Come configurare un Captive Portal Ruijie per il WiFi ospiti

Parla in inglese britannico con un tono sicuro, autorevole e colloquiale, come un consulente IT senior che riferisce a un cliente. Ritmo misurato, dizione chiara, professionale ma non rigido. Occasionale enfasi naturale sui termini tecnici chiave: Come configurare un Captive Portal Ruijie per il WiFi ospiti. Un briefing tecnico di Purple. [pausa media] INTRODUZIONE E CONTESTO. [pausa breve] Benvenuto. Nei prossimi dieci minuti copriremo tutto ciò che c'è da sapere sulla configurazione di un Captive Portal Ruijie per il WiFi ospiti: dalle decisioni sull'architettura che determinano il successo o il fallimento della tua implementazione, fino ai passaggi di configurazione specifici che la maggior parte delle guide salta del tutto. Se sei un IT manager, un network architect o un direttore delle operazioni di una struttura alberghiera, di una catena di negozi, di uno stadio o di un centro congressi, e hai hardware Ruijie in loco o lo stai valutando, questo briefing fa al caso tuo. Ruijie Networks è uno dei fornitori di wireless aziendali in più rapida crescita a livello globale. Secondo i dati IDC, Ruijie detiene la posizione numero uno nel mercato WLAN aziendale in Cina con una quota del 23,34% e la sua presenza si sta espandendo rapidamente in Europa, Medio Oriente e Asia-Pacifico. I loro controller wireless della serie RG-WS, i gateway della serie Reyee EG e gli access point RG-RAP gestiti in cloud sono ora distribuiti in migliaia di sedi in tutto il mondo. Ma ecco il punto. Configurare correttamente il WiFi ospiti sull'hardware Ruijie, in particolare per quanto riguarda il Captive Portal, richiede la comprensione preliminare di alcune decisioni architetturali. Se sbagli queste decisioni, ti ritroverai con un portale che non funziona su iOS, ospiti che non riescono ad autenticarsi e una rete che è o troppo aperta o troppo bloccata. Risolviamo questo problema. [pausa media] APPROFONDIMENTO TECNICO. [pausa breve] In primo luogo, l'architettura. Ruijie offre tre diversi modelli di implementazione per i Captive Portal del WiFi ospiti, e la scelta di quello giusto dipende dalla tua scala e dai tuoi requisiti di gestione. Il primo modello è il portale nativo gestito tramite Ruijie Cloud o JaCS. JaCS è il sistema di gestione di Ruijie focalizzato sull'ospitalità. Questa è l'opzione integrata. Accedi a Ruijie Cloud, vai su Device Config, poi su Basic, crei o modifichi il tuo SSID ospite, abiliti l'opzione Authentication e selezioni Captive Portal come modalità. JaCS supporta scenari Hotel e di altro tipo e offre un costruttore di portali drag-and-drop con opzioni di accesso che includono l'accesso con un clic, codici voucher e login basato su account. Questa è la scelta giusta per implementazioni più piccole: un singolo hotel, un negozio boutique o un centro congressi che desidera una pagina di benvenuto personalizzata e rapida senza dipendenze esterne. Il secondo modello è il Captive Portal esterno tramite WISPr e RADIUS. WISPr (Wireless Internet Service Provider roaming) è il protocollo che gestisce il reindirizzamento e l'handshake di autenticazione tra il gateway Ruijie e una piattaforma di portale esterna. Questo è l'approccio di livello enterprise, indispensabile quando si desidera integrare Ruijie con una piattaforma di guest WiFi intelligence di terze parti. In questo caso, basta accedere alla sezione Auth and Account nell'interfaccia Ruijie, selezionare Captive Portal, impostare la Policy Mode su External e indirizzare l'URL del Portal Server verso la piattaforma esterna. Successivamente, si configura un gruppo di server RADIUS con le credenziali fornite dalla piattaforma. Questo modello è scalabile su centinaia di siti, offre analisi centralizzate e consente di eseguire flussi di lavoro per l'acquisizione di dati conformi al GDPR. Il terzo modello è la modalità AP standalone. Gli access point Reyee di Ruijie con ReyeeOS versione 1.219 o successiva possono eseguire un Captive Portal locale senza un gateway, il che è utile per implementazioni temporanee o piccoli siti privi di un router EG. Tuttavia, le funzionalità sono limitate rispetto alle implementazioni basate su gateway, pertanto questa opzione va considerata come una soluzione di emergenza e non come un'architettura primaria. [medium pause] Ora, l'elemento critico che la maggior parte delle guide tralascia completamente: l'isolamento della VLAN. Quando si crea un SSID ospiti su Ruijie, si hanno a disposizione due opzioni di inoltro: la modalità NAT e la modalità VLAN. La modalità NAT è più semplice. Il gateway assegna ai dispositivi degli ospiti indirizzi da un pool dedicato, in genere 192.168.23.0 slash 24 per impostazione predefinita, e tutto il traffico degli ospiti viene sottoposto a NAT verso Internet. Questa soluzione funziona per un proof of concept, ma offre una visibilità e un controllo limitati sul traffico degli ospiti al Layer 3. La modalità VLAN è la scelta corretta per qualsiasi implementazione in produzione. Si assegna l'SSID ospiti a una VLAN dedicata, ad esempio la VLAN 100, e si utilizzano le ACL sul gateway per impedire al traffico degli ospiti di raggiungere la VLAN aziendale. La procedura consiste nel creare un'access list estesa, negare il traffico IP dalla sottorete ospiti alla sottorete aziendale, consentire tutto il resto e applicare tale access list in ingresso sull'interfaccia BVI degli ospiti. Si tratta dello stesso principio applicato su Cisco Meraki, HPE Aruba o Ruckus; Ruijie ha semplicemente la propria sintassi CLI. Gli standard di sicurezza sono fondamentali in questo contesto. Ruijie supporta WPA3-Personal e la modalità mista WPA2 slash WPA3 sugli SSID ospiti. Per una rete ospiti in cui si desidera un accesso senza attriti, in genere si utilizza un SSID aperto con autenticazione tramite Captive Portal anziché una chiave precondivisa. Il Captive Portal diventa così il livello di autenticazione. Se è necessaria una sicurezza più solida, ad esempio in ambienti sanitari o finanziari, è possibile aggiungere lo standard IEEE 802.1X, utilizzando EAP-TLS o PEAP con un server RADIUS per l'autenticazione basata su certificati o credenziali. I controller della serie RG-WS di Ruijie supportano lo standard 802.1X completo con assegnazione dinamica della VLAN, consentendo di applicare VLAN diverse a gruppi di utenti diversi in base agli attributi RADIUS. [medium pause] Il walled garden - o allowlist - è un'altra area che spesso mette in difficoltà. Prima che un ospite si autentichi tramite il Captive Portal, il suo dispositivo opera in uno stato limitato. Può raggiungere solo i domini esplicitamente inseriti nella whitelist. Come minimo, è necessario consentire il dominio e l'indirizzo IP della piattaforma del portale, gli eventuali provider di social login utilizzati e l'endpoint di rilevamento del Captive Portal di Apple - captive.apple.com. Se si dimentica quest'ultimo, i dispositivi iOS mostreranno un'esperienza di portale non funzionante. L'allowlist si configura in Ruijie Cloud alla voce Auth and Account, quindi Allowlist. Aggiungi ogni dominio e indirizzo IP singolarmente. [medium pause] RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI. [short pause] Ecco le quattro decisioni che determinano il successo o il fallimento della tua implementazione WiFi per ospiti Ruijie. Decisione uno: portale nativo rispetto a piattaforma esterna. Se gestisci più di cinque siti o se hai bisogno di raccogliere dati di prima parte per il marketing, utilizza una piattaforma esterna. Purple, ad esempio, opera come un overlay cloud indipendente dall'hardware in oltre 80.000 sedi attive. È sufficiente puntare il gateway Ruijie sull'URL del portale di Purple, configurare le credenziali RADIUS e si ottengono analisi centralizzate, raccolta dati conforme al GDPR e integrazioni CRM, il tutto senza dover più toccare l'hardware Ruijie. Purple ha gestito 440 milioni di accessi solo nel 2024 e possiede la certificazione ISO 27001, quindi la conformità è garantita. Decisione due: NAT rispetto a VLAN. Utilizza sempre la modalità VLAN per le implementazioni di produzione. La modalità NAT va bene per un proof of concept, ma la modalità VLAN offre un isolamento Layer 3 adeguato, una gestione più semplice delle policy del firewall e la possibilità di applicare policy QoS per ciascuna VLAN. Decisione tre: gestione della larghezza di banda. I gateway EG di Ruijie dispongono di controlli QoS integrati. Imposta limiti di download e upload per singolo utente sull'SSID ospite, in genere da due a cinque megabit al secondo in download per una rete ospiti standard. Questo evita che un singolo ospite che riproduce video in 4K comprometta l'esperienza di tutti gli altri. Se utilizzi una piattaforma esterna, disabilita il Client Escape sul lato Ruijie per assicurarti che i controlli della larghezza di banda della piattaforma abbiano effetto correttamente. Decisione quattro: timeout della sessione e nuova autenticazione. Imposta un timeout di sessione ragionevole: da 8 a 24 ore per il settore hospitality, inferiore per il retail o gli eventi. Ruijie consente di configurare questo parametro per ciascuna policy del portale. Associalo a un URL di reindirizzamento post-login in modo che gli ospiti atterrino sul sito web della tua struttura o su una pagina promozionale dopo la connessione. [medium pause] L'errore più comune che riscontro è l'implementazione di un Captive Portal senza testarlo contemporaneamente su iOS e Android. Apple e Google hanno entrambi meccanismi di rilevamento del Captive Portal che si comportano in modo diverso. Testali entrambi prima del lancio. Il secondo errore più comune è dimenticare di sincronizzare la configurazione del portale con il prodotto EG in JaCS: c'è un pulsante Sincronizza esplicito su cui fare clic dopo aver creato o modificato un portale, altrimenti il gateway non recepisce le modifiche. [medium pause] DOMANDE E RISPOSTE RAPIDE. [short pause] Passiamo in rassegna le domande che mi vengono poste più spesso. Gli AP Ruijie possono gestire un Captive Portal senza gateway? Sì, su ReyeeOS 1.219 o versioni successive, ma le funzionalità sono limitate rispetto alle distribuzioni basate su gateway. Ruijie supporta lo standard 802.1X per le reti guest? Sì, i controller della serie RG-WS supportano pienamente lo standard 802.1X con assegnazione dinamica della VLAN tramite RADIUS. Posso integrare Ruijie con Purple? Sì. Configura la modalità Captive Portal esterna, punta l'URL del portale all'endpoint di Purple, configura il gruppo di server RADIUS con le credenziali di Purple e aggiungi i domini di Purple alla allowlist. L'architettura indipendente dall'hardware di Purple gestirà il resto. Il WPA3 funziona con i Captive Portal? Sì. Si utilizza un SSID aperto per il flusso del Captive Portal. Il WPA3 si applica agli SSID autenticati. Per le reti guest, il portale stesso funge da livello di autenticazione. Quali porte RADIUS utilizza Ruijie? La porta 1812 per l'autenticazione e la porta 1813 per l'accounting: queste sono le porte standard assegnate dallo IANA secondo gli standard RFC 2865 e RFC 2866. [medium pause] RIASSUNTO E PROSSIMI PASSI. [short pause] Per riassumere. Ruijie Networks offre una piattaforma potente e flessibile per la distribuzione di WiFi guest e Captive Portal. I tre modelli di distribuzione (portale cloud nativo, portale esterno basato su RADIUS e AP standalone) coprono qualsiasi esigenza, dal boutique hotel a sede singola alla catena retail multi-sito. Le decisioni chiave sono: isolamento VLAN rispetto al NAT per qualsiasi distribuzione in produzione. Piattaforma esterna per qualsiasi caso d'uso multi-sito o di acquisizione dati. Corretta configurazione del walled garden per evitare errori di autenticazione su iOS. E testare sempre sia su iOS che su Android prima del go-live. I tuoi prossimi passi: verifica le versioni attuali del firmware Ruijie per confermare la compatibilità con ReyeeOS. Decidi se hai bisogno di una gestione del portale nativa o esterna. Se gestisci più di cinque siti o hai bisogno di analisi, contatta Purple per integrare la loro piattaforma con la tua infrastruttura Ruijie. Purple opera in oltre 80.000 sedi, elabora centinaia di milioni di accessi all'anno ed è certificata ISO 27001, GDPR e Cyber Essentials. Puoi trovare la documentazione sull'integrazione di Purple e richiedere una demo su purple.ai. Grazie per l'ascolto. Ci vediamo al prossimo briefing.