Vai al contenuto principale
Italiano

SonicWall TZ and SonicWave Integration with Purple WiFi

Questa guida tecnica di riferimento descrive in dettaglio l'integrazione dei firewall SonicWall TZ e degli AP SonicWave con la piattaforma Purple WiFi. Fornisce passaggi di configurazione pratici per il reindirizzamento al Captive Portal, le eccezioni del walled garden, l'autenticazione 802.1X e il routing dinamico della VLAN tramite Private Pre-Shared Key (PPSK).

📖 6 minuti di lettura📝 1,263 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
INTEGRAZIONE DI SONICWALL TZ E SONICWAVE CON PURPLE WIFI Purple WiFi Intelligence Platform - Serie di Briefing Tecnici Durata: circa 10 minuti Voce: inglese britannico, tono da consulente senior - sicuro, colloquiale, autorevole --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti alla serie di briefing tecnici di Purple. Oggi analizzeremo una delle integrazioni tecnicamente più complesse nel panorama del WiFi aziendale: i firewall SonicWall TZ e gli access point SonicWave, distribuiti insieme a Purple per l'autenticazione degli ospiti, il controllo degli accessi del personale e l'isolamento della rete multi-tenant. Se siete ingegneri della sicurezza IT o MSP che gestiscono strutture - come hotel, catene di vendita al dettaglio, centri congressi o complessi polifunzionali - questo briefing fa al caso vostro. Analizzeremo rapidamente l'architettura, i passaggi di configurazione e i punti critici in cui le implementazioni potrebbero riscontrare problemi. SonicWall rappresenta una scelta eccellente nel segmento delle PMI e del mercato medio. I firewall della serie TZ sono ampiamente diffusi e gli AP SonicWave si integrano nativamente tramite SonicOS e il Wireless Network Manager. Aggiungendo Purple, si ottiene un livello di guest WiFi gestito in cloud con Captive Portal personalizzati, autenticazione basata su RADIUS e acquisizione di dati di prima parte, il tutto senza dover sostituire l'infrastruttura SonicWall esistente. Entriamo nel vivo dell'architettura. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) Dobbiamo esaminare quattro casi d'uso distinti, ognuno dei quali presenta un percorso di configurazione differente. Guest WiFi con reindirizzamento al Captive Portal. Eccezioni Walled Garden. Staff WiFi sicuro tramite 802.1X. E isolamento multi-tenant tramite chiavi pre-condivise private (PPSK) di SonicWall con instradamento dinamico delle VLAN. Iniziamo con il Guest WiFi e il Captive Portal di SonicWall. SonicOS utilizza un meccanismo chiamato Lightweight Hotspot Messaging (LHM) per gestire i reindirizzamenti dei Captive Portal esterni. Quando un ospite si connette al vostro SSID guest e apre un browser, il SonicWall intercetta la richiesta HTTP e la reindirizza all'URL della pagina di accesso di Purple. L'ospite si autentica sulla piattaforma Purple - tramite social login, e-mail o un semplice clic - e Purple invia un'autorizzazione LHM al SonicWall sulla porta TCP 4043. Il SonicWall abilita quindi l'accesso a Internet per l'indirizzo MAC di quel dispositivo. La configurazione in SonicOS 7.x funziona in questo modo. Per prima cosa, andate su Object, poi su Match Objects e infine su Zones. Modificate la zona assegnata al vostro guest WiFi, solitamente una WLAN o una zona personalizzata. In Guest Services, abilitate sia "Enable Guest Services" che "External Guest Authentication". Successivamente, andate su Configure, Guest Services, General. Impostate il Client Redirect Protocol su HTTP. Inserite l'hostname del portale di Purple come indirizzo del server web (ovvero portal.purple.ai). Impostate il percorso di reindirizzamento sull'URL del Captive Portal specifico per la vostra sede, che Purple fornisce nella dashboard della sede. La porta è la 4043. Nella scheda Auth Pages, imposta l'URL di login sull'URL del portale esterno di Purple. Imposta l'URL di logout se desideri gestire la chiusura della sessione. Nella scheda Advanced, abilita "Allow unauthenticated users to access HTTPS sites" solo se hai la necessità di supportare dispositivi HTTPS-first, tenendo presente che ciò indebolisce l'applicazione del reindirizzamento. Una volta salvato, SonicOS crea automaticamente una policy NAT e una regola di accesso WAN-to-WAN che consente la porta TCP 4043. Non eliminare queste regole generate automaticamente, in quanto sono fondamentali per consentire il completamento dell'handshake LHM. Ora, passiamo alla configurazione del Walled Garden. Prima che un ospite si autentichi, il suo dispositivo deve poter raggiungere determinati domini per consentire il corretto funzionamento della splash page. La piattaforma di Purple dipende dalle proprie reti CDN e dagli endpoint API. I probe di rilevamento del Captive Portal del sistema operativo - captive.apple.com per i dispositivi iOS, connectivitycheck.gstatic.com per Android e msftconnecttest.com per Windows - devono essere tutti inseriti nella whitelist. Se offri il login tramite social, aggiungi accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com per Google. Aggiungi www.facebook.com, graph.facebook.com, connect.facebook.net e il dominio CDN fbcdn.net se offri il login tramite Facebook. In SonicOS, aggiungi questi elementi come oggetti indirizzo FQDN in Object, Match Objects, Addresses. Successivamente, crea regole di accesso nella zona ospiti che consentano ai dispositivi non autenticati di raggiungere questi FQDN. Utilizza la risoluzione DNS dinamica (SonicOS risolve gli oggetti FQDN a intervalli regolari) anziché inserire IP statici, che potrebbero variare con il variare degli intervalli IP delle CDN. Passiamo ora a Secure Staff WiFi con 802.1X. In questo scenario, gli AP SonicWave e il server RADIUS di Purple lavorano in sinergia. L'AP SonicWave funge da autenticatore nello scambio 802.1X. Il supplicant è il dispositivo del dipendente. Il server RADIUS di Purple funge da server di autenticazione. Il metodo EAP da scegliere dipende dall'identity provider in uso. Se utilizzi Microsoft Entra ID o Okta, PEAP-MSCHAPv2 rappresenta la scelta più comune poiché supporta le credenziali composte da nome utente e password. Se hai distribuito certificati di dispositivo (l'approccio consigliato per i dispositivi gestiti), utilizza invece EAP-TLS. In Wireless Network Manager, naviga su Policies, Policy Hierarchy, seleziona la policy del tuo AP e fai clic sulla scheda 802.1X. Inserisci l'indirizzo IP del server RADIUS di Purple, reperibile nella dashboard della tua sede Purple sotto la sezione delle impostazioni RADIUS. La chiave condivisa (shared secret) è generata da Purple e deve corrispondere esattamente su entrambi i lati. Imposta la porta di autenticazione su 1812 e la porta di accounting su 1813. Per le impostazioni EAP, seleziona il metodo corrispondente alla configurazione del tuo identity provider. Sul lato Purple, crea una policy RADIUS per l'autenticazione del personale. Associa l'SSID del personale a una VLAN specifica, ad esempio la VLAN 200 per il personale. Il server RADIUS di Purple restituisce l'assegnazione della VLAN utilizzando tre attributi standard: Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sull'ID della VLAN come stringa (quindi "200" per la VLAN 200). Il firewall SonicWall e l'AP SonicWave rispettano questi attributi e inseriscono automaticamente il dispositivo del personale autenticato nella VLAN corretta. Ora, il caso d'uso più interessante dal punto di vista dell'architettura: PPSK e isolamento multi-tenant. Le Private Pre-Shared Keys consentono di gestire un singolo SSID e assegnare a ciascun tenant, residente o gruppo di utenti una passphrase univoca. Quando un dispositivo si connette utilizzando una PPSK specifica, l'AP SonicWave invia tale chiave al server RADIUS di Purple per la convalida. Purple cerca la chiave, identifica il tenant o il gruppo di utenti associato e restituisce l'assegnazione della VLAN appropriata tramite l'attributo Tunnel-Private-Group-ID. Il SonicWall indirizza quindi quel dispositivo nella VLAN corretta, completamente isolato dagli altri tenant sullo stesso SSID. Questo è l'Identity-Based Networking in pratica. Non stai gestendo gli SSID per tenant. Stai gestendo le identità per tenant. In uno sviluppo a uso misto con dieci unità commerciali, un singolo SSID trasmette in tutto l'edificio. Ogni tenant riceve la propria PPSK. Ogni PPSK è mappata su una VLAN e una sottorete dedicate. I dispositivi del Tenant A non vedono mai il traffico del Tenant B, anche se condividono gli stessi access point fisici. La configurazione PPSK in SonicOS richiede la modalità PPSK basata su RADIUS sull'SSID. Nel Wireless Network Manager, modifica l'SSID, imposta la modalità di sicurezza su WPA2-Enterprise con PPSK e punta il server RADIUS su Purple. Purple gestisce la tabella di mappatura da PPSK a VLAN in modo centralizzato. Quando aggiungi un nuovo tenant, crei una nuova PPSK in Purple, le assegni una VLAN e la modifica si propaga a tutti gli AP SonicWave in quella sede senza toccare la configurazione del firewall. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E ERRORI COMUNI (circa 2 minuti) Permettetemi di indicarvi i tre problemi che si verificano più comunemente nelle distribuzioni SonicWall e Purple. Primo: la porta LHM. La porta TCP 4043 deve essere aperta dalla WAN verso l'interfaccia WAN del SonicWall. Se l'ISP o il firewall a monte bloccano questa porta, l'handshake di autorizzazione LHM non viene mai completato e gli ospiti rimangono bloccati sulla splash page dopo l'autenticazione. Vedono un login riuscito sul lato di Purple, ma il SonicWall non riceve mai il segnale di autorizzazione. Verifica questo aspetto con un test telnet o curl sulla porta 4043 da un IP esterno prima della messa in servizio. Secondo: i tempi di risoluzione degli oggetti FQDN. SonicOS risolve gli oggetti indirizzo FQDN all'avvio e successivamente a un intervallo configurabile. Se aggiungi un nuovo dominio walled garden e la risoluzione non è ancora stata aggiornata, i dispositivi non autenticati non possono raggiungerlo. Forza un aggiornamento manuale dopo aver aggiunto nuovi oggetti FQDN o imposta l'intervallo di aggiornamento DNS su 60 secondi in implementazioni ad alto traffico. Terzo: configurazione delle sottointerfacce VLAN. L'assegnazione dinamica delle VLAN tramite RADIUS funziona solo se le VLAN di destinazione esistono come sottointerfacce sul SonicWall prima dell'autenticazione del primo dispositivo. Se una risposta RADIUS restituisce Tunnel-Private-Group-ID 110 ma la VLAN 110 non esiste come sottointerfaccia sul SonicWall, il dispositivo viene scartato o reindirizzato alla VLAN predefinita. Configura e testa tutte le sottointerfacce VLAN prima di abilitare l'assegnazione VLAN tramite RADIUS. Per gli MSP che gestiscono più sedi, la dashboard cloud di Purple consente di gestire centralmente le policy RADIUS, le tabelle PPSK e le configurazioni della splash page. È possibile applicare le modifiche di configurazione a tutte le sedi da un'unica interfaccia. Questo è il vantaggio operativo di un approccio basato su overlay cloud: l'hardware SonicWall rimane in sede e Purple gestisce il livello di identità e policy sovrastante. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Alcune domande che sorgono frequentemente. "Posso utilizzare gli AP SonicWave in modalità standalone con Purple?" Sì, ma si perdono alcune funzionalità. In modalità standalone, gli AP SonicWave gestiscono la propria configurazione RADIUS localmente. È comunque possibile indirizzarli al server RADIUS di Purple per l'autenticazione 802.1X. Tuttavia, per il PPSK con assegnazione dinamica delle VLAN, è necessario il SonicWall TZ come proxy RADIUS o il Wireless Network Manager che gestisce la policy degli AP a livello centrale. "Purple supporta il WPA3 su SonicWave?" Il supporto WPA3 su SonicWave dipende dalla versione del firmware e dal modello di AP. Gli AP della serie SonicWave 600 supportano il WPA3. Per i casi d'uso con Captive Portal, il WPA3 con Opportunistic Wireless Encryption è compatibile con il flusso di reindirizzamento LHM di Purple, ma si consiglia di effettuare dei test sulla versione specifica del firmware prima di procedere con la distribuzione su larga scala. "In che modo Purple gestisce il GDPR per i dati degli ospiti raccolti tramite la splash page?" Purple è certificato ISO 27001, conforme al GDPR e certificato Cyber Essentials. Il consenso viene acquisito sulla splash page tramite caselle di controllo di opt-in configurabili. Purple memorizza i dati di prima parte in conformità con la policy di conservazione dei dati. Gli ospiti possono accedere ai propri dati ed eliminarli tramite il portale self-service di Purple. "Quali attributi RADIUS restituisce Purple per l'assegnazione dinamica delle VLAN?" Tre attributi: Tunnel-Type con valore VLAN, Tunnel-Medium-Type con valore 802 e Tunnel-Private-Group-ID con l'ID della VLAN come stringa. Questi sono gli attributi standard RFC 2868 supportati da SonicOS e SonicWave. --- SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Per riassumere. I firewall SonicWall TZ e gli AP SonicWave si integrano con Purple tramite due meccanismi principali: LHM per il reindirizzamento al Captive Portal degli ospiti, e RADIUS per l'autenticazione del personale tramite 802.1X e l'isolamento multi-tenant basato su PPSK. I passaggi chiave per la configurazione sono: abilitare l'autenticazione degli ospiti esterna (External Guest Authentication) sulla zona ospiti, configurare l'URL del portale Purple sulla porta 4043, creare gli oggetti FQDN del walled garden, configurare il RADIUS sulla policy degli AP SonicWave in Wireless Network Manager e creare le sottointerfacce VLAN sul SonicWall prima di abilitare l'assegnazione dinamica delle VLAN. Per le distribuzioni multi-tenant, la tecnologia PPSK con steering VLAN basato su RADIUS rappresenta l'architettura ideale. Un solo SSID, un solo set di AP e un isolamento completo dei tenant tramite l'assegnazione di VLAN basata sull'identità. Se stai pianificando una distribuzione o ne stai esaminando una esistente, il team tecnico di Purple può fornire file di configurazione RADIUS specifici per la tua sede ed elenchi di domini per walled garden. La piattaforma Purple supporta 80.000 sedi attive e ha gestito 440 milioni di accessi nel 2024: i modelli di integrazione trattati oggi sono ampiamente testati su scala globale. Grazie per l'attenzione. La guida scritta completa, contenente le tabelle di configurazione passo-passo e i diagrammi di architettura Mermaid, è disponibile sul sito web di Purple. --- FINE DELLO SCRIPT

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Definizioni chiave

Lightweight Hotspot Messaging (LHM)

Un protocollo utilizzato da SonicWall per comunicare con Captive Portal esterni. Gestisce il reindirizzamento e l'handshake di autorizzazione.

Richiesto per integrare SonicOS con piattaforme WiFi per ospiti gestite in cloud come Purple.

Walled Garden

Un insieme specifico di domini o indirizzi IP a cui è consentito l'accesso ai dispositivi non autenticati.

Fondamentale per consentire ai dispositivi degli ospiti di caricare la splash page, accedere alle CDN e completare i flussi OAuth di social login prima di ottenere l'accesso completo a Internet.

Private Pre-Shared Key (PPSK)

Un metodo di sicurezza in cui più passphrase univoche sono valide su un singolo SSID, con ogni passphrase associata a un utente o a una policy specifica.

Utilizzato in ambienti multi-tenant per isolare il traffico senza trasmettere più SSID.

Captive Network Assistant (CNA)

Il meccanismo integrato nel sistema operativo (su iOS, Android, Windows) che rileva un Captive Portal e apre automaticamente una finestra browser limitata per l'autenticazione.

Se i domini di probe del sistema operativo (ad es. captive.apple.com) non sono nel walled garden, il CNA non si avvierà e gli ospiti penseranno che il WiFi non funzioni.

Dynamic VLAN Steering

Il processo di assegnazione di un dispositivo a una VLAN specifica in base alla sua identità o alle sue credenziali, anziché all'SSID a cui si è connesso.

Gestito da Purple RADIUS che restituisce l'attributo Tunnel-Private-Group-ID a SonicWall.

FQDN Address Object

Un oggetto firewall basato su un Fully Qualified Domain Name anziché su un indirizzo IP statico.

SonicOS risolve questi oggetti in modo dinamico, rendendoli essenziali per configurazioni walled garden affidabili.

Identity-Based Network

Un'architettura di rete in cui le policy di accesso e la segmentazione vengono applicate in base all'utente o al dispositivo autenticato, anziché alle porte fisiche o agli SSID.

Ottenuto combinando Purple RADIUS con SonicWall PPSK e 802.1X.

Tunnel-Private-Group-ID

L'attributo RADIUS standard RFC 2868 utilizzato per specificare l'ID della VLAN per un dispositivo in fase di connessione.

Deve essere restituito da Purple come valore stringa (ad es. '100') per istruire SonicWall a indirizzare il dispositivo.

Esempi pratici

Un hotel da 150 camere (Premier Inn) deve fornire una connessione WiFi per gli ospiti gratuita tramite una splash page e una rete Staff WiFi sicura per i dispositivi del personale di servizio. Dispone di un SonicWall TZ570 e di 40 AP SonicWave. In che modo deve segmentare questo traffico?

Configurare due SSID. SSID 1: "Guest-WiFi" mappato sulla VLAN 100. Configurare la zona WLAN di SonicWall per l'autenticazione esterna degli ospiti (External Guest Authentication) puntando a portal.purple.ai sulla porta TCP 4043. Configurare gli FQDN del walled garden per Purple e i social login. SSID 2: "Staff-WiFi" mappato sulla VLAN 200 utilizzando 802.1X. Puntare la policy degli AP SonicWave al server RADIUS di Purple. Configurare Purple per autenticare i dispositivi del personale di servizio tramite il bypass dell'indirizzo MAC (MAB) o PEAP-MSCHAPv2, restituendo il Tunnel-Private-Group-ID "200".

Commento dell'esaminatore: Questo approccio isola rigorosamente il traffico non attendibile degli ospiti dai sistemi operativi. L'utilizzo di Purple sia per il Captive Portal che per l'autenticazione RADIUS centralizza la gestione delle identità. Il protocollo MAB è ideale per i dispositivi senza interfaccia utente (come i carrelli delle pulizie), mentre l'802.1X protegge i telefoni del personale.

Uno spazio di coworking ospita 15 aziende diverse che condividono un unico ufficio open-space. Si desidera fornire reti sicure e isolate per ciascuna azienda senza trasmettere 15 SSID diversi dagli AP SonicWave.

Configurare un unico SSID denominato "Workspace-Secure" utilizzando WPA2-Enterprise con PPSK. Creare 15 sotto-interfacce VLAN sul firewall SonicWall TZ (ad es. VLAN 101-115). Nella dashboard di Purple, generare una PPSK univoca per ciascuna azienda e mapparla sul rispettivo ID VLAN. Quando un utente si connette utilizzando la PPSK della propria azienda, Purple RADIUS restituisce il Tunnel-Private-Group-ID corrispondente e il SonicWall indirizza il dispositivo nella VLAN isolata.

Commento dell'esaminatore: Questo design di rete basato sull'identità (Identity-Based Network) offre una scalabilità ottimale. La trasmissione di 15 SSID causerebbe un sovraccarico significativo dei frame di gestione e ridurrebbe le prestazioni del WiFi. La tecnologia PPSK garantisce la sicurezza di credenziali univoche e l'isolamento di VLAN dedicate senza l'impatto negativo sulle frequenze radio causato da SSID multipli.

Domande di esercitazione

Q1. Hai configurato la guest zone di SonicWall per l'External Guest Authentication e impostato il web server su portal.purple.ai. Gli ospiti vengono reindirizzati alla splash page e riescono ad accedere correttamente, ma non ottengono mai l'accesso a Internet. Qual è la causa più probabile?

Suggerimento: Pensa a come Purple comunica a SonicWall che l'autenticazione è andata a buon fine.

Visualizza risposta modello

Il pacchetto di autorizzazione LHM viene bloccato. La porta TCP 4043 deve essere aperta sull'interfaccia WAN di SonicWall per ricevere il segnale di successo da Purple. Verifica la presenza di blocchi delle porte sui firewall a monte o sulle configurazioni dell'ISP.

Q2. Una sede desidera offrire l'accesso tramite Facebook sulla propria splash page. Aggiungi www.facebook.com al gruppo di indirizzi FQDN del walled garden. Gli ospiti segnalano che la pagina di login di Facebook si carica, ma lo stile è compromesso e il pulsante di accesso non funziona.

Suggerimento: Le moderne applicazioni web caricano risorse da più domini.

Visualizza risposta modello

Il walled garden è incompleto. È necessario inserire nella whitelist anche i domini che gestiscono i file CSS, JavaScript e le chiamate API di Facebook, nello specifico graph.facebook.com, connect.facebook.net e il dominio CDN (es. *.fbcdn.net).

Q3. Stai implementando PPSK per un ufficio multi-tenant. Configuri l'SSID per WPA2-Enterprise con PPSK e indirizzi il server RADIUS verso Purple. Crei una chiave PPSK in Purple mappata sulla VLAN 50. Quando un utente si connette con tale PPSK, riceve invece un indirizzo IP dalla VLAN 10. Perché?

Suggerimento: SonicWall deve sapere dove inviare il traffico prima del completamento della richiesta RADIUS.

Visualizza risposta modello

La VLAN 50 non è stata creata come sottointerfaccia sul firewall SonicWall TZ. Il routing dinamico della VLAN richiede che la VLAN di destinazione esista preventivamente sul firewall; in caso contrario, il dispositivo torna alla VLAN predefinita non taggata (in questo caso, la VLAN 10).

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →