Integrazione di Alta Labs con Purple WiFi: installazione e configurazione del Captive Portal

Sintesi operativa

Gli access point Alta Labs AP6 e AP6 Pro si integrano con il captive portal in cloud di Purple utilizzando l'autenticazione RADIUS standard e il reindirizzamento HTTP. L'AP intercetta il traffico guest non autenticato, lo reindirizza alla tua splash page di Purple e concede l'accesso una volta che il server RADIUS di Purple restituisce un messaggio di Access-Accept. Per gli ambienti multi-tenant, la tecnologia AltaPass di Alta Labs assegna ogni dispositivo di connessione a una VLAN e a una policy di larghezza di banda univoche in base alla password utilizzata, senza richiedere SSID aggiuntivi. Questa guida fornisce i passaggi di configurazione esatti, gli elenchi dei domini walled garden e i parametri RADIUS per implementare l'integrazione da zero. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple). L'hardware di Alta Labs è ideale per MSP e installatori di smart office che necessitano di una segmentazione di livello enterprise a un prezzo competitivo.

Architettura tecnica

L'integrazione si sviluppa su tre livelli: la piattaforma di gestione cloud di Alta Labs, l'hardware AP6 o AP6 Pro all'edge e l'infrastruttura cloud di Purple che gestisce l'autenticazione e l'analisi.

Quando un ospite si connette all'SSID aperto o WPA3-OWE, l'AP inserisce il dispositivo in uno stato di pre-autenticazione limitato. Tutto il traffico HTTP in uscita viene intercettato e reindirizzato all'URL della splash page di Purple. Il dispositivo può raggiungere solo i domini esplicitamente elencati nel walled garden fino al completamento dell'autenticazione. Una volta che l'ospite invia le proprie credenziali sulla splash page di Purple, il server RADIUS di Purple invia un Access-Accept all'AP, che rimuove la restrizione e concede l'accesso completo a Internet. Purple registra i dati della sessione (tipo di dispositivo, tempo di permanenza, metodo di accesso) e li rende disponibili nella dashboard WiFi Analytics .

Per le reti del personale e del back-of-house, lo stesso hardware AP gestisce l'autenticazione WPA2/WPA3-Enterprise (IEEE 802.1X). L'AP funge da client RADIUS, inoltrando le richieste di autenticazione all'infrastruttura SecurePass di Purple, che a sua volta convalida le credenziali rispetto a Microsoft Entra ID, Okta o Google Workspace. La risposta RADIUS Access-Accept contiene l'attributo Tunnel-Private-Group-Id, che l'AP utilizza per posizionare dinamicamente il dispositivo sulla VLAN corretta.

Guida all'implementazione

Passaggio 1: Aggiungere la sede e l'hardware in Purple

Prima di intervenire sul controller Alta Labs, registra l'implementazione in Purple.

1. Accedi al portale di gestione di Purple e naviga su Management > Locations.
2. Seleziona Venues and Groups > Add venue e completa la procedura guidata per la sede.
3. Dalla tua sede, seleziona Hardware > Add hardware > Add new hardware.
4. Imposta il tipo di hardware su WiFi AP e seleziona il tipo di AP appropriato.
5. Inserisci l'indirizzo MAC di ciascuna unità Alta Labs AP6 o AP6 Pro.
6. Fai clic su View Manual Online per recuperare gli indirizzi IP del server RADIUS, le porte e la chiave segreta condivisa (shared secret) per questa sede. Registra questi valori: ti serviranno nel Passaggio 3.

Passaggio 2: Configurare l'SSID guest in Alta Labs

Accedi alla piattaforma Alta Labs Cloud Management all'indirizzo manage.alta.inc.

1. Naviga su Settings > WiFi e seleziona l'SSID destinato all'accesso guest.
2. In Advanced Settings, imposta il tipo di rete su Guest. Questo applica automaticamente l'isolamento dei client.
3. Scorri fino alla sezione Hotspot e seleziona External.
4. Nel campo Redirect URL, incolla l'URL della splash page di Purple fornito nelle impostazioni hardware della tua sede (ad es. https://region1.purpleportal.net/access/).
5. Inserisci l'Authorisation Secret (chiave segreta condivisa RADIUS) dalle impostazioni della tua sede Purple.
6. Fai clic su Save.

Passaggio 3: Configurare l'autenticazione RADIUS

Con il reindirizzamento esterno attivo, configura le impostazioni RADIUS in modo che l'AP possa comunicare con l'infrastruttura di autenticazione di Purple.

Per le distribuzioni ad alta disponibilità, configura il server RADIUS secondario utilizzando l'indirizzo IP di backup fornito da Purple.

Passaggio 4: Definire il walled garden

Il walled garden consente l'accesso a domini specifici prima del completamento dell'autenticazione. Eventuali voci mancanti interromperanno il flusso del captive portal o impediranno il caricamento dei social login. Inserisci i seguenti domini nel campo Additional Authorised Hosts / IPs nella configurazione dell'Hotspot di Alta Labs.

Infrastruttura Purple (richiesto)

Sonde del captive portal del sistema operativo (richiesto)

Social login (aggiungere in base al provider abilitato)

AltaPass PPSK e segmentazione multi-tenant

AltaPass è l'implementazione in attesa di brevetto di Alta Labs delle Private Pre-Shared Keys (PPSK). Consente a un singolo SSID di supportare più password univoche, con ciascuna password associata a una VLAN distinta, un limite di larghezza di banda, una pianificazione e una regola di bypass dell'hotspot. Ciò elimina la necessità di trasmettere SSID separati per ciascun inquilino, gruppo di personale o categoria di dispositivi.

Configurazione di AltaPass nella dashboard di Alta Labs

1. Seleziona il tuo SSID e naviga nella sezione di gestione delle password.
2. Fai clic sul pulsante purple del tipo di rete a sinistra di ciascun inserimento di password.
3. Assegna un ID VLAN alla password. I client che si connettono con questa password verranno inseriti nella subnet VLAN specificata.
4. Imposta i limiti di larghezza di banda (upload e download) per password come richiesto.
5. Abilita o disabilita il bypass del Captive Portal per password. I dispositivi IoT e i terminali POS in genere bypassano il Captive Portal.
6. Applica restrizioni di pianificazione se richiesto (ad es. limita l'accesso a Internet per determinati dispositivi al di fuori dell'orario di lavoro).

Per un edificio residenziale di 72 unità, questo significa un unico SSID e oltre 72 password univoche: una per unità, una per la gestione, una per il sistema di automazione dell'edificio. Ciascuna password è associata a una VLAN e a una subnet isolate. I residenti della fascia standard ricevono 100 Mbps. I residenti premium ricevono 300 Mbps. Il team di gestione dell'edificio non ha restrizioni. I dispositivi IoT sono isolati su una VLAN dedicata con deep packet inspection abilitata. Questo è il modello di implementazione che riduce il numero di SSID da 72 a uno.

Assegnazione dinamica della VLAN tramite RADIUS

Per le reti del personale 802.1X, l'assegnazione della VLAN funziona tramite gli attributi RADIUS anziché PPSK. La risposta RADIUS Access-Accept deve includere:

Importante: imposta la VLAN predefinita sull'SSID su VLAN 1 (or lasciala non taggata) quando utilizzi VLAN assegnate tramite RADIUS. Se la VLAN predefinita è impostata su un valore specifico, l'AP potrebbe ignorare l'assegnazione RADIUS con quella predefinita configurata. Questo è un comportamento noto nel firmware attuale di Alta Labs.

Best practice

Le seguenti raccomandazioni si applicano a qualsiasi implementazione Alta Labs con Purple, indipendentemente dal tipo di sede.

Utilizza la risoluzione DNS dinamica per le voci del walled garden. I provider OAuth e le CDN ruotano frequentemente gli indirizzi IP. Una whitelist di IP statici diventerà obsoleta nel tempo. Configura il controller Alta Labs per risolvere dinamicamente i domini del walled garden e imposta un TTL DNS non inferiore a 30 secondi per evitare un carico di query eccessivo.

Definisci l'ambito del walled garden con precisione. Inserisci in whitelist solo i domini richiesti per il flusso di autenticazione. Un'eccessiva inclusione in whitelist, in particolare l'aggiunta di voci wildcard per domini di grandi dimensioni, crea un vettore di bypass che vanifica lo scopo del Captive Portal.

Esegui test con dispositivi non autenticati prima della messa in servizio. Utilizza un dispositivo che non si è mai connesso alla rete. I dispositivi precedentemente autenticati potrebbero aver memorizzato nella cache le autorizzazioni MAC o le voci DNS, mascherando eventuali errori del walled garden. Verifica passo dopo passo ogni metodo di accesso che intendi offrire.

Verifica i domini del walled garden trimestralmente. Apple, Google e Meta aggiornano periodicamente le loro strutture di dominio OAuth. Inserisci una revisione trimestrale nel tuo calendario operativo per rilevare eventuali variazioni prima che interessino gli utenti.

