Integrazione dei router DrayTek Vigor e degli access point con Purple WiFi

Questa guida fornisce istruzioni tecniche dettagliate per integrare i router DrayTek Vigor e gli access point VigorAP con la piattaforma cloud di Purple. Copre la configurazione del Captive Portal DrayTek per Guest WiFi, l'autenticazione 802.1X per Staff WiFi sicuro, la configurazione del Walled Garden e la configurazione DrayTek Multiple PSK (PPSK) per la segmentazione della rete Multi-Tenant con assegnazione VLAN dinamica. Progettata per installatori IT e amministratori di rete di PMI che distribuiscono Purple in contesti ricettivi, retail e strutture multi-tenant.

📖 10 minuti di lettura📝 2,500 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al briefing sull'integrazione di Purple. Oggi parleremo dei router DrayTek Vigor e degli access point VigorAP, e in particolare di come integrarli con Purple WiFi. Questo briefing è rivolto a responsabili IT e architetti di rete che implementano reti per ospiti, personale e multi-tenant in ambienti PMI e del mercato medio.

Iniziamo con il contesto. L'hardware DrayTek è incredibilmente diffuso nel retail, nell'ospitalità e nei complessi residenziali perché offre solide funzionalità di routing, VPN e wireless a un prezzo competitivo. Quando si associa un router DrayTek Vigor a Purple, si trasforma una normale connessione Internet in una rete basata sull'identità (Identity-Based Network). Purple è presente in oltre 80.000 sedi attive e gestisce 440 milioni di accessi all'anno. Noi forniamo il Captive Portal, le analisi e il livello di sicurezza. DrayTek fornisce l'infrastruttura edge affidabile.

Entriamo nei dettagli tecnici. Come facciamo a farlo funzionare concretamente? Il cuore dell'integrazione si basa sull'autenticazione RADIUS e sul reindirizzamento esterno del Captive Portal.

In primo luogo, la configurazione del Guest WiFi. Configurerete il router DrayTek Vigor come gateway per l'Hotspot Web Portal. Nell'interfaccia DrayOS, alla voce Applications e RADIUS, aggiungete l'IP del server RADIUS di Purple e il segreto condiviso. Successivamente, in Hotspot Web Portal, impostate il Portal Method su External Server e incollate l'URL di accesso specifico di Purple. Il router DrayTek intercetta il traffico degli ospiti, lo reindirizza all'overlay cloud di Purple per l'autenticazione e quindi utilizza il RADIUS per concedere l'accesso.

Un passaggio fondamentale in questo caso è il Walled Garden. Gli ospiti devono poter raggiungere i server di Purple prima di essere autenticati. È necessario configurare la scheda Destination Domain nel profilo DrayTek Hotspot per consentire il traffico verso i domini di autenticazione di Purple. Se saltate questo passaggio, la splash page semplicemente non si caricherà. Questo è uno degli errori più comuni durante l'implementazione iniziale.

Ora, che dire dello Staff WiFi? Per un accesso sicuro del personale, non si usa un Captive Portal. Si utilizza l'autenticazione 802.1X, che è lo standard IEEE per il controllo dell'accesso alla rete basato su porta. Nelle impostazioni di sicurezza della Wireless LAN di DrayTek, selezionate WPA2 slash 802.1X e indirizzatelo al server RADIUS di Purple. I dispositivi dello staff si autenticano in modo trasparente utilizzando PEAP e MS-CHAPv2. Questo elimina del tutto le password condivise e consente di revocare l'accesso istantaneamente quando un dipendente lascia l'azienda. Non è necessario cambiare la password in tutta la struttura.

Parliamo di ambienti Multi-Tenant. Pensate a studentati, spazi di coworking o concessioni retail. Avete bisogno di segmentazione della rete. DrayTek gestisce questo aspetto con le VLAN e il Multiple PSK, noto anche come PPSK o Private Pre-Shared Key. Configurate le VLAN sul router DrayTek. Ad esempio, VLAN 10 per gli ospiti, VLAN 20 per lo staff e VLAN 30 per i tenant. Utilizzando la funzionalità WPA2-PPSK di DrayTek sui VigorAP, ogni tenant riceve una passphrase univoca. Quando si connettono, l'access point associa quella passphrase al loro indirizzo MAC e li inserisce nella loro VLAN isolata. Ciò significa che un tenant di una caffetteria al piano terra di un hotel non può vedere la rete interna dell'hotel, anche se condividono lo stesso access point fisico.

L'assegnazione dinamica della VLAN spinge questo concetto oltre. Il server RADIUS di Purple può restituire attributi RADIUS specifici quando un utente si autentica. Si tratta degli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. Il router DrayTek legge questi valori e assegna dinamicamente il client autenticato alla VLAN corretta. Questa è la rete basata sull'identità in pratica: la rete si adatta all'identità dell'utente, non il contrario.

Passiamo alle raccomandazioni di implementazione e alle insidie.

Raccomandazione uno: utilizzate sempre un backhaul cablato per i vostri VigorAP. I sistemi di distribuzione wireless, o ripetitori universali, non possono trasmettere i tag VLAN 802.1Q richiesti per una corretta segmentazione della rete. Se desiderate una rete ospiti isolata dalla LAN interna, avete bisogno che i tag VLAN rimangano intatti, e questo significa un cavo Ethernet fisico da ciascun access point al router DrayTek o a uno switch gestito.

Raccomandazione due: abilitate l'AP-Assisted Mobility sui VigorAP. Questa funzione disassocia in modo intelligente i client con un segnale debole, costringendoli a eseguire il roaming verso un access point più vicino. Risolve il problema dello sticky client che affligge molte installazioni di PMI. In un ambiente retail, un acquirente che cammina dalla parte anteriore a quella posteriore del negozio dovrebbe passare da un access point all'altro senza interruzioni. Senza l'AP-Assisted Mobility, il suo dispositivo potrebbe rimanere agganciato all'access point anteriore anche quando il segnale è debole.

Raccomandazione tre: pianificate lo schema di numerazione delle VLAN prima di iniziare. La modifica degli ID VLAN dopo l'implementazione richiede la riconfigurazione del router, di tutti gli access point e potenzialmente di tutti gli switch gestiti lungo il percorso. Documentate chiaramente il vostro schema.

L'insidia più grande? Dimenticare di riavviare il router DrayTek dopo aver applicato le configurazioni RADIUS e Hotspot. DrayOS richiede un riavvio per applicare queste modifiche specifiche. Se saltate questo passaggio, passerete ore a risolvere i problemi di una configurazione che in realtà è corretta ma semplicemente non è ancora attiva. Questo è documentato nella guida di supporto ufficiale di Purple per l'hardware DrayTek.

Facciamo una sessione di domande e risposte rapide.

Domanda: posso utilizzare il server RADIUS interno del router Vigor?
Risposta: potete farlo per l'autenticazione 802.1X locale, ma per l'integrazione con Purple dovete utilizzare i server RADIUS esterni di Purple. Questo è ciò che consente la gestione centralizzata delle policy e le analisi fornite da Purple.

Domanda: DrayTek supporta l'instradamento dinamico delle VLAN tramite RADIUS?
Risposta: sì. Il server RADIUS di Purple restituisce gli attributi Tunnel-Type e Tunnel-Private-Group-ID al momento dell'autenticazione. Il router DrayTek li legge e assegna dinamicamente il client alla VLAN corretta.

Domanda: cosa succede se il dispositivo iOS di un utente utilizza un indirizzo MAC privato con il PPSK?
Risposta: l'autenticazione fallirà. Il profilo PPSK si associa a uno specifico indirizzo MAC. È necessario istruire gli utenti a disabilitare l'opzione Indirizzo WiFi privato per la vostra rete specifica nelle impostazioni di iOS per garantire una connettività stabile.

Domanda: quali modelli DrayTek sono supportati con Purple?
Risposta: i modelli attualmente supportati includono le serie 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Consultate la documentazione di supporto di Purple per l'elenco più aggiornato.

Per riassumere. DrayTek e Purple insieme offrono un controllo di rete di livello enterprise a prezzi adatti alle PMI. Utilizzate l'Hotspot Web Portal per gli ospiti, l'802.1X per lo staff e il PPSK con le VLAN per i tenant. Mappate attentamente le VLAN, configurate i walled garden e riavviate sempre dopo aver applicato le impostazioni RADIUS. Utilizzate il backhaul cablato per i vostri access point, abilitate l'AP-Assisted Mobility e pianificate la casualizzazione del MAC sui dispositivi iOS.

Grazie per aver ascoltato questo briefing tecnico. Configurate il vostro hardware e ci vediamo sulla piattaforma Purple.

Punti chiave

✓I router DrayTek Vigor utilizzano la funzionalità Hotspot Web Portal con la modalità External Server per reindirizzare il traffico degli ospiti verso la splash page ospitata sul cloud di Purple per un'acquisizione dei dati conforme al GDPR.
✓Il Walled Garden (scheda Dest Domain) deve elencare tutti i domini di autenticazione Purple prima dell'implementazione: le voci mancanti sono la causa più comune di errore nel caricamento della splash page.
✓Lo Staff WiFi dovrebbe utilizzare la sicurezza WPA2/802.1X Enterprise, autenticandosi sul server RADIUS di Purple, per eliminare le password condivise e consentire la revoca immediata dell'accesso per singolo utente.
✓Gli ambienti multi-tenant utilizzano DrayTek WPA2-PPSK sui VigorAP per assegnare passphrase univoche per ciascun tenant, taggando dinamicamente il traffico in VLAN isolate sul router Vigor.
✓Tutti i VigorAP devono connettersi al router tramite Ethernet cablata: le modalità ripetitore wireless rimuovono i tag VLAN 802.1Q e interrompono la segmentazione della rete.
✓DrayOS richiede il riavvio del router per applicare qualsiasi modifica alle configurazioni RADIUS o Hotspot Web Portal: questo è un passaggio obbligatorio, non opzionale.
✓Abilita l'AP-Assisted Mobility sui VigorAP per prevenire il comportamento dello sticky client e garantire sessioni stabili del Captive Portal mentre gli utenti si spostano all'interno della struttura.

Executive summary

I router DrayTek Vigor e gli access point VigorAP sono distribuiti in decine di migliaia di siti di PMI, retail e ospitalità nel Regno Unito e in Europa. Se integrato con l'overlay cloud di Purple, questo hardware diventa la base di una rete basata sull'identità (Identity-Based Network): acquisisce dati di prima parte, protegge le risorse interne e segmenta il traffico multi-tenant, il tutto da un'unica piattaforma.

Questa guida copre quattro scenari di implementazione: Guest WiFi con splash page personalizzata e autenticazione RADIUS, Staff WiFi sicuro tramite lo standard IEEE 802.1X Enterprise, configurazione del Walled Garden per consentire il traffico di pre-autenticazione e WiFi Multi-Tenant utilizzando la funzionalità WPA2-PPSK di DrayTek con assegnazione dinamica della VLAN. Purple opera in oltre 80.000 sedi attive con un uptime del 99,999% e possiede le certificazioni ISO 27001, GDPR e Cyber Essentials; pertanto, i requisiti di sicurezza e conformità che la vostra struttura deve affrontare sono già integrati nella piattaforma.

I modelli DrayTek supportati includono le serie Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 e 3910. Tutti gli access point VigorAP gestiti tramite Central AP Management (APM) sono compatibili con questa integrazione.

Technical deep-dive

How the integration works

L'integrazione tra DrayTek e Purple si basa su due meccanismi che lavorano in sinergia: il reindirizzamento esterno del Captive Portal e l'autenticazione RADIUS (Remote Authentication Dial-In User Service). Purple funge da identity provider e motore di policy centralizzato. Il router DrayTek Vigor funge da Network Access Server (NAS), applicando le decisioni di accesso restituite dai server RADIUS di Purple.

Quando un ospite si connette all'SSID WiFi, il router DrayTek pone il dispositivo in uno stato di pre-autenticazione. Intercetta il traffico HTTP del dispositivo e lo reindirizza alla splash page ospitata sul cloud di Purple tramite la funzionalità Hotspot Web Portal in DrayOS. L'utente completa il flusso di accesso sulla piattaforma di Purple, utilizzando l'accesso social, l'e-mail, l'SMS o un identity provider gestito come Microsoft Entra ID, Okta o Google Workspace. Il server RADIUS di Purple restituisce quindi un messaggio di Access-Accept al router DrayTek, che concede l'accesso a Internet e avvia la contabilità RADIUS sulla porta 1813.

Guest WiFi and the DrayTek captive portal

L'Hotspot Web Portal di DrayTek è il meccanismo principale per l'autenticazione degli ospiti. In DrayOS, si configura un profilo Hotspot che definisce il metodo del portale, il server di autenticazione, i limiti di sessione e la pagina di destinazione. L'impostazione del metodo del portale su External Server indica a DrayOS di reindirizzare i client non autenticati a un URL esterno (in questo caso, l'URL di accesso di Purple) anziché mostrare una pagina ospitata localmente.

La configurazione RADIUS all'interno del profilo Hotspot punta all'IP del server RADIUS di Purple sulla porta 1812 per l'autenticazione e sulla porta 1813 per l'accounting. Il segreto condiviso deve corrispondere esattamente a quello visualizzato nella dashboard della sede di Purple. Una mancata corrispondenza in questo punto è la causa più comune di errori di autenticazione.

La gestione della sessione è controllata dall'impostazione Expired Time After Activation. Per la maggior parte delle installazioni ricettive e retail, sei ore rappresentano un valore predefinito pratico. È possibile allineare questo valore con il timeout di sessione di Purple per garantire un comportamento coerente su entrambi i sistemi.

Walled Garden configuration

Prima che un ospite si autentichi, il suo dispositivo non ha accesso a Internet. Tuttavia, il dispositivo deve essere in grado di raggiungere i server di Purple per caricare la splash page. Il Walled Garden, configurato tramite la scheda Dest Domain nel profilo DrayTek Hotspot, definisce quali domini sono accessibili prima dell'autenticazione.

È necessario aggiungere i domini di autenticazione di Purple a questo elenco, uno per indice. Se si utilizzano provider di social login (come Google o Facebook) o un identity provider gestito come Microsoft Entra ID, anche i loro domini devono essere inclusi. La mancata configurazione corretta del Walled Garden è il motivo più comune per cui un Captive Portal DrayTek non riesce a mostrare la splash page. La documentazione di supporto di Purple fornisce l'elenco aggiornato dei domini richiesti per ciascun metodo di accesso.

Secure Staff WiFi using 802.1X

Per il personale interno, il Captive Portal è lo strumento sbagliato. Le password WPA2 condivise rappresentano un rischio per la sicurezza: quando un dipendente lascia l'azienda, è necessario aggiornare la password su ogni dispositivo. L'autenticazione IEEE 802.1X Enterprise elimina completamente questo problema.

In DrayOS, andate su Wireless LAN > Security e selezionate WPA2/802.1X per l'SSID del personale. Fate clic sul collegamento RADIUS Server e inserite l'IP del server, la porta e il segreto condiviso di Purple. I dispositivi dello staff si autenticano utilizzando PEAP (Protected Extensible Authentication Protocol) con MS-CHAPv2 come metodo interno. Questa è la configurazione richiesta per i dispositivi Windows, macOS, iOS e Android che si connettono a una rete wireless aziendale.

Purple revoca l'accesso a livello di identità. Quando un dipendente lascia l'azienda, disabilitate il suo account nel vostro identity provider (Microsoft Entra ID, Okta o Google Workspace). Il server RADIUS di Purple smette immediatamente di accettare le richieste di autenticazione da quell'account. Non è richiesta alcuna modifica della password in tutta la struttura.

Per ulteriori informazioni sull'architettura di sicurezza wireless aziendale, consultate la nostra guida Sicurezza WiFi aziendale: una guida completa per il 2026 .

Multi-Tenant network segmentation with DrayTek Multiple PSKs

Gli ambienti multi-tenant (come hotel con ristoranti o spazi commerciali in affitto, spazi di coworking, alloggi per studenti e complessi residenziali in affitto) richiedono un rigoroso isolamento di rete tra i tenant. Un acquirente in un'area in concessione non deve essere in grado di raggiungere la rete interna dell'hotel e due tenant commerciali non devono poter vedere il traffico reciproco.

DrayTek risolve questo problemarisolve questo problema con due funzionalità complementari: tagging VLAN e WPA2-PPSK (Private Pre-Shared Key).

La configurazione VLAN sul router Vigor assegna ciascun tenant a una rete logica separata. Passare a LAN > VLAN, abilitare la configurazione VLAN e assegnare un ID VLAN univoco a ciascun segmento di tenant. Tutte le porte LAN che si collegano ai VigorAP devono essere membri di tutte le VLAN pertinenti, operando di fatto come porte trunk 802.1Q. La Tabella di instradamento Inter-LAN in LAN > Configurazione generale controlla se il traffico può passare tra le VLAN; per l'isolamento dei tenant, questa opzione deve essere disabilitata.

WPA2-PPSK sul VigorAP assegna una passphrase univoca a ciascun tenant. L'access point associa questa passphrase all'indirizzo MAC del dispositivo. Quando un dispositivo si connette, l'AP identifica la passphrase utilizzata e tagga il traffico con l'ID VLAN corrispondente. Ciò consente a un singolo SSID di servire contemporaneamente più reti di tenant isolate, riducendo il sovraccarico wireless e semplificando l'esperienza dell'utente finale.

Assegnazione dinamica della VLAN tramite RADIUS

Per le distribuzioni in cui l'assegnazione della VLAN deve essere guidata dall'identità dell'utente anziché da una passphrase statica, il server RADIUS di Purple supporta il routing dinamico della VLAN (VLAN steering). Quando un utente si autentica, Purple restituisce tre attributi RADIUS nel messaggio Access-Accept:

Attributo RADIUS	Valore
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	ID VLAN (es. "20")

Il router DrayTek legge questi attributi e assegna il client autenticato alla VLAN specificata, indipendentemente dall'SSID a cui si è connesso. Questo è l'Identity-Based Networking: il segmento di rete è determinato da chi è l'utente, non dalla password che ha digitato.

Guida all'implementazione

Elenco di controllo pre-distribuzione

Prima di iniziare, confermare quanto segue:

Elemento	Requisito
Firmware DrayTek	Ultima versione stabile di DrayOS
Sede Purple	Creata e attiva nella dashboard di Purple
Credenziali RADIUS	URL di accesso, IP del server RADIUS, segreto condiviso, identificatore NAS recuperati da Purple
Piano VLAN	ID VLAN documentati per Guest, Staff e ciascun tenant
Backhaul VigorAP	Ethernet cablata confermata per tutti gli access point

Passaggio 1: Configurare RADIUS sul router DrayTek

Passare a Applications > RADIUS/TACACS+ nell'interfaccia web di DrayOS. Nella scheda External RADIUS, abilitare il profilo e inserire l'indirizzo IP del server RADIUS di Purple, la porta (1812) e il segreto condiviso. Fare clic su OK per salvare. Il router richiede un riavvio per applicare questa modifica: non saltare questo passaggio.

Passaggio 2: Creare il profilo Hotspot Web Portal

Passare a Hotspot Web Portal > Profile Setup e selezionare un indice disponibile. Configurare il profilo come segue:

Impostazione	Valore
Abilita questo profilo	Sì
Metodo portale	External Server
URL del Captive Portal	Il tuo URL di accesso Purple
URL di reindirizzamento	http://portal.draytek.com
Metodo di autenticazione	Server RADIUS esterno
Indirizzo IP del server	IP del server RADIUS di Purple
Porta di destinazione	1812
Segreto condiviso	Il tuo segreto condiviso Purple
Abilita Accounting	Sì
Porta di Accounting	1813
Formato indirizzo MAC	AA-BB-CC-DD-EE-FF

Fare clic su OK per salvare.

Passaggio 3: Configurare il Walled Garden

Fare clic su Save and Next per procedere alla scheda Dest Domain. Aggiungere ciascun dominio Purple richiesto, uno per indice. Fare riferimento alla whitelist dei domini del Walled Garden di Purple nella documentazione di supporto per l'elenco corrente. Fare clic su Save and Next per continuare.

Passaggio 4: Configurare le impostazioni della sessione e della pagina di destinazione

Nella schermata di configurazione finale, impostare:

Impostazione	Valore
Tempo di scadenza dopo l'attivazione	0 giorni, 6 ore, 0 min (o la durata preferita)
Reindirizzamento HTTPS	No
Rilevamento Captive Portal	Sì
Pagina di destinazione dopo l'autenticazione	Il tuo URL di reindirizzamento Purple
Interfacce applicate	Selezionare gli SSID Guest WiFi

Fare clic su Finish per salvare. Riavviare il router prima del test.

Passaggio 5: Configurare le VLAN per la segmentazione della rete

Passare a LAN > VLAN e abilitare la configurazione VLAN. Creare una voce VLAN per ciascun segmento di rete. Assegnare tutte le porte LAN che si collegano ai VigorAP come membri di tutte le VLAN pertinenti (configurazione trunk). Passare a LAN > General Setup e utilizzare la Tabella di instradamento Inter-LAN per bloccare l'accesso tra VLAN dove richiesto.

Passaggio 6: Configurare 802.1X per lo Staff WiFi

Passare a Wireless LAN > Security e selezionare l'SSID Staff. Impostare la modalità di sicurezza su WPA2/802.1X. Fare clic sul collegamento RADIUS Server e inserire l'IP del server di Purple, la porta 1812 e il segreto condiviso. Salvare la configurazione.

Passaggio 7: Configurare PPSK per l'isolamento multi-tenant

Su ciascun VigorAP, passare a Wireless LAN > Security Settings e selezionare WPA2PPSK. Fare clic sul pulsante PPSK per aggiungere voci. Per ciascun tenant, creare una voce PPSK con l'indirizzo MAC del dispositivo del tenant e una passphrase univoca. Assicurarsi che la passphrase sia associata alla VLAN corretta nella configurazione del router. Si noti che i profili PPSK per 2.4GHz e 5GHz sono gestiti separatamente sui VigorAP.

Best practice

Le seguenti raccomandazioni riflettono l'esperienza di implementazione di Purple in oltre 80.000 sedi, inclusi gli ambienti hospitality , retail , sanità e trasporti .

Utilizzare il backhaul cablato per tutti i VigorAP. I sistemi di distribuzione wireless (WDS) e le modalità ripetitore universale non possono trasmettere i tag VLAN 802.1Q. Se si necessita di segmentazione della rete (e in qualsiasi sede multi-tenant o a uso misto è così), ogni access point deve connettersi al router o a uno switch gestito tramite Ethernet.

Abilitare la mobilità assistita da AP (AP-Assisted Mobility). I VigorAP DrayTek supportano la pre-autenticazione e il caching PMK per accelerare la riautenticazione 802.1X quando un client esegue il roaming trtra gli access point. Abilita l'AP-Assisted Mobility per dissociare attivamente i client con un segnale debole, costringendoli a connettersi all'AP più vicino. Questo è particolarmente importante negli ambienti retail in cui gli acquirenti si spostano continuamente nello spazio.

Pianifica lo schema VLAN prima del deployment. La modifica degli ID VLAN dopo il deployment richiede la riconfigurazione del router, di tutti gli access point e di tutti gli switch gestiti lungo il percorso. Documenta il tuo schema - VLAN 10 per Guest, VLAN 20 per Staff, VLAN 30+ per i tenant - prima di toccare l'hardware.

Allinea i timeout di sessione tra DrayTek e Purple. Se il profilo Hotspot DrayTek fa scadere una sessione dopo sei ore ma la sessione di Purple è impostata su 24 ore, gli utenti verranno reindirizzati alla splash page a metà sessione. Imposta entrambi sullo stesso valore.

Disabilita la randomizzazione MAC per i deployment PPSK. I dispositivi iOS e macOS utilizzano di default gli indirizzi Wi-Fi privati (MAC randomizzati). Poiché il PPSK di DrayTek associa una passphrase a uno specifico indirizzo MAC, la randomizzazione causerà errori di autenticazione. Istruisci gli utenti a disabilitare questa impostazione per la tua rete o documenta chiaramente il processo nel flusso di onboarding.

Usa il Band Steering sui VigorAP. Abilita il Band Steering per guidare i dispositivi con funzionalità dual-band verso la banda a 5GHz. Questo riduce la congestione sulla banda a 2.4GHz e migliora il throughput per tutti i dispositivi connessi.

Per una panoramica più ampia sull'architettura di sicurezza wireless aziendale, consulta la nostra guida su Enterprise WiFi Security: Guida completa per il 2026 . Se stai effettuando il deployment su più siti con diversi fornitori di hardware, la nostra guida su Integrazione di SonicWall TZ e SonicWave con Purple WiFi copre un modello di integrazione simile.

Risoluzione dei problemi e mitigazione dei rischi

La splash page non si carica. La causa più comune è un Walled Garden incompleto. Verifica che tutti i domini Purple richiesti siano elencati nella scheda Dest Domain. Conferma inoltre che il pool DHCP guest sia attivo e che la risoluzione DNS funzioni per i client pre-autenticati. Esegui un test connettendo un dispositivo e provando a navigare su un URL HTTP noto.

L'autenticazione RADIUS non riesce. Verifica che non ci siano refusi nel shared secret (fa distinzione tra maiuscole e minuscole). Conferma che il router DrayTek abbia una rotta verso Internet e non stia bloccando il traffico UDP in uscita sulle porte 1812 e 1813. Verifica di aver riavviato il router dopo aver applicato la configurazione RADIUS. Controlla la dashboard di Purple per i log di autenticazione per identificare se la richiesta sta raggiungendo i server di Purple.

Client assegnati alla VLAN errata. Verifica la configurazione della porta trunk tra il router DrayTek e i VigorAP. Le porte dello switch devono consentire i tag VLAN specifici. Se utilizzi uno switch non gestito, conferma che trasmetta i frame con tag 802.1Q senza rimuovere i tag. Controlla il profilo PPSK per confermare la corretta mappatura passphrase-to-VLAN.

I client 'sticky' non effettuano il roaming. Se i dispositivi non effettuano il roaming tra i VigorAP come previsto, verifica che l'AP-Assisted Mobility sia abilitato e che la soglia RSSI sia impostata in modo appropriato per la tua struttura. Conferma inoltre che tutti i VigorAP eseguano la stessa versione del firmware, poiché eventuali incongruenze possono influire sul comportamento di roaming.

I dispositivi iOS non superano l'autenticazione PPSK. Conferma che l'utente abbia disabilitato l'indirizzo Wi-Fi privato per la tua rete specifica in Impostazioni > Wi-Fi > [Nome della rete] > Indirizzo Wi-Fi privato. Il profilo PPSK deve contenere l'indirizzo MAC hardware reale del dispositivo.

ROI e impatto sul business

Il deployment dell'hardware DrayTek con Purple offre ritorni misurabili in tre aree: efficienza operativa, acquisizione dati e conformità.

Efficienza operativa. L'autenticazione 802.1X elimina il sovraccarico di gestione delle password WiFi condivise. Quando un membro dello staff se ne va, disabiliti il suo account in Microsoft Entra ID, Okta o Google Workspace. Il server RADIUS di Purple smette immediatamente di accettare le sue credenziali. Non è richiesta alcuna rotazione delle password a livello di sede. Per una catena retail con 50 punti vendita, questo da solo elimina centinaia di ore di sovraccarico IT all'anno.

Acquisizione dati e ROI di marketing. Ogni ospite che si connette tramite il Captive Portal di Purple fornisce un'identità verificata: indirizzo email, numero di telefono o profilo social. Questi dati di prima parte confluiscono direttamente nella piattaforma WiFi Analytics di Purple, dove puoi monitorare il tempo di permanenza, i tassi di visite ripetute e il coinvolgimento nelle campagne. Purple ha raccolto 29 miliardi di punti dati in tutta la sua rete. Le strutture che utilizzano il piano Engage di Purple registrano aumenti misurabili nei tassi di visite ripetute grazie a comunicazioni post-visita mirate.

Conformità. Purple è certificata ISO 27001, conforme a GDPR e CCPA, e certificata Cyber Essentials. Il Captive Portal impone opt-in basati su scelte consapevoli, garantendo che la raccolta dei dati soddisfi i requisiti GDPR. La segmentazione VLAN isola gli ambienti delle carte di pagamento dal traffico degli ospiti, supportando la conformità PCI DSS. Per le strutture sanitarie, l'isolamento della rete di pazienti e visitatori soddisfa le linee guida di NHS e ICO sulla gestione dei dati.

Per una visione dettagliata di come Purple guidi il processo decisionale basato sui dati analitici negli ambienti fisici, consulta la nostra panoramica della piattaforma WiFi Analytics .

Definizioni chiave

Captive Portal

Una pagina web che intercetta il traffico HTTP di un utente e richiede un'interazione (accesso, accettazione dei termini o invio di dati) prima di concedere l'accesso alla rete.

Il meccanismo utilizzato da Purple per acquisire i dati di prima parte degli ospiti sul DrayTek Hotspot Web Portal. Configurato tramite il metodo del portale External Server in DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce autenticazione, autorizzazione e contabilità (AAA) centralizzate per l'accesso alla rete.

Il router DrayTek invia richieste di autenticazione al server RADIUS di Purple sulla porta UDP 1812 e i dati di accounting sulla porta 1813. Il segreto condiviso deve corrispondere su entrambi i lati.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta. Richiede che i dispositivi si autentichino con un server RADIUS prima di ottenere l'accesso alla rete.

Utilizzato per Staff WiFi su hardware DrayTek. Elimina le password condivise e consente la revoca dell'accesso per singolo utente tramite l'identity provider.

VLAN

Virtual Local Area Network. Un segmento di rete logico che isola il traffico al Livello 2, anche quando i dispositivi condividono la stessa infrastruttura fisica.

Utilizzato sui router DrayTek Vigor per separare il traffico di Guest, Staff e Tenant. Richiede porte trunk 802.1Q tra il router e i VigorAP.

Walled Garden

Un insieme di domini o intervalli IP a cui gli utenti non autenticati possono accedere prima di completare il flusso del Captive Portal.

Configurato nella scheda Dest Domain del profilo DrayTek Hotspot. Deve includere i server di autenticazione di Purple e tutti i domini dell'identity provider utilizzati per l'accesso.

PPSK

Private Pre-Shared Key. Un metodo di sicurezza in cui a ciascun utente o dispositivo viene assegnata una passphrase univoca, anziché condividere un'unica password di rete.

Utilizzato sui VigorAP DrayTek per assegnare dispositivi multi-tenant a VLAN specifiche. La passphrase è associata all'indirizzo MAC del dispositivo.

AP-Assisted Mobility

Una funzionalità di DrayTek VigorAP che monitora la potenza del segnale del client e disassocia attivamente i client al di sotto di una soglia RSSI definita, spingendoli a eseguire il roaming verso un punto di accesso più vicino.

Fondamentale per installazioni retail e ricettive in cui gli utenti si spostano all'interno della struttura. Previene il comportamento dello sticky client che causa l'interruzione delle sessioni del Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Un metodo EAP 802.1X che incapsula lo scambio di autenticazione in un tunnel TLS, proteggendo le credenziali in transito.

Il metodo EAP utilizzato per Staff WiFi su hardware DrayTek. Combinato con MS-CHAPv2 come metodo di autenticazione interno per dispositivi Windows, macOS, iOS e Android.

Assegnazione VLAN dinamica

Un meccanismo in cui il server RADIUS restituisce gli attributi VLAN nel messaggio Access-Accept e il dispositivo di rete assegna automaticamente il client autenticato alla VLAN specificata.

Il server RADIUS di Purple restituisce gli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. Il router DrayTek applica l'assegnazione della VLAN in base all'identità dell'utente.

Esempi pratici

Un boutique hotel di 150 camere sta implementando un router DrayTek Vigor 2865 con sei access point VigorAP 903. Hanno la necessità di fornire un Guest WiFi personalizzato con acquisizione dati, uno Staff WiFi sicuro per 40 dipendenti e una rete isolata per un ristorante in affitto al piano terra. Il responsabile IT dell'hotel non ha mai configurato l'autenticazione 802.1X in precedenza.

Il responsabile IT crea tre VLAN sul Vigor 2865: VLAN 10 per gli ospiti (192.168.10.0/24), VLAN 20 per lo staff (192.168.20.0/24) e VLAN 30 per il ristorante (192.168.30.0/24). Il routing inter-LAN è disabilitato tra tutti e tre i segmenti. Tutte e sei le unità VigorAP 903 sono collegate tramite Ethernet e gestite tramite la gestione centralizzata degli AP (Central AP Management) sul router. Vengono trasmessi tre SSID: 'Hotel Guest' (VLAN 10, Hotspot Web Portal che punta a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X che punta al RADIUS di Purple) e 'Restaurant' (VLAN 30, WPA2-PPSK con una passphrase specifica per i dispositivi POS del ristorante). L'inserimento PPSK del ristorante associa gli indirizzi MAC dei POS alla VLAN 30. Il responsabile IT registra il tenant Microsoft Entra ID dell'hotel con Purple, consentendo allo staff di autenticarsi con le proprie credenziali aziendali esistenti. Il Walled Garden viene configurato con tutti i domini Purple richiesti. Dopo aver riavviato il router, il responsabile IT testa ciascun SSID e conferma la corretta assegnazione della VLAN tramite la tabella dei lease DHCP del router.

Commento dell'esaminatore: Questa configurazione separa correttamente tre distinte popolazioni di utenti utilizzando il metodo di autenticazione appropriato per ciascuna. Gli ospiti utilizzano un Captive Portal per l'acquisizione dei dati e il consenso conforme al GDPR. Lo staff utilizza l'802.1X per l'accesso basato su credenziali collegato al proprio provider di identità esistente, eliminando la necessità di una password separata. Il ristorante utilizza il PPSK per isolare i dispositivi POS senza richiedere la configurazione del client 802.1X su hardware headless. Il backhaul cablato garantisce che i tag VLAN vengano preservati lungo tutto il percorso.

Una catena di negozi con 80 punti vendita sta riscontrando bassi tassi di completamento del Captive Portal. Le analisi mostrano che il 40% degli acquirenti che si connettono all'SSID del Guest WiFi non raggiunge mai la splash page. La catena utilizza router DrayTek Vigor 2865 e access point VigorAP 912C. I layout dei negozi sono ampi, con access point posizionati a entrambe le estremità del piano.

L'amministratore di rete indaga su due cause principali. In primo luogo, esegue un audit della configurazione del Walled Garden in tutti gli 80 siti utilizzando VigorACS 3, la piattaforma di gestione centralizzata di DrayTek. Rileva che in 23 siti mancano due dei domini di autenticazione Purple richiesti, causando il timeout della splash page per gli acquirenti su quelle reti. Aggiorna quindi i profili Hotspot a livello centrale tramite VigorACS 3. In secondo luogo, abilita l'AP-Assisted Mobility su tutti i VigorAP con una soglia RSSI di -75 dBm. Questo costringe i dispositivi degli acquirenti a passare all'AP più vicino mentre si muovono all'interno del negozio, prevenendo il problema dello sticky client che causava l'interruzione delle sessioni del Captive Portal a metà dell'autenticazione. Dopo entrambe le modifiche, il tasso di completamento del portale sale dal 60% all'89% in tutta la rete di negozi.

Commento dell'esaminatore: Questo esempio illustra due diverse modalità di errore che si presentano entrambe come bassi tassi di completamento del portale. La configurazione errata del Walled Garden impedisce del tutto il caricamento della splash page. Il comportamento dello sticky client causa interruzioni della sessione a metà del flusso. La gestione centralizzata tramite VigorACS 3 è l'approccio corretto per una rete multi-sito: controllare manualmente 80 router singolarmente sarebbe impraticabile. L'AP-Assisted Mobility è il meccanismo specifico di DrayTek che risolve il problema del roaming; affidarsi alle decisioni di roaming lato client non è affidabile negli ambienti retail.

Domande di esercitazione

Q1. Hai configurato il DrayTek Hotspot Web Portal e lo hai indirizzato all'URL di accesso di Purple. Le impostazioni RADIUS sono corrette. Tuttavia, quando i client si connettono all'SSID del Guest WiFi, i loro browser segnalano un timeout di connessione e la splash page non si carica mai. Qual è la causa più probabile e qual è il primo passo per diagnosticarla?

Suggerimento: I client in uno stato di pre-autenticazione hanno un accesso alla rete fortemente limitato. Considera quale traffico consente il router prima del completamento dell'autenticazione.

Visualizza risposta modello

La causa più probabile è una configurazione del Walled Garden incompleta o mancante. Il router DrayTek blocca tutto il traffico proveniente da client non autenticati, ad eccezione dei domini esplicitamente elencati nella scheda Dest Domain. Se i domini di autenticazione di Purple non sono elencati, il browser del client non può raggiungere il server della splash page. Il primo passaggio diagnostico consiste nel navigare nel profilo Hotspot, fare clic sulla scheda Dest Domain e verificare che siano presenti tutti i domini Purple richiesti. Effettua un controllo incrociato con la whitelist dei domini del Walled Garden di Purple nella documentazione di supporto. Un secondo controllo consiste nel confermare che il DNS si risolva correttamente per i client pre-autenticati.

Q2. Uno spazio di coworking ha 12 aziende associate che condividono un singolo DrayTek Vigor 2865 e quattro access point VigorAP 912C. Ogni azienda deve essere isolata dalle altre, ma il gestore della struttura desidera trasmettere un solo SSID per evitare di intasare l'elenco WiFi sui dispositivi dei membri. Come progetti questa architettura?

Suggerimento: Considera come DrayTek gestisce le passphrase univoche su un singolo SSID e quale configurazione aggiuntiva è necessaria per imporre l'isolamento tra le aziende.

Visualizza risposta modello

Configura WPA2-PPSK sui VigorAP con un singolo SSID. Crea 12 VLAN sul Vigor 2865, una per azienda. Per ogni azienda, crea una voce PPSK che associ una passphrase univoca agli indirizzi MAC dei dispositivi di quell'azienda e li assegni alla VLAN dedicata. Disabilita il routing inter-VLAN nella tabella Inter-LAN Routing per impedire il traffico tra aziende diverse. I dispositivi di ciascuna azienda si connettono allo stesso SSID utilizzando la loro passphrase univoca e il VigorAP li inserisce automaticamente nella loro VLAN isolata. Per le aziende con più dispositivi, ogni dispositivo necessita della propria voce PPSK con il proprio indirizzo MAC specifico e la passphrase aziendale condivisa.

Q3. Dopo un aggiornamento di routine del firmware su un DrayTek Vigor 2865, i membri dello staff segnalano che i loro laptop non riescono più a connettersi all'SSID dello Staff WiFi. L'SSID è visibile, mas l'autenticazione non va a buon fine. Il Guest WiFi continua a funzionare normalmente. Quali sono le tre cause più probabili e in quale ordine dovresti esaminarle?

Suggerimento: Il Guest WiFi utilizza un meccanismo di autenticazione diverso rispetto allo Staff WiFi. Isola quale livello dello stack 802.1X si è interrotto.

Visualizza risposta modello

Le tre cause più probabili sono: (1) L'aggiornamento del firmware ha ripristinato la configurazione del server RADIUS per l'SSID WPA2/802.1X - vai su Wireless LAN > Security, conferma che l'IP del server RADIUS e il segreto condiviso siano ancora corretti e riavvia se apporti modifiche. (2) L'aggiornamento del firmware ha modificato il metodo EAP o le impostazioni della porta RADIUS - verifica che la porta 1812 sia ancora configurata e che il router possa raggiungere il server RADIUS di Purple su quella porta. (3) L'aggiornamento del firmware ha introdotto una modifica del certificato che causa il fallimento della convalida EAP-TLS sui dispositivi client - controlla la dashboard di Purple per le voci del registro di autenticazione per vedere se le richieste raggiungono il server. Indaga in questo ordine: prima la configurazione RADIUS (la più comune dopo un aggiornamento del firmware), poi la connettività di rete al server RADIUS e infine i problemi relativi al certificato o al metodo EAP.

Continua a leggere questa serie

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Questa guida di riferimento tecnico fornisce un playbook di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia le implementazioni passo-passo per i Captive Portal per Guest WiFi, il WiFi sicuro per il personale tramite 802.1X e l'isolamento di rete multi-tenant tramite Ruckus Dynamic PSK.

Allied Telesis Access Points Integration with Purple WiFi

Questa guida fornisce un playbook di configurazione completo per l'integrazione degli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento del Captive Portal esterno, l'autenticazione RADIUS 802.1X e l'instradamento dinamico della VLAN tramite Private Pre-Shared Keys (PPSK) per distribuzioni multi-tenant sicure.

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Questa guida descrive in dettaglio l'integrazione passo-passo di Cisco WLC e Catalyst 9800 Wireless con Purple, coprendo il reindirizzamento al Captive Portal per Guest WiFi tramite Central Web Authentication, il WiFi aziendale sicuro per il personale tramite 802.1X EAP-TLS e la segmentazione multi-tenant tramite Cisco Identity Pre-Shared Keys (iPSK) con assegnazione dinamica della VLAN. È scritta per architetti di rete aziendali e direttori della sicurezza IT che distribuiscono l'infrastruttura Cisco nei settori hospitality, retail e grandi spazi pubblici.