Visualizza trascrizione del podcast
Benvenuto nella serie tecnica di Purple. Sono il tuo ospite e oggi esamineremo una delle integrazioni WiFi aziendali più sfumate che vediamo sul campo: gli access point Huawei AirEngine e il controller CloudCampus iMaster NCE-Campus, integrati con Purple per il WiFi ospiti, l'autenticazione del personale e la segmentazione della rete multi-tenant.
Se sei un network architect o un IT manager che gestisce un parco dispositivi Huawei - che si tratti di un gruppo alberghiero, una catena di vendita al dettaglio, un centro congressi o un campus del settore pubblico - questo episodio fa al caso tuo. Copriremo l'intero stack: reindirizzamento del Captive Portal, ACL di pre-autenticazione, WiFi sicuro per il personale tramite 802.1X e la funzionalità Private Pre-Shared Key di Huawei per il routing dinamico della VLAN tra più tenant.
Cominciamo.
Sezione uno: Contesto e architettura.
Il portafoglio AirEngine di Huawei - che comprende le serie 5700, 6700, 8700 e 9700 - funziona su WiFi 6 e WiFi 6E, con la serie top di gamma 9700 che supporta il WiFi 7. Si tratta di access point di livello enterprise di tutto rispetto. Il livello di gestione è iMaster NCE-Campus, il controller di rete basato su cloud di Huawei, che gestisce tutto, dal provisioning dell'SSID e dal relay RADIUS all'applicazione delle policy e all'inoltro dei syslog.
Purple si posiziona al di sopra di questo come overlay cloud. Operiamo in 80.000 sedi attive e abbiamo elaborato 440 milioni di accessi nel solo 2024. Siamo agnostici rispetto all'hardware - il che significa che ci integriamo con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e, naturalmente, Huawei AirEngine - utilizzando gli stessi standard RADIUS e Captive Portal supportati da ogni controller aziendale.
Il modello di integrazione qui è lineare. iMaster NCE-Campus funge da relay RADIUS, inoltrando le richieste di autenticazione dagli access point ai server RADIUS di Purple. Purple gestisce la logica di autenticazione - che si tratti di una splash page per gli ospiti, di un controllo delle credenziali 802.1X o di una ricerca PPSK - e restituisce la risposta RADIUS appropriata, inclusi eventuali attributi di assegnazione dinamica della VLAN.
Sezione due: Configurazione del WiFi ospiti e del Captive Portal.
Iniziamo con la distribuzione più comune: WiFi ospiti con Captive Portal Purple.
In iMaster NCE-Campus, accedi a Design, poi Network Design, quindi Template Management. Crea un modello di RADIUS Relay Server. I parametri chiave sono: imposta il servizio di autenticazione su Portal authentication, aggiungi gli indirizzi IP del server RADIUS di Purple sulla porta UDP 1812 per l'autenticazione e 1813 per l'accounting, imposta il NAS identifier su Device MAC e configura il shared secret. Purple fornisce queste credenziali RADIUS dalla schermata di configurazione della sede nella dashboard di Purple.
Successivamente, si crea un'ACL - questo è il Walled Garden. Prima che un ospite si autentichi, deve raggiungere la splash page di Purple e tutti i domini di supporto. Le regole dell'ACL devono consentire il DNS su UDP 53, consentire HTTPS verso il dominio del portale di Purple e consentire tutti i provider di login social abilitati - ad esempio, gli endpoint dell'API graph di Facebook se si utilizza il social sign-on. Tutto il resto viene negato prima dell'autenticazione.
Quindi si configura l'SSID. Impostare il tipo di rete su Open, selezionare l'autenticazione Open plus Portal, impostare il tipo di autenticazione su Relay authentication by cloud platform e scegliere RADIUS relay come modalità di interconnessione. Impostare il protocollo di push della pagina su HTTPS. Nei parametri di autenticazione del portale di terze parti, incollare l'URL di reindirizzamento di Purple - questo è l'URL della splash page copiato dalla dashboard del luogo di Purple, con il suffisso modificato per includere i parametri specifici di Huawei: ap-mac, uaddress, umac, ssid e redirect-url.
Infine, creare un modello URL in iMaster NCE-Campus che mappi questi nomi di parametri ai valori passati da Huawei nel reindirizzamento. La mappatura dei parametri è: redirect-url a redirect-url, loginurl a login-url, device-mac a ap-mac, user-ip a uaddress, user-mac a umac e ssid a ssid.
Una volta configurato, un ospite si connette all'SSID, ottiene un indirizzo DHCP e il suo traffico HTTP viene intercettato dal controller e reindirizzato alla splash page di Purple. L'utente si autentica - tramite e-mail, social login o verifica SMS - e il server RADIUS di Purple invia un Access-Accept a iMaster NCE-Campus, che concede all'ospite l'accesso completo a Internet.
Dal punto di vista dei dati, Purple acquisisce i dati di consenso di prima parte in questo momento. Ogni accesso è un opt-in basato su una scelta consapevole, conforme a GDPR e CCPA. Questi dati alimentano la piattaforma di analisi di Purple, fornendo la durata della sessione, il tipo di dispositivo, i tassi di visitatori di ritorno e il tempo di permanenza - il tutto senza alcun tracciamento di terze parti.
Sezione tre: WiFi aziendale sicuro con 802.1X.
Parliamo ora del WiFi per il personale. Si tratta di una postura di sicurezza completamente diversa. Non si desidera che il personale si trovi sullo stesso segmento di rete degli ospiti, né si desidera utilizzare password PSK condivise che diventano di dominio pubblico quando qualcuno lascia l'azienda.
La risposta è l'autenticazione 802.1X, definita in IEEE 802.1X-2020, che utilizza EAP-TLS o EAP-PEAP. In iMaster NCE-Campus, si crea un SSID separato per il personale - chiamiamolo CorpNet. Nel profilo di autenticazione per questo SSID, impostare la modalità di autenticazione su 802.1X, puntarla al server RADIUS di Purple e impostare il profilo di sicurezza su WPA2-Enterprise o WPA3-Enterprise con crittografia AES-CCMP.Purple agisce come server RADIUS anche in questo caso, ma ora convalida le credenziali rispetto al tuo provider di identità. Purple si integra nativamente con Microsoft Entra ID, Okta e Google Workspace. Quando un membro del personale si connette a CorpNet, il suo dispositivo invia le credenziali EAP all'access point, che le inoltra tramite RADIUS a Purple, il quale le convalida rispetto a Entra ID utilizzando SCIM o SAML. Se le credenziali sono valide, Purple restituisce un Access-Accept con un attributo RADIUS che specifica la VLAN del personale - ad esempio la VLAN 20. L'iMaster NCE-Campus indirizza automaticamente il client in quella VLAN.
Gli attributi RADIUS chiave per l'assegnazione dinamica della VLAN sono: Tunnel-Type impostato su VLAN o sul valore 13, Tunnel-Medium-Type impostato su 802 o sul valore 6, e Tunnel-Private-Group-ID impostato sull'ID della VLAN. Questi tre attributi insieme indicano al controller Huawei esattamente a quale VLAN assegnare il client autenticato.
In particolare per EAP-TLS - che rappresenta lo standard di riferimento per l'autenticazione del personale - sono necessari i certificati client. L'add-on SecurePass di Purple gestisce l'emissione e il ciclo di vita dei certificati, integrandoli con la tua PKI esistente o fungendo da autorità di certificazione leggera. Ciò elimina completamente gli attacchi basati su password. Nessuna password, nessun vettore di phishing.
Sezione quattro: Segmentazione multi-tenant con PPSK di Huawei.
Qui le cose si fanno davvero interessanti. Se gestisci una sede ad uso misto - un centro commerciale con più tenant retail, uno spazio di co-working con più aziende iscritte o un centro congressi che ospita eventi in contemporanea - hai bisogno dell'isolamento di rete tra i tenant senza dover distribuire un SSID separato per ognuno di essi.
La funzionalità PPSK di Huawei - Private Pre-Shared Key - risolve questo problema. A volte viene chiamata iPSK in altri ecosistemi di vendor. Il concetto è: un unico SSID, più password univoche, ogni password mappata su una specifica VLAN. Il Tenant A riceve la password Alpha, che si mappa sulla VLAN 30. Il Tenant B riceve la password Beta, che si mappa sulla VLAN 40. Entrambi i tenant vedono lo stesso SSID, ma sono completamente isolati al Layer 2.
Nella CLI di Huawei, questo si configura nella vista WLAN utilizzando il comando ppsk-user. Per ogni tenant, si esegue: ppsk-user psk pass-phrase, seguito dalla passphrase univoca, poi user-name, l'identificatore del tenant, poi vlan, l'ID della VLAN, poi ssid, il nome dell'SSID. È anche possibile impostare una data di scadenza, un numero massimo di dispositivi e vincolare a un indirizzo MAC specifico se si necessita di un controllo più stretto.
In iMaster NCE-Campus, la ricerca PPSK può essere gestita localmente sul controller o - per installazioni su larga scala - tramite RADIUS. Quando si utilizza il PPSK supportato da RADIUS, Purple diventa la sorgente autorevole per le mappature da PPSK a VLAN. Il dispositivo di un tenant si connette con la propria passphrase univoca, il controller invia un Access-Request RADIUS a Purple con la passphrase come credenziale, Purple cerca la mappatura e restituisce un Access-Accept con i tre attributi del tunnel VLAN. Il controller indirizza il client nella VLAN corretta.
Questa architettura scala a centinaia di tenant su un unico SSID. Significa anche che puoi fornire, ruotare e revocare le credenziali dei tenant dal pannello di controllo Purple senza toccare la configurazione del controller.
Sezione cinque: Errori di implementazione e come evitarli.
Ecco le tre modalità di guasto che riscontro più spesso nelle implementazioni Huawei e Purple.
Primo: il Walled Garden è incompleto. Gli ospiti si collegano all'SSID, vengono reindirizzati alla splash page, ma la pagina non si carica perché un dominio richiesto - spesso un endpoint CDN o un'API di login social - è bloccato dall'ACL pre-auth. La soluzione consiste nel testare il flusso della splash page da un dispositivo nuovo prima del go-live, acquisire le query DNS e le connessioni HTTPS che effettua e aggiungere ogni dominio richiesto all'ACL. Purple pubblica un elenco dei domini richiesti nella documentazione di integrazione.
Secondo: mancata corrispondenza del segreto condiviso RADIUS. Il segreto configurato in iMaster NCE-Campus deve corrispondere esattamente al segreto nel pannello di controllo Purple. Una differenza anche di un solo carattere causa errori di autenticazione invisibili - i log del controller mostrano Access-Reject senza alcun messaggio di errore utile. Copia e incolla sempre il segreto, non digitarlo mai manualmente.
Terzo: errata configurazione del trunk VLAN. L'assegnazione dinamica della VLAN tramite RADIUS funziona solo se la VLAN è già in modalità trunk sulla porta di uplink tra l'access point e lo switch di aggregazione. Se la VLAN 20 non è inclusa nell'elenco allow-pass del trunk sull'interfaccia dello switch, i client del personale autenticati riceveranno un timeout DHCP e l'autenticazione sembrerà fallire. Controlla le configurazioni dei trunk prima di testare le VLAN assegnate da RADIUS.
Sezione sei: Domande rapide.
Domanda: posso utilizzare il RADIUS integrato di Purple con l'implementazione on-premises iMaster NCE-Campus di Huawei, anziché con la versione cloud?
Sì. I server RADIUS di Purple sono ospitati in cloud e raggiungibili via Internet. Il tuo controller on-premises iMaster NCE-Campus richiede le porte UDP in uscita 1812 e 1813 verso gli intervalli IP RADIUS di Purple. Purple pubblica questi intervalli IP nel pannello di controllo sotto le impostazioni della sede.
Domanda: Huawei PPSK supporta WPA3-SAE?
A partire dal firmware AirEngine V600R025, WPA3-SAE-PPSK è supportato sulle serie 6700 e 9700. Verifica la versione del tuo firmware prima di abilitare WPA3 sugli SSID PPSK.
Domanda: come gestisce Purple il consenso GDPR per il WiFi ospiti sull'hardware Huawei?
La splash page di Purple raccoglie il consenso al momento dell'autenticazione. Il record del consenso - inclusi timestamp, indirizzo IP e i termini specifici accettati - viene memorizzato nella piattaforma Purple ed è esportabile per gli audit di conformità. Questo si applica indipendentemente dal fornitore di hardware sottostante.
Sezione sette: Riepilogo e passaggi successivi.
Per ricapitolare: Huawei AirEngine e iMaster NCE-Campus si integrano con Purple tramite RADIUS relay per il Captive Portal degli ospiti, 802.1X per il WiFi del personale e PPSK per la segmentazione VLAN multi-tenant. La configurazione si trova in iMaster NCE-Campus sotto Design, Network Design, Template Management per la configurazione RADIUS e ACL, e sotto Provision, Device Configuration, Site Configuration per l'associazione di SSID e profilo di autenticazione.
I passaggi successivi: recupera le credenziali RADIUS di Purple dalla dashboard della tua sede, configura il modello di server RADIUS relay in iMaster NCE-Campus, crea la tua ACL di Walled Garden, crea l'SSID per gli ospiti con autenticazione Open più Portal e testa end-to-end con un nuovo dispositivo prima di procedere al roll-out.
Se stai distribuendo PPSK per l'isolamento multi-tenant, pianifica prima il tuo schema VLAN - assicurati che ogni VLAN tenant sia in trunk end-to-end prima di configurare un singolo utente PPSK.
Per la guida di configurazione dettagliata completa, inclusi esempi CLI e diagrammi di architettura, leggi la guida scritta completa sul sito web di Purple. Grazie per l'ascolto.
