Come configurare un hotspot WiFi per la tua azienda
Questa guida autorevole offre a leader IT, architetti di rete e direttori operativi delle sedi un modello pratico e indipendente dal fornitore per implementare hotspot WiFi per ospiti sicuri, conformi e in grado di migliorare il business. Copre decisioni architetturali cruciali - dalla segmentazione VLAN e configurazione del captive portal alla conformità GDPR e alla modellazione del traffico - e dimostra come trasformare l'infrastruttura di rete da un centro di costo a una piattaforma di analytics che genera ricavi utilizzando le funzionalità di Guest WiFi e analytics di Purple.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Approfondimento Tecnico: Architettura e Segmentazione
- Segmentazione della Rete tramite VLAN
- Il flusso di autenticazione del Captive Portal
- Standard wireless e pianificazione delle frequenze
- Guida all'implementazione: hardware, configurazione e installazione
- Passaggio 1: Dimensionamento dell'ISP e dell'uplink
- Passaggio 2: Selezione e posizionamento dei punti di accesso
- Passaggio 3: Configurazione dello switch gestito e della VLAN
- Passaggio 4: Firewall e Traffic Shaping
- Passaggio 5: Configurazione del Captive Portal
- Best Practice e Conformità
- GDPR e Privacy dei Dati
- Registrazione delle Sessioni e Conformità Legale
- WPA3 e Standard di Crittografia
- Gestione della Randomizzazione degli Indirizzi MAC
- Risoluzione dei Problemi e Mitigazione dei Rischi
- ROI e Impatto Aziendale

Sintesi Esecutiva
Per le sedi aziendali - che si tratti di catene retail, gruppi alberghieri, centri congressi o grandi istituzioni pubbliche - il WiFi per gli ospiti si è evoluto da semplice servizio opzionale a punto di contatto digitale fondamentale. Gli ospiti e i visitatori si aspettano ormai una connettività affidabile e veloce come standard di base. Tuttavia, il divario operativo e legale tra un router consumer e un hotspot aziendale correttamente implementato è enorme. Una rete configurata in modo approssimativo espone le risorse aziendali ad attacchi di movimento laterale, crea responsabilità legali ai sensi del GDPR e del Computer Misuse Act, e spreca l'opportunità di acquisire preziosi dati di prima parte.
Questa guida offre ai manager IT e agli architetti di rete responsabili dell'implementazione o del potenziamento di un servizio WiFi pubblico un modello pragmatico e indipendente dai vendor. Dettagliamo l'architettura tecnica necessaria per fornire un hotspot sicuro e segmentato, con un focus particolare sulla progettazione delle VLAN, sul flusso di autenticazione del Captive Portal, sulla gestione della larghezza di banda e sui requisiti di conformità, inclusi GDPR, PCI-DSS e IEEE 802.1X. Esploriamo inoltre come l'integrazione di una piattaforma gestita come Guest WiFi trasformi la connettività pura in WiFi Analytics azionabili, consentendo ai gestori delle sedi di comprendere i flussi di visitatori, misurare il tempo di permanenza e generare un ROI di marketing misurabile.
Approfondimento Tecnico: Architettura e Segmentazione
Il principio fondamentale di qualsiasi implementazione di hotspot aziendale è l'isolamento. A ogni livello dello stack di rete, il traffico degli ospiti deve essere separato crittograficamente e logicamente dai dati aziendali. La mancata applicazione di questa separazione è l'errore più comune - e con le conseguenze più gravi - nelle installazioni di WiFi pubbliche.
Segmentazione della Rete tramite VLAN
Implementare una rete flat in cui gli ospiti e i sistemi POS (Point of Sale) condividono la stessa sottorete è un grave fallimento della sicurezza. Le distribuzioni aziendali utilizzano le VLAN (Virtual Local Area Networks) per segmentare il traffico a livello di switch gestito, imponendo confini logici indipendentemente dalla topologia fisica.
