EnGenius Cloud Access Points Integration with Purple WiFi

Questa guida tecnica di riferimento descrive dettagliatamente l'integrazione passo-passo degli EnGenius Cloud Access Points e degli switch ECS con la piattaforma WiFi per ospiti di Purple. Copre il reindirizzamento al Captive Portal degli ospiti tramite una splash page esterna, la configurazione del Walled Garden, il WiFi aziendale sicuro per lo staff tramite IEEE 802.1X e l'isolamento della rete multi-tenant tramite EnGenius MyPSK con assegnazione dinamica della VLAN. Gli installatori IT e gli architetti di rete troveranno sequenze di configurazione pratiche, casi di studio reali e un framework di risoluzione dei problemi per implementare Purple su infrastrutture hardware EnGenius.

📖 9 minuti di lettura📝 2,239 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

SCENEGGIATURA DEL PODCAST: Integrazione degli Access Point EnGenius Cloud con Purple WiFi
Piattaforma di Intelligence Purple WiFi - Serie di Briefing Tecnici
Durata: circa 10 minuti
Voce: inglese britannico, tono da consulente senior - sicuro, colloquiale, autorevole

[INTRODUZIONE - 1 MINUTO]

Benvenuti alla serie di Briefing Tecnici Purple. Oggi parleremo di un argomento che si presenta regolarmente nelle distribuzioni aziendali: l'integrazione degli access point EnGenius Cloud con la piattaforma Purple per il guest WiFi.

Se gestite un parco macchine EnGenius, che si tratti di access point della serie ECW in un hotel, in una catena di negozi o in un edificio per uffici multi-tenant, e desiderate aggiungere un Captive Portal personalizzato, raccogliere dati di prima parte sui visitatori e applicare una corretta segmentazione della rete, questo briefing fa al caso vostro.

Nei prossimi dieci minuti desidero guidarvi attraverso le quattro aree di configurazione principali: il reindirizzamento al Captive Portal per gli ospiti, la configurazione del walled garden, il WiFi sicuro per il personale tramite 802.1X e l'isolamento multi-tenant tramite EnGenius MyPSK con assegnazione dinamica della VLAN. Al termine, avrete un quadro chiaro di cosa configurare, in quale ordine e quali sono le trappole più comuni da evitare.

Iniziamo.

[APPROFONDIMENTO TECNICO - 5 MINUTI]

Cominciamo con il Captive Portal per gli ospiti, il punto di partenza più comune per qualsiasi gestore di sedi.

EnGenius Cloud supporta nativamente le splash page esterne. Ciò significa che, invece di ospitare una pagina di accesso di base sull'access point stesso, reindirizzerete gli ospiti non autenticati al portale Purple ospitato nel cloud. È qui che risiedono il branding, l'acquisizione dei dati, la gestione del consenso e la reportistica.

Ecco la sequenza di configurazione in EnGenius Cloud. Accedete alla dashboard di EnGenius Cloud e andate su Configure (Configura), quindi su SSID. Selezionate il vostro SSID per gli ospiti. Nella scheda Wireless, impostate il tipo di sicurezza su Open o WPA2 PSK, a seconda delle vostre preferenze. Lo stato Open è lo standard per la maggior parte delle implementazioni di guest WiFi. Passate quindi alla scheda Captive Portal. Abilitate il Captive Portal e impostate l'Authentication Type (Tipo di autenticazione) su Custom RADIUS. Questa è l'impostazione fondamentale. Indica all'access point di inoltrare le richieste di autenticazione a un server RADIUS esterno, che in questo caso è l'endpoint RADIUS cloud di Purple.

Inserite ora i dettagli RADIUS di Purple. L'IP del server RADIUS primario è fornito nella dashboard di Purple alla voce Hardware Configuration (Configurazione hardware). La porta di autenticazione è la UDP 1812. La porta di accounting è la UDP 1813. Inserite la chiave segreta condivisa (shared secret). Purple la genera per voi, e deve essere di almeno 22 caratteri combinando maiuscole, minuscole, numeri e simboli. Impostate il NAS identifier in modo che corrisponda al nome della vostra sede o a un identificatore univoco che avete definito in Purple.

Successivamente, passa alla scheda Splash Page. Seleziona URL Splash Page Esterna e inserisci l'URL del portale Purple. Questo è l'URL che Purple fornisce per la tua sede specifica. Quando un ospite si connette all'SSID e apre un browser, l'access point intercetta la richiesta e la reindirizza a questo URL, passando i parametri che includono l'indirizzo MAC del client, l'indirizzo MAC dell'access point (AP) e l'URL originale che l'ospite stava cercando di raggiungere.

Ora passiamo al walled garden. Si tratta dell'elenco di domini e indirizzi IP che gli ospiti possono raggiungere prima di autenticarsi. Senza di esso, il portale Purple stesso non può caricarsi, perché il browser dell'ospite non può raggiungere i server di Purple. In EnGenius Cloud, il walled garden si trova sotto Captive Portal, poi Impostazioni Avanzate, infine Walled Garden. È necessario aggiungere il dominio del portale Purple, gli endpoint CDN di Purple e gli endpoint di prova del captive portal del sistema operativo. Per i dispositivi Apple, l'endpoint è captive.apple.com. Per Android, connectivitycheck.gstatic.com. Per Windows, msftconnecttest.com. Se ne dimentichi uno solo, gli ospiti su quelle piattaforme non vedranno affatto il portale.

Se offri il social login tramite Google o Facebook, devi anche inserire nella whitelist gli endpoint OAuth di questi provider. Google richiede come minimo accounts.google.com, oauth2.googleapis.com e apis.google.com. Facebook richiede www.facebook.com, graph.facebook.com e connect.facebook.net. La documentazione di supporto di Purple fornisce un elenco aggiornato del walled garden per ciascun metodo di autenticazione. Utilizzalo come riferimento, poiché questi domini cambiano nel tempo.

Ora passiamo alla protezione della rete WiFi dello staff utilizzando 802.1X.

Questo è un SSID separato. Il tipo di sicurezza qui è WPA2 Enterprise o WPA3 Enterprise. In EnGenius Cloud, nella scheda Wireless dell'SSID, seleziona WPA2 Enterprise e poi scegli RADIUS Personalizzato. Inserisci gli stessi dettagli del server RADIUS: l'endpoint RADIUS di Purple, la porta 1812 e il segreto condiviso. La differenza rispetto alla configurazione per gli ospiti è che qui non è presente alcun captive portal. I dispositivi dello staff si autenticano silenziosamente utilizzando il protocollo IEEE 802.1X. Il dispositivo presenta un certificato o un nome utente e una password al server RADIUS, che li convalida e restituisce un messaggio Access-Accept insieme agli attributi di assegnazione della VLAN.

Gli attributi RADIUS che gestiscono l'assegnazione dinamica della VLAN sono Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sul numero della VLAN. Quindi, se la VLAN dello staff è la VLAN 20, il server RADIUS restituisce Tunnel-Private-Group-ID con il valore 20. L'access point EnGenius legge questo attributo e inserisce automaticamente il dispositivo autenticato nella VLAN 20. Ciò significa che puoi avere un singolo SSID che serve molteplici ruoli dello staff (amministrazione, operazioni, IT, esterni), ciascuno dei quali approda su una VLAN diversa in base all'appartenenza al gruppo di directory, il tutto senza alcuna configurazione manuale della VLAN per dispositivo.

Per il metodo EAP, PEAP-MSCHAPv2 è la scelta più comune per gli ambienti che utilizzano Active Directory o Microsoft Entra ID. Richiede un certificato lato server sul server RADIUS e credenziali nome utente-password sul client. EAP-TLS è più sicuro. Utilizza certificati su entrambi i lati. Richiede però un'infrastruttura PKI e la distribuzione MDM per inviare i certificati ai dispositivi. Per la maggior parte dei gestori di sedi fisiche, PEAP-MSCHAPv2 con convalida rigorosa del certificato applicata tramite Criteri di gruppo o MDM rappresenta la scelta più pratica.

Passiamo ora alla parte tecnicamente più interessante: EnGenius MyPSK e l'isolamento multi-tenant.

MyPSK, chiamato anche PPSK o Private Pre-Shared Key, risolve un problema specifico negli ambienti multi-tenant. In un complesso residenziale in affitto, in un ufficio arredato o in uno studentato, si desidera che ogni inquilino o residente abbia la propria password WiFi univoca. Tuttavia, non si vuole creare un SSID separato per ciascun inquilino, poiché ciò creerebbe congestione delle radiofrequenze e sovraccarico di gestione.

MyPSK consente di creare fino a 500 chiavi pre-condivise univoche per SSID. Ciascuna chiave è associata a una VLAN specifica. Quando un residente si connette utilizzando la sua chiave univoca, l'access point lo inserisce automaticamente nella VLAN assegnata. Il traffico dell'Inquilino A non tocca mai il segmento di rete dell'Inquilino B. Anche la crittografia è per singolo utente. Ogni chiave genera una Pairwise Master Key univoca, impedendo a un inquilino di decifrare il traffico via etere di un altro inquilino, pur condividendo lo stesso SSID.

In EnGenius Cloud, MyPSK si configura nelle impostazioni di sicurezza dell'SSID. Selezionare WPA2 PSK o WPA3 Personal, quindi abilitare MyPSK. È possibile creare le PSK singolarmente o generare automaticamente lotti fino a 50 alla volta. Per ciascuna PSK si assegna un ID VLAN e, facoltativamente, si imposta una data di scadenza. Al termine di un contratto di locazione o al conseguimento del titolo di studio di uno studente, basta far scadere o eliminare la sua PSK. L'accesso viene revocato immediatamente senza influire su nessun altro inquilino.

Per l'integrazione con Purple in un ambiente MyPSK, i tenant rivolti agli ospiti possono comunque essere reindirizzati attraverso un Captive Portal sulla loro VLAN. Il personale e i tenant operativi aggirano completamente il portale. La segmentazione VLAN garantisce che i dati analitici di Purple siano attribuiti correttamente per ciascun segmento di rete.

[CONSIGLI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - 2 MINUTI]

Ecco la sequenza di implementazione che raccomando per una prima installazione pulita.

Iniziare con l'architettura VLAN prima di toccare la configurazione WiFi. Definire la VLAN 10 per gli ospiti, la VLAN 20 per il personale, la VLAN 30 per gli inquilini o qualsiasi numerazione si adatti al proprio schema esistente. Configurare innanzitutto queste VLAN sugli switch ECS, con le opportune assegnazioni di trunk e porte di accesso. Gli access point devono ricevere il traffico taggato sulla porta di uplink per ciascuna VLAN che si intende utilizzare.

Quindi configura gli SSID in EnGenius Cloud in questo ordine: prima l'SSID guest, poiché è il più semplice. Valuta il reindirizzamento del Captive Portal a Purple prima di procedere. Successivamente, configura l'SSID del personale con 802.1X. Testalo con un dispositivo noto prima di distribuirlo all'intera infrastruttura. Infine, configura MyPSK se hai bisogno dell'isolamento multi-tenant.

Le insidie. Primo, il walled garden. Questa è la causa numero uno dei fallimenti nelle implementazioni del Captive Portal. Se gli ospiti non riescono a raggiungere il portale, controlla prima il walled garden. Secondo, la mancata corrispondenza del segreto condiviso RADIUS. Il segreto condiviso deve essere identico sia nella configurazione di EnGenius Cloud sia in quella del server RADIUS di Purple. Una differenza di un solo carattere fa fallire silenziosamente ogni autenticazione. Terzo, la configurazione del trunk VLAN sullo switch. Se la porta dello switch ECS che si collega all'access point non è configurata come trunk per trasportare tutte le VLAN richieste, l'assegnazione dinamica della VLAN fallirà. Quarto, la convalida del certificato sui client 802.1X. Se i dispositivi del personale non sono configurati per convalidare il certificato del server RADIUS, sono vulnerabili al furto di credenziali tramite access point non autorizzati. Imponi questa configurazione tramite Criteri di gruppo per Windows e profili MDM per tutto il resto.

[D&A RAPIDE - 1 MINUTO]

Alcune domande che ricevo regolarmente sulle installazioni di EnGenius e Purple.

Posso usare il RADIUS di EnGenius Cloud invece del RADIUS di Purple? Sì, per l'autenticazione interna. Ma per il WiFi ospiti con la messaggistica analitica e il portale di Purple, devi puntare all'endpoint RADIUS di Purple. I due possono coesistere su SSID diversi.

MyPSK funziona con WPA3? Sì. EnGenius supporta WPA3 e la modalità mista WPA2/WPA3 con MyPSK, in modo che i dispositivi compatibili con WPA3 ottengano l'autenticazione SAE mentre i dispositivi più vecchi ripieghino su WPA2 PSK, il tutto utilizzando la stessa chiave per utente.

Purple supporta l'accounting RADIUS per i dati di sessione? Sì. Abilita il server di accounting nella configurazione RADIUS di EnGenius Cloud, puntando all'endpoint di accounting di Purple sulla porta UDP 1813. Questo invia la durata della sessione e il volume dei dati agli strumenti di analisi di Purple.

[RIASSUNTO E PROSSIMI PASSI - 1 MINUTO]

Per riassumere. Gli access point EnGenius Cloud si integrano perfettamente con la piattaforma WiFi ospiti di Purple attraverso quattro livelli di configurazione. Il reindirizzamento al Captive Portal ospiti utilizza un RADIUS personalizzato e l'URL di una splash page esterna che punta a Purple. Il walled garden in whitelist garantisce il caricamento del portale prima dell'autenticazione. Il WiFi del personale utilizza WPA2 Enterprise con 802.1X e l'assegnazione dinamica della VLAN tramite attributi RADIUS. Inoltre, l'isolamento multi-tenant utilizza EnGenius MyPSK per assegnare chiavi univoche per singolo utente associate a VLAN specifiche, con date di scadenza facoltative per l'accesso a tempo limitato.

Purple opera in 80.000 sedi e ha gestito 440 milioni di accessi solo nel 2024. La piattaforma è certificata ISO 27001, conforme al GDPR e indipendente dall'hardware, motivo per cui funziona perfettamente con EnGenius insieme a Cisco Meraki, HPE Aruba, Ruckus e al resto dell'ecosistema hardware aziendale.

Se sei pronto per la distribuzione, inizia con la guida alla configurazione del walled garden nella documentazione di supporto di Purple, quindi procedi con la configurazione dell'SSID in EnGenius Cloud. La guida dettagliata completa è disponibile su purple.ai. Grazie per l'ascolto.

Punti chiave

✓EnGenius Cloud si integra con Purple tramite RADIUS personalizzato (UDP 1812/1813) e un URL di splash page esterno configurato nelle impostazioni del Captive Portal dell'SSID.
✓Un Walled Garden configurato correttamente è l'elemento più critico per le distribuzioni di Captive Portal: deve includere gli endpoint di probe del sistema operativo, i domini CDN di Purple e tutti i domini OAuth per il social login.
✓Lo standard IEEE 802.1X con WPA2/WPA3 Enterprise offre un'autenticazione del personale sicura e senza password, con assegnazione dinamica della VLAN gestita dagli attributi RADIUS Tunnel-Private-Group-ID.
✓EnGenius MyPSK offre isolamento multi-tenant su un unico SSID assegnando PSK e VLAN univoche a singoli utenti, supportando fino a 500 chiavi per SSID con date di scadenza opzionali.
✓Configura le porte trunk dello switch ECS prima di configurare gli SSID: l'assegnazione dinamica della VLAN fallisce in modo invisibile se lo switch non può trasportare la VLAN assegnata.
✓PEAP-MSCHAPv2 è sicuro solo con una convalida rigorosa del certificato del server applicata tramite Criteri di gruppo o MDM: distribuisci questa configurazione prima di qualsiasi rollout 802.1X.
✓Purple gestisce 440 milioni di accessi all'anno in oltre 80.000 sedi ed è certificato ISO 27001, conforme al GDPR e indipendente dall'hardware su dispositivi Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

執行摘要

企業 WiFi 若依賴共用的預先共用金鑰，會使場域面臨重大的安全性風險，且無法收集有價值的首方數據。本指南詳細說明 EnGenius Cloud Access Points 與 Purple 的 Guest WiFi 平台的整合，旨在為旅宿餐飲、零售及多租戶環境提供安全、隔離且可衡量的無線網路。透過為員工實施 IEEE 802.1X 驗證、透過 EnGenius MyPSK 為住戶與租戶進行動態 VLAN 分配，以及為訪客提供雲端託管的 Captive Portal，IT 團隊可以執行嚴格的存取控制，同時將無線基礎設施轉化為商業智慧資產。

Purple 每年在 80,000 多個實體場域處理 4.4 億次登入（Purple 內部數據，2024 年）。該平台已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，且不受硬體品牌限制，這也正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 完美整合的原因。本指南涵蓋在 EnGenius Cloud 硬體上部署 Purple 所需的四個配置層：訪客 Captive Portal 重導向、Walled Garden 設定、安全員工 WiFi，以及使用 EnGenius MyPSK 的多租戶隔離。

技術深度解析

架構概述

EnGenius Cloud 與 Purple 之間的整合依賴於標準 RADIUS 協定與 HTTP 重導向。當訪客在啟用 Captive Portal 的 SSID 上連線至 EnGenius ECW 存取點（AP）時，AP 會攔截第一個 HTTP 請求，並將瀏覽器重導向至 Purple 的雲端託管歡迎頁面。此重導向會向該入口網站傳遞多個參數（包括 client_mac、ap_mac 與 userurl），Purple 會使用這些參數來追蹤工作階段並回傳驗證決策。

針對員工與營運設備，其架構則從 Captive Portal 重導向轉變為基於 IEEE 802.1X 連接埠的網路存取控制。EnGenius 存取點作為驗證器，透過 UDP 連接埠 1812 將可延伸驗證協定（EAP）訊息轉發至 Purple 的 RADIUS 伺服器。驗證成功後，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，指示 AP 將該裝置放置在正確的網路區段中。

層級	SSID 類型	驗證方法	VLAN 分配
Guest WiFi	Open 或 WPA2 PSK	透過自訂 RADIUS 的 Purple Captive Portal	靜態（例如 VLAN 10）
Staff WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP 或 EAP-TLS)	透過 RADIUS 屬性動態分配
多租戶	搭配 MyPSK 的 WPA2/WPA3 PSK	每使用者 PSK	每金鑰 VLAN 綁定

EnGenius Cloud 平台

EnGenius Cloud 是一個雲端管理的網路平台，支援 ECW 系列無線基地台（包括 ECW220、ECW230 和 ECW520 WiFi 7 機型）以及 ECS 系列管理型交換器。此平台為組織內所有裝置提供了一個集中式儀表板，用於管理 SSID、RADIUS 設定、VLAN 標記以及 Captive Portal 設定。EnGenius Cloud 支援三種基於 RADIUS 的 Captive Portal 認證類型：EnGenius Authentication（使用內建的 Cloud RADIUS）、Custom RADIUS（指向外部伺服器，例如 Purple）以及憑證服務（Voucher Service）。

對於企業級部署，與 Purple 進行整合時，正確的認證類型為 Custom RADIUS。此模式會指示無線基地台將認證請求代理傳送至 Purple 的 RADIUS 端點，從而啟用 Purple 的入口網站、分析和數據擷取功能。

EnGenius MyPSK 與多租戶隔離

在建案出租住宅、學生宿舍、服務式辦公室或共享工作空間等環境中，為每個租戶廣播獨立的 SSID 會降低無線射頻效能。每增加一個 SSID 都會產生信標訊框（beacon frames），消耗空中傳輸時間並減少可用於數據流量的容量。EnGenius MyPSK（亦稱為 PPSK 或個人預共用金鑰）透過在單一 SSID 上允許高達 500 個不重複的 PSK 來解決此問題。

每個金鑰都綁定至特定的 VLAN。當住戶使用其專屬金鑰連線時，無線基地台會自動將其置於指定的網路區段中。加密是針對每位使用者的：每個金鑰都會產生一個不重複的成對主金鑰（PMK），因此即使租戶共用相同的 SSID，其中一個租戶也無法解密另一個租戶的空中傳輸流量。相較於單一共用 PSK（任何知道密碼的使用者都可以解密網路上所有流量），這是一個根本上的安全性優勢。

MyPSK 金鑰支援到期日設定，非常適合有時間限制的存取情境：學生的金鑰在學年結束時過期、承包商的金鑰在其約期結束時過期，而會議出席者的金鑰則在活動最後一天的午夜過期。

實作指南

步驟 1：定義您的 VLAN 架構

在設定任何 SSID 之前，請先在您的 ECS 交換器上定義 VLAN 結構。典型的部署會使用三個 VLAN：

VLAN ID	用途	存取原則
VLAN 10	訪客 WiFi	僅限網際網路，與企業區域網路隔離
VLAN 20	員工 WiFi	完整企業區域網路存取權限
VLAN 30	租戶/住戶 WiFi	獨立的每租戶區段

步驟 2：配置訪客 Captive Portal（EnGenius Captive Portal 設定）

這是部署帶有 Purple 的 EnGenius Splash Page 的主要配置。

登入您的 EnGenius Cloud 控制面板： cloud.engenius.ai 。
導覽至 Configure > SSID 並選擇您的訪客網路（例如 "VenueGuest"）。
在 Wireless 索引標籤下，將安全性類型（Security Type）設定為 Open。這是訪客 WiFi 的標準設定；訪客是在 Portal 層進行識別與驗證，而非在關聯層。
切換至 Captive Portal 索引標籤並啟用 Portal。
將驗證類型（Authentication Type）設定為 Custom RADIUS。
輸入 Purple RADIUS 伺服器詳細資訊：

欄位	值
RADIUS 伺服器 IP	於 Purple 控制面板的硬體配置（Hardware Configuration）中提供
驗證連接埠 (Authentication Port)	UDP 1812
計費連接埠 (Accounting Port)	UDP 1813
共用金鑰 (Shared Secret)	由 Purple 產生的 22 個以上字元的字串
NAS 識別碼 (NAS Identifier)	您的場地名稱或 Purple 場地 ID

切換至 Splash Page 索引標籤。
選擇 External Splash Page URL。
輸入您場地的 Purple Portal URL（格式：https://portal.purple.ai/[venue-id]）。
按一下 Apply。

步驟 3：配置 Walled Garden

必須配置 Walled Garden（EnGenius 訪客 WiFi 白名單），以允許在驗證前存取載入 Portal 所需的網域。導覽至 Captive Portal > Advanced Settings > Walled Garden 並新增以下項目：

Purple 基礎架構：

*.purple.ai
*.purpleportal.net

作業系統 Captive Portal 探測（強制性）：

captive.apple.com (iOS 和 macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

社群登入（若啟用）：

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

請務必使用網域名稱而非靜態 IP 位址。社群登入供應商使用動態 IP 範圍和任播（Anycast）路由；隨著 CDN 位址的變更，靜態 IP 白名單效能將會逐漸下降。

步驟 4：配置安全員工 WiFi (802.1X)

用於員工 WiFi 的 EnGenius RADIUS 設定採用 WPA2 Enterprise，以提供憑證型、無密碼的驗證。

建立新的 SSID（例如 "VenueStaff"）。
在 Wireless 索引標籤下，將安全性類型設定為 WPA2 Enterprise。
選擇 Custom RADIUS 並輸入 RADIUS 伺服器 IP、連接埠 1812 以及共用金鑰。
不需要 Captive Portal。員工裝置會透過 802.1X 自動在背景完成驗證。
配置您的 RADIUS 伺服器，使其在 Access-Accept 上傳回以下屬性：

RADIUS 屬性	值
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (或您的員工 VLAN ID)

關於 EAP 方法的選擇：對於使用 Microsoft Entra ID 或 Active Directory 的環境，PEAP-MSCHAPv2 是最實用的選擇。EAP-TLS 透過完全消除密碼來提供更強的安全性，但需要公開金鑰基礎建設（PKI）和 MDM 解決方案來部署用戶端憑證。請務必透過群組原則（Windows）或 MDM 設定檔（macOS、iOS、Android），在所有用戶端裝置上強制執行嚴格的伺服器憑證驗證，以防止惡意存取點竊取憑證。

步驟 5：配置 EnGenius MyPSK 以實現多租戶隔離

適用於多租戶環境的 EnGenius MyPSK 設定：

建立一個新的 SSID（例如 "VenueResident"）。
在 Wireless 索引標籤下，將安全類型設定為 WPA2 PSK 或 WPA3 Personal。
啟用 MyPSK（Private PSK）。
按一下 Add PSK 建立個別的金鑰，或使用 Auto-Generate 一次批次產生最多 50 個金鑰。
為每個 PSK 分配一個 VLAN ID，並可選擇設定 Start Date（開始日期）和 Expiration Date（過期日期）。
將每個唯一的 PSK 分發給對應的租戶或住戶。

當租戶的租約結束時，刪除或使其 PSK 過期。存取權限會立即被撤銷，且不會影響網路上的任何其他租戶。

最佳實踐

在 802.1X 用戶端上強制執行嚴格的憑證驗證。 只有當用戶端設定為針對信任的 CA 驗證 RADIUS 伺服器的憑證時，PEAP-MSCHAPv2 才是安全的。如果沒有此設定，惡意存取點可能會呈現欺詐性憑證並竊取認證資訊。請透過 Windows 的群組原則物件（GPO）以及所有其他平台的 MDM 組態設定檔來部署驗證設定。對於任何受法規監管環境中的部署，這是不可妥協的要求。

在 Walled Garden 中使用動態 DNS 解析。 Google、Apple 和 Meta 的 OAuth 和 CDN 端點使用的是動態 IP 範圍。請將 Walled Garden 條目配置為網域名稱，並確保您的 EnGenius Cloud 控制器能對其進行動態解析。隨著 CDN IP 的更替，靜態 IP 白名單將會導致驗證失敗。

使用 MAC 驗證繞過（MAB）隔離 IoT 裝置。 印表機、顯示器和 IoT 感測器等無介面裝置無法透過 802.1X 進行驗證。請使用 MAC 驗證繞過（MAB）來識別它們，並將其放入受限制的 VLAN 中，同時配合防火牆規則以防止橫向移動。MAB並非一種安全控制手段，而是一種裝置識別機制。請將經 MAB 驗證的裝置視為不受信任的裝置。

實作 RADIUS 計費。 在 EnGenius Cloud 的 RADIUS 配置中啟用計費伺服器，將其指向 Purple 在 UDP 1813 上的計費端點。這會將工作階段持續時間、數據量和裝置資訊傳送到 Purple 的 WiFi Analytics 平台，提供證明基礎建設投資價值的場地使用率數據。

每季審查 Walled Garden。 OAuth 提供商與 CDN 會變更其網域結構。Apple 在 2023 年曾兩次更新其登入網域。請將 Walled Garden 的每季審查納入您的營運行事曆。如需企業 WiFi 安全實務的進一步指引，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

症狀：Captive Portal 無法在 iOS 裝置上載入。 原因：captive.apple.com 未加入 Walled Garden。iOS 使用此端點來偵測 Captive Portal 的存在並觸發 Captive Network Assistant。若缺少此端點，裝置會報告「無網際網路連線」，且永遠不會開啟 Portal 瀏覽器。解決方法：在 EnGenius Cloud 的「Captive Portal > 進階設定」中，將 captive.apple.com 新增至 Walled Garden。

症狀：驗證無聲無息地失敗 - RADIUS 沒有傳回回應。 原因：EnGenius Cloud 與 Purple RADIUS 伺服器設定之間的共用金鑰（Shared Secret）不一致。單一字元的差異就會導致所有驗證請求被捨棄。解決方法：在兩個系統中重新輸入共用金鑰。請從純文字來源複製貼上，以避免隱形字元的置換。

症狀：802.1X 用戶端已驗證，但未收到 IP 地址。 原因：ECS 交換器上行鏈路連接埠未設定為 Trunk 埠，或者 RADIUS 伺服器傳回的 VLAN 在該 Trunk 上不被允許。解決方法：驗證交換器連接埠設定。該連接埠必須是 Trunk 埠，且承載 RADIUS 回應中所參照的所有 VLAN。

症狀：MyPSK 用戶端已連線，但可以接觸到其他租戶的裝置。 原因：SSID 上未啟用用戶端隔離（Client Isolation），或者交換器上的 VLAN 設定未能正確隔離各個區段。解決方法：在 EnGenius Cloud 的 SSID 中啟用用戶端隔離。驗證上游路由器或防火牆上，每個 VLAN 是否都設定了適當的跨 VLAN 路由規則。

症狀：社群媒體登入按鈕有載入，但驗證失敗。 原因：Walled Garden 中遺漏了一個或多個 OAuth 提供商的子網域。Google 與 Meta 在其驗證流程中使用了多個子網域。解決方法：從未驗證的裝置上擷取瀏覽器主控台（Console）輸出，以識別哪個網域被封鎖。將遺漏的網域新增至 Walled Garden。請參閱 Purple 的 Walled Garden 網域白名單文件以取得最新列表。

投資報酬率（ROI）與業務影響

將 Purple 與 EnGenius Cloud 協同部署，能將無線基礎設施從成本中心轉變為數據資產。場地營運商可透過訪客自願同意的選擇，收集完全合規的第一方人口統計數據，進而實現精準的行銷活動與可衡量的參與度。對於 IT 團隊而言，轉向 802.1X 與 MyPSK 消除了管理共用密碼的營運開銷，減少了與存取問題相關的支援工單，並提供了網路使用狀況的精細可視性。

對於旅宿業營運商而言，Premier Inn（Purple 的知名客戶）利用顧客 WiFi 數據來提高忠誠度計劃的參與度，並個性化發送訪問後的溝通訊息。對於零售環境，結合來自 Purple 的 WiFi Analytics 平台的客流量分析與停留時間數據，可提供商品陳列洞察，獨立於安全效益之外，證明了基礎設施投資的合理性。

在多租戶環境中，MyPSK 消除了解決每個租戶需要獨立實體網路基礎設施的需求。單台 EnGenius ECW 基地台即可在單一 SSID 上為 500 個隔離的租戶提供服務，從而降低硬體成本並簡化日常管理。當租戶搬離時，其 PSK 會在幾秒鐘內被刪除，無需更改密碼，也不會對其他住戶造成影響。

Purple 的平台與硬體無關，這意味著相同的 Purple 設定、分析和數據擷取層可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上運行。如果您的資產中混合了 EnGenius 和其他廠商，Purple 可為所有設備提供單一管理介面來進行顧客 WiFi 管理。如需相關部署指南，請參閱我們的 DrayTek Vigor 整合指南。

Definizioni chiave

Captive Portal

Una pagina web che intercetta la prima richiesta HTTP di un utente dopo la connessione a una rete WiFi e richiede l'autenticazione o l'accettazione dei termini prima di consentire l'accesso a Internet.

Il meccanismo principale per l'onboarding degli ospiti, l'acquisizione dei dati e la gestione del consenso conforme al GDPR nelle implementazioni Purple. EnGenius Cloud supporta pagine di Captive Portal sia interne che esterne.

Walled Garden

La whitelist esplicita di domini e indirizzi IP con cui un dispositivo client può comunicare prima di autenticarsi con successo tramite il Captive Portal.

Necessario per consentire ai dispositivi di raggiungere i server del portale Purple, gli endpoint di probe del sistema operativo e i provider di identità di terze parti come Google o Microsoft Entra ID prima del completamento dell'autenticazione.

EnGenius MyPSK

Una funzionalità che consente agli amministratori di rete di creare più chiavi pre-condivise (PSK) univoche su un singolo SSID, ciascuna associata a una VLAN specifica per l'isolamento della rete.

Utilizzato in ambienti multi-tenant per fornire segmenti di rete sicuri e isolati senza trasmettere più SSID. Supporta fino a 500 chiavi univoche per SSID con date di scadenza opzionali.

Assegnazione dinamica della VLAN

Il processo in cui un server RADIUS indica a un access point di posizionare un dispositivo autenticato su una VLAN specifica in base all'appartenenza al gruppo di directory, utilizzando l'attributo Tunnel-Private-Group-ID.

Consente a un singolo SSID 802.1X di segmentare in modo sicuro e automatico il traffico per i diversi ruoli del personale, senza configurazione manuale della VLAN per singolo dispositivo.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN, utilizzando EAP per trasmettere le credenziali a un server RADIUS.

La base della sicurezza WiFi aziendale per le reti del personale, che sostituisce le vulnerabili password condivise con la convalida di credenziali o certificati personalizzati.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per l'accesso alla rete.

Il protocollo utilizzato dagli access point EnGenius per comunicare con i server di autenticazione di Purple. L'autenticazione utilizza la porta UDP 1812; l'accounting utilizza la porta UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2; un metodo 802.1X che crea un tunnel TLS utilizzando un certificato lato server, all'interno del quale vengono scambiate le credenziali nome utente-password.

Il metodo di implementazione 802.1X più comune per gli ambienti che utilizzano Active Directory o Microsoft Entra ID. Richiede una rigorosa convalida del certificato del server sui client per prevenire il furto di credenziali.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un metodo di autenticazione 802.1X che richiede certificati digitali sia sul server RADIUS che su ogni dispositivo client, eliminando completamente le password.

Il metodo 802.1X più sicuro, raccomandato per ambienti ad alta sicurezza. Richiede un'infrastruttura a chiave pubblica (PKI) e una soluzione MDM per distribuire i certificati client.

Identificatore NAS

Network Access Server Identifier; un attributo di tipo stringa incluso nelle richieste RADIUS per identificare l'access point o il controller che ha originato la richiesta di autenticazione.

Configurato in EnGenius Cloud per corrispondere all'identificatore della sede nella piattaforma Purple, garantendo che i dati analitici e di sessione siano attribuiti alla posizione corretta.

PMK

Pairwise Master Key; la chiave crittografica derivata da una PSK e dal nome dell'SSID, utilizzata per crittografare la sessione wireless tra un client specifico e un access point.

Nelle implementazioni MyPSK, ogni PSK univoca genera una PMK distinta, impedendo a un tenant di decifrare il traffico di un altro, anche sullo stesso SSID.

Esempi pratici

Un hotel da 200 camere ha l'esigenza di fornire un accesso WiFi ottimale agli ospiti, un accesso sicuro al personale dell'hotel e reti isolate per tre attività commerciali situate nella hall, il tutto utilizzando gli stessi access point EnGenius ECW e switch ECS.

Configurare tre SSID sullo stesso hardware. SSID 1 (VenueGuest): sicurezza Open con RADIUS personalizzato orientato verso l'endpoint RADIUS di Purple. URL della splash page esterna configurato sul portale Purple. Walled Garden popolato con i probe del sistema operativo, i domini CDN di Purple e gli endpoint OAuth di Google. VLAN 10 assegnata staticamente. SSID 2 (VenueStaff): WPA2 Enterprise con RADIUS personalizzato. Nessun Captive Portal. Il server RADIUS restituisce un Tunnel-Private-Group-ID pari a 20 per tutto lo staff, con sotto-gruppi (amministrazione, operazioni, manutenzione) mappati rispettivamente sulle VLAN 21, 22 e 23. SSID 3 (VenueRetail): WPA2 PSK con MyPSK abilitato. Creati tre PSK univoci, ciascuno associato alle VLAN 31, 32 e 33. Date di scadenza impostate in base alla durata del contratto di locazione di ciascuna attività commerciale. La porta di uplink dello switch ECS è configurata come trunk che trasporta le VLAN 10, 20-23 e 31-33.

Commento dell'esaminatore: Questo approccio riduce al minimo il sovraccarico di SSID a sole tre trasmissioni, limitando l'interferenza co-canale e garantendo al contempo un rigoroso isolamento di Livello 2 tra ospiti, personale e partner esterni. L'assegnazione dinamica della VLAN per lo staff elimina la riconfigurazione manuale in caso di cambio di ruolo del personale. Le date di scadenza di MyPSK automatizzano la revoca dell'accesso per le attività commerciali senza richiedere l'intervento dell'IT.

Un campus universitario che utilizza EnGenius Cloud segnala che gli studenti che tentano di accedere al Captive Portal ospiti di Purple utilizzando i propri account Google Workspace ricevono un errore del browser dopo aver fatto clic sul pulsante di accesso di Google. La pagina del portale viene invece caricata correttamente.

Il corretto caricamento della pagina del portale conferma che i domini CDN di Purple sono inseriti correttamente nella whitelist. L'errore nella fase di login con Google indica che uno o più domini OAuth di Google non sono presenti nel Walled Garden. Accedere a EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden e aggiungere: accounts.google.com, oauth2.googleapis.com, apis.google.com e *.gstatic.com. Il carattere jolly per gstatic.com è necessario in quanto Google distribuisce le sue librerie JavaScript lato client da questa CDN. Dopo aver aggiornato il Walled Garden, testare con un dispositivo non autenticato e acquisire l'output della console del browser per verificare che nessun altro dominio venga bloccato.

Commento dell'esaminatore: I problemi di OAuth nella fase del provider (piuttosto che in quella di caricamento del portale) sono quasi sempre causati da configurazioni incomplete del Walled Garden. Il Captive Portal intercetta la chiamata HTTPS al provider di identità a meno che il dominio non venga esplicitamente escluso. L'uso di voci con caratteri jolly (*.gstatic.com) rappresenta l'approccio più pratico per i provider che utilizzano più sottodomini CDN, a condizione che la versione di EnGenius Cloud in uso supporti l'inserimento di caratteri jolly nel Walled Garden.

Domande di esercitazione

Q1. Distribuisci un Captive Portal Purple su access point EnGenius ECW. Gli utenti Android segnalano che i loro dispositivi mostrano "Connesso, senza internet" e il portale non appare mai. Gli utenti iOS sullo stesso SSID visualizzano correttamente il portale. Qual è l'errore di configurazione più probabile e come si risolve?

Suggerimento: Android e iOS utilizzano endpoint di probe differenti per il Captive Portal.

Visualizza risposta modello

Android utilizza connectivitycheck.gstatic.com come endpoint di probe per il Captive Portal. iOS utilizza captive.apple.com. Se gli utenti iOS visualizzano il portale ma quelli Android no, connectivitycheck.gstatic.com manca dal Walled Garden. Aggiungilo in EnGenius Cloud in Captive Portal > Advanced Settings > Walled Garden. Aggiungi anche connectivitycheck.android.com e www.google.com , poiché Android utilizza più URL di probe a seconda della versione del dispositivo.

Q2. Una sede configura l'802.1X su un SSID EnGenius. I dispositivi del personale si autenticano con successo (i log del server RADIUS mostrano Access-Accept), ma i dispositivi ricevono un indirizzo APIPA 169.x.x.x anziché un IP aziendale. Qual è la causa più probabile?

Suggerimento: Il server RADIUS accetta l'autenticazione, quindi il problema è a valle dell'autenticazione.

Visualizza risposta modello

Il server RADIUS restituisce un attributo Tunnel-Private-Group-ID che specifica un ID VLAN. L'access point EnGenius tenta di taggare il traffico del client con quella VLAN, ma la porta di uplink sullo switch ECS non è configurata come porta trunk che trasporta quella VLAN. Il dispositivo viene posizionato su una VLAN in cui non è raggiungibile alcun server DHCP. Soluzione: configurare la porta di uplink dello switch ECS come trunk, consentendo esplicitamente l'ID VLAN restituito dal server RADIUS.

Q3. Un amministratore di proprietà build-to-rent ti chiede perché consigli EnGenius MyPSK invece di creare un SSID separato per ciascuna delle 80 unità abitative. Fornisci una giustificazione tecnica.

Suggerimento: Considera l'impatto dei beacon SSID sulle prestazioni WiFi.

Visualizza risposta modello

Ogni SSID trasmette frame di beacon a intervalli regolari (in genere ogni 100 ms). In un ambiente denso, 80 SSID genererebbero un sovraccarico costante di beacon consumando molto tempo di trasmissione (airtime), riducendo la capacità disponibile per il traffico dati effettivo e peggiorando le prestazioni per tutti gli utenti. La maggior parte degli access point aziendali impone inoltre un limite pratico di 8-16 SSID per radio. MyPSK offre lo stesso isolamento (ogni residente su una VLAN univoca con una chiave di crittografia univoca) utilizzando un singolo SSID, eliminando completamente il sovraccarico dei beacon. La PMK per singolo utente impedisce inoltre ai residenti di decifrare il traffico reciproco, cosa che una singola PSK condivisa non può evitare.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.