Vai al contenuto principale
Italiano

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

📖 5 minuti di lettura📝 1,067 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Sei un consulente di rete senior che parla con il direttore IT di un cliente in un briefing privato. Parla in inglese britannico con un tono sicuro, autorevole e colloquiale. Ritmo misurato, dizione chiara. Niente parole riempitive. Occasionali pause naturali per dare enfasi: Benvenuti a questo briefing tecnico sull'integrazione degli access point Allied Telesis serie TQ con Purple WiFi. Vi guiderò attraverso l'intero scenario di implementazione, dal reindirizzamento del Captive Portal per gli ospiti fino all'isolamento PPSK multi-tenant. Al termine, avrete una roadmap di implementazione chiara. [pausa media] Iniziamo con il contesto. Allied Telesis produce la serie TQ, compresi gli access point Wi-Fi 6 TQ5403 e TQ6702 GEN2. Si tratta di AP di livello enterprise che eseguono il firmware AlliedWare Plus e sono ampiamente distribuiti nei settori dell'ospitalità, del retail e nel settore pubblico. Purple è una piattaforma cloud overlay indipendente dall'hardware che opera in 80.000 sedi e gestisce 440 milioni di accessi nel 2024. L'integrazione tra queste due piattaforme è pulita, basata su standard e pronta per la produzione. [pausa media] Ora, la prima cosa che la maggior parte dei team IT deve configurare è il reindirizzamento del Captive Portal per gli ospiti. L'AP Allied Telesis supporta tre modalità di Captive Portal: click-through, autenticazione RADIUS e reindirizzamento a pagina esterna. Per l'integrazione con Purple, utilizzerete la modalità External Page Redirect. Ecco come funziona in pratica. Accedete alla GUI del dispositivo dell'AP, navigate su Wireless, selezionate il VAP pertinente, andate su Advanced Settings, quindi sulla scheda Security. Impostate Captive Portal su External Page Redirect. Nel campo External Page URL, inserite l'URL della splash page di Purple fornito nella dashboard di Purple. Questo è l'URL a cui gli ospiti arriveranno al primo collegamento. [pausa breve] Ora, l'AP intercetta il primo pacchetto HTTP o HTTPS da ciascun nuovo client e reindirizza il traffico alla splash page di Purple. L'ospite si autentica tramite Purple e il server RADIUS di Purple invia un Access-Accept all'AP. L'AP concede quindi l'accesso alla rete. [pausa media] Per la configurazione RADIUS, Purple fornisce un indirizzo IP del server RADIUS, un shared secret e la porta di autenticazione, che è UDP 1812. L'accounting viene eseguito su UDP 1813. Questi parametri vanno configurati sotto Network Services, quindi RADIUS nella GUI dell'AP. L'identificatore NAS deve essere impostato sull'IP di gestione dell'AP o su un hostname descrittivo. Il RADIUS as a Service di Purple gestisce il backend di autenticazione, quindi non è necessario eseguire una propria infrastruttura RADIUS. [pausa breve] Un aspetto fondamentale da configurare correttamente è il Walled Garden. Prima che un ospite si autentichi, l'AP blocca tutto il traffico ad eccezione delle destinazioni inserite nella whitelist. È necessario aggiungere i domini della piattaforma Purple al walled garden affinché la splash page si carichi correttamente. Come minimo, inserisci nella whitelist il dominio della splash page di Purple, tutti gli endpoint CDN utilizzati da Purple per gli asset e tutti i provider di social login abilitati, come Google o Facebook. Questa operazione si configura nello stesso pannello VAP Advanced Settings alla voce Walled Garden. [medium pause] Passiamo ora al Staff WiFi utilizzando il protocollo 802.1X. Qui è dove configuri WPA Enterprise su un VAP separato. Nell'interfaccia grafica dell'AP, seleziona WPA Enterprise dal menu a discesa Security, quindi indirizza il RADIUS Authentication Group al tuo server RADIUS esterno, che in questo caso è il servizio SecurePass di Purple o il tuo server RADIUS basato su Microsoft Entra ID o Okta. I dispositivi del personale si autenticano utilizzando EAP-PEAP con MSCHAPv2, oppure EAP-TLS con certificati per ambienti a sicurezza più elevata. L'AP funge da autenticatore 802.1X, inoltrando le credenziali al server RADIUS e applicando la risposta. [short pause] Per l'assegnazione dinamica della VLAN sulla rete del personale, abilita Dynamic VLAN nelle impostazioni di Advanced Security del VAP. Quando il server RADIUS restituisce un Access-Accept, include tre attributi standard: Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su IEEE 802 e Tunnel-Private-Group-Id impostato sull'ID della VLAN. L'AP legge questi attributi e inserisce automaticamente il dispositivo autenticato nella VLAN corretta. Questo è il meccanismo definito nella specifica RFC 3580 e funziona in modo coerente su tutto l'hardware Allied Telesis. [medium pause] Parliamo ora della funzionalità più interessante per le installazioni multi-tenant: Allied Telesis PPSK, o Private Pre-Shared Key. Questa funzione viene talvolta chiamata iPSK su altre piattaforme. Il concetto è semplice. Si ha un unico SSID, ma ogni tenant o gruppo di utenti riceve una passphrase univoca. Quando un dispositivo si connette, l'AP invia quella passphrase al server RADIUS come campo password in un RADIUS Access-Request. Il server RADIUS associa la passphrase a un record utente e restituisce un Access-Accept con un attributo Tunnel-Private-Group-Id che specifica la VLAN per quel tenant. [short pause] In questo modo, in un edificio a uso misto, il Tenant A nell'unità commerciale si connette con la propria passphrase e finisce sulla VLAN 100. Il ristorante al piano terra utilizza una passphrase diversa e finisce sulla VLAN 300. Il guest WiFi dell'edificio utilizza una terza passphrase e finisce sulla VLAN 400 dove è attivo il Captive Portal di Purple. Tutto questo funziona su un unico SSID. Nessuna proliferazione di SSID. Pulito, scalabile e facile da gestire. [medium pause] Lato Purple, configuri i record utente PPSK nel dashboard Purple o tramite l'interfaccia RADIUS as a Service. Ogni tenant riceve una passphrase univoca mappata su un ID VLAN. Il server RADIUS di Purple gestisce l'associazione e restituisce il corretto Tunnel-Private-Group-Id. Quando hai bisogno di revocare l'accesso di un tenant, elimini o disabiliti il suo record PPSK in Purple. L'AP applica la modifica al successivo tentativo di autenticazione. [medium pause] Permettimi di presentarti due scenari reali in cui questo aspetto è fondamentale. Primo scenario: un hotel per conferenze da 250 camere. L'hotel gestisce tre reti: guest WiFi con Captive Portal Purple e login social, staff WiFi su 802.1X collegato ad Active Directory tramite Microsoft Entra ID e una rete per i delegati delle conferenze durante gli eventi. Gli AP Allied Telesis TQ6702 GEN2 gestiscono tutte e tre su VAP distinti con VLAN separate. Purple gestisce il Captive Portal per gli ospiti, raccoglie dati di prima parte per il CRM dell'hotel e fornisce analisi sui periodi di picco di utilizzo. Il team IT dell'hotel gestisce la rete del personale tramite SecurePass di Purple senza dover mantenere un server RADIUS separato in loco. [short pause] Secondo scenario: un parco commerciale con 12 tenant indipendenti. Il proprietario desidera offrire il WiFi come servizio a ciascun tenant senza consentire l'accesso al traffico reciproco. Distribuisce AP Allied Telesis in tutto il sito con un unico SSID. Ogni tenant riceve un PPSK univoco. Il server RADIUS di Purple mappa ciascun PPSK su una VLAN dedicata. Il proprietario può attivare un nuovo tenant in meno di dieci minuti creando un nuovo record PPSK in Purple e consegnando la passphrase al tenant. Non è richiesta alcuna riconfigurazione dell'AP. [medium pause] Ora, alcuni errori da evitare. Il problema più comune che riscontriamo è la configurazione errata dei walled garden. Se dimentichi di inserire in whitelist un endpoint CDN di Purple, il Captive Portal si caricherà parzialmente o non funzionerà su determinati dispositivi. Effettua un test con un dispositivo nuovo che non ha DNS memorizzati nella cache prima di andare online. In secondo luogo, la mancata corrispondenza del segreto condiviso RADIUS. Il segreto configurato sull'AP deve corrispondere esattamente al segreto nella configurazione del server RADIUS di Purple. Una differenza di un solo carattere causa errori di autenticazione silenziosi. Utilizza un password manager per generare e memorizzare il segreto. Terzo, la VLAN dinamica non si attiva. Sugli AP Allied Telesis, la VLAN dinamica è disabilitata per impostazione predefinita anche quando WPA Enterprise è attivo. È necessario abilitarla esplicitamente nelle impostazioni di Sicurezza Avanzata del VAP. Questo è un passaggio che vediamo saltare regolarmente. Quarto, conflitto tra autenticazione PPSK e MAC. Se hai l'autenticazione MAC abilitata sullo stesso VAP del PPSK, l'ordine di autenticazione è importante. Verifica la documentazione dell'AP per la tua versione del firmware per confermare quale metodo ha la precedenza. [medium pause] Domande a raffica che ricevo dai team IT. Posso utilizzare il server RADIUS di Purple sia per il Captive Portal degli ospiti sia per l'802.1X del personale nella stessa installazione? Sì. Il RADIUS as a Service di Purple supporta entrambi i flussi di autenticazione. Configuri gruppi o criteri RADIUS separati in Purple per ciascun caso d'uso. Gli AP Allied Telesis supportano il WPA3 con Captive Portal? Il modello TQ6702 GEN2 con firmware 5.5.4-2.3 o successivo supporta la cifratura WPA3 CCMP. Tuttavia, il Captive Portal con reindirizzamento esterno viene in genere eseguito su un SSID aperto o WPA2 Personal. Il personale che utilizza l'802.1X può invece utilizzare il WPA3 Enterprise. Cosa succede se il server RADIUS di Purple non è raggiungibile? L'AP rifiuterà i nuovi tentativi di autenticazione. Le sessioni esistenti continueranno fino al loro timeout. Per garantire la ridondanza, è opportuno configurare un server RADIUS secondario nel gruppo RADIUS dell'AP. La piattaforma di Purple mantiene un uptime del 99,999%, ma la difesa in profondità è una buona pratica. [medium pause] Per riassumere. Gli AP della serie TQ di Allied Telesis si integrano con Purple attraverso tre meccanismi principali: reindirizzamento esterno al Captive Portal per il WiFi ospiti, WPA Enterprise con RADIUS per l'802.1X del personale e PPSK con VLAN dinamica per l'isolamento multi-tenant. Gli attributi RADIUS necessari sono Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 e Tunnel-Private-Group-Id contenente l'ID della VLAN. Purple fornisce l'infrastruttura backend RADIUS as a Service, la piattaforma per la splash page e il livello di analytics. [short pause] I prossimi passi: recupera le credenziali RADIUS di Purple dalla tua dashboard, configura il reindirizzamento alla pagina esterna sul tuo VAP ospiti, aggiungi le voci del walled garden, abilita la VLAN dinamica sul tuo VAP del personale ed esegui un test di autenticazione per ciascun segmento di rete prima di andare online. Se stai distribuendo il PPSK per il multi-tenant, pianifica lo schema di numerazione delle VLAN prima di iniziare, poiché la modifica degli ID VLAN dopo l'attivazione dei tenant richiede coordinamento. [medium pause] Questo è tutto per il briefing. Per il riferimento completo alla configurazione passo-passo, il diagramma dell'architettura Mermaid e la tabella degli attributi RADIUS, consulta la guida scritta. Grazie per il tuo tempo.

header_image.png

執行摘要

將 Allied Telesis TQ 系列無線基地台與 Purple 搭配部署,可提供具備高擴充性、安全且高度可配置的網路架構。本整合手冊詳細說明了訪客 WiFi 的外部 Captive Portal 重新導向配置、員工 WiFi 的 802.1X 驗證,以及多租戶網路隔離的私有預共用金鑰 (PPSK) 對應。透過將 Allied Telesis 硬體與 Purple 的 RADIUS 即服務(RADIUS as a Service)結合,您可以集中管理身分識別,而無需在本地部署 RADIUS 伺服器。本指南涵蓋了動態 VLAN 導向所需的特定 RADIUS 屬性、實現無縫登入頁面投遞的 Walled Garden 配置,以及在旅宿、零售和公共部門環境中擴展身分導向網路的最佳實作指南。

技術深入剖析

Allied Telesis 無線基地台(例如 TQ6702 GEN2 與 TQ5403)搭載 AlliedWare Plus 韌體。它們支援強大的企業功能,包括 WPA3、Passpoint (Hotspot 2.0) 以及完整的 RADIUS 整合。與 Purple 整合時,無線基地台充當網路存取伺服器 (NAS) 和 802.1X 驗證器,而 Purple 則作為雲端託管的 RADIUS 伺服器與 Captive Portal 提供者。

訪客 Captive Portal 重新導向

針對訪客 WiFi,無線基地台會攔截未經驗證的用戶端流量,並將 HTTP/HTTPS 請求重新導向至 Purple 登入頁面。這需要將 Captive Portal 模式配置為 External Page Redirect

當訪客連線時,無線基地台會參考其 Walled Garden 配置。Walled Garden 必須將 Purple 的網域、CDN 端點以及任何配置的社群登入提供者(例如 Google Workspace 或 Microsoft Entra ID)加入白名單。訪客在登入頁面上完成驗證流程後,Purple 的 RADIUS 伺服器會向無線基地台傳送 RADIUS Access-Accept 訊息(UDP 連接埠 1812),隨後無線基地台將授予完整的網路存取權限。

透過 RADIUS 進行動態 VLAN 導向

動態 VLAN 分配對於網路分割至關重要。使用 WPA 企業版配置員工 WiFi 時,無線基地台會將 EAP 認證資料轉發至 Purple 的 SecurePass RADIUS 服務。

驗證成功後,Purple RADIUS 伺服器會傳回一個 Access-Accept 封包,其中包含 RFC 3580 中定義的三個標準 IETF RADIUS 屬性:

  1. Tunnel-Type (Attribute 64):設定為 VLAN (13)。
  2. Tunnel-Medium-Type (Attribute 65):設定為 IEEE-802 (6)。
  3. Tunnel-Private-Group-Id (Attribute 81):設定為分配的 VLAN ID(例如 20)。

Allied Telesis AP 會讀取這些屬性,並動態將用戶端裝置分配到指定的 VLAN。**注意:**必須在 Allied Telesis GUI 內的 VAP 進階安全設定中,明確啟用動態 VLAN。

architecture_overview.png

使用 PPSK 的多租戶隔離

個人預共用金鑰 (PPSK) 允許您使用單一 SSID,同時為不同的使用者或租戶分配不同的密碼。這在多住戶單元 (MDU)、共享工作空間和零售園區中非常有效。

當裝置使用特定的 PPSK 進行關聯時,存取點會將密碼傳送到 Purple RADIUS 伺服器。Purple 會將該密碼對應到特定的租戶設定檔,並傳回 Tunnel-Private-Group-Id 屬性。這會將租戶的裝置引導至其專屬的 VLAN,在不廣播多個 SSID 的情況下確保 Layer 2 隔離。

ppsk_vlan_diagram.png

實作指南

請依照以下步驟設定 Allied Telesis 存取點以進行 Purple 整合。

步驟 1:設定 RADIUS 伺服器設定檔

  1. 登入 Allied Telesis AP 裝置 GUI。
  2. 導覽至 Network Services > RADIUS
  3. 使用 Purple 儀表板中提供的 IP 地址新增一個外部 RADIUS 伺服器。
  4. 將驗證連接埠設定為 1812,計費連接埠設定為 1813
  5. 輸入 Purple 提供的確切共用金鑰 (Shared Secret)。
  6. 設定 NAS 識別碼 (NAS Identifier) 以符合 AP 的管理 IP 或主機名稱。
  7. 將帳戶模式設定為 Start-Interim-Stop,並設定 10 分鐘的臨時更新間隔。

步驟 2:設定訪客 WiFi (Captive Portal)

  1. 導覽至 Wireless > Radio1 (或 Radio2)。
  2. 針對目標 VAP (例如 VAP0) 點擊 Edit
  3. 設定 SSID 名稱 (例如 "Guest WiFi")。
  4. 前往 Advanced Settings > Security 頁籤。
  5. 將 Captive Portal 設定為 External Page Redirect
  6. 在 External Page URL 欄位中輸入 Purple 的展示頁面 (splash page) URL。
  7. 在 Walled Garden 下,新增所需的 Purple 網域和社群登入 IP。

步驟 3:設定員工 WiFi (802.1X 和動態 VLAN)

  1. 編輯用於員工 WiFi 的獨立 VAP。
  2. 將安全性設定為 WPA Enterprise
  3. 從 RADIUS Authentication Group 下拉式選單中選擇 Purple RADIUS 伺服器設定檔。
  4. 前往 Advanced Settings > Security
  5. 啟用 Dynamic VLAN
  6. 確保後端網路交換器已設定為將動態分配的 VLAN 幹線 (trunk) 傳輸至 AP 連接埠。

步驟 4:為多租戶設定 PPSK

  1. 編輯預計用於多租戶的 VAP。
  2. 啟用 PPSK (通常與 MAC 驗證或特定的 WPA 設定結合使用,具體取決於韌體版本)。
  3. 確保已選取 RADIUS 伺服器設定檔。
  4. 在 Purple 儀表板中,建立 PPSK 使用者記錄,並將每個密碼對應到正確的 VLAN ID。## 最佳做法
  • Walled Garden 維護:定期審查並更新 Walled Garden 條目。社群登入提供商經常變更其 IP 範圍和 CDN 網域。
  • 備援:務必在 AP 的 RADIUS 群組中設定主要和次要 Purple RADIUS 伺服器 IP 位址,以確保高可用性。
  • 韌體更新:保持 AlliedWare Plus 韌體更新。WPA3 CCMP 支援和進階 PPSK 功能需要 5.5.4-2.3 或更新版本。
  • VLAN Trunking:驗證連接至存取點 (AP) 的交換器連接埠是否已設定為 802.1Q trunk,並允許所有可能由 RADIUS 伺服器動態分配的 VLAN。

疑難排解與風險緩釋

  • 無聲驗證失敗:如果裝置無法連線至 802.1X 或 PPSK 網路,請驗證 RADIUS 共用金鑰。不相符會導致 AP 無聲丟棄 Access-Reject 封包。
  • 歡迎頁面無法載入:如果 Captive Portal 重新導向陷入迴圈或無法載入資源,很可能是 Walled Garden 缺少必要的網域。請檢查瀏覽器的開發者主控台以識別被封鎖的要求。
  • 用戶端被分配到錯誤的 VLAN:如果動態 VLAN 引導失敗,請檢查 VAP 上是否已明確啟用動態 VLAN。使用封包擷取來驗證 Purple 是否有傳回 Tunnel-Private-Group-Id 屬性。

ROI 與商業影響

將 Allied Telesis 與 Purple 整合,可將基礎無線連線轉換為智慧型、數據驅動的平台。

對於 IT 團隊而言,透過 Purple RADIUS 服務進行集中驗證,可消除在邊緣端管理本地 RADIUS 伺服器和 Active Directory 整合的日常開銷。使用 PPSK 可減少 SSID 開銷,從而提高 RF 效能並簡化租戶上架流程。

對於場地營運而言,Captive Portal 可收集經驗證的第一方數據,進而推動 CRM 成長並實現精準行銷。憑藉在 Purple 平台上收集的超過 290 億個數據點,場地業者可獲得有關訪客行為、停留時間和空間利用率的具體分析,直接支援商業目標。

Definizioni chiave

PPSK (Private Pre-Shared Key)

Un meccanismo di sicurezza in cui è possibile utilizzare più passphrase univoche su un singolo SSID, con ciascuna passphrase mappata su policy di rete o VLAN specifiche.

Utilizzato in ambienti multi-tenant per fornire un accesso alla rete sicuro e isolato senza trasmettere più SSID.

Tunnel-Private-Group-Id

RADIUS Attribute 81, definito in RFC 2868, utilizzato per specificare l'ID VLAN a cui assegnare un utente o un dispositivo in seguito a un'autenticazione riuscita.

Essenziale per l'instradamento dinamico della VLAN sia nelle distribuzioni 802.1X che in quelle PPSK.

Walled Garden

Un ambiente di rete limitato che consente agli utenti non autenticati di accedere a una whitelist specifica di indirizzi IP o domini.

Richiesto per i Captive Portal per consentire ai dispositivi di caricare la splash page e autenticarsi tramite i provider di social login prima di ottenere l'accesso completo a Internet.

RADIUS as a Service

Un'infrastruttura RADIUS ospitata nel cloud e gestita da terzi (come Purple), che elimina la necessità di server di autenticazione on-premises.

Semplifica le distribuzioni 802.1X per le sedi distribuite centralizzando la gestione delle identità nel cloud.

Captive Portal

Una pagina web che gli utenti sono obbligati a visualizzare e con cui devono interagire prima che venga concesso l'accesso a una rete WiFi pubblica.

Utilizzato per raccogliere dati di prima parte, applicare i termini di servizio e mostrare il branding della sede.

VAP (Virtual Access Point)

Un'entità logica all'interno di un access point fisico che trasmette il proprio SSID e mantiene le proprie configurazioni di sicurezza e di policy.

Consente a un singolo AP Allied Telesis di fornire contemporaneamente WiFi per gli ospiti, WiFi per il personale e connettività IoT.

EAP-PEAP

Protected Extensible Authentication Protocol, un metodo sicuro per trasmettere le credenziali di autenticazione all'interno di un tunnel TLS crittografato.

Il protocollo di autenticazione più comune utilizzato per il WiFi del personale (802.1X) durante la verifica di nomi utente e password rispetto a una directory.

Access-Accept

Un pacchetto RADIUS standard inviato dal server all'autenticatore (AP) per indicare che l'autenticazione è andata a buon fine.

Spesso include attributi aggiuntivi, come assegnazioni di VLAN o limiti di larghezza di banda, per applicare le policy di rete.

Esempi pratici

Un hotel con 250 camere deve implementare una rete personale sicura e una rete ospiti brandizzata. Il team IT desidera gestire l'accesso del personale tramite Microsoft Entra ID senza implementare un server RADIUS locale, mentre gli ospiti devono accettare i termini e le condizioni tramite un Captive Portal.

Implementare gli AP Allied Telesis TQ6702 GEN2. Configurare VAP0 come rete aperta con Captive Portal impostato su "External Page Redirect", puntando all'URL della splash page di Purple. Configurare VAP1 con WPA Enterprise, puntando il Gruppo di Autenticazione RADIUS ai server RADIUS SecurePass di Purple. Integrare Purple SecurePass con Microsoft Entra ID nel cloud. Abilitare la VLAN dinamica su VAP1 in modo che il personale venga reindirizzato automaticamente alla VLAN interna in seguito a una corretta autenticazione EAP.

Commento dell'esaminatore: Questo approccio utilizza Purple come broker di identità cloud. Elimina l'infrastruttura RADIUS on-premises mantenendo al contempo un rigido isolamento Layer 2 tra il traffico degli ospiti e quello del personale utilizzando lo standard 802.1X e l'assegnazione dinamica delle VLAN.

Il proprietario di un parco commerciale desidera fornire il WiFi a 12 unità commerciali indipendenti utilizzando un'unica implementazione hardware. Ogni unità richiede il proprio segmento di rete sicuro e isolato.

Configurare un singolo SSID (ad esempio, "Retail-Park-Secure") sugli AP Allied Telesis. Abilitare PPSK (Private Pre-Shared Key) e puntare l'autenticazione al server RADIUS di Purple. Nel pannello di controllo di Purple, generare una password univoca per ciascuna unità commerciale e mapparla su un ID VLAN specifico (ad esempio, Unità 1 = VLAN 101, Unità 2 = VLAN 102). Quando un dispositivo si connette, l'AP invia la password a Purple, che restituisce l'attributo Tunnel-Private-Group-Id, indirizzando il dispositivo alla VLAN del tenant corretta.

Commento dell'esaminatore: La tecnologia PPSK previene la proliferazione di SSID, che degrada le prestazioni RF. Offre l'esperienza utente di una semplice password personale WPA2/WPA3 garantendo al contempo la sicurezza aziendale e la segmentazione del protocollo 802.1X.

Domande di esercitazione

Q1. Una sede segnala che i dispositivi Android riescono a connettersi al WiFi Guest e a visualizzare la splash page, mentre i dispositivi Apple iOS mostrano una schermata bianca vuota. Qual è il problema di configurazione più probabile?

Suggerimento: Considera il modo in cui i diversi sistemi operativi rilevano i Captive Portal e quali domini devono raggiungere.

Visualizza risposta modello

È probabile che nel Walled Garden manchino i domini specifici che Apple utilizza per il rilevamento del Captive Portal (ad es. captive.apple.com). Se l'AP blocca questi domini prima dell'autenticazione, il Captive Network Assistant di iOS non riesce ad avviare correttamente il mini-browser.

Q2. Hai configurato WPA Enterprise sull'AP e lo hai indirizzato al server RADIUS di Purple. I log RADIUS mostrano un'autenticazione riuscita (Access-Accept), ma il dispositivo client non riceve un indirizzo IP sulla VLAN prevista. Quali sono le due cause più probabili?

Suggerimento: Verifica sia la configurazione dell'AP sia la configurazione della porta dello switch fisico.

Visualizza risposta modello
  1. L'opzione "Dynamic VLAN" non è abilitata nelle impostazioni VAP Advanced Security sull'AP Allied Telesis. 2. La porta dello switch che collega l'AP non è configurata come trunk 802.1Q, oppure la VLAN di destinazione non è consentita sul trunk, impedendo al traffico DHCP di raggiungere il client.

Q3. Un parco commerciale desidera distribuire PPSK per 50 tenant. Chiedono se sia preferibile creare 50 VAP separati o utilizzare un unico VAP. Qual è la tua raccomandazione e perché?

Suggerimento: Considera l'impatto dei frame di gestione sul tempo di trasmissione wireless.

Visualizza risposta modello

Si raccomanda di utilizzare un unico VAP con PPSK. La trasmissione di 50 SSID separati genera un numero eccessivo di beacon frame e un sovraccarico di gestione, degradando gravemente le prestazioni RF e il tempo di trasmissione disponibile. Un singolo SSID con PPSK fornisce lo stesso isolamento Layer 2 tramite l'assegnazione dinamica della VLAN senza penalizzare le prestazioni RF.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →

Integrazione di Cisco WLC e Catalyst con Purple WiFi: guida passo-passo per l'accesso guest

Questa guida dettaglia l'integrazione passo-passo di Cisco WLC e Catalyst 9800 Wireless con Purple, coprendo il reindirizzamento al Captive Portal Guest WiFi tramite Central Web Authentication, il Wi-Fi protetto per il personale tramite 802.1X EAP-TLS e la segmentazione Multi-Tenant tramite Cisco Identity Pre-Shared Keys (iPSK) con assegnazione dinamica della VLAN. È scritta per architetti di reti aziendali e direttori della sicurezza IT che distribuiscono infrastrutture Cisco in settori quali hospitality, retail e grandi spazi pubblici.

Leggi la guida →