Integrazione di Zyxel Nebula Cloud e USG con Purple WiFi

Executive summary

Zyxel Nebula Cloud e i firewall USG Flex sono distribuiti in migliaia di sedi aziendali, dalle catene alberghiere ai complessi commerciali. Integrando questo hardware con Purple, si aggiunge un livello di autenticazione degli ospiti conforme e in grado di acquisire dati, che trasforma una rete wireless standard in una risorsa di dati di prima parte. Questa guida copre quattro scenari di implementazione: reindirizzamento al Captive Portal degli ospiti tramite una splash page esterna, autenticazione e accounting basati su RADIUS, Staff WiFi sicuro tramite IEEE 802.1X e segmentazione della rete multi-tenant tramite Zyxel Dynamic Personal Pre-Shared Keys (DPPSK). Purple opera in oltre 80.000 sedi attive e ha gestito 440 milioni di accessi nel 2024 (dati interni Purple). Possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. L'architettura di integrazione qui descritta è indipendente dall'hardware a livello di piattaforma, ma i percorsi e i parametri di configurazione specifici in questa guida si applicano a Zyxel Nebula Control Center (NCC) e ai firewall USG Flex con firmware aggiornato.

Per una visione più ampia dell'architettura di sicurezza WiFi aziendale, consulta la nostra Enterprise WiFi Security: A Complete Guide for 2026 .

Technical deep-dive

Architettura di integrazione

L'integrazione tra Zyxel e Purple si basa su tre protocolli standard che operano in sequenza: reindirizzamento HTTP (rilevamento del Captive Portal), autenticazione RADIUS (UDP 1812) e accounting RADIUS (UDP 1813). Quando un dispositivo ospite si connette all'SSID Guest WiFi, l'access point Zyxel intercetta la prima richiesta HTTP ed emette un reindirizzamento HTTP 302 all'URL del Captive Portal esterno di Purple. L'ospite si autentica sulla splash page di Purple - tramite e-mail, social login o SMS - e Purple invia un messaggio RADIUS Access-Accept al controller Zyxel. Il controller concede l'accesso a Internet e inizia a inviare pacchetti RADIUS Accounting Start per registrare i dati della sessione.

Il firewall Zyxel USG Flex si colloca tra i segmenti wireless e la WAN. Applica policy di sicurezza basate su zone che isolano le VLAN Guest, Staff e Multi-Tenant tra loro e dalla LAN aziendale. Nebula Control Center gestisce centralmente gli access point e le configurazioni SSID tramite HTTPS sulla porta 443 verso il cloud Nebula.

Parametri RADIUS

La tabella seguente riassume i parametri di configurazione RADIUS necessari, reperibili nella console di amministrazione di Purple.

Configurare sempre sia il server RADIUS primario che quello secondario. Un singolo endpoint RADIUS rappresenta un singolo punto di vulnerabilità (single point of failure) che impedirà l'accesso agli ospiti nel caso in cui il server non sia raggiungibile.

Configurazione del Walled Garden

Il Walled Garden (chiamato anche whitelist) definisce i domini e gli intervalli IP che un dispositivo può raggiungere prima di completare l'autenticazione. In Zyxel Nebula, questo si configura in Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

È necessario includere le seguenti categorie di voci:

• Il dominio del portale Purple e tutti i sottodomini (utilizzare il formato wildcard: *.purple.ai)
• I domini CDN che distribuiscono i fogli di stile CSS, JavaScript e le immagini del portale
• I domini dei provider di social login se si abilita l'accesso tramite Facebook, Google o Microsoft
• Rilevamento del captive portal Apple: captive.apple.com
• Verifica della connettività Google: connectivitycheck.gstatic.com
• Microsoft NCSI: www.msftconnecttest.com

La mancanza di una sola di queste voci impedirà il corretto caricamento della splash page su specifici tipi di dispositivi. I dispositivi iOS, in particolare, mostreranno un mini-browser vuoto se l'endpoint CNA di Apple non viene gestito correttamente.

WiFi aziendale sicuro tramite IEEE 802.1X

Per le reti del personale, non si dovrebbe utilizzare una PSK condivisa. Lo standard IEEE 802.1X (definito nello standard IEEE 802.1X-2020) fornisce un controllo dell'accesso alla rete basato su porta utilizzando credenziali individuali per ciascun utente. In Nebula, questo si configura impostando la sicurezza dell'SSID su WPA2-Enterprise e indirizzando l'autenticazione al Nebula Cloud Authentication Server (NCAS) o a un server RADIUS esterno come Microsoft Entra ID o Okta tramite un proxy RADIUS.

Per le distribuzioni WPA3-Enterprise, il percorso di configurazione è identico, ma si seleziona WPA3 nelle opzioni di sicurezza. WPA3 impone l'uso dei Protected Management Frames (PMF) e utilizza la Simultaneous Authentication of Equals (SAE) per una maggiore resistenza agli attacchi di dizionario offline.

PPSK e assegnazione dinamica della VLAN per strutture multi-tenant

La tecnologia Zyxel DPPSK (Dynamic Personal Pre-Shared Key) consente a un singolo SSID di servire più segmenti di rete isolati. Ogni utente o dispositivo riceve una passphrase univoca. Al momento dell'autenticazione, il controller Nebula mappa tale passphrase a un ID VLAN definito nel database DPPSK. Questo è l'approccio corretto per spazi di coworking, alloggi per studenti, complessi residenziali in affitto (BTR) e unità abitative plurifamiliari (MDU) in cui è necessario garantire l'isolamento degli inquilini senza trasmettere decine di SSID.

DPPSK richiede la licenza Nebula Pro Pack e la versione firmware dell'access point 6.00 o successiva. Il database DPPSK si configura in Configura > Autenticazione cloud > DPPSK nel Nebula Control Center. Ogni voce include la passphrase, una data di scadenza opzionale, un indirizzo email per la consegna e l'ID VLAN di destinazione.

Il numero massimo di voci DPPSK autorizzate simultaneamente è 2.048. Per implementazioni con più di 2.048 utenti simultanei, sarà necessario gestire attentamente le date di scadenza per garantire che le credenziali attive rimangano entro questo limite.

Guida all'implementazione

Passaggio 1: Preparare l'infrastruttura di rete

Prima di intervenire sul Nebula Control Center, configura le VLAN sul firewall USG Flex e sugli switch a valle.

1. Crea una VLAN Ospiti (esempio: VLAN 10) con una subnet dedicata (esempio: 192.168.10.0/24). Configura un server DHCP su questa interfaccia.
2. Crea una VLAN Personale (esempio: VLAN 20) con una subnet dedicata (esempio: 192.168.20.0/24).
3. Per implementazioni multi-tenant, crea VLAN aggiuntive per ciascun tenant (esempio: VLAN 30, 40, 50).
4. Sull'USG Flex, crea una Zona Ospiti mappata sulla VLAN 10. Crea una policy di sicurezza che consenta il traffico dalla Zona Ospiti alla zona WAN. Crea una policy "deny-all" che blocchi il traffico dalla Zona Ospiti alla zona LAN.
5. Assicurati che le porte dello switch che collegano gli AP Zyxel siano configurate come trunk 802.1Q che trasportano tutti i tag VLAN richiesti.

Passaggio 2: Configurare l'SSID ospite nel Nebula Control Center

1. Accedi al Nebula Control Center all'indirizzo ncc.nebula.zyxel.com.
2. Naviga su In tutto il sito > Configura > Access point > Impostazioni SSID.
3. Abilita l'SSID ospite e attiva la Modalità avanzata.
4. Abilita Rete ospiti per attivare l'isolamento dei client Layer 2. Questo impedisce ai dispositivi degli ospiti di comunicare direttamente tra loro sullo stesso SSID.
5. Salva.

Passaggio 3: Configurare il Captive Portal esterno

1. Naviga su In tutto il sito > Configura > Access point > Impostazioni avanzate SSID.
2. Seleziona il tuo SSID ospite dal menu a discesa.
3. Sotto Metodo di accesso, seleziona Fai clic per continuare per il reindirizzamento iniziale, oppure seleziona Il mio server RADIUS se utilizzi l'autenticazione MAC basata su RADIUS di Purple.
4. Naviga su In tutto il sito > Configura > Access point > Personalizzazione del captive portal.
5. Sotto URL del captive portal esterno, inserisci l'URL di reindirizzamento Purple fornito dalla tua console di amministrazione Purple. Il formato è https://[il-tuo-dominio-purple]/[id-location].
6. Sotto Impostazioni avanzate del captive portal, inserisci tutti i domini Walled Garden richiesti.
7. Imposta Policy restrittiva su Blocca tutti gli accessi fino all'accesso per impedire agli ospiti di aggirare il portale.
8. Imposta Tempo di riautenticazione in modo che corrisponda alla policy di sessione della tua location (in genere 24 ore per il settore alberghiero, 30 giorni per i programmi di fidelizzazione retail).
9. Salva.

Passaggio 4: Configurare RADIUS in Nebula

1. In Impostazioni avanzate SSID, sotto Accesso alla rete, seleziona Il mio server RADIUS.
2. Inserisci l'IP del server RADIUS primario fornito dalla tua console di amministrazione Purple.
3. Imposta la Authentication port su 1812.
4. Inserisci lo Shared secret.
5. Ripeti l'operazione per il server RADIUS secondario.
6. Abilita il RADIUS accounting e imposta la porta di accounting su 1813.
7. Salva.

Step 5: Configurare il DPPSK per la segmentazione multi-tenant

1. Naviga su Configure > Access points > SSID advanced settings.
2. Seleziona l'SSID multi-tenant e imposta Network access su Dynamic personal PSK.
3. Naviga su Configure > Cloud authentication > DPPSK.
4. Fai clic su Add e seleziona Batch create DPPSK.
5. Imposta il numero di credenziali, la data di scadenza e il VLAN ID di destinazione per ciascun gruppo di tenant.
6. Inserisci l'indirizzo email per ricevere il lotto di credenziali.
7. Salva e distribuisci le credenziali ai tenant.

Step 6: Validare l'installazione

1. Connetti un dispositivo di test all'SSID del Guest WiFi.
2. Conferma che il dispositivo venga reindirizzato alla splash page di Purple.
3. Completa l'autenticazione e conferma che l'accesso a internet sia concesso.
4. Nella console di amministrazione di Purple, verifica che la sessione appaia nella dashboard di analytics.
5. In Nebula, naviga su Access point > Monitor > Clients per confermare che il client sia associato e assegnato alla VLAN corretta.
6. Testa il DPPSK connettendoti con una credenziale tenant e confermando l'assegnazione corretta della VLAN.

Best practice

Segmenta ogni tipo di traffico. Il traffico Guest, Staff e IoT deve occupare ciascuno una VLAN dedicata. Questo non è opzionale se la tua struttura elabora pagamenti con carta sulla stessa infrastruttura fisica: lo standard PCI DSS v4.0 richiede la segmentazione della rete tra gli ambienti dei dati dei titolari di carta e le reti guest.

Usa la ridondanza RADIUS. Configura sia l'IP RADIUS primario che quello secondario di Purple in Nebula. Il guasto di un singolo server RADIUS impedirà l'autenticazione di tutti i guest fino alla risoluzione del problema.

Verifica regolarmente il Walled Garden. I fornitori di portali aggiornano le configurazioni delle loro CDN. Un dominio che funzionava al momento dell'installazione potrebbe non funzionare più sei mesi dopo se il fornitore migra le risorse su una nuova CDN. Pianifica una revisione trimestrale delle voci del tuo Walled Garden.

Abilita il RADIUS accounting. Senza l'accounting, Purple non può tracciare la durata della sessione, l'utilizzo dei dati o applicare limiti di accesso basati sul tempo. I dati di accounting alimentano anche la dashboard di WiFi Analytics .

Applica il WPA3 dove l'hardware lo supporta. Gli access point Zyxel rilasciati dal 2021 in poi supportano il WPA3. Per il WiFi dello Staff, il WPA3-Enterprise con modalità di sicurezza a 192 bit è in linea con le raccomandazioni NIST SP 800-187 per la sicurezza wireless aziendale.

Testa il comportamento del CNA prima del go-live. Su iOS, il mini-browser Captive Network Assistant (CNA) ha funzionalità limitate rispetto a un browser completo. Testa la tua splash page di Purple nell'ambiente CNA, in particolare i flussi di social login e i JavaScript personalizzati, prima di distribuirla ai guest. Per le installazioni nel settore hospitality , consulta anche la nostra guida sulla segmentazione delle reti per gli ospiti e per il back-of-house. Per gli ambienti retail , lo stesso approccio PPSK si applica per isolare i sistemi point-of-sale dal WiFi dei clienti.

Risoluzione dei problemi e mitigazione dei rischi

La splash page non si carica

Sintomo: L'ospite si connette all'SSID ma visualizza una pagina vuota o un errore del browser nel CNA.

Causa: Uno o più domini richiesti dalla splash page non sono inclusi nel Walled Garden.

Risoluzione: Connetti un dispositivo di test all'SSID Guest. Apri un browser (non il CNA) e naviga su un qualsiasi URL HTTP. Una volta reindirizzato al Captive Portal, apri gli strumenti di sviluppo del browser e ispeziona la scheda Rete. Identifica eventuali richieste che restituiscono errori 403 o di connessione rifiutata. Aggiungi questi domini al Walled Garden di Nebula.

Gli ospiti si autenticano ma non ottengono l'accesso a Internet

Sintomo: L'ospite compila il modulo del portale e visualizza una pagina di successo, ma la navigazione in Internet non funziona.

Causa: Il controller Zyxel non riceve il messaggio RADIUS Access-Accept da Purple, oppure il firewall USG Flex sta bloccando la risposta RADIUS.

Risoluzione: Verifica che le porte UDP in uscita 1812 e 1813 siano consentite dall'IP di gestione dell'AP Zyxel verso l'IP del server RADIUS di Purple. Controlla i log dei criteri di sicurezza di USG Flex per verificare la presenza di traffico bloccato.

Dati di accounting RADIUS mancanti dalla dashboard di Purple

Sintomo: Le sessioni appaiono in Nebula ma la dashboard analitica di Purple non mostra dati sulla durata delle sessioni.

Causa: L'accounting RADIUS non è abilitato nella configurazione dell'SSID di Nebula, oppure la porta UDP 1813 è bloccata.

Risoluzione: Conferma che l'accounting RADIUS sia abilitato nelle impostazioni avanzate dell'SSID. Verifica che la porta di accounting sia impostata su 1813 e che il segreto condiviso corrisponda alla configurazione di Purple.

Utenti DPPSK assegnati alla VLAN errata

Sintomo: Un utente si connette con la propria PPSK ma viene inserito nel segmento di rete errato.

Causa: L'ID VLAN nella voce del database DPPSK non corrisponde alla VLAN configurata sul trunk dello switch o sull'interfaccia USG Flex.

Risoluzione: Verifica l'ID VLAN nel database DPPSK di Nebula confrontandolo con la configurazione VLAN sullo switch a monte e su USG Flex. Assicurati che la porta dello switch dell'AP sia un trunk che trasporta tutte le VLAN degli utenti.

ROI e impatto aziendale

L'integrazione dell'infrastruttura Zyxel con Purple trasforma una rete wireless da centro di costo a risorsa di dati in grado di generare profitti. Per un hotel di 200 camere, l'acquisizione degli indirizzi e-mail degli ospiti e del consenso al marketing al momento del login al WiFi consente di creare un database CRM che alimenta le campagne di prenotazione diretta, riducendo la dipendenza dalle commissioni delle OTA. Per una catena retail, la piattaforma Guest WiFi di Purple fornisce analisi sul flusso di visitatori, dati sul tempo di permanenza e tassi di visite ripetute che supportano le decisioni relative al personale e al merchandising. Per gli operatori multi-tenant - complessi BTR, alloggi per studenti, spazi di coworking - l'implementazione di Zyxel DPPSK con Purple elimina i costi operativi legati alla gestione di SSID e credenziali separati per ciascun inquilino. Un unico SSID con assegnazione dinamica della VLAN riduce le interferenze RF, semplifica l'onboarding e si adatta a centinaia di residenti senza richiedere infrastrutture aggiuntive.

L'SLA di uptime del 99,999% di Purple garantisce che il livello di autenticazione non diventi un collo di bottiglia per l'accesso degli ospiti. Con 29 miliardi di punti dati raccolti sulla piattaforma (dati interni di Purple), le analisi fornite tramite la console di amministrazione di Purple offrono agli operatori delle strutture informazioni utili che giustificano l'investimento nell'integrazione già nel primo trimestre di implementazione.

Per i settori della sanità e dei trasporti , dove il WiFi per i visitatori è un servizio regolamentato, l'acquisizione dei dati conforme al GDPR e la gestione del consenso integrate nel Captive Portal di Purple eliminano i rischi di conformità associati alle reti aperte non gestite.

Vedi anche: Integrazione di Arista Cognitive Wi-Fi con Purple WiFi per un modello di integrazione simile su una piattaforma hardware diversa.