Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Benvenuto al Technical Briefing di Purple. Sono il tuo presentatore e oggi parleremo di un modello di implementazione che si presenta in quasi tutti i progetti WiFi aziendali su larga scala: l'integrazione di CommScope Ruckus con la piattaforma cloud di Purple. Che tu gestisca un gruppo alberghiero, una rete di negozi, uno stadio o un centro congressi, questo episodio ti fornirà la guida di configurazione di cui hai bisogno. Iniziamo a inquadrare lo scenario. Ruckus, ora parte di CommScope, è una delle piattaforme WiFi aziendali leader a livello globale. SmartZone, in particolare, è il controller preferito per gli ambienti ad alta densità. Hotel come Premier Inn, grandi catene di vendita al dettaglio, stadi e centri congressi utilizzano tutti l'infrastruttura Ruckus. Quando distribuisci il guest WiFi su tale scala, hai bisogno di qualcosa di più di un semplice SSID aperto. Ti occorrono un'autenticazione strutturata, l'acquisizione di dati conforme al GDPR e la possibilità di inserire i dati degli ospiti nel tuo stack di marketing. È esattamente qui che entra in gioco Purple. Purple opera in oltre 80.000 sedi attive, ha elaborato 440 milioni di accessi solo nel 2024 e possiede le certificazioni ISO 27001, GDPR e Cyber Essentials. L'integrazione con Ruckus è uno dei nostri modelli di implementazione più maturi. Ora, Ruckus dispone di tre diverse piattaforme controller che devi comprendere prima di toccare una schermata di configurazione. SmartZone, disponibile come appliance fisica SZ300 o virtuale vSZ, è il controller aziendale per implementazioni multi-sito su larga scala. Gestisce migliaia di access point in più zone, offre un controllo approfondito delle policy e supporta l'intera gamma di metodi di autenticazione che tratteremo oggi. ZoneDirector è il controller on-premise legacy, ancora ampiamente utilizzato, in particolare nel settore dell'ospitalità, e supporta lo stesso flusso di Captive Portal basato su WISPr, sebbene con un percorso di configurazione leggermente diverso. Infine, Unleashed è il modello senza controller, in cui un AP funge da master per un massimo di altri 128. È l'ideale per implementazioni più piccole e a sito singolo: hotel indipendenti, filiali di vendita al dettaglio, uffici di PMI. Bene. Entriamo nei dettagli tecnici. Tratterò tre casi d'uso distinti: Guest WiFi con reindirizzamento al Captive Portal, WiFi sicuro per il personale tramite 802.1X e isolamento della rete multi-tenant tramite Ruckus Dynamic PSK. Iniziamo con il Guest WiFi. L'architettura qui è un flusso di hotspot basato su WISPr. WISPr (Wireless Internet Service Provider roaming) è uno standard di settore che definisce il modo in cui un controller wireless intercetta il traffico HTTP non autenticato e lo reindirizza a un portale esterno. L'ospite si connette al tuo SSID. Il suo dispositivo invia una richiesta HTTP. SmartZone la intercetta ed emette un reindirizzamento HTTP 302 all'URL del tuo portale esterno, in questo caso il Captive Portal di Purple. L'ospite si autentica tramite social login, e-mail, SMS o un modulo personalizzato, quindi il portale comunica nuovamente con il controller tramite la Northbound Interface, o API NBI, per concedere l'accesso. Su SmartZone, la configurazione presenta quattro componenti principali. Primo, il profilo del server di autenticazione RADIUS. Navigare su Services and Profiles, quindi su Authentication. Creare un nuovo profilo server AAA. Impostare il Service Protocol su RADIUS. L'IP del server primario e il segreto condiviso sono forniti nella console di amministrazione di Purple. Porta 1812 per l'autenticazione. Configurare sempre un server RADIUS di backup per garantire la resilienza. Successivamente, creare il server di accounting sotto Services and Profiles, Accounting - porta 1813, stesso segreto condiviso. Secondo, il profilo Hotspot WISPr. Andare su Services and Profiles, Hotspots and Portals, e selezionare la scheda Hotspot WISPr. Creare un nuovo profilo. Impostare la Login URL su External e inserire l'URL di reindirizzamento del portale. Impostare la Start Page per reindirizzare all'URL post-autenticazione, in genere una pagina di successo o la homepage della struttura. Ora, il Walled Garden. Questo è il punto in cui i tecnici si imbattono più spesso in difficoltà. Il Walled Garden definisce quali domini e indirizzi IP un ospite può raggiungere prima di essersi autenticato. È necessario includere il dominio del portale, eventuali domini CDN o di risorse da cui il portale carica i contenuti e gli endpoint standard del sistema operativo per il rilevamento del Captive Portal. In SmartZone, i caratteri jolly sono supportati utilizzando il formato asterisco-punto, quindi star-dot-purple-dot-ai copre tutti i sottodomini. Sono necessari anche il dominio di rilevamento del Captive Portal di Apple (captive.apple.com) e gli endpoint di controllo della connettività di Google per evitare che il mini-browser CNA non funzioni correttamente sui dispositivi iOS e Android. Un passaggio critico che è facile dimenticare. Per impostazione predefinita, SmartZone crittografa l'indirizzo MAC e l'indirizzo IP che passa al portale esterno nell'URL di reindirizzamento. Purple ha bisogno di vedere l'effettivo indirizzo MAC del client per eseguire la gestione della sessione basata su MAC. È necessario disabilitare questa opzione tramite CLI. Accedere in SSH a SmartZone, entrare in modalità config ed eseguire: no encrypt-mac-ip. Si tratta di un solo comando, ma rappresenta un blocco insormontabile se viene saltato. La Northbound Interface è l'altro elemento essenziale. Si tratta dell'API che consente a Purple di comunicare con SmartZone per concedere o negare l'accesso dopo l'autenticazione. Abilitarla sotto Administration, External Services, WISPr Northbound Interface. Impostare un nome utente e una password e fornire tali credenziali a Purple. La NBI funziona sulla porta TCP 9080 per HTTP e 9443 per HTTPS: assicurarsi che il firewall consenta le connessioni in entrata dall'intervallo IP di Purple verso queste porte. Infine, creare la WLAN. Impostare l'Authentication Type su Hotspot WISPr, selezionare il profilo del portale e assegnare i servizi di autenticazione e accounting RADIUS. Impostare il NAS ID su User-defined se Purple richiede un valore specifico, impostare Called Station ID su AP MAC e abilitare Single Session ID. Per Unleashed, l'architettura è fondamentalmente diversa: si tratta di un modello distribuito e senza controller. La configurazione si trova in Admin and Services, Services, Hotspot Services. I passaggi sono ampiamente simili: creare un servizio Hotspot, configurare l'URL del portale esterno, impostare il server di autenticazione AAA, aggiungere le voci del Walled Garden, ma ci sono due differenze chiave. In Unleashed non è richiesto alcun Northbound Interface. Inoltre, la crittografia dell'indirizzo MAC non viene applicata per impostazione predefinita, quindi non è necessario il comando CLI. Il walled garden di Unleashed accetta anche voci a livello di dominio anziché la sintassi wildcard completa. Passiamo ora al Secure Staff WiFi utilizzando il protocollo 802.1X. Si tratta di un modello di autenticazione completamente diverso. Invece di un Captive Portal, i dispositivi del personale si autenticano direttamente utilizzando l'Extensible Authentication Protocol (EAP). Il metodo più comune negli ambienti aziendali è PEAP-MSCHAPv2, in cui l'utente inserisce le proprie credenziali di Active Directory, oppure EAP-TLS, in cui il dispositivo presenta un certificato. L'add-on SecurePass di Purple si integra con Microsoft Entra ID, Okta e Google Workspace per fungere da backend RADIUS per questo flusso. Su SmartZone, creare una nuova WLAN e impostare l'Authentication Type su 802.1X EAP. Nelle impostazioni AAA, puntare al proprio server RADIUS, ovvero l'endpoint SecurePass di Purple. La differenza fondamentale rispetto al flusso guest è che qui si configura anche l'assegnazione dinamica della VLAN. Quando il server RADIUS di Purple restituisce un Access-Accept, include tre attributi standard IETF: Tunnel-Type impostato su VLAN, valore 13; Tunnel-Medium-Type impostato su IEEE-802, valore 6; e Tunnel-Private-Group-ID contenente la stringa dell'ID VLAN, ad esempio venti per la VLAN del personale. SmartZone legge questi attributi e tagga dinamicamente il traffico del membro del personale con la VLAN corretta, indipendentemente dall'AP a cui è connesso. Questo è il dynamic VLAN steering, ed è ciò che consente a un singolo SSID di servire più ruoli utente con diverse policy di accesso alla rete. Abilitare l'opzione AAA Override nelle impostazioni avanzate della WLAN per garantire che SmartZone elabori gli attributi VLAN restituiti da RADIUS. Senza quella casella di controllo, l'assegnazione dinamica non funzionerà anche se il server RADIUS invia gli attributi corretti. Il terzo caso d'uso è l'isolamento Multi-Tenant tramite Ruckus Dynamic PSK (o DPSK). Si tratta di una tecnologia proprietaria di Ruckus che assegna una passphrase WPA2 univoca a ciascun utente o tenant, il tutto su un unico SSID. A differenza di una PSK condivisa in cui tutti utilizzano la stessa password, DPSK significa che il Tenant A ha una chiave univoca di 62 caratteri, il Tenant B ne ha una diversa e così via. Ciascuna chiave è associata a una VLAN specifica, in modo che il traffico del Tenant A finisca sulla VLAN 101 e quello del Tenant B sulla VLAN 102: isolamento completo, nessun rischio di password condivisa e revoca istantanea senza influire sugli altri tenant. Questo è particolarmente efficace negli spazi di co-working, negli edifici residenziali in affitto (build-to-rent), negli alloggi per studenti e nei parchi commerciali multi-tenant. Purple si integra con Ruckus DPSK tramite l'API SmartZone per automatizzare il provisioning delle chiavi: quando un nuovo tenant viene registrato in Purple, viene generata una DPSK, associata alla VLAN corretta e consegnata automaticamente al tenant. Per configurare la DPSK su SmartZone: accedere a WLAN, aggiungere una nuova WLAN e, alla voce Security, impostare il metodo su Dynamic PSK. Impostare la lunghezza della DPSK a 62 caratteri per la massima entropia. Alla voce VLAN, abilitare l'assegnazione Per-DPSK VLAN. Successivamente, utilizzare l'API SmartZone o l'interfaccia di gestione DPSK per creare chiavi individuali per ciascun tenant, ognuna mappata sul proprio ID VLAN. Su Unleashed, la stessa funzionalità è disponibile alla voce WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 è la variante WPA3, che offre una crittografia più forte basata su SAE. Se la vostra flotta di AP supporta il WPA3 (come tutti gli attuali AP Ruckus serie R), DPSK3 è la scelta preferita per le nuove implementazioni. Permettetemi di illustrare due scenari di implementazione reali che mostrano come questi tre casi d'uso si integrino tra loro. Primo scenario: un hotel da 250 camere. La struttura gestisce Ruckus SmartZone con access point R750 in tutto l'edificio. Hanno bisogno di tre tipi di rete: WiFi ospiti per i clienti dell'hotel, WiFi personale sicuro per lo staff di front-of-house e back-of-house, e una rete IoT per i controlli domotici delle camere e la videosorveglianza. La WLAN ospiti utilizza il flusso Captive Portal WISPr con Purple. Gli ospiti si connettono, vengono reindirizzati a un portale Purple personalizzato con il brand, si autenticano tramite e-mail o social login e atterrano sulla VLAN 10. Il portale acquisisce dati di prima parte (e-mail, consenso al marketing, preferenze di soggiorno) che confluiscono direttamente nel CRM dell'hotel. La dashboard analitica di Purple mostra all'hotel quali piani hanno i tassi di connessione più elevati, gli orari di picco di utilizzo e i tassi di visitatori di ritorno. Premier Inn ha implementato questo modello in tutte le sue strutture nel Regno Unito e ha registrato miglioramenti misurabili nei punteggi di soddisfazione degli ospiti, direttamente collegati all'esperienza Wi-Fi. La WLAN del personale utilizza lo standard 802.1X con SecurePass di Purple. Il personale si autentica con le proprie credenziali Active Directory tramite PEAP-MSCHAPv2. Il personale della reception atterra sulla VLAN 20 con accesso al sistema di gestione della struttura. Il personale di back-of-house atterra sulla VLAN 21 con accesso esclusivo ai sistemi HR e di pianificazione dei turni. L'assegnazione della VLAN è interamente guidata dagli attributi RADIUS restituiti da Purple, senza richiedere alcuna configurazione manuale delle porte. Quando un membro del personale lascia l'azienda, il suo account viene disabilitato in Microsoft Entra ID e l'accesso viene revocato istantaneamente in tutte le strutture. La WLAN IoT utilizza una PSK statica, isolata sulla VLAN 30, con isolamento dei client abilitato. I termostati intelligenti, le serrature delle porte e le telecamere a circuito chiuso si trovano qui, completamente separati dal traffico degli ospiti e del personale. Secondo scenario: uno spazio di co-working con 15 aziende clienti. È qui che il DPSK dimostra davvero il suo valore. L'operatore gestisce Ruckus Unleashed su tre piani. Ogni azienda cliente riceve un DPSK univoco associato alla propria VLAN. I 20 dipendenti del Cliente A utilizzano tutti la stessa passphrase DPSK-A, ma tale passphrase è univoca per il Cliente A e si mappa solo sulla VLAN 101. Il Cliente B utilizza il DPSK-B, che si mappa sulla VLAN 102. I clienti sono completamente isolati tra loro a livello di rete. Quando un cliente se ne va, l'operatore revoca il suo DPSK in SmartZone - o tramite l'interfaccia di gestione di Purple - e il gioco è fatto. Nessun altro cliente viene influenzato, non è richiesta alcuna modifica dell'SSID, né il ripristino delle password in tutto l'edificio. Lo strato di gestione multi-tenant di Purple si colloca al di sopra di questo, offrendo all'operatore del co-working un'unica dashboard per gestire l'onboarding, la revoca degli accessi e l'analisi dell'utilizzo per tutti i 15 clienti. Ora passiamo ad analizzare le modalità di errore più comuni e come evitarle. Numero uno: errata configurazione del Walled Garden. Se la pagina del Captive Portal non si carica dopo il reindirizzamento, la prima cosa da verificare è se tutti i domini a cui fa riferimento la pagina del portale sono inclusi nel walled garden. Le moderne pagine dei portali caricano risorse da molteplici domini CDN, script di analisi e SDK di login social. Se uno qualsiasi di questi elementi viene bloccato prima dell'autenticazione, la pagina non si caricherà o si caricherà in modo errato. Utilizza gli strumenti per sviluppatori del browser su un dispositivo di test connesso all'SSID ospiti per identificare quali richieste vengono bloccate. Purple fornisce un elenco documentato di walled garden per SmartZone e Unleashed: usalo come base di partenza e aggiungi in cima eventuali domini specifici della sede. Numero due: il problema di connettività NBI. Se gli ospiti riescono a visualizzare il portale e ad autenticarsi, ma non ottengono mai l'accesso a Internet, la causa probabile è che SmartZone non riesce a ricevere la chiamata di callback NBI da Purple. Verifica che le porte 9080 e 9443 siano aperte in ingresso verso l'IP di gestione di SmartZone dall'intervallo IP di Purple. Verifica inoltre che le credenziali NBI configurate corrispondano a quelle registrate da Purple. Numero tre: il comando no encrypt-mac-ip mancante. Questo è l'inghippo specifico di SmartZone più comune. Se Purple riceve richieste di reindirizzamento ma non riesce ad associare la sessione a un indirizzo MAC, la causa è quasi certamente questa. Si tratta di una correzione CLI da una sola riga, ma è facile da dimenticare perché non è visibile nell'interfaccia grafica. Numero quattro: AAA Override non abilitato per la VLAN dinamica. Se il personale si autentica correttamente su 802.1X ma finisce tutto sulla stessa VLAN predefinita anziché sulla VLAN specifica per il proprio ruolo, verifica che l'opzione AAA Override sia abilitata nelle impostazioni avanzate della WLAN. Questo è l'interruttore che indica a SmartZone di rispettare gli attributi VLAN restituiti dal server RADIUS. Numero cinque: la VLAN DPSK non si propaga. Se gli utenti DPSK si autenticano ma non atterrano sulla VLAN corretta, verifica che l'assegnazione della VLAN Per-DPSK sia abilitata nelle impostazioni WLAN e che le porte dello switch collegate ai tuoi AP siano configurate come porte trunk che trasportano tutte le VLAN DPSK. Se la porta dello switch è una porta di accesso, il tagging VLAN verrà rimosso. Ora, tre domande a risposta rapida che mi vengono poste in ogni implementazione Ruckus-Purple. Ho bisogno di una VLAN dedicata per il WiFi ospiti? Sì, sempre. Isola il traffico ospiti su una VLAN dedicata. Questo è sia un requisito di sicurezza sia una considerazione di conformità PCI DSS se la tua struttura elabora pagamenti con carta sulla stessa rete. Abilita l'isolamento dei client sulla WLAN ospiti per impedire ai dispositivi degli ospiti di comunicare tra loro. Posso usare Purple con Ruckus One - la piattaforma gestita in cloud - invece di SmartZone? Sì. Il percorso di configurazione è diverso - si trova sotto Reti WiFi, impostazioni di Accesso Ospiti nel portale Ruckus One - ma i principi di configurazione del walled garden e di RADIUS sono identici. Purple supporta le distribuzioni multi-zona di SmartZone? Sì. L'integrazione di Purple gestisce gli ambienti SmartZone multi-zona ed è possibile limitare le configurazioni del portale a singole zone per diverse strutture o piani all'interno di una singola istanza SmartZone. Per concludere. L'integrazione tra Ruckus e Purple copre tre casi d'uso distinti, ciascuno con il proprio modello di configurazione. Il WiFi ospiti utilizza il flusso del Captive Portal WISPr - cinque punti di configurazione chiave: RADIUS sulle porte 1812 e 1813 con un server di backup, il profilo Hotspot WISPr con un URL di login esterno, un walled garden correttamente dimensionato che utilizza voci wildcard, il comando CLI no encrypt-mac-ip e la Northbound Interface abilitata con le credenziali corrette. Il WiFi protetto per il personale utilizza 802.1X EAP con instradamento dinamico della VLAN tramite attributi RADIUS - l'elemento abilitante fondamentale è il AAA Override nelle impostazioni avanzate della WLAN. L'isolamento multi-tenant utilizza Ruckus DPSK - chiavi univoche per tenant, ciascuna associata a una VLAN dedicata, con revoca istantanea e zero rischi di password condivise. Configura correttamente questi tre modelli e avrai un'architettura di rete scalabile da un hotel indipendente di 50 camere su Unleashed a uno stadio da 5.000 posti su SmartZone, con la stessa piattaforma Purple sovrastante che fornisce analisi unificate, acquisizione dati conforme al GDPR e gestione centralizzata degli accessi. Se stai pianificando un'implementazione Ruckus con Purple, il team di onboarding tecnico può guidarti attraverso una checklist pre-lancio e convalidare la tua configurazione prima della messa in servizio. La piattaforma Purple fornisce anche analisi in tempo reale sui tempi di caricamento del portale, sui tassi di successo dell'autenticazione e sui dati di sessione, offrendoti la visibilità necessaria per individuare i problemi prima dei tuoi ospiti. Grazie per l'ascolto. Alla prossima.