Vai al contenuto principale
Italiano

Integrazione di NETGEAR Insight e Access Point Enterprise con Purple WiFi

Questa guida fornisce ai responsabili IT una roadmap tecnica definitiva per l'integrazione di NETGEAR Insight e degli access point enterprise WAX con Purple WiFi. Copre le configurazioni essenziali, tra cui i Captive Portal per gli ospiti, le reti per il personale 802.1X e la segmentazione multi-tenant tramite PPSK e assegnazione dinamica della VLAN.

📖 6 minuti di lettura📝 1,295 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Briefing Tecnico di Purple. Oggi affronteremo un argomento che emerge costantemente nei nostri colloqui con i responsabili IT e gli architetti di rete nei settori dell'ospitalità, del retail e degli spazi multi-tenant: come integrare NETGEAR Insight e gli access point della serie WAX con Purple WiFi. Se gestisci un hotel, un parco commerciale, un centro congressi o un complesso a destinazione d'uso mista, questo briefing è direttamente rilevante per la tua prossima decisione di implementazione. Inquadriamo la situazione. La serie WAX di NETGEAR - comprendente i modelli WAX610, WAX620 e WAX630 - offre access point WiFi 6 gestiti tramite la piattaforma cloud Insight. Supportano fino a otto SSID separati per radio, la crittografia WPA3 e fino a sei gigabit di throughput sul modello WAX630. Sono alimentati tramite PoE, montabili a soffitto e gestiti da un'unica interfaccia centralizzata attraverso l'Insight Cloud Portal. Per un installatore IT o un amministratore di rete di PMI, si tratta di una piattaforma estremamente capace a un prezzo nettamente inferiore rispetto alla fascia di Cisco Meraki o HPE Aruba. Purple è un overlay cloud indipendente dall'hardware. Ci posizioniamo al di sopra della tua infrastruttura esistente per aggiungere il livello di guest experience, il livello di acquisizione dati e il livello di analytics. Nel 2024 abbiamo elaborato 440 milioni di accessi in 80.000 sedi attive. L'integrazione con NETGEAR Insight è pulita, ben documentata e copre quattro casi d'uso distinti che analizzeremo oggi. Entriamo ora nel dettaglio tecnico. I quattro casi d'uso sono: Guest WiFi con Captive Portal Purple, WiFi aziendale sicuro per il personale tramite 802.1X, segmentazione multi-tenant tramite la funzionalità PPSK di NETGEAR e assegnazione dinamica della VLAN via RADIUS per reti basate sull'identità (Identity-Based Networks). Caso d'uso uno: Guest WiFi con Captive Portal Purple. Questo è il punto di partenza più comune. Si crea un SSID Guest dedicato in NETGEAR Insight e lo si configura come rete aperta. La configurazione chiave si trova nella sezione Captive Portal delle impostazioni dell'SSID. Seleziona "External Captive Portal" e incolla l'URL della Splash Page fornito da Purple. Successivamente, configura il tipo di autenticazione. Per la maggior parte delle implementazioni di Purple, selezionerai l'autenticazione RADIUS. Purple ti fornisce l'IP di un server RADIUS primario, la porta 1812 per l'autenticazione, la porta 1813 per l'accounting e un segreto condiviso (shared secret). Incolla questi dati nella configurazione dell'External Captive Portal di NETGEAR Insight. Imposta anche un NAS Identifier: si tratta di una stringa che identifica questo specifico access point o posizione all'interno del server RADIUS. Utilizza un nome significativo, come il nome della tua sede e il codice della posizione. Il walled garden è l'elemento che mette più in difficoltà la maggior parte degli installatori. Prima che un ospite si autentichi, il suo dispositivo deve essere in grado di raggiungere la splash page di Purple, i server di autenticazione e tutti i provider di social login abilitati. NETGEAR Insight dispone di una sezione Walled Garden dedicata nella configurazione del Captive Portal esterno in cui aggiungere questi URL. La documentazione di supporto di Purple fornisce l'elenco esatto dei domini da inserire nella whitelist. Se si commette un errore in questa fase, gli ospiti visualizzeranno una pagina vuota invece del portale personalizzato con il tuo brand. Una volta configurato, il flusso funziona in questo modo: un ospite si connette all'SSID Hotel Guest. L'access point intercetta la prima richiesta HTTP e lo reindirizza alla splash page di Purple. L'ospite visualizza il portale personalizzato, accetta i termini e, facoltativamente, fornisce il proprio indirizzo email o accede tramite social media. Il server RADIUS di Purple restituisce un messaggio di Access-Accept all'access point e all'ospite viene concesso l'accesso a internet. Purple acquisisce i dati di consenso, registra la sessione e tali dati confluiscono nella dashboard di analisi di Purple. Secondo caso d'uso: WiFi aziendale sicuro per il personale tramite 802.1X. In questo scenario si abbandona completamente l'uso di password condivise. Per le reti del personale, una chiave precondivisa rappresenta un rischio per la sicurezza: quando un dipendente si dimette, è necessario cambiare la password per tutti. Lo standard 802.1X, definito nella norma IEEE 802.1X, assegna a ogni utente una credenziale individuale. Quando un dipendente lascia l'azienda, è sufficiente disattivare il suo account nella directory per revocare istantaneamente il suo accesso. In NETGEAR Insight, si configura un SSID aziendale separato per lo staff con sicurezza WPA2 Enterprise. Questo indica all'access point di utilizzare l'autenticazione 802.1X anziché una chiave precondivisa. Successivamente, si configurano le impostazioni del server RADIUS a livello di sede di rete. Accedere alle impostazioni della sede di rete, selezionare RADIUS, abilitare l'autenticazione dell'accesso 802.1X e inserire l'IP del server RADIUS, la porta e il segreto condiviso. L'intervallo di riautenticazione predefinito è di 3.600 secondi (un'ora), un punto di partenza ragionevole per la maggior parte delle strutture. Il metodo EAP più comune nelle implementazioni PMI è PEAP-MSCHAPv2, che utilizza un certificato lato server per creare un tunnel crittografato all'interno del quale l'utente si autentica con il proprio nome utente e password di Active Directory. Il metodo EAP-TLS è più sicuro, poiché utilizza certificati su entrambi i lati, ma richiede un'infrastruttura PKI e un MDM per distribuire i certificati sui dispositivi. Un punto fondamentale: applicare la convalida del certificato su ogni dispositivo client. Configurare i dispositivi Windows tramite Group Policy Objects e i dispositivi mobili tramite profili MDM per convalidare il certificato del server RADIUS. Se si salta questo passaggio, i dispositivi risultano vulnerabili ad attacchi di tipo rogue access point, in cui un utente malintenzionato presenta un certificato falso e acquisisce le credenziali.Caso d'uso tre: NETGEAR PPSK per ambienti multi-tenant. Private Pre-Shared Key risolve un problema specifico in parchi commerciali, complessi a uso misto e spazi di co-working. Vi sono più tenant che condividono la stessa infrastruttura WiFi fisica. Non si desidera configurare SSID separati per ciascun tenant, poiché ciò creerebbe congestione delle radiofrequenze e complessità di gestione. Tuttavia, non è nemmeno possibile fornire a tutti la stessa password, perché in tal caso il Tenant A potrebbe vedere il traffico del Tenant B. PPSK risolve il problema in modo elegante. Si crea un unico SSID e si creano più chiavi pre-condivise in NETGEAR Insight alla voce Wireless, Impostazioni, Avanzate, Impostazioni Multi PSK. Ogni chiave è associata a una VLAN specifica. Il Tenant A riceve una password univoca di 16 caratteri che mappa sulla VLAN 30. Il Tenant B riceve una password diversa che mappa sulla VLAN 40. Il team di gestione della struttura riceve una terza password che mappa sulla VLAN 20, che ha accesso ai sistemi di gestione. Quando i dispositivi del Tenant A si connettono utilizzando la loro password, l'access point li inserisce automaticamente nella VLAN 30. Non possono vedere alcun traffico sulla VLAN 40 o sulla VLAN 20. Dal punto di vista del tenant, hanno semplicemente una password WiFi. Dal vostro punto di vista di amministratori di rete, ottenete un isolamento completo del traffico tra i tenant senza alcun hardware aggiuntivo. Vi sono due limitazioni importanti da conoscere. In primo luogo, il PPSK in NETGEAR Insight richiede la crittografia WPA2 Personal o WPA2 Personal Mixed. Non funziona sulla banda a 6 GHz. In secondo luogo, il PPSK non può essere combinato con un Captive Portal sullo stesso SSID. Se si ha la necessità di utilizzare entrambi, occorrono due SSID separati, il che non rappresenta un problema, poiché gli access point della serie WAX ne supportano fino a otto. Caso d'uso quattro: assegnazione dinamica della VLAN tramite RADIUS. Questa è la configurazione più sofisticata ed è quella che sta alla base della funzionalità Identity-Based Networks di Purple. Invece di assegnare staticamente una VLAN a una password o a un SSID, si lascia che sia il server RADIUS a decidere quale VLAN assegnare in base a chi si sta autenticando. Il meccanismo utilizza tre attributi RADIUS standard: Tunnel-Type, che deve essere impostato sul valore 13 per la VLAN; Tunnel-Medium-Type, che deve essere impostato sul valore 6 per IEEE 802; e Tunnel-Private-Group-ID, che contiene l'ID della VLAN come stringa. Quando un utente si autentica con successo, il server RADIUS restituisce questi tre attributi nel messaggio Access-Accept. L'access point li legge e inserisce il client nella VLAN specificata. All'atto pratico, questo significa che si può avere un unico SSID WPA2 Enterprise dove un direttore d'albergo si autentica e accede alla VLAN 20 con accesso ai sistemi di gestione della struttura, un addetto alla reception si autentica e accede alla VLAN 21 con accesso solo al sistema di check-in, e un fornitore esterno si autentica e accede alla VLAN 50 con accesso solo a Internet. Tutto dallo stesso SSID, tutto applicato automaticamente dal server RADIUS in base all'appartenenza ai gruppi di Active Directory. Ora passiamo ai consigli di implementazione e alle insidie comuni. La prima insidia è il walled garden. Ogni implementazione di un Captive Portal esterno fallisce a causa del walled garden almeno una volta. Il sintomo consiste nei visitatori che si connettono all'SSID ma visualizzano un errore del browser anziché la splash page. La soluzione è metodica: apri la documentazione di supporto di Purple, copia ogni dominio presente nell'elenco del walled garden e incollalo nella sezione Walled Garden di NETGEAR Insight. Esegui un test con un dispositivo che non abbia credenziali memorizzate nella cache. La seconda insidia è la raggiungibilità RADIUS. L'access point NETGEAR deve poter raggiungere il tuo server RADIUS. RADIUS utilizza la porta UDP 1812 per l'autenticazione e la porta UDP 1813 per l'accounting. Apri queste porte dall'IP di gestione dell'access point verso l'IP del server RADIUS. Esegui un test con uno strumento di test RADIUS prima di andare online. La terza insidia è il conflitto tra PPSK e Captive Portal. NETGEAR Insight non consente di abilitare PPSK e Captive Portal sullo stesso SSID. Se hai bisogno di entrambi, crea due SSID. Nominali in modo chiaro: uno per gli utenti PPSK e uno per gli ospiti del Captive Portal. La quarta insidia è la convalida del certificato sui client 802.1X. Ogni dispositivo Windows necessita di un Group Policy Object che specifichi l'Autorità di Certificazione attendibile e il nome del server RADIUS previsto. Ogni dispositivo mobile necessita di un profilo MDM con le stesse impostazioni. Senza questo passaggio, un utente potrebbe inconsapevolmente autenticarsi su un access point non autorizzato e cedere le proprie credenziali di Active Directory. Ora passiamo a una sessione di domande e risposte rapide. Prima domanda: posso utilizzare Purple con NETGEAR Insight senza un server RADIUS? Sì, per le implementazioni di Captive Portal per gli ospiti, puoi utilizzare la modalità di autenticazione web di Purple anziché RADIUS. L'access point reindirizza alla splash page tramite HTTP e Purple gestisce l'autenticazione attraverso una sessione web. RADIUS offre un controllo maggiore e dati di accounting migliori, ma non è obbligatorio per le implementazioni base di portali per ospiti. Seconda domanda: quanti tasti PPSK posso creare in NETGEAR Insight? NETGEAR Insight supporta fino a 64 chiavi PPSK per SSID sugli access point della serie WAX. Per la maggior parte delle strutture multi-tenant, questo è più che sufficiente. Se hai più di 64 tenant, dovrai invece passare a una soluzione VLAN dinamica basata su RADIUS. Terza domanda: NETGEAR Insight supporta WPA3 Enterprise per 802.1X? Sì, gli access point della serie WAX supportano WPA3 Enterprise. Per la maggior parte delle implementazioni PMI, WPA2 Enterprise è sufficiente e offre una compatibilità più ampia con i dispositivi client. Vale la pena considerare WPA3 Enterprise per gli ambienti che gestiscono dati sensibili, come il settore sanitario o i servizi finanziari. Quarta domanda: cosa succede se il server RADIUS di Purple non è raggiungibile? NETGEAR Insight supporta un'opzione di failsafe nella configurazione dell'External Captive Portal. Se abiliti il failsafe, agli ospiti viene concesso l'accesso a Internet per un breve periodo anche se i server del Captive Portal non sono raggiungibili. Purple garantisce un uptime del 99.999% in tutta la nostra infrastruttura, ma l'abilitazione del failsafe rappresenta una buona pratica per qualsiasi implementazione in produzione. Per riassumere i punti chiave del briefing di oggi. Gli access point della serie NETGEAR WAX si integrano con Purple tramite il meccanismo di Captive Portal esterno in NETGEAR Insight. È possibile configurare l'URL della splash page, le credenziali del server RADIUS e i domini di walled garden nel portale Cloud Insight. Per le reti del personale, utilizzare WPA2 Enterprise con 802.1X e imporre la convalida del certificato su ogni dispositivo client. Per le sedi multi-tenant, la funzione PPSK di NETGEAR offre l'isolamento VLAN per tenant da un singolo SSID con un massimo di 64 chiavi univoche. Per le distribuzioni più sofisticate, l'assegnazione dinamica delle VLAN tramite gli attributi RADIUS offre una segmentazione di rete basata sull'identità che si adatta a chi si connette, non solo da dove si connette. Se si pianifica una distribuzione NETGEAR con Purple, il passo successivo consiste nel richiedere le credenziali RADIUS di Purple e l'elenco dei domini di walled garden al team di supporto di Purple, e testare il reindirizzamento del captive portal su un SSID di staging prima di passare alla produzione. La configurazione richiede meno di 30 minuti una volta ottenute tali credenziali. Grazie per aver ascoltato il Technical Briefing di Purple. Per la guida scritta completa, inclusi i dettagli di configurazione passo-passo ed esempi pratici, visitare purple.ai.

header_image.png

Executive Summary

Affidarsi a chiavi precondivise per l'accesso WiFi aziendale rappresenta un grave rischio per la sicurezza. Una singola credenziale compromessa espone l'intera rete e la revoca dell'accesso richiede la modifica della password per ogni dispositivo. Questa guida fornisce ai manager IT e agli architetti di rete una tabella di marcia definitiva per l'integrazione di NETGEAR Insight e degli access point aziendali della serie WAX con Purple.

Nel dettaglio, descriviamo quattro architetture di implementazione principali: Guest WiFi con Captive Portal, Staff WiFi sicuro tramite 802.1X, segmentazione Multi-Tenant tramite NETGEAR Private Pre-Shared Keys (PPSK) e reti basate sull'identità tramite assegnazione VLAN dinamica. Che si tratti di strutture nel settore Hospitality , spazi Retail o ambienti del settore pubblico, queste configurazioni eliminano le password condivise, impongono una rigida segmentazione della rete e acquisiscono dati utili per i WiFi Analytics .

Ascolta il nostro podcast di briefing tecnico qui sotto per una panoramica completa dell'architettura e delle trappole comuni durante l'implementazione.

Approfondimento Tecnico

Gli access point NETGEAR della serie WAX (WAX610, WAX620, WAX630) sono dispositivi WiFi 6 gestiti in cloud progettati per ambienti ad alta densità. Gestiti tramite il portale NETGEAR Insight, supportano fino a otto SSID separati per radio, crittografia WPA3 e throughput multi-gigabit. Purple funge da overlay cloud indipendente dall'hardware, integrandoti con NETGEAR Insight per fornire controllo degli accessi e acquisizione dati di livello enterprise.

1. Guest WiFi con Captive Portal

Per gli ambienti aperti al pubblico, è necessario implementare un Captive Portal esterno. Questa configurazione intercetta le richieste HTTP degli ospiti e le reindirizza a una splash page ospitata da Purple.

Architettura:

  1. Access Point: L'access point NETGEAR WAX trasmette un SSID Guest aperto o WPA2 Personal.
  2. Walled Garden: NETGEAR Insight consente il traffico di pre-autenticazione verso i server di Purple e i provider di login social.
  3. Autenticazione: Purple gestisce la sessione utente tramite autenticazione web HTTP o RADIUS.

Quando un ospite si connette, gli viene presentato un portale personalizzato. Dopo aver accettato i termini e fornito i dettagli richiesti, il server RADIUS di Purple restituisce un messaggio di Access-Accept, consentendo l'accesso a Internet. Questo approccio garantisce la conformità alle normative sulla privacy dei dati come il GDPR, acquisendo al contempo preziosi dati di prima parte.

2. Staff WiFi sicuro (802.1X)

Le chiavi pre-condivise non sono accettabili per le reti del personale. È necessario implementare l'autenticazione IEEE 802.1X. In questo modello, ogni utente dispone di credenziali individuali. Quando un dipendente se ne va, si disattiva il suo account di directory e il suo accesso viene revocato istantaneamente.

In NETGEAR Insight, si configura un SSID Staff con sicurezza WPA2 Enterprise o WPA3 Enterprise. L'access point funge da autenticatore, inoltrando i messaggi Extensible Authentication Protocol (EAP) al server RADIUS. Il server RADIUS convalida le credenziali rispetto alla directory (ad esempio, Microsoft Entra ID o Okta) e restituisce la decisione di autorizzazione.

3. Segmentazione multi-tenant (PPSK)

I complessi a uso misto e i parchi commerciali affrontano una sfida specifica: più tenant che condividono l'infrastruttura WiFi fisica. L'implementazione di SSID separati per ciascun tenant crea congestione delle radiofrequenze. La fornitura di un'unica password condivisa compromette la sicurezza.

NETGEAR Private Pre-Shared Key (PPSK) risolve questo problema. Si trasmette un singolo SSID. In NETGEAR Insight, si generano password univoche per ciascun tenant. Aspetto fondamentale, ogni password si mappa su una VLAN specifica.

ppsk_vlan_infographic.png

Quando un dispositivo si connette utilizzando la password dell'unità commerciale, l'access point lo inserisce nella VLAN commerciale isolata. Quando la gestione della struttura si connette utilizzando la propria password, accede alla VLAN di gestione. Si ottiene così un isolamento completo del traffico senza hardware aggiuntivo. Si noti che la tecnologia PPSK richiede WPA2 Personal e non può essere combinata con un Captive Portal sullo stesso SSID.

4. Assegnazione dinamica della VLAN tramite RADIUS

Per le reti basate sull'identità più sofisticate, è necessario utilizzare l'assegnazione dinamica della VLAN. Invece di assegnare staticamente una VLAN a un SSID o a una password, il server RADIUS stabilisce la VLAN in base al profilo di directory dell'utente.

Il server RADIUS restituisce tre attributi standard nel messaggio Access-Accept:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

Un singolo SSID WPA2 Enterprise può servire l'intera organizzazione. Un direttore d'albergo si autentica e accede alla VLAN 20. Un addetto alla reception accede alla VLAN 21. Un fornitore esterno accede alla VLAN 50. La rete si adatta all'identità dell'utente. Per una panoramica più ampia sulla sicurezza del vostro ambiente, consultate la nostra guida Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Guida all'implementazione

Seguire questi passaggi per distribuire NETGEAR Insight con Purple Guest WiFi .

Passaggio 1: Configurare l'SSID Guest

  1. Accedere al portale Cloud NETGEAR Insight.
  2. Selezionare la posizione di rete e accedere a Wireless > Impostazioni.
  3. Creare un nuovo SSID (ad es., "Venue Guest WiFi").
  4. Selezionare Captive Portal e scegliere External Captive Portal.

Passaggio 2: Configurare il Captive Portal

  1. Nel campo Splash Page URL, inserire l'URL fornito da Purple.
  2. Selezionare il pulsante di opzione Radius.
  3. Inserire l'IP del server di autenticazione primario, la porta (1812) e il segreto condiviso forniti da Purple.
  4. Inserire l'IP del server di accounting primario, la porta (1813) e il segreto condiviso.
  5. Impostare un NAS-Identifier descrittivo (ad es., "London-Retail-01").

Passaggio 3: Configurare il Walled Garden

Questo è il passaggio più critico. Se il walled garden non è corretto, gli ospiti visualizzeranno una schermata vuota.

  1. Scorrere fino alla sezione Walled Garden nelle impostazioni del Captive Portal.
  2. Aggiungere tutti i domini forniti nella documentazione di integrazione di Purple. Questo include i domini CDN di Purple, i server di autenticazione e qualsiasi provider di login social abilitato (ad es., Facebook, Google).
  3. Fare clic su Salva.

Passaggio 4: Verificare la raggiungibilità RADIUS

Assicurarsi che il firewall consenta le porte UDP 1812 e 1813 in uscita dagli indirizzi IP di gestione degli access point verso i server RADIUS di Purple.

Best Practice

  • Imporre la convalida dei certificati: Per le distribuzioni 802.1X, è necessario imporre una convalida rigorosa dei certificati su tutti i dispositivi client tramite Group Policy Objects (GPO) o Mobile Device Management (MDM). Se i client non convalidano il certificato del server RADIUS, sono vulnerabili ad attacchi da parte di access point non autorizzati.
  • Isolare il traffico di gestione: Posizionare sempre gli indirizzi IP di gestione degli access point su una VLAN di gestione dedicata, isolata dal traffico degli ospiti e del personale.
  • Abilitare la modalità Failsafe: Nelle impostazioni del Captive Portal di NETGEAR Insight, abilitare l'opzione FailSafe. Se i server RADIUS diventano irraggiungibili, agli ospiti viene concesso un accesso temporaneo a Internet, evitando un'interruzione totale del WiFi.
  • SSID separati per PPSK: Poiché NETGEAR Insight non supporta PPSK e Captive Portal sullo stesso SSID, è necessario creare SSID dedicati (ad es., "Venue-Guest" e "Venue-Tenant").

Risoluzione dei problemi e mitigazione dei rischi

Sintomo: gli ospiti si connettono all'SSID ma la splash page non si carica.

  • Causa: Configurazione del Walled Garden incompleta.
  • Risoluzione: Verificare che tutti i domini Purple e i domini di login social siano inseriti correttamente nelle impostazioni del Walled Garden di NETGEAR Insight. Eseguire un test con un dispositivo che non ha credenziali memorizzate nella cache.

Sintomo: i dispositivi del personale non riescono a autenticarsi tramite 802.1X.

  • Causa: Timeout RADIUS o segreto condiviso errato.
  • Risoluzione: Verificare che le porte UDP 1812 e 1813 siano aperte in uscita. Confermare che il segreto condiviso corrisponda esattamente tra il portale NETGEAR Insight e il server RADIUS. Controllare i log del server RADIUS per verificare la presenza di messaggi Access-Reject.

Sintomo: i client PPSK vengono inseriti nella VLAN errata.

  • Causa: Mappatura VLAN errata o configurazione VLAN mancante sullo switch.
  • Risoluzione: Assicurarsi che la VLAN sia creata in NETGEAR Insight nelle impostazioni Wired. Verificare che le impostazioni Multi PSK mappino la password corretta sul corretto ID VLAN. Assicurarsi che la porta dello switch che collega l'access point sia configurata come porta trunk consentendo la VLAN di destinazione.

ROI e Impatto Aziendale

L'implementazione di NETGEAR Insight con Purple trasforma la tua infrastruttura wireless da un centro di costo a una risorsa in grado di generare ricavi. Implementando reti basate sull'identità e Captive Portal, otterrai:

  • Riduzione dei costi di gestione IT: Le tecnologie PPSK e 802.1X eliminano la necessità di gestire manualmente le password condivise o di inviare tecnici per le modifiche di accesso di routine.
  • Analisi fruibili: Acquisisci dati demografici, tempi di permanenza e tassi di ritorno per ottimizzare le operazioni della location e il mix di clienti.
  • ROI di marketing: Costruisci un database CRM ad alto intento e conforme al GDPR. Le strutture registrano in genere una significativa riduzione dei costi di acquisizione dei clienti quando sfruttano i dati di prima parte raccolti tramite WiFi.
  • Sicurezza avanzata: L'assegnazione dinamica della VLAN isola i dispositivi IoT, i sistemi POS (point-of-sale) e il traffico degli ospiti, riducendo notevolmente la superficie di attacco e garantendo la conformità PCI DSS.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Essenziale per la sicurezza aziendale; sostituisce le password condivise con credenziali utente individuali.

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Utilizzato da Purple per acquisire dati di prima parte e garantire l'accettazione dei termini di servizio.

PPSK (Private Pre-Shared Key)

Una funzionalità che consente l'uso di più password univoche su un singolo SSID, in cui ogni password assegna l'utente a una VLAN specifica.

Ideale per edifici multi-tenant o per isolare i dispositivi IoT senza creare SSID multipli.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA).

Il server centrale che convalida le credenziali e indica all'AP NETGEAR se concedere l'accesso.

Walled Garden

Un ambiente limitato che controlla l'accesso dell'utente a contenuti e servizi web prima della completa autenticazione.

Deve essere configurato in NETGEAR Insight per consentire ai dispositivi di raggiungere la splash page di Purple e i provider di social login.

Dynamic VLAN Assignment

Il processo mediante il quale un server RADIUS istruisce un access point a inserire un utente autenticato in una VLAN specifica in base alla sua identità.

Consente la creazione di reti basate sull'identità, permettendo a un singolo SSID di servire più reparti in modo sicuro.

NAS-Identifier

Network Access Server Identifier; una stringa utilizzata per identificare l'origine di una richiesta di accesso RADIUS.

Configurato in NETGEAR Insight in modo che Purple sappia da quale sede o access point si sta connettendo l'utente.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un metodo di autenticazione che richiede certificati digitali sia sul client che sul server.

Il metodo 802.1X più sicuro, che elimina completamente le password, sebbene richieda un MDM per distribuire i certificati.

Esempi pratici

Un parco commerciale di 40 unità deve fornire un WiFi sicuro e isolato per i sistemi point-of-sale di ciascun tenant, oltre a una rete WiFi pubblica con brand per gli acquirenti. Hanno distribuito gli access point NETGEAR WAX630. Come deve essere configurata la rete?

