Vai al contenuto principale
Italiano

Huawei AirEngine and CloudCampus Integration with Purple WiFi

Questa guida fornisce istruzioni dettagliate per l'integrazione degli access point Huawei AirEngine e iMaster NCE-Campus con Purple WiFi. Copre la configurazione del Captive Portal, l'autenticazione del personale tramite 802.1X e il routing dinamico delle VLAN tramite PPSK per le reti aziendali.

📖 6 minuti di lettura📝 1,408 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti nella serie tecnica di Purple. Sono il vostro ospite e oggi analizzeremo una delle integrazioni WiFi aziendali più sfumate che vediamo sul campo: gli access point Huawei AirEngine e il controller CloudCampus iMaster NCE-Campus, integrati con Purple per il guest WiFi, l'autenticazione del personale e la segmentazione della rete multi-tenant. Se siete un network architect o un IT manager che gestisce un'infrastruttura Huawei - che si tratti di un gruppo alberghiero, una catena retail, un centro congressi o un campus del settore pubblico - questo episodio fa al caso vostro. Copriremo l'intero stack: reindirizzamento del Captive Portal, ACL di pre-autenticazione, Wi-Fi sicuro per il personale tramite 802.1X e la funzionalità Private Pre-Shared Key di Huawei per lo steering dinamico delle VLAN su più tenant. Entriamo nel vivo. Sezione uno: Contesto e architettura. Il portfolio AirEngine di Huawei - che copre le serie 5700, 6700, 8700 e 9700 - funziona su WiFi 6 e WiFi 6E, con la serie top di gamma 9700 che supporta il WiFi 7. Si tratta di access point aziendali di alto livello. Il livello di gestione è iMaster NCE-Campus, il controller di rete basato su cloud di Huawei, che gestisce tutto, dalla configurazione degli SSID e il relay RADIUS all'applicazione delle policy e all'inoltro dei syslog. Purple si posiziona al di sopra di questo come overlay cloud. Operiamo in 80.000 sedi attive e abbiamo elaborato 440 milioni di accessi solo nel 2024. Siamo indipendenti dall'hardware - il che significa che ci integriamo con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e, naturalmente, Huawei AirEngine - utilizzando gli stessi standard RADIUS e Captive Portal supportati da ogni controller aziendale. Il modello di integrazione qui è semplice. iMaster NCE-Campus funge da relay RADIUS, inoltrando le richieste di autenticazione dagli access point ai server RADIUS di Purple. Purple gestisce la logica di autenticazione - che si tratti di una splash page per gli ospiti, di un controllo delle credenziali 802.1X o di una ricerca PPSK - e restituisce la risposta RADIUS appropriata, inclusi eventuali attributi di assegnazione dinamica della VLAN. Sezione due: Configurazione del guest WiFi e del Captive Portal. Iniziamo con l'implementazione più comune: il guest WiFi con un Captive Portal di Purple. In iMaster NCE-Campus, andate su Design, poi Network Design, quindi Template Management. Create un modello RADIUS Relay Server. I parametri chiave sono: impostare il servizio di autenticazione su Portal authentication, aggiungere gli indirizzi IP del server RADIUS di Purple sulla porta UDP 1812 per l'autenticazione e 1813 per l'accounting, impostare il NAS identifier su Device MAC e configurare la shared secret. Purple fornisce queste credenziali RADIUS dalla schermata di configurazione della sede nel dashboard di Purple. Successivamente, si crea un'ACL: questo è il proprio Walled Garden. Prima che un ospite si autentichi, deve poter raggiungere la splash page di Purple e tutti i domini di supporto. Le regole dell'ACL devono consentire il DNS su UDP 53, consentire l'HTTPS verso il dominio del Captive Portal di Purple e consentire tutti i provider di social login abilitati, ad esempio gli endpoint delle API di graph di Facebook se si utilizza il social sign-on. Tutto il resto viene negato prima dell'autenticazione. Quindi si configura l'SSID. Impostare il tipo di rete su Open, selezionare l'autenticazione Open plus Portal, impostare il tipo di autenticazione su Relay authentication by cloud platform e scegliere RADIUS relay come modalità di interconnessione. Impostare il protocollo di page push su HTTPS. Nei parametri di autenticazione del portale di terze parti, incollare l'URL di reindirizzamento di Purple: questo è l'URL della splash page copiato dalla dashboard della sede di Purple, con il suffisso modificato per includere i parametri specifici di Huawei: ap-mac, uaddress, umac, ssid e redirect-url. Infine, creare un modello di URL in iMaster NCE-Campus che mappi questi nomi di parametri sui valori che Huawei passa nel reindirizzamento. La mappatura dei parametri è: redirect-url su redirect-url, loginurl su login-url, device-mac su ap-mac, user-ip su uaddress, user-mac su umac e ssid su ssid. Una volta configurato questo, un ospite si connette all'SSID, ottiene un indirizzo DHCP e il suo traffico HTTP viene intercettato dal controller e reindirizzato alla splash page di Purple. L'utente si autentica, tramite e-mail, social login o verifica SMS, e il server RADIUS di Purple invia un Access-Accept a iMaster NCE-Campus, che concede all'ospite l'accesso completo a Internet. Dal punto di vista dei dati, Purple acquisisce i dati di consenso di prima parte in questo momento. Ogni accesso è un opt-in consapevole, conforme a GDPR e CCPA. Questi dati alimentano la piattaforma di analytics di Purple, fornendo la durata della sessione, il tipo di dispositivo, i tassi di visitatori ricorrenti e il tempo di permanenza, il tutto senza alcun tracciamento di terze parti. Sezione tre: Proteggere il WiFi del personale con 802.1X. Ora parliamo del WiFi del personale. Si tratta di un approccio alla sicurezza completamente diverso. Non si desidera che il personale si trovi sullo stesso segmento di rete degli ospiti, né si vogliono password PSK condivise che escano dall'azienda quando qualcuno se ne va. La risposta è l'autenticazione 802.1X, definita in IEEE 802.1X-2020, che utilizza EAP-TLS o EAP-PEAP. In iMaster NCE-Campus, si crea un SSID separato per il personale, chiamiamolo CorpNet. Nel profilo di autenticazione per questo SSID, impostare la modalità di autenticazione su 802.1X, puntarla al server RADIUS di Purple e impostare il profilo di sicurezza su WPA2-Enterprise o WPA3-Enterprise con crittografia AES-CCMP. Anche in questo caso Purple funge da server RADIUS, ma ora convalida le credenziali rispetto al tuo identity provider. Purple si integra nativamente con Microsoft Entra ID, Okta e Google Workspace. Quando un membro dello staff si connette a CorpNet, il suo dispositivo invia le credenziali EAP all'access point, che le inoltra tramite RADIUS a Purple, il quale le convalida rispetto a Entra ID utilizzando SCIM o SAML. Se le credenziali sono valide, Purple restituisce un Access-Accept con un attributo RADIUS che specifica la VLAN dello staff, ad esempio la VLAN 20. iMaster NCE-Campus indirizza automaticamente il client in quella VLAN. Gli attributi RADIUS chiave per l'assegnazione dinamica della VLAN sono: Tunnel-Type impostato su VLAN o sul valore 13, Tunnel-Medium-Type impostato su 802 o sul valore 6, e Tunnel-Private-Group-ID impostato sull'ID della VLAN. Questi tre attributi insieme indicano al controller Huawei esattamente a quale VLAN assegnare il client autenticato. Specificamente per EAP-TLS - che rappresenta il gold standard per l'autenticazione dello staff - sono necessari i certificati client. L'add-on SecurePass di Purple gestisce l'emissione e il ciclo di vita dei certificati, integrandoli con la PKI esistente o fungendo da autorità di certificazione leggera. Questo elimina completamente gli attacchi basati su password. Niente password, nessun vettore di phishing. Sezione quattro: Segmentazione multi-tenant con Huawei PPSK. È qui che la situazione si fa davvero interessante. Se gestisci una sede a uso misto - un centro commerciale con più inquilini retail, uno spazio di co-working con diverse aziende associate o un centro congressi che ospita eventi simultanei - hai bisogno dell'isolamento di rete tra i tenant senza dover distribuire un SSID separato per ciascuno di essi. La funzionalità PPSK di Huawei - Private Pre-Shared Key - risolve questo problema. In altri ecosistemi di vendor viene talvolta chiamata iPSK. Il concetto è: un unico SSID, più password univoche, ciascuna mappata su una VLAN specifica. Il Tenant A riceve la password Alpha, che mappa sulla VLAN 30. Il Tenant B riceve la password Beta, che mappa sulla VLAN 40. Entrambi i tenant vedono lo stesso SSID, ma sono completamente isolati al Layer 2. Nella CLI di Huawei, questo si configura nella vista WLAN utilizzando il comando ppsk-user. Per ogni tenant, si esegue: ppsk-user psk pass-phrase, seguito dalla passphrase univoca, poi user-name, l'identificatore del tenant, poi vlan, l'ID della VLAN, e infine ssid, il nome dell'SSID. È inoltre possibile impostare una data di scadenza, un numero massimo di dispositivi e il binding a un indirizzo MAC specifico se si necessita di un controllo più rigoroso. In iMaster NCE-Campus, la ricerca PPSK può essere gestita localmente sul controller o, per implementazioni su larga scala, tramite RADIUS. Quando si utilizza il PPSK supportato da RADIUS, Purple diventa la fonte autorevole per le mappature da PPSK a VLAN. Il dispositivo di un tenant si connette con la propria passphrase univoca, il controller invia un Access-Request RADIUS a Purple con la passphrase come credenziale, Purple cerca la mappatura e restituisce un Access-Accept con i tre attributi del tunnel VLAN. Il controller indirizza il client nella VLAN corretta. Questa architettura scala fino a centinaia di tenant su un singolo SSID. Significa anche che puoi fornire, ruotare e revocare le credenziali dei tenant dal dashboard di Purple senza toccare la configurazione del controller. Sezione cinque: Errori di implementazione e come evitarli. Permettimi di illustrarti i tre scenari di errore che riscontro più spesso nelle distribuzioni Huawei e Purple. Primo: il Walled Garden è incompleto. Gli ospiti accedono all'SSID, vengono reindirizzati alla splash page, ma la pagina non si carica perché un dominio richiesto - spesso un endpoint CDN o un'API di login social - è bloccato dall'ACL di pre-autenticazione. La soluzione consiste nel testare il flusso della splash page da un dispositivo nuovo prima della messa in servizio, catturare le query DNS e le connessioni HTTPS che effettua e aggiungere ogni dominio richiesto all'ACL. Purple pubblica un elenco dei domini richiesti nella documentazione di integrazione. Secondo: mancata corrispondenza del segreto condiviso RADIUS. Il segreto configurato in iMaster NCE-Campus deve corrispondere esattamente al segreto nel dashboard di Purple. Una differenza di un singolo carattere causa errori di autenticazione silenziosi: i log del controller mostrano Access-Reject senza alcun messaggio di errore utile. Copia e incolla sempre il segreto, non digitarlo mai manualmente. Terzo: errata configurazione del trunk VLAN. L'assegnazione dinamica della VLAN tramite RADIUS funziona solo se la VLAN è già in modalità trunk sulla porta di uplink tra l'access point e lo switch di aggregazione. Se la VLAN 20 non è nell'elenco allow-pass del trunk sull'interfaccia dello switch, i client del personale autenticati riceveranno un timeout DHCP e sembrerà che l'autenticazione sia fallita. Verifica le configurazioni dei trunk prima di testare le VLAN assegnate tramite RADIUS. Sezione sei: Domande rapide. Domanda: Posso utilizzare il RADIUS integrato di Purple con la distribuzione on-premises di iMaster NCE-Campus di Huawei, anziché con la versione cloud? Sì. I server RADIUS di Purple sono ospitati in cloud e raggiungibili via Internet. Il tuo controller iMaster NCE-Campus on-premises necessita di traffico UDP in uscita sulle porte 1812 e 1813 verso gli intervalli IP RADIUS di Purple. Purple pubblica questi intervalli IP nel dashboard sotto le impostazioni della sede. Domanda: Huawei PPSK supporta WPA3-SAE? A partire dal firmware AirEngine V600R025, WPA3-SAE-PPSK è supportato sulle serie 6700 e 9700. Verifica la versione del firmware prima di abilitare WPA3 sugli SSID PPSK. Domanda: In che modo Purple gestisce il consenso GDPR per il WiFi ospiti sull'hardware Huawei? La splash page di Purple raccoglie il consenso al momento dell'autenticazione. Il record del consenso - inclusi timestamp, indirizzo IP e i termini specifici accettati - viene memorizzato nella piattaforma di Purple ed è esportabile per gli audit di conformità. Questo si applica indipendentemente dal fornitore dell'hardware sottostante. Sezione sette: Riepilogo e passaggi successivi. Per riassumere: Huawei AirEngine e iMaster NCE-Campus si integrano con Purple tramite RADIUS relay per il Captive Portal degli ospiti, 802.1X per il WiFi del personale e PPSK per la segmentazione VLAN multi-tenant. La configurazione si trova in iMaster NCE-Campus sotto Design, Network Design, Template Management per la configurazione di RADIUS e ACL, e sotto Provision, Device Configuration, Site Configuration per l'associazione di SSID e profili di autenticazione. I prossimi passi: recupera le credenziali RADIUS di Purple dalla dashboard della tua sede, configura il modello di server RADIUS relay in iMaster NCE-Campus, crea la tua ACL di Walled Garden, crea l'SSID ospite con autenticazione Open più Portal e testa il funzionamento end-to-end con un nuovo dispositivo prima di procedere al roll-out. Se stai distribuendo PPSK per l'isolamento multi-tenant, pianifica prima il tuo schema VLAN: assicurati che ogni VLAN tenant sia in trunking end-to-end prima di configurare un singolo utente PPSK. Per la guida di configurazione dettagliata passo-passo, inclusi esempi di CLI e diagrammi di architettura, leggi la guida scritta completa sul sito web di Purple. Grazie per l'attenzione.

header_image.png

Executive Summary

Le reti aziendali richiedono hardware affidabile abbinato a una gestione intelligente delle identità. Gli access point Huawei AirEngine e il controller iMaster NCE-Campus offrono connettività ad alta densità, mentre Purple fornisce l'overlay cloud per l'autenticazione, l'analisi e l'applicazione delle policy. Questa guida descrive in dettaglio l'architettura di integrazione richiesta per distribuire il Guest WiFi , il Staff WiFi sicuro e il WiFi multi-tenant utilizzando un unico controller Huawei.

Integrando Huawei CloudCampus con Purple, si sostituiscono i silos di autenticazione disparati con una rete unificata basata sull'identità (Identity-Based Network). Operiamo in oltre 80.000 sedi attive e abbiamo gestito 440 milioni di accessi nel 2024. La nostra piattaforma indipendente dall'hardware si integra nativamente con Huawei tramite protocolli RADIUS e Captive Portal standard. Questa integrazione consente il consenso esplicito (opt-in) per i visitatori, la convalida dei certificati 802.1X per i dipendenti e l'instradamento VLAN dinamico tramite chiavi pre-condivise private (PPSK) per i tenant.

Sia che gestiate uno stadio, un campus universitario o una catena di negozi, questo documento fornisce i passaggi di configurazione esatti, gli attributi RADIUS e le liste di controllo degli accessi (ACL) necessari per proteggere il vostro edge wireless e acquisire dati di prima parte su scala.

Ascolta il podcast del briefing tecnico:

Technical Deep-Dive

L'integrazione si basa su protocolli standard: RADIUS (UDP 1812/1813) per l'autenticazione e l'accounting, e HTTPS (TCP 443) per il reindirizzamento al Captive Portal. iMaster NCE-Campus funge da server di accesso alla rete (NAS) e relay RADIUS, inoltrando le richieste dagli access point AirEngine all'infrastruttura cloud RADIUS di Purple.

