Integrazione di Cisco WLC e Catalyst con Purple WiFi: guida passo-passo per l'accesso guest

Questa guida dettaglia l'integrazione passo-passo di Cisco WLC e Catalyst 9800 Wireless con Purple, coprendo il reindirizzamento al Captive Portal Guest WiFi tramite Central Web Authentication, il Wi-Fi protetto per il personale tramite 802.1X EAP-TLS e la segmentazione Multi-Tenant tramite Cisco Identity Pre-Shared Keys (iPSK) con assegnazione dinamica della VLAN. È scritta per architetti di reti aziendali e direttori della sicurezza IT che distribuiscono infrastrutture Cisco in settori quali hospitality, retail e grandi spazi pubblici.

📖 9 minuti di lettura📝 2,116 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e oggi esamineremo uno scenario di implementazione definitivo per gli architetti di rete aziendali: l'integrazione dei Wireless LAN Controller Cisco e dell'hardware Catalyst 9800 con la piattaforma Purple WiFi. Se gestite l'IT per una catena alberghiera, una rete retail o una grande struttura pubblica, sapete bene che affidarsi a chiavi pre-condivise di base rappresenta un rischio di sicurezza inaccettabile. Oggi illustreremo l'architettura passo-passo per segmentare la vostra rete, proteggere il vostro personale e trasformare il vostro guest WiFi in una risorsa basata sui dati.

Contestualizziamo lo scenario. Un ambiente wireless aziendale deve gestire tre profili distinti: Ospiti, Personale e dispositivi Headless o Tenant. Non è possibile trattarli allo stesso modo e non si possono trasmettere venti SSID diversi per gestirli. La soluzione è un'infrastruttura hardware unificata che sfrutta diversi meccanismi di autenticazione su un unico Cisco Catalyst 9800 Wireless LAN Controller.

Ora approfondiamo l'architettura tecnica. Il primo livello è il Guest WiFi. L'obiettivo qui è un accesso a basso attrito combinato con l'acquisizione dei dati. Raggiungiamo questo scopo utilizzando un SSID aperto e la Central Web Authentication, o CWA. Quando un ospite si connette, il WLC Cisco applica una Access Control List di pre-autenticazione. Questo è il vostro walled garden. Blocca l'accesso generale a Internet ma consente il traffico verso i domini di Purple e i servizi essenziali. Quando l'ospite tenta di navigare, il WLC intercetta la richiesta HTTP e lo reindirizza alla splash page del Captive Portal di Purple. Una volta autenticato, ad esempio tramite un modulo di registrazione, un login social o un codice monouso, Purple funge da server RADIUS. Invia un messaggio di Change of Authorization, noto come CoA, al WLC. Questo sposta il client su una VLAN guest isolata e concede l'accesso a Internet. L'intero flusso è automatizzato e ogni accesso viene registrato nella piattaforma di analytics di Purple.

Il secondo livello è il WiFi del Personale. Per i dispositivi aziendali, imponiamo l'autenticazione 802.1X. Nello specifico, EAP-TLS, che sta per Extensible Authentication Protocol Transport Layer Security. Questo metodo utilizza certificati digitali installati sui dispositivi aziendali tramite la piattaforma di Mobile Device Management, sia essa Microsoft Intune, Jamf o un'altra soluzione. Il WLC funge da autenticatore, passando i messaggi EAP al server RADIUS. Poiché utilizziamo i certificati, non ci sono password da rubare. Se un dispositivo viene smarrito o un dipendente si dimette, si revoca il certificato. L'accesso viene interrotto all'istante, senza modificare una password globale o interrompere il lavoro di altri utenti. EAP-TLS è lo standard di riferimento per la sicurezza aziendale.

Il terzo livello è il Wi-Fi Multi-Tenant o IoT. Pensa agli inquilini di un centro commerciale, ai membri di uno spazio di coworking o ai sensori di un edificio intelligente che non supportano lo standard 802.1X. Per questo, implementiamo Cisco Identity PSK, o iPSK. Tutti si connettono allo stesso SSID, ma il server RADIUS assegna una password univoca e una VLAN univoca a ciascun tenant in base al loro indirizzo MAC. Quando il dispositivo di un tenant si connette, il WLC invia una richiesta di autenticazione MAC al server RADIUS. Il server restituisce la PSK specifica per quel tenant come attributo Cisco AV-Pair, insieme a tre attributi RADIUS IETF standard per assegnare dinamicamente il client alla VLAN corretta. Tali attributi sono: Tunnel-Type, impostato su VLAN; Tunnel-Medium-Type, impostato su 802; e Tunnel-Private-Group-ID, impostato sull'ID della VLAN di destinazione. Il WLC elabora questi attributi e inserisce il dispositivo nel segmento di rete isolato corretto. iPSK offre la segmentazione aziendale con la semplicità d'uso tipica del mercato consumer.

Ora discutiamo le raccomandazioni di implementazione e le insidie che riscontriamo più frequentemente nelle implementazioni in produzione.

Il punto di errore più comune nelle distribuzioni guest è l'ACL del walled garden. Se i visitatori si connettono ma la splash page non viene visualizzata, controlla prima la configurazione DNS. Se l'ACL di pre-autenticazione blocca la porta UDP 53, il client non può risolvere i nomi di dominio. Il sistema operativo non avvierà il mini-browser del Captive Portal e l'ospite vedrà un errore "Nessuna connessione Internet". Consenti sempre esplicitamente il traffico DNS nella tua ACL di walled garden. Questo è il problema di supporto in assoluto più comune che riscontriamo.

La seconda insidia riguarda le implementazioni per il personale. Se scegli di implementare PEAP-MSCHAPv2 invece di EAP-TLS, perché non disponi ancora di una soluzione MDM per distribuire i certificati, devi configurare i dispositivi client in modo che convalidino esplicitamente il certificato del server RADIUS. Ciò significa specificare l'esatta Autorità di Certificazione da considerare attendibile e il nome del server previsto nel profilo Wi-Fi. Se lasci questa configurazione manuale all'utente finale, un utente malintenzionato può attivare un access point non autorizzato, presentare un certificato fraudolento e catturare le credenziali aziendali. Questo non è un attacco teorico. Si tratta di una minaccia reale e ampiamente documentata. Imponi la convalida del certificato tramite Criteri di gruppo per i dispositivi Windows e tramite profili MDM per macOS e dispositivi mobili.

La terza insidia riguarda le implementazioni iPSK. Se un client si connette ma riceve la VLAN errata, o non riesce a connettersi del tutto, la causa più probabile è che l'ID della VLAN di destinazione specificato nell'attributo Tunnel-Private-Group-ID non esista sul WLC. La VLAN deve essere creata e attiva sul controller prima che il server RADIUS possa indirizzarvi i client. Utilizza il comando debug radius sul WLC per verificare che gli attributi vengano ricevuti correttamente dal server RADIUS.

Ora passiamo a una sessione rapida di domande e risposte sulle richieste che riceviamo più spesso.

Domanda uno: Posso utilizzare il MAC Authentication Bypass invece di iPSK per i dispositivi IoT?

È possibile farlo, ma è sconsigliato. Gli indirizzi MAC vengono trasmessi in chiaro e sono estremamente facili da contraffare. Il MAC Authentication Bypass fornisce l'identificazione del dispositivo, non la sicurezza. L'iPSK fornisce una reale sicurezza crittografica per i dispositivi headless. Se il dispositivo supporta una qualsiasi forma di PSK, utilizza l'iPSK.

Seconda domanda: Purple supporta i controller Cisco Catalyst 9800 IOS-XE?

Sì. Purple supporta pienamente i moderni controller Catalyst 9800 IOS-XE e i controller legacy AireOS WLC. L'integrazione di RADIUS e Change of Authorization è completamente validata per entrambe le piattaforme.

Terza domanda: Come si gestisce la ridondanza del server RADIUS?

Configura sempre sia un server RADIUS primario sia uno secondario negli elenchi dei metodi AAA del tuo WLC. Il WLC passerà automaticamente al server secondario se il primario non risponde entro il timeout configurato. Purple fornisce due indirizzi IP del server RADIUS esattamente per questo scopo. Non distribuire mai un singolo server RADIUS in un ambiente di produzione.

Quarta domanda: Quali numeri di porta RADIUS utilizza Purple?

Purple utilizza la porta UDP 1812 per l'autenticazione e la porta UDP 1813 per l'accounting. Queste sono le porte standard registrate dallo IANA per RADIUS, come definito in RFC 2865 e RFC 2866.

Per riassumere i punti chiave del briefing odierno: controlla la tua attuale architettura wireless. Se utilizzi password condivise per il personale, pianifica una migrazione a 802.1X. Se stai trasmettendo più SSID per diversi tenant, consolidali utilizzando Cisco iPSK. Se la tua rete WiFi per gli ospiti è semplicemente una rete aperta senza acquisizione di dati, integrala con Purple per raccogliere dati di prima parte, incrementare il ritorno sull'investimento di marketing e garantire la conformità con i requisiti GDPR e PCI DSS.

Combinando l'infrastruttura di livello aziendale di Cisco con l'overlay cloud di Purple, offri una connettività sicura, segmentata e intelligente in tutta la tua sede. Purple opera in oltre 80.000 sedi attive e ha registrato 440 milioni di accessi nel 2024. La piattaforma è indipendente dall'hardware, certificata ISO 27001 e progettata per la scalabilità aziendale.

Il prossimo passo è chiaro. Consulta la guida alla configurazione passo-passo completa sul sito web di Purple, ottieni le credenziali del server RADIUS dal portale Purple e avvia oggi stesso l'integrazione con il tuo WLC Cisco. Per guide di configurazione dettagliate e documentazione specifica per l'hardware, visita il portale di supporto Purple all'indirizzo support dot purple dot ai.

Grazie per aver ascoltato questo Briefing Tecnico Purple. Alla prossima, resta al sicuro.

Punti chiave

✓Sostituisci le chiavi pre-condivise (Pre-Shared Keys) non sicure con un'architettura a tre livelli: Guest WiFi tramite Captive Portal, Staff WiFi tramite 802.1X EAP-TLS e Tenant/IoT WiFi tramite Cisco iPSK.
✓Integra Cisco WLC con Purple utilizzando Central Web Authentication (CWA) e RADIUS CoA per automatizzare l'onboarding degli ospiti e raccogliere dati di prima parte su scala.
✓Configura ACL di pre-autenticazione precise (walled garden) sul WLC, consentendo sempre il DNS (UDP 53), altrimenti il reindirizzamento al Captive Portal fallirà.
✓Distribuisci EAP-TLS per Staff WiFi per eliminare completamente le password e affidati ai certificati digitali distribuiti tramite MDM per garantire il massimo livello di sicurezza disponibile.
✓Utilizza Cisco iPSK con assegnazione dinamica della VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) per segmentare ambienti multi-tenant e IoT su un unico SSID.
✓Imponi sempre la convalida del certificato del server RADIUS sui dispositivi client quando utilizzi PEAP-MSCHAPv2 per prevenire il furto di credenziali da parte di access point non autorizzati.
✓Purple opera in oltre 80.000 sedi, è certificato ISO 27001 e GDPR e fornisce un'infrastruttura RADIUS ridondante: configura sia il server primario che quello secondario sul WLC.

Executive summary

Le reti wireless aziendali devono servire contemporaneamente diversi gruppi di utenti: ospiti che necessitano di un accesso a Internet senza ostacoli, personale che richiede un accesso sicuro alle risorse aziendali e dispositivi headless o di tenant che necessitano di isolamento reciproco. Affidarsi a un'unica chiave pre-condivisa (PSK) per uno qualsiasi di questi gruppi rappresenta un rischio per la sicurezza. Una singola credenziale compromessa espone l'intero segmento e la revoca dell'accesso richiede la modifica di una password globale, interrompendo il funzionamento di ogni dispositivo sulla rete.

Questa guida illustra dettagliatamente l'integrazione dei controller LAN wireless Cisco (WLC) e dell'hardware della serie Catalyst 9800 con l'overlay cloud di Purple. Forniamo la configurazione passo-passo per tre distinti livelli di autenticazione: una rete Guest WiFi aperta con reindirizzamento al Captive Portal gestito da Purple, una rete Secure Staff WiFi che utilizza l'autenticazione con certificato 802.1X EAP-TLS e un ambiente Multi-Tenant WiFi che utilizza le chiavi pre-condivise di identità Cisco (iPSK) con assegnazione dinamica della VLAN. Implementando questa architettura, isoli le risorse aziendali dal traffico dei visitatori, automatizzi il controllo degli accessi basato sull'identità e acquisisci dati di prima parte tramite la piattaforma WiFi Analytics di Purple. Purple opera in oltre 80.000 sedi attive e ha registrato 440 milioni di accessi nel 2024 (dati interni Purple), confermandosi come un overlay cloud collaudato per l'infrastruttura Cisco su scala globale.

Technical deep-dive: the three-tier architecture

Un'implementazione wireless aziendale moderna su hardware Cisco deve soddisfare diversi profili utente con requisiti di sicurezza e accesso differenti. L'integrazione tra Cisco WLC e Purple consente a un'infrastruttura hardware unificata di servire questi profili attraverso meccanismi di autenticazione distinti, tutti gestiti da un singolo controller Catalyst 9800.

Tier 1: Guest WiFi - Central Web Authentication (CWA)

Per i visitatori nei settori Hospitality e Retail, l'obiettivo è un onboarding senza attriti combinato con un'acquisizione dei dati conforme alle normative (GDPR). Questo risultato si ottiene utilizzando un SSID aperto abbinato alla Central Web Authentication (CWA). Quando un ospite si connette, il Cisco WLC applica un elenco di controllo degli accessi (ACL) di pre-autenticazione (il walled garden). Questa ACL blocca il traffico Internet generale consentendo al contempo il traffico verso i domini del Captive Portal di Purple, i DNS e gli endpoint di login social.

Quando l'ospite tenta di navigare, il WLC intercetta la richiesta HTTP e reindirizza alla splash page di Purple. L'ospite si autentica tramite il metodo scelto (social login, registrazione e-mail o codice voucher). Purple funge quindi da server RADIUS, inviando un messaggio RADIUS Change of Authorization (CoA) al WLC. Il CoA indica al WLC di spostare il client dallo stato di pre-autenticazione a uno stato di post-autenticazione su una VLAN ospiti isolata, garantendo l'accesso a Internet. Ogni accesso viene registrato nella piattaforma di analytics di Purple, acquisendo dati di prima parte in conformità con il GDPR e il CCPA.

Livello 2: Staff WiFi - 802.1X EAP-TLS

I dispositivi aziendali richiedono il massimo livello di sicurezza. Lo standard IEEE 802.1X definisce il controllo dell'accesso alla rete basato su porta (PNAC) e, se combinato con EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), offre un'autenticazione basata su certificato che elimina completamente le password. I certificati digitali vengono distribuiti ai dispositivi aziendali tramite Mobile Device Management (MDM) - Microsoft Intune, Jamf o equivalente. Il Cisco WLC funge da Authenticator, passando i messaggi EAP tra il supplicant (dispositivo) e il server RADIUS. Il server RADIUS convalida il certificato e restituisce un Access-Accept con attributi opzionali di assegnazione della VLAN.

Poiché l'autenticazione si basa su certificati anziché su password, non ci sono credenziali da sottrarre. Se un dispositivo viene smarrito o un dipendente si dimette, è sufficiente revocare il certificato. L'accesso si interrompe istantaneamente senza recare disturbo a nessun altro utente. Per una trattazione completa degli standard di sicurezza aziendali, inclusi WPA3 e Zero Trust, consulta la nostra guida su Enterprise WiFi Security: A Complete Guide for 2026 .

Livello 3: Multi-Tenant WiFi - Cisco iPSK e assegnazione dinamica della VLAN

In ambienti come alloggi per studenti, spazi di coworking o centri commerciali, è necessario disporre di reti private e segmentate per i diversi tenant senza trasmettere decine di SSID. Cisco Identity PSK (iPSK) risolve questo problema. Tutti i tenant si connettono a un unico SSID. Il WLC invia una richiesta di autenticazione MAC al server RADIUS per ogni dispositivo che si connette. Il server RADIUS restituisce la PSK specifica per quel tenant come attributo cisco-av-pair, insieme agli attributi RADIUS standard IETF per assegnare dinamicamente il client alla VLAN corretta.

I tre attributi RADIUS IETF che gestiscono l'assegnazione dinamica della VLAN sono:

Attributo RADIUS	ID	Valore
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	ID VLAN di destinazione (es., 31)

L'attributo Tunnel-Private-Group-ID è codificato come stringa, come definito nella RFC 2868. L'ID VLAN deve esistere sul WLC affinché l'assegnazione vada a buon fine.

Guida all'implementazione: configurazione di Cisco Catalyst 9800 WLC

I passaggi seguenti descrivono dettagliatamente la configurazione di un WLC Cisco Catalyst 9800 con sistema operativo IOS-XE per l'integrazione con Purple per il reindirizzamento della rete Guest WiFi. Per le implementazioni WLC AireOS legacy, le impostazioni equivalenti sono disponibili nel portale di supporto di Purple.

Passaggio 1: Configurare l'autenticazione e l'accounting RADIUS

È necessario indirizzare il WLC verso i server RADIUS di Purple per gestire l'autenticazione degli ospiti e l'accounting delle sessioni.

Passare a Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
Inserire l'indirizzo IP del server RADIUS primario di Purple, impostare auth-port su 1812, acct-port su 1813 e inserire la chiave segreta condivisa (shared secret) fornita dal portale Purple.
Abilitare Support for CoA (Supporto per CoA): questo parametro è obbligatorio per il reindirizzamento al Captive Portal.
Ripetere l'operazione per il server RADIUS secondario di Purple.
Passare a RADIUS > Server Groups > + Add e creare un gruppo contenente entrambi i server.
Passare a AAA Method List > Authorization > + Add, impostare il Tipo su network e indirizzarlo al gruppo di server RADIUS.
Passare a AAA Method List > Accounting > + Add, impostare il Tipo su identity e indirizzarlo allo stesso gruppo.

I comandi CLI equivalenti su IOS-XE sono:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Passaggio 2: Definire l'ACL di pre-autenticazione (walled garden)

L'ACL di pre-autenticazione consente il traffico verso la splash page di Purple e i servizi essenziali prima che l'utente si autentichi. Questo costituisce il walled garden.

Passare a Configuration > Security > ACL > + Add.
Creare un'ACL estesa IPv4 denominata Purple_Guest_Walled_Garden.
Aggiungere regole per negare (deny) il traffico verso l'IP di gestione del WLC e gli IP dei server RADIUS.
Aggiungere regole per consentire (permit) il DNS (porta UDP 53) verso i propri server DNS.
Aggiungere regole per consentire (permit) il traffico verso gli intervalli IP e i domini del walled garden di Purple (ottenere l'elenco aggiornato dal portale di supporto di Purple per lo specifico modello di hardware in uso).
Aggiungere una regola finale permit ip any any: il WLC reindirizzerà il traffico consentito alla CPU per l'elaborazione del portale.