Creare due SSID in NETGEAR Insight. SSID 1: "RetailPark-Guest". Configurarlo con un Captive Portal esterno che punta alla splash page di Purple, con autenticazione RADIUS e un walled garden completo. Associare questo SSID alla VLAN 10 (solo Internet). SSID 2: "RetailPark-Tenants". Configurarlo con WPA2 Personal e abilitare il Multi PSK (PPSK). Creare 40 password univoche. Associare la password del Tenant A alla VLAN 101, quella del Tenant B alla VLAN 102, ecc. Assicurarsi che lo switch principale invii in trunk tutte le VLAN agli access point.

Commento dell'esaminatore: Questo approccio bilancia perfettamente sicurezza ed esperienza utente. Separando gli SSID, evitiamo il limite di NETGEAR che non consente di combinare PPSK e Captive Portal. La configurazione PPSK garantisce una visibilità zero tra i diversi tenant per la conformità PCI, mentre il portale Purple acquisisce i dati degli acquirenti.

La sede centrale di un'azienda vuole abbandonare l'uso di una password WPA2 condivisa. Richiedono che il personale si autentichi con le proprie credenziali Microsoft Entra ID e desiderano inserire il team finanziario nella VLAN 50 e il team marketing nella VLAN 60.

Distribuire un singolo SSID "Corporate-Secure" configurato per WPA2 Enterprise. Indirizzare le impostazioni RADIUS di NETGEAR Insight verso un server RADIUS integrato con Entra ID. Configurare il server RADIUS in modo da restituire gli attributi tunnel standard (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 o 60) in base all'appartenenza al gruppo di directory dell'utente. Forzare la convalida del certificato su tutti i laptop aziendali tramite MDM.

Commento dell'esaminatore: Questo dimostra una vera rete basata sull'identità (Identity-Based Networking). L'access point assegna dinamicamente la VLAN in base alla risposta RADIUS. Fondamentalmente, l'applicazione della convalida del certificato previene gli attacchi da AP canaglia, il che è obbligatorio per la sicurezza aziendale.

Domande di esercitazione

Q1. Hai distribuito un Captive Portal Purple su un NETGEAR WAX620. Gli ospiti possono connettersi al WiFi, ma i loro browser mostrano l'errore "Impossibile raggiungere la destinazione" invece della splash page. Qual è l'errore di configurazione più probabile?

Suggerimento: Considera cosa deve accadere prima che l'ospite sia completamente autenticato per raggiungere i server esterni.

Visualizza risposta modello

Il Walled Garden è configurato in modo errato o incompleto. L'access point NETGEAR sta bloccando il traffico iniziale verso i server di Purple. È necessario assicurarsi che tutti i domini CDN di Purple richiesti, gli URL di autenticazione e i domini di social login siano aggiunti all'elenco del Walled Garden nel portale Insight.

Q2. Una sede richiede sia un Captive Portal per gli ospiti sia un WiFi protetto e isolato per 10 diversi tenant commerciali. Desiderano ridurre al minimo le interferenze RF. Come configuri gli access point NETGEAR?

Suggerimento: NETGEAR Insight presenta limitazioni specifiche per quanto riguarda la combinazione di captive portal e PPSK.

Visualizza risposta modello

È necessario creare esattamente due SSID. NETGEAR non supporta PPSK e Captive Portal sullo stesso SSID. Crea "Venue-Guest" con un Captive Portal esterno che punta a Purple. Crea "Venue-Retail" con WPA2 Personal e configura Multi PSK (PPSK) con 10 password univoche, ciascuna mappata su una VLAN diversa.

Q3. Quando si configura l'assegnazione dinamica della VLAN per il personale utilizzando 802.1X, quali tre attributi RADIUS deve restituire il server nel messaggio Access-Accept?

Suggerimento: Pensa agli attributi standard RFC 2868 per la configurazione del tunnel.

Visualizza risposta modello

Il server RADIUS deve restituire: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802) e [81] Tunnel-Private-Group-ID = [La stringa specifica dell'ID VLAN].

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →