Vai al contenuto principale
Italiano

Integrazione di NETGEAR Insight e Access Point Enterprise con Purple WiFi

Questa guida fornisce ai responsabili IT una roadmap tecnica definitiva per l'integrazione di NETGEAR Insight e degli access point enterprise WAX con Purple WiFi. Copre le configurazioni essenziali, tra cui i Captive Portal per gli ospiti, le reti per il personale 802.1X e la segmentazione multi-tenant tramite PPSK e assegnazione dinamica della VLAN.

📖 6 minuti di lettura📝 1,295 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Briefing Tecnico di Purple. Oggi affronteremo un argomento che emerge costantemente nei nostri colloqui con i responsabili IT e gli architetti di rete nei settori dell'ospitalità, del retail e degli spazi multi-tenant: come integrare NETGEAR Insight e gli access point della serie WAX con Purple WiFi. Se gestisci un hotel, un parco commerciale, un centro congressi o un complesso a destinazione d'uso mista, questo briefing è direttamente rilevante per la tua prossima decisione di implementazione. Inquadriamo la situazione. La serie WAX di NETGEAR - comprendente i modelli WAX610, WAX620 e WAX630 - offre access point WiFi 6 gestiti tramite la piattaforma cloud Insight. Supportano fino a otto SSID separati per radio, la crittografia WPA3 e fino a sei gigabit di throughput sul modello WAX630. Sono alimentati tramite PoE, montabili a soffitto e gestiti da un'unica interfaccia centralizzata attraverso l'Insight Cloud Portal. Per un installatore IT o un amministratore di rete di PMI, si tratta di una piattaforma estremamente capace a un prezzo nettamente inferiore rispetto alla fascia di Cisco Meraki o HPE Aruba. Purple è un overlay cloud indipendente dall'hardware. Ci posizioniamo al di sopra della tua infrastruttura esistente per aggiungere il livello di guest experience, il livello di acquisizione dati e il livello di analytics. Nel 2024 abbiamo elaborato 440 milioni di accessi in 80.000 sedi attive. L'integrazione con NETGEAR Insight è pulita, ben documentata e copre quattro casi d'uso distinti che analizzeremo oggi. Entriamo ora nel dettaglio tecnico. I quattro casi d'uso sono: Guest WiFi con Captive Portal Purple, WiFi aziendale sicuro per il personale tramite 802.1X, segmentazione multi-tenant tramite la funzionalità PPSK di NETGEAR e assegnazione dinamica della VLAN via RADIUS per reti basate sull'identità (Identity-Based Networks). Caso d'uso uno: Guest WiFi con Captive Portal Purple. Questo è il punto di partenza più comune. Si crea un SSID Guest dedicato in NETGEAR Insight e lo si configura come rete aperta. La configurazione chiave si trova nella sezione Captive Portal delle impostazioni dell'SSID. Seleziona "External Captive Portal" e incolla l'URL della Splash Page fornito da Purple. Successivamente, configura il tipo di autenticazione. Per la maggior parte delle implementazioni di Purple, selezionerai l'autenticazione RADIUS. Purple ti fornisce l'IP di un server RADIUS primario, la porta 1812 per l'autenticazione, la porta 1813 per l'accounting e un segreto condiviso (shared secret). Incolla questi dati nella configurazione dell'External Captive Portal di NETGEAR Insight. Imposta anche un NAS Identifier: si tratta di una stringa che identifica questo specifico access point o posizione all'interno del server RADIUS. Utilizza un nome significativo, come il nome della tua sede e il codice della posizione. Il walled garden è l'elemento che mette più in difficoltà la maggior parte degli installatori. Prima che un ospite si autentichi, il suo dispositivo deve essere in grado di raggiungere la splash page di Purple, i server di autenticazione e tutti i provider di social login abilitati. NETGEAR Insight dispone di una sezione Walled Garden dedicata nella configurazione del Captive Portal esterno in cui aggiungere questi URL. La documentazione di supporto di Purple fornisce l'elenco esatto dei domini da inserire nella whitelist. Se si commette un errore in questa fase, gli ospiti visualizzeranno una pagina vuota invece del portale personalizzato con il tuo brand. Una volta configurato, il flusso funziona in questo modo: un ospite si connette all'SSID Hotel Guest. L'access point intercetta la prima richiesta HTTP e lo reindirizza alla splash page di Purple. L'ospite visualizza il portale personalizzato, accetta i termini e, facoltativamente, fornisce il proprio indirizzo email o accede tramite social media. Il server RADIUS di Purple restituisce un messaggio di Access-Accept all'access point e all'ospite viene concesso l'accesso a internet. Purple acquisisce i dati di consenso, registra la sessione e tali dati confluiscono nella dashboard di analisi di Purple. Secondo caso d'uso: WiFi aziendale sicuro per il personale tramite 802.1X. In questo scenario si abbandona completamente l'uso di password condivise. Per le reti del personale, una chiave precondivisa rappresenta un rischio per la sicurezza: quando un dipendente si dimette, è necessario cambiare la password per tutti. Lo standard 802.1X, definito nella norma IEEE 802.1X, assegna a ogni utente una credenziale individuale. Quando un dipendente lascia l'azienda, è sufficiente disattivare il suo account nella directory per revocare istantaneamente il suo accesso. In NETGEAR Insight, si configura un SSID aziendale separato per lo staff con sicurezza WPA2 Enterprise. Questo indica all'access point di utilizzare l'autenticazione 802.1X anziché una chiave precondivisa. Successivamente, si configurano le impostazioni del server RADIUS a livello di sede di rete. Accedere alle impostazioni della sede di rete, selezionare RADIUS, abilitare l'autenticazione dell'accesso 802.1X e inserire l'IP del server RADIUS, la porta e il segreto condiviso. L'intervallo di riautenticazione predefinito è di 3.600 secondi (un'ora), un punto di partenza ragionevole per la maggior parte delle strutture. Il metodo EAP più comune nelle implementazioni PMI è PEAP-MSCHAPv2, che utilizza un certificato lato server per creare un tunnel crittografato all'interno del quale l'utente si autentica con il proprio nome utente e password di Active Directory. Il metodo EAP-TLS è più sicuro, poiché utilizza certificati su entrambi i lati, ma richiede un'infrastruttura PKI e un MDM per distribuire i certificati sui dispositivi. Un punto fondamentale: applicare la convalida del certificato su ogni dispositivo client. Configurare i dispositivi Windows tramite Group Policy Objects e i dispositivi mobili tramite profili MDM per convalidare il certificato del server RADIUS. Se si salta questo passaggio, i dispositivi risultano vulnerabili ad attacchi di tipo rogue access point, in cui un utente malintenzionato presenta un certificato falso e acquisisce le credenziali.Caso d'uso tre: NETGEAR PPSK per ambienti multi-tenant. Private Pre-Shared Key risolve un problema specifico in parchi commerciali, complessi a uso misto e spazi di co-working. Vi sono più tenant che condividono la stessa infrastruttura WiFi fisica. Non si desidera configurare SSID separati per ciascun tenant, poiché ciò creerebbe congestione delle radiofrequenze e complessità di gestione. Tuttavia, non è nemmeno possibile fornire a tutti la stessa password, perché in tal caso il Tenant A potrebbe vedere il traffico del Tenant B. PPSK risolve il problema in modo elegante. Si crea un unico SSID e si creano più chiavi pre-condivise in NETGEAR Insight alla voce Wireless, Impostazioni, Avanzate, Impostazioni Multi PSK. Ogni chiave è associata a una VLAN specifica. Il Tenant A riceve una password univoca di 16 caratteri che mappa sulla VLAN 30. Il Tenant B riceve una password diversa che mappa sulla VLAN 40. Il team di gestione della struttura riceve una terza password che mappa sulla VLAN 20, che ha accesso ai sistemi di gestione. Quando i dispositivi del Tenant A si connettono utilizzando la loro password, l'access point li inserisce automaticamente nella VLAN 30. Non possono vedere alcun traffico sulla VLAN 40 o sulla VLAN 20. Dal punto di vista del tenant, hanno semplicemente una password WiFi. Dal vostro punto di vista di amministratori di rete, ottenete un isolamento completo del traffico tra i tenant senza alcun hardware aggiuntivo. Vi sono due limitazioni importanti da conoscere. In primo luogo, il PPSK in NETGEAR Insight richiede la crittografia WPA2 Personal o WPA2 Personal Mixed. Non funziona sulla banda a 6 GHz. In secondo luogo, il PPSK non può essere combinato con un Captive Portal sullo stesso SSID. Se si ha la necessità di utilizzare entrambi, occorrono due SSID separati, il che non rappresenta un problema, poiché gli access point della serie WAX ne supportano fino a otto. Caso d'uso quattro: assegnazione dinamica della VLAN tramite RADIUS. Questa è la configurazione più sofisticata ed è quella che sta alla base della funzionalità Identity-Based Networks di Purple. Invece di assegnare staticamente una VLAN a una password o a un SSID, si lascia che sia il server RADIUS a decidere quale VLAN assegnare in base a chi si sta autenticando. Il meccanismo utilizza tre attributi RADIUS standard: Tunnel-Type, che deve essere impostato sul valore 13 per la VLAN; Tunnel-Medium-Type, che deve essere impostato sul valore 6 per IEEE 802; e Tunnel-Private-Group-ID, che contiene l'ID della VLAN come stringa. Quando un utente si autentica con successo, il server RADIUS restituisce questi tre attributi nel messaggio Access-Accept. L'access point li legge e inserisce il client nella VLAN specificata. All'atto pratico, questo significa che si può avere un unico SSID WPA2 Enterprise dove un direttore d'albergo si autentica e accede alla VLAN 20 con accesso ai sistemi di gestione della struttura, un addetto alla reception si autentica e accede alla VLAN 21 con accesso solo al sistema di check-in, e un fornitore esterno si autentica e accede alla VLAN 50 con accesso solo a Internet. Tutto dallo stesso SSID, tutto applicato automaticamente dal server RADIUS in base all'appartenenza ai gruppi di Active Directory. Ora passiamo ai consigli di implementazione e alle insidie comuni. La prima insidia è il walled garden. Ogni implementazione di un Captive Portal esterno fallisce a causa del walled garden almeno una volta. Il sintomo consiste nei visitatori che si connettono all'SSID ma visualizzano un errore del browser anziché la splash page. La soluzione è metodica: apri la documentazione di supporto di Purple, copia ogni dominio presente nell'elenco del walled garden e incollalo nella sezione Walled Garden di NETGEAR Insight. Esegui un test con un dispositivo che non abbia credenziali memorizzate nella cache. La seconda insidia è la raggiungibilità RADIUS. L'access point NETGEAR deve poter raggiungere il tuo server RADIUS. RADIUS utilizza la porta UDP 1812 per l'autenticazione e la porta UDP 1813 per l'accounting. Apri queste porte dall'IP di gestione dell'access point verso l'IP del server RADIUS. Esegui un test con uno strumento di test RADIUS prima di andare online. La terza insidia è il conflitto tra PPSK e Captive Portal. NETGEAR Insight non consente di abilitare PPSK e Captive Portal sullo stesso SSID. Se hai bisogno di entrambi, crea due SSID. Nominali in modo chiaro: uno per gli utenti PPSK e uno per gli ospiti del Captive Portal. La quarta insidia è la convalida del certificato sui client 802.1X. Ogni dispositivo Windows necessita di un Group Policy Object che specifichi l'Autorità di Certificazione attendibile e il nome del server RADIUS previsto. Ogni dispositivo mobile necessita di un profilo MDM con le stesse impostazioni. Senza questo passaggio, un utente potrebbe inconsapevolmente autenticarsi su un access point non autorizzato e cedere le proprie credenziali di Active Directory. Ora passiamo a una sessione di domande e risposte rapide. Prima domanda: posso utilizzare Purple con NETGEAR Insight senza un server RADIUS? Sì, per le implementazioni di Captive Portal per gli ospiti, puoi utilizzare la modalità di autenticazione web di Purple anziché RADIUS. L'access point reindirizza alla splash page tramite HTTP e Purple gestisce l'autenticazione attraverso una sessione web. RADIUS offre un controllo maggiore e dati di accounting migliori, ma non è obbligatorio per le implementazioni base di portali per ospiti. Seconda domanda: quanti tasti PPSK posso creare in NETGEAR Insight? NETGEAR Insight supporta fino a 64 chiavi PPSK per SSID sugli access point della serie WAX. Per la maggior parte delle strutture multi-tenant, questo è più che sufficiente. Se hai più di 64 tenant, dovrai invece passare a una soluzione VLAN dinamica basata su RADIUS. Terza domanda: NETGEAR Insight supporta WPA3 Enterprise per 802.1X? Sì, gli access point della serie WAX supportano WPA3 Enterprise. Per la maggior parte delle implementazioni PMI, WPA2 Enterprise è sufficiente e offre una compatibilità più ampia con i dispositivi client. Vale la pena considerare WPA3 Enterprise per gli ambienti che gestiscono dati sensibili, come il settore sanitario o i servizi finanziari. Quarta domanda: cosa succede se il server RADIUS di Purple non è raggiungibile? NETGEAR Insight supporta un'opzione di failsafe nella configurazione dell'External Captive Portal. Se abiliti il failsafe, agli ospiti viene concesso l'accesso a Internet per un breve periodo anche se i server del Captive Portal non sono raggiungibili. Purple garantisce un uptime del 99.999% in tutta la nostra infrastruttura, ma l'abilitazione del failsafe rappresenta una buona pratica per qualsiasi implementazione in produzione. Per riassumere i punti chiave del briefing di oggi. Gli access point della serie NETGEAR WAX si integrano con Purple tramite il meccanismo di Captive Portal esterno in NETGEAR Insight. È possibile configurare l'URL della splash page, le credenziali del server RADIUS e i domini di walled garden nel portale Cloud Insight. Per le reti del personale, utilizzare WPA2 Enterprise con 802.1X e imporre la convalida del certificato su ogni dispositivo client. Per le sedi multi-tenant, la funzione PPSK di NETGEAR offre l'isolamento VLAN per tenant da un singolo SSID con un massimo di 64 chiavi univoche. Per le distribuzioni più sofisticate, l'assegnazione dinamica delle VLAN tramite gli attributi RADIUS offre una segmentazione di rete basata sull'identità che si adatta a chi si connette, non solo da dove si connette. Se si pianifica una distribuzione NETGEAR con Purple, il passo successivo consiste nel richiedere le credenziali RADIUS di Purple e l'elenco dei domini di walled garden al team di supporto di Purple, e testare il reindirizzamento del captive portal su un SSID di staging prima di passare alla produzione. La configurazione richiede meno di 30 minuti una volta ottenute tali credenziali. Grazie per aver ascoltato il Technical Briefing di Purple. Per la guida scritta completa, inclusi i dettagli di configurazione passo-passo ed esempi pratici, visitare purple.ai.

header_image.png

Executive Summary

Relying on pre-shared keys for enterprise WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device. This guide provides IT managers and network architects with a definitive roadmap for integrating NETGEAR Insight and WAX series enterprise access points with Purple.

We detail four core deployment architectures: Guest WiFi with a captive portal, Secure Staff WiFi using 802.1X, Multi-Tenant segmentation via NETGEAR Private Pre-Shared Keys (PPSK), and Identity-Based Networks using dynamic VLAN assignment. Whether you operate Hospitality venues, Retail spaces, or public-sector environments, these configurations eliminate shared passwords, enforce strict network segmentation, and capture actionable WiFi Analytics .

Listen to our technical briefing podcast below for a comprehensive overview of the architecture and common deployment pitfalls.

Technical Deep-Dive

NETGEAR WAX series access points (WAX610, WAX620, WAX630) are cloud-managed WiFi 6 devices designed for high-density environments. Managed via the NETGEAR Insight portal, they support up to eight separate SSIDs per radio, WPA3 encryption, and multi-gigabit throughput. Purple acts as a hardware-agnostic cloud overlay, integrating with NETGEAR Insight to deliver enterprise-grade access control and data capture.

1. Guest WiFi with Captive Portal

For public-facing environments, you must deploy an External Captive Portal. This configuration intercepts guest HTTP requests and redirects them to a Purple-hosted splash page.

Architecture:

  1. Access Point: NETGEAR WAX access point broadcasts an open or WPA2 Personal Guest SSID.
  2. Walled Garden: NETGEAR Insight permits pre-authentication traffic to Purple's servers and social login providers.
  3. Authentication: Purple handles the user session via RADIUS or HTTP web authentication.

When a guest connects, they are presented with a branded portal. Upon accepting the terms and providing details, Purple's RADIUS server returns an Access-Accept message, granting internet access. This approach guarantees compliance with data privacy regulations like GDPR while capturing valuable first-party data.

2. Secure Staff WiFi (802.1X)

Pre-shared keys are unacceptable for staff networks. You must implement IEEE 802.1X authentication. In this model, every user has an individual credential. When an employee departs, you disable their directory account, and their access is revoked instantly.

In NETGEAR Insight, you configure a Staff SSID with WPA2 Enterprise or WPA3 Enterprise security. The access point acts as the authenticator, relaying Extensible Authentication Protocol (EAP) messages to the RADIUS server. The RADIUS server validates the credentials against your directory (e.g., Microsoft Entra ID or Okta) and returns the authorisation decision.

3. Multi-Tenant Segmentation (PPSK)

Mixed-use developments and retail parks face a specific challenge: multiple tenants sharing physical WiFi infrastructure. Deploying separate SSIDs for each tenant creates radio frequency congestion. Providing a single shared password compromises security.

NETGEAR Private Pre-Shared Key (PPSK) solves this. You broadcast a single SSID. In NETGEAR Insight, you generate unique passwords for each tenant. Crucially, each password maps to a specific VLAN.

ppsk_vlan_infographic.png

When a device connects using the retail unit's password, the access point places it on the isolated retail VLAN. When venue management connects using their password, they land on the management VLAN. You achieve complete traffic isolation with zero additional hardware. Note that PPSK requires WPA2 Personal and cannot be combined with a captive portal on the same SSID.

4. Dynamic VLAN Assignment via RADIUS

For sophisticated Identity-Based Networks, you must use dynamic VLAN assignment. Instead of statically assigning a VLAN to an SSID or a password, the RADIUS server dictates the VLAN based on the user's directory profile.

The RADIUS server returns three standard attributes in the Access-Accept message:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

A single WPA2 Enterprise SSID can serve the entire organisation. A hotel manager authenticates and lands on VLAN 20. A front desk agent lands on VLAN 21. A contractor lands on VLAN 50. The network adapts to the identity of the user. For a broader look at securing your environment, review our Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementation Guide

Follow these steps to deploy NETGEAR Insight with Purple Guest WiFi .

Step 1: Configure the Guest SSID

  1. Log in to the NETGEAR Insight Cloud Portal.
  2. Select your network location and navigate to Wireless > Settings.
  3. Create a new SSID (e.g., "Venue Guest WiFi").
  4. Select Captive Portal and choose External Captive Portal.

Step 2: Configure the Captive Portal

  1. In the Splash Page URL field, enter the URL provided by Purple.
  2. Select the Radius radio button.
  3. Enter the Primary Authentication Server IP, port (1812), and shared secret provided by Purple.
  4. Enter the Primary Accounting Server IP, port (1813), and shared secret.
  5. Set a descriptive NAS-Identifier (e.g., "London-Retail-01").

Step 3: Configure the Walled Garden

This is the most critical step. If the walled garden is incorrect, guests will see a blank screen.

  1. Scroll to the Walled Garden section in the Captive Portal settings.
  2. Add every domain provided in Purple's integration documentation. This includes Purple's CDN domains, authentication servers, and any enabled social login providers (e.g., Facebook, Google).
  3. Click Save.

Step 4: Verify RADIUS Reachability

Ensure your firewall permits UDP ports 1812 and 1813 outbound from the access point management IP addresses to the Purple RADIUS servers.

Best Practices

  • Enforce Certificate Validation: For 802.1X deployments, you must enforce strict certificate validation on all client devices via Group Policy Objects (GPO) or Mobile Device Management (MDM). If clients do not validate the RADIUS server certificate, they are vulnerable to rogue access point attacks.
  • Isolate Management Traffic: Always place access point management IP addresses on a dedicated management VLAN, isolated from guest and staff traffic.
  • Enable Failsafe: In the NETGEAR Insight Captive Portal settings, enable the FailSafe option. If the RADIUS servers become unreachable, guests are granted temporary internet access, preventing a total WiFi outage.
  • Separate SSIDs for PPSK: Because NETGEAR Insight does not support PPSK and Captive Portal on the same SSID, you must create dedicated SSIDs (e.g., "Venue-Guest" and "Venue-Tenant").

Troubleshooting & Risk Mitigation

Symptom: Guests connect to the SSID but the splash page does not load.

  • Cause: Incomplete Walled Garden configuration.
  • Resolution: Verify that all Purple domains and social login domains are entered correctly in the NETGEAR Insight Walled Garden settings. Test with a device that has no cached credentials.

Symptom: Staff devices fail to authenticate via 802.1X.

  • Cause: RADIUS timeout or incorrect shared secret.
  • Resolution: Verify that UDP ports 1812 and 1813 are open outbound. Confirm the shared secret matches exactly between the NETGEAR Insight portal and the RADIUS server. Check the RADIUS server logs for Access-Reject messages.

Symptom: PPSK clients are placed on the wrong VLAN.

  • Cause: Incorrect VLAN mapping or missing VLAN configuration on the switch.
  • Resolution: Ensure the VLAN is created in NETGEAR Insight under Wired settings. Verify the Multi PSK Settings map the correct password to the correct VLAN ID. Ensure the switch port connecting the access point is configured as a trunk port allowing the target VLAN.

ROI & Business Impact

Deploying NETGEAR Insight with Purple transforms your wireless infrastructure from a cost centre into a revenue-generating asset. By implementing Identity-Based Networks and captive portals, you achieve:

  • Reduced IT Overhead: PPSK and 802.1X eliminate the need to manually manage shared passwords or dispatch engineers for routine access changes.
  • Actionable Analytics: Capture demographic data, dwell times, and return rates to optimise venue operations and tenant mix.
  • Marketing ROI: Build a high-intent, GDPR-compliant CRM database. Venues typically see a significant reduction in customer acquisition costs when leveraging first-party data collected via WiFi.
  • Enhanced Security: Dynamic VLAN assignment isolates IoT devices, point-of-sale systems, and guest traffic, significantly reducing the attack surface and ensuring PCI DSS compliance.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Essenziale per la sicurezza aziendale; sostituisce le password condivise con credenziali utente individuali.

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Utilizzato da Purple per acquisire dati di prima parte e garantire l'accettazione dei termini di servizio.

PPSK (Private Pre-Shared Key)

Una funzionalità che consente l'uso di più password univoche su un singolo SSID, in cui ogni password assegna l'utente a una VLAN specifica.

Ideale per edifici multi-tenant o per isolare i dispositivi IoT senza creare SSID multipli.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA).

Il server centrale che convalida le credenziali e indica all'AP NETGEAR se concedere l'accesso.

Walled Garden

Un ambiente limitato che controlla l'accesso dell'utente a contenuti e servizi web prima della completa autenticazione.

Deve essere configurato in NETGEAR Insight per consentire ai dispositivi di raggiungere la splash page di Purple e i provider di social login.

Dynamic VLAN Assignment

Il processo mediante il quale un server RADIUS istruisce un access point a inserire un utente autenticato in una VLAN specifica in base alla sua identità.

Consente la creazione di reti basate sull'identità, permettendo a un singolo SSID di servire più reparti in modo sicuro.

NAS-Identifier

Network Access Server Identifier; una stringa utilizzata per identificare l'origine di una richiesta di accesso RADIUS.

Configurato in NETGEAR Insight in modo che Purple sappia da quale sede o access point si sta connettendo l'utente.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un metodo di autenticazione che richiede certificati digitali sia sul client che sul server.

Il metodo 802.1X più sicuro, che elimina completamente le password, sebbene richieda un MDM per distribuire i certificati.

Esempi pratici

Un parco commerciale di 40 unità deve fornire un WiFi sicuro e isolato per i sistemi point-of-sale di ciascun tenant, oltre a una rete WiFi pubblica con brand per gli acquirenti. Hanno distribuito gli access point NETGEAR WAX630. Come deve essere configurata la rete?

Creare due SSID in NETGEAR Insight. SSID 1: "RetailPark-Guest". Configurarlo con un Captive Portal esterno che punta alla splash page di Purple, con autenticazione RADIUS e un walled garden completo. Associare questo SSID alla VLAN 10 (solo Internet). SSID 2: "RetailPark-Tenants". Configurarlo con WPA2 Personal e abilitare il Multi PSK (PPSK). Creare 40 password univoche. Associare la password del Tenant A alla VLAN 101, quella del Tenant B alla VLAN 102, ecc. Assicurarsi che lo switch principale invii in trunk tutte le VLAN agli access point.

Commento dell'esaminatore: Questo approccio bilancia perfettamente sicurezza ed esperienza utente. Separando gli SSID, evitiamo il limite di NETGEAR che non consente di combinare PPSK e Captive Portal. La configurazione PPSK garantisce una visibilità zero tra i diversi tenant per la conformità PCI, mentre il portale Purple acquisisce i dati degli acquirenti.

La sede centrale di un'azienda vuole abbandonare l'uso di una password WPA2 condivisa. Richiedono che il personale si autentichi con le proprie credenziali Microsoft Entra ID e desiderano inserire il team finanziario nella VLAN 50 e il team marketing nella VLAN 60.

Distribuire un singolo SSID "Corporate-Secure" configurato per WPA2 Enterprise. Indirizzare le impostazioni RADIUS di NETGEAR Insight verso un server RADIUS integrato con Entra ID. Configurare il server RADIUS in modo da restituire gli attributi tunnel standard (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 o 60) in base all'appartenenza al gruppo di directory dell'utente. Forzare la convalida del certificato su tutti i laptop aziendali tramite MDM.

Commento dell'esaminatore: Questo dimostra una vera rete basata sull'identità (Identity-Based Networking). L'access point assegna dinamicamente la VLAN in base alla risposta RADIUS. Fondamentalmente, l'applicazione della convalida del certificato previene gli attacchi da AP canaglia, il che è obbligatorio per la sicurezza aziendale.

Domande di esercitazione

Q1. Hai distribuito un Captive Portal Purple su un NETGEAR WAX620. Gli ospiti possono connettersi al WiFi, ma i loro browser mostrano l'errore "Impossibile raggiungere la destinazione" invece della splash page. Qual è l'errore di configurazione più probabile?

Suggerimento: Considera cosa deve accadere prima che l'ospite sia completamente autenticato per raggiungere i server esterni.

Visualizza risposta modello

Il Walled Garden è configurato in modo errato o incompleto. L'access point NETGEAR sta bloccando il traffico iniziale verso i server di Purple. È necessario assicurarsi che tutti i domini CDN di Purple richiesti, gli URL di autenticazione e i domini di social login siano aggiunti all'elenco del Walled Garden nel portale Insight.

Q2. Una sede richiede sia un Captive Portal per gli ospiti sia un WiFi protetto e isolato per 10 diversi tenant commerciali. Desiderano ridurre al minimo le interferenze RF. Come configuri gli access point NETGEAR?

Suggerimento: NETGEAR Insight presenta limitazioni specifiche per quanto riguarda la combinazione di captive portal e PPSK.

Visualizza risposta modello

È necessario creare esattamente due SSID. NETGEAR non supporta PPSK e Captive Portal sullo stesso SSID. Crea "Venue-Guest" con un Captive Portal esterno che punta a Purple. Crea "Venue-Retail" con WPA2 Personal e configura Multi PSK (PPSK) con 10 password univoche, ciascuna mappata su una VLAN diversa.

Q3. Quando si configura l'assegnazione dinamica della VLAN per il personale utilizzando 802.1X, quali tre attributi RADIUS deve restituire il server nel messaggio Access-Accept?

Suggerimento: Pensa agli attributi standard RFC 2868 per la configurazione del tunnel.

Visualizza risposta modello

Il server RADIUS deve restituire: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802) e [81] Tunnel-Private-Group-ID = [La stringa specifica dell'ID VLAN].

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →