Integrazione di Cambium Networks cnPilot e cnMaestro con Purple WiFi

Integrazione di Cambium Networks cnPilot e cnMaestro con Purple WiFi. Un briefing per consulenti. Benvenuti. Se gestite un ambiente Cambium Networks e vi è stato chiesto di offrire un'esperienza WiFi per gli ospiti che acquisisca dati, guidi il marketing e rimanga conforme, questo briefing è esattamente ciò di cui avete bisogno. Vi guiderò attraverso l'integrazione tra gli access point Cambium cnPilot, il cloud controller cnMaestro e Purple WiFi. Copriremo l'architettura, il flusso di autenticazione RADIUS, la configurazione del walled garden, il WiFi sicuro per il personale tramite 802.1X e la segmentazione multi-tenant utilizzando la funzionalità ePSK di Cambium con assegnazione dinamica delle VLAN. Che gestiate un hotel, un portafoglio di negozi, un centro congressi o un campus del settore pubblico, i principi sono gli stessi. Entriamo nel vivo. Innanzitutto, un rapido orientamento sulle due piattaforme. Cambium Networks produce la gamma cnPilot di access point WiFi aziendali: e410, e425H, e430H ed e505 per installazioni interne ed esterne. Questi AP sono gestiti centralmente tramite cnMaestro, la piattaforma di gestione cloud di Cambium. cnMaestro offre visibilità centralizzata, gestione della configurazione e aggiornamenti firmware per l'intero parco AP, sia che si tratti di pochi dispositivi in un'unica sede o di migliaia di AP in un territorio nazionale. Purple WiFi è una piattaforma di intelligence WiFi per gli ospiti di livello enterprise. Gestisce il Captive Portal, ovvero la splash page personalizzata che gli ospiti vedono quando si connettono, e funge anche da server di autenticazione RADIUS, motore di acquisizione dati e piattaforma di marketing automation. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi solo nel 2024. La combinazione di Cambium cnMaestro e Purple offre uno stack WiFi per gli ospiti di livello di produzione, tecnicamente solido e commercialmente prezioso. Ora parliamo dell'architettura di integrazione. Il meccanismo principale è un reindirizzamento al Captive Portal combinato con l'autenticazione RADIUS. Ecco come funziona il flusso in pratica. Un dispositivo ospite si associa al vostro SSID ospiti. Tale SSID è configurato in cnMaestro como rete aperta, senza chiave pre-condivisa per gli ospiti. L'AP Cambium intercetta la prima richiesta HTTP dal dispositivo e la reindirizza all'URL del Captive Portal di Purple. Questo reindirizzamento è configurato in cnMaestro nelle impostazioni di accesso ospiti della WLAN, dove si imposta l'URL della pagina esterna sull'endpoint del portale della sede di Purple. L'ospite interagisce quindi con il portale Purple. Può autenticarsi tramite social login, e-mail, verifica SMS o un modulo personalizzato. Una volta completato il flusso di autenticazione, il backend di Purple invia un messaggio RADIUS di Access-Accept all'AP Cambium sulla porta UDP 1812. L'AP sposta quindi il dispositivo dallo stato di pre-autenticazione al pieno accesso alla rete. Vi guiderò attraverso i passaggi esatti di configurazione in cnMaestro. Navigate su Configuration, poi su WiFi Profiles, quindi su WLANs. Create una nuova WLAN per la vostra rete ospiti. Impostate il nome dell'SSID, ad esempio "Hotel Guest WiFi", e impostate la sicurezza su Open. In Guest Access, abilitate l'opzione External Hotspot. Questa è l'impostazione chiave che indica a cnMaestro di reindirizzare i client non autenticati a un portale esterno. Impostate l'URL della pagina esterna sull'URL del portale della sede di Purple. Abilitate l'autenticazione RADIUS e inserite l'indirizzo IP del server RADIUS di Purple, il segreto condiviso e impostate la porta di autenticazione su UDP 1812. Abilitate il RADIUS accounting sulla porta UDP 1813: questo è fondamentale per il corretto funzionamento dell'analisi di Purple. Senza i record di accounting, Purple non può generare dati di sessione, metriche sul tempo di permanenza o analisi sulla frequenza delle visite. Ora, il walled garden. Questo è l'elenco di domini e indirizzi IP che i dispositivi degli ospiti possono raggiungere prima di autenticarsi. È necessario inserire in whitelist il dominio del portale di Purple e tutti gli endpoint CDN utilizzati per fornire le risorse del portale. È inoltre necessario inserire in whitelist i domini dei provider di autenticazione: se utilizzate il social login tramite Google o Facebook, i loro domini OAuth devono essere nel walled garden. Un walled garden configurato in modo errato è la causa più comune di errore del Captive Portal. Il dispositivo dell'ospite deve risolvere il DNS e raggiungere il portale Purple tramite HTTPS prima di potersi autenticare. In cnMaestro, il walled garden è configurato nelle impostazioni dell'External Hotspot. Aggiungete voci per il dominio del portale di Purple, i domini dei provider di social login e i domini dei gateway di pagamento se offrite piani WiFi a pagamento. Ora parliamo del WiFi sicuro per il personale tramite IEEE 802.1X. Per le reti del personale, non si desidera un Captive Portal. Si desidera un'autenticazione basata su certificati o credenziali che avvenga in modo silenzioso a livello di dispositivo. In cnMaestro, create una WLAN separata per il personale. Impostate la sicurezza su WPA2-Enterprise. Configurate i dettagli del server RADIUS, ovvero l'IP del server RADIUS di Purple sulla porta UDP 1812. I dispositivi del personale si autenticano utilizzando EAP-PEAP con credenziali di nome utente e password, o EAP-TLS con certificati di dispositivo per il massimo livello di sicurezza. Purple si integra con Microsoft Entra ID, Okta e Google Workspace come provider di identità. Ciò significa che il personale può autenticarsi al WiFi utilizzando le credenziali aziendali esistenti, senza dover gestire una password WiFi separata. Purple convalida le credenziali rispetto al provider di identità e restituisce un Access-Accept all'AP Cambium. L'assegnazione dinamica delle VLAN colloca quindi il dispositivo del personale autenticato sulla VLAN corretta, isolandolo dal traffico degli ospiti. Ora, la segmentazione multi-tenant tramite Cambium ePSK. ePSK (Enhanced Pre-Shared Key) è l'implementazione di Cambium di ciò che il settore chiama PPSK o iPSK. Il concetto è semplice: invece di una password condivisa per un intero SSID, ogni utente o tenant riceve la propria passphrase univoca. Tutti si connettono allo stesso SSID, ma ogni chiave univoca si mappa su una VLAN specifica, offrendo l'isolamento della rete senza la complessità di gestire più SSID. cnMaestro supporta fino a 2.000 voci ePSK per WLAN. A ciascun ePSK può essere assegnato un ID VLAN specifico, un limite di velocità e una data di scadenza. Questo lo rende ideale per ambienti multi-tenant, come un centro congressi in cui ogni espositore riceve il proprio segmento di rete isolato, o un edificio residenziale in affitto in cui ogni residente ha la propria rete d'area privata. Per configurare ePSK in cnMaestro, navigate su Configuration, WiFi Profiles, WLANs. Create una nuova WLAN. Impostate la sicurezza su WPA2 Pre-Shared Key. Abilitate l'opzione ePSK. Potete quindi aggiungere manualmente le singole voci ePSK o utilizzare l'API di cnMaestro per fornirle a livello di programmazione, che è l'approccio consigliato per le installazioni su larga scala. Per ciascuna voce ePSK, impostate la passphrase, l'ID VLAN assegnato e, facoltativamente, il limite di velocità e la scadenza. Quando un dispositivo si connette utilizzando quella passphrase, l'AP Cambium lo inserisce automaticamente nella VLAN assegnata. Non è richiesto alcun RADIUS per il flusso ePSK stesso: l'assegnazione della VLAN è gestita localmente dall'AP in base alla passphrase utilizzata. Purple si integra con questo modello gestendo il ciclo di vita di ePSK tramite l'API di cnMaestro. Purple può fornire nuove voci ePSK quando viene integrato un nuovo tenant, aggiornare l'assegnazione della VLAN, impostare le date di scadenza e revocare l'accesso quando un tenant se ne va. Ciò elimina il lavoro manuale di gestione di centinaia o migliaia di chiavi individuali. Bene, parliamo di cosa può andare storto e di come evitarlo. L'errore più comune riguarda il walled garden. Se le voci del walled garden sono incomplete, il reindirizzamento al Captive Portal non viene mai completato. Gli ospiti vedono un timeout di connessione anziché una pagina di accesso. Testate sempre con un dispositivo nuovo, non con uno che si è già connesso in precedenza, e verificate che il portale Purple si carichi prima dell'autenticazione. Verificate che la risoluzione DNS funzioni per il dominio del portale Purple dallo stato di pre-autenticazione. Secondo: discrepanze nel segreto condiviso RADIUS. Nelle grandi installazioni con più siti, è facile che un segreto condiviso sia configurato in modo diverso in cnMaestro rispetto a quello registrato in Purple. Verificate sempre il segreto condiviso su entrambi i lati prima di andare online. Utilizzate un segreto forte, generato casualmente, di almeno 32 caratteri, e conservatelo in un gestore di segreti, non in un foglio di calcolo. Terzo: RADIUS accounting. Non saltatelo. I record di accounting sono ciò che Purple utilizza per creare l'analisi delle sessioni: tempo di permanenza, frequenza delle visite, tipo di dispositivo. Configurate il RADIUS accounting sulla porta UDP 1813 in cnMaestro. Senza di esso, perderete il valore di analisi fornito da Purple. È un passaggio di configurazione di cinque minuti. Quarto: trunking VLAN. Affinché l'assegnazione dinamica delle VLAN funzioni, le VLAN devono essere configurate in trunk sulle porte dello switch che collegano gli AP Cambium. Se la VLAN 100 per gli ospiti non è consentita sul trunk, gli ospiti autenticati non riceveranno un indirizzo IP e sembreranno non avere accesso a Internet anche dopo un'autenticazione riuscita. Verificate la configurazione del trunk dello switch prima di eseguire i test. Quinto: conflitti nell'intervallo VLAN ePSK. Assicuratevi che l'intervallo VLAN ePSK non sia in conflitto con le VLAN esistenti nella rete, in particolare con le VLAN di gestione o infrastrutturali. Documentate l'allocazione delle VLAN prima di iniziare. Sesto: versione del firmware. Assicuratevi che gli AP cnPilot eseguano la versione del firmware 6.0 o successiva per il supporto completo dell'hotspot esterno e della funzionalità ePSK. Le versioni precedenti del firmware presentano problemi noti con il comportamento di reindirizzamento del Captive Portal. Ora passiamo ad alcune domande rapide. Posso utilizzare Purple con Cambium senza RADIUS, solo con un semplice reindirizzamento? Sì, ma si perdono l'assegnazione dinamica delle VLAN e i dati di accounting della sessione. Per qualsiasi cosa che vada oltre una splash page di base, il RADIUS è fortemente raccomandato. Purple supporta WPA3 sugli AP Cambium? Sì. L'autenticazione basata su portale di Purple è compatibile con WPA3-SAE sull'SSID. Il flusso RADIUS è indipendente dal protocollo di sicurezza wireless. Posso gestire Purple su più siti Cambium da un unico account Purple? Assolutamente sì. L'architettura multi-sede di Purple è progettata esattamente per questo. Ogni sito si mappa su una sede in Purple e le policy di rete di cnMaestro si scalano in modo pulito su un intero territorio nazionale. Quante voci ePSK può supportare cnMaestro? Fino a 2.000 per WLAN. Per installazioni che ne richiedono di più, utilizzate un approccio basato su RADIUS per la gestione delle chiavi. Per riassumere: l'integrazione tra Cambium cnMaestro e Purple WiFi è un'architettura collaudata che offre WiFi per gli ospiti con acquisizione dati, autenticazione RADIUS, segmentazione dinamica delle VLAN e analisi complete, il tutto gestito centralmente tramite la console cloud di cnMaestro. I passaggi chiave per renderlo attivo: configurate la WLAN ospiti in cnMaestro con l'External Hotspot abilitato e l'URL del portale Purple impostato, aggiungete i dettagli del server RADIUS di Purple per l'autenticazione e l'accounting, configurate le voci del walled garden, verificate il trunking VLAN sui vostri switch e testate con un dispositivo nuovo prima della messa in servizio. Per le installazioni multi-tenant, configurate ePSK su una WLAN dedicata, assegnate gli ID VLAN per tenant e utilizzate l'API di cnMaestro per la gestione del ciclo di vita su larga scala. Il caso di ROI è semplice. La piattaforma di analisi di Purple trasforma il vostro WiFi per gli ospiti da un centro di costo a un asset di dati di prima parte. Harrods ha ottenuto un ROI di marketing pari a 57 volte grazie all'implementazione del WiFi per gli ospiti di Purple. AGS Airports ha generato un ROI dell'842%. In combinazione con l'infrastruttura di livello enterprise di Cambium, si ottiene una soluzione che si scala da una singola sede a un intero territorio nazionale senza modifiche architetturali. Per i passaggi successivi: richiedete i dettagli del server RADIUS di Purple al vostro account manager Purple, aprite la configurazione WLAN di cnMaestro per il vostro SSID ospiti ed eseguite la checklist di configurazione. La maggior parte delle installazioni su singolo sito diventa attiva entro un giorno. Grazie per l'ascolto. Se desiderate approfondire la progettazione del Captive Portal, la strategia di segmentazione delle VLAN o la gestione del ciclo di vita di ePSK, la documentazione e il team di supporto di Purple sono il contatto ideale.