Vai al contenuto principale

Guida passo-passo: Configurazione dei controller wireless Ruijie per i Captive Portal delle reti WiFi ospiti

Questa guida fornisce una panoramica tecnica completa per la configurazione dei controller wireless e dei gateway Ruijie per implementare Captive Portal per reti WiFi ospiti di livello enterprise. Copre la segmentazione VLAN, l'autenticazione RADIUS esterna tramite protocollo WISPr, la configurazione del walled garden e l'integrazione fluida con la piattaforma Identity-Based Networks di Purple per catturare dati di prima parte e generare valore aziendale misurabile nei settori hospitality, retail e pubblico.

📖 8 minuti di lettura📝 1,834 parole🔧 2 esempi pratici4 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto alla serie di briefing tecnici di Purple. Oggi ci occupiamo di uno degli argomenti più cercati nel settore del wireless aziendale: come configurare i controller wireless Ruijie per portali captive WiFi guest sicuri. Sono il vostro presentatore, e questo è un briefing di dieci minuti pensato per IT manager, network architect e direttori operativi di sede che hanno bisogno di fare le cose per bene fin da subito. Iniziamo con il contesto. Se gestisci l'IT per un hotel, una catena di vendita al dettaglio, un centro congressi o un grande spazio pubblico, il WiFi guest non è più solo un servizio aggiuntivo. È un requisito operativo fondamentale. Gli ospiti se lo aspettano. Le autorità di regolamentazione richiedono di gestire i loro dati in modo responsabile. E il tuo team di marketing desidera i dati di prima parte che esso genera. La sfida consiste nel distribuirlo in modo sicuro in una proprietà distribuita, su scala, senza creare problemi di conformità. Ruijie Networks è uno dei più grandi fornitori di rete aziendale al mondo, con una base installata significativa in ambienti hospitality, retail e nel settore pubblico. I controller wireless della serie RG-WS e i gateway della serie RG-EG sono piattaforme capaci per il WiFi guest aziendale, ma la configurazione del captive portal richiede un'esecuzione precisa. Se sbagli, ti ritroverai con una falla nella sicurezza o con un portale che semplicemente non funziona. Ora entriamo nell'architettura tecnica. La base assoluta di qualsiasi rete guest sicura è l'isolamento del traffico. Non puoi avere dispositivi guest sullo stesso segmento di rete dei tuoi terminali di pagamento, dei laptop del personale o dei server di back office. Il meccanismo per farlo è la segmentazione VLAN. In un ambiente Ruijie, crei una VLAN guest dedicata sul tuo switch principale, le assegni una sottorete IP separata e la colleghi tramite trunk ai tuoi access point. Una tipica implementazione potrebbe utilizzare la VLAN dieci per la rete aziendale, la VLAN venti per la voce, la VLAN trenta per gli ospiti e la VLAN novantanove per la gestione. Questo non è negoziabile. Se salti questo passaggio, avrai un WiFi comodo, non un WiFi sicuro. Una volta che la rete è correttamente segmentata, passiamo all'autenticazione. Una chiave precondivisa comune non è sicurezza aziendale. Non offre alcuna responsabilità, nessun tracciamento delle singole sessioni e nessun modo per revocare l'accesso a un singolo utente senza cambiare la password per tutti. Utilizziamo invece un captive portal esterno con autenticazione RADIUS. Ecco come funziona il flusso. Un ospite si connette all'SSID aperto trasmesso dall'access point Ruijie. Il gateway Ruijie intercetta il traffico HTTP e genera un reindirizzamento a una splash page esterna - in questo caso ospitata da Purple. L'ospite visualizza una pagina di login personalizzata. Si autentica, ad esempio tramite registrazione via e-mail, login social o un'accettazione con un clic. I server di Purple elaborano l'autenticazione e inviano un messaggio RADIUS Accept al controller Ruijie. Il controller concede quindi al dispositivo l'accesso a Internet. L'intero flusso utilizza il protocollo WISPr, che è il framework standard per l'autenticazione del captive portal esterno nel wireless aziendale. Il valore aziendale è significativo. Ogni evento di autenticazione acquisisce un record di consenso. La piattaforma di Purple memorizza questi dati in modo conforme a GDPR e CCPA, crea un database di marketing di prima parte e invia analisi al tuo team. Harrods ha utilizzato questo approccio per promuovere il proprio programma di fidelizzazione e ha ottenuto un ritorno sull'investimento pari a cinquantasette volte. c2c Rail ha ottenuto un ritorno sull'investimento del centoventuno percento e ha risparmiato settantaseimila sterline in costi operativi. Questo è il caso commerciale per fare le cose correttamente. Ora esaminiamo le fasi di configurazione specifiche in Ruijie Cloud o nell'interfaccia del controller locale. Fase uno: crea l'SSID ospiti. Accedi a Ruijie Cloud o al tuo controller locale. Passa a Device Config, seleziona Wi-Fi in Wireless e crea un nuovo SSID. Assegna un nome chiaro, come Free Guest WiFi. Imposta la modalità di sicurezza su Open e assegnalo alla VLAN ospiti. Fase due: definisci la policy del Captive Portal. Passa ad Auth and Account, quindi seleziona Captive Portal sotto Authentication. Crea una nuova policy. Imposta la Policy Mode su External. Imposta l'Authentication Device sul tuo gateway o access point Ruijie. Seleziona l'SSID ospiti. Nel campo Portal Server URL, inserisci l'URL della tua splash page Purple. Inserisci gli indirizzi IP del server RADIUS di Purple. Fase tre: configura il Walled Garden, che Ruijie chiama Allowlist. Questo è l'elemento configurato in modo errato più comunemente in qualsiasi implementazione di un Captive Portal. Il Walled Garden definisce quale traffico può passare prima che l'utente si autentichi. Se non consenti esplicitamente i domini Purple, la splash page non si caricherà. Se offri l'accesso con Facebook o Google ma non consenti i loro domini OAuth, l'autenticazione si bloccherà sul pulsante di login social. Aggiungi tutti i domini infrastrutturali Purple richiesti e tutti i domini dei provider social che intendi supportare. Fase quattro: configura RADIUS. Aggiungi gli indirizzi IP del server RADIUS Purple primario e secondario. Inserisci il segreto condiviso dalla tua dashboard Purple. Assicurati che il RADIUS accounting sia abilitato sulla porta 1813. Ciò consente a Purple di tracciare accuratamente la durata della sessione e l'utilizzo dei dati, alimentando direttamente i tuoi report analitici. Fase cinque: applica le policy QoS. L'accesso ospiti non limitato può saturare la tua connessione internet. Imposta limiti di larghezza di banda rigidi per utente sul gateway Ruijie - in genere da cinque a dieci megabit in download e da due a cinque in upload per un'implementazione standard nel settore hospitality. Questo protegge l'esperienza di tutti gli ospiti ed evita che un singolo dispositivo degradi la rete. Ora esaminiamo le criticità di implementazione più comuni. La prima è il Walled Garden. Non potrò mai sottolineare abbastanza spesso quanto questa sia la causa principale di un'implementazione non riuscita. Testa il tuo portale da un dispositivo pulito senza credenziali memorizzate nella cache. Se la pagina non si carica, controlla prima la tua allowlist. Il secondo errore comune riguarda l'impostazione Portal Escape. Questa funzionalità Ruijie sblocca automaticamente il traffico degli utenti se l'access point e il server del portale diventano irraggiungibili. Sembra utile, ma significa che gli utenti non autenticati ottengono l'accesso a Internet durante un'interruzione. In un ambiente aziendale in cui l'acquisizione del consenso è un requisito legale, è preferibile disabilitarla per imporre sempre un'autenticazione rigorosa. Il terzo errore riguarda le versioni del firmware. Alcune funzionalità del Captive Portal - in particolare quelle relative al controllo della larghezza di banda e all'assegnazione dinamica della VLAN - richiedono versioni specifiche del firmware sul gateway Ruijie. Controlla le note di rilascio di Ruijie prima della distribuzione e assicurati che i tuoi dispositivi eseguano una versione del firmware supportata. Ora passiamo a una serie di domande rapide. Devo gestire il Captive Portal sull'access point o sul gateway? In una distribuzione aziendale Ruijie, gestiscilo sul gateway. I gateway della serie RG-EG sono progettati per gestire l'intercettazione del portale esterno e applicare le policy di QoS. Gli access point si concentrano sulle prestazioni RF e sulla trasmissione dell'SSID. Posso eseguire più Captive Portal su SSID diversi? Sì. Ruijie supporta più policy di Captive Portal mappate su SSID diversi. Potresti avere un portale ospiti standard su un SSID e un portale premium a pagamento su un altro, ciascuno con limiti di larghezza di banda e metodi di autenticazione diversi. Come gestisco una distribuzione multi-sito? Utilizza Ruijie Cloud per gestire la configurazione in modo centralizzato. Puoi inviare le policy del portale a tutti i siti contemporaneamente, garantendo la coerenza ed eliminando le discrepanze di configurazione tra i singoli siti. Per riassumere i punti chiave: segmenta il tuo traffico con le VLAN prima di fare qualsiasi altra cosa. Utilizza l'autenticazione RADIUS esterna per acquisire dati di prima parte conformi. Configura meticolosamente il tuo Walled Garden e testalo da un dispositivo pulito. Prendi una decisione deliberata su Portal Escape in base ai tuoi requisiti di conformità. Applica il QoS per proteggere l'esperienza dell'utente. E integra la tua infrastruttura Ruijie con le reti basate sull'identità di Purple per trasformare una connessione di base in una risorsa sicura, guidata dai dati e in grado di generare ricavi. Purple opera in oltre ottantamila sedi attive, ha elaborato quattrocentoquaranta milioni di accessi nel 2024 e possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. Siamo indipendenti dall'hardware, il che significa che il tuo investimento in Ruijie è completamente compatibile con la nostra piattaforma cloud overlay. Grazie per l'ascolto. Se vuoi scoprire come Purple si integra con la tua infrastruttura Ruijie, visita purple punto ai barra guest trattino wifi. Distribuisci in modo sicuro e ci vediamo al prossimo briefing.

header_image.png

Executive Summary

La distribuzione di un servizio WiFi ospiti all'interno di aziende distribuite sul territorio non si limita alla semplice offerta di un SSID aperto. Per i responsabili IT e gli architetti di rete, la sfida risiede nel bilanciare un accesso fluido con una sicurezza rigorosa, la conformità al GDPR e le esigenze di acquisizione dei dati. Questa guida illustra nel dettaglio i passaggi di configurazione specifici richiesti per implementare un Captive Portal sicuro e scalabile utilizzando controller wireless e gateway Ruijie, mostrando come l'integrazione di questa infrastruttura con la piattaforma Guest WiFi di Purple trasformi una connettività wireless di base in un asset conforme e in grado di generare valore economico.

Esamineremo i prerequisiti tecnici, le strategie di isolamento tramite VLAN, l'autenticazione RADIUS esterna tramite protocollo WISPr, la configurazione del Walled Garden e le impostazioni di QoS specifiche richieste per un'installazione di livello enterprise. Sia che gestiate un hotel da 200 camere, una catena di negozi con 50 punti vendita o uno stadio con una capienza di 40.000 persone, questa guida fornisce il modello di riferimento autorevole per una configurazione sicura del Captive Portal Ruijie. Con oltre 80.000 sedi attive in tutto il mondo e 440 milioni di accessi elaborati nel 2024 (dati interni Purple), i modelli di integrazione descritti in questo documento sono collaudati su larga scala.

architecture_overview.png

Architettura tecnica e prerequisiti

Prima di modificare il controller Ruijie, occorre definire la corretta architettura di rete. Una rete ospiti sicura richiede un isolamento completo dal traffico aziendale a livello di Layer 2 (livello switch).

Segmentazione della rete

Il pilastro fondamentale di un WiFi ospiti sicuro è l'isolamento tramite VLAN. È necessario creare una VLAN dedicata agli ospiti sul gateway o sullo switch principale Ruijie. Questo garantisce che il traffico degli ospiti non incroci mai i sistemi interni, i terminali di pagamento o i dispositivi del personale. Di seguito è riportato uno schema VLAN enterprise standard per le implementazioni Ruijie:

ID VLAN Scopo Note
10 Aziendale Dispositivi del personale, server interni
20 Voce Telefoni VoIP
30 Ospiti Captive Portal, solo Internet
40 IoT Stampanti, smart TV, sensori
99 Gestione Gestione controller e switch

Per maggiori dettagli sui motivi per cui gli approcci di livello consumer non sono adatti in questo contesto, consultate la guida Why consumer-grade WiFi gear is not for your guest network .

Componenti richiesti

Per completare questa implementazione, avrete bisogno di:

  • Un account Ruijie Cloud o un controller wireless Ruijie serie RG-WS installato on-premises (ad esempio, RG-WS6008 o RG-WS7110).
  • Un gateway Ruijie serie RG-EG - essenziale per l'autenticazione tramite portale esterno via WISPr.
  • Access point Ruijie serie RG-AP (ad esempio, RG-AP820-I, RG-AP850-AR).
  • Una licenza Purple Connect, Capture o Engage.
  • Accesso UDP in uscita consentito dal gateway ai server Purple per la porta 1812 (autenticazione RADIUS) e 1813 (accounting RADIUS).

Panoramica del protocollo di autenticazione

Ruijie supporta molteplici metodi di autenticazione. Le distribuzioni di livello enterprise dovrebbero utilizzare l'autenticazione RADIUS esterna. Questo metodo utilizza il protocollo WISPr (Wireless Internet Service Provider Roaming) per reindirizzare in modo sicuro gli utenti non autenticati alla Splash Page di Purple, elaborare le loro credenziali e restituire un messaggio RADIUS Accept o Reject al controller Ruijie.

comparison_chart.png

La tabella sopra riassume i cinque metodi di autenticazione offerti dalla piattaforma Ruijie. Le registrazioni via e-mail e i login tramite social media sono le scelte più comuni per i settori hospitality e retail, in quanto acquisiscono dati di prima parte strutturati e conformi al GDPR. I codici voucher sono adatti per sale riunioni e livelli di accesso a pagamento. RADIUS con 802.1X è riservato esclusivamente alle reti del personale che richiedono un'autenticazione supportata da directory.

Guida all'implementazione passo dopo passo

Si prega di eseguire i seguenti passaggi nell'interfaccia del controller Ruijie Cloud o on-premises. I percorsi dell'interfaccia utente riportati di seguito si applicano alla nuova interfaccia Ruijie Cloud (post-2024) e alla piattaforma Ruijie JaCS.

Passaggio 1: Configurare l'SSID ospiti

Stabilire la rete di trasmissione wireless.

  1. Accedere all'interfaccia web del controller Ruijie Cloud o on-premises.
  2. Navigare su Device Config e selezionare WiFi nella sezione Wireless.
  3. Fare clic su + per creare un nuovo SSID o modificarne uno esistente.
  4. Impostare lo SSID Name (ad es., "Free Guest WiFi").
  5. Impostare la Security Mode su Open - nessuna chiave precondivisa.
  6. Assegnare l'SSID alla VLAN ospiti dedicata (ad es., VLAN 30).
  7. Salvare la configurazione dell'SSID.

Passaggio 2: Definire la policy del Captive Portal

Istruire il controller a intercettare il traffico degli ospiti e a reindirizzarlo a Purple.

  1. Navigare su Auth & Account e selezionare Captive Portal in Authentication.
  2. Creare una nuova policy. Impostare un Policy Name descrittivo (ad es., "Purple-Guest-Portal").
  3. Impostare la Policy Mode su External.
  4. Impostare l'Authentication Device sul gateway Ruijie (serie RG-EG) o sull'access point.
  5. Selezionare l'SSID ospiti creato al Passaggio 1.
  6. Nel campo Portal Server URL, inserire l'URL univoco della Splash Page di Purple (disponibile nel pannello di controllo Purple alla voce 'Configurazione hardware').
  7. Inserire gli indirizzi IP del server RADIUS Purple nei campi designati.
  8. Impostare la durata di Seamless Online in modo che corrisponda alla policy di timeout della sessione (ad es. 24 ore per l'hospitality, 1 ora per il retail).
  9. Determinare il comportamento di Portal Escape - vedere la sezione "Best Practices" di seguito.

Passaggio 3: Configurare il Walled Garden (Allowlist)

Un Captive Portal intercetta tutto il traffico finché un utente non viene autenticato. Alcuni tipi di traffico devono essere consentiti nella fase di pre-autenticazione per caricare la pagina di login e gestire i login tramite social media. Questa è la parte configurata in modo errato più comune in qualsiasi implementazione di Captive Portal.

  1. Vai su Auth & Account e seleziona Allowlist.
  2. Aggiungi tutti i domini dell'infrastruttura Purple richiesti. La tua dashboard Purple fornisce l'elenco specifico per la tua area geografica.
  3. Se offri login tramite social media, aggiungi i domini OAuth per ciascun provider:
    • Per Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Per Google Workspace: *.google.com, accounts.google.com
    • Per Okta: il dominio specifico del tuo tenant Okta
  4. Se offri piani WiFi a pagamento, aggiungi i domini dei processori di pagamento.
  5. Salva e applica la allowlist.

Passaggio 4: Configura l'autenticazione RADIUS

Configura il canale di comunicazione sicuro tra Ruijie e Purple.

  1. Vai alle impostazioni del server RADIUS nel controller o gateway Ruijie.
  2. Aggiungi l'indirizzo IP del server RADIUS primario di Purple e la porta 1812 per l'autenticazione.
  3. Aggiungi l'indirizzo IP del server RADIUS secondario di Purple per il failover.
  4. Inserisci il Shared Secret dalla tua dashboard Purple. Questo deve corrispondere esattamente.
  5. Aggiungi il server di accounting sulla porta 1813 e abilita RADIUS accounting. Questo traccia la durata della sessione e l'utilizzo dei dati, inviando le informazioni direttamente ai report di WiFi Analytics di Purple.
  6. Imposta il NAS Identifier su una stringa significativa (ad es. il nome della tua sede) per differenziare il traffico negli analytics di Purple.

Passaggio 5: Applica le policy QoS

L'accesso degli ospiti non limitato può saturare la tua connessione internet durante le ore di punta.

  1. Vai alla sezione QoS o gestione della larghezza di banda del tuo gateway Ruijie.
  2. Imposta i limiti di download per utente (ad es. 10 Mbps per gli ospiti dell'hotel, 5 Mbps per i clienti retail).
  3. Imposta i limiti di upload per utente (ad es. 2 - 5 Mbps).
  4. Disabilita Client Escape per garantire che gli utenti non autenticati non possano accedere alla rete se il server del portale è temporaneamente irraggiungibile.
  5. Salva e invia la configurazione a tutti i dispositivi interessati.

Passaggio 6: Testa l'implementazione

Esegui sempre i test utilizzando un dispositivo pulito senza credenziali memorizzate nella cache.

  1. Connetti un dispositivo mobile all'SSID ospite.
  2. Apri un browser e naviga su un URL non HTTPS (ad es. http://example.com). La pagina del portale dovrebbe reindirizzare l'utente.
  3. Verifica che la splash page di Purple si carichi correttamente.
  4. Completa il processo di autenticazione.
  5. Conferma che l'accesso a internet sia consentito dopo l'autenticazione.
  6. Controlla la dashboard di Purple per confermare che la sessione appaia nei tuoi analytics.

Best Practice per l'implementazione Enterprise

Sicurezza e conformità

Non affidarsi mai a PSK condivise per l'accesso degli ospiti. Le password condivise non offrono alcuna tracciabilità e non possono essere revocate su base individuale. Utilizzando un Purple Captive Portal con autenticazione individuale, è possibile richiedere il consenso esplicito per il trattamento dei dati, soddisfacendo i requisiti dell'Articolo 7 del GDPR. Purple detiene le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials, garantendo che lo stesso meccanismo di acquisizione dei dati sia verificabile.

Per un approfondimento sull'architettura di sicurezza, leggi la nostra Enterprise WiFi Security: Complete Guide for 2026 e What is Secure WiFi: The Essential Enterprise Guide for 2026 .

Portal Escape: una decisione deliberata

La funzione Portal Escape di Ruijie consente automaticamente il passaggio del traffico degli utenti se l'AP non riesce a connettersi al Portal Server. In un contesto alberghiero, si potrebbe scegliere di abilitarla - gli ospiti che non riescono a connettersi al WiFi a causa di un breve blocco del server genereranno reclami. Negli ambienti retail o sanitari, si potrebbe scegliere di disabilitarla - l'accesso non autenticato rappresenta un rischio di conformità e sicurezza. Documenta la tua decisione e la tua motivazione nei runbook di rete.

Coerenza multi-sito

Utilizza Ruijie Cloud per gestire la configurazione a livello centrale in tutte le sedi. Applica le policy del portale simultaneamente per eliminare le discrepanze di configurazione tra i siti - la causa più comune di esperienze degli ospiti incoerenti nelle proprietà distribuite. L'overlay cloud di Purple funziona sullo stesso principio: un'unica dashboard, tutte le sedi.

Gestione del firmware

Alcune funzionalità del Ruijie Captive Portal, in particolare il controllo della larghezza di banda e l'assegnazione dinamica della VLAN, richiedono versioni specifiche del firmware in esecuzione sui gateway. Ruijie documenta queste dipendenze nelle note di rilascio. Assicurati che i tuoi gateway RG-EG eseguano la versione del firmware RGOS11.9(6)B17T1 o superiore per un supporto QoS completo nelle distribuzioni gestite in cloud.

Risoluzione dei problemi e mitigazione dei rischi

Caricamento della pagina del portale non riuscito

Se il Captive Portal non viene visualizzato quando un dispositivo si connette, verifica innanzitutto le impostazioni del Walled Garden. Il dispositivo deve essere in grado di risolvere il DNS e accedere all'URL del Purple Portal prima di potersi autenticare. Verifica che l'elenco consentiti di Ruijie includa tutti i domini necessari e che i server DNS siano raggiungibili dalla VLAN degli ospiti.

Timeout di autenticazione

Se gli utenti vedono il portale ma non riescono ad accedere, il problema risiede solitamente nella configurazione RADIUS. Verifica gli IP del server RADIUS, le porte (1812 per l'autenticazione, 1813 per l'accounting) e il segreto condiviso. Assicurati che i firewall consentano il traffico UDP in entrata e in uscita su queste porte dall'IP di gestione del gateway Ruijie.

Accessi ai social media bloccati

Se gli utenti fanno clic su un pulsante di accesso ai social media e non succede nulla, il reindirizzamento OAuth è bloccato. Aggiungi i domini dei provider di social media richiesti al tuo elenco consentiti Ruijie. Verifica questo comportamento consentendo temporaneamente tutto il traffico prima dell'autenticazione per confermare se il portale funziona, quindi applica restrizioni graduali all'elenco consentiti.### Assegnazione Dinamica della VLAN non Riuscita

Se utilizzi RADIUS per assegnare dinamicamente gli utenti alle VLAN, assicurati che la risposta RADIUS includa gli attributi VLAN corretti (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). I gateway RG-EG310GH-E e simili di Ruijie supportano l'assegnazione dinamica della VLAN, ma questa funzionalità richiede una configurazione esplicita sia sul server RADIUS che sul gateway.

ROI e Impatto Aziendale

L'implementazione di un Captive Portal sicuro trasforma il WiFi per gli ospiti da un centro di costo a una risorsa strategica. La piattaforma di WiFi Analytics di Purple si integra con la tua infrastruttura Ruijie per acquisire dati di prima parte, creare elenchi di contatti ad alta intenzionalità e fornire insight fruibili sul comportamento degli ospiti all'interno dei tuoi spazi.

Harrods ha utilizzato il WiFi per gli ospiti di Purple per promuovere il proprio programma fedeltà, ottenendo un tasso di adesione leader del settore e un ROI di 57 volte (dati dei clienti Purple). c2c Rail ha utilizzato Purple per incoraggiare le prenotazioni dirette, ottenendo un ritorno sull'investimento del 121% e risparmiando £ 76.000 in costi operativi (dati dei clienti Purple). Pizza Express ha distribuito Purple in oltre 470 ristoranti per creare profili cliente più dettagliati.

Per gli operatori del settore hospitality , i dati acquisiti al momento del login (e-mail, dati demografici, frequenza delle visite) possono essere inseriti direttamente nei sistemi CRM e nei programmi fedeltà. Per gli ambienti retail , l'analisi delle visite ripetute identifica gli acquirenti di maggior valore. Per gli hub di transport , i dati sul flusso di passeggeri ottimizzano la pianificazione del personale e degli spazi commerciali.

Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, Fortinet e Ruijie, presentandosi come un overlay cloud agnostico rispetto all'hardware che funziona con le apparecchiature esistenti senza richiedere una sostituzione completa.


Guida Correlata: Integrazione di Grandstream GWN Access Point e Purple WiFi

Definizioni chiave

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico deve visualizzare e con cui deve interagire prima che venga concesso l'accesso a internet. Intercetta tutto il traffico HTTP e reindirizza il browser dell'utente alla pagina del portale.

Il meccanismo principale per imporre l'autenticazione sulle reti WiFi ospiti. Utilizzato in hotel, retail, stadi e spazi del settore pubblico per controllare gli accessi e raccogliere il consenso.

Walled garden

Una lista di approvazione di pre-autenticazione che permette a domini e indirizzi IP specifici di bypassare l'intercettazione del captive portal. Il traffico verso queste destinazioni è consentito prima che l'utente si autentichi.

Essenziale per consentire ai dispositivi di caricare la splash page, raggiungere i provider di login social e processare i flussi di pagamento prima che l'utente sia completamente autenticato. Un errore di configurazione in questa fase è la causa principale dei malfunzionamenti del captive portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (Accounting) per gli utenti che si connettono a un servizio di rete.

Il protocollo sicuro utilizzato dai controller Ruijie per comunicare con i server di Purple. Le richieste di autenticazione vanno alla porta 1812 (UDP); i record di accounting vanno alla porta 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Una specifica di protocollo che definisce come un captive portal reindirizza gli utenti non autenticati a una pagina di login e come l'access controller riceve il risultato dell'autenticazione.

Il framework di protocollo specifico utilizzato da Ruijie e Purple per gestire il reindirizzamento al captive portal esterno e il flusso di autenticazione. Richiesto per la modalità portale esterno sui gateway Ruijie.

Isolamento VLAN

La pratica di separare il traffico di rete in reti locali virtuali distinte a livello di switch, impedendo ai dispositivi su VLAN diverse di comunicare direttamente.

Non negoziabile per le reti guest. Assicura che i dispositivi degli ospiti non possano comunicare con i server aziendali, i laptop del personale o i terminali di pagamento, anche se sono connessi alla stessa infrastruttura fisica.

Portal Escape

Una funzionalità Ruijie che sblocca automaticamente il traffico degli utenti se l'access point e il server del portale diventano irraggiungibili, consentendo l'accesso a internet non autenticato durante un disservizio.

Un compromesso deliberato tra disponibilità e sicurezza. Gli operatori del settore hospitality possono abilitarlo per evitare lamentele da parte degli ospiti durante i disservizi. Gli operatori sanitari e retail solitamente lo disabilitano per imporre un'autenticazione rigorosa in ogni momento.

SSID

Service Set Identifier. Il nome pubblico di una rete wireless che i dispositivi mostrano nel loro elenco delle reti disponibili.

Il nome della rete che gli ospiti selezionano sui loro dispositivi, che attiva il reindirizzamento al captive portal. Ogni SSID in una distribuzione Ruijie è mappato su una specifica VLAN e su una politica di autenticazione.

QoS

Quality of Service. Un insieme di tecnologie che gestiscono il traffico dati per ridurre la perdita di pacchetti, la latenza e il jitter, e per garantire prestazioni prevedibili per specifici tipi di traffico.

Utilizzato nelle reti guest per limitare la larghezza di banda per singolo utente, impedendo a un singolo dispositivo di saturare il collegamento internet e peggiorare l'esperienza di tutti gli altri utenti connessi.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che fornisce un meccanismo di autenticazione per i dispositivi che si connettono a una LAN o WLAN.

Utilizzato per le reti del personale che richiedono un'identità supportata da directory (ad esempio tramite Microsoft Entra ID o Okta). Non viene tipicamente utilizzato per le reti guest, dove un captive portal con RADIUS rappresenta il modello appropriato.

Esempi pratici

Un hotel da 250 camere utilizza access point Ruijie RG-AP820-I e un gateway RG-EG310GH-E. Richiedono che gli ospiti si autentichino via email per creare un database di marketing. La direzione è preoccupata che gli ospiti possano aggirare il portale e della saturazione della larghezza di banda nelle ore di punta durante gli eventi congressuali.

Il team IT crea una VLAN ospiti dedicata (VLAN 40) sullo switch principale e la collega in trunk al gateway e agli AP Ruijie. In Ruijie Cloud, creano un SSID aperto mappato sulla VLAN 40. Configurano una policy di Captive Portal esterno che punta all'URL della splash page di Purple, con l'URL del server del portale e le credenziali RADIUS provenienti dalla dashboard di Purple. Fondamentalmente, configurano il Walled Garden per consentire il traffico solo verso i domini di Purple e disabilitano la funzione Portal Escape sul gateway Ruijie, impedendo l'accesso non autenticato durante eventuali interruzioni del portale. Applicano una policy QoS che limita ogni client a 10 Mbps in download e 3 Mbps in upload. Per gli eventi congressuali, creano un SSID separato sulla VLAN 50 con un portale basato su voucher e limiti di larghezza di banda più restrittivi di 5 Mbps per dispositivo.

Commento dell'esaminatore: Questo approccio isola correttamente il traffico degli ospiti al Layer 2, impone l'autenticazione RADIUS esterna per l'acquisizione dei dati conforme al GDPR e applica controlli della larghezza di banda proporzionati al caso d'uso. La disattivazione di Portal Escape è una decisione di sicurezza ponderata che impedisce l'accesso non autenticato durante le interruzioni di rete. L'SSID per conferenze separato con autenticazione tramite voucher è un modello pratico per le strutture che ospitano sia ospiti di passaggio che partecipanti a eventi con requisiti di accesso diversi.

Una catena retail con 50 punti vendita utilizza controller Ruijie WS6008. Implementano il social login (Facebook e Google Workspace) per gli acquirenti che accedono al WiFi, ma la pagina del portale si blocca quando gli utenti cliccano sui pulsanti di social login. Il problema interessa contemporaneamente tutte e 50 le sedi.

L'IT manager identifica che nella configurazione dell'Allowlist (Walled Garden) sui controller Ruijie mancano i domini OAuth richiesti da Facebook e Google. Sebbene l'URL del portale Purple fosse correttamente consentito, i domini dei social provider necessari per l'handshake OAuth erano bloccati dall'intercettazione del Captive Portal. Il team aggiunge i domini wildcard richiesti - nello specifico *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - all'Allowlist di Ruijie. Inviano la configurazione aggiornata a tutte e 50 le sedi contemporaneamente tramite Ruijie Cloud, risolvendo il problema sull'intero parco macchine in un'unica operazione.

Commento dell'esaminatore: La configurazione errata del walled garden è la causa più comune di errore del social login nelle implementazioni di Captive Portal. Il Captive Portal deve consentire esplicitamente il traffico di pre-autenticazione verso i domini OAuth degli identity provider, altrimenti il processo di reindirizzamento non può essere completato. L'uso di Ruijie Cloud per l'invio centralizzato della configurazione è l'approccio corretto per una gestione multi-sito - la configurazione manuale per singolo sito su 50 sedi sarebbe soggetta a errori e richiederebbe molto tempo.

Domande di esercitazione

Q1. Hai configurato un captive portal esterno su un gateway Ruijie RG-EG. Gli ospiti si connettono all'SSID, ma i loro dispositivi segnalano 'Nessuna connessione Internet' e la pagina del portale non si carica mai. Qual è l'errore di configurazione più probabile e come lo risolvi?

Suggerimento: Considera quali operazioni di rete devono avere successo prima che l'utente possa visualizzare la pagina di login.

Visualizza risposta modello

Il walled garden (lista di approvazione) è configurato in modo errato. Il gateway Ruijie sta bloccando la risoluzione DNS o il traffico HTTP necessario per raggiungere l'URL esterno della splash page di Purple. Prima dell'autenticazione, il dispositivo deve essere in grado di risolvere il dominio del portale ed effettuare una connessione HTTP ad esso. Aggiungi i domini Purple specifici alla lista di approvazione di pre-autenticazione nella sezione Auth & Account di Ruijie. Verifica inoltre che alla VLAN guest sia assegnato un server DNS valido tramite DHCP.

Q2. Un direttore IT di uno stadio desidera implementare gli AP Ruijie per il WiFi dei tifosi durante gli eventi. Desidera raccogliere dati di marketing, ma teme che l'autenticazione RADIUS possa causare ritardi quando 10.000 tifosi si connettono simultaneamente nei primi 30 minuti dall'apertura dei cancelli. Come dovrebbe progettare il flusso di autenticazione per bilanciare l'acquisizione dei dati con l'esperienza utente?

Suggerimento: Considera il compromesso tra ricchezza dei dati e attrito di autenticazione su scala.

Visualizza risposta modello

Dovrebbe utilizzare il One-Click Login di Purple per i tifosi che ritornano e che si sono autenticati in precedenza, il che bypassa la compilazione del modulo e riduce il carico RADIUS. Per i nuovi tifosi, un modulo di acquisizione e-mail minimale è preferibile al social login, che richiede ulteriori passaggi di OAuth. Il gateway Ruijie deve essere dimensionato per gestire richieste RADIUS simultanee - per 10.000 connessioni simultanee, è richiesto un gateway ad alta capacità della serie RG-EG. L'abilitazione di Seamless Online con una durata della sessione di 30 giorni consente ai tifosi che ritornano di connettersi automaticamente agli eventi successivi. I limiti di QoS dovrebbero essere rigorosi (5 Mbps per dispositivo) per evitare che i primi arrivati saturino la banda prima dell'arrivo della folla principale.

Q3. Durante un audit di sicurezza, un penetration tester accede al server dei file aziendali mentre è connesso all'SSID "Guest WiFi" trasmesso da un AP Ruijie. La rete ospiti utilizza un Captive Portal configurato correttamente. Come si risolve questa vulnerabilità critica?

Suggerimento: L'autenticazione e la segmentazione della rete sono questioni separate. L'una non implica l'altra.

Visualizza risposta modello

Il Captive Portal funziona correttamente, ma manca o è configurata in modo errato l'isolamento della VLAN. L'SSID ospiti instrada gli utenti autenticati sulla VLAN aziendale o sulla VLAN nativa, che ha accesso di routing ai server interni. È necessario: (1) creare una VLAN ospiti dedicata (es. VLAN 50) sullo switch principale; (2) assegnare l'SSID ospiti alla VLAN 50 nel controller Ruijie; (3) configurare le porte dello switch che collegano gli AP come trunk 802.1Q che consentono la VLAN 50; (4) configurare il gateway Ruijie per bloccare il routing tra la VLAN 50 e tutte le subnet aziendali, consentendo solo il traffico diretto a internet dalla VLAN ospiti. L'autenticazione e la segmentazione della rete sono controlli indipendenti - entrambi devono essere configurati correttamente.

Q4. La tua installazione Ruijie ha l'opzione Portal Escape abilitata. Durante una finestra di manutenzione pianificata sui server Purple RADIUS, noti che gli ospiti accedono a internet senza autenticarsi. È un comportamento previsto e quali sono le implicazioni in termini di conformità?

Suggerimento: Considera lo scopo di Portal Escape e i tuoi obblighi GDPR.

Visualizza risposta modello

Sì, questo è il comportamento previsto di Portal Escape. Quando il server del portale non è raggiungibile, Ruijie sblocca automaticamente il traffico per mantenere la connettività. Tuttavia, ciò crea una lacuna di conformità: gli utenti accedono a internet senza fornire il consenso al trattamento dei dati, il che potrebbe violare i requisiti GDPR se i termini di servizio o l'acquisizione dei dati sono legati all'evento di autenticazione. Per le strutture in cui l'acquisizione del consenso è un requisito legale o commerciale, Portal Escape dovrebbe essere disabilitato. Pianifica la manutenzione del server RADIUS durante i periodi di minima attività degli ospiti e comunica la finestra di manutenzione alla direzione della struttura. Considera l'implementazione di un server Purple RADIUS secondario come failover per eliminare completamente questo scenario.