Un'installazione multi-tenant standard definisce in genere almeno due VLAN:
| VLAN | Scopo | ID Tipico | Criterio di Routing |
|---|---|---|---|
| Corporate | Dispositivi del personale, terminali POS, server di back-office | VLAN 10 | Accesso interno completo |
| Guest | Solo accesso a internet pubblico | VLAN 20 | Solo internet; nessun routing interno |
| IoT/Building | TVCC, HVAC, controllo accessi porte | VLAN 30 | Isolata; nessun accesso a internet |
Il traffico sulla VLAN guest viene instradato direttamente a internet tramite un firewall Unified Threat Management (UTM), configurato con liste di controllo degli accessi (ACL) rigide che eliminano tutti i pacchetti destinati alle sottoreti interne. Questa segmentazione è un controllo obbligatorio ai sensi del requisito 1.3 dello standard PCI-DSS, che stabilisce che l'ambiente dei dati dei titolari di carta deve essere isolato dalle reti non attendibili. Per gli operatori del settore retail e dell' hospitality che gestiscono terminali di pagamento sulla stessa infrastruttura fisica, questo è un aspetto non negoziabile.
Il flusso di autenticazione del Captive Portal
Quando un dispositivo guest si associa a un access point (AP), ottiene un indirizzo IP tramite DHCP. In questa fase, il firewall blocca tutto il traffico internet in uscita. La sequenza di autenticazione completa funziona come segue:
- Associazione: il dispositivo si connette all'SSID aperto (o a un SSID protetto OpenRoaming utilizzando 802.1X/EAP).
- Assegnazione DHCP: il server DHCP della VLAN guest assegna un indirizzo IP, un gateway predefinito e i server DNS.
- Intercettazione: quando il dispositivo tenta una richiesta HTTP (o il sistema operativo attiva un probe del captive portal verso un URL noto), la rete intercetta la richiesta tramite reindirizzamento DNS e reindirizza l'utente al server del captive portal.
- Autenticazione: all'utente viene presentata una splash page personalizzata. L'utente si autentica tramite e-mail, social login (OAuth), un codice monouso SMS o un provider di identità integrato come OpenRoaming.
- Consenso e acquisizione dati: all'utente viene mostrata la Politica di Utilizzo Accettabile (AUP) e, se i dati vengono raccolti per scopi di marketing, una casella di spunta per il consenso esplicito di opt-in.
- Segnale di autorizzazione: il server del portale comunica con il controller LAN wireless o con il firewall tramite RADIUS o un'API REST per autorizzare l'indirizzo MAC o l'IP del dispositivo per l'accesso a internet.
- Accesso concesso: le regole del firewall si aggiornano dinamicamente e l'utente viene reindirizzato alla destinazione desiderata.

Per gli ambienti che richiedono un'autenticazione basata su certificati di livello enterprise per i dispositivi del personale oltre il portale guest, consulta la nostra guida Come configurare il WiFi aziendale con 802.1X su iOS e macOS (disponibile anche in portoghese: Como Configurar WiFi Corporativo em iOS e macOS com 802.1X ).
Standard wireless e pianificazione delle frequenze
Le implementazioni enterprise dovrebbero standardizzarsi su punti di accesso 802.11ax (WiFi 6) o 802.11be (WiFi 7). Il WiFi 6 ha introdotto l'OFDMA (Orthogonal Frequency-Division Multiple Access), che migliora drasticamente le prestazioni in ambienti ad alta densità consentendo a un singolo AP di servire contemporaneamente più client su sottocanali anziché in modo sequenziale. Questo è particolarmente critico nelle strutture sanitarie , nei centri congressi e nelle installazioni negli stadi, dove centinaia di dispositivi possono connettersi a un singolo AP durante i periodi di punta.
La allocazione delle bande dovrebbe seguire questi principi. La banda a 2.4 GHz offre una portata maggiore e una migliore penetrazione attraverso le pareti, rendendola adatta per i dispositivi legacy e le grandi aree aperte. Tuttavia, ha solo tre canali non sovrapposti (1, 6, 11) ed è altamente suscettibile alle interferenze co-canale nelle implementazioni dense. La banda a 5 GHz offre più di 24 canali non sovrapposti e un throughput significativamente più elevato, ma a una portata ridotta. I moderni controller wireless enterprise supportano il band steering, una funzionalità che incoraggia attivamente i dispositivi con funzionalità dual-band a connettersi sulla banda a 5 GHz, liberando lo spettro a 2.4 GHz per i client legacy.
