Guida passo-passo: Configurazione dei controller wireless Ruijie per i Captive Portal delle reti WiFi ospiti
Questa guida fornisce una panoramica tecnica completa per la configurazione dei controller wireless e dei gateway Ruijie per implementare Captive Portal per reti WiFi ospiti di livello enterprise. Copre la segmentazione VLAN, l'autenticazione RADIUS esterna tramite protocollo WISPr, la configurazione del walled garden e l'integrazione fluida con la piattaforma Identity-Based Networks di Purple per catturare dati di prima parte e generare valore aziendale misurabile nei settori hospitality, retail e pubblico.
Ascolta questa guida
Visualizza trascrizione del podcast
- Executive Summary
- Architettura tecnica e prerequisiti
- Segmentazione della rete
- Componenti richiesti
- Panoramica del protocollo di autenticazione
- Guida all'implementazione passo dopo passo
- Passaggio 1: Configurare l'SSID ospiti
- Passaggio 2: Definire la policy del Captive Portal
- Passaggio 3: Configurare il Walled Garden (Allowlist)
- Passaggio 4: Configura l'autenticazione RADIUS
- Passaggio 5: Applica le policy QoS
- Passaggio 6: Testa l'implementazione
- Best Practice per l'implementazione Enterprise
- Sicurezza e conformità
- Portal Escape: una decisione deliberata
- Coerenza multi-sito
- Gestione del firmware
- Risoluzione dei problemi e mitigazione dei rischi
- Caricamento della pagina del portale non riuscito
- Timeout di autenticazione
- Accessi ai social media bloccati
- ROI e Impatto Aziendale

Executive Summary
La distribuzione di un servizio WiFi ospiti all'interno di aziende distribuite sul territorio non si limita alla semplice offerta di un SSID aperto. Per i responsabili IT e gli architetti di rete, la sfida risiede nel bilanciare un accesso fluido con una sicurezza rigorosa, la conformità al GDPR e le esigenze di acquisizione dei dati. Questa guida illustra nel dettaglio i passaggi di configurazione specifici richiesti per implementare un Captive Portal sicuro e scalabile utilizzando controller wireless e gateway Ruijie, mostrando come l'integrazione di questa infrastruttura con la piattaforma Guest WiFi di Purple trasformi una connettività wireless di base in un asset conforme e in grado di generare valore economico.
Esamineremo i prerequisiti tecnici, le strategie di isolamento tramite VLAN, l'autenticazione RADIUS esterna tramite protocollo WISPr, la configurazione del Walled Garden e le impostazioni di QoS specifiche richieste per un'installazione di livello enterprise. Sia che gestiate un hotel da 200 camere, una catena di negozi con 50 punti vendita o uno stadio con una capienza di 40.000 persone, questa guida fornisce il modello di riferimento autorevole per una configurazione sicura del Captive Portal Ruijie. Con oltre 80.000 sedi attive in tutto il mondo e 440 milioni di accessi elaborati nel 2024 (dati interni Purple), i modelli di integrazione descritti in questo documento sono collaudati su larga scala.

Architettura tecnica e prerequisiti
Prima di modificare il controller Ruijie, occorre definire la corretta architettura di rete. Una rete ospiti sicura richiede un isolamento completo dal traffico aziendale a livello di Layer 2 (livello switch).
Segmentazione della rete
Il pilastro fondamentale di un WiFi ospiti sicuro è l'isolamento tramite VLAN. È necessario creare una VLAN dedicata agli ospiti sul gateway o sullo switch principale Ruijie. Questo garantisce che il traffico degli ospiti non incroci mai i sistemi interni, i terminali di pagamento o i dispositivi del personale. Di seguito è riportato uno schema VLAN enterprise standard per le implementazioni Ruijie:
| ID VLAN | Scopo | Note |
|---|---|---|
| 10 | Aziendale | Dispositivi del personale, server interni |
| 20 | Voce | Telefoni VoIP |
| 30 | Ospiti | Captive Portal, solo Internet |
| 40 | IoT | Stampanti, smart TV, sensori |
| 99 | Gestione | Gestione controller e switch |
Per maggiori dettagli sui motivi per cui gli approcci di livello consumer non sono adatti in questo contesto, consultate la guida Why consumer-grade WiFi gear is not for your guest network .
Componenti richiesti
Per completare questa implementazione, avrete bisogno di:
- Un account Ruijie Cloud o un controller wireless Ruijie serie RG-WS installato on-premises (ad esempio, RG-WS6008 o RG-WS7110).
- Un gateway Ruijie serie RG-EG - essenziale per l'autenticazione tramite portale esterno via WISPr.
- Access point Ruijie serie RG-AP (ad esempio, RG-AP820-I, RG-AP850-AR).
- Una licenza Purple Connect, Capture o Engage.
- Accesso UDP in uscita consentito dal gateway ai server Purple per la porta 1812 (autenticazione RADIUS) e 1813 (accounting RADIUS).
Panoramica del protocollo di autenticazione
Ruijie supporta molteplici metodi di autenticazione. Le distribuzioni di livello enterprise dovrebbero utilizzare l'autenticazione RADIUS esterna. Questo metodo utilizza il protocollo WISPr (Wireless Internet Service Provider Roaming) per reindirizzare in modo sicuro gli utenti non autenticati alla Splash Page di Purple, elaborare le loro credenziali e restituire un messaggio RADIUS Accept o Reject al controller Ruijie.

La tabella sopra riassume i cinque metodi di autenticazione offerti dalla piattaforma Ruijie. Le registrazioni via e-mail e i login tramite social media sono le scelte più comuni per i settori hospitality e retail, in quanto acquisiscono dati di prima parte strutturati e conformi al GDPR. I codici voucher sono adatti per sale riunioni e livelli di accesso a pagamento. RADIUS con 802.1X è riservato esclusivamente alle reti del personale che richiedono un'autenticazione supportata da directory.
Guida all'implementazione passo dopo passo
Si prega di eseguire i seguenti passaggi nell'interfaccia del controller Ruijie Cloud o on-premises. I percorsi dell'interfaccia utente riportati di seguito si applicano alla nuova interfaccia Ruijie Cloud (post-2024) e alla piattaforma Ruijie JaCS.
Passaggio 1: Configurare l'SSID ospiti
Stabilire la rete di trasmissione wireless.
- Accedere all'interfaccia web del controller Ruijie Cloud o on-premises.
- Navigare su Device Config e selezionare WiFi nella sezione Wireless.
- Fare clic su + per creare un nuovo SSID o modificarne uno esistente.
- Impostare lo SSID Name (ad es., "Free Guest WiFi").
- Impostare la Security Mode su Open - nessuna chiave precondivisa.
- Assegnare l'SSID alla VLAN ospiti dedicata (ad es., VLAN 30).
- Salvare la configurazione dell'SSID.
Passaggio 2: Definire la policy del Captive Portal
Istruire il controller a intercettare il traffico degli ospiti e a reindirizzarlo a Purple.
- Navigare su Auth & Account e selezionare Captive Portal in Authentication.
- Creare una nuova policy. Impostare un Policy Name descrittivo (ad es., "Purple-Guest-Portal").
- Impostare la Policy Mode su External.
- Impostare l'Authentication Device sul gateway Ruijie (serie RG-EG) o sull'access point.
- Selezionare l'SSID ospiti creato al Passaggio 1.
- Nel campo Portal Server URL, inserire l'URL univoco della Splash Page di Purple (disponibile nel pannello di controllo Purple alla voce 'Configurazione hardware').
- Inserire gli indirizzi IP del server RADIUS Purple nei campi designati.
- Impostare la durata di Seamless Online in modo che corrisponda alla policy di timeout della sessione (ad es. 24 ore per l'hospitality, 1 ora per il retail).
- Determinare il comportamento di Portal Escape - vedere la sezione "Best Practices" di seguito.
Passaggio 3: Configurare il Walled Garden (Allowlist)
Un Captive Portal intercetta tutto il traffico finché un utente non viene autenticato. Alcuni tipi di traffico devono essere consentiti nella fase di pre-autenticazione per caricare la pagina di login e gestire i login tramite social media. Questa è la parte configurata in modo errato più comune in qualsiasi implementazione di Captive Portal.
- Vai su Auth & Account e seleziona Allowlist.
- Aggiungi tutti i domini dell'infrastruttura Purple richiesti. La tua dashboard Purple fornisce l'elenco specifico per la tua area geografica.
- Se offri login tramite social media, aggiungi i domini OAuth per ciascun provider:
- Per Microsoft Entra ID:
*.microsoft.com,*.microsoftonline.com,login.live.com - Per Google Workspace:
*.google.com,accounts.google.com - Per Okta: il dominio specifico del tuo tenant Okta
- Per Microsoft Entra ID:
- Se offri piani WiFi a pagamento, aggiungi i domini dei processori di pagamento.
- Salva e applica la allowlist.
Passaggio 4: Configura l'autenticazione RADIUS
Configura il canale di comunicazione sicuro tra Ruijie e Purple.
- Vai alle impostazioni del server RADIUS nel controller o gateway Ruijie.
- Aggiungi l'indirizzo IP del server RADIUS primario di Purple e la porta 1812 per l'autenticazione.
- Aggiungi l'indirizzo IP del server RADIUS secondario di Purple per il failover.
- Inserisci il Shared Secret dalla tua dashboard Purple. Questo deve corrispondere esattamente.
- Aggiungi il server di accounting sulla porta 1813 e abilita RADIUS accounting. Questo traccia la durata della sessione e l'utilizzo dei dati, inviando le informazioni direttamente ai report di WiFi Analytics di Purple.
- Imposta il NAS Identifier su una stringa significativa (ad es. il nome della tua sede) per differenziare il traffico negli analytics di Purple.
Passaggio 5: Applica le policy QoS
L'accesso degli ospiti non limitato può saturare la tua connessione internet durante le ore di punta.
- Vai alla sezione QoS o gestione della larghezza di banda del tuo gateway Ruijie.
- Imposta i limiti di download per utente (ad es. 10 Mbps per gli ospiti dell'hotel, 5 Mbps per i clienti retail).
- Imposta i limiti di upload per utente (ad es. 2 - 5 Mbps).
- Disabilita Client Escape per garantire che gli utenti non autenticati non possano accedere alla rete se il server del portale è temporaneamente irraggiungibile.
- Salva e invia la configurazione a tutti i dispositivi interessati.
Passaggio 6: Testa l'implementazione
Esegui sempre i test utilizzando un dispositivo pulito senza credenziali memorizzate nella cache.
- Connetti un dispositivo mobile all'SSID ospite.
- Apri un browser e naviga su un URL non HTTPS (ad es.
http://example.com). La pagina del portale dovrebbe reindirizzare l'utente. - Verifica che la splash page di Purple si carichi correttamente.
- Completa il processo di autenticazione.
- Conferma che l'accesso a internet sia consentito dopo l'autenticazione.
- Controlla la dashboard di Purple per confermare che la sessione appaia nei tuoi analytics.
Best Practice per l'implementazione Enterprise
Sicurezza e conformità
Non affidarsi mai a PSK condivise per l'accesso degli ospiti. Le password condivise non offrono alcuna tracciabilità e non possono essere revocate su base individuale. Utilizzando un Purple Captive Portal con autenticazione individuale, è possibile richiedere il consenso esplicito per il trattamento dei dati, soddisfacendo i requisiti dell'Articolo 7 del GDPR. Purple detiene le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials, garantendo che lo stesso meccanismo di acquisizione dei dati sia verificabile.
Per un approfondimento sull'architettura di sicurezza, leggi la nostra Enterprise WiFi Security: Complete Guide for 2026 e What is Secure WiFi: The Essential Enterprise Guide for 2026 .
Portal Escape: una decisione deliberata
La funzione Portal Escape di Ruijie consente automaticamente il passaggio del traffico degli utenti se l'AP non riesce a connettersi al Portal Server. In un contesto alberghiero, si potrebbe scegliere di abilitarla - gli ospiti che non riescono a connettersi al WiFi a causa di un breve blocco del server genereranno reclami. Negli ambienti retail o sanitari, si potrebbe scegliere di disabilitarla - l'accesso non autenticato rappresenta un rischio di conformità e sicurezza. Documenta la tua decisione e la tua motivazione nei runbook di rete.
Coerenza multi-sito
Utilizza Ruijie Cloud per gestire la configurazione a livello centrale in tutte le sedi. Applica le policy del portale simultaneamente per eliminare le discrepanze di configurazione tra i siti - la causa più comune di esperienze degli ospiti incoerenti nelle proprietà distribuite. L'overlay cloud di Purple funziona sullo stesso principio: un'unica dashboard, tutte le sedi.
Gestione del firmware
Alcune funzionalità del Ruijie Captive Portal, in particolare il controllo della larghezza di banda e l'assegnazione dinamica della VLAN, richiedono versioni specifiche del firmware in esecuzione sui gateway. Ruijie documenta queste dipendenze nelle note di rilascio. Assicurati che i tuoi gateway RG-EG eseguano la versione del firmware RGOS11.9(6)B17T1 o superiore per un supporto QoS completo nelle distribuzioni gestite in cloud.
Risoluzione dei problemi e mitigazione dei rischi
Caricamento della pagina del portale non riuscito
Se il Captive Portal non viene visualizzato quando un dispositivo si connette, verifica innanzitutto le impostazioni del Walled Garden. Il dispositivo deve essere in grado di risolvere il DNS e accedere all'URL del Purple Portal prima di potersi autenticare. Verifica che l'elenco consentiti di Ruijie includa tutti i domini necessari e che i server DNS siano raggiungibili dalla VLAN degli ospiti.
Timeout di autenticazione
Se gli utenti vedono il portale ma non riescono ad accedere, il problema risiede solitamente nella configurazione RADIUS. Verifica gli IP del server RADIUS, le porte (1812 per l'autenticazione, 1813 per l'accounting) e il segreto condiviso. Assicurati che i firewall consentano il traffico UDP in entrata e in uscita su queste porte dall'IP di gestione del gateway Ruijie.
Accessi ai social media bloccati
Se gli utenti fanno clic su un pulsante di accesso ai social media e non succede nulla, il reindirizzamento OAuth è bloccato. Aggiungi i domini dei provider di social media richiesti al tuo elenco consentiti Ruijie. Verifica questo comportamento consentendo temporaneamente tutto il traffico prima dell'autenticazione per confermare se il portale funziona, quindi applica restrizioni graduali all'elenco consentiti.### Assegnazione Dinamica della VLAN non Riuscita
Se utilizzi RADIUS per assegnare dinamicamente gli utenti alle VLAN, assicurati che la risposta RADIUS includa gli attributi VLAN corretti (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). I gateway RG-EG310GH-E e simili di Ruijie supportano l'assegnazione dinamica della VLAN, ma questa funzionalità richiede una configurazione esplicita sia sul server RADIUS che sul gateway.
ROI e Impatto Aziendale
L'implementazione di un Captive Portal sicuro trasforma il WiFi per gli ospiti da un centro di costo a una risorsa strategica. La piattaforma di WiFi Analytics di Purple si integra con la tua infrastruttura Ruijie per acquisire dati di prima parte, creare elenchi di contatti ad alta intenzionalità e fornire insight fruibili sul comportamento degli ospiti all'interno dei tuoi spazi.
Harrods ha utilizzato il WiFi per gli ospiti di Purple per promuovere il proprio programma fedeltà, ottenendo un tasso di adesione leader del settore e un ROI di 57 volte (dati dei clienti Purple). c2c Rail ha utilizzato Purple per incoraggiare le prenotazioni dirette, ottenendo un ritorno sull'investimento del 121% e risparmiando £ 76.000 in costi operativi (dati dei clienti Purple). Pizza Express ha distribuito Purple in oltre 470 ristoranti per creare profili cliente più dettagliati.
Per gli operatori del settore hospitality , i dati acquisiti al momento del login (e-mail, dati demografici, frequenza delle visite) possono essere inseriti direttamente nei sistemi CRM e nei programmi fedeltà. Per gli ambienti retail , l'analisi delle visite ripetute identifica gli acquirenti di maggior valore. Per gli hub di transport , i dati sul flusso di passeggeri ottimizzano la pianificazione del personale e degli spazi commerciali.
Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, Fortinet e Ruijie, presentandosi come un overlay cloud agnostico rispetto all'hardware che funziona con le apparecchiature esistenti senza richiedere una sostituzione completa.
Guida Correlata: Integrazione di Grandstream GWN Access Point e Purple WiFi
Definizioni chiave
Captive Portal
Una pagina web che un utente di una rete ad accesso pubblico deve visualizzare e con cui deve interagire prima che venga concesso l'accesso a internet. Intercetta tutto il traffico HTTP e reindirizza il browser dell'utente alla pagina del portale.
Il meccanismo principale per imporre l'autenticazione sulle reti WiFi ospiti. Utilizzato in hotel, retail, stadi e spazi del settore pubblico per controllare gli accessi e raccogliere il consenso.
Walled garden
Una lista di approvazione di pre-autenticazione che permette a domini e indirizzi IP specifici di bypassare l'intercettazione del captive portal. Il traffico verso queste destinazioni è consentito prima che l'utente si autentichi.
Essenziale per consentire ai dispositivi di caricare la splash page, raggiungere i provider di login social e processare i flussi di pagamento prima che l'utente sia completamente autenticato. Un errore di configurazione in questa fase è la causa principale dei malfunzionamenti del captive portal.
RADIUS
Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (Accounting) per gli utenti che si connettono a un servizio di rete.
Il protocollo sicuro utilizzato dai controller Ruijie per comunicare con i server di Purple. Le richieste di autenticazione vanno alla porta 1812 (UDP); i record di accounting vanno alla porta 1813 (UDP).
WISPr
Wireless Internet Service Provider roaming. Una specifica di protocollo che definisce come un captive portal reindirizza gli utenti non autenticati a una pagina di login e come l'access controller riceve il risultato dell'autenticazione.
Il framework di protocollo specifico utilizzato da Ruijie e Purple per gestire il reindirizzamento al captive portal esterno e il flusso di autenticazione. Richiesto per la modalità portale esterno sui gateway Ruijie.
Isolamento VLAN
La pratica di separare il traffico di rete in reti locali virtuali distinte a livello di switch, impedendo ai dispositivi su VLAN diverse di comunicare direttamente.
Non negoziabile per le reti guest. Assicura che i dispositivi degli ospiti non possano comunicare con i server aziendali, i laptop del personale o i terminali di pagamento, anche se sono connessi alla stessa infrastruttura fisica.
Portal Escape
Una funzionalità Ruijie che sblocca automaticamente il traffico degli utenti se l'access point e il server del portale diventano irraggiungibili, consentendo l'accesso a internet non autenticato durante un disservizio.
Un compromesso deliberato tra disponibilità e sicurezza. Gli operatori del settore hospitality possono abilitarlo per evitare lamentele da parte degli ospiti durante i disservizi. Gli operatori sanitari e retail solitamente lo disabilitano per imporre un'autenticazione rigorosa in ogni momento.
SSID
Service Set Identifier. Il nome pubblico di una rete wireless che i dispositivi mostrano nel loro elenco delle reti disponibili.
Il nome della rete che gli ospiti selezionano sui loro dispositivi, che attiva il reindirizzamento al captive portal. Ogni SSID in una distribuzione Ruijie è mappato su una specifica VLAN e su una politica di autenticazione.
QoS
Quality of Service. Un insieme di tecnologie che gestiscono il traffico dati per ridurre la perdita di pacchetti, la latenza e il jitter, e per garantire prestazioni prevedibili per specifici tipi di traffico.
Utilizzato nelle reti guest per limitare la larghezza di banda per singolo utente, impedendo a un singolo dispositivo di saturare il collegamento internet e peggiorare l'esperienza di tutti gli altri utenti connessi.
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che fornisce un meccanismo di autenticazione per i dispositivi che si connettono a una LAN o WLAN.
Utilizzato per le reti del personale che richiedono un'identità supportata da directory (ad esempio tramite Microsoft Entra ID o Okta). Non viene tipicamente utilizzato per le reti guest, dove un captive portal con RADIUS rappresenta il modello appropriato.
Esempi pratici
Un hotel da 250 camere utilizza access point Ruijie RG-AP820-I e un gateway RG-EG310GH-E. Richiedono che gli ospiti si autentichino via email per creare un database di marketing. La direzione è preoccupata che gli ospiti possano aggirare il portale e della saturazione della larghezza di banda nelle ore di punta durante gli eventi congressuali.
Il team IT crea una VLAN ospiti dedicata (VLAN 40) sullo switch principale e la collega in trunk al gateway e agli AP Ruijie. In Ruijie Cloud, creano un SSID aperto mappato sulla VLAN 40. Configurano una policy di Captive Portal esterno che punta all'URL della splash page di Purple, con l'URL del server del portale e le credenziali RADIUS provenienti dalla dashboard di Purple. Fondamentalmente, configurano il Walled Garden per consentire il traffico solo verso i domini di Purple e disabilitano la funzione Portal Escape sul gateway Ruijie, impedendo l'accesso non autenticato durante eventuali interruzioni del portale. Applicano una policy QoS che limita ogni client a 10 Mbps in download e 3 Mbps in upload. Per gli eventi congressuali, creano un SSID separato sulla VLAN 50 con un portale basato su voucher e limiti di larghezza di banda più restrittivi di 5 Mbps per dispositivo.
Una catena retail con 50 punti vendita utilizza controller Ruijie WS6008. Implementano il social login (Facebook e Google Workspace) per gli acquirenti che accedono al WiFi, ma la pagina del portale si blocca quando gli utenti cliccano sui pulsanti di social login. Il problema interessa contemporaneamente tutte e 50 le sedi.
L'IT manager identifica che nella configurazione dell'Allowlist (Walled Garden) sui controller Ruijie mancano i domini OAuth richiesti da Facebook e Google. Sebbene l'URL del portale Purple fosse correttamente consentito, i domini dei social provider necessari per l'handshake OAuth erano bloccati dall'intercettazione del Captive Portal. Il team aggiunge i domini wildcard richiesti - nello specifico *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - all'Allowlist di Ruijie. Inviano la configurazione aggiornata a tutte e 50 le sedi contemporaneamente tramite Ruijie Cloud, risolvendo il problema sull'intero parco macchine in un'unica operazione.
Domande di esercitazione
Q1. Hai configurato un captive portal esterno su un gateway Ruijie RG-EG. Gli ospiti si connettono all'SSID, ma i loro dispositivi segnalano 'Nessuna connessione Internet' e la pagina del portale non si carica mai. Qual è l'errore di configurazione più probabile e come lo risolvi?
Suggerimento: Considera quali operazioni di rete devono avere successo prima che l'utente possa visualizzare la pagina di login.
Visualizza risposta modello
Il walled garden (lista di approvazione) è configurato in modo errato. Il gateway Ruijie sta bloccando la risoluzione DNS o il traffico HTTP necessario per raggiungere l'URL esterno della splash page di Purple. Prima dell'autenticazione, il dispositivo deve essere in grado di risolvere il dominio del portale ed effettuare una connessione HTTP ad esso. Aggiungi i domini Purple specifici alla lista di approvazione di pre-autenticazione nella sezione Auth & Account di Ruijie. Verifica inoltre che alla VLAN guest sia assegnato un server DNS valido tramite DHCP.
Q2. Un direttore IT di uno stadio desidera implementare gli AP Ruijie per il WiFi dei tifosi durante gli eventi. Desidera raccogliere dati di marketing, ma teme che l'autenticazione RADIUS possa causare ritardi quando 10.000 tifosi si connettono simultaneamente nei primi 30 minuti dall'apertura dei cancelli. Come dovrebbe progettare il flusso di autenticazione per bilanciare l'acquisizione dei dati con l'esperienza utente?
Suggerimento: Considera il compromesso tra ricchezza dei dati e attrito di autenticazione su scala.
Visualizza risposta modello
Dovrebbe utilizzare il One-Click Login di Purple per i tifosi che ritornano e che si sono autenticati in precedenza, il che bypassa la compilazione del modulo e riduce il carico RADIUS. Per i nuovi tifosi, un modulo di acquisizione e-mail minimale è preferibile al social login, che richiede ulteriori passaggi di OAuth. Il gateway Ruijie deve essere dimensionato per gestire richieste RADIUS simultanee - per 10.000 connessioni simultanee, è richiesto un gateway ad alta capacità della serie RG-EG. L'abilitazione di Seamless Online con una durata della sessione di 30 giorni consente ai tifosi che ritornano di connettersi automaticamente agli eventi successivi. I limiti di QoS dovrebbero essere rigorosi (5 Mbps per dispositivo) per evitare che i primi arrivati saturino la banda prima dell'arrivo della folla principale.
Q3. Durante un audit di sicurezza, un penetration tester accede al server dei file aziendali mentre è connesso all'SSID "Guest WiFi" trasmesso da un AP Ruijie. La rete ospiti utilizza un Captive Portal configurato correttamente. Come si risolve questa vulnerabilità critica?
Suggerimento: L'autenticazione e la segmentazione della rete sono questioni separate. L'una non implica l'altra.
Visualizza risposta modello
Il Captive Portal funziona correttamente, ma manca o è configurata in modo errato l'isolamento della VLAN. L'SSID ospiti instrada gli utenti autenticati sulla VLAN aziendale o sulla VLAN nativa, che ha accesso di routing ai server interni. È necessario: (1) creare una VLAN ospiti dedicata (es. VLAN 50) sullo switch principale; (2) assegnare l'SSID ospiti alla VLAN 50 nel controller Ruijie; (3) configurare le porte dello switch che collegano gli AP come trunk 802.1Q che consentono la VLAN 50; (4) configurare il gateway Ruijie per bloccare il routing tra la VLAN 50 e tutte le subnet aziendali, consentendo solo il traffico diretto a internet dalla VLAN ospiti. L'autenticazione e la segmentazione della rete sono controlli indipendenti - entrambi devono essere configurati correttamente.
Q4. La tua installazione Ruijie ha l'opzione Portal Escape abilitata. Durante una finestra di manutenzione pianificata sui server Purple RADIUS, noti che gli ospiti accedono a internet senza autenticarsi. È un comportamento previsto e quali sono le implicazioni in termini di conformità?
Suggerimento: Considera lo scopo di Portal Escape e i tuoi obblighi GDPR.
Visualizza risposta modello
Sì, questo è il comportamento previsto di Portal Escape. Quando il server del portale non è raggiungibile, Ruijie sblocca automaticamente il traffico per mantenere la connettività. Tuttavia, ciò crea una lacuna di conformità: gli utenti accedono a internet senza fornire il consenso al trattamento dei dati, il che potrebbe violare i requisiti GDPR se i termini di servizio o l'acquisizione dei dati sono legati all'evento di autenticazione. Per le strutture in cui l'acquisizione del consenso è un requisito legale o commerciale, Portal Escape dovrebbe essere disabilitato. Pianifica la manutenzione del server RADIUS durante i periodi di minima attività degli ospiti e comunica la finestra di manutenzione alla direzione della struttura. Considera l'implementazione di un server Purple RADIUS secondario come failover per eliminare completamente questo scenario.
Continua a leggere questa serie
Captive Portal per Ruijie: come configurarlo con Purple guest WiFi
Come il cloud guest WiFi di Purple si integra con gli access point Ruijie serie RG utilizzando l'autenticazione web e RADIUS, configurati da riga di comando, e dove trovare i passaggi esatti di configurazione.
Progettazione di Captive Portal B2B: Raccolta dei Dati del Nome Registrato e dell'Azienda
Questa guida fornisce ai responsabili IT e ai gestori di sedi un framework tecnico indipendente dal fornitore per la progettazione di Captive Portal B2B. Dettaglia come strutturare i campi di registrazione per acquisire il nome registrato e i dati aziendali, garantendo tassi di completamento elevati pur mantenendo la conformità al GDPR e creando un'intelligence a livello di account.
Architettura Captive Portal: sicurezza, reindirizzamento e best practice
Un riferimento tecnico definitivo sull'architettura enterprise del captive portal. Questa guida analizza l'isolamento della rete, il reindirizzamento DNS, l'autenticazione RADIUS e la conformità della sicurezza per i responsabili IT che implementano reti WiFi ospiti sicure e ricche di dati.