Vai al contenuto principale
Italiano

EnGenius Cloud Access Points Integration with Purple WiFi

Questa guida tecnica di riferimento descrive dettagliatamente l'integrazione passo-passo degli EnGenius Cloud Access Points e degli switch ECS con la piattaforma WiFi per ospiti di Purple. Copre il reindirizzamento al Captive Portal degli ospiti tramite una splash page esterna, la configurazione del Walled Garden, il WiFi aziendale sicuro per lo staff tramite IEEE 802.1X e l'isolamento della rete multi-tenant tramite EnGenius MyPSK con assegnazione dinamica della VLAN. Gli installatori IT e gli architetti di rete troveranno sequenze di configurazione pratiche, casi di studio reali e un framework di risoluzione dei problemi per implementare Purple su infrastrutture hardware EnGenius.

📖 9 minuti di lettura📝 2,239 parole🔧 2 esempi pratici3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
SCENEGGIATURA DEL PODCAST: Integrazione degli Access Point EnGenius Cloud con Purple WiFi Piattaforma di Intelligence Purple WiFi - Serie di Briefing Tecnici Durata: circa 10 minuti Voce: inglese britannico, tono da consulente senior - sicuro, colloquiale, autorevole [INTRODUZIONE - 1 MINUTO] Benvenuti alla serie di Briefing Tecnici Purple. Oggi parleremo di un argomento che si presenta regolarmente nelle distribuzioni aziendali: l'integrazione degli access point EnGenius Cloud con la piattaforma Purple per il guest WiFi. Se gestite un parco macchine EnGenius, che si tratti di access point della serie ECW in un hotel, in una catena di negozi o in un edificio per uffici multi-tenant, e desiderate aggiungere un Captive Portal personalizzato, raccogliere dati di prima parte sui visitatori e applicare una corretta segmentazione della rete, questo briefing fa al caso vostro. Nei prossimi dieci minuti desidero guidarvi attraverso le quattro aree di configurazione principali: il reindirizzamento al Captive Portal per gli ospiti, la configurazione del walled garden, il WiFi sicuro per il personale tramite 802.1X e l'isolamento multi-tenant tramite EnGenius MyPSK con assegnazione dinamica della VLAN. Al termine, avrete un quadro chiaro di cosa configurare, in quale ordine e quali sono le trappole più comuni da evitare. Iniziamo. [APPROFONDIMENTO TECNICO - 5 MINUTI] Cominciamo con il Captive Portal per gli ospiti, il punto di partenza più comune per qualsiasi gestore di sedi. EnGenius Cloud supporta nativamente le splash page esterne. Ciò significa che, invece di ospitare una pagina di accesso di base sull'access point stesso, reindirizzerete gli ospiti non autenticati al portale Purple ospitato nel cloud. È qui che risiedono il branding, l'acquisizione dei dati, la gestione del consenso e la reportistica. Ecco la sequenza di configurazione in EnGenius Cloud. Accedete alla dashboard di EnGenius Cloud e andate su Configure (Configura), quindi su SSID. Selezionate il vostro SSID per gli ospiti. Nella scheda Wireless, impostate il tipo di sicurezza su Open o WPA2 PSK, a seconda delle vostre preferenze. Lo stato Open è lo standard per la maggior parte delle implementazioni di guest WiFi. Passate quindi alla scheda Captive Portal. Abilitate il Captive Portal e impostate l'Authentication Type (Tipo di autenticazione) su Custom RADIUS. Questa è l'impostazione fondamentale. Indica all'access point di inoltrare le richieste di autenticazione a un server RADIUS esterno, che in questo caso è l'endpoint RADIUS cloud di Purple. Inserite ora i dettagli RADIUS di Purple. L'IP del server RADIUS primario è fornito nella dashboard di Purple alla voce Hardware Configuration (Configurazione hardware). La porta di autenticazione è la UDP 1812. La porta di accounting è la UDP 1813. Inserite la chiave segreta condivisa (shared secret). Purple la genera per voi, e deve essere di almeno 22 caratteri combinando maiuscole, minuscole, numeri e simboli. Impostate il NAS identifier in modo che corrisponda al nome della vostra sede o a un identificatore univoco che avete definito in Purple. Successivamente, passa alla scheda Splash Page. Seleziona URL Splash Page Esterna e inserisci l'URL del portale Purple. Questo è l'URL che Purple fornisce per la tua sede specifica. Quando un ospite si connette all'SSID e apre un browser, l'access point intercetta la richiesta e la reindirizza a questo URL, passando i parametri che includono l'indirizzo MAC del client, l'indirizzo MAC dell'access point (AP) e l'URL originale che l'ospite stava cercando di raggiungere. Ora passiamo al walled garden. Si tratta dell'elenco di domini e indirizzi IP che gli ospiti possono raggiungere prima di autenticarsi. Senza di esso, il portale Purple stesso non può caricarsi, perché il browser dell'ospite non può raggiungere i server di Purple. In EnGenius Cloud, il walled garden si trova sotto Captive Portal, poi Impostazioni Avanzate, infine Walled Garden. È necessario aggiungere il dominio del portale Purple, gli endpoint CDN di Purple e gli endpoint di prova del captive portal del sistema operativo. Per i dispositivi Apple, l'endpoint è captive.apple.com. Per Android, connectivitycheck.gstatic.com. Per Windows, msftconnecttest.com. Se ne dimentichi uno solo, gli ospiti su quelle piattaforme non vedranno affatto il portale. Se offri il social login tramite Google o Facebook, devi anche inserire nella whitelist gli endpoint OAuth di questi provider. Google richiede come minimo accounts.google.com, oauth2.googleapis.com e apis.google.com. Facebook richiede www.facebook.com, graph.facebook.com e connect.facebook.net. La documentazione di supporto di Purple fornisce un elenco aggiornato del walled garden per ciascun metodo di autenticazione. Utilizzalo come riferimento, poiché questi domini cambiano nel tempo. Ora passiamo alla protezione della rete WiFi dello staff utilizzando 802.1X. Questo è un SSID separato. Il tipo di sicurezza qui è WPA2 Enterprise o WPA3 Enterprise. In EnGenius Cloud, nella scheda Wireless dell'SSID, seleziona WPA2 Enterprise e poi scegli RADIUS Personalizzato. Inserisci gli stessi dettagli del server RADIUS: l'endpoint RADIUS di Purple, la porta 1812 e il segreto condiviso. La differenza rispetto alla configurazione per gli ospiti è che qui non è presente alcun captive portal. I dispositivi dello staff si autenticano silenziosamente utilizzando il protocollo IEEE 802.1X. Il dispositivo presenta un certificato o un nome utente e una password al server RADIUS, che li convalida e restituisce un messaggio Access-Accept insieme agli attributi di assegnazione della VLAN. Gli attributi RADIUS che gestiscono l'assegnazione dinamica della VLAN sono Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sul numero della VLAN. Quindi, se la VLAN dello staff è la VLAN 20, il server RADIUS restituisce Tunnel-Private-Group-ID con il valore 20. L'access point EnGenius legge questo attributo e inserisce automaticamente il dispositivo autenticato nella VLAN 20. Ciò significa che puoi avere un singolo SSID che serve molteplici ruoli dello staff (amministrazione, operazioni, IT, esterni), ciascuno dei quali approda su una VLAN diversa in base all'appartenenza al gruppo di directory, il tutto senza alcuna configurazione manuale della VLAN per dispositivo. Per il metodo EAP, PEAP-MSCHAPv2 è la scelta più comune per gli ambienti che utilizzano Active Directory o Microsoft Entra ID. Richiede un certificato lato server sul server RADIUS e credenziali nome utente-password sul client. EAP-TLS è più sicuro. Utilizza certificati su entrambi i lati. Richiede però un'infrastruttura PKI e la distribuzione MDM per inviare i certificati ai dispositivi. Per la maggior parte dei gestori di sedi fisiche, PEAP-MSCHAPv2 con convalida rigorosa del certificato applicata tramite Criteri di gruppo o MDM rappresenta la scelta più pratica. Passiamo ora alla parte tecnicamente più interessante: EnGenius MyPSK e l'isolamento multi-tenant. MyPSK, chiamato anche PPSK o Private Pre-Shared Key, risolve un problema specifico negli ambienti multi-tenant. In un complesso residenziale in affitto, in un ufficio arredato o in uno studentato, si desidera che ogni inquilino o residente abbia la propria password WiFi univoca. Tuttavia, non si vuole creare un SSID separato per ciascun inquilino, poiché ciò creerebbe congestione delle radiofrequenze e sovraccarico di gestione. MyPSK consente di creare fino a 500 chiavi pre-condivise univoche per SSID. Ciascuna chiave è associata a una VLAN specifica. Quando un residente si connette utilizzando la sua chiave univoca, l'access point lo inserisce automaticamente nella VLAN assegnata. Il traffico dell'Inquilino A non tocca mai il segmento di rete dell'Inquilino B. Anche la crittografia è per singolo utente. Ogni chiave genera una Pairwise Master Key univoca, impedendo a un inquilino di decifrare il traffico via etere di un altro inquilino, pur condividendo lo stesso SSID. In EnGenius Cloud, MyPSK si configura nelle impostazioni di sicurezza dell'SSID. Selezionare WPA2 PSK o WPA3 Personal, quindi abilitare MyPSK. È possibile creare le PSK singolarmente o generare automaticamente lotti fino a 50 alla volta. Per ciascuna PSK si assegna un ID VLAN e, facoltativamente, si imposta una data di scadenza. Al termine di un contratto di locazione o al conseguimento del titolo di studio di uno studente, basta far scadere o eliminare la sua PSK. L'accesso viene revocato immediatamente senza influire su nessun altro inquilino. Per l'integrazione con Purple in un ambiente MyPSK, i tenant rivolti agli ospiti possono comunque essere reindirizzati attraverso un Captive Portal sulla loro VLAN. Il personale e i tenant operativi aggirano completamente il portale. La segmentazione VLAN garantisce che i dati analitici di Purple siano attribuiti correttamente per ciascun segmento di rete. [CONSIGLI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - 2 MINUTI] Ecco la sequenza di implementazione che raccomando per una prima installazione pulita. Iniziare con l'architettura VLAN prima di toccare la configurazione WiFi. Definire la VLAN 10 per gli ospiti, la VLAN 20 per il personale, la VLAN 30 per gli inquilini o qualsiasi numerazione si adatti al proprio schema esistente. Configurare innanzitutto queste VLAN sugli switch ECS, con le opportune assegnazioni di trunk e porte di accesso. Gli access point devono ricevere il traffico taggato sulla porta di uplink per ciascuna VLAN che si intende utilizzare. Quindi configura gli SSID in EnGenius Cloud in questo ordine: prima l'SSID guest, poiché è il più semplice. Valuta il reindirizzamento del Captive Portal a Purple prima di procedere. Successivamente, configura l'SSID del personale con 802.1X. Testalo con un dispositivo noto prima di distribuirlo all'intera infrastruttura. Infine, configura MyPSK se hai bisogno dell'isolamento multi-tenant. Le insidie. Primo, il walled garden. Questa è la causa numero uno dei fallimenti nelle implementazioni del Captive Portal. Se gli ospiti non riescono a raggiungere il portale, controlla prima il walled garden. Secondo, la mancata corrispondenza del segreto condiviso RADIUS. Il segreto condiviso deve essere identico sia nella configurazione di EnGenius Cloud sia in quella del server RADIUS di Purple. Una differenza di un solo carattere fa fallire silenziosamente ogni autenticazione. Terzo, la configurazione del trunk VLAN sullo switch. Se la porta dello switch ECS che si collega all'access point non è configurata come trunk per trasportare tutte le VLAN richieste, l'assegnazione dinamica della VLAN fallirà. Quarto, la convalida del certificato sui client 802.1X. Se i dispositivi del personale non sono configurati per convalidare il certificato del server RADIUS, sono vulnerabili al furto di credenziali tramite access point non autorizzati. Imponi questa configurazione tramite Criteri di gruppo per Windows e profili MDM per tutto il resto. [D&A RAPIDE - 1 MINUTO] Alcune domande che ricevo regolarmente sulle installazioni di EnGenius e Purple. Posso usare il RADIUS di EnGenius Cloud invece del RADIUS di Purple? Sì, per l'autenticazione interna. Ma per il WiFi ospiti con la messaggistica analitica e il portale di Purple, devi puntare all'endpoint RADIUS di Purple. I due possono coesistere su SSID diversi. MyPSK funziona con WPA3? Sì. EnGenius supporta WPA3 e la modalità mista WPA2/WPA3 con MyPSK, in modo che i dispositivi compatibili con WPA3 ottengano l'autenticazione SAE mentre i dispositivi più vecchi ripieghino su WPA2 PSK, il tutto utilizzando la stessa chiave per utente. Purple supporta l'accounting RADIUS per i dati di sessione? Sì. Abilita il server di accounting nella configurazione RADIUS di EnGenius Cloud, puntando all'endpoint di accounting di Purple sulla porta UDP 1813. Questo invia la durata della sessione e il volume dei dati agli strumenti di analisi di Purple. [RIASSUNTO E PROSSIMI PASSI - 1 MINUTO] Per riassumere. Gli access point EnGenius Cloud si integrano perfettamente con la piattaforma WiFi ospiti di Purple attraverso quattro livelli di configurazione. Il reindirizzamento al Captive Portal ospiti utilizza un RADIUS personalizzato e l'URL di una splash page esterna che punta a Purple. Il walled garden in whitelist garantisce il caricamento del portale prima dell'autenticazione. Il WiFi del personale utilizza WPA2 Enterprise con 802.1X e l'assegnazione dinamica della VLAN tramite attributi RADIUS. Inoltre, l'isolamento multi-tenant utilizza EnGenius MyPSK per assegnare chiavi univoche per singolo utente associate a VLAN specifiche, con date di scadenza facoltative per l'accesso a tempo limitato. Purple opera in 80.000 sedi e ha gestito 440 milioni di accessi solo nel 2024. La piattaforma è certificata ISO 27001, conforme al GDPR e indipendente dall'hardware, motivo per cui funziona perfettamente con EnGenius insieme a Cisco Meraki, HPE Aruba, Ruckus e al resto dell'ecosistema hardware aziendale. Se sei pronto per la distribuzione, inizia con la guida alla configurazione del walled garden nella documentazione di supporto di Purple, quindi procedi con la configurazione dell'SSID in EnGenius Cloud. La guida dettagliata completa è disponibile su purple.ai. Grazie per l'ascolto.