Architecture Overview

architecture_overview.png

Purple supporta tre modelli di autenticazione principali sull'hardware Huawei:

  1. Guest WiFi (Captive Portal): Il traffico non autenticato viene intercettato dal controller Huawei e reindirizzato alla splash page di Purple. L'accesso pre-autenticazione è limitato da una ACL Walled Garden. Una volta completato l'accesso con successo, Purple invia un messaggio di RADIUS Access-Accept, concedendo al client l'accesso completo alla rete.
  2. Staff WiFi (802.1X): I dipendenti si autenticano utilizzando le credenziali aziendali tramite EAP-PEAP o EAP-TLS. Purple convalida queste credenziali rispetto a provider di identità come Microsoft Entra ID, Okta o Google Workspace.
  3. WiFi Multi-Tenant (PPSK): gli inquilini si connettono a un singolo SSID condiviso utilizzando passphrase univoche. Purple convalida la passphrase e restituisce attributi RADIUS specifici per indirizzare dinamicamente l'inquilino nella propria VLAN isolata.

Walled Garden e ACL di Pre-Autenticazione

Un Captive Portal richiede un Walled Garden - una Access Control List (ACL) che consenta il traffico verso i servizi essenziali prima che l'utente si autentichi. Se il Walled Garden è incompleto, la splash page non si caricherà, con conseguente scarsa esperienza per il visitatore.

Per Huawei iMaster NCE-Campus, l'ACL di pre-autenticazione deve consentire:

  • Risoluzione DNS (UDP 53)
  • Domini del Captive Portal di Purple (*.purpleportal.net, *.purple.ai)
  • Content Delivery Networks (CDNs) che ospitano le risorse della splash page
  • Domini dei provider di identità se l'accesso social (Apple, Google, Facebook) è abilitato

Tutto l'altro traffico deve essere negato fino a quando Purple non restituisce il pacchetto RADIUS Access-Accept.

Instradamento Dinamico della VLAN e Attributi RADIUS

Per isolare il traffico di rete, Purple utilizza l'assegnazione dinamica della VLAN. Invece di trasmettere più SSID, si trasmette un solo SSID e si assegna la VLAN in modo dinamico in base all'identità dell'utente.

Quando Purple autentica un utente (tramite 802.1X o PPSK), restituisce un pacchetto Access-Accept contenente tre attributi RADIUS standard IETF obbligatori:

  • Tunnel-Type = VLAN (o 13)
  • Tunnel-Medium-Type = 802 (o 6)
  • Tunnel-Private-Group-ID = [VLAN ID]

Il controller Huawei riceve questi attributi e indica all'access point AirEngine di taggare il traffico del client con l'ID VLAN specificato.

ppsk_vlan_segmentation.png

Guida all'Implementazione

Questa sezione illustra i passaggi esatti per configurare iMaster NCE-Campus per l'integrazione con Purple.

Passaggio 1: Configurare il Server Relay RADIUS

Innanzitutto, definire Purple come server di autenticazione esterno.

  1. In iMaster NCE-Campus, accedere a Design > Network Design > Template Management.
  2. Selezionare RADIUS Server e fare clic su Create.
  3. Impostare Authentication service su Portal authentication.
  4. Inserire gli indirizzi IP RADIUS primario e secondario di Purple (disponibili nella dashboard di Purple).
  5. Impostare la porta di autenticazione su 1812 e la porta di accounting su 1813.
  6. Inserire il RADIUS Shared Secret fornito da Purple.
  7. Impostare NAS identifier su Device MAC.

Passaggio 2: Creare l'ACL del Walled Garden

Creare l'ACL per consentire il traffico di pre-autenticazione.

  1. Accedere a Design > Network Design > Template Management > ACL.
  2. Creare una nuova ACL denominata Purple_Walled_Garden.
  3. Impostare ACL Type su User.
  4. Aggiungere regole di autorizzazione (permit) per il DNS e i domini richiesti da Purple (ad es. *.purpleportal.net).
  5. Salvare il modello ACL.

Passaggio 3: Configurare il Modello URL del Captive Portal

Huawei richiede un modello URL per mappare i parametri di reindirizzamento standard nel formato richiesto da Purple.

  1. Passare a Design > Network Design > Template Management > URL Template.
  2. Creare un nuovo modello denominato Purple_URL_Template.
  3. Impostare il Template Type su Cloud platform-based relay authentication.
  4. Configurare la mappatura dei parametri esattamente come segue:
    • redirect-url mappa su redirect-url
    • loginurl mappa su login-url
    • device-mac mappa su ap-mac
    • user-ip mappa su uaddress
    • user-mac mappa su umac
    • ssid mappa su ssid

Passaggio 4: Configurazione del SSID Ospiti

Associare il server RADIUS, l'ACL e il modello URL al SSID.