Passaggio 3: Configurare la WLAN guest

Passare a Configuration > Tags & Profiles > WLANs > + Add.
Creare una WLAN denominata Guest-WiFi con il proprio SSID.
Sotto Security > Layer 2, impostare la sicurezza su None (Open).
Sotto Security > Layer 3, abilitare Web Policy e impostare il tipo di Web Auth su External.
Inserire l'URL di accesso di Purple nel campo di reindirizzamento.
Applicare l'ACL Purple_Guest_Walled_Garden.
Sotto Security > AAA Servers, assegnare i server RADIUS di Purple sia all'Autenticazione che all'Accounting.

Passaggio 4: Configurare il Policy Profile

Passare a Configuration > Tags & Profiles > Policy > + Add.
Sotto Access Policies, assegnare la VLAN 20 (o la VLAN guest designata).
Sotto Advanced, abilitare Allow AAA Override e NAC State.
Assegnare l'elenco dei metodi di accounting Purple.

L'equivalente in CLI:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Passaggio 5: Configurare iPSK per distribuzioni multi-tenant o IoT

Per iPSK, la configurazione WLAN differisce da quella guest. La WLAN utilizza WPA2-PSK con il filtraggio MAC abilitato e il Policy Profile ha l'AAA Override attivo per accettare la PSK e la VLAN per client dal server RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

Il server RADIUS (configurato in Purple o nella vostra piattaforma RADIUS) restituisce i seguenti attributi per gruppo di tenant:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Best practice

L'adesione a standard consolidati garantisce stabilità, sicurezza e conformità normativa in tutta la distribuzione.

Imporre una validazione rigorosa dei certificati. Quando si distribuisce l'802.1X, configurare i dispositivi client tramite MDM per considerare esplicitamente attendibile l'autorità di certificazione del server RADIUS e specificare il nome del server previsto. La mancata applicazione di questa misura rende i client vulnerabili agli attacchi da access point non autorizzati, in cui un utente malintenzionato presenta un certificato fraudolento per catturare le credenziali. Questo è un requisito tassativo, non una raccomandazione.

Isolare il traffico guest a livello di rete. Il WiFi guest deve terminare su una VLAN dedicata, isolata tramite firewall da tutte le risorse aziendali. Lo standard PCI DSS 4.0 richiede che gli ambienti con dati dei titolari di carta siano isolati dalle reti pubbliche. Un utente guest sulla VLAN 20 non deve avere alcuna rotta verso la rete aziendale sulla VLAN 10.

Utilizzare iPSK per i dispositivi IoT, non il MAC Authentication Bypass. Gli indirizzi MAC vengono trasmessi in chiaro e sono banali da clonare. iPSK fornisce sicurezza crittografica per i dispositivi headless. Per indicazioni su come i dispositivi di visualizzazione e IoT interagiscono con i protocolli wireless, consultare What Is Wireless Display: Protocols & Best Practices 2026 .

Definire condizioni d'uso chiare. Il Captive Portal deve presentare un accordo sulle condizioni d'uso prima di concedere l'accesso. Questo è un requisito del GDPR per la raccolta dei dati e una necessità legale per le policy di utilizzo della rete. Per le reti destinate al personale interno, consultare Staff WiFi Terms and Conditions: Legal and Compliance Essentials . Distribuisci la ridondanza RADIUS. Configura sempre un server RADIUS primario e uno secondario. Purple fornisce due indirizzi IP del server a questo scopo. Un singolo guasto del server RADIUS impedirà tutti gli accessi degli ospiti.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una configurazione attenta, possono verificarsi problemi di integrazione. Risolvi sistematicamente le cause di errore più comuni prima di richiedere assistenza.

Problema: gli ospiti si connettono ma la splash page non viene visualizzata.

Questo è il problema più comune. L'ACL di pre-autenticazione sta bloccando il DNS. Senza DNS, il client non può risolvere la richiesta HTTP iniziale e il sistema operativo non avvierà il mini-browser del Captive Portal. Verifica che la porta UDP 53 sia consentita verso i tuoi server DNS nell'ACL del walled garden. Sul WLC, esegui show wireless client summary per confermare che il client si trovi in uno stato Webauth Pending anziché Run.

Problema: i client iPSK non riescono a connettersi o finiscono sulla VLAN errata.

La VLAN specificata in Tunnel-Private-Group-ID non esiste sul WLC o gli attributi cisco-av-pair non sono formattati correttamente. Esegui debug radius all sul WLC per ispezionare la risposta RADIUS non elaborata. Verifica che l'ID della VLAN sia creato in Configuration > Layer 2 > VLAN > VLAN List.

Problema: i client del personale 802.1X non riescono ad autenticarsi in modo intermittente.

Questo è solitamente dovuto a un timeout del server RADIUS o a un problema di attendibilità del certificato sul client. Controlla i log del server RADIUS per individuare eventuali messaggi di Access-Reject. Sui client Windows, verifica che il profilo WiFi sia configurato per convalidare il certificato del server e specifichi la CA attendibile corretta.

Problema: il CoA di Purple non viene elaborato dal WLC.

La chiave segreta condivisa CoA deve corrispondere alla chiave segreta condivisa RADIUS configurata sul WLC. Su IOS-XE 17.4 e versioni successive, la chiave CoA viene configurata separatamente dalla chiave segreta condivisa. Verifica che entrambe corrispondano ai valori nel portale Purple.

ROI e impatto sul business

Il passaggio da reti PSK di base a un'architettura strutturata basata sull'identità con Purple offre risultati aziendali misurabili nei settori Hospitality , Retail , Healthcare e Transport .

In primo luogo, l'architettura elimina il costo operativo di gestione delle password condivise. Quando il personale lascia l'azienda, si revoca il loro certificato. Non è necessario modificare una password globale e aggiornare ogni dispositivo della struttura. In secondo luogo, l'integrazione con il Captive Portal di Purple trasforma un centro di costo IT in un generatore di ricavi. La piattaforma di Purple acquisisce dati di prima parte conformi ad ogni accesso, consentendo campagne di marketing automatizzate e analisi dei visitatori. Con 29 miliardi di punti dati raccolti sulla rete Purple (dati interni Purple), la piattaforma fornisce informazioni utili sul comportamento dei visitatori, sul tempo di permanenza e sui tassi di ritorno.

Per i gestori di location che conducono sondaggi per comprendere la soddisfazione dei visitatori, la piattaforma Purple si integra direttamente con i flussi di lavoro di ricerca. Consulta la guida Design of a Survey: A Practical Guide for Venues per indicazioni su come strutturare sondaggi efficaci da erogare tramite il Captive Portal.

Integrando l'hardware di livello enterprise di Cisco con l'overlay cloud di Purple, si ottiene una rete sicura e scalabile che contribuisce attivamente agli obiettivi commerciali della location. Purple è certificata ISO 27001, conforme a GDPR e CCPA, certificata Cyber Essentials e B Corp, soddisfacendo così i requisiti di conformità dei team di procurement aziendali.

Definizioni chiave

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce la gestione centralizzata di Authentication, Authorization, e Accounting (AAA) per l'accesso alla rete. Definito nelle specifiche RFC 2865 e RFC 2866.

I team IT configurano il Cisco WLC per inoltrare le credenziali dei client al server RADIUS, che le verifica rispetto a una directory e restituisce una risposta Access-Accept o Access-Reject insieme agli attributi dei criteri.

Captive Portal

Una pagina web che l'utente di una rete ad accesso pubblico deve visualizzare e con cui deve interagire prima che venga concesso l'accesso a Internet. Implementata tramite reindirizzamento HTTP da parte del dispositivo di accesso alla rete.

Utilizzato nelle distribuzioni WiFi per ospiti per acquisire i dati dei visitatori, presentare le condizioni d'uso o mostrare contenuti di brand prima di consentire l'accesso a Internet. Purple fornisce l'infrastruttura ospitata del Captive Portal.

iPSK (Identity Pre-Shared Key)

Una funzionalità Cisco che consente di assegnare chiavi pre-condivise (Pre-Shared Keys) univoche a diversi utenti o gruppi di dispositivi sullo stesso SSID, con la PSK fornita per singolo client da un server RADIUS.

Essenziale per i dispositivi IoT o per ambienti multi-tenant in cui lo standard 802.1X non è fattibile ma è richiesta la segmentazione della rete. Elimina la necessità di trasmettere più SSID.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC). Fornisce un meccanismo di autenticazione che blocca tutto il traffico dati da un dispositivo fino a quando il server RADIUS non ha confermato l'autorizzazione.

La base del WiFi aziendale per il personale, che garantisce che solo i dispositivi aziendali autorizzati con credenziali o certificati validi possano accedere alle risorse interne.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione basato su certificati che richiede certificati digitali sia sul server RADIUS che sul dispositivo client, eliminando completamente le password.

Il metodo più sicuro per l'autenticazione dei dispositivi aziendali. I certificati vengono distribuiti tramite MDM. L'accesso viene revocato invalidando il certificato, non modificando una password condivisa.

Walled garden

Un ambiente di rete limitato che controlla l'accesso dell'utente ai contenuti web prima che si sia autenticato completamente. Implementato come ACL di pre-autenticazione sul WLC.

Configurato sul Cisco WLC per consentire l'accesso alla splash page di Purple, al DNS e ai provider di login social prima che all'ospite venga concesso l'accesso completo a Internet.

Assegnazione VLAN dinamica

Il processo di inserimento automatico di un dispositivo connesso su una specifica rete Virtual LAN in base agli attributi di autorizzazione RADIUS restituiti al momento dell'autenticazione.

Garantisce che il personale, gli ospiti e i dispositivi IoT vengano inseriti automaticamente in segmenti di rete isolati al momento della connessione, senza configurazione manuale per singolo dispositivo.

Change of Authorization (CoA)

Un'estensione RADIUS (RFC 5176) che consente al server RADIUS di modificare dinamicamente gli attributi di autorizzazione della sessione di un client già connesso.

Richiesto per i Captive Portal. Una volta che l'ospite si autentica sulla splash page di Purple, Purple invia un messaggio di CoA al WLC per far passare il client dallo stato di walled garden di pre-autenticazione all'accesso completo a Internet.

Central Web Authentication (CWA)

Un metodo di autenticazione Cisco in cui il server RADIUS (anziché il WLC) ospita o reindirizza al portale di autenticazione web, abilitando soluzioni di Captive Portal ospitate in cloud.

Utilizzato per integrare il Cisco WLC con il Captive Portal ospitato in cloud di Purple, consentendo a Purple di gestire l'esperienza di autenticazione degli ospiti e l'acquisizione dei dati.

Esempi pratici

Un grande centro commerciale deve fornire un Wi-Fi sicuro e privato a 50 negozianti inquilini utilizzando un singolo Cisco Catalyst 9800 WLC e un singolo SSID di trasmissione. Ogni inquilino deve essere isolato dai dispositivi di tutti gli altri. Come si può ottenere questo risultato senza trasmettere 50 SSID separati?

Il team IT distribuisce Cisco iPSK. Configura un singolo SSID denominato "Mall-Tenant-WiFi" con WPA2-PSK e filtraggio MAC abilitato. Nel server RADIUS, crea 50 gruppi di identità di endpoint, uno per ogni inquilino. A ciascun gruppo viene assegnata una PSK univoca tramite l'attributo cisco-av-pair psk= e un ID VLAN univoco tramite l'attributo IETF Tunnel-Private-Group-ID. Quando il dispositivo POS di un negozio si connette utilizzando la sua password specifica, il WLC invia una richiesta di autenticazione MAC al server RADIUS. Il server associa l'indirizzo MAC al gruppo dell'inquilino e restituisce la PSK e l'assegnazione della VLAN. Il WLC elabora gli attributi, convalida la PSK e inserisce il dispositivo nella VLAN isolata dell'inquilino. L'impostazione peer-blocking allow-private-group garantisce che i dispositivi che condividono la stessa PSK possano comunicare tra loro, mentre ai dispositivi su PSK diverse viene impedita la comunicazione tra inquilini diversi.

Commento dell'esaminatore: Questo approccio offre un'eccellente scalabilità. La trasmissione di 50 SSID separati causerebbe gravi interferenze co-canale in un ambiente ad alta densità, riducendo le prestazioni per tutti gli utenti. Ogni SSID aggiuntivo consuma tempo di trasmissione con i frame di gestione. iPSK offre la sicurezza e la segmentazione di 50 reti separate con l'efficienza RF di una sola. Il compromesso è che il server RADIUS diventa una dipendenza critica: assicurati che sia altamente disponibile.

Una struttura Premier Inn da 300 camere sta migrando dagli account guest WLC locali al Captive Portal in cloud di Purple. Dopo aver applicato la configurazione, i clienti segnalano di connettersi all'SSID Wi-Fi, di ricevere un indirizzo IP, ma i loro dispositivi mostrano "Nessuna connessione Internet" e la splash page non compare mai. Qual è il processo di diagnostica?

Passo 1: Verificare lo stato del client sul WLC utilizzando show wireless client detail <mac-address>. Il client dovrebbe trovarsi nello stato "Webauth Pending". Se mostra "Run", l'ACL di pre-autenticazione non è applicata correttamente. Passo 2: Controllare l'ACL di pre-autenticazione. La causa più comune di questo sintomo è che l'ACL blocca il DNS (porta UDP 53). Senza DNS, il client non può risolvere alcun dominio e il meccanismo di rilevamento del Captive Portal del sistema operativo fallisce in modo silenzioso. Aggiungere una regola di autorizzazione esplicita per la porta UDP 53 verso gli IP dei server DNS della struttura. Passo 3: Verificare che i domini del walled garden di Purple siano consentiti nell'ACL. Il client deve essere in grado di raggiungere l'URL della splash page di Purple prima dell'autenticazione. Passo 4: Confermare che l'indirizzo IP virtuale del WLC sia stato modificato da quello predefinito 1.1.1.1 a un indirizzo non instradabile come 192.0.2.1, poiché l'indirizzo predefinito può entrare in conflitto con il traffico internet legittimo.

Commento dell'esaminatore: Il sintomo "Nessuna connessione Internet" senza reindirizzamento è quasi sempre un problema di DNS o di ACL del walled garden. I sistemi operativi moderni (iOS, Android, Windows, macOS) utilizzano il rilevamento del Captive Portal effettuando richieste HTTP a URL noti. Se il DNS non funziona, queste richieste non possono essere eseguite e il sistema operativo non avvia mai il browser del Captive Portal. Consenti sempre il DNS nell'ACL di pre-autenticazione: questo è l'errore di distribuzione più comune che riscontriamo.

Domande di esercitazione

Q1. Stai implementando la rete Staff WiFi in 40 filiali di vendita al dettaglio utilizzando i WLC Cisco Catalyst 9800. Desideri utilizzare 802.1X, ma l'azienda non dispone ancora di una soluzione MDM per distribuire i certificati agli smartphone dei dipendenti. Qual è l'approccio praticabile più sicuro e quale mitigazione del rischio devi implementare?

Suggerimento: Considera il bilancio tra sicurezza delle credenziali e fattibilità dell'implementazione quando i certificati non sono ancora un'opzione. Concentrati sul rischio specifico derivante dal metodo alternativo.

Visualizza risposta modello

Implementa PEAP-MSCHAPv2 come misura provvisoria. Pur non essendo sicuro come EAP-TLS, fornisce l'autenticazione tramite password crittografata all'interno di un tunnel TLS. La mitigazione critica del rischio consiste nell'imporre la convalida del certificato del server su ogni dispositivo client. Per i laptop Windows, distribuisci un Group Policy Object che specifichi l'esatta Autorità di Certificazione attendibile e il nome del server RADIUS previsto nel profilo WiFi. Per i dispositivi iOS e Android, distribuisci un profilo di configurazione WiFi tramite e-mail o uno strumento leggero senza MDM che imponga la convalida del certificato. Senza questo passaggio, un utente malintenzionato potrebbe distribuire un access point non autorizzato con un certificato fraudolento e intercettare le credenziali. Pianifica la migrazione a EAP-TLS non appena l'MDM sarà disponibile.

Q2. Il direttore IT di uno stadio deve segmentare le emittenti multimediali, i terminali di biglietteria e i sensori IoT HVAC su reti isolate separate. I sensori IoT non supportano 802.1X. Tutti e tre i gruppi devono utilizzare il WiFi. Come deve essere configurato il WLC?

Suggerimento: Cerca una soluzione che fornisca credenziali uniche e assegnazione VLAN per gruppo di dispositivi senza richiedere supplicant enterprise sui dispositivi headless.

Visualizza risposta modello

Implementa Cisco iPSK con un singolo SSID per le operazioni dell'impianto. Crea tre gruppi di identità di endpoint nel server RADIUS: Emittenti, Biglietteria e HVAC. Assegna a ciascun gruppo una PSK unica tramite cisco-av-pair e un ID VLAN unico tramite Tunnel-Private-Group-ID. Configura la WLAN del WLC con WPA2-PSK, filtro MAC abilitato e AAA Override attivo. Le emittenti ricevono PSK-A e VLAN 31, la biglietteria riceve PSK-B e VLAN 32 e i sensori HVAC ricevono PSK-C e VLAN 33. Imposta peer-blocking su allow-private-group in modo che i dispositivi all'interno dello stesso gruppo possano comunicare (ad esempio, i terminali di biglietteria con il loro server), mentre la comunicazione tra gruppi diversi viene bloccata. In questo modo si evita il MAC Authentication Bypass, che verrebbe facilmente violato tramite spoofing.

Q3. Durante l'implementazione del Guest WiFi presso un centro congressi, i client si connettono all'SSID e ricevono un indirizzo IP, ma il reindirizzamento al Captive Portal non avviene mai. L'ACL del walled garden consente il traffico verso tutti gli intervalli IP di Purple. Qual è l'elemento di configurazione mancante più probabile e come lo verifichi?

Suggerimento: Pensa ai protocolli richiesti prima che un dispositivo client possa effettuare una richiesta HTTP.

Visualizza risposta modello

La causa più probabile è che l'ACL di pre-autenticazione blocchi il traffico DNS (porta UDP 53). Prima che un dispositivo client possa effettuare la richiesta HTTP che il WLC intercetta per attivare il reindirizzamento, deve risolvere il nome di dominio tramite DNS. I moderni meccanismi di rilevamento del Captive Portal dei sistemi operativi (captive.apple.com di Apple, www.msftconnecttest.com di Microsoft, connectivitycheck.gstatic.com di Google) richiedono tutti la risoluzione DNS. Per verificare: esegui 'show wireless client detail ' sul WLC e conferma che il client si trovi nello stato 'Webauth Pending'. Quindi controlla i contatori di hit dell'ACL per verificare se il traffico DNS viene rifiutato. Risolvi il problema aggiungendo una regola di autorizzazione esplicita per la porta UDP 53 verso gli IP del server DNS dell'impianto nell'ACL del walled garden.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.