header_image.png

Sintesi per il management

L'affidamento a una chiave pre-condivisa comune per il WiFi aziendale espone le sedi a significativi rischi di sicurezza e impedisce la raccolta di preziosi dati di prima parte. Questa guida illustra in dettaglio l'integrazione degli Access Point EnGenius Cloud con la piattaforma Guest WiFi di Purple per offrire reti wireless sicure, segmentate e misurabili in contesti hospitality , retail e ambienti multi-tenant. Implementando l'autenticazione IEEE 802.1X per il personale, l'assegnazione dinamica delle VLAN tramite EnGenius MyPSK per residenti e inquilini e un Captive Portal ospitato in cloud per gli ospiti, i team IT possono applicare rigorosi controlli di accesso trasformando l'infrastruttura wireless in una risorsa di business intelligence.

Purple gestisce 440 milioni di accessi all'anno in oltre 80.000 sedi attive (dati interni Purple, 2024). La piattaforma è certificata ISO 27001, conforme a GDPR e CCPA ed è agnostica rispetto all'hardware; proprio per questo si integra perfettamente con EnGenius oltre che con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Questa guida copre i quattro livelli di configurazione richiesti per implementare Purple sull'hardware EnGenius Cloud: reindirizzamento al Captive Portal per gli ospiti, configurazione del Walled Garden, Staff WiFi sicuro e isolamento multi-tenant tramite EnGenius MyPSK.

Approfondimento tecnico

Panoramica dell'architettura

L'integrazione tra EnGenius Cloud e Purple si basa su protocolli RADIUS standard e reindirizzamento HTTP. Quando un ospite si connette a un access point EnGenius ECW su un SSID con Captive Portal abilitato, l'AP intercetta la prima richiesta HTTP e reindirizza il browser alla splash page ospitata sul cloud di Purple. Questo reindirizzamento passa diversi parametri al portale, tra cui client_mac, ap_mac e userurl, che Purple utilizza per tracciare la sessione e restituire una decisione di autenticazione.

Per il personale e i dispositivi operativi, l'architettura passa dal reindirizzamento del Captive Portal al controllo dell'accesso alla rete basato su porta IEEE 802.1X. L'access point EnGenius funge da autenticatore, inoltrando i messaggi EAP (Extensible Authentication Protocol) al server RADIUS di Purple tramite la porta UDP 1812. Una volta completata con successo l'autenticazione, il server RADIUS restituisce un messaggio Access-Accept contenente gli attributi di assegnazione della VLAN, indicando all'AP di collocare il dispositivo nel segmento di rete corretto.

architecture_overview.png

Livello Tipo SSID Metodo di Autenticazione Assegnazione VLAN
Guest WiFi Aperto o WPA2 PSK Captive Portal Purple tramite RADIUS Personalizzato Statica (es. VLAN 10)
Staff WiFi WPA2/WPA3 Enterprise 802.1X (PEAP o EAP-TLS) Dinamica tramite attributi RADIUS
Multi-Tenant WPA2/WPA3 PSK con MyPSK PSK per utente Binding VLAN per chiave

Piattaforma EnGenius Cloud

EnGenius Cloud è una piattaforma di gestione di rete in cloud che supporta gli access point della serie ECW (inclusi i modelli WiFi 7 ECW220, ECW230 e ECW520) e gli switch gestiti della serie ECS. La piattaforma fornisce una dashboard centralizzata per la gestione degli SSID, la configurazione RADIUS, il tagging VLAN e le impostazioni del Captive Portal per tutti i dispositivi di un'organizzazione. EnGenius Cloud supporta tre tipi di autenticazione Captive Portal basati su RADIUS: Autenticazione EnGenius (utilizzando il Cloud RADIUS integrato), RADIUS Personalizzato (che punta a un server esterno come Purple) e Servizio Voucher.

Per le distribuzioni aziendali, il RADIUS Personalizzato è il tipo di autenticazione corretto per l'integrazione con Purple. Questa modalità indica all'access point di inoltrare le richieste di autenticazione tramite proxy all'endpoint RADIUS di Purple, abilitando il portale, l'analytics e le funzionalità di acquisizione dati di Purple.

EnGenius MyPSK e isolamento multi-tenant

In ambienti come immobili in affitto (build-to-rent), alloggi per studenti, uffici arredati o spazi di coworking, trasmettere un SSID separato per ogni tenant riduce le prestazioni delle radiofrequenze. Ogni SSID aggiuntivo genera frame di beacon che consumano tempo di trasmissione radio e riducono la capacità disponibile per il traffico dati. EnGenius MyPSK (noto anche come PPSK, o Private Pre-Shared Key) risolve questo problema consentendo fino a 500 PSK univoci su un singolo SSID.

Ogni chiave è associata a una VLAN specifica. Quando un residente si connette utilizzando la propria chiave univoca, l'access point lo inserisce automaticamente nel segmento di rete designato. La crittografia è per utente: ogni chiave genera una Pairwise Master Key (PMK) univoca, impedendo a un tenant di decrittografare il traffico via etere di un altro tenant, anche se condividono lo stesso SSID. Si tratta di un vantaggio fondamentale in termini di sicurezza rispetto a una singola PSK condivisa, dove qualsiasi utente che conosce la password può decrittografare tutto il traffico sulla rete.

mypsk_vlan_infographic.png

Le chiavi MyPSK supportano le date di scadenza, rendendole ideali per scenari di accesso limitati nel tempo: la chiave di uno studente scade al termine dell'anno accademico, la chiave di un collaboratore esterno scade alla fine del suo contratto e la chiave di un partecipante a una conferenza scade alla mezzanotte dell'ultimo giorno dell'evento.

Guida all'implementazione

Passaggio 1: Definire l'architettura VLAN

Prima di configurare qualsiasi SSID, definire la struttura delle VLAN sugli switch ECS. Una tipica implementazione utilizza tre VLAN:

ID VLAN Scopo Criterio di Accesso
VLAN 10 Guest WiFi Solo Internet, isolata dalla LAN aziendale
VLAN 20 Staff WiFi Accesso completo alla LAN aziendale
VLAN 30 WiFi Tenant/Residenti Segmenti isolati per ciascun tenant

Configurare la porta dello switch ECS collegata a ciascun access point ECW come porta trunk, consentendo tutte e tre le VLAN. La VLAN nativa sul trunk deve essere la VLAN di gestione. Se il trunk non è configurato correttamente, l'assegnazione dinamica della VLAN non andrà a buon fine senza segnalare errori.

Passaggio 2: Configurare il Captive Portal per gli ospiti (configurazione del Captive Portal EnGenius)

Questa è la configurazione principale per implementare la splash page EnGenius con Purple.

  1. Accedere alla dashboard di EnGenius Cloud all'indirizzo cloud.engenius.ai .
  2. Passare a Configure > SSID e selezionare la rete ospiti (ad es. "VenueGuest").
  3. Nella scheda Wireless, impostare il Tipo di sicurezza su Open. Questa è la procedura standard per il WiFi ospiti; gli ospiti vengono identificati e autenticati a livello di portale, non a livello di associazione.
  4. Passare alla scheda Captive Portal e abilitare il portale.
  5. Impostare il Tipo di autenticazione su Custom RADIUS.
  6. Inserire i dettagli del server RADIUS Purple:
Campo Valore
IP del server RADIUS Fornito nella dashboard Purple sotto Configurazione Hardware
Porta di autenticazione UDP 1812
Porta di accounting UDP 1813
Segreto condiviso Stringa di oltre 22 caratteri generata da Purple
Identificatore NAS Nome della sede o ID della sede Purple
  1. Passare alla scheda Splash Page.
  2. Selezionare External Splash Page URL.
  3. Inserire l'URL del portale Purple per la propria sede (formato: https://portal.purple.ai/[venue-id]).
  4. Fare clic su Apply.

Passaggio 3: Configurare il Walled Garden

Il Walled Garden (la whitelist del WiFi ospiti di EnGenius) deve essere configurato per consentire l'accesso pre-autenticazione ai domini necessari per il caricamento del portale. Passare a Captive Portal > Advanced Settings > Walled Garden e aggiungere le seguenti voci:

Infrastruttura Purple:

  • *.purple.ai
  • *.purpleportal.net

Probe del Captive Portal del sistema operativo (obbligatorie):

  • captive.apple.com (iOS e macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Login social (se abilitato):

  • Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
  • Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
  • Microsoft Entra ID: login.microsoftonline.com, login.live.com

Utilizzare sempre nomi di dominio anziché indirizzi IP statici. I provider di login social utilizzano intervalli IP dinamici e instradamento anycast; una whitelist di IP statici diventerà obsoleta con il tempo a causa della variazione degli indirizzi CDN.

Passaggio 4: Configurare il WiFi protetto per il personale (802.1X)

La configurazione RADIUS di EnGenius per il WiFi del personale utilizza WPA2 Enterprise per fornire un'autenticazione senza password supportata da certificato.

  1. Creare un nuovo SSID (ad es. "VenueStaff").
  2. Nella scheda Wireless, impostare il Tipo di sicurezza su WPA2 Enterprise.
  3. Selezionare Custom RADIUS e inserire l'IP del server RADIUS, la porta 1812 e il segreto condiviso.
  4. Non è richiesto alcun Captive Portal. I dispositivi del personale si autenticano in background tramite 802.1X.
  5. Configurare il server RADIUS per restituire i seguenti attributi su Access-Accept:
Attributo RADIUS Valore
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (802)
Tunnel-Private-Group-ID 20 (o l'ID della tua VLAN del personale)

Per la selezione del metodo EAP: PEAP-MSCHAPv2 rappresenta la scelta pratica per gli ambienti che utilizzano Microsoft Entra ID o Active Directory. EAP-TLS offre una sicurezza superiore eliminando completamente le password, ma richiede un'infrastruttura a chiave pubblica e una soluzione MDM per distribuire i certificati client. Imponi una convalida rigorosa del certificato server su tutti i dispositivi client tramite Criteri di gruppo (Windows) o profili MDM (macOS, iOS, Android) per prevenire il furto di credenziali da access point non autorizzati.

Passaggio 5: Configura EnGenius MyPSK per l'isolamento multi-tenant

Configurazione di EnGenius MyPSK per un ambiente multi-tenant:

  1. Crea un nuovo SSID (ad es., "VenueResident").
  2. Nella scheda Wireless, imposta il Tipo di sicurezza su WPA2 PSK o WPA3 Personal.
  3. Abilita MyPSK (Private PSK).
  4. Clicca su Aggiungi PSK per creare chiavi singole, oppure usa Generazione automatica per creare lotti fino a 50 chiavi alla volta.
  5. Per ciascuna PSK, assegna un VLAN ID e, facoltativamente, imposta una Data di inizio e una Data di scadenza.
  6. Distribuisci ogni PSK univoca al rispettivo tenant o residente.

Al termine della locazione di un tenant, elimina o imposta come scaduta la sua PSK. L'accesso viene revocato immediatamente senza influire su nessun altro tenant della rete.

Best practice

Imponi una convalida rigorosa del certificato sui client 802.1X. PEAP-MSCHAPv2 è sicuro solo quando i client sono configurati per convalidare il certificato del server RADIUS rispetto a una CA attendibile. In caso contrario, un access point non autorizzato può presentare un certificato fraudolento e sottrarre credenziali. Distribuisci le impostazioni di convalida tramite Criteri di gruppo per Windows e profili di configurazione MDM per tutte le altre piattaforme. Questo aspetto non è negoziabile per qualsiasi implementazione in un ambiente regolamentato.

Utilizza la risoluzione DNS dinamica nel Walled Garden. Google, Apple e Meta utilizzano intervalli IP dinamici per i loro endpoint OAuth e CDN. Configura le voci del Walled Garden come nomi di dominio e assicurati che il controller EnGenius Cloud li risolva in modo dinamico. Una whitelist di IP statici causerà errori di autenticazione a causa della rotazione degli IP delle CDN.

Segmenta i dispositivi IoT con MAC Authentication Bypass. I dispositivi headless come stampanti, display e sensori IoT non possono autenticarsi tramite 802.1X. Utilizza il MAC Authentication Bypass (MAB) per identificarli e inserirli in una VLAN limitata con regole firewall che impediscono lo spostamento laterale. Il MAB non è un controllo di sicurezza, bensì un meccanismo di identificazione dei dispositivi. Tratta i dispositivi autenticati tramite MAB come non attendibili.

Implementa l'accounting RADIUS. Abilita il server di accounting nella configurazione RADIUS di EnGenius Cloud, indirizzandolo all'endpoint di accounting di Purple sulla porta UDP 1813. Questo invia la durata della sessione, il volume dei dati e le informazioni sul dispositivo alla piattaforma di WiFi Analytics di Purple, fornendo i dati sull'utilizzo della struttura che giustificano l'investimento nell'infrastruttura. Sottoporre a revisione trimestrale il Walled Garden. I provider OAuth e le CDN modificano le proprie strutture di dominio. Apple ha aggiornato i propri domini di Sign In due volte nel 2023. Integra nel calendario operativo una revisione trimestrale del Walled Garden. Per ulteriori indicazioni sulle pratiche di sicurezza WiFi aziendali, consulta la nostra guida alla sicurezza Enterprise WiFi .

Risoluzione dei problemi e mitigazione dei rischi

Sintomo: Il Captive Portal non si carica sui dispositivi iOS. Causa: captive.apple.com non è presente nel Walled Garden. iOS utilizza questo endpoint per rilevare la presenza di un captive portal e attivare il Captive Network Assistant. Senza di esso, il dispositivo segnala "Nessuna connessione Internet" e non apre mai il browser del portale. Risoluzione: Aggiungere captive.apple.com al Walled Garden in EnGenius Cloud in Captive Portal > Impostazioni Avanzate.

Sintomo: L'autenticazione fallisce in modo silenzioso: RADIUS non restituisce alcuna risposta. Causa: Mancata corrispondenza del segreto condiviso (shared secret) tra EnGenius Cloud e la configurazione del server RADIUS di Purple. Una differenza anche di un solo carattere causa lo scarto di ogni richiesta di autenticazione. Risoluzione: Reinserire il segreto condiviso in entrambi i sistemi. Copiare e incollare da una sorgente in formato testo semplice per evitare la sostituzione con caratteri invisibili.

Sintomo: Il client 802.1X si autentica ma non riceve alcun indirizzo IP. Causa: La porta di uplink dello switch ECS non è configurata come trunk, oppure la VLAN restituita dal server RADIUS non è consentita sul trunk. Risoluzione: Verificare la configurazione della porta dello switch. La porta deve essere un trunk che trasporta tutte le VLAN a cui si fa riferimento nelle risposte RADIUS.

Sintomo: Il client MyPSK si connette ma può raggiungere i dispositivi di altri tenant. Causa: L'isolamento dei client (client isolation) non è abilitato sull'SSID, oppure la configurazione della VLAN sullo switch non isola correttamente i segmenti. Risoluzione: Abilitare l'isolamento dei client sull'SSID in EnGenius Cloud. Verificare che ogni VLAN sia configurata con regole di routing inter-VLAN appropriate sul router o firewall a monte.

Sintomo: Il pulsante di social login si carica ma l'autenticazione fallisce. Causa: Uno o più sottodomini del provider OAuth mancano dal Walled Garden. Google e Meta utilizzano molteplici sottodomini per i loro flussi di autenticazione. Risoluzione: Acquisire l'output della console del browser da un dispositivo non autenticato per identificare quale dominio viene bloccato. Aggiungere il dominio mancante al Walled Garden. Consultare la documentazione di Purple relativa alla Walled Garden Domain Whitelist per l'elenco aggiornato.

ROI e impatto aziendale

L'implementazione di Purple con EnGenius Cloud trasforma l'infrastruttura wireless da centro di costo ad asset di dati. I gestori delle sedi acquisiscono dati demografici di prima parte, completamente conformi al GDPR, dai visitatori attraverso opt-in espliciti, consentendo campagne di marketing mirate e un coinvolgimento misurabile. Per i team IT, il passaggio a 802.1X e MyPSK elimina i costi operativi legati alla gestione delle password condivise, riduce i ticket di supporto relativi ai problemi di accesso e fornisce una visibilità granulare sull'utilizzo della rete. Per gli operatori dell' hospitality , Premier Inn - un cliente di riferimento di Purple - utilizza i dati del WiFi ospiti per incrementare l'adesione ai programmi fedeltà e personalizzare le comunicazioni post-visita. Per gli ambienti del retail , la combinazione dei dati sull'affluenza provenienti dalla piattaforma di WiFi Analytics di Purple e dei dati sul tempo di permanenza fornisce informazioni di merchandising che giustificano l'investimento nell'infrastruttura, indipendentemente dai vantaggi in termini di sicurezza.

Nei contesti multi-tenant, MyPSK elimina la necessità di infrastrutture di rete fisiche separate per ogni locatario. Un singolo access point EnGenius ECW può servire 500 tenant isolati su un unico SSID, riducendo i costi hardware e semplificando la gestione quotidiana. Quando un tenant si trasferisce, la sua PSK viene eliminata in pochi secondi - senza richiedere la modifica della password e senza alcun impatto sugli altri residenti.

La piattaforma di Purple è indipendente dall'hardware (hardware-agnostic), il che significa che la stessa configurazione di Purple, l'analytics e il livello di acquisizione dati funzionano su hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se la tua infrastruttura include un mix di EnGenius e altri vendor, Purple fornisce un unico pannello di controllo per la gestione del WiFi ospiti su tutti i dispositivi. Per una guida all'implementazione correlata, consulta la nostra guida all'integrazione di DrayTek Vigor .

Definizioni chiave

Captive Portal

Una pagina web che intercetta la prima richiesta HTTP di un utente dopo la connessione a una rete WiFi e richiede l'autenticazione o l'accettazione dei termini prima di consentire l'accesso a Internet.

Il meccanismo principale per l'onboarding degli ospiti, l'acquisizione dei dati e la gestione del consenso conforme al GDPR nelle implementazioni Purple. EnGenius Cloud supporta pagine di Captive Portal sia interne che esterne.

Walled Garden

La whitelist esplicita di domini e indirizzi IP con cui un dispositivo client può comunicare prima di autenticarsi con successo tramite il Captive Portal.

Necessario per consentire ai dispositivi di raggiungere i server del portale Purple, gli endpoint di probe del sistema operativo e i provider di identità di terze parti come Google o Microsoft Entra ID prima del completamento dell'autenticazione.

EnGenius MyPSK

Una funzionalità che consente agli amministratori di rete di creare più chiavi pre-condivise (PSK) univoche su un singolo SSID, ciascuna associata a una VLAN specifica per l'isolamento della rete.

Utilizzato in ambienti multi-tenant per fornire segmenti di rete sicuri e isolati senza trasmettere più SSID. Supporta fino a 500 chiavi univoche per SSID con date di scadenza opzionali.

Assegnazione dinamica della VLAN

Il processo in cui un server RADIUS indica a un access point di posizionare un dispositivo autenticato su una VLAN specifica in base all'appartenenza al gruppo di directory, utilizzando l'attributo Tunnel-Private-Group-ID.

Consente a un singolo SSID 802.1X di segmentare in modo sicuro e automatico il traffico per i diversi ruoli del personale, senza configurazione manuale della VLAN per singolo dispositivo.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN, utilizzando EAP per trasmettere le credenziali a un server RADIUS.

La base della sicurezza WiFi aziendale per le reti del personale, che sostituisce le vulnerabili password condivise con la convalida di credenziali o certificati personalizzati.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per l'accesso alla rete.

Il protocollo utilizzato dagli access point EnGenius per comunicare con i server di autenticazione di Purple. L'autenticazione utilizza la porta UDP 1812; l'accounting utilizza la porta UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2; un metodo 802.1X che crea un tunnel TLS utilizzando un certificato lato server, all'interno del quale vengono scambiate le credenziali nome utente-password.

Il metodo di implementazione 802.1X più comune per gli ambienti che utilizzano Active Directory o Microsoft Entra ID. Richiede una rigorosa convalida del certificato del server sui client per prevenire il furto di credenziali.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un metodo di autenticazione 802.1X che richiede certificati digitali sia sul server RADIUS che su ogni dispositivo client, eliminando completamente le password.

Il metodo 802.1X più sicuro, raccomandato per ambienti ad alta sicurezza. Richiede un'infrastruttura a chiave pubblica (PKI) e una soluzione MDM per distribuire i certificati client.

Identificatore NAS

Network Access Server Identifier; un attributo di tipo stringa incluso nelle richieste RADIUS per identificare l'access point o il controller che ha originato la richiesta di autenticazione.

Configurato in EnGenius Cloud per corrispondere all'identificatore della sede nella piattaforma Purple, garantendo che i dati analitici e di sessione siano attribuiti alla posizione corretta.

PMK

Pairwise Master Key; la chiave crittografica derivata da una PSK e dal nome dell'SSID, utilizzata per crittografare la sessione wireless tra un client specifico e un access point.

Nelle implementazioni MyPSK, ogni PSK univoca genera una PMK distinta, impedendo a un tenant di decifrare il traffico di un altro, anche sullo stesso SSID.

Esempi pratici

Un hotel da 200 camere ha l'esigenza di fornire un accesso WiFi ottimale agli ospiti, un accesso sicuro al personale dell'hotel e reti isolate per tre attività commerciali situate nella hall, il tutto utilizzando gli stessi access point EnGenius ECW e switch ECS.

Configurare tre SSID sullo stesso hardware. SSID 1 (VenueGuest): sicurezza Open con RADIUS personalizzato orientato verso l'endpoint RADIUS di Purple. URL della splash page esterna configurato sul portale Purple. Walled Garden popolato con i probe del sistema operativo, i domini CDN di Purple e gli endpoint OAuth di Google. VLAN 10 assegnata staticamente. SSID 2 (VenueStaff): WPA2 Enterprise con RADIUS personalizzato. Nessun Captive Portal. Il server RADIUS restituisce un Tunnel-Private-Group-ID pari a 20 per tutto lo staff, con sotto-gruppi (amministrazione, operazioni, manutenzione) mappati rispettivamente sulle VLAN 21, 22 e 23. SSID 3 (VenueRetail): WPA2 PSK con MyPSK abilitato. Creati tre PSK univoci, ciascuno associato alle VLAN 31, 32 e 33. Date di scadenza impostate in base alla durata del contratto di locazione di ciascuna attività commerciale. La porta di uplink dello switch ECS è configurata come trunk che trasporta le VLAN 10, 20-23 e 31-33.

Commento dell'esaminatore: Questo approccio riduce al minimo il sovraccarico di SSID a sole tre trasmissioni, limitando l'interferenza co-canale e garantendo al contempo un rigoroso isolamento di Livello 2 tra ospiti, personale e partner esterni. L'assegnazione dinamica della VLAN per lo staff elimina la riconfigurazione manuale in caso di cambio di ruolo del personale. Le date di scadenza di MyPSK automatizzano la revoca dell'accesso per le attività commerciali senza richiedere l'intervento dell'IT.

Un campus universitario che utilizza EnGenius Cloud segnala che gli studenti che tentano di accedere al Captive Portal ospiti di Purple utilizzando i propri account Google Workspace ricevono un errore del browser dopo aver fatto clic sul pulsante di accesso di Google. La pagina del portale viene invece caricata correttamente.

Il corretto caricamento della pagina del portale conferma che i domini CDN di Purple sono inseriti correttamente nella whitelist. L'errore nella fase di login con Google indica che uno o più domini OAuth di Google non sono presenti nel Walled Garden. Accedere a EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden e aggiungere: accounts.google.com, oauth2.googleapis.com, apis.google.com e *.gstatic.com. Il carattere jolly per gstatic.com è necessario in quanto Google distribuisce le sue librerie JavaScript lato client da questa CDN. Dopo aver aggiornato il Walled Garden, testare con un dispositivo non autenticato e acquisire l'output della console del browser per verificare che nessun altro dominio venga bloccato.

Commento dell'esaminatore: I problemi di OAuth nella fase del provider (piuttosto che in quella di caricamento del portale) sono quasi sempre causati da configurazioni incomplete del Walled Garden. Il Captive Portal intercetta la chiamata HTTPS al provider di identità a meno che il dominio non venga esplicitamente escluso. L'uso di voci con caratteri jolly (*.gstatic.com) rappresenta l'approccio più pratico per i provider che utilizzano più sottodomini CDN, a condizione che la versione di EnGenius Cloud in uso supporti l'inserimento di caratteri jolly nel Walled Garden.

Domande di esercitazione

Q1. Distribuisci un Captive Portal Purple su access point EnGenius ECW. Gli utenti Android segnalano che i loro dispositivi mostrano "Connesso, senza internet" e il portale non appare mai. Gli utenti iOS sullo stesso SSID visualizzano correttamente il portale. Qual è l'errore di configurazione più probabile e come si risolve?

Suggerimento: Android e iOS utilizzano endpoint di probe differenti per il Captive Portal.

Visualizza risposta modello

Android utilizza connectivitycheck.gstatic.com come endpoint di probe per il Captive Portal. iOS utilizza captive.apple.com. Se gli utenti iOS visualizzano il portale ma quelli Android no, connectivitycheck.gstatic.com manca dal Walled Garden. Aggiungilo in EnGenius Cloud in Captive Portal > Advanced Settings > Walled Garden. Aggiungi anche connectivitycheck.android.com e www.google.com , poiché Android utilizza più URL di probe a seconda della versione del dispositivo.

Q2. Una sede configura l'802.1X su un SSID EnGenius. I dispositivi del personale si autenticano con successo (i log del server RADIUS mostrano Access-Accept), ma i dispositivi ricevono un indirizzo APIPA 169.x.x.x anziché un IP aziendale. Qual è la causa più probabile?

Suggerimento: Il server RADIUS accetta l'autenticazione, quindi il problema è a valle dell'autenticazione.

Visualizza risposta modello

Il server RADIUS restituisce un attributo Tunnel-Private-Group-ID che specifica un ID VLAN. L'access point EnGenius tenta di taggare il traffico del client con quella VLAN, ma la porta di uplink sullo switch ECS non è configurata come porta trunk che trasporta quella VLAN. Il dispositivo viene posizionato su una VLAN in cui non è raggiungibile alcun server DHCP. Soluzione: configurare la porta di uplink dello switch ECS come trunk, consentendo esplicitamente l'ID VLAN restituito dal server RADIUS.

Q3. Un amministratore di proprietà build-to-rent ti chiede perché consigli EnGenius MyPSK invece di creare un SSID separato per ciascuna delle 80 unità abitative. Fornisci una giustificazione tecnica.

Suggerimento: Considera l'impatto dei beacon SSID sulle prestazioni WiFi.

Visualizza risposta modello

Ogni SSID trasmette frame di beacon a intervalli regolari (in genere ogni 100 ms). In un ambiente denso, 80 SSID genererebbero un sovraccarico costante di beacon consumando molto tempo di trasmissione (airtime), riducendo la capacità disponibile per il traffico dati effettivo e peggiorando le prestazioni per tutti gli utenti. La maggior parte degli access point aziendali impone inoltre un limite pratico di 8-16 SSID per radio. MyPSK offre lo stesso isolamento (ogni residente su una VLAN univoca con una chiave di crittografia univoca) utilizzando un singolo SSID, eliminando completamente il sovraccarico dei beacon. La PMK per singolo utente impedisce inoltre ai residenti di decifrare il traffico reciproco, cosa che una singola PSK condivisa non può evitare.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →