Vai al contenuto principale
Italiano

Guida passo-passo: Configurazione dei controller wireless Ruijie per i Captive Portal WiFi per ospiti

Questa guida fornisce un percorso tecnico completo per la configurazione dei controller wireless e dei gateway Ruijie per implementare Captive Portal WiFi per ospiti di livello enterprise. Copre la segmentazione VLAN, l'autenticazione RADIUS esterna tramite protocollo WISPr, la configurazione del walled garden e l'integrazione fluida con la piattaforma Identity-Based Networks di Purple per acquisire dati di prima parte e generare valore aziendale misurabile nei settori dell'ospitalità, del retail e del settore pubblico.

📖 8 minuti di lettura📝 1,834 parole🔧 2 esempi pratici4 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti nella serie di briefing tecnici di Purple. Oggi tratteremo uno degli argomenti più cercati nel settore del wireless aziendale: come configurare i controller wireless Ruijie per Captive Portal WiFi ospiti sicuri. Sono il vostro ospite e questo è un briefing di dieci minuti progettato per IT manager, network architect e direttori operativi di location che hanno bisogno di configurare tutto correttamente al primo colpo. Iniziamo con il contesto. Se gestite l'IT per un hotel, una catena di negozi, un centro congressi o una grande struttura pubblica, il WiFi ospiti non è più solo un servizio di cortesia. È un requisito operativo fondamentale. Gli ospiti se lo aspettano. Le autorità di regolamentazione richiedono di gestire i loro dati in modo responsabile. E il vostro team di marketing desidera i dati di prima parte che esso genera. La sfida consiste nel distribuirlo in modo sicuro in un patrimonio distribuito, su scala, senza creare grattacapi di conformità. Ruijie Networks è uno dei maggiori fornitori di reti aziendali al mondo, con una significativa base installata nei settori dell'ospitalità, del retail e della pubblica amministrazione. I loro controller wireless della serie RG-WS e i gateway della serie RG-EG sono piattaforme capaci per il WiFi ospiti aziendale, ma la configurazione del Captive Portal richiede un'esecuzione precisa. Se sbagliate, vi ritroverete con una falla nella sicurezza o con un portale che semplicemente non funziona. Ora entriamo nell'architettura tecnica. La base assoluta di qualsiasi rete ospiti sicura è l'isolamento del traffico. Non è possibile avere dispositivi ospiti sullo stesso segmento di rete dei terminali di pagamento, dei laptop del personale o dei server di back-office. Il meccanismo per ottenere questo risultato è la segmentazione VLAN. In un ambiente Ruijie, si crea una VLAN ospiti dedicata sullo switch principale, le si assegna una sottorete IP separata e la si collega in trunking ai punti di accesso. Una distribuzione tipica potrebbe utilizzare la VLAN dieci per la rete aziendale, la VLAN venti per la voce, la VLAN trenta per gli ospiti e la VLAN novantanove per la gestione. Questo non è negoziabile. Se saltate questo passaggio, avrete un WiFi comodo, non un WiFi sicuro. Una volta che la rete è correttamente segmentata, passiamo all'autenticazione. Una chiave precondivisa non rappresenta una sicurezza aziendale. Non offre alcuna responsabilità, nessun tracciamento delle singole sessioni e nessun modo per revocare l'accesso a un singolo utente senza cambiare la password per tutti. Utilizziamo invece un Captive Portal esterno con autenticazione RADIUS. Ecco come funziona il flusso. Un ospite si connette all'SSID aperto trasmesso dall'access point Ruijie. Il gateway Ruijie intercetta il suo traffico HTTP e invia un reindirizzamento a una splash page esterna, in questo caso ospitata da Purple. L'ospite visualizza una pagina di accesso personalizzata con il brand. Si autentica, ad esempio tramite registrazione via e-mail, social login o accettazione con un clic. I server di Purple elaborano l'autenticazione e inviano un messaggio di RADIUS Accept al controller Ruijie. Il controller concede quindi al dispositivo l'accesso a Internet. L'intero flusso utilizza il protocollo WISPr, che è il framework standard per l'autenticazione tramite Captive Portal esterno nel wireless aziendale. Il valore aziendale in questo caso è significativo. Ogni evento di autenticazione acquisisce un record di consenso. La piattaforma di Purple memorizza tali dati in modo conforme a GDPR e CCPA, crea un database di marketing di prima parte e fornisce analisi al tuo team. Harrods ha utilizzato questo approccio per promuovere il proprio programma fedeltà e ha ottenuto un ritorno sull'investimento pari a cinquantasette volte. c2c Rail ha ottenuto un ritorno sull'investimento del centoventuno percento e ha risparmiato settantaseimila sterline in costi operativi. Questo è il caso commerciale per fare le cose nel modo giusto. Ora esaminiamo i passaggi di configurazione specifici nell'interfaccia di Ruijie Cloud o del controller locale. Passo uno: crea l'SSID ospite. Accedi a Ruijie Cloud o al tuo controller locale. Passa a Device Config, seleziona Wi-Fi sotto Wireless e crea un nuovo SSID. Assegnagli un nome chiaro, come Free Guest WiFi. Imposta la modalità di sicurezza su Open e assegnalo alla tua VLAN ospite. Passo due: definisci la policy del Captive Portal. Passa ad Auth and Account, quindi seleziona Captive Portal sotto Authentication. Crea una nuova policy. Imposta la Policy Mode su External. Imposta l'Authentication Device sul tuo gateway o access point Ruijie. Seleziona l'SSID ospite. Nel campo Portal Server URL, inserisci l'URL della tua splash page di Purple. Inserisci gli indirizzi IP del server RADIUS di Purple. Passo tre: configura il Walled Garden, che Ruijie chiama Allowlist. Questo è l'elemento configurato in modo errato più comunemente in qualsiasi implementazione di Captive Portal. Il Walled Garden definisce quale traffico può passare prima che l'utente si autentichi. Se non consenti esplicitamente i domini Purple, la splash page non si caricherà. Se offri l'accesso tramite Facebook o Google ma non consenti i loro domini OAuth, l'autenticazione si bloccherà sul pulsante di login social. Aggiungi tutti i domini infrastrutturali Purple richiesti e tutti i domini dei provider social che intendi supportare. Passo quattro: configura RADIUS. Aggiungi gli indirizzi IP primario e secondario del server RADIUS di Purple. Inserisci la chiave segreta condivisa dalla tua dashboard Purple. Assicurati che il RADIUS accounting sia abilitato sulla porta 1813. Ciò consente a Purple di tracciare accuratamente la durata della sessione e l'utilizzo dei dati, alimentando direttamente i tuoi report analitici. Passo cinque: applica le policy QoS. L'accesso ospite non limitato può saturare il tuo collegamento internet. Imposta limiti di larghezza di banda rigidi per utente sul gateway Ruijie, in genere da cinque a dieci megabit in download e da due a cinque in upload per un'implementazione hospitality standard. Questo protegge l'esperienza di tutti gli ospiti ed evita che un singolo dispositivo degradi la rete. Ora esaminiamo le trappole critiche dell'implementazione. La prima è il Walled Garden. Non potrò mai sottolineare abbastanza quanto spesso questa sia la causa principale di un'implementazione fallita. Testa il tuo portale da un dispositivo pulito senza credenziali memorizzate nella cache. Se la pagina non si carica, controlla prima la tua allowlist. Il secondo errore comune è l'impostazione Portal Escape. Questa funzionalità di Ruijie sblocca automaticamente il traffico degli utenti se l'access point e il server del portale diventano irraggiungibili. Sembra utile, ma significa che gli utenti non autenticati ottengono l'accesso a Internet durante un'interruzione. In un ambiente aziendale in cui l'acquisizione del consenso è un requisito legale, è preferibile disabilitarla per imporre sempre un'autenticazione rigorosa. Il terzo errore comune riguarda le versioni del firmware. Alcune funzionalità del Captive Portal, in particolare quelle relative al controllo della larghezza di banda e all'assegnazione dinamica delle VLAN, richiedono versioni specifiche del firmware sul gateway Ruijie. Verifica le note di rilascio di Ruijie prima della distribuzione e assicurati che i tuoi dispositivi eseguano una versione del firmware supportata. Ora passiamo alle domande rapide. Devo gestire il Captive Portal sull'access point o sul gateway? In una distribuzione aziendale Ruijie, gestiscilo sul gateway. I gateway della serie RG-EG sono progettati per gestire l'intercettazione del portale esterno e applicare le policy QoS. Gli access point si concentrano sulle prestazioni RF e sulla trasmissione dell'SSID. Posso eseguire più Captive Portal su diversi SSID? Sì. Ruijie supporta più policy di Captive Portal mappate su diversi SSID. Potresti avere un portale ospiti standard su un SSID e un portale premium a pagamento su un altro, ciascuno con limiti di larghezza di banda e metodi di autenticazione diversi. Come gestisco una distribuzione multi-sito? Utilizza Ruijie Cloud per gestire la configurazione in modo centralizzato. Puoi applicare le policy del portale su tutti i siti contemporaneamente, garantendo la coerenza ed eliminando le discrepanze di configurazione tra i singoli siti. Per riassumere i punti chiave: segmenta il traffico con le VLAN prima di fare qualsiasi altra cosa. Utilizza l'autenticazione RADIUS esterna per acquisire dati di prima parte conformi. Configura meticolosamente il tuo Walled Garden e testalo da un dispositivo pulito. Prendi una decisione ponderata su Portal Escape in base ai tuoi requisiti di conformità. Applica il QoS per proteggere l'esperienza utente. E integra la tua infrastruttura Ruijie con le reti basate sull'identità di Purple per trasformare una connessione di base in una risorsa sicura, guidata dai dati e in grado di generare ricavi. Purple opera in oltre ottantamila sedi attive, ha elaborato quattrocentoquaranta milioni di accessi nel 2024 e possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. Siamo indipendenti dall'hardware, il che significa che il tuo investimento in Ruijie è completamente compatibile con la nostra piattaforma cloud overlay. Grazie per l'attenzione. Se desideri scoprire come Purple si integra con la tua infrastruttura Ruijie, visita purple punto ai barra guest trattino wifi. Distribuisci in sicurezza e ci vediamo al prossimo briefing.

header_image.png

Executive summary

L'implementazione del WiFi per gli ospiti in un'azienda distribuita richiede molto di più di un semplice SSID aperto. Per i responsabili IT e gli architetti di rete, la sfida consiste nel bilanciare un accesso fluido con una sicurezza rigorosa, la conformità al GDPR e i requisiti di acquisizione dei dati. Questa guida illustra i passaggi di configurazione esatti per implementare un Captive Portal sicuro e scalabile utilizzando i controller wireless e i gateway Ruijie, e mostra come l'integrazione di tale infrastruttura con la piattaforma Guest WiFi di Purple trasformi una connessione wireless di base in una risorsa conforme e in grado di generare ricavi.

Copriremo i prerequisiti tecnici, le strategie di segmentazione VLAN, l'autenticazione RADIUS esterna tramite il protocollo WISPr, la configurazione del walled garden e le impostazioni QoS specifiche richieste per un'implementazione di livello di produzione. Sia che gestiate un hotel da 200 camere, una catena di vendita al dettaglio con 50 punti vendita o uno stadio con 40.000 spettatori, questa guida fornisce il modello autorevole per una configurazione sicura del Captive Portal Ruijie. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple), pertanto i modelli di integrazione qui descritti sono collaudati su larga scala.

architecture_overview.png

Architettura tecnica e prerequisiti

Prima di modificare il controller Ruijie, stabilite la corretta architettura di rete. Una rete ospiti sicura richiede un isolamento completo dal traffico aziendale a livello Layer 2 - a livello di switch.

Segmentazione della rete

La base di un WiFi per gli ospiti sicuro è l'isolamento della VLAN. È necessario creare una VLAN dedicata agli ospiti sul gateway Ruijie o sullo switch principale. Ciò garantisce che il traffico degli ospiti non si incroci mai con i sistemi interni, i terminali di pagamento o i dispositivi del personale. Uno schema VLAN aziendale standard per un'implementazione Ruijie si presenta così:

ID VLAN Scopo Note
10 Aziendale Dispositivi del personale, server interni
20 Voce Ricevitori VoIP
30 Ospiti Captive Portal, solo internet
40 IoT Stampanti, smart TV, sensori
99 Gestione Controller, gestione dello switch

Per saperne di più sul motivo per cui gli approcci di livello consumer falliscono in questo ambito, leggete Why Consumer WiFi Gear Doesn't Belong on Your Guest Network .

Componenti richiesti

Per completare questa implementazione, sono necessari:

  • Un account Ruijie Cloud o un controller wireless locale Ruijie serie RG-WS (ad es. RG-WS6008 o RG-WS7110).
  • Un gateway Ruijie serie RG-EG - richiesto per l'autenticazione del portale esterno tramite WISPr.
  • Access Point Ruijie serie RG-AP (ad es. RG-AP820-I, RG-AP850-AR).
  • Una licenza Purple Connect, Capture o Engage.
  • Accesso UDP in uscita sulle porte 1812 (autenticazione RADIUS) e 1813 (accounting RADIUS) dal gateway verso i server di Purple.

Panoramica del protocollo di autenticazione

Ruijie supporta diversi metodi di autenticazione. Le distribuzioni aziendali dovrebbero utilizzare l'autenticazione RADIUS esterna. Questo approccio utilizza il protocollo WISPr (Wireless Internet Service Provider roaming) per reindirizzare in modo sicuro gli utenti non autenticati alla splash page di Purple, elaborare le loro credenziali e restituire un messaggio RADIUS Accept o Reject al controller Ruijie.

comparison_chart.png

La tabella sopra riassume i cinque metodi di autenticazione disponibili sulle piattaforme Ruijie. La registrazione via e-mail e il social login sono le scelte più comuni per gli ambienti dell'ospitalità e del retail perché acquisiscono dati di prima parte strutturati e conformi al GDPR. I codici voucher sono adatti per le sale conferenze e i livelli di accesso a pagamento. RADIUS con 802.1X è riservato alle reti del personale in cui è richiesta un'identità supportata da directory.

Guida all'implementazione passo dopo passo

Segui questi passaggi all'interno di Ruijie Cloud o dell'interfaccia del controller locale. I percorsi dell'interfaccia utente riportati di seguito si applicano alla nuova interfaccia di Ruijie Cloud (post-2024) e alla piattaforma Ruijie JaCS.

Passaggio 1: Configurare l'SSID ospiti

Stabilisci la rete di trasmissione wireless.

  1. Accedi a Ruijie Cloud o all'interfaccia web del controller locale.
  2. Naviga su Device Config e seleziona Wi-Fi nella sezione Wireless.
  3. Fai clic su + per creare un nuovo SSID o modificane uno esistente.
  4. Imposta il SSID Name (ad es., "Free Guest WiFi").
  5. Imposta Security Mode su Open - nessuna chiave precondivisa.
  6. Assegna l'SSID alla tua VLAN ospiti dedicata (ad es., VLAN 30).
  7. Salva la configurazione dell'SSID.

Passaggio 2: Definire la policy del captive portal

Istruisci il controller a intercettare il traffico degli ospiti e a reindirizzarlo a Purple.

  1. Naviga su Auth & Account e seleziona Captive Portal sotto Authentication.
  2. Crea una nuova policy. Imposta un Policy Name descrittivo (ad es., "Purple-Guest-Portal").
  3. Imposta Policy Mode su External.
  4. Imposta Authentication Device sul tuo gateway Ruijie (serie RG-EG) o access point.
  5. Seleziona l'SSID ospiti creato al Passaggio 1.
  6. Nel campo Portal Server URL, inserisci l'URL specifico della tua splash page Purple (disponibile nella dashboard Purple sotto Hardware Configuration).
  7. Inserisci gli indirizzi IP del server RADIUS Purple nei campi designati.
  8. Imposta la durata di Seamless Online in modo che corrisponda alla tua policy di timeout della sessione (ad es., 24 ore per l'ospitalità, un'ora per il retail).
  9. Decidi il comportamento di Portal Escape - consulta la sezione Best Practice di seguito.

Passaggio 3: Configurare il walled garden (allowlist)

Un captive portal intercetta tutto il traffico fino a quando l'utente non si autentica. Alcuni tipi di traffico devono passare attraverso la pre-autenticazione per consentire il caricamento della pagina di accesso e l'elaborazione dei social login. Questo è l'elemento configurato in modo errato più di frequente in qualsiasi implementazione di captive portal.

  1. Passa a Auth & Account e seleziona Allowlist.
  2. Aggiungi tutti i domini dell'infrastruttura Purple richiesti. La tua dashboard Purple fornisce l'elenco esatto per la tua area geografica.
  3. Se offri il social login, aggiungi i domini OAuth per ciascun provider:
    • Per Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Per Google Workspace: *.google.com, accounts.google.com
    • Per Okta: il dominio specifico del tuo tenant Okta
  4. Aggiungi i domini dei processori di pagamento se offri piani WiFi a pagamento.
  5. Salva e applica la allowlist.

Passaggio 4: Configura l'autenticazione RADIUS

Configura il canale di comunicazione sicuro tra Ruijie e Purple.

  1. Passa alle impostazioni del server RADIUS nel controller o gateway Ruijie.
  2. Aggiungi l'indirizzo IP del server RADIUS Purple primario e la porta 1812 per l'autenticazione.
  3. Aggiungi l'indirizzo IP del server RADIUS Purple secondario come failover.
  4. Inserisci il Shared Secret dalla tua dashboard Purple. Deve corrispondere esattamente.
  5. Aggiungi il server di accounting sulla porta 1813 e abilita il RADIUS accounting. Questo tiene traccia della durata della sessione e dell'utilizzo dei dati, alimentando direttamente i report di WiFi Analytics di Purple.
  6. Imposta il NAS Identifier su una stringa significativa (ad es. il nome della tua location) per distinguere il traffico nei sistemi di analytics di Purple.

Passaggio 5: Applica le policy QoS

L'accesso ospiti non limitato può saturare la tua connessione internet durante i periodi di picco.

  1. Passa alla sezione QoS o gestione della larghezza di banda del tuo gateway Ruijie.
  2. Imposta i limiti di download per utente (ad es. 10 Mbps per gli ospiti dell'hotel, 5 Mbps per i clienti retail).
  3. Imposta i limiti di upload per utente (ad es. 2-5 Mbps).
  4. Disabilita Client Escape per garantire che gli utenti non autenticati non possano accedere alla rete se il server del portale è temporaneamente irraggiungibile.
  5. Salva e invia la configurazione a tutti i dispositivi interessati.

Passaggio 6: Testa l'implementazione

Esegui sempre i test da un dispositivo pulito senza credenziali memorizzate nella cache.

  1. Connetti un dispositivo mobile al SSID ospiti.
  2. Apri un browser e naviga su un URL non HTTPS (ad es. http://example.com). Il portale dovrebbe reindirizzarti.
  3. Verifica che la splash page di Purple si carichi correttamente.
  4. Completa il flusso di autenticazione.
  5. Conferma che l'accesso a internet sia concesso dopo l'autenticazione.
  6. Controlla la dashboard di Purple per confermare che la sessione appaia nei tuoi analytics.

Best practice per l'implementazione enterprise

Sicurezza e conformità

Non affidarsi mai a una PSK condivisa per l'accesso degli ospiti. Le password condivise non offrono alcuna tracciabilità e sono impossibili da revocare per un singolo utente. Utilizzando il Captive Portal di Purple con autenticazione individuale, si impone il consenso esplicito al trattamento dei dati, soddisfacendo i requisiti dell'Articolo 7 del GDPR. Purple possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials, garantendo che lo stesso meccanismo di acquisizione dei dati sia verificabile.

Per un approfondimento sull'architettura di sicurezza, leggi la nostra Enterprise WiFi Security: A Complete Guide for 2026 e What Is Secure WiFi: Essential Guide for Business 2026 .

Portal Escape: una decisione deliberata

La funzione Portal Escape di Ruijie sblocca automaticamente il traffico degli utenti se l'AP e il server del portale diventano irraggiungibili. In un ambiente hospitality, si potrebbe scegliere di abilitarla: un ospite escluso dal WiFi a causa di un momentaneo blocco del server genera reclami. In un ambiente retail o sanitario, si potrebbe scegliere di disabilitarla: l'accesso non autenticato rappresenta un rischio di conformità e sicurezza. Documenta la tua decisione e la relativa motivazione nel runbook di rete.

Coerenza multi-sito

Utilizza Ruijie Cloud per gestire la configurazione in modo centralizzato su tutti i siti. Distribuisci le policy del portale simultaneamente per eliminare le discrepanze di configurazione tra i vari siti, che rappresentano la causa più comune di un'esperienza ospite non uniforme in una proprietà distribuita. L'overlay cloud di Purple opera sullo stesso principio: un'unica dashboard, tutte le sedi.

Gestione del firmware

Alcune funzionalità del Captive Portal di Ruijie, in particolare i controlli della larghezza di banda e l'assegnazione dinamica delle VLAN, richiedono versioni specifiche del firmware sul gateway. Le note di rilascio di Ruijie documentano queste dipendenze. Assicurati che i tuoi gateway RG-EG eseguano il firmware RGOS11.9(6)B17T1 o superiore per il supporto QoS completo sulle distribuzioni gestite in cloud.

Risoluzione dei problemi e mitigazione dei rischi

Impossibile caricare la pagina del portale

Se il Captive Portal non viene visualizzato quando un dispositivo si connette, verifica innanzitutto le impostazioni del walled garden. Il dispositivo deve risolvere il DNS e raggiungere l'URL del portale Purple prima dell'autenticazione. Verifica che la allowlist di Ruijie includa tutti i domini necessari e che il tuo server DNS sia accessibile dalla VLAN degli ospiti.

Timeout di autenticazione

Se gli utenti visualizzano il portale ma non riescono a effettuare l'accesso, il problema risiede in genere nella configurazione RADIUS. Verifica gli indirizzi IP del server RADIUS, le porte (1812 per l'autenticazione, 1813 per l'accounting) e la chiave segreta condivisa. Assicurati che il firewall consenta il traffico UDP in uscita su queste porte dall'IP di gestione del gateway Ruijie.

Blocco del social login

Se gli utenti cliccano su un pulsante di social login e non succede nulla, il reindirizzamento OAuth è bloccato. Aggiungi i domini dei provider social richiesti alla tua allowlist Ruijie. Esegui un test consentendo temporaneamente tutto il traffico prima dell'autenticazione per confermare che il portale funzioni, quindi stringi la allowlist in modo incrementale.

Errori di assegnazione dinamica della VLAN

If you are using RADIUS to assign users to VLANs dynamically, ensure the RADIUS response includes the correct VLAN attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Ruijie's RG-EG310GH-E and similar gateways support dynamic VLAN assignment, but the feature requires explicit configuration on both the RADIUS server and the gateway.

ROI and business impact

Deploying a secure captive portal transforms guest WiFi from a cost centre into a strategic asset. Purple's WiFi Analytics platform, integrated with your Ruijie infrastructure, captures first-party data, builds high-intent contact lists, and delivers actionable insights into visitor behaviour across your estate.

Harrods used Purple's Guest WiFi to promote its loyalty programme, achieving a market-leading opt-in rate and a 57x ROI (Purple customer data). c2c Rail used Purple to encourage direct bookings, achieving a 121% return on investment and saving £76,000 in operational costs (Purple customer data). Pizza Express deployed Purple across 470+ restaurants to build richer customer profiles.

For hospitality operators, the data captured at login - email, demographic, visit frequency - feeds directly into CRM systems and loyalty programmes. For retail environments, repeat visit analytics identify your highest-value shoppers. For transport hubs, passenger flow data optimises staffing and commercial space planning.

Purple integrates with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet - as well as Ruijie - making it the hardware-agnostic cloud overlay that works with your existing estate rather than replacing it.

Related guides: Grandstream GWN Access Points Integration with Purple WiFi

Definizioni chiave

Captive Portal

Una pagina web che l'utente di una rete ad accesso pubblico deve visualizzare e con cui deve interagire prima che gli venga concesso l'accesso a Internet. Intercetta tutto il traffico HTTP e reindirizza il browser dell'utente alla pagina del portale.

Il meccanismo principale per imporre l'autenticazione sulle reti WiFi ospiti. Utilizzato in hotel, negozi, stadi e spazi pubblici per controllare l'accesso e acquisire il consenso.

Walled garden

Una whitelist di pre-autenticazione che consente a domini e indirizzi IP specifici di aggirare l'intercettazione del Captive Portal. Il traffico verso queste destinazioni è consentito prima che l'utente si autentichi.

Essenziale per consentire ai dispositivi di caricare la splash page, raggiungere i provider di login social e gestire i flussi di pagamento prima che l'utente sia completamente autenticato. Un'errata configurazione in questo ambito è la causa principale dei malfunzionamenti del Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (Accounting) per gli utenti che si connettono a un servizio di rete.

Il protocollo sicuro utilizzato dai controller Ruijie per comunicare con i server di Purple. Le richieste di autenticazione vanno alla porta 1812 (UDP); i record di accounting vanno alla porta 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Una specifica di protocollo che definisce come un Captive Portal reindirizza gli utenti non autenticati a una pagina di login e come il controller di accesso riceve il risultato dell'autenticazione.

Il framework di protocollo specifico utilizzato da Ruijie e Purple per gestire il reindirizzamento del Captive Portal esterno e il flusso di autenticazione. Richiesto per la modalità portale esterno sui gateway Ruijie.

Isolamento VLAN

La pratica di separare il traffico di rete in reti locali virtuali distinte a livello di switch, impedendo ai dispositivi su VLAN diverse di comunicare direttamente.

Non negoziabile per le reti ospiti. Garantisce che i dispositivi degli ospiti non possano comunicare con i server aziendali, i laptop del personale o i terminali di pagamento, anche se sono connessi alla stessa infrastruttura fisica.

Portal Escape

Una funzionalità Ruijie che sblocca automaticamente il traffico degli utenti se l'access point e il server del portale diventano irraggiungibili, consentendo l'accesso a Internet non autenticato durante un disservizio.

Un compromesso deliberato tra disponibilità e sicurezza. Gli operatori del settore alberghiero possono abilitarlo per evitare reclami da parte degli ospiti durante i disservizi. Gli operatori sanitari e della vendita al dettaglio in genere lo disabilitano per imporre sempre un'autenticazione rigorosa.

SSID

Service Set Identifier. Il nome pubblico di una rete wireless che i dispositivi mostrano nel loro elenco delle reti disponibili.

Il nome della rete che gli ospiti selezionano sui loro dispositivi, che avvia il reindirizzamento al Captive Portal. Ogni SSID in una distribuzione Ruijie è mappato su una VLAN specifica e su una policy di autenticazione.

QoS

Quality of Service. Un insieme di tecnologie che gestiscono il traffico dati per ridurre la perdita di pacchetti, la latenza e il jitter, e per garantire prestazioni prevedibili per tipi di traffico specifici.

Utilizzato nelle reti ospiti per limitare la larghezza di banda per singolo utente, impedendo a un singolo dispositivo di saturare il collegamento Internet e di compromettere l'esperienza di tutti gli altri utenti connessi.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta, che fornisce un meccanismo di autenticazione per i dispositivi che si connettono a una LAN o WLAN.

Utilizzato per le reti del personale che richiedono un'identità basata su directory (ad esempio, tramite Microsoft Entra ID o Okta). Non viene tipicamente utilizzato per le reti ospiti, dove il modello appropriato è un Captive Portal con RADIUS.

Esempi pratici

Un hotel da 250 camere utilizza access point Ruijie RG-AP820-I e un gateway RG-EG310GH-E. Richiedono che gli ospiti si autentichino tramite e-mail per creare un database di marketing. La direzione è preoccupata che gli ospiti possano aggirare il portale e che si verifichi una saturazione della larghezza di banda nelle ore di punta durante gli eventi congressuali.

Il team IT crea una VLAN ospiti dedicata (VLAN 40) sullo switch principale e la collega in trunk al gateway e agli AP Ruijie. In Ruijie Cloud, creano un SSID aperto mappato sulla VLAN 40. Configurano una policy di Captive Portal esterno che punta all'URL della splash page di Purple, inserendo l'URL del Portal Server e le credenziali RADIUS dalla dashboard di Purple. Aspetto cruciale, configurano il Walled Garden per consentire il traffico solo verso i domini di Purple e disabilitano la funzione Portal Escape sul gateway Ruijie, impedendo l'accesso non autenticato in caso di interruzione del portale. Applicano una policy QoS che limita ogni client a 10 Mbps in download e 3 Mbps in upload. Per gli eventi congressuali, creano un SSID separato sulla VLAN 50 con un portale basato su voucher e limiti di larghezza di banda più stringenti di 5 Mbps per dispositivo.

Commento dell'esaminatore: Questo approccio isola correttamente il traffico degli ospiti al Layer 2, impone l'autenticazione RADIUS esterna per l'acquisizione dei dati conforme al GDPR e applica controlli della larghezza di banda proporzionati al caso d'uso. La disattivazione di Portal Escape è una decisione di sicurezza deliberata che impedisce l'accesso non autenticato durante le interruzioni di rete. L'SSID separato per le conferenze con autenticazione tramite voucher è un modello pratico per le strutture che ospitano sia clienti di passaggio che partecipanti a eventi con requisiti di accesso differenti.

Una catena di negozi con 50 punti vendita utilizza controller Ruijie WS6008. Implementano il social login (Facebook e Google Workspace) per gli acquirenti che accedono al WiFi, ma la pagina del portale si blocca quando gli utenti cliccano sui pulsanti di login social. Il problema interessa contemporaneamente tutte e 50 le sedi.

L'IT manager identifica che nella configurazione della Allowlist (Walled Garden) sui controller Ruijie mancano i domini OAuth richiesti da Facebook e Google. Sebbene l'URL del portale Purple fosse correttamente consentito, i domini dei social provider necessari per l'handshake OAuth erano bloccati dall'intercettazione del Captive Portal. Il team aggiunge i domini wildcard richiesti - nello specifico *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - alla Allowlist di Ruijie. Inviano la configurazione aggiornata a tutte e 50 le sedi contemporaneamente tramite Ruijie Cloud, risolvendo il problema sull'intero parco macchine in un'unica operazione.

Commento dell'esaminatore: La configurazione errata del walled garden è la causa più comune di errore del social login nelle distribuzioni di Captive Portal. Il Captive Portal deve consentire esplicitamente il traffico di pre-autenticazione verso i domini OAuth degli identity provider, altrimenti il processo di reindirizzamento non può essere completato. L'uso di Ruijie Cloud per l'invio centralizzato della configurazione è l'approccio corretto per una rete multi-sito: la configurazione manuale per singolo sito su 50 sedi sarebbe soggetta a errori e richiederebbe molto tempo.

Domande di esercitazione

Q1. Hai configurato un Captive Portal esterno su un gateway Ruijie RG-EG. Gli ospiti si connettono all'SSID, ma i loro dispositivi segnalano "Nessuna connessione Internet" e la pagina del portale non si carica mai. Qual è l'errore di configurazione più probabile e come lo risolvi?

Suggerimento: Considera quali operazioni di rete devono avere successo prima che l'utente possa visualizzare la pagina di login.

Visualizza risposta modello

Il walled garden (Allowlist) è configurato in modo errato. Il gateway Ruijie sta bloccando la risoluzione DNS o il traffico HTTP necessario per raggiungere l'URL esterno della splash page di Purple. Prima dell'autenticazione, il dispositivo deve essere in grado di risolvere il dominio del portale ed effettuare una connessione HTTP ad esso. Aggiungi i domini Purple specifici all'allowlist di pre-autenticazione nella sezione Ruijie Auth & Account. Verifica inoltre che alla VLAN guest sia assegnato un server DNS valido tramite DHCP.

Q2. Il direttore IT di uno stadio desidera distribuire AP Ruijie per il WiFi dei tifosi durante gli eventi. Desidera raccogliere dati di marketing, ma teme che l'autenticazione RADIUS causi ritardi quando 10.000 tifosi si connettono simultaneamente durante i primi 30 minuti dall'apertura dei cancelli. Come dovrebbe progettare il flusso di autenticazione per bilanciare l'acquisizione dei dati con l'esperienza utente?

Suggerimento: Considera il compromesso tra la ricchezza dei dati e l'attrito dell'autenticazione su larga scala.

Visualizza risposta modello

Dovrebbe utilizzare il One-Click Login di Purple per i tifosi di ritorno che si sono già autenticati in precedenza, il che evita la compilazione del modulo e riduce il carico RADIUS. Per i nuovi tifosi, è preferibile un modulo di acquisizione e-mail minimo rispetto al social login, che richiede ulteriori passaggi OAuth. Il gateway Ruijie deve essere dimensionato per gestire richieste RADIUS simultanee: per 10.000 connessioni simultanee, è necessario un gateway della serie RG-EG ad alta capacità. L'abilitazione di Seamless Online con una durata della sessione di 30 giorni consente ai tifosi di ritorno di connettersi automaticamente agli eventi successivi. I limiti di QoS dovrebbero essere severi (5 Mbps per dispositivo) per evitare che i primi arrivati saturino la banda prima dell'arrivo della folla principale.

Q3. Durante un audit di sicurezza, un penetration tester accede al file server aziendale mentre è connesso all'SSID "Guest WiFi" trasmesso da un AP Ruijie. La rete guest utilizza un Captive Portal correttamente configurato. Come risolvi questa vulnerabilità critica?

Suggerimento: L'autenticazione e la segmentazione della rete sono questioni distinte. L'una non implica l'altra.

Visualizza risposta modello

Il Captive Portal funziona correttamente, ma l'isolamento della VLAN manca o è configurato in modo errato. L'SSID guest inserisce gli utenti autenticati nella VLAN aziendale o nella VLAN nativa, che ha accesso di routing ai server interni. È necessario: (1) creare una VLAN guest dedicata (es. VLAN 50) sullo switch principale; (2) assegnare l'SSID Guest alla VLAN 50 nel controller Ruijie; (3) configurare le porte dello switch che collegano gli AP come trunk 802.1Q che consentono la VLAN 50; (4) configurare il gateway Ruijie per bloccare il routing tra la VLAN 50 e tutte le subnet aziendali, consentendo solo il traffico diretto a Internet dalla VLAN guest. L'autenticazione e la segmentazione della rete sono controlli indipendenti: entrambi devono essere configurati correttamente.

Q4. La tua installazione Ruijie ha la funzione Portal Escape abilitata. Durante una finestra di manutenzione pianificata sui server RADIUS di Purple, noti che gli ospiti accedono a Internet senza autenticarsi. È un comportamento previsto e quali sono le implicazioni di conformità?

Suggerimento: Considera lo scopo di Portal Escape e i tuoi obblighi GDPR.

Visualizza risposta modello

Sì, questo è il comportamento previsto di Portal Escape. Quando il server del portale non è raggiungibile, Ruijie sblocca automaticamente il traffico per mantenere la connettività. Tuttavia, ciò crea una lacuna di conformità: gli utenti accedono a Internet senza fornire il consenso al trattamento dei dati, il che potrebbe violare i requisiti GDPR se i termini di servizio o l'acquisizione dei dati sono legati all'evento di autenticazione. Per le sedi in cui l'acquisizione del consenso è un requisito legale o commerciale, Portal Escape dovrebbe essere disabilitato. Pianifica la manutenzione del server RADIUS durante i periodi di minima attività degli ospiti e comunica la finestra di manutenzione alla gestione della struttura. Prendi in considerazione l'implementazione di un server RADIUS Purple secondario come failover per eliminare completamente questo scenario.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Captive Portal Best Practices: Progettazione per Conversioni Elevate e Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle location un modello completo per l'implementazione di Captive Portal in grado di bilanciare la sicurezza di rete con un tasso elevato di conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Basata sull'esperienza operativa di Purple in oltre 80.000 location e 440 milioni di login nel 2024, ogni raccomandazione è fondata su dati reali di implementazione.

Leggi la guida →

Come ottimizzare i Captive Portal per la massima sicurezza di rete e conversione degli utenti

Questa guida fornisce un progetto tecnico completo per l'ottimizzazione dei captive portal all'interno di strutture aziendali, coprendo l'architettura di segmentazione della rete, la selezione dei metodi di autenticazione, la progettazione del consenso conforme al GDPR e l'ottimizzazione delle conversioni. È scritta per IT manager, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico che devono bilanciare la sicurezza della rete con l'acquisizione di dati di prima parte. Purple gestisce l'infrastruttura dei captive portal in oltre 80.000 sedi con 440 milioni di accessi nel 2024, e i framework qui presentati riflettono tale esperienza operativa.

Leggi la guida →