre due modalità di inoltro per gli SSID ospiti:

  • Modalità NAT: il gateway assegna gli indirizzi IP da un pool dedicato (impostazione predefinita 192.168.23.0/24) ed esegue il Network Address Translation prima di instradare il traffico verso Internet. Sebbene sia semplice da distribuire, questo metodo offre visibilità e controllo limitati sul traffico degli ospiti a livello Layer 3.
  • Modalità VLAN: lo standard aziendale consigliato. L'SSID ospiti è mappato su una VLAN dedicata (ad es. VLAN 100). Il gateway Reyee EG o il controller RG-WS utilizza le Access Control List (ACL) per imporre un isolamento rigoroso. È necessario configurare un'ACL estesa per negare il traffico IP dalla sottorete ospiti alla sottorete aziendale, consentendo al contempo l'accesso a Internet in uscita. Questo approccio è in linea con i principi di Enterprise WiFi Security: A Complete Guide for 2026 .

Configurazione del Walled Garden

Prima che un ospite completi l'autenticazione del Captive Portal, il suo dispositivo opera in uno stato limitato. È necessario configurare un walled garden, o allowlist, per consentire l'accesso ai servizi essenziali. Se si utilizza una piattaforma esterna, è necessario aggiungere il dominio della piattaforma, gli indirizzi IP e gli endpoint di autenticazione per eventuali provider di social login (come Facebook o Google). Fondamentalmente, è necessario includere captive.apple.com per garantire che i dispositivi iOS attivino correttamente il mini-browser del Captive Portal.

captive_portal_flow.png

Guida all'implementazione

La distribuzione di un Captive Portal esterno sull'hardware Ruijie richiede una configurazione precisa dell'SSID, delle policy di autenticazione e dei livelli di isolamento della rete. Seguite questi passaggi per integrare Ruijie con una piattaforma esterna come Purple.

Passaggio 1: Configurare l'SSID ospiti e la VLAN

  1. Accedete a Ruijie Cloud o all'interfaccia eWeb locale del vostro controller.
  2. Andate su Wireless Settings e create un nuovo SSID con un nome appropriato per la vostra sede.
  3. Impostate la Security Mode su Open. Il Captive Portal fungerà da meccanismo di autenticazione.
  4. Assegnate l'SSID alla VLAN ospiti designata. Assicuratevi che la corrispondente interfaccia VLAN sia configurata sul vostro gateway EG con un ambito DHCP.

Passaggio 2: Configurare la policy del Captive Portal esterno

  1. Andate alla sezione Auth & Account.
  2. Selezionate Captive Portal nel menu Authentication.
  3. Create una nuova policy e impostate la Policy Mode su External.
  4. Selezionate l'SSID ospiti creato al Passaggio 1.
  5. Inserite l'URL del Portal Server fornito dal vostro estpiattaforma esterna (ad es. l'endpoint del portale di Purple).
  6. Configura il gruppo di server RADIUS utilizzando gli indirizzi IP, le porte (in genere 1812 per l'autenticazione e 1813 per l'accounting) e i segreti condivisi forniti dalla tua piattaforma.

Passaggio 3: Implementa il Walled Garden

  1. Nella sezione Auth & Account, individua la configurazione della Allowlist.
  2. Aggiungi i domini e gli indirizzi IP richiesti per la tua piattaforma esterna.
  3. Aggiungi i domini per eventuali provider di identità social che intendi utilizzare.
  4. Assicurati che i domini standard di rilevamento del Captive Portal siano consentiti.

Passaggio 4: Applica l'isolamento ACL

Connettiti all'interfaccia della riga di comando del gateway o controller Ruijie per configurare l'ACL di isolamento. Questo passaggio garantisce che gli ospiti non possano raggiungere le risorse interne.

Ruijie(config)# access-list extended 107
Ruijie(config-ext-nacl)# deny ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
Ruijie(config-ext-nacl)# permit ip any any
Ruijie(config-ext-nacl)# exit
Ruijie(config)# interface BVI 100
Ruijie(config-if-BVI 100)# access-group 107 in

Best Practice

Per garantire un'esperienza WiFi per gli ospiti affidabile e sicura, attieniti a queste best practice standard del settore:

  • Usa l'autenticazione esterna per la scalabilità: Se gestisci più sedi o richiedi analisi dettagliate sul Guest WiFi , bypassa il portale nativo e utilizza un'integrazione RADIUS esterna. Le piattaforme come Purple offrono una gestione indipendente dall'hardware, consentendoti di standardizzare l'esperienza degli ospiti su hardware Ruijie, Cisco Meraki, HPE Aruba e Ruckus.
  • Implementa la larghezza di banda a livelli: Utilizza le funzionalità QoS sul gateway Ruijie EG per applicare limiti di larghezza di banda per utente. Offri un livello base gratuito (ad es. 5 Mbps) e integralo con un gateway di pagamento tramite il tuo portale esterno per offrire un livello premium ad alta velocità. Questo crea un flusso di entrate diretto dalla tua infrastruttura.
  • Sincronizza le configurazioni: Quando utilizzi la piattaforma Ruijie JaCS, devi fare clic esplicitamente sul pulsante Sincronizza dopo aver modificato una policy del Captive Portal. In caso contrario, il gateway EG non riceverà la configurazione aggiornata, causando un comportamento incoerente del portale.
  • Rispetta le normative sulla privacy dei dati: Assicurati che il tuo Captive Portal includa opt-in espliciti e consapevoli per le comunicazioni di marketing. Quando utilizzi Purple, la piattaforma gestisce automaticamente la conformità a GDPR e CCPA, fornendo un livello sicuro di privacy dei dati. Consulta La guida dell'amministratore di rete alla conformità al GDPR e alla privacy dei dati degli ospiti per i requisiti dettagliati.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una configurazione attenta, le distribuzioni del Captive Portal possono riscontrare problemi. Ecco le modalità di errore più comuni e come risolverle:

  • I dispositivi iOS non mostrano il portale: Questo è quasi sempre un problema di walled garden. I dispositivi Apple controllano captive.apple.com per determinare se si trovano dietro un portale. Se questo dominio è bloccato, il dispositivo presuppone di avere un accesso completo a Internet e non riesce ad avviare l'assistente di rete captive. Verifica la configurazione della tua allowlist.
  • Gli ospiti non riescono a autenticarsi tramite RADIUS: Controlla il segreto condiviso RADIUS e le configurazioni delle porte sul gateway Ruijie. Assicurati che l'indirizzo IP pubblico del gateway sia registrato correttamente sulla tua piattaforma esterna. Utilizza gli strumenti di diagnostica Ruijie per verificare la raggiungibilità di RADIUS.
  • I limiti di larghezza di banda vengono ignorati: Se utilizzi una piattaforma esterna per applicare i livelli di larghezza di banda, devi disabilitare la funzione Client Escape sul gateway Ruijie. Se Client Escape è attivo, il gateway potrebbe bypassare le istruzioni QoS della piattaforma esterna.
  • Il traffico degli ospiti raggiunge la rete aziendale: Verifica la configurazione dell'ACL. Assicurati che l'access list estesa sia applicata in ingresso sulla VLAN o sull'interfaccia BVI corretta. Testa l'isolamento connettendo un dispositivo all'SSID ospite e provando a effettuare il ping di un indirizzo IP interno noto.

ROI e impatto aziendale

La distribuzione di un Captive Portal robusto su hardware Ruijie trasforma il WiFi degli ospiti da un costo irrecuperabile a una risorsa aziendale misurabile. Integrando una piattaforma esterna di WiFi Analytics come Purple, le strutture possono ottenere ritorni significativi.

  • Acquisizione di dati di prima parte: Il Captive Portal funge da punto di acquisizione dati primario. Offrendo WiFi gratuito in cambio di un indirizzo e-mail o di un login social, le strutture creano un ricco database di profili dei clienti. Questi dati alimentano campagne di marketing mirate, aumentando il customer lifetime value.
  • Efficienza operativa: La gestione cloud centralizzata tramite Ruijie Cloud e Purple riduce il tempo che i team IT dedicano alla risoluzione dei problemi di rete locale. La natureza indipendente dall'hardware dell'overlay consente di aggiornare o sostituire gli access point senza dover ricostruire l'intero stack di analisi.
  • Generazione di entrate dirette: L'implementazione di modelli di larghezza di banda a livelli consente alle strutture di monetizzare direttamente la rete. Ad esempio, AGS Airports ha implementato una strategia WiFi a livelli e ha registrato un ritorno sull'investimento dell'842%.
  • Esperienza del visitatore migliorata: Un'esperienza di accesso fluida e personalizzata con il brand migliora la soddisfazione del cliente. In settori come l' Ospitalità e il Retail , una connettività affidabile è un'aspettativa di base; fornirla in modo sicuro rafforza la fiducia nel brand.

Definizioni chiave

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Il meccanismo principale per autenticare gli ospiti e acquisire dati di prima parte su una rete wireless Ruijie.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (Authentication, Authorization, and Accounting).

Utilizzato per connettere in modo sicuro i gateway Ruijie a piattaforme esterne come Purple per l'autenticazione degli ospiti.

Walled Garden

Una allowlist di domini e indirizzi IP a cui un dispositivo ospite può accedere prima di completare l'autenticazione del Captive Portal.

Essenziale per consentire il funzionamento dei provider di social login e dei meccanismi di rilevamento del Captive Portal (come il CNA di Apple).

VLAN Isolation

La pratica di assegnare il traffico degli ospiti a una Virtual Local Area Network separata e utilizzare le Access Control List per impedire la comunicazione con le reti aziendali interne.

La postura di sicurezza standard per le distribuzioni di WiFi ospiti aziendali su hardware Ruijie.

WISPr

Wireless Internet Service Provider roaming. Un protocollo che consente agli utenti di spostarsi tra diversi provider wireless, spesso utilizzato per gestire il reindirizzamento a Captive Portal esterni.

Il meccanismo sottostante utilizzato da Ruijie quando la policy del Captive Portal è impostata su modalità External.

Ruijie JaCS

La piattaforma di gestione cloud di Ruijie specificamente progettata per scenari alberghieri e ricettivi, che offre strumenti nativi per la creazione di Captive Portal.

Utilizzato per la gestione di distribuzioni su sito singolo che non richiedono piattaforme esterne di acquisizione dati.

Reyee EG Gateway

La linea di router di sicurezza aziendali di Ruijie che gestiscono il routing, le policy del firewall e il reindirizzamento del Captive Portal per la rete wireless.

Il componente hardware centrale in cui vengono applicate le configurazioni ACL e RADIUS in una distribuzione Ruijie.

Client Escape

Una funzionalità sui gateway Ruijie che, se abilitata, può consentire ai client di aggirare determinate restrizioni QoS o del portale.

Deve essere disabilitato quando si utilizza una piattaforma esterna per applicare limiti di larghezza di banda a livelli.

Esempi pratici

Un hotel da 200 camere che distribuisce access point Ruijie RG-AP e un gateway EG deve fornire WiFi ospiti gratuito acquisendo al contempo gli indirizzi e-mail per il proprio database di marketing. Richiede inoltre un isolamento rigoroso dalla rete del proprio sistema di gestione immobiliare (PMS).

Il team IT configura un nuovo SSID Open assegnato alla VLAN 100. Sul gateway EG, configura un'ACL estesa per negare il traffico dalla VLAN 100 alla VLAN PMS, applicandola in entrata sull'interfaccia ospiti. Imposta la policy del Captive Portal in modalità External, indirizzando l'URL del Portal Server alla piattaforma di Purple. Configura il gruppo di server RADIUS con le credenziali di Purple e aggiunge i domini di Purple alla allowlist. La piattaforma Purple gestisce la splash page personalizzata e il flusso di lavoro per l'acquisizione delle e-mail.

Commento dell'esaminatore: Questo approccio utilizza correttamente l'isolamento VLAN anziché il NAT di base, garantendo la sicurezza del PMS. Sfruttando un portale esterno tramite RADIUS, l'hotel ottiene funzionalità di acquisizione dati conformi al GDPR che il portale nativo Ruijie non è in grado di fornire a livello enterprise.

Una catena di negozi con 50 sedi sta implementando l'hardware Ruijie. I clienti segnalano che quando si connettono al WiFi ospiti sui loro iPhone, la schermata di accesso non viene visualizzata automaticamente, costringendoli ad aprire manualmente un browser.

L'amministratore di rete accede a Ruijie Cloud, va su Auth & Account e apre la configurazione della Allowlist. Aggiunge 'captive.apple.com' all'elenco del walled garden e sincronizza la configurazione su tutti i gateway EG dell'intera infrastruttura.

Commento dell'esaminatore: Questo risolve il classico errore del Captive Network Assistant (CNA). I dispositivi iOS richiedono l'accesso a endpoint Apple specifici per attivare il pop-up automatico del portale. L'aggiunta di questo elemento al walled garden è un passaggio obbligatorio per qualsiasi implementazione di Captive Portal.

Domande di esercitazione

Q1. Stai distribuendo il WiFi Ruijie in uno stadio. Devi acquisire i dati dei tifosi per il marketing e applicare un limite di larghezza di banda di 5 Mbps per utente. Dovresti utilizzare il portale nativo Ruijie o una piattaforma esterna, e come applichi la larghezza di banda?

Suggerimento: Considera la scala della distribuzione e i requisiti di acquisizione dei dati.

Visualizza risposta modello

È necessario utilizzare una piattaforma esterna come Purple per l'acquisizione dei dati e l'integrazione del marketing. Per applicare la larghezza di banda, configura le impostazioni QoS sul gateway Ruijie EG per l'SSID ospiti e assicurati che la funzionalità Client Escape sia disabilitata in modo che le policy della piattaforma esterna vengano rispettate.

Q2. Un cliente si lamenta del fatto che la sua rete ospiti non è sicura perché l'SSID è impostato su 'Open'. Ti chiede di implementare una chiave precondivisa (WPA2-Personal) insieme al Captive Portal. Cosa gli consigli?

Suggerimento: Considera l'esperienza utente e lo scopo del Captive Portal.

Visualizza risposta modello

Consiglia al cliente che per le reti ospiti pubbliche, l'aggiunta di una chiave precondivisa introduce un attrito non necessario senza migliorare significativamente la sicurezza, poiché la chiave deve comunque essere condivisa pubblicamente. Il Captive Portal stesso funge da livello di autenticazione e autorizzazione. Per una vera sicurezza, si dovrebbe utilizzare WPA3-Enterprise con 802.1X, ma questo è raramente adatto per l'accesso pubblico degli ospiti.

Q3. Dopo aver configurato una nuova policy di Captive Portal esterno su Ruijie Cloud e averla indirizzata a Purple, gli ospiti visualizzano ancora la pagina di accesso predefinita di Ruijie. Qual è la causa più probabile?

Suggerimento: Pensa al processo di distribuzione della configurazione nell'interfaccia Ruijie.

Visualizza risposta modello

L'amministratore ha probabilmente salvato la configurazione in Ruijie Cloud ma non ha cliccato sul pulsante Sincronizza. La configurazione non è stata inviata al gateway EG locale, che quindi continua a servire il portale locale predefinito.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle sedi un modello completo per l'implementazione di captive portal in grado di bilanciare la sicurezza di rete con un'elevata conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e l'autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Tratta dall'esperienza operativa di Purple in oltre 80.000 sedi e 440 milioni di accessi nel 2024, ogni raccomandazione si basa su dati di implementazione reali.

Leggi la guida →