Guida all'implementazione: hardware, configurazione e installazione
Passaggio 1: Dimensionamento dell'ISP e dell'uplink
Prima di selezionare l'hardware, calcolare la larghezza di banda dell'uplink richiesta. Per una rete guest generica, una stima prudente è di 1-2 Mbps per utente simultaneo. Per una sede che prevede 300 ospiti simultanei, si consiglia una connessione in fibra simmetrica minima da 500 Mbps, con una connessione da 1 Gbps che offre spazio per la crescita. Per gli hub di trasporto o i grandi spazi per eventi, prendere in considerazione più uplink combinati o il failover SD-WAN.
Passaggio 2: Selezione e posizionamento dei punti di accesso
Utilizzare punti di accesso gestiti 802.11ax di un fornitore enterprise. Questi AP devono supportare il PoE+ (Power over Ethernet Plus, IEEE 802.3at), consentendo a un singolo cavo Cat6 di trasportare sia i dati che l'alimentazione dallo switch gestito all'AP. Ciò elimina la necessità di installare prese di corrente locali in ogni posizione dell'AP, riducendo sostanzialmente i costi di installazione.
Il posizionamento degli AP deve essere determinato da un rilevamento professionale del sito RF, non da congetture. Tale rilevamento dovrebbe tenere conto di:
- Attenuazione: Perdita di segnale attraverso pareti di cemento, scaffalature metalliche e pareti divisorie in vetro.
- Sovrapposizione della copertura: Gli AP dovrebbero sovrapporsi di circa il 15-20% per garantire un roaming continuo senza zone d'ombra.
- Pianificazione della capacità: Le aree ad alta densità (sale conferenze, aree di ristoro, lobby) necessitano di più AP a una potenza di trasmissione inferiore per servire molti client su brevi distanze, piuttosto che di pochi AP ad alta potenza.
Passaggio 3: Configurazione dello switch gestito e della VLAN
Distribuisci uno switch gestito di Livello 2/Livello 3 con un budget PoE+ sufficiente per alimentare tutti gli AP. Configura il tagging VLAN 802.1Q su tutti gli uplink e sulle porte trunk degli AP. Le porte di accesso che collegano i terminali POS o le workstation del personale devono essere assegnate alla VLAN aziendale come membri untagged. Le porte degli AP devono essere configurate come porte trunk che trasportano tutte le VLAN necessarie, con il controller wireless che mappa ciascun SSID sulla corrispondente VLAN.
Passaggio 4: Firewall e Traffic Shaping
Il firewall UTM è il punto di applicazione di tutte le policy di sicurezza e di larghezza di banda. Le configurazioni chiave includono:
- Regole di routing VLAN: Consenti alla VLAN guest di raggiungere internet; nega alla VLAN guest l'accesso a tutte le subnet interne.
- Limiti di larghezza di banda per utente: Implementa policy di traffic-shaping per limitare il throughput individuale. Un punto di partenza standard è 5 Mbps in download / 2 Mbps in upload per utente. Ciò evita che un singolo utente che riproduce video in streaming 4K possa compromettere l'esperienza di tutti gli altri ospiti.
- Controllo delle applicazioni: Blocca i protocolli di condivisione file peer-to-peer (BitTorrent, eDonkey) e altre applicazioni a banda elevata o illegali a livello di firewall.
- Filtraggio DNS: Implementa il filtraggio dei contenuti basato su DNS per bloccare l'accesso a domini dannosi, siti di phishing e categorie di contenuti inappropriati. Per una guida dettagliata su questo livello, consulta Proteggere la tua rete con un DNS robusto e la sicurezza .
Passaggio 5: Configurazione del Captive Portal
Il captive portal è il componente più visibile della distribuzione e il meccanismo principale di acquisizione dei dati. Durante la configurazione del portale, assicurati che:
- La pagina di benvenuto sia servita tramite HTTPS con un certificato SSL valido e pubblicamente attendibile per evitare avvisi di sicurezza del browser.
- Le opzioni di autenticazione includano, come minimo, e-mail/password e social login (Google, Facebook, Apple) per massimizzare i tassi di conversione.
- Le condizioni di utilizzo siano chiaramente visualizzate e richiedano un'accettazione esplicita prima che venga concesso l'accesso.
- Il consenso GDPR per le comunicazioni di marketing sia acquisito tramite una casella di controllo opt-in separata e non selezionata.
- I timeout di sessione e gli intervalli di autenticazione siano configurati per bilanciare la comodità dell'utente con la sicurezza.
Best Practice e Conformità

GDPR e Privacy dei Dati
Se raccogli dati degli utenti per scopi di marketing, il consenso esplicito e informato è obbligatorio sia ai sensi del UK GDPR che del GDPR UE. I requisiti legali sono chiari: le caselle di consenso preselezionate sono vietate; il consenso deve essere espresso liberamente, specifico, informato e inequivocabile; e gli utenti devono poter revocare il consenso con la stessa facilità con cui lo hanno fornito. Il tuo captive portal deve indicare chiaramente quali dati vengono raccolti, la base giuridica del trattamento, come verranno utilizzati i dati e per quanto tempo verranno conservati.
Registrazione delle Sessioni e Conformità Legale
Nel Regno Unito, il Regulation of Investigatory Powers Act (RIPA) e la legislazione correlata possono richiedere ai gestori delle sedi di conservare i log di connessione - inclusi indirizzi MAC, timestamp e assegnazioni IP - per assistere le forze dell'ordine in caso di attività illegali sulla rete. Consulta il tuo consulente legale per determinare gli obblighi di conservazione specifici che si applicano alla tua organizzazione e giurisdizione.
WPA3 e Standard di Crittografia
Per qualsiasi SSID che utilizza una chiave pre-condivisa (ad esempio, una rete dello staff), imponi WPA3-Personal (SAE) piuttosto che WPA2. WPA3 elimina la vulnerabilità agli attacchi a dizionario offline intrinseca nell'handshake a quattro vie di WPA2. Per le reti dello staff aziendale che utilizzano l'autenticazione basata su certificati 802.1X, WPA3-Enterprise in modalità a 192 bit fornisce il massimo livello di sicurezza. Per ulteriori informazioni sulla protezione dei livelli fisici e logici della tua infrastruttura wireless, consulta la nostra Guida Enterprise 2026 alla Sicurezza degli Access Point .
Gestione della Randomizzazione degli Indirizzi MAC
I moderni dispositivi iOS (da iOS 14 in poi) e Android (da Android 10 in poi) utilizzano la randomizzazione dell'indirizzo MAC per impostazione predefinita, generando un indirizzo MAC casuale univoco per ciascuna rete WiFi. Ciò significa che non è più possibile fare affidamento sugli indirizzi MAC per identificare i visitatori di ritorno o creare profili utente a lungo termine. La corretta risposta architetturale consiste nell'imporre l'autenticazione basata sull'identità al Captive Portal - richiedendo agli utenti di accedere tramite e-mail o un account social - in modo che il profilo utente, anziché un identificatore hardware, diventi l'entità di tracciamento persistente.
Risoluzione dei Problemi e Mitigazione dei Rischi
Anche una rete ben progettata andrà incontro a problemi operativi. La tabella seguente riassume i problemi di funzionamento più comuni e le relative mitigazioni raccomandate.
| Modalità di Guasto | Causa Radice | Mitigazione |
|---|---|---|
| Esaurimento DHCP | Sottorete troppo piccola o tempi di lease troppo lunghi rispetto al passaggio di persone | Utilizza una sottorete /22 o superiore; accorcia i tempi di lease a 30-60 minuti |
| Interferenza co-canale | Più AP sullo stesso canale in aree di copertura sovrapposte | Abilita l'assegnazione dinamica dei canali sul controller wireless |
| Errori SSL del Captive Portal | Certificato non valido o autofirmato sul server del portale | Distribuisci un certificato CA pubblico valido; utilizza Let's Encrypt |
| Roaming lento | Gli AP non condividono i dati di associazione dei client | Abilita 802.11r (Fast BSS Transition) sul controller wireless |
| Saturazione della larghezza di banda | Modellazione del traffico per utente non configurata | Implementa criteri QoS per utente sul firewall |
| Movimento laterale da guest a corporate | Rete piatta o ACL configurate in modo errato | Controlla le ACL delle VLAN; esegui penetration test sulla VLAN guest |
ROI e Impatto Aziendale
Un hotspot correttamente distribuito trascende la sua funzione di infrastruttura IT - diventa un motore di dati di prima parte e un canale di marketing diretto. I vantaggi commerciali derivanti dall'investimento in una piattaforma gestita di guest WiFi sono evidenti in ogni settore.
Nel settore dell' hospitality , i dati del WiFi ospiti consentono agli hotel di comprendere quali servizi vengono utilizzati dagli ospiti prima e dopo la connessione, di personalizzare le comunicazioni durante il soggiorno e di incrementare le prenotazioni ripetute attraverso campagne automatizzate post-partenza. Un hotel di 300 camere che acquisisce 200 opt-in e-mail al giorno costruisce un database di marketing di 70.000 contatti consenzienti all'anno - una risorsa CRM significativa.
Nel retail , l'analisi WiFi fornisce mappe di calore del flusso di visitatori, tempi di permanenza per zona e tassi di visite ripetute - dati che in precedenza erano ottenibili solo attraverso costosi sondaggi manuali. I rivenditori possono utilizzare questi dati per ottimizzare il layout dei negozi, misurare l'impatto dei display promozionali e attivare campagne di fidelizzazione quando un cliente noto entra nel punto vendita.
Per gli operatori del settore pubblico e dei trasporti , la proposta di valore risiede nell'efficienza operativa: comprendere i periodi di picco di congestione, ottimizzare i livelli di personale e offrire comodi servizi digitali a cittadini e passeggeri.
Piattaforme come Guest WiFi e WiFi Analytics di Purple forniscono il livello di infrastruttura gestita che collega il networking grezzo a questi risultati di business. Come dimostra l'espansione strategica di Purple - inclusi i recenti sviluppi in nuovi verticali, come evidenziato nell'annuncio del VP of Education Tim Peers che si unisce al team - il valore degli spazi intelligenti e connessi si sta espandendo rapidamente in ogni settore dell'economia.
La transizione da una connettività internet di base a una rete intelligente e guidata dai dati è la caratteristica distintiva di un moderno deployment WiFi aziendale. I costi infrastrutturali sono in gran parte fissi; l'investimento incrementale in un livello di piattaforma gestita offre rendimenti composti a mano a mano che il database di marketing cresce e i flussi di lavoro automatizzati si consolidano.
Definizioni chiave
Captive Portal
Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso a Internet. Intercetta il traffico HTTP tramite reindirizzamento DNS e presenta una splash page per l'autenticazione e l'acquisizione del consenso.
Il meccanismo principale per l'applicazione delle Politiche di Utilizzo Accettabile, l'autenticazione degli utenti e l'acquisizione di dati di marketing di prima parte sulle reti WiFi guest.
VLAN (Virtual Local Area Network)
Una sottorete logica che raggruppa una collezione di dispositivi da diverse LAN fisiche, applicata a livello di switch gestito tramite tagging 802.1Q.
Essenziale per isolare il traffico WiFi guest dalle reti aziendali sensibili. Un controllo obbligatorio per la conformità PCI DSS in qualsiasi sede che elabori dati di carte di pagamento.
Traffic Shaping (QoS)
Il controllo del traffico di rete per ottimizzare o garantire le prestazioni limitando la larghezza di banda disponibile per i singoli utenti o tipi di applicazione.
Utilizzato per impedire a un piccolo numero di utenti pesanti di consumare la maggior parte della larghezza di banda in uplink disponibile, garantendo un'esperienza di base coerente per tutti gli ospiti simultanei.
MAC Randomization
Una funzionalità di privacy nei moderni sistemi operativi (iOS 14+, Android 10+) che genera un indirizzo MAC casuale univoco quando ci si connette a diverse reti WiFi, impedendo il tracciamento persistente basato sull'hardware.
Impone ai gestori delle sedi di utilizzare login di captive portal basati sull'identità anziché il tracciamento dell'indirizzo hardware per identificare e ricoinvolgere i visitatori di ritorno.
Saturazione DHCP
Una condizione di guasto di rete in cui il server DHCP ha assegnato tutti gli indirizzi IP disponibili nel suo pool configurato, impedendo ai nuovi dispositivi di ottenere un indirizzo IP e di connettersi alla rete.
Un errore comune e facilmente prevenibile in luoghi ad alta affluenza con sottoreti sottodimensionate o tempi di lease DHCP eccessivamente lunghi.
Band Steering
Una funzionalità del controller wireless che rileva i dispositivi client compatibili con la doppia banda e li incoraggia o li costringe attivamente a connettersi alla banda a 5 GHz anziché a quella a 2.4 GHz, che è più congestionata.
Migliora le prestazioni complessive della rete nelle distribuzioni ad alta densità distribuendo i client nello spettro disponibile e riducendo le interferenze co-canale sulla banda a 2.4 GHz.
OpenRoaming
Uno standard di federazione della Wireless Broadband Alliance (WBA) che consente connessioni WiFi automatiche e sicure tra le reti partecipanti utilizzando l'autenticazione 802.1X/EAP, senza richiedere agli utenti di interagire con un captive portal.
Offre un'esperienza di connettività fluida, simile a quella cellulare, per gli utenti degli identity provider aderenti. Purple opera come identity provider all'interno della federazione OpenRoaming nell'ambito della sua licenza Connect.
PCI DSS (Payment Card Industry Data Security Standard)
Un insieme di standard di sicurezza imposti dai principali circuiti di carte (Visa, Mastercard, Amex) che richiede a qualsiasi organizzazione che accetta, elabora, memorizza o trasmette dati di carte di pagamento di mantenere un ambiente di rete sicuro e segmentato.
Direttamente rilevante per qualsiasi implementazione WiFi retail o hospitality in cui i terminali di pagamento condividono l'infrastruttura di rete fisica con gli access point per gli ospiti. Il requisito 1.3 impone il rigoroso isolamento dell'ambiente dei dati dei titolari di carta dalle reti non attendibili.
Firewall UTM (Unified Threat Management)
Un'appliance di sicurezza di rete che combina più funzioni di sicurezza - tra cui stateful packet inspection, prevenzione delle intrusioni, controllo delle applicazioni, filtraggio DNS e VPN - in un'unica piattaforma gestita.
Il punto di applicazione centrale per le regole di instradamento VLAN, le policy di larghezza di banda per singolo utente e il filtraggio dei contenuti in un'installazione WiFi ospiti aziendale.
Esempi pratici
Un hotel da 200 camere sta aggiornando il suo WiFi per gli ospiti. Durante le ore di punta serali, gli ospiti lamentano velocità ridotte e disconnessioni, nonostante l'hotel disponga di un uplink in fibra simmetrica da 1 Gbps. Da un'indagine emerge che la configurazione attuale utilizza un'unica sottorete /24 piatta sia per il personale che per gli ospiti, senza alcuna modellazione del traffico configurata. L'hotel desidera inoltre iniziare a raccogliere gli indirizzi email degli ospiti per un programma di marketing post-soggiorno.
Fase 1 - Riprogettazione della rete:
- Implementare la segmentazione VLAN. Spostare tutti i dispositivi del personale, i terminali POS e il sistema di gestione della struttura sulla VLAN 10 (sottorete /24). Spostare gli ospiti sulla VLAN 20 con una sottorete /22 (1.022 IP utilizzabili) per soddisfare l'occupazione di picco con più dispositivi per ospite.
- Configurare il firewall UTM con ACL rigide: la VLAN 20 degli ospiti ha solo accesso a Internet; tutte le rotte verso la VLAN 10 sono esplicitamente negate.
Fase 2 - Ottimizzazione delle prestazioni: 3. Configurare limiti di larghezza di banda per utente di 10 Mbps in download / 5 Mbps in upload sul firewall. Ciò garantisce che la banda da 1 Gbps sia distribuita equamente tra oltre 400 dispositivi simultanei. 4. Abilitare il Band Steering sul controller wireless per spingere i dispositivi compatibili verso la banda a 5 GHz, meno congestionata. 5. Ridurre il tempo di lease DHCP dalle 24 ore predefinite a 2 ore per evitare l'esaurimento degli indirizzi IP durante i periodi di picco dei check-in.
Fase 3 - Captive Portal e acquisizione dati: 6. Implementare un captive portal personalizzato (ad esempio, tramite Purple Guest WiFi) che richieda l'autenticazione tramite email. 7. Configurare la splash page con una casella di consenso GDPR esplicita e non selezionata per il programma di marketing post-soggiorno. 8. Integrare l'API del portale con il CRM dell'hotel per sincronizzare i profili degli ospiti autenticati e avviare sequenze di email automatiche post-soggiorno.
Una catena di vendita al dettaglio con 50 negozi desidera utilizzare il proprio WiFi gratuito per gli ospiti per creare il proprio database di marketing. Attualmente utilizzano una chiave precondivisa WPA2 (password stampata sugli scontrini) in tutti i negozi e hanno zero visibilità su chi si connette o sulla durata della permanenza. Il team di marketing desidera inviare email promozionali settimanali agli utenti WiFi e il team IT è preoccupato per la conformità PCI-DSS, dato che i terminali di pagamento si trovano sugli stessi switch fisici.
Step 1 - Rimuovere la Pre-Shared Key: Passare l'SSID guest a una rete aperta (senza password) che reindirizza immediatamente a un captive portal. Questo elimina la vulnerabilità della chiave condivisa e consente l'autenticazione per singolo utente.
Step 2 - Segmentazione VLAN per PCI DSS: Creare una VLAN Guest dedicata (es. VLAN 20) su tutti gli switch gestiti. Assegnare i terminali POS alla VLAN aziendale esistente (VLAN 10). Configurare le ACL sul firewall per imporre un isolamento rigoroso tra le due VLAN. Documentare questa segmentazione come parte del diagramma di rete PCI DSS.
Step 3 - Captive Portal con consenso conforme al GDPR: Distribuire una piattaforma di captive portal gestita. Configurare la splash page per richiedere l'autenticazione tramite Email, Google o Facebook. Includere una casella di opt-in deselezionata e formulata chiaramente: 'Accetto di ricevere email promozionali da [Nome Brand]. È possibile annullare l'iscrizione in qualsiasi momento.'
Step 4 - Integrazione CRM e automazione: Collegare l'API del portale al CRM del rivenditore (es. Salesforce, Klaviyo). Sincronizzare i profili utente autenticati, i timestamp delle visite e i dati sulla posizione del punto vendita. Configurare un'email di benvenuto automatica attivata al primo collegamento e una campagna di re-engagement attivata quando un utente noto non si collega da 30 giorni.
Domande di esercitazione
Q1. Il tuo team marketing desidera raccogliere gli indirizzi email degli ospiti tramite il nuovo hotspot WiFi. Suggeriscono di impostare il tempo di lease DHCP su 24 ore in modo che gli ospiti non debbano accedere ripetutamente durante il giorno. La tua struttura registra 3.000 visitatori unici al giorno. La tua subnet ospiti è una /23 (510 IP utilizzabili). Qual è il difetto architetturale in questa richiesta e come lo risolvi pur soddisfacendo il requisito del team marketing?
Suggerimento: Considera la relazione tra il numero di visitatori giornalieri, la dimensione della subnet e la durata del lease. Poi pensa a come separare il problema a livello di rete da quello a livello applicativo.
Visualizza risposta modello
Il difetto architetturale è che un tempo di lease di 24 ore su una subnet /23 con 3.000 visitatori giornalieri causerà un rapido esaurimento del DHCP. Una volta connessi 510 dispositivi, nessun nuovo dispositivo riceverà un indirizzo IP per un massimo di 24 ore. La soluzione è duplice: in primo luogo, espandere la subnet ad almeno una /21 (2.046 IP) per ospitare i dispositivi simultanei di picco. In secondo luogo, ridurre il tempo di lease DHCP a 30 - 60 minuti per riciclare gli indirizzi IP quando gli ospiti lasciano la struttura. Per soddisfare la richiesta del team marketing di evitare che gli ospiti debbano autenticarsi ripetutamente, configura il controller del captive portal per ricordare i MAC address autenticati (o i token di identità utente) per 24 ore. Ciò consente a un dispositivo che ritorna di ottenere un nuovo IP tramite DHCP ma di bypassare la splash page, offrendo l'esperienza fluida desiderata dal marketing senza compromettere la rete.
Q2. Un cliente retail desidera implementare un captive portal ma è preoccupato per il costo della sostituzione dei propri switch non gestiti esistenti. Chiede se può far funzionare il WiFi ospiti sugli stessi switch fisici non gestiti dei propri terminali POS, utilizzando semplicemente un SSID diverso per la rete ospiti.
Suggerimento: L'applicazione delle VLAN richiede hardware switch gestito. Considera cosa succede al traffico su uno switch non gestito.
Visualizza risposta modello
Questa configurazione non è accettabile dal punto di vista della sicurezza o della conformità. Gli switch non gestiti non supportano il tagging VLAN 802.1Q, il che significa che tutto il traffico sullo switch - indipendentemente dal SSID - si trova sullo stesso dominio di broadcast. Un dispositivo ospite sul SSID "ospiti" sarebbe in grado di raggiungere i terminali POS sullo stesso switch, violando il requisito PCI DSS 1.3. Il cliente deve sostituire gli switch non gestiti con switch Layer 2 gestiti che supportano il tagging VLAN 802.1Q. Il costo di capitale degli switch gestiti è modesto rispetto all'esposizione a responsabilità di una violazione PCI DSS o alle sanzioni associate a una compromissione dei dati.
Q3. Stai distribuendo access point in un centro congressi ad alta densità che ospita eventi con un massimo di 1.500 utenti WiFi simultanei. Noti una latenza significativa e una perdita di pacchetti sullo spettro a 2.4 GHz durante gli eventi, anche se lo spettro a 5 GHz appare sottoutilizzato. Come dovresti configurare il controller wireless per risolvere questo problema e quale ulteriore considerazione sull'hardware dovresti fare?
Suggerimento: Pensa a come spostare i dispositivi compatibili fuori dalla banda di frequenza congestionata e considera la relazione tra la potenza di trasmissione dell'AP e la densità dei client.
Visualizza risposta modello
Abilita il Band Steering sul controller wireless. Questa funzione rileva se un dispositivo client è in grado di connettersi alla banda a 5 GHz e incoraggia o costringe attivamente il dispositivo ad associarsi ad essa, liberando la banda a 2.4 GHz per i dispositivi legacy. Inoltre, riduci la potenza di trasmissione su tutti gli AP. Contrariamente a quanto si potrebbe pensare, nelle distribuzioni ad alta densità, una potenza di trasmissione inferiore migliora le prestazioni riducendo l'interferenza co-canale tra gli AP adiacenti e incoraggiando i client ad associarsi all'AP più vicino anziché a uno lontano con un'intensità di segnale elevata. Prendi in considerazione la distribuzione di un numero maggiore di AP a potenza inferiore rispetto a un numero inferiore di AP ad alta potenza. Abilita anche 802.11r (Fast BSS Transition) per consentire un roaming fluido mentre gli utenti si spostano all'interno della struttura.
Continua a leggere questa serie
Captive Portal per Ruijie: come configurarlo con Purple guest WiFi
Come il cloud guest WiFi di Purple si integra con gli access point Ruijie serie RG utilizzando l'autenticazione web e RADIUS, configurati da riga di comando, e dove trovare i passaggi esatti di configurazione.
Progettazione di Captive Portal B2B: Raccolta dei Dati del Nome Registrato e dell'Azienda
Questa guida fornisce ai responsabili IT e ai gestori di sedi un framework tecnico indipendente dal fornitore per la progettazione di Captive Portal B2B. Dettaglia come strutturare i campi di registrazione per acquisire il nome registrato e i dati aziendali, garantendo tassi di completamento elevati pur mantenendo la conformità al GDPR e creando un'intelligence a livello di account.
Architettura Captive Portal: sicurezza, reindirizzamento e best practice
Un riferimento tecnico definitivo sull'architettura enterprise del captive portal. Questa guida analizza l'isolamento della rete, il reindirizzamento DNS, l'autenticazione RADIUS e la conformità della sicurezza per i responsabili IT che implementano reti WiFi ospiti sicure e ricche di dati.