Integrazione di Cisco WLC e Catalyst con Purple WiFi: Guida Passoclassica all'Accesso Guest

Questa guida autorevole descrive in dettaglio l'integrazione passo-passo dei WLC Cisco Catalyst 9800 con Purple WiFi. Copre l'External Web Authentication per i Captive Portal guest, 802.1X EAP-TLS per l'accesso sicuro del personale e Cisco iPSK per la segmentazione VLAN dinamica multi-tenant.

📖 6 minuti di lettura📝 1,300 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuto nella serie di briefing tecnici di Purple. Oggi parleremo di un argomento che riguarda quasi tutti i network architect aziendali che operano nei settori dell'hospitality, del retail o dei grandi spazi per eventi: l'integrazione dei controller Cisco Wireless LAN e dell'infrastruttura wireless Catalyst con la piattaforma Guest WiFi di Purple. Se utilizzi i controller Cisco Catalyst serie 9800, o la piattaforma legacy AireOS, e hai la necessità di implementare una rete ospiti conforme, segmentata e basata sull'analisi dei dati, questo è il briefing che fa per te. [medium pause]

Iniziamo con un po' di contesto. Purple opera in oltre 80.000 location attive a livello globale e Cisco è il vendor di infrastrutture wireless leader negli ambienti aziendali. Far dialogare queste due piattaforme in modo pulito non è complicato, ma richiede di prendere le giuste decisioni architetturali fin dall'inizio. Se sbagli, passerai settimane a risolvere problemi di loop di reindirizzamento, discrepanze di VLAN e timeout RADIUS. Se fai le scelte giuste, otterrai una rete in grado di segmentare automaticamente ospiti, personale e dispositivi IoT, raccogliere dati di prima parte in modo conforme e scalare su centinaia di siti senza alcun intervento manuale. [medium pause]

Entriamo quindi nel dettaglio dell'architettura. [short pause]

Quando un ospite si connette alla tua rete WiFi su un'infrastruttura Cisco, devono verificarsi tre passaggi prima che possa accedere a Internet. Per prima cosa, il WLC Cisco Catalyst 9800 deve intercettare la richiesta HTTP iniziale e reindirizzare il client al Captive Portal di Purple. In secondo luogo, il portale di Purple deve autenticare l'utente - sia tramite social login, e-mail, SMS o una semplice accettazione dei termini e delle condizioni. Terzo, il server RADIUS di Purple deve segnalare al WLC che l'utente è autorizzato e, opzionalmente, assegnarlo a una VLAN specifica. [medium pause]

Il meccanismo che gestisce il primo passaggio si chiama External Web Authentication, o EWA. Sul Catalyst 9800, configuri una mappa dei parametri di autenticazione web che punta all'URL della splash page di Purple. Il WLC intercetta tutto il traffico HTTP proveniente dai client non autenticati e invia un reindirizzamento 302 a quell'URL. Dovrai anche configurare una ACL di pre-autenticazione, o utilizzare la funzione di filtro URL del Catalyst 9800, per inserire in whitelist gli indirizzi IP del portale di Purple, in modo che i client possano effettivamente raggiungere la splash page prima di essere autorizzati. Purple fornisce due indirizzi IP per il suo portale, ed è necessario autorizzarli entrambi nella tua ACL di pre-autenticazione. [medium pause]

Ecco la sequenza di configurazione per il Catalyst 9800. Per prima cosa, crea la mappa dei parametri. Successivamente, configura il tuo filtro URL per consentire la pre-autenticazione al dominio di Purple. Applica questa configurazione al profilo di policy della tua WLAN, imposta la sicurezza di Layer 2 su None, abilita la Web Policy su Layer 3 e indirizzala verso la tua mappa dei parametri. [medium pause]

Ora, parliamo di RADIUS. Purple funge da server RADIUS in questa architettura. Configura il WLC in modo che punti all'endpoint RADIUS di Purple, che troverai nella dashboard di Purple sotto le impostazioni di rete della tua sede. La chiave condivisa viene generata per singola sede. Sul Catalyst 9800, vai su Configuration, Security, AAA, Servers, e aggiungi il server RADIUS di Purple con l'IP e la chiave condivisa corretti. Successivamente, crea un gruppo di server, un elenco di metodi di autenticazione e applicalo alla tua WLAN. [medium pause]

Un aspetto che spesso trae in inganno: sul 9800 devi anche configurare l'indirizzo IP virtuale nella mappa dei parametri di web auth globale. Utilizza 192.0.2.1 come indirizzo IPv4 virtuale. Se salti questo passaggio, i client a volte vengono reindirizzati al portale interno invece che al portale di Purple, facendoti perdere un intero pomeriggio a cercare di capirne il motivo. [medium pause]

Passiamo ora alla WiFi per il personale con 802.1X. [short pause]

Per le reti del personale, è consigliabile utilizzare l'autenticazione basata su certificati tramite EAP-TLS o, come minimo, PEAP con MSCHAPv2 per gli ambienti in cui la distribuzione dei certificati non è fattibile. Sul Catalyst 9800, crea una WLAN separata per il personale, imposta la sicurezza di Layer 2 su WPA2 Enterprise e indirizza l'autenticazione al tuo server RADIUS. Se utilizzi Microsoft Entra ID o Okta come identity provider, l'add-on SecurePass di Purple funge da proxy RADIUS, traducendo le richieste di autenticazione 802.1X in ricerche nell'identity provider. Ciò significa che non hai bisogno di un server RADIUS on-premises separato per l'autenticazione del personale. Purple gestisce la terminazione EAP e inoltra la verifica dell'identità al tuo identity provider. [medium pause]

Specificamente per EAP-TLS, dovrai distribuire i certificati client sui dispositivi del personale, tramite Microsoft Intune, Jamf o una piattaforma MDM simile. La catena di certificati deve essere considerata attendibile dal server RADIUS di Purple, il che significa caricare il certificato della CA radice nella dashboard di Purple. Una volta configurato questo aspetto, i dispositivi del personale si autenticano silenziosamente, senza richieste di password o splash page. L'utente si connette, il certificato viene convalidato e in pochi secondi si trova sulla VLAN del personale. [medium pause]

Ora, la parte che la maggior parte dei progettisti di rete trova davvero interessante: Cisco Identity PSK, o iPSK. [short pause]

L'iPSK risolve un problema specifico che si presenta costantemente negli ambienti multi-tenant. Immagina un hotel con 300 camere, un complesso commerciale con 50 negozi o un condominio in affitto con 200 appartamenti. Desideri un unico SSID, ma hai bisogno che ogni inquilino, ogni camera o ogni gruppo di dispositivi sia isolato sulla propria VLAN. La soluzione tradizionale consisteva nel creare un SSID separato per ogni tenant, il che non è scalabile e crea congestione delle radiofrequenze. L'iPSK ti offre un singolo SSID in cui ogni client o gruppo di client ha una chiave precondivisa univoca e il server RADIUS mappa tale chiave su una VLAN specifica. [medium pause]

Ecco come funziona dal punto di vista tecnico. Quando un client si associa al SSID, il Catalyst 9800 WLC invia una richiesta RADIUS Access-Request al server RADIUS di Purple, includendo l'indirizzo MAC del client. Il server RADIUS di Purple cerca quell'indirizzo MAC nel suo database iPSK, trova la PSK associata e l'assegnazione VLAN, e restituisce una risposta RADIUS Access-Accept contenente la coppia AV Cisco con la PSK e gli attributi tunnel IETF per l'assegnazione VLAN. Il WLC utilizza la PSK restituita per completare l'handshake a quattro vie WPA2, e posiziona quindi il client sulla VLAN assegnata. [medium pause]

I tre attributi RADIUS necessari per l'assegnazione dinamica della VLAN sono: attributo IETF 64, Tunnel-Type, impostato su VLAN con un valore di 13. Attributo IETF 65, Tunnel-Medium-Type, impostato su 802, con un valore di 6. E attributo IETF 81, Tunnel-Private-Group-ID, impostato sull'ID della VLAN come stringa. Questi tre attributi, inviati insieme nella risposta RADIUS Access-Accept, indicano al WLC esattamente quale VLAN assegnare. La VLAN deve già esistere sul WLC come interfaccia dinamica, e la porta dello switch di uplink deve essere configurata come trunk per trasportare tutte le VLAN pertinenti. [medium pause]

Sul lato WLC, abilita il filtraggio MAC sulla WLAN iPSK, abilita l'opzione AAA Override e imposta la sicurezza Layer 2 su WPA2-PSK. La PSK globale configurata sulla WLAN funge solo da fallback. La PSK restituita dal server RADIUS ha la precedenza per qualsiasi client il cui indirizzo MAC sia registrato nel database iPSK di Purple. Per i dispositivi non registrati, puoi negare l'accesso o ricorrere alla PSK globale, a seconda della tua policy. [medium pause]

Permettimi di presentarti due scenari reali per rendere il tutto più concreto. [short pause]

Primo scenario: un hotel con 200 camere. L'hotel desidera che gli ospiti siano sulla VLAN 10 con solo accesso a internet, lo staff sulla VLAN 20 con accesso al sistema di gestione della struttura e i dispositivi IoT, come serrature, termostati e telecamere CCTV, sulla VLAN 30 senza accesso a internet. Utilizzano controller Cisco Catalyst 9800 con access point Cisco serie 9100. [medium pause]

L'architettura: tre profili di policy sul WLC, uno per ogni VLAN. Un unico SSID per gli ospiti che utilizza l'External Web Authentication che punta a Purple. Un SSID separato per lo staff che utilizza WPA2 Enterprise con EAP-TLS, autenticato tramite Purple SecurePass con Microsoft Entra ID. E infine, iPSK per i dispositivi IoT, con l'indirizzo MAC di ciascun dispositivo registrato nel portale di Purple e assegnato alla VLAN 30. Il sistema di gestione dell'hotel configura i nuovi dispositivi IoT tramite l'API di Purple, in modo che all'installazione di una nuova serratura, il suo indirizzo MAC venga registrato automaticamente e assegnato alla VLAN corretta. Nessuna configurazione RADIUS manuale richiesta. [medium pause]

Secondo scenario: una catena di negozi con 80 punti vendita. Ogni negozio ha una rete WiFi per gli ospiti, una rete per lo staff e una rete per i terminali di pagamento. La conformità PCI DSS richiede che la rete dei terminali di pagamento sia completamente isolata dalla rete degli ospiti. Il rivenditore utilizza controller Cisco Catalyst 9800-L in ogni sede, gestiti centralmente tramite Cisco Catalyst Centre. [medium pause]

Purple si distribuisce come un overlay cloud. Il WLC di ciascun punto vendita viene configurato con i dettagli del server RADIUS di Purple. L'autenticazione degli ospiti utilizza una pagina di benvenuto personalizzata con acquisizione dell'email, alimentando la piattaforma di analisi di Purple con dati di prima parte. L'autenticazione del personale utilizza PEAP contro Active Directory tramite Purple SecurePass. I terminali di pagamento utilizzano iPSK con una VLAN dedicata, e l'ACL di pre-autenticazione blocca esplicitamente qualsiasi traffico tra la VLAN di pagamento e la VLAN ospiti, soddisfacendo il requisito PCI-DSS 1.3 per la segmentazione della rete. [medium pause]

Ora parliamo delle insidie. [short pause]

La modalità di guasto più comune è il loop di reindirizzamento. Questo accade quando l'ACL di pre-autenticazione non inserisce correttamente in whitelist gli indirizzi IP del portale di Purple, quindi il WLC reindirizza il client al portale di Purple, ma il client non può raggiungere il portale perché l'ACL lo blocca, quindi il WLC lo reindirizza di nuovo, all'infinito. Soluzione: verifica che il filtro URL o l'ACL di pre-autenticazione includa entrambi gli indirizzi IP del portale di Purple e conferma che la risoluzione DNS sia consentita prima dell'autenticazione. [medium pause]

Il secondo problema comune è la mancata corrispondenza della VLAN. Il server RADIUS restituisce un ID VLAN che non esiste come interfaccia dinamica sul WLC. Il WLC inserisce quindi il client sulla VLAN nativa, che di solito è la VLAN di gestione. Questo rappresenta un rischio per la sicurezza. Soluzione: prima della distribuzione, esegui un controllo delle interfacce dinamiche del tuo WLC rispetto agli ID VLAN configurati nelle policy RADIUS di Purple. Devono corrispondere esattamente. [medium pause]

Terza insidia: errori di attendibilità del certificato nelle distribuzioni EAP-TLS. Se la catena di certificati del client non è considerata attendibile dal server RADIUS di Purple, l'autenticazione fallisce in modo invisibile dal punto di vista dell'utente. Semplicemente non riescono a connettersi. Soluzione: carica la tua CA radice e tutti i certificati CA intermedi nella configurazione di Purple SecurePass prima di distribuire i certificati client. Esegui un test con un singolo dispositivo prima di estendere la distribuzione all'intera flotta. [medium pause]

Domande rapide. [short pause]

Posso utilizzare Purple con Cisco Meraki anziché con un WLC? Sì. Cisco Meraki ha il proprio meccanismo di integrazione con Captive Portal e Purple lo supporta in modo nativo. La configurazione RADIUS è simile ma utilizza la dashboard di Meraki anziché la riga di comando del WLC. [short pause]

Purple supporta WPA3 su Cisco? Sì. WPA3-SAE è supportato su Cisco Catalyst 9800 con IOS-XE 17.3 e versioni successive. L'integrazione RADIUS di Purple funziona in modo identico con WPA3. [short pause]

Qual è la raccomandazione per il timeout RADIUS? Imposta il timeout del server RADIUS primario a tre secondi con due tentativi. Configura un server RADIUS secondario per il failover. Purple fornisce endpoint RADIUS ridondanti per i clienti aziendali. [short pause]

Posso utilizzare Cisco ISE insieme a Purple? Sì. Alcune organizzazioni utilizzano ISE per la valutazione della postura e la profilazione dei dispositivi, mentre utilizzano Purple per il portale ospiti e l'analisi. I due server RADIUS sono configurati su WLAN separate. [medium pause]

Per riassumere. [short pause]

L'infrastruttura wireless Cisco WLC e Catalyst si integra perfettamente con Purple utilizzando l'External Web Authentication per il reindirizzamento al Captive Portal dei clienti, 802.1X EAP-TLS o PEAP per l'autenticazione del personale tramite Purple SecurePass, e Cisco iPSK con assegnazione dinamica della VLAN per la segmentazione multi-tenant e IoT. I tre attributi VLAN RADIUS, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, costituiscono il meccanismo che gestisce la segmentazione dinamica. Configura correttamente le tue ACL di pre-autenticazione, associa gli ID delle VLAN tra RADIUS e WLC e verifica le catene di attendibilità dei certificati prima del deployment su tutta la flotta. [medium pause]

Purple opera in oltre 80.000 location e ha elaborato 440 milioni di accessi nel 2024. L'integrazione Cisco è una delle nostre configurazioni più distribuite a livello globale. Se desideri iniziare, la dashboard di Purple ti guida passo dopo passo nella configurazione di RADIUS per ogni singola location, e il nostro team di integrazione è a disposizione per i deployment aziendali. [medium pause]

Per questo briefing è tutto. Grazie per l'ascolto.

Punti chiave

✓Utilizza l'autenticazione web esterna (EWA) sui WLC Catalyst 9800 per reindirizzare il traffico guest non autenticato al captive portal personalizzato di Purple.
✓Assicurati che le ACL di pre-autenticazione o i filtri URL consentano esplicitamente l'accesso agli indirizzi IP del portale di Purple per evitare cicli di reindirizzamento.
✓Distribuisci Purple SecurePass come proxy RADIUS cloud per autenticare il personale tramite 802.1X EAP-TLS o PEAP direttamente con Entra ID o Okta.
✓Sfrutta Cisco Identity PSK (iPSK) per segmentare in modo sicuro i dispositivi IoT e gli utenti multi-tenant su VLAN specifiche utilizzando un unico SSID.
✓Abilita sempre "AAA Override" sul WLC e assicurati che le interfacce dinamiche esistano localmente per consentire l'assegnazione dinamica della VLAN gestita da RADIUS.
✓Configura i server RADIUS secondari con un timeout di 3 secondi e 2 tentativi per garantire un'elevata disponibilità per l'autenticazione.

Executive Summary

La distribuzione di una rete wireless sicura, conforme e scalabile negli ambienti aziendali richiede una stretta integrazione tra l'infrastruttura e i provider di identità. Questa guida descrive in dettaglio le decisioni architetturali e i passaggi di configurazione necessari per integrare i Wireless LAN Controller (WLC) Cisco Catalyst 9800 con la piattaforma cloud di Purple.

Per l'accesso guest, esaminiamo l'External Web Authentication (EWA) per il reindirizzamento al Captive Portal, consentendo l'acquisizione di dati di prima parte e l'analisi del Guest WiFi . Per l'accesso del personale, dettagliamo l'autenticazione 802.1X EAP-TLS e PEAP utilizzando Purple SecurePass come proxy RADIUS verso Microsoft Entra ID o Okta. Per gli ambienti IoT e multi-tenant, delineiamo la configurazione di Cisco Identity PSK (iPSK), che consente l'assegnazione dinamica della VLAN e la segmentazione della rete su un singolo SSID senza dipendere da distribuzioni di certificati complesse.

Purple opera in oltre 80.000 sedi attive a livello globale, gestendo 440 milioni di accessi nel 2024. Questa integrazione è collaudata in ambienti ad alta densità nei settori Hospitality , Retail e Transport dove l'operatività, la conformità e un'esperienza utente fluida sono requisiti non negoziabili.

Technical Deep-Dive: Architettura e flussi di autenticazione

1. Guest WiFi: External Web Authentication (EWA)

Per offrire un captive portal personalizzato con il proprio brand e acquisire i dati degli utenti per la WiFi Analytics , il WLC Cisco Catalyst 9800 deve intercettare il traffico HTTP non autenticato e reindirizzarlo alla splash page ospitata sul cloud di Purple. Questo meccanismo è chiamato External Web Authentication (EWA).

Il processo segue una sequenza specifica:

Il client si associa all'SSID aperto o OWE (Opportunistic Wireless Encryption).
Il WLC imposta il client in uno stato Webauth_reqd e applica una lista di controllo degli accessi (ACL) di pre-autenticazione.
Il WLC intercetta la richiesta HTTP del client e genera un reindirizzamento 302 all'URL della splash page di Purple, aggiungendo parametri come l'indirizzo MAC dell'AP, l'indirizzo MAC del client e l'SSID della WLAN.
L'utente completa il percorso di autenticazione sul portale Purple (ad esempio, tramite social login, inserimento e-mail o accettazione dei termini di servizio).
Il server RADIUS di Purple invia un messaggio di Access-Accept al WLC.
Il WLC sposta il client nello stato Run, concedendo l'accesso a Internet in base alla policy post-autenticazione.

2. Staff WiFi: 802.1X EAP-TLS e PEAP

Per i dispositivi aziendali, WPA2/WPA3 Enterprise con 802.1X offre la postura di sicurezza più solida. Invece di distribuire un server RADIUS on-premises come Cisco ISE, Purple SecurePass funge da proxy cloud RADIUS. Termina il tunnel Extensible Authentication Protocol (EAP) e inoltra la verifica dell'identità al tuo Identity Provider (IdP), come Microsoft Entra ID o Google Workspace.

EAP-TLS: Consigliato per i dispositivi aziendali gestiti. Richiede la distribuzione di certificati client tramite un MDM (es. Microsoft Intune). L'autenticazione è silenziosa e altamente sicura.
PEAP-MSCHAPv2: Consigliato per ambienti BYOD in cui la distribuzione dei certificati non è praticabile. Gli utenti si autenticano con le proprie credenziali aziendali.

3. IoT e Multi-Tenant: Cisco Identity PSK (iPSK)

In ambienti come proprietà Build-to-Rent (BTR), alloggi per studenti o negozi al dettaglio con numerosi dispositivi IoT, la distribuzione di 802.1X è spesso impossibile perché i dispositivi mancano del supporto per il supplicant. La creazione di un SSID separato per ogni inquilino o tipo di dispositivo causa una congestione delle frequenze radio.

Cisco iPSK risolve questo problema consentendo l'uso di più chiavi pre-condivise (PSK) univoche su un singolo SSID. Quando un dispositivo si associa, il WLC invia il suo indirizzo MAC al server RADIUS di Purple. Purple restituisce la PSK specifica per quel dispositivo insieme agli attributi di assegnazione dinamica della VLAN, segmentando il traffico a livello di porta dello switch.

Guida all'implementazione

Configurazione del reindirizzamento al Captive Portal per gli ospiti

Per configurare l'autenticazione web esterna sul Catalyst 9800 WLC, è necessario definire una mappa dei parametri e un filtro URL per consentire il traffico di pre-autenticazione verso il portale di Purple [1].

Passo 1: Creazione della mappa dei parametri di autenticazione web

Configura il WLC per reindirizzare i client al portale Purple, passando le variabili necessarie. È necessario configurare l'indirizzo IPv4 virtuale (in genere 192.0.2.1) a livello globale.

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

Passo 2: Configurazione del filtro URL di pre-autenticazione

I client devono raggiungere il portale di Purple prima di essere autenticati. Il 9800 WLC utilizza i filtri URL per aprire dinamicamente varchi nell'ACL di intercettazione in base allo snooping DNS.

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

Applica questo filtro URL al profilo della policy WLAN nelle impostazioni ACL di pre-autenticazione.

Configurazione dell'assegnazione dinamica della VLAN per iPSK

Per inserire dinamicamente utenti o dispositivi in VLAN specifiche, il server RADIUS di Purple deve inviare tre attributi IETF specifici nella risposta Access-Accept [2].

IETF 64 (Tunnel-Type): Impostato su VLAN (valore 13).
IETF 65 (Tunnel-Medium-Type): Impostato su 802 (valore 6).
IETF 81 (Tunnel-Private-Group-ID): Impostato sull'ID della VLAN come stringa (ad es., "10").

Sul WLC Catalyst 9800, assicurarsi che sul WLAN iPSK siano configurati i seguenti parametri:

Il filtraggio MAC è abilitato.
L'override AAA è abilitato (fondamentale per accettare l'assegnazione della VLAN da parte del RADIUS).
La sicurezza Layer 2 è impostata su WPA2-PSK (la PSK configurata funge da fallback).

Best Practice

Verifica della VLAN: L'ID della VLAN restituito dal server RADIUS in Tunnel-Private-Group-ID DEVE esistere come interfaccia dinamica sul WLC. In caso contrario, il WLC inserisce il client nella VLAN nativa, creando un grave rischio per la sicurezza.
Catene di attendibilità dei certificati: Per le implementazioni EAP-TLS, carica la tua CA radice e tutti i certificati della CA intermedia sulla dashboard di Purple SecurePass prima di distribuire i certificati client. Se il server RADIUS non riesce a convalidare la catena, l'autenticazione non va a buon fine in modo silenzioso.
RADIUS ridondante: Configura sempre server RADIUS secondari. Imposta il timeout primario a 3 secondi con 2 tentativi per garantire un failover rapido senza frustrare l'utente.
Adozione di WPA3: Utilizza WPA3-SAE per le reti iPSK dove supportato dai dispositivi client. Per le reti guest aperte, implementa WPA3-OWE (Opportunistic Wireless Encryption) per crittografare il traffico senza richiedere una password.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di errore	Sintomo	Causa principale	Mitigazione
Loop di reindirizzamento	Il dispositivo client aggiorna costantemente la pagina del Captive Portal senza caricarla.	L'ACL di preautenticazione o il filtro URL non consente l'accesso agli indirizzi IP del portale di Purple. Il WLC reindirizza il client, il client tenta di caricare la pagina, il WLC la blocca e reindirizza nuovamente.	Verifica che il filtro URL `PURPLE-PREAUTH` sia applicato al profilo di policy e che il dominio del portale sia scritto correttamente. Assicurati che il traffico DNS sia consentito prima dell'autenticazione.
Mancato fallback iPSK	Un dispositivo IoT non registrato si connette alla rete ma riceve un indirizzo IP errato.	L'indirizzo MAC del dispositivo non è presente nel database RADIUS di Purple. Il WLC esegue il fallback alla PSK globale configurata sulla WLAN e assegna la VLAN predefinita.	Controlla l'indirizzo MAC nella dashboard di Purple. Assicurati che la VLAN predefinita assegnata al profilo della policy WLAN sia una rete di quarantena limitata, non la LAN aziendale.
Timeout RADIUS	I client riscontrano lunghi ritardi nella connessione; i log del WLC mostrano che il server RADIUS non è raggiungibile.	I firewall tra il WLC e gli endpoint RADIUS cloud di Purple stanno bloccando le porte UDP 1812 (autenticazione) o 1813 (accounting).	Verifica che le regole del firewall in uscita consentano il traffico UDP 1812/1813 dall'interfaccia di gestione del WLC agli indirizzi IP RADIUS pubblicati di Purple.

ROI e impatto aziendale

L'implementazione di un'architettura unificata con Cisco e Purple offre un valore aziendale misurabile su tre pilastri:

Efficienza operativa: la sostituzione del provisioning manuale delle VLAN e di SSID multipli con iPSK riduce il volume dei ticket IT. L'automazione dell'onboarding IoT tramite API consente di risparmiare ore di lavoro dei tecnici per ciascun sito.
Conformità e sicurezza: l'assegnazione dinamica delle VLAN garantisce la conformità PCI-DSS negli ambienti retail isolando rigorosamente i terminali di pagamento dal traffico degli ospiti (Requisito 1.3). L'EAP-TLS elimina il rischio di password condivise del personale.
Generazione di ricavi: l'integrazione del Captive Portal trasforma un centro di costo (Guest WiFi) in un asset di marketing. L'acquisizione di opt-in basati su una scelta consapevole crea un database proprietario che guida le campagne di fidelizzazione e le visite ripetute.

Riferimenti

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," Maggio 2025. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," Settembre 2012.

Definizioni chiave

External Web Authentication (EWA)

Un meccanismo in cui il WLC Cisco intercetta il traffico HTTP non autenticato e reindirizza il client a un Captive Portal ospitato esternamente (come Purple) per l'autenticazione.

Utilizzato per fornire splash page personalizzate e acquisire dati di prima parte senza fare affidamento sul server web interno limitato del WLC.

Identity PSK (iPSK)

Una funzionalità Cisco che consente di utilizzare più chiavi pre-condivise (Pre-Shared Keys) univoche su un singolo SSID, con ciascuna chiave mappata a uno specifico indirizzo MAC del client e a una VLAN tramite RADIUS.

Essenziale per proteggere i dispositivi IoT e gli ambienti multi-tenant in cui 802.1X non è supportato, riducendo la necessità di SSID multipli.

AAA Override

Un'impostazione WLAN sul WLC Cisco che forza il controller ad accettare i parametri di policy (come ID VLAN o ACL) restituiti dal server RADIUS, ignorando la configurazione WLAN locale.

Deve essere abilitato per consentire il corretto funzionamento dell'assegnazione dinamica della VLAN e di iPSK.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione 802.1X altamente sicuro che si basa sullo scambio reciproco di certificati anziché sulle password.

Il gold standard per la sicurezza WiFi del personale, che richiede un MDM per distribuire i certificati client ai dispositivi aziendali.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol. Un metodo 802.1X che crittografa il processo di autenticazione all'interno di un tunnel TLS, consentendo agli utenti di autenticarsi in modo sicuro con nome utente e password.

Utilizzato per le reti BYOD del personale in cui non è fattibile distribuire certificati client.

ACL di Pre-Autenticazione

Una lista di controllo degli accessi (Access Control List) applicata a un client wireless prima che si sia autenticato, che definisce esattamente quali risorse di rete può raggiungere.

Fondamentale per i Captive Portal; deve consentire il DNS e l'accesso agli IP della splash page di Purple bloccando al contempo tutto il resto del traffico.

Interfaccia Dinamica

Un'interfaccia logica creata sul WLC mappata a uno specifico ID VLAN e a una porta fisica.

Quando il server RADIUS restituisce un ID VLAN per l'assegnazione dinamica, tale VLAN deve già esistere come interfaccia dinamica sul WLC, altrimenti il client verrà inserito nella VLAN nativa.

WPA3-SAE

Simultaneous Authentication of Equals. Il sostituto moderno di WPA2-PSK, che fornisce forward secrecy e protezione contro gli attacchi con dizionario offline.

Supportato da Cisco Catalyst 9800 e Purple RADIUS per proteggere le moderne reti IoT e guest.

Esempi pratici

Un hotel di 200 camere ha l'esigenza di segmentare il traffico di rete tra ospiti, personale e dispositivi IoT (serrature elettroniche, termostati) utilizzando un singolo WLC Cisco Catalyst 9800, senza creare molteplici SSID che causerebbero congestione RF.

Implementare un singolo SSID utilizzando Cisco iPSK. Registrare l'indirizzo MAC di ogni dispositivo IoT nella dashboard di Purple, assegnando ciascuno alla VLAN 30. Configurare la WLAN del WLC con filtraggio MAC, AAA Override e WPA2-PSK. Quando una serratura si associa, il server RADIUS di Purple restituisce la PSK univoca e gli attributi IETF 64, 65 e 81 per indirizzare dinamicamente il dispositivo alla VLAN 30. Gli ospiti utilizzano un SSID aperto separato con External Web Authentication che punta al Captive Portal di Purple.

Commento dell'esaminatore: Questo approccio riduce al minimo l'overhead degli SSID mantenendo un rigoroso isolamento a Livello 2. L'uso di iPSK per i dispositivi IoT senza interfaccia utente evita la complessità di distribuire certificati 802.1X su endpoint che non li supportano.

Una catena retail con 80 punti vendita deve isolare il traffico dei terminali di pagamento dal traffico WiFi degli ospiti per mantenere la conformità PCI-DSS, con gestione centralizzata tramite Cisco Catalyst Centre.

Configurare l'SSID guest con una ACL di pre-autenticazione che escluda esplicitamente il traffico destinato alla subnet dei terminali di pagamento (VLAN 40). Utilizzare iPSK per autenticare i terminali di pagamento, assegnandoli dinamicamente alla VLAN 40 tramite il server RADIUS di Purple. Il traffico degli ospiti viene autenticato tramite il Captive Portal di Purple e instradato sulla VLAN 10.

Commento dell'esaminatore: Questo design soddisfa il requisito PCI-DSS 1.3 applicando la segmentazione della rete. La centralizzazione della policy RADIUS in Purple garantisce un'assegnazione coerente delle VLAN in tutti gli 80 punti vendita senza configurazione manuale delle porte dello switch.

Domande di esercitazione

Q1. Stai distribuendo un captive portal su un Catalyst 9800 WLC. I client si associano all'SSID, ma i loro browser aggiornano continuamente l'URL della splash page senza mai caricare il contenuto. Qual è la causa architetturale più probabile?

Suggerimento: Considera lo stato del client prima che l'autenticazione sia completata e quale traffico è consentito.

Visualizza risposta modello

La ACL di pre-autenticazione o il filtro URL è configurato in modo errato. Sta bloccando l'accesso agli indirizzi IP del portale di Purple. Il WLC intercetta il traffico e lo reindirizza al portale, ma il client non può raggiungere il portale per caricarlo, innescando un ciclo di reindirizzamento infinito. È necessario consentire esplicitamente gli indirizzi IP di Purple o utilizzare un filtro URL per il dominio del portale.

Q2. Un dispositivo IoT si autentica correttamente tramite iPSK e il server RADIUS di Purple restituisce un Access-Accept con gli attributi IETF 64, 65 e 81 che specificano la VLAN 50. Tuttavia, il dispositivo viene inserito nella VLAN 10 (la VLAN di gestione). Perché è successo?

Suggerimento: Pensa ai prerequisiti richiesti sul WLC stesso per accettare e applicare una VLAN assegnata tramite RADIUS.

Visualizza risposta modello

La funzione "AAA Override" è disabilitata nelle impostazioni avanzate della WLAN, causando l'ignoranza degli attributi RADIUS da parte del WLC, OPPURE la VLAN 50 non esiste come interfaccia dinamica configurata sul WLC. Se la VLAN assegnata non esiste localmente, il WLC ripiega sulla VLAN nativa/di gestione.

Q3. Una sede desidera distribuire l'802.1X per la rete WiFi del personale utilizzando Microsoft Entra ID. Non dispongono di un server RADIUS on-premises come Cisco ISE. Come si può ottenere questo risultato utilizzando la piattaforma Purple?

Suggerimento: Considera come Purple gestisce il tunnel EAP e la verifica dell'identità.

Visualizza risposta modello

Configura il WLC per utilizzare Purple SecurePass come server RADIUS. Purple funge da proxy RADIUS cloud, terminando il tunnel EAP-TLS o PEAP dal WLC e inoltrando in modo sicuro la ricerca dell'identità a Microsoft Entra ID tramite API/SAML. Non è richiesto alcun server RADIUS on-premises.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.