Segmenta i dispositivi IoT fin dall'inizio. Utilizza AltaPass per assegnare i dispositivi IoT a una VLAN dedicata con il bypass dell'hotspot abilitato. Unire il traffico IoT con il traffico guest o del personale crea rischi non necessari e complica la risposta agli incidenti.

Per una panoramica più ampia dell'architettura di sicurezza WiFi aziendale, consulta la nostra guida su Sicurezza WiFi aziendale: una guida completa per il 2026 .

Risoluzione dei problemi e mitigazione dei rischi

La splash page non viene visualizzata su iOS. La causa più comune è la mancanza della voce captive.apple.com nel walled garden. iOS utilizza questo dominio per rilevare i Captive Portal. Se il probe è bloccato, il Captive Network Assistant non si avvia mai e l'utente visualizza un errore di connettività generico.

Il social login restituisce una schermata vuota o un errore CORS. Controlla il walled garden per verificare la presenza di sottodomini CDN o API mancanti. *.fbcdn.net di Facebook e gstatic.com di Google sono le voci omesse più di frequente. Utilizza gli strumenti di sviluppo del browser in una sessione non autenticata per identificare quali richieste di dominio stanno fallendo.

L'assegnazione della VLAN non riesce con AltaPass. Verifica che la porta dello switch a monte che si connette all'AP sia configurata come porta trunk e consenta le VLAN taggate. Una porta dello switch in modalità di accesso eliminerà i frame taggati in modo invisibile, lasciando il client senza un indirizzo IP.

L'autenticazione RADIUS va in timeout. Verifica che le porte UDP 1812 e 1813 siano aperte in uscita sul firewall perimetrale. Controlla che la chiave segreta condivisa nella configurazione di Alta Labs corrisponda esattamente al valore nelle impostazioni della sede di Purple: una mancata corrispondenza anche di un solo carattere causerà il fallimento di tutte le richieste di autenticazione.

L'assegnazione dinamica della VLAN inserisce gli utenti nella VLAN errata. Imposta la VLAN predefinita sull'SSID 802.1X su VLAN 1. Se la VLAN predefinita è impostata su un valore specifico, l'AP potrebbe ignorare la VLAN assegnata da RADIUS. Questo è un comportamento a livello di firmware confermato nel forum della community di Alta Labs.

ROI e impatto aziendale

L'implementazione dell'hardware Alta Labs con Purple Guest WiFi offre ritorni misurabili su tre dimensioni: efficienza operativa, acquisizione dati e postura di sicurezza.

Dal punto di vista operativo, il consolidamento di più SSID in un'unica rete gestita da AltaPass riduce i costi di gestione e migliora le prestazioni wireless. Meno SSID significano meno sovraccarico dei beacon frame, il che si traduce direttamente in un throughput più elevato per tutti i dispositivi connessi.

Dal punto di vista dei dati, il Captive Portal di Purple acquisisce dati di prima parte verificati a ogni accesso. Le sedi che utilizzano i piani Capture ed Engage di Purple registrano un aumento del 40% delle iscrizioni al database di marketing rispetto al WiFi guest non gestito (dati interni di Purple). Quei dati fconfluisce direttamente in WiFi Analytics , offrendo ai team di marketing visibilità sui modelli di affluenza, sui tempi di permanenza e sui tassi di visite ripetute.

Sul fronte della sicurezza, l'assegnazione dinamica delle VLAN isola il traffico di ospiti, personale e IoT all'edge. Combinata con l'infrastruttura certificata ISO 27001 di Purple e la gestione dei dati conforme al GDPR, questa architettura soddisfa i requisiti di segmentazione della rete PCI DSS per le strutture che gestiscono pagamenti con carta.

Specificamente per le implementazioni nel settore hospitality , la combinazione di splash page personalizzate, integrazioni con i programmi di fidelizzazione e controlli della larghezza di banda per singolo dispositivo crea un'esperienza ospite differenziata senza aggiungere complessità al team di gestione della rete.

Per gli ambienti retail , la possibilità di segmentare i terminali POS dal WiFi ospiti sulla stessa infrastruttura fisica - utilizzando le regole di bypass AltaPass - elimina la necessità di cablaggi o hardware separati, riducendo sia le spese in conto capitale che quelle operative.

Guide correlate: Arista Cognitive Wi-Fi Integration with Purple WiFi | Configurazione del Walled Garden per il WiFi ospiti