  1. Passare a Provision > Device Configuration > Site Configuration.
  2. Selezionare AP e creare un nuovo SSID.
  3. Impostare il Network Type su Open.
  4. Selezionare Open+Portal authentication.
  5. Impostare il tipo di autenticazione su Relay authentication by cloud platform.
  6. Impostare la modalità di interconnessione su RADIUS relay.
  7. Selezionare il Purple_URL_Template creato in precedenza.
  8. Nel campo dell'URL di autenticazione di terze parti, incollare l'URL univoco della pagina di benvenuto di Purple.
  9. Selezionare il modello di server RADIUS Purple.
  10. Selezionare l'ACL Purple_Walled_Garden per la regola di autorizzazione predefinita.
  11. Salvare e distribuire la configurazione agli access point AirEngine.

Best Practice

Per garantire una distribuzione sicura e affidabile, seguire queste best practice indipendenti dal fornitore:

  • Implementare 802.1X per i dipendenti: Non utilizzare mai PSK condivise per le reti del personale. Distribuire 802.1X con EAP-TLS utilizzando l'add-on SecurePass di Purple per emettere certificati client. Ciò elimina i vettori di phishing basati su password e si allinea ai requisiti ISO 27001.
  • Consolidare gli SSID: La trasmissione di troppi SSID riduce l'efficienza del tempo di trasmissione radio a causa del sovraccarico dei frame di gestione. Utilizzare PPSK e l'instradamento VLAN dinamico per consolidare le reti multi-tenant in un unico SSID.
  • Verificare le configurazioni dei Trunk: L'assegnazione dinamica della VLAN non va a buon fine in modo silenzioso se la VLAN assegnata non è consentita sulla porta trunk dello switch che collega l'access point. Verificare sempre le configurazioni delle porte dello switch prima di testare l'instradamento RADIUS.
  • Monitorare la latenza RADIUS: I timeout di autenticazione spesso derivano dalla latenza WAN. Assicurarsi che il controller iMaster NCE-Campus disponga di un percorso a bassa latenza verso l'infrastruttura RADIUS regionale di Purple.

Risoluzione dei problemi e mitigazione dei rischi

Quando si integra il RADIUS cloud con i controller aziendali, i problemi in genere si isolano in tre aree: il Walled Garden, il segreto condiviso RADIUS o il trunking VLAN.

Impossibile caricare la pagina di benvenuto

Sintomo: Un dispositivo si connette al WiFi ospiti, ma il browser mostra un errore di timeout invece della pagina di benvenuto di Purple. Causa principale: L'ACL del Walled Garden è incompleta, bloccando l'accesso ai domini del portale di Purple o alle CDN richieste. Mitigation: Connettere un dispositivo di test all'SSID. Tentare un ping a purpleportal.net. Se il ping fallisce, verificare la configurazione dell'ACL di iMaster NCE-Campus e assicurarsi che sia applicata allo stato di pre-autenticazione dell'SSID.

Errori di Autenticazione Silenti

Sintomo: Un utente inserisce credenziali valide, ma la connessione si interrompe senza alcun messaggio di errore. Causa principale: Una mancata corrispondenza nel segreto condiviso RADIUS tra iMaster NCE-Campus e Purple. Mitigation: Copiare il segreto condiviso direttamente dalla dashboard di Purple e incollarlo nel modello del server RADIUS Huawei. Un singolo spazio finale interromperà l'hash MD5 utilizzato nei pacchetti RADIUS.

Timeout DHCP Dopo l'Autenticazione

Sintomo: Un membro dello staff si autentica correttamente tramite 802.1X, ma il dispositivo riceve un indirizzo APIPA 169.254.x.x invece di un IP valido. Causa principale: Purple ha assegnato con successo una VLAN dinamica tramite RADIUS, ma tale VLAN non è configurata in trunk verso l'access point AirEngine. Mitigation: Accedere allo switch di accesso e verificare che il comando port trunk allow-pass vlan includa l'ID della VLAN di destinazione sull'interfaccia connessa all'AP.

ROI e Impatto sul Business

La distribuzione di Huawei AirEngine con Purple trasforma un'infrastruttura di rete standard in una risorsa aziendale misurabile.

Per gli operatori del settore Retail , questa integrazione acquisisce dati di prima parte dagli acquirenti, consentendo campagne di marketing mirate che aumentano l'affluenza e il valore medio delle transazioni. La dashboard di WiFi Analytics di Purple fornisce mappe di calore e metriche sul tempo di permanenza, consentendo ai gestori dei locali di ottimizzare il layout dei negozi in base al comportamento effettivo dei visitatori.

Negli ambienti Hospitality , l'autenticazione automatica tramite OpenRoaming o Passpoint elimina l'attrito dei login manuali, aumentando i punteggi di soddisfazione degli ospiti. Per gli edifici multi-tenant, il routing dinamico delle VLAN tramite PPSK riduce i costi di gestione IT eliminando la necessità di configurare e gestire manualmente SSID separati per ogni nuovo inquilino.

Unificando il coinvolgimento degli ospiti, la sicurezza del personale e l'isolamento degli inquilini su un'unica infrastruttura hardware, le organizzazioni massimizzano il ritorno sull'investimento in Huawei CloudCampus.

Definizioni chiave

iMaster NCE-Campus

La piattaforma di automazione e gestione della rete di Huawei, basata su cloud o on-premises.

I team IT utilizzano questo strumento come controller centrale per configurare gli SSID, inviare policy agli AP AirEngine e configurare il relay RADIUS verso Purple.

PPSK (Private Pre-Shared Key)

Una funzionalità di sicurezza che consente di utilizzare più password univoche su un singolo SSID, associando ogni password dell'utente a una policy di rete o VLAN specifica.

Essenziale per ambienti multi-tenant (come spazi di coworking o parchi commerciali) in cui i locatari necessitano di reti isolate senza trasmettere decine di SSID.

Dynamic VLAN Steering

Il processo di assegnazione di un dispositivo a una specifica Virtual Local Area Network in base alla sua identità autenticata, anziché all'SSID a cui si è connesso.

Utilizzato da Purple per garantire che un manager, un cassiere e un ospite che si connettono allo stesso access point fisico siano inseriti in segmenti di rete completamente separati e sicuri.

Walled Garden

Una Access Control List (ACL) applicata agli utenti non autenticati, che consente l'accesso solo a indirizzi IP o domini specifici necessari per completare il processo di login.

Se il Walled Garden è configurato in modo errato, gli ospiti visualizzeranno una schermata vuota o un errore di timeout invece della splash page di Purple.

RADIUS Relay

Una configurazione in cui il controller di rete locale inoltra le richieste di autenticazione dagli access point a un server RADIUS esterno.

Huawei iMaster NCE-Campus funge da relay, trasmettendo in modo sicuro le credenziali dalla sede all'infrastruttura cloud di Purple per la convalida.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Lo standard aziendale per il WiFi del personale. Sostituisce le password condivise con credenziali utente individuali o certificati digitali.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione 802.1X che si basa su certificati client e server anziché su password.

Il metodo di autenticazione più sicuro disponibile. SecurePass di Purple rilascia questi certificati ai dispositivi dei dipendenti per eliminare i rischi di phishing.

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Il meccanismo principale utilizzato da Purple per raccogliere dati di prima parte e il consenso da parte dei visitatori della sede.

Esempi pratici

Un hotel di 200 camere deve fornire un servizio WiFi sicuro e isolato per ospiti, personale e una caffetteria esterna che opera nella hall, utilizzando solo due SSID per preservare il tempo di trasmissione (airtime).

Configurare un SSID denominato "Hotel_Guest" con una policy di autenticazione Open+Portal che reindirizza al Captive Portal di Purple. Configurare un secondo SSID denominato "Hotel_Secure" con autenticazione WPA3-Enterprise e 802.1X. Il personale si autentica tramite EAP-TLS e Purple restituisce un attributo RADIUS che lo assegna alla VLAN 20. La caffetteria utilizza il protocollo PPSK sullo stesso SSID "Hotel_Secure"; inserendo una passphrase univoca, Purple restituisce un attributo RADIUS che la assegna alla VLAN 30.

Commento dell'esaminatore: Questo approccio ottimizza le prestazioni RF limitando il sovraccarico degli SSID. Sfruttando Purple come autorità RADIUS centrale, l'hotel ottiene un isolamento completo a livello Layer 2 tra il personale e l'attività commerciale esterna, senza dover implementare hardware aggiuntivo o complessi instradamenti lato controller.

Una grande catena di vendita al dettaglio sta migrando a Huawei AirEngine e deve garantire che la pagina di benvenuto (splash page) esistente di Purple si carichi correttamente in tutti i negozi, senza attivare avvisi di sicurezza sui moderni smartphone.

Configurare il modello di URL di iMaster NCE-Campus per mappare con precisione i parametri richiesti (ap-mac, uaddress, umac, ssid, redirect-url). Creare una ACL di Walled Garden completa che consenta il traffico DNS (UDP 53) e HTTPS (TCP 443) verso i domini di Purple e le API di login social necessarie. Assicurarsi che il controller intercetti il traffico HTTP e lo reindirizzi alla splash page HTTPS.

Commento dell'esaminatore: Le moderne implementazioni dei sistemi operativi (iOS, Android) utilizzano rigidi meccanismi di rilevamento del Captive Portal. Se il Walled Garden blocca le CDN necessarie o se il reindirizzamento si basa su certificati SSL non validi, il sistema operativo interromperà la connessione. Una configurazione precisa dell'ACL è fondamentale per garantire un'esperienza utente fluida.

Domande di esercitazione

Q1. Hai configurato l'SSID Guest e l'ACL Walled Garden su iMaster NCE-Campus. Quando testi la connessione, il tuo telefono rileva il Captive Portal, ma lo schermo rimane vuoto. Qual è la causa più probabile?

Suggerimento: Considera ciò di cui il dispositivo ha bisogno per caricare una pagina web moderna ospitata su una piattaforma cloud.

Visualizza risposta modello

È probabile che nell'ACL Walled Garden manchino le regole di autorizzazione per i domini richiesti. Nello specifico, deve essere consentito il DNS (UDP 53), insieme all'accesso HTTPS ai domini del portale di Purple e a qualsiasi Content Delivery Network (CDN) che ospita le risorse della pagina. Se l'accesso tramite social è abilitato, anche i relativi endpoint API specifici devono essere autorizzati prima dell'autenticazione.

Q2. Un tenant che utilizza la tua rete PPSK lamenta di non riuscire a raggiungere internet. Controlli i log di iMaster NCE-Campus e vedi che Purple ha restituito un RADIUS Access-Accept con Tunnel-Private-Group-ID impostato su 40. Tuttavia, il dispositivo client ha un indirizzo IP pari a 169.254.x.x. Qual è l'errore di configurazione?

Suggerimento: L'autenticazione è andata a buon fine, ma il routing di rete è fallito all'edge.

Visualizza risposta modello

La porta dello switch che collega l'access point Huawei AirEngine alla rete non è configurata per il trunking della VLAN 40. Sebbene Purple abbia autorizzato con successo l'utente e il controller abbia istruito l'AP a taggare il traffico con la VLAN 40, lo switch a monte ha scartato i pacchetti perché la VLAN non è consentita sul trunk. È necessario aggiungere la VLAN 40 all'elenco allow-pass del trunk sullo switch di accesso.

Q3. Stai migrando da un controller legacy a Huawei iMaster NCE-Campus. Configuri il modello di server RADIUS esattamente come era sul vecchio sistema, ma tutte le richieste di autenticazione falliscono silenziosamente. Cosa dovresti verificare per primo?

Suggerimento: I fallimenti silenziosi in RADIUS indicano solitamente una mancata corrispondenza crittografica.

Visualizza risposta modello

Verifica il RADIUS Shared Secret. Se il segreto configurato in iMaster NCE-Campus non corrisponde perfettamente a quello presente nella dashboard di Purple, i pacchetti RADIUS non possono essere decifrati, causando fallimenti silenziosi o messaggi di Access-Reject senza codici di errore chiari. Assicurati che non ci siano spazi finali quando copi il segreto.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →