Integrazione di Alta Labs con Purple WiFi: Configurazione e Configurazione del Captive Portal

Questa guida di riferimento tecnico copre l'integrazione end-to-end degli access point Alta Labs AP6 e AP6 Pro con il captive portal ospitato in cloud di Purple. Dettaglia la configurazione del reindirizzamento esterno, l'autenticazione RADIUS, i requisiti del walled garden e la segmentazione multi-tenant tramite le chiavi pre-condivise private AltaPass. I gestori delle sedi e i team IT disporranno di un playbook di implementazione ripetibile per ambienti hospitality, retail e uffici intelligenti.

📖 8 minuti di lettura📝 1,844 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

SCRIPT DEL PODCAST: Integrazione di Alta Labs con Purple WiFi: Configurazione e Configurazione del Captive Portal
Purple WiFi Intelligence Platform - Serie di Briefing Tecnici
Durata: Circa 10 minuti
Voce: Inglese britannico, tono da consulente senior - sicuro, colloquiale, autorevole

---

[INTRODUZIONE - 1 MINUTO]

Benvenuti alla serie di Briefing Tecnici di Purple. Sono il vostro ospite e oggi analizzeremo l'integrazione tra gli access point di Alta Labs e la piattaforma di intelligence Purple WiFi.

Se siete responsabili IT, architetti di rete o direttori operativi di una sede che desiderano implementare una soluzione WiFi per ospiti robusta e scalabile, questo briefing fa al caso vostro. Copriremo la configurazione specifica per Alta Labs AP6 e AP6 Pro, come configurare il reindirizzamento del captive portal esterno e le impostazioni cruciali del walled garden necessarie per far funzionare concretamente i login social nel mondo reale. Approfondiremo anche AltaPass - l'implementazione di Alta Labs delle chiavi pre-condivise private, o PPSK - e come utilizzarla per segmentare ambienti multi-tenant senza compromettere le prestazioni RF con un eccesso di SSID.

Iniziamo.

---

[APPROFONDIMENTO TECNICO - 5 MINUTI]

L'integrazione tra Alta Labs e Purple si basa su due concetti di rete fondamentali: il reindirizzamento HTTP per il captive portal e RADIUS per l'autenticazione e la contabilità.

Quando un ospite entra nella vostra struttura - ad esempio, un negozio al dettaglio o la hall di un hotel - e si connette alla vostra rete ospiti aperta o WPA3-OWE, l'AP Alta Labs funge da guardiano. Intercetta le richieste HTTP iniziali del client e le reindirizza alla vostra pagina di benvenuto personalizzata di Purple.

Per configurare questo aspetto nella piattaforma Cloud Management di Alta Labs, andate su impostazioni WiFi, selezionate il vostro SSID ospite e, in Impostazioni Avanzate, impostate il tipo di rete su Ospite. Questo passaggio è fondamentale perché applica automaticamente l'isolamento dei client, impedendo ai dispositivi di comunicare lateralmente all'interno della rete. Successivamente, nella sezione Hotspot, selezionate Esterno e inserite l'URL di reindirizzamento Purple fornito nelle impostazioni della vostra sede, insieme al vostro Segreto di Autorizzazione.

Ma è proprio qui che la maggior parte delle implementazioni incontra un ostacolo: il walled garden.

Il walled garden è l'elenco di domini e indirizzi IP a cui un dispositivo è autorizzato ad accedere prima di essere autenticato. Se volete che gli ospiti effettuino l'accesso utilizzando Google, Facebook o Apple, i loro dispositivi devono poter raggiungere i server OAuth di questi servizi mentre si trovano ancora nello stato di pre-autenticazione.

È necessario inserire esplicitamente nella whitelist i domini dell'infrastruttura Purple, come region1.purpleportal.net e cloudfront.net. Successivamente, occorre aggiungere i probe del captive portal del sistema operativo: captive.apple.com per iOS e connectivitycheck.gstatic.com per Android. Se bloccate questi indirizzi, il telefono non saprà di trovarsi dietro un captive portal e la pagina di benvenuto non apparirà mai.

Infine, si aggiungono i domini per il social login. Per Google, si tratta di accounts.google.com, oauth2.googleapis.com e gstatic.com. Per Facebook, sono facebook.com, graph.facebook.com e i domini fbcdn.net. Una whitelist di IP statici non funzionerà in questo caso, poiché questi provider utilizzano reti di distribuzione dei contenuti dinamiche. È necessario utilizzare i nomi di dominio e assicurarsi che il controller esegua la risoluzione DNS dinamica.

Una volta che l'utente completa l'accesso sulla splash page di Purple, il server RADIUS di Purple invia un messaggio di Access-Accept all'AP di Alta Labs. L'AP rimuove quindi la restrizione del walled garden e concede al dispositivo l'accesso completo a Internet. Si tratta di un flusso pulito e sicuro che acquisisce dati di prima parte mantenendo l'integrità della rete.

Ora parliamo della segmentazione multi-tenant.

In ambienti come uffici intelligenti, alloggi per studenti o unità abitative plurifamiliari, è spesso necessario fornire reti sicure e isolate per diversi gruppi. In passato, i team IT trasmettevano un SSID separato per ogni tenant. Questa è una pessima pratica. Causa un enorme sovraccarico di gestione e distrugge le prestazioni wireless a causa del sovraccarico dei beacon frame.

Alta Labs risolve questo problema con AltaPass, la loro versione di Private Pre-Shared Keys. Con AltaPass, viene trasmesso un singolo SSID - chiamiamolo BuildingWiFi. Tuttavia, si generano password univoche per diversi utenti o dispositivi.

Quando il Tenant A inserisce la sua password specifica, l'AP lo assegna dinamicamente alla VLAN 101 con un limite di larghezza di banda di 100 Megabit. Quando il team di gestione inserisce la propria password sullo stesso SSID, viene inserito nella VLAN 200 con larghezza di banda illimitata. È anche possibile creare una password per i dispositivi IoT, come i termostati intelligenti, che li assegna a una VLAN isolata e bypassa completamente il Captive Portal.

Un solo SSID. Password illimitate. Isolamento completo. Questo è l'Identity-Based Networking all'edge, ed è una soluzione davvero elegante a un problema che affligge le distribuzioni multi-tenant da anni.

Permettetemi di fornirvi un esempio concreto di come questo funzioni nella pratica. Consideriamo un complesso residenziale di 72 unità, un tipo di installazione reale per cui Alta Labs è stato ampiamente utilizzato. Invece di trasmettere 72 SSID separati, l'amministratore di rete crea un unico SSID e genera una password univoca per ogni unità. Ogni password è associata a una VLAN e a una sottorete dedicate. I residenti del livello base ottengono 100 Megabit. I residenti che hanno pagato per il livello premium ottengono 300 Megabit. Il team di gestione dell'edificio ottiene un accesso illimitato. Il sistema di automazione dell'edificio (serrature delle porte, HVAC, ascensori) ottiene la propria VLAN isolata con deep packet inspection abilitata. Tutto da un unico SSID. L'ambiente RF è più pulito, le prestazioni sono più elevate e la gestione è notevolmente più semplice.

Ora passiamo alla configurazione 802.1X per il Wi-Fi sicuro del personale.

Per la rete del personale, non dovresti utilizzare affatto una chiave precondivisa. Dovresti utilizzare WPA2 o WPA3 Enterprise con autenticazione 802.1X. Nella piattaforma Alta Labs, puoi configurare questo selezionando l'SSID del personale, impostando la modalità di sicurezza su WPA2-Enterprise o WPA3-Enterprise e indirizzando l'AP al tuo server RADIUS.

Se ti stai integrando con il prodotto SecurePass di Purple, Purple funge da intermediario RADIUS, connettendosi al tuo provider di identità - che si tratti di Microsoft Entra ID, Okta o Google Workspace - e restituendo l'assegnazione VLAN appropriata nel messaggio Access-Accept. L'AP Alta Labs legge l'attributo Tunnel-Private-Group-Id dalla risposta RADIUS e inserisce automaticamente il dispositivo nella VLAN corretta.

Una nota importante sull'assegnazione dinamica delle VLAN con Alta Labs: quando configuri le VLAN assegnate tramite RADIUS, imposta la VLAN predefinita sull'SSID su VLAN 1 o lasciala non taggata. Esiste un comportamento noto per cui, se la VLAN predefinita è impostata su un valore specifico, l'AP potrebbe sovrascrivere la VLAN assegnata da RADIUS con quella predefinita configurata. Impostare il valore predefinito su VLAN 1 garantisce che l'assegnazione RADIUS abbia la precedenza.

---

[RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI - 2 MINUTI]

Quando distribuisci questa soluzione, ci sono alcune raccomandazioni chiave che desidero evidenziare.

In primo luogo, testa sempre il flusso del Captive Portal con un dispositivo nuovo. Non utilizzare il tuo telefono se ti sei già connesso alla rete durante i test. Il tuo dispositivo ricorda l'autorizzazione dell'indirizzo MAC o ha memorizzato in cache le voci DNS, il che maschererà eventuali errori del walled garden. Prendi un tablet che non si è mai connesso alla rete, connettilo e verifica che l'assistente del Captive Portal del sistema operativo si avvii automaticamente.

In secondo luogo, fai attenzione all'inserimento eccessivo in whitelist. Spesso vedo ingegneri che, frustrati dagli errori di login social, inseriscono in whitelist interi domini con caratteri jolly o enormi blocchi IP. Questo crea una vulnerabilità di sicurezza in cui gli utenti più esperti possono aggirare completamente il tuo Captive Portal. Limitati ai domini specifici richiesti per il flusso OAuth.

In terzo luogo, quando distribuisci AltaPass PPSK con VLAN dinamiche, assicurati che l'intera infrastruttura di switching sia configurata correttamente. Le porte dello switch che si collegano ai tuoi AP Alta Labs devono essere configurate come trunk, consentendo a tutte le VLAN taggate di passare verso il gateway. Se l'AP tagga il traffico per la VLAN 101, ma la porta dello switch è impostata in modalità access sulla VLAN 1, il traffico viene interrotto e il client non riceve alcun indirizzo IP.

In quarto luogo, implementa una revisione trimestrale della configurazione del tuo walled garden. I provider OAuth e le reti di distribuzione dei contenuti (CDN) modificano le strutture dei loro domini. Apple ha aggiornato i suoi domini di Sign In due volte nel 2023. Un walled garden corretto al momento della distribuzione perderà l'allineamento senza una manutenzione attiva.

---

[DOMANDE E RISPOSTE RAPIDE - 1 MINUTO]

Esaminiamo un paio di domande rapide che riceviamo spesso sul campo.

Domanda uno: posso utilizzare il WPA3 con il Captive Portal di Purple su hardware Alta Labs?

Sì. È consigliabile utilizzare WPA3-OWE, che sta per Opportunistic Wireless Encryption. Questo protocollo crittografa i dati via etere, proteggendo la privacy degli ospiti, pur continuando a funzionare come una rete aperta che attiva il reindirizzamento al Captive Portal. È la scelta giusta per qualsiasi nuova implementazione di guest WiFi nel 2026.

Seconda domanda: Quali porte devo aprire sul mio firewall per il traffico RADIUS?

I server RADIUS di Purple comunicano tramite la porta UDP 1812 per l'autenticazione e la porta UDP 1813 per l'accounting. Assicurati che il tuo firewall perimetrale consenta il traffico in uscita su queste porte dagli AP di Alta Labs verso l'infrastruttura Purple.

Terza domanda: Posso utilizzare AltaPass PPSK insieme al Captive Portal di Purple sullo stesso SSID?

Sì, e questa è in realtà una configurazione molto utile. Puoi creare una password AltaPass che esclude il Captive Portal per i dispositivi noti, come i terminali POS o la segnaletica digitale, mentre le connessioni standard allo stesso SSID passano comunque attraverso la splash page di Purple. Questo ti consente di avere un unico SSID pulito che gestisce sia i dispositivi autenticati che gli utenti ospiti.

---

[RIASSUNTO E PROSSIMI PASSI - 1 MINUTO]

Per concludere: l'integrazione di Alta Labs con Purple WiFi ti offre una piattaforma sicura e scalabile per acquisire dati di prima parte e offrire un'esperienza ospite personalizzata con il tuo brand.

Ricorda i tre pilastri per un'implementazione di successo. Primo, configura accuratamente il reindirizzamento dell'hotspot esterno e le impostazioni RADIUS nella piattaforma Alta Labs Cloud Management. Secondo, definisci meticolosamente i domini del tuo walled garden per garantire che i probe del sistema operativo e i social login funzionino correttamente. E terzo, sfrutta AltaPass PPSK per implementare l'Identity-Based Networking, segmentando il traffico senza inquinare lo spazio aereo con SSID non necessari.

Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024. La piattaforma è certificata ISO 27001, conforme al GDPR e progettata per scalare da un singolo boutique hotel a una catena di vendita al dettaglio nazionale. Se a questo si aggiungono le prestazioni e la flessibilità dell'hardware Alta Labs, si ottiene uno stack Wi-Fi aziendale davvero straordinario.

Se segui questa guida, offrirai un'esperienza Wi-Fi fluida e conforme alle normative, di cui sia il tuo team di marketing che il tuo team di sicurezza saranno entusiasti.

Grazie per aver seguito la serie Purple Technical Briefing. Alla prossima, continua a mantenere le tue reti sicure e i tuoi dati pronti all'azione.

Punti chiave

✓Alta Labs AP6 e AP6 Pro si integrano con Purple tramite reindirizzamento standard a Captive Portal esterno e autenticazione RADIUS - non sono necessarie API proprietarie.
✓Un walled garden configurato correttamente è l'elemento più critico e più frequentemente configurato in modo errato: inserisci in whitelist i domini Purple, tutti i probe dei Captive Portal dei sistemi operativi e ogni provider di social login abilitato.
✓La risoluzione DNS dinamica è essenziale per le voci del walled garden - le whitelist di IP statici per i provider OAuth si degraderanno con la rotazione degli indirizzi IP delle CDN.
✓AltaPass PPSK consente a un singolo SSID di servire più tenant, gruppi di personale e dispositivi IoT con VLAN isolate e policy di larghezza di banda per singola password.
✓Quando si utilizzano VLAN assegnate tramite RADIUS sull'hardware Alta Labs, impostare la VLAN predefinita dell'SSID su 1 per evitare che l'AP sovrascriva l'assegnazione RADIUS.
✓Testare sempre le distribuzioni dei Captive Portal con dispositivi nuovi e non autenticati - i dispositivi precedentemente connessi mascherano i guasti del walled garden e del reindirizzamento.
✓Lo stack Purple e Alta Labs soddisfa i requisiti di segmentazione della rete PCI DSS e gli obblighi di gestione dei dati GDPR, rendendolo adatto ad ambienti retail e hospitality che elaborano pagamenti con carta.

Sintesi per la direzione

Gli access point Alta Labs AP6 e AP6 Pro si integrano con il Captive Portal in cloud di Purple utilizzando l'autenticazione RADIUS standard e il reindirizzamento HTTP. L'AP intercetta il traffico guest non autenticato, lo reindirizza alla tua splash page di Purple e concede l'accesso una volta che il server RADIUS di Purple restituisce un messaggio di Access-Accept. Per gli ambienti multi-tenant, la tecnologia AltaPass di Alta Labs assegna ogni dispositivo che si connette a una VLAN e a una policy di larghezza di banda univoche in base alla password utilizzata, senza richiedere SSID aggiuntivi. Questa guida fornisce i passaggi di configurazione esatti, gli elenchi di domini walled garden e i parametri RADIUS per implementare l'integrazione da zero. Purple opera in oltre 80.000 sedi attive e ha gestito 440 milioni di accessi nel 2024 (dati interni Purple). L'hardware Alta Labs è una soluzione ideale per gli MSP e gli installatori di uffici intelligenti che necessitano di una segmentazione di livello enterprise a un prezzo competitivo.

Architettura tecnica

L'integrazione si sviluppa su tre livelli: la piattaforma di gestione cloud Alta Labs, l'hardware AP6 o AP6 Pro all'edge e l'infrastruttura cloud di Purple che gestisce l'autenticazione e l'analisi.

Quando un ospite si connette all'SSID aperto o WPA3-OWE, l'AP inserisce il dispositivo in uno stato limitato di pre-autenticazione. Tutto il traffico HTTP in uscita viene intercettato e reindirizzato all'URL della splash page di Purple. Il dispositivo può raggiungere solo i domini esplicitamente elencati nel walled garden fino al completamento dell'autenticazione. Una volta che l'ospite invia le proprie credenziali sulla splash page di Purple, il server RADIUS di Purple invia un Access-Accept all'AP, che rimuove la restrizione e concede l'accesso completo a Internet. Purple registra i dati della sessione (tipo di dispositivo, tempo di permanenza, metodo di accesso) e li rende disponibili nella dashboard di WiFi Analytics .

Per le reti del personale e del retrobottega, lo stesso hardware AP gestisce l'autenticazione WPA2/WPA3-Enterprise (IEEE 802.1X). L'AP funge da client RADIUS, inoltrando le richieste di autenticazione all'infrastruttura SecurePass di Purple, che a sua volta convalida le credenziali rispetto a Microsoft Entra ID, Okta o Google Workspace. La risposta RADIUS Access-Accept contiene l'attributo Tunnel-Private-Group-Id, che l'AP utilizza per inserire dinamicamente il dispositivo nella VLAN corretta.

Guida all'implementazione

Passaggio 1: Aggiungere la sede e l'hardware in Purple

Prima di intervenire sul controller Alta Labs, registra l'installazione in Purple.

Accedi al portale di gestione di Purple e naviga su Management > Locations.
Seleziona Venues and Groups > Add venue e completa la procedura guidata per la sede.
Dalla tua location, seleziona Hardware > Aggiungi hardware > Aggiungi nuovo hardware.
Imposta il tipo di hardware su WiFi AP e seleziona il tipo di AP appropriato.
Inserisci l'indirizzo MAC di ciascuna unità Alta Labs AP6 o AP6 Pro.
Fai clic su Visualizza manuale online per recuperare gli indirizzi IP del server RADIUS, le porte e il segreto condiviso per questa location. Registra questi valori: ti serviranno nel Passaggio 3.

Passaggio 2: Configura l'SSID ospiti in Alta Labs

Accedi alla piattaforma Alta Labs Cloud Management su manage.alta.inc.

Naviga su Impostazioni > WiFi e seleziona l'SSID destinato all'accesso ospiti.
In Impostazioni avanzate, imposta il tipo di rete su Ospite. Questo applica automaticamente l'isolamento dei client.
Scorri fino alla sezione Hotspot e seleziona Esterno.
Nel campo URL di reindirizzamento, incolla l'URL della splash page Purple fornito nelle impostazioni hardware della tua location (ad es. https://region1.purpleportal.net/access/).
Inserisci il Segreto di autorizzazione (segreto condiviso RADIUS) dalle impostazioni della tua location Purple.
Fai clic su Salva.

Passaggio 3: Configura l'autenticazione RADIUS

Con il reindirizzamento esterno attivo, configura le impostazioni RADIUS in modo che l'AP possa comunicare con l'infrastruttura di autenticazione di Purple.

Parametro	Valore
IP server di autenticazione primario	Fornito dalle impostazioni della location Purple
Porta di autenticazione	UDP 1812
IP server di accounting primario	Fornito dalle impostazioni della location Purple
Porta di accounting	UDP 1813
Segreto condiviso	Fornito dalle impostazioni della location Purple

Per implementazioni ad alta disponibilità, configura il server RADIUS secondario utilizzando l'indirizzo IP di backup fornito da Purple.

Passaggio 4: Definisci il walled garden

Il walled garden consente domini specifici prima del completamento dell'autenticazione. Eventuali voci mancanti interromperanno il flusso del Captive Portal o impediranno il caricamento dei login social. Inserisci i seguenti domini nel campo Host / IP autorizzati aggiuntivi nella configurazione dell'Hotspot Alta Labs.

Infrastruttura Purple (richiesto)

Dominio	Scopo
`region1.purpleportal.net`	Hosting della splash page
`venuewifi.com`	Infrastruttura di reindirizzamento Purple
`cloudfront.net`	CDN per le risorse del portale

Probe del Captive Portal del sistema operativo (richiesto)

Dominio	OS
`captive.apple.com`	iOS / macOS
`connectivitycheck.gstatic.com`	Android
`msftconnecttest.com`	Windows

Social login (aggiungere in base al provider abilitato)

Provider	Domini
Google	`accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com`, `gstatic.com`
Facebook	`facebook.com`, `graph.facebook.com`, `connect.facebook.net`, `*.fbcdn.net`
Apple	`appleid.apple.com`, `idmsa.apple.com`, `*.apple.com`

AltaPass PPSK e segmentazione multi-tenant

AltaPass è l'implementazione in attesa di brevetto di Alta Labs delle Private Pre-Shared Keys (PPSK). Consente a un singolo SSID di supportare più password univoche, con ciascuna password associata a una VLAN distinta, limite di larghezza di banda, pianificazione e regola di bypass dell'hotspot. Ciò elimina la necessità di trasmettere SSID separati per ogni inquilino, gruppo di personale o categoria di dispositivi.

Configurazione di AltaPass nella dashboard di Alta Labs

Seleziona il tuo SSID e naviga nella sezione di gestione delle password.
Fai clic sul pulsante viola del tipo di rete a sinistra di ogni inserimento di password.
Assegna un ID VLAN alla password. I client che si connettono con questa password verranno inseriti nella sottorete VLAN specificata.
Imposta i limiti di larghezza di banda (upload e download) per password in base alle esigenze.
Abilita o disabilita il bypass dell'hotspot per password. I dispositivi IoT e i terminali POS in genere bypassano il Captive Portal.
Applica restrizioni di pianificazione se necessario (ad esempio, limitare l'accesso a Internet per determinati dispositivi al di fuori dell'orario di lavoro).

Per un edificio residenziale di 72 unità, questo significa un SSID e oltre 72 password univoche: una per unità, una per la gestione, una per il sistema di automazione dell'edificio. Ciascuna password è associata a una VLAN e a una sottorete isolate. I residenti del livello standard ricevono 100 Mbps. I residenti premium ricevono 300 Mbps. Il team di gestione dell'edificio non ha restrizioni. I dispositivi IoT sono isolati su una VLAN dedicata con ispezione approfondita dei pacchetti abilitata. Questo è il modello di implementazione che riduce il numero di SSID da 72 a uno.

Assegnazione dinamica della VLAN tramite RADIUS

Per le reti del personale 802.1X, l'assegnazione della VLAN avviene tramite gli attributi RADIUS anziché tramite PPSK. La risposta RADIUS Access-Accept deve includere:

Attributo	Valore
`Tunnel-Type`	13 (VLAN)
`Tunnel-Medium-Type`	6 (IEEE-802)
`Tunnel-Private-Group-Id`	ID VLAN di destinazione (es. "20")

Importante: imposta la VLAN predefinita sull'SSID su VLAN 1 (o lasciala non taggata) quando utilizzi VLAN assegnate da RADIUS. Se la VLAN predefinita è impostata su un valore specifico, l'AP potrebbe ignorare l'assegnazione RADIUS con quella predefinita configurata. Questo è un comportamento noto nell'attuale firmware di Alta Labs.

Best practice

Le seguenti raccomandazioni si applicano a qualsiasi implementazione di Alta Labs con Purple, indipendentemente dal tipo di sede.

Utilizza la risoluzione DNS dinamica per le voci del walled garden. I provider OAuth e le CDN ruotano frequentemente gli indirizzi IP. Una whitelist di IP statici si degraderà nel tempo. Configura il controller Alta Labs per risolvere dinamicamente i domini del walled garden e imposta un TTL DNS non inferiore a 30 secondi per evitare un carico di query eccessivo.

Definisci l'ambito del walled garden con precisione. Inserisci nella whitelist solo i domini richiesti per il flusso di autenticazione. Un inserimento eccessivo nella whitelist, in particolare l'aggiunta di voci con caratteri jolly per domini di grandi dimensioni, crea un vettore di bypass che vanifica lo scopo del Captive Portal. Testa con dispositivi non autenticati prima del go-live. Utilizza un dispositivo che non si è mai connesso alla rete. I dispositivi precedentemente autenticati potrebbero aver memorizzato nella cache le autorizzazioni MAC o le voci DNS, mascherando eventuali errori del walled garden. Esegui l'intera procedura per ogni metodo di accesso che intendi offrire.

Verifica i domini del walled garden trimestralmente. Apple, Google e Meta aggiornano periodicamente le strutture dei loro domini OAuth. Inserisci una revisione trimestrale nel tuo calendario operativo per intercettare eventuali variazioni prima che impattino sugli utenti.

Segmenta i dispositivi IoT fin dall'inizio. Utilizza AltaPass per assegnare i dispositivi IoT a una VLAN dedicata con il bypass dell'hotspot abilitato. Mischiare il traffico IoT con quello degli ospiti o del personale crea rischi non necessari e complica la gestione degli incidenti.

Per una panoramica più ampia sull'architettura di sicurezza WiFi aziendale, consulta la nostra guida su Enterprise WiFi Security: A Complete Guide for 2026 .

Risoluzione dei problemi e mitigazione dei rischi

La splash page non compare su iOS. La causa più comune è la mancanza della voce captive.apple.com nel walled garden. iOS utilizza questo dominio per rilevare i Captive Portal. Se il probe viene bloccato, il Captive Network Assistant non si avvia e l'utente visualizza un errore generico di connettività.

Il social login restituisce una schermata vuota o un errore CORS. Verifica nel walled garden la presenza di eventuali sottodomini CDN o API mancanti. *.fbcdn.net di Facebook e gstatic.com di Google sono le voci omesse più di frequente. Utilizza gli strumenti per sviluppatori del browser in una sessione non autenticata per identificare quali richieste di dominio stanno fallendo.

L'assegnazione della VLAN non riesce con AltaPass. Verifica che la porta dello switch a monte che si collega all'AP sia configurata come porta trunk e consenta le VLAN taggate. Una porta dello switch in modalità access scarterà i frame taggati in modo silenzioso, lasciando il client senza un indirizzo IP.

Timeout dell'autenticazione RADIUS. Conferma che le porte UDP 1812 e 1813 siano aperte in uscita sul firewall perimetrale. Verifica che la chiave segreta condivisa nella configurazione di Alta Labs corrisponda esattamente al valore nelle impostazioni della location di Purple: una discrepanza anche di un solo carattere farà fallire tutte le richieste di autenticazione.

L'assegnazione dinamica della VLAN inserisce gli utenti nella VLAN errata. Imposta la VLAN predefinita sull'SSID 802.1X su VLAN 1. Se la VLAN predefinita è impostata su un valore specifico, l'AP potrebbe ignorare la VLAN assegnata da RADIUS. Questo è un comportamento a livello di firmware confermato nel forum della community di Alta Labs.

ROI e impatto sul business

L'implementazione dell'hardware Alta Labs con Purple Guest WiFi offre ritorni misurabili su tre fronti: efficienza operativa, acquisizione dati e postura di sicurezza.

Dal punto di vista operativo, il consolidamento di più SSID in un'unica rete gestita da AltaPass riduce i costi di gestione e migliora le prestazioni wireless. Un minor numero di SSID significa meno sovraccarico di beacon frame, il che si traduce direttamente in un throughput più elevato per tutti i dispositivi connessi.

Sul fronte dei dati, il Captive Portal di Purple acquisisce dati di prima parte verificati a ogni accesso. Le strutture che utilizzano i piani Capture ed Engage di Purple registrano un aumento del 40% delle iscrizioni al database di marketing rispetto al WiFi per gli ospiti non gestito (dati interni di Purple). Questi dati confluiscono direttamente in WiFi Analytics , offrendo ai team di marketing visibilità sui modelli di affluenza, sui tempi di permanenza e sui tassi di visite ripetute.

Sul fronte della sicurezza, l'assegnazione dinamica delle VLAN isola il traffico di ospiti, personale e IoT all'edge. Combinata con l'infrastruttura certificata ISO 27001 di Purple e la gestione dei dati conforme al GDPR, questa architettura soddisfa i requisiti di segmentazione della rete PCI DSS per le strutture che elaborano pagamenti con carta.

Specificamente per le implementazioni nel settore hospitality , la combinazione di splash page personalizzate con il brand, integrazioni con i programmi di fidelizzazione e controlli della larghezza di banda per singolo dispositivo crea un'esperienza ospite differenziata senza aggiungere complessità al team delle operazioni di rete.

Per gli ambienti retail , la capacità di segmentare i terminali POS dal WiFi degli ospiti sulla stessa infrastruttura fisica - utilizzando le regole di bypass AltaPass - elimina la necessità di cablaggi o hardware separati, riducendo sia le spese in conto capitale che quelle operative.

Guide correlate: Integrazione di Arista Cognitive Wi-Fi con Purple WiFi | Configurazione del Walled Garden per il WiFi degli ospiti

Definizioni chiave

Captive portal

Una pagina web che intercetta il traffico di rete non autenticato e richiede all'utente di interagire (effettuando l'accesso, accettando i termini o pagando) prima di concedere l'accesso a Internet. Purple ospita la splash page nel cloud; l'AP di Alta Labs gestisce il reindirizzamento.

Il meccanismo principale per l'acquisizione dei dati degli ospiti nelle implementazioni WiFi nei settori hospitality, retail e pubblico.

Walled garden

Un elenco definito di domini e indirizzi IP a cui un dispositivo client può accedere prima di completare l'autenticazione del Captive Portal. Tutto ciò che si trova al di fuori dell'elenco viene bloccato fino all'accesso dell'utente.

Fondamentale per consentire il funzionamento delle API di login social, dei probe di rilevamento del sistema operativo e delle risorse CDN del portale prima del completamento dell'autenticazione.

PPSK (Private Pre-Shared Key)

Un metodo di sicurezza in cui è possibile utilizzare più password univoche su un singolo SSID, con ciascuna password che assegna il dispositivo di connessione a una VLAN specifica, a una policy di larghezza di banda e a una pianificazione degli accessi.

Alta Labs implementa questa tecnologia come AltaPass. Utilizzata in MDU, uffici intelligenti e stadi per fornire un accesso isolato senza la proliferazione di SSID.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA). Purple funge da server RADIUS; l'AP di Alta Labs funge da client RADIUS.

Il meccanismo che comunica all'AP che un ospite si è autenticato con successo e che gli deve essere concesso l'accesso a Internet.

Identity-Based Networking

Un'architettura di rete in cui i diritti di accesso, le VLAN e i limiti di larghezza di banda vengono applicati in base all'identità autenticata dell'utente o del dispositivo, anziché alla porta fisica o all'SSID a cui si connettono.

Il termine utilizzato da Purple per definire la combinazione di RADIUS, PPSK e assegnazione VLAN che consente policy coerenti in un'infrastruttura distribuita.

Dynamic VLAN assignment

Il processo di posizionamento di un dispositivo client su una specifica rete locale virtuale (VLAN) in base alle credenziali di autenticazione restituite da un server RADIUS, anziché a una mappatura statica da SSID a VLAN.

Essenziale per isolare il traffico del personale, degli ospiti e dell'IoT su un'infrastruttura wireless condivisa. Richiede i corretti attributi RADIUS: Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

Il meccanismo integrato nel sistema operativo su iOS, Android e Windows che rileva un Captive Portal interrogando un URL noto. Se la richiesta viene reindirizzata, il sistema operativo avvia un pseudo-browser per consentire all'utente di accedere.

Se i domini di probe del CNA sono bloccati nel walled garden, l'utente non visualizzerà mai la splash page. Questo è il motivo di errore più comune per i Captive Portal.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Uno standard che crittografa i dati in transito su reti aperte senza richiedere una password, proteggendo la privacy degli ospiti e consentendo al contempo il reindirizzamento al Captive Portal.

La modalità di sicurezza consigliata per gli SSID degli ospiti nel 2026. Fornisce crittografia senza l'attrito di una chiave precondivisa.

AltaPass

L'implementazione in attesa di brevetto di Alta Labs della tecnologia SSID multi-password. Consente a un singolo SSID di supportare password univoche illimitate, ciascuna con la propria VLAN, limite di larghezza di banda, pianificazione e impostazione di bypass dell'hotspot.

Lo strumento principale per la segmentazione multi-tenant sull'hardware Alta Labs. Sostituisce la necessità di più SSID nelle implementazioni residenziali, hospitality e uffici intelligenti.

Esempi pratici

Un hotel da 200 camere deve fornire un accesso WiFi a livelli: un livello base gratuito (10 Mbps) per gli ospiti standard, un livello premium a pagamento (50 Mbps) per i membri del programma fedeltà e una rete sicura per il personale delle pulizie. Desiderano evitare la trasmissione di più SSID per mantenere le prestazioni RF su 40 unità Alta Labs AP6 Pro.

Distribuisci un singolo SSID denominato "Hotel Guest WiFi" con AltaPass abilitato. Crea tre profili di password nel dashboard di Alta Labs: (1) una password per ospiti standard assegnata alla VLAN 10 con un limite di download di 10 Mbps e reindirizzamento hotspot esterno alla splash page di Purple; (2) una password per i membri del programma fedeltà assegnata alla VLAN 20 con un limite di 50 Mbps - Purple può distribuire questa password post-autenticazione tramite la sua marketing automation; (3) una password per il personale delle pulizie assegnata alla VLAN 30 senza limiti di larghezza di banda, con hotspot bypass abilitato e isolamento dei client disabilitato in modo che i dispositivi del personale possano comunicare con i sistemi interni. Configura gli uplink degli switch come trunk consentendo le VLAN 10, 20 e 30. Le VLAN ospiti e fedeltà instradano verso Internet tramite NAT. La VLAN del personale instrada verso la sottorete del sistema di gestione della proprietà.

Commento dell'esaminatore: Questo approccio utilizza AltaPass per ottenere un Identity-Based Networking senza la proliferazione di SSID. L'aspetto chiave è che l'hotspot bypass è un'impostazione per singola password, non per singolo SSID. Ciò consente allo stesso SSID di servire contemporaneamente sia gli ospiti del captive portal sia il personale con bypass abilitato. La distribuzione del livello fedeltà tramite il flusso post-autenticazione di Purple è un modello comune nel settore hospitality: l'ospite accede al livello standard e il motore di marketing di Purple invia un codice di accesso premium se soddisfa i criteri di fedeltà.

Una catena di negozi al dettaglio sta distribuendo Purple Guest WiFi in 50 punti vendita utilizzando l'hardware Alta Labs. Durante i test, la splash page si carica correttamente sui dispositivi Android, ma i dispositivi Apple iOS mostrano un errore generico "Nessuna connessione Internet" e non visualizzano la schermata di accesso. Il walled garden include il dominio del portale Purple e le voci di Google OAuth.

Aggiungi captive.apple.com al walled garden nella configurazione dell'Hotspot di Alta Labs. iOS utilizza questo dominio come probe del suo Captive Network Assistant. Quando il dispositivo si connette a una nuova rete, iOS invia una richiesta HTTP a captive.apple.com. Se riceve la risposta prevista, presume che la rete sia aperta. Se riceve un reindirizzamento, avvia il pseudo-browser. Se il dominio è completamente bloccato, iOS non può rilevare il captive portal e visualizza un errore di connettività. Una volta inserito il dominio nella whitelist, i dispositivi iOS rileveranno il reindirizzamento e avvieranno automaticamente la schermata di accesso.

Commento dell'esaminatore: Questo è in assoluto il caso di guasto del captive portal più comune sul campo. Android utilizza connectivitycheck.gstatic.com e Windows utilizza msftconnecttest.com per lo stesso scopo. Tutti e tre devono essere nel walled garden per una distribuzione multipiattaforma. Il problema è particolarmente fuorviante perché si presenta come un errore di connettività di rete piuttosto che come un errore del portale, portando i tecnici a indagare su DHCP e DNS prima di controllare il walled garden.

Domande di esercitazione

Q1. Stai distribuendo gli access point Alta Labs AP6 Pro in un centro congressi. Il cliente richiede un Captive Portal per i partecipanti, ma ha anche la necessità che i terminali POS si connettano in modo sicuro agli stessi access point senza visualizzare la splash page. Entrambi i tipi di dispositivi devono utilizzare lo stesso SSID per semplificare la segnaletica. Come configuri questa soluzione?

Suggerimento: AltaPass consente impostazioni di bypass del hotspot per singola password sullo stesso SSID.

Visualizza risposta modello

Abilita AltaPass sul singolo SSID. Crea una password per i terminali POS che li assegni a una VLAN sicura (ad es. VLAN 50) con il bypass del hotspot abilitato: questi dispositivi si connetteranno direttamente alla rete senza visualizzare il Captive Portal. Crea una password separata (o utilizza una connessione aperta) per i partecipanti che attivi il reindirizzamento esterno alla splash page di Purple sulla VLAN 10. Entrambi i tipi di dispositivi si connettono allo stesso SSID ma ricevono policy di rete diverse in base alla loro password.

Q2. Dopo aver configurato il Captive Portal di Purple su una rete Alta Labs, i dispositivi Android visualizzano correttamente la splash page, ma i dispositivi Apple iOS mostrano un errore generico "Nessuna connessione Internet" e non aprono la schermata di accesso. Il walled garden include il dominio del portale Purple e le voci di Google OAuth. Qual è la causa più probabile e come si risolve?

Suggerimento: iOS utilizza un dominio specifico per rilevare i Captive Portal. Se non riesce a raggiungere quel dominio, presume che la rete non abbia accesso a Internet.

Visualizza risposta modello

Nel walled garden manca captive.apple.com. iOS invia una sonda HTTP a questo dominio quando si connette a una nuova rete. Se la sonda è bloccata, iOS non può rilevare il Captive Portal e mostra un errore di connettività invece di avviare il Captive Network Assistant. Aggiungi captive.apple.com al walled garden nella configurazione dell'hotspot Alta Labs. Aggiungi anche connectivitycheck.gstatic.com per Android e msftconnecttest.com per Windows per garantire la compatibilità multipiattaforma.

Q3. Il direttore IT di uno stadio ha configurato le VLAN assegnate tramite RADIUS su una rete per il personale Alta Labs 802.1X. Il server RADIUS invia l'attributo Tunnel-Private-Group-Id corretto (VLAN 20), ma tutti i dispositivi del personale finiscono sulla VLAN 5, che è la VLAN predefinita configurata sull'SSID. Cosa sta causando questo problema e come lo risolvi?

Suggerimento: Esiste un comportamento noto nel firmware di Alta Labs relativo all'interazione tra la VLAN predefinita dell'SSID e le VLAN assegnate tramite RADIUS.

Visualizza risposta modello

L'AP Alta Labs sta sovrascrivendo la VLAN assegnata tramite RADIUS con il valore della VLAN predefinita dell'SSID. Questo è un comportamento noto del firmware: quando la VLAN predefinita sull'SSID è impostata su un valore specifico (VLAN 5 in questo caso), l'AP utilizza quel valore invece della VLAN restituita da RADIUS. La soluzione consiste nell'impostare la VLAN predefinita sull'SSID 802.1X su VLAN 1 (o lasciarla non taggata). Con la VLAN predefinita impostata su VLAN 1, l'AP si affida correttamente alla VLAN assegnata tramite RADIUS per ciascun utente autenticato.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.