Vai al contenuto principale
Italiano

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

📖 5 minuti di lettura📝 1,177 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Technical Briefing di Purple. Sono il tuo presentatore e oggi parleremo di un modello di implementazione che si presenta in quasi tutti i progetti WiFi aziendali su larga scala: l'integrazione di CommScope Ruckus con la piattaforma cloud di Purple. Che tu gestisca un gruppo alberghiero, una rete di negozi, uno stadio o un centro congressi, questo episodio ti fornirà la guida di configurazione di cui hai bisogno. Iniziamo a inquadrare lo scenario. Ruckus, ora parte di CommScope, è una delle piattaforme WiFi aziendali leader a livello globale. SmartZone, in particolare, è il controller preferito per gli ambienti ad alta densità. Hotel come Premier Inn, grandi catene di vendita al dettaglio, stadi e centri congressi utilizzano tutti l'infrastruttura Ruckus. Quando distribuisci il guest WiFi su tale scala, hai bisogno di qualcosa di più di un semplice SSID aperto. Ti occorrono un'autenticazione strutturata, l'acquisizione di dati conforme al GDPR e la possibilità di inserire i dati degli ospiti nel tuo stack di marketing. È esattamente qui che entra in gioco Purple. Purple opera in oltre 80.000 sedi attive, ha elaborato 440 milioni di accessi solo nel 2024 e possiede le certificazioni ISO 27001, GDPR e Cyber Essentials. L'integrazione con Ruckus è uno dei nostri modelli di implementazione più maturi. Ora, Ruckus dispone di tre diverse piattaforme controller che devi comprendere prima di toccare una schermata di configurazione. SmartZone, disponibile come appliance fisica SZ300 o virtuale vSZ, è il controller aziendale per implementazioni multi-sito su larga scala. Gestisce migliaia di access point in più zone, offre un controllo approfondito delle policy e supporta l'intera gamma di metodi di autenticazione che tratteremo oggi. ZoneDirector è il controller on-premise legacy, ancora ampiamente utilizzato, in particolare nel settore dell'ospitalità, e supporta lo stesso flusso di Captive Portal basato su WISPr, sebbene con un percorso di configurazione leggermente diverso. Infine, Unleashed è il modello senza controller, in cui un AP funge da master per un massimo di altri 128. È l'ideale per implementazioni più piccole e a sito singolo: hotel indipendenti, filiali di vendita al dettaglio, uffici di PMI. Bene. Entriamo nei dettagli tecnici. Tratterò tre casi d'uso distinti: Guest WiFi con reindirizzamento al Captive Portal, WiFi sicuro per il personale tramite 802.1X e isolamento della rete multi-tenant tramite Ruckus Dynamic PSK. Iniziamo con il Guest WiFi. L'architettura qui è un flusso di hotspot basato su WISPr. WISPr (Wireless Internet Service Provider roaming) è uno standard di settore che definisce il modo in cui un controller wireless intercetta il traffico HTTP non autenticato e lo reindirizza a un portale esterno. L'ospite si connette al tuo SSID. Il suo dispositivo invia una richiesta HTTP. SmartZone la intercetta ed emette un reindirizzamento HTTP 302 all'URL del tuo portale esterno, in questo caso il Captive Portal di Purple. L'ospite si autentica tramite social login, e-mail, SMS o un modulo personalizzato, quindi il portale comunica nuovamente con il controller tramite la Northbound Interface, o API NBI, per concedere l'accesso. Su SmartZone, la configurazione presenta quattro componenti principali. Primo, il profilo del server di autenticazione RADIUS. Navigare su Services and Profiles, quindi su Authentication. Creare un nuovo profilo server AAA. Impostare il Service Protocol su RADIUS. L'IP del server primario e il segreto condiviso sono forniti nella console di amministrazione di Purple. Porta 1812 per l'autenticazione. Configurare sempre un server RADIUS di backup per garantire la resilienza. Successivamente, creare il server di accounting sotto Services and Profiles, Accounting - porta 1813, stesso segreto condiviso. Secondo, il profilo Hotspot WISPr. Andare su Services and Profiles, Hotspots and Portals, e selezionare la scheda Hotspot WISPr. Creare un nuovo profilo. Impostare la Login URL su External e inserire l'URL di reindirizzamento del portale. Impostare la Start Page per reindirizzare all'URL post-autenticazione, in genere una pagina di successo o la homepage della struttura. Ora, il Walled Garden. Questo è il punto in cui i tecnici si imbattono più spesso in difficoltà. Il Walled Garden definisce quali domini e indirizzi IP un ospite può raggiungere prima di essersi autenticato. È necessario includere il dominio del portale, eventuali domini CDN o di risorse da cui il portale carica i contenuti e gli endpoint standard del sistema operativo per il rilevamento del Captive Portal. In SmartZone, i caratteri jolly sono supportati utilizzando il formato asterisco-punto, quindi star-dot-purple-dot-ai copre tutti i sottodomini. Sono necessari anche il dominio di rilevamento del Captive Portal di Apple (captive.apple.com) e gli endpoint di controllo della connettività di Google per evitare che il mini-browser CNA non funzioni correttamente sui dispositivi iOS e Android. Un passaggio critico che è facile dimenticare. Per impostazione predefinita, SmartZone crittografa l'indirizzo MAC e l'indirizzo IP che passa al portale esterno nell'URL di reindirizzamento. Purple ha bisogno di vedere l'effettivo indirizzo MAC del client per eseguire la gestione della sessione basata su MAC. È necessario disabilitare questa opzione tramite CLI. Accedere in SSH a SmartZone, entrare in modalità config ed eseguire: no encrypt-mac-ip. Si tratta di un solo comando, ma rappresenta un blocco insormontabile se viene saltato. La Northbound Interface è l'altro elemento essenziale. Si tratta dell'API che consente a Purple di comunicare con SmartZone per concedere o negare l'accesso dopo l'autenticazione. Abilitarla sotto Administration, External Services, WISPr Northbound Interface. Impostare un nome utente e una password e fornire tali credenziali a Purple. La NBI funziona sulla porta TCP 9080 per HTTP e 9443 per HTTPS: assicurarsi che il firewall consenta le connessioni in entrata dall'intervallo IP di Purple verso queste porte. Infine, creare la WLAN. Impostare l'Authentication Type su Hotspot WISPr, selezionare il profilo del portale e assegnare i servizi di autenticazione e accounting RADIUS. Impostare il NAS ID su User-defined se Purple richiede un valore specifico, impostare Called Station ID su AP MAC e abilitare Single Session ID. Per Unleashed, l'architettura è fondamentalmente diversa: si tratta di un modello distribuito e senza controller. La configurazione si trova in Admin and Services, Services, Hotspot Services. I passaggi sono ampiamente simili: creare un servizio Hotspot, configurare l'URL del portale esterno, impostare il server di autenticazione AAA, aggiungere le voci del Walled Garden, ma ci sono due differenze chiave. In Unleashed non è richiesto alcun Northbound Interface. Inoltre, la crittografia dell'indirizzo MAC non viene applicata per impostazione predefinita, quindi non è necessario il comando CLI. Il walled garden di Unleashed accetta anche voci a livello di dominio anziché la sintassi wildcard completa. Passiamo ora al Secure Staff WiFi utilizzando il protocollo 802.1X. Si tratta di un modello di autenticazione completamente diverso. Invece di un Captive Portal, i dispositivi del personale si autenticano direttamente utilizzando l'Extensible Authentication Protocol (EAP). Il metodo più comune negli ambienti aziendali è PEAP-MSCHAPv2, in cui l'utente inserisce le proprie credenziali di Active Directory, oppure EAP-TLS, in cui il dispositivo presenta un certificato. L'add-on SecurePass di Purple si integra con Microsoft Entra ID, Okta e Google Workspace per fungere da backend RADIUS per questo flusso. Su SmartZone, creare una nuova WLAN e impostare l'Authentication Type su 802.1X EAP. Nelle impostazioni AAA, puntare al proprio server RADIUS, ovvero l'endpoint SecurePass di Purple. La differenza fondamentale rispetto al flusso guest è che qui si configura anche l'assegnazione dinamica della VLAN. Quando il server RADIUS di Purple restituisce un Access-Accept, include tre attributi standard IETF: Tunnel-Type impostato su VLAN, valore 13; Tunnel-Medium-Type impostato su IEEE-802, valore 6; e Tunnel-Private-Group-ID contenente la stringa dell'ID VLAN, ad esempio venti per la VLAN del personale. SmartZone legge questi attributi e tagga dinamicamente il traffico del membro del personale con la VLAN corretta, indipendentemente dall'AP a cui è connesso. Questo è il dynamic VLAN steering, ed è ciò che consente a un singolo SSID di servire più ruoli utente con diverse policy di accesso alla rete. Abilitare l'opzione AAA Override nelle impostazioni avanzate della WLAN per garantire che SmartZone elabori gli attributi VLAN restituiti da RADIUS. Senza quella casella di controllo, l'assegnazione dinamica non funzionerà anche se il server RADIUS invia gli attributi corretti. Il terzo caso d'uso è l'isolamento Multi-Tenant tramite Ruckus Dynamic PSK (o DPSK). Si tratta di una tecnologia proprietaria di Ruckus che assegna una passphrase WPA2 univoca a ciascun utente o tenant, il tutto su un unico SSID. A differenza di una PSK condivisa in cui tutti utilizzano la stessa password, DPSK significa che il Tenant A ha una chiave univoca di 62 caratteri, il Tenant B ne ha una diversa e così via. Ciascuna chiave è associata a una VLAN specifica, in modo che il traffico del Tenant A finisca sulla VLAN 101 e quello del Tenant B sulla VLAN 102: isolamento completo, nessun rischio di password condivisa e revoca istantanea senza influire sugli altri tenant. Questo è particolarmente efficace negli spazi di co-working, negli edifici residenziali in affitto (build-to-rent), negli alloggi per studenti e nei parchi commerciali multi-tenant. Purple si integra con Ruckus DPSK tramite l'API SmartZone per automatizzare il provisioning delle chiavi: quando un nuovo tenant viene registrato in Purple, viene generata una DPSK, associata alla VLAN corretta e consegnata automaticamente al tenant. Per configurare la DPSK su SmartZone: accedere a WLAN, aggiungere una nuova WLAN e, alla voce Security, impostare il metodo su Dynamic PSK. Impostare la lunghezza della DPSK a 62 caratteri per la massima entropia. Alla voce VLAN, abilitare l'assegnazione Per-DPSK VLAN. Successivamente, utilizzare l'API SmartZone o l'interfaccia di gestione DPSK per creare chiavi individuali per ciascun tenant, ognuna mappata sul proprio ID VLAN. Su Unleashed, la stessa funzionalità è disponibile alla voce WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 è la variante WPA3, che offre una crittografia più forte basata su SAE. Se la vostra flotta di AP supporta il WPA3 (come tutti gli attuali AP Ruckus serie R), DPSK3 è la scelta preferita per le nuove implementazioni. Permettetemi di illustrare due scenari di implementazione reali che mostrano come questi tre casi d'uso si integrino tra loro. Primo scenario: un hotel da 250 camere. La struttura gestisce Ruckus SmartZone con access point R750 in tutto l'edificio. Hanno bisogno di tre tipi di rete: WiFi ospiti per i clienti dell'hotel, WiFi personale sicuro per lo staff di front-of-house e back-of-house, e una rete IoT per i controlli domotici delle camere e la videosorveglianza. La WLAN ospiti utilizza il flusso Captive Portal WISPr con Purple. Gli ospiti si connettono, vengono reindirizzati a un portale Purple personalizzato con il brand, si autenticano tramite e-mail o social login e atterrano sulla VLAN 10. Il portale acquisisce dati di prima parte (e-mail, consenso al marketing, preferenze di soggiorno) che confluiscono direttamente nel CRM dell'hotel. La dashboard analitica di Purple mostra all'hotel quali piani hanno i tassi di connessione più elevati, gli orari di picco di utilizzo e i tassi di visitatori di ritorno. Premier Inn ha implementato questo modello in tutte le sue strutture nel Regno Unito e ha registrato miglioramenti misurabili nei punteggi di soddisfazione degli ospiti, direttamente collegati all'esperienza Wi-Fi. La WLAN del personale utilizza lo standard 802.1X con SecurePass di Purple. Il personale si autentica con le proprie credenziali Active Directory tramite PEAP-MSCHAPv2. Il personale della reception atterra sulla VLAN 20 con accesso al sistema di gestione della struttura. Il personale di back-of-house atterra sulla VLAN 21 con accesso esclusivo ai sistemi HR e di pianificazione dei turni. L'assegnazione della VLAN è interamente guidata dagli attributi RADIUS restituiti da Purple, senza richiedere alcuna configurazione manuale delle porte. Quando un membro del personale lascia l'azienda, il suo account viene disabilitato in Microsoft Entra ID e l'accesso viene revocato istantaneamente in tutte le strutture. La WLAN IoT utilizza una PSK statica, isolata sulla VLAN 30, con isolamento dei client abilitato. I termostati intelligenti, le serrature delle porte e le telecamere a circuito chiuso si trovano qui, completamente separati dal traffico degli ospiti e del personale. Secondo scenario: uno spazio di co-working con 15 aziende clienti. È qui che il DPSK dimostra davvero il suo valore. L'operatore gestisce Ruckus Unleashed su tre piani. Ogni azienda cliente riceve un DPSK univoco associato alla propria VLAN. I 20 dipendenti del Cliente A utilizzano tutti la stessa passphrase DPSK-A, ma tale passphrase è univoca per il Cliente A e si mappa solo sulla VLAN 101. Il Cliente B utilizza il DPSK-B, che si mappa sulla VLAN 102. I clienti sono completamente isolati tra loro a livello di rete. Quando un cliente se ne va, l'operatore revoca il suo DPSK in SmartZone - o tramite l'interfaccia di gestione di Purple - e il gioco è fatto. Nessun altro cliente viene influenzato, non è richiesta alcuna modifica dell'SSID, né il ripristino delle password in tutto l'edificio. Lo strato di gestione multi-tenant di Purple si colloca al di sopra di questo, offrendo all'operatore del co-working un'unica dashboard per gestire l'onboarding, la revoca degli accessi e l'analisi dell'utilizzo per tutti i 15 clienti. Ora passiamo ad analizzare le modalità di errore più comuni e come evitarle. Numero uno: errata configurazione del Walled Garden. Se la pagina del Captive Portal non si carica dopo il reindirizzamento, la prima cosa da verificare è se tutti i domini a cui fa riferimento la pagina del portale sono inclusi nel walled garden. Le moderne pagine dei portali caricano risorse da molteplici domini CDN, script di analisi e SDK di login social. Se uno qualsiasi di questi elementi viene bloccato prima dell'autenticazione, la pagina non si caricherà o si caricherà in modo errato. Utilizza gli strumenti per sviluppatori del browser su un dispositivo di test connesso all'SSID ospiti per identificare quali richieste vengono bloccate. Purple fornisce un elenco documentato di walled garden per SmartZone e Unleashed: usalo come base di partenza e aggiungi in cima eventuali domini specifici della sede. Numero due: il problema di connettività NBI. Se gli ospiti riescono a visualizzare il portale e ad autenticarsi, ma non ottengono mai l'accesso a Internet, la causa probabile è che SmartZone non riesce a ricevere la chiamata di callback NBI da Purple. Verifica che le porte 9080 e 9443 siano aperte in ingresso verso l'IP di gestione di SmartZone dall'intervallo IP di Purple. Verifica inoltre che le credenziali NBI configurate corrispondano a quelle registrate da Purple. Numero tre: il comando no encrypt-mac-ip mancante. Questo è l'inghippo specifico di SmartZone più comune. Se Purple riceve richieste di reindirizzamento ma non riesce ad associare la sessione a un indirizzo MAC, la causa è quasi certamente questa. Si tratta di una correzione CLI da una sola riga, ma è facile da dimenticare perché non è visibile nell'interfaccia grafica. Numero quattro: AAA Override non abilitato per la VLAN dinamica. Se il personale si autentica correttamente su 802.1X ma finisce tutto sulla stessa VLAN predefinita anziché sulla VLAN specifica per il proprio ruolo, verifica che l'opzione AAA Override sia abilitata nelle impostazioni avanzate della WLAN. Questo è l'interruttore che indica a SmartZone di rispettare gli attributi VLAN restituiti dal server RADIUS. Numero cinque: la VLAN DPSK non si propaga. Se gli utenti DPSK si autenticano ma non atterrano sulla VLAN corretta, verifica che l'assegnazione della VLAN Per-DPSK sia abilitata nelle impostazioni WLAN e che le porte dello switch collegate ai tuoi AP siano configurate come porte trunk che trasportano tutte le VLAN DPSK. Se la porta dello switch è una porta di accesso, il tagging VLAN verrà rimosso. Ora, tre domande a risposta rapida che mi vengono poste in ogni implementazione Ruckus-Purple. Ho bisogno di una VLAN dedicata per il WiFi ospiti? Sì, sempre. Isola il traffico ospiti su una VLAN dedicata. Questo è sia un requisito di sicurezza sia una considerazione di conformità PCI DSS se la tua struttura elabora pagamenti con carta sulla stessa rete. Abilita l'isolamento dei client sulla WLAN ospiti per impedire ai dispositivi degli ospiti di comunicare tra loro. Posso usare Purple con Ruckus One - la piattaforma gestita in cloud - invece di SmartZone? Sì. Il percorso di configurazione è diverso - si trova sotto Reti WiFi, impostazioni di Accesso Ospiti nel portale Ruckus One - ma i principi di configurazione del walled garden e di RADIUS sono identici. Purple supporta le distribuzioni multi-zona di SmartZone? Sì. L'integrazione di Purple gestisce gli ambienti SmartZone multi-zona ed è possibile limitare le configurazioni del portale a singole zone per diverse strutture o piani all'interno di una singola istanza SmartZone. Per concludere. L'integrazione tra Ruckus e Purple copre tre casi d'uso distinti, ciascuno con il proprio modello di configurazione. Il WiFi ospiti utilizza il flusso del Captive Portal WISPr - cinque punti di configurazione chiave: RADIUS sulle porte 1812 e 1813 con un server di backup, il profilo Hotspot WISPr con un URL di login esterno, un walled garden correttamente dimensionato che utilizza voci wildcard, il comando CLI no encrypt-mac-ip e la Northbound Interface abilitata con le credenziali corrette. Il WiFi protetto per il personale utilizza 802.1X EAP con instradamento dinamico della VLAN tramite attributi RADIUS - l'elemento abilitante fondamentale è il AAA Override nelle impostazioni avanzate della WLAN. L'isolamento multi-tenant utilizza Ruckus DPSK - chiavi univoche per tenant, ciascuna associata a una VLAN dedicata, con revoca istantanea e zero rischi di password condivise. Configura correttamente questi tre modelli e avrai un'architettura di rete scalabile da un hotel indipendente di 50 camere su Unleashed a uno stadio da 5.000 posti su SmartZone, con la stessa piattaforma Purple sovrastante che fornisce analisi unificate, acquisizione dati conforme al GDPR e gestione centralizzata degli accessi. Se stai pianificando un'implementazione Ruckus con Purple, il team di onboarding tecnico può guidarti attraverso una checklist pre-lancio e convalidare la tua configurazione prima della messa in servizio. La piattaforma Purple fornisce anche analisi in tempo reale sui tempi di caricamento del portale, sui tassi di successo dell'autenticazione e sui dati di sessione, offrendoti la visibilità necessaria per individuare i problemi prima dei tuoi ospiti. Grazie per l'ascolto. Alla prossima.

header_image.png

Executive Summary

La distribuzione di una rete wireless ad alte prestazioni in ambienti aziendali richiede un delicato equilibrio tra un'esperienza utente fluida e una solida sicurezza tecnica. Per le organizzazioni che utilizzano architetture CommScope Ruckus - che spaziano da stadi e centri congressi ad alta densità a vasti complessi retail e gruppi alberghieri - la rete funge da gateway principale per il digital engagement. Questa guida fornisce un playbook tecnico definitivo per l'integrazione dei controller Ruckus SmartZone, ZoneDirector e Unleashed con la piattaforma cloud Purple. Dettagliamo i passaggi di configurazione esatti richiesti per distribuire il Guest WiFi utilizzando il reindirizzamento del Captive Portal WISPr, proteggere le reti del personale tramite il routing VLAN dinamico 802.1X e l'isolamento della rete multi-tenant utilizzando le chiavi pre-condivise dinamiche Ruckus (DPSK). Seguendo queste best practice indipendenti dal fornitore, i team IT possono automatizzare la segmentazione della rete, garantire la conformità a standard come PCI DSS e acquisire dati di prima parte in modo sicuro.

Approfondimento Tecnico

L'integrazione tra l'hardware CommScope Ruckus e Purple si basa su protocolli di autenticazione standard di settore e comunicazioni API sicure. L'architettura supporta tre distinti modelli di distribuzione, ciascuno al servizio di uno specifico gruppo di utenti all'interno della struttura.

Architettura Guest WiFi (WISPr)

Per le reti ad accesso pubblico nel retail e nell'hospitality, Ruckus utilizza il protocollo WISPr (Wireless Internet Service Provider roaming). Quando un ospite si connette a un SSID aperto, il controller Ruckus intercetta la sua richiesta HTTP iniziale ed emette un reindirizzamento HTTP 302 al Captive Portal esterno di Purple. L'ospite si autentica tramite un meccanismo di opt-in consapevole, come l'e-mail o un provider di identità social. Una volta completata con successo l'autenticazione, Purple comunica nuovamente con il controller Ruckus tramite la Northbound Interface (NBI) per autorizzare l'indirizzo MAC e concedere l'accesso a Internet.

architecture_overview.png

WiFi Sicuro per il Personale (802.1X e VLAN Dinamiche)

I dispositivi del personale richiedono un approccio fondamentalmente diverso. Invece di affidarsi ai Captive Portal, gli ambienti aziendali utilizzano l'autenticazione 802.1X. I dispositivi si autenticano direttamente con l'infrastruttura RADIUS di Purple utilizzando i protocolli EAP-TLS (basato su certificati) o PEAP-MSCHAPv2 (basato su credenziali).

Il componente critico in questo caso è il dynamic VLAN steering. Quando il server RADIUS di Purple restituisce un messaggio di Access-Accept, include tre attributi standard IETF specifici:

  • Tunnel-Type (Attributo 64): Impostato su VLAN (valore 13)
  • Tunnel-Medium-Type (Attributo 65): Impostato su IEEE-802 (valore 6)
  • Tunnel-Private-Group-ID (Attributo 81): Contiene la stringa dell'ID VLAN (es. "20" per lo Staff)

Il controller Ruckus SmartZone legge questi attributi e tagga dinamicamente il traffico dell'utente, inserendolo nel segmento di rete isolato corretto, indipendentemente dall'access point fisico a cui si è connesso.

Isolamento Multi-Tenant (Ruckus DPSK)

Per ambienti come spazi di co-working, alloggi per studenti e unità abitative plurifamiliari (MDU), trasmettere decine di SSID crea gravi interferenze di canale. Ruckus Dynamic Pre-Shared Key (DPSK) risolve questo problema assegnando una passphrase WPA2/WPA3 univoca a ciascun tenant su un unico SSID condiviso.

Ogni DPSK è associato a una VLAN specifica. Quando un residente si connette, il controller utilizza la sua chiave univoca per autenticare il dispositivo e inserirlo nella sua VLAN privata. Purple automatizza questo processo tramite l'integrazione delle API, generando e revocando le chiavi man mano che i tenant entrano ed escono, eliminando i rischi di sicurezza associati alle tradizionali password condivise.

dpsk_configuration_guide.png

Guida all'implementazione

Questa sezione illustra i passaggi di configurazione specifici richiesti per integrare Purple con un controller Ruckus SmartZone. I passaggi per Unleashed sono ampiamente simili ma omettono il requisito della Northbound Interface.

1. Configurare i server RADIUS AAA

  1. Passare a Services & Profiles > Authentication.
  2. Creare un nuovo profilo server AAA con il protocollo di servizio impostato su RADIUS.
  3. Inserire l'IP del server primario e il segreto condiviso forniti nella console di amministrazione di Purple.
  4. Impostare la porta di autenticazione su 1812.
  5. Ripetere questo processo in Services & Profiles > Accounting, impostando la porta su 1813.

2. Configurare il profilo Hotspot WISPr

  1. Passare a Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Creare un nuovo profilo e impostare l'URL di accesso su External.
  3. Inserire l'URL di reindirizzamento del Captive Portal di Purple.
  4. Definire il Walled Garden. Questo passaggio è fondamentale. È necessario consentire l'accesso ai domini di Purple prima dell'autenticazione. SmartZone supporta i caratteri jolly (es. *.purple.ai). È inoltre necessario includere captive.apple.com per gestire il comportamento del Captive Network Assistant (CNA) di iOS.

3. Disabilitare la crittografia dell'indirizzo MAC (passaggio critico)

Per impostazione predefinita, SmartZone crittografa gli indirizzi MAC e IP passati nell'URL di reindirizzamento. Purple richiede l'indirizzo MAC non crittografato per la gestione della sessione. È necessario disabilitare questa funzione tramite la CLI:

enable
config
no encrypt-mac-ip
exit

4. Abilitare la Northbound Interface (NBI)

  1. Navigare su Amministrazione > Servizi esterni > Interfaccia WISPr Northbound.
  2. Abilitare il servizio e configurare un nome utente e una password.
  3. Fornire queste credenziali a Purple. Assicurarsi che il firewall consenta il traffico TCP in entrata sulle porte 9080 (HTTP) e 9443 (HTTPS) dagli intervalli IP di Purple.

5. Creare la WLAN

  1. Creare una nuova WLAN e impostare il Tipo di autenticazione su Hotspot (WISPr).
  2. Selezionare il profilo Hotspot e i server AAA configurati in precedenza.
  3. Per le reti del personale 802.1X, abilitare AAA Override nelle impostazioni avanzate per garantire l'elaborazione degli attributi VLAN dinamici.

Best Practice

Per garantire un'installazione robusta e sicura, attenersi a queste raccomandazioni standard del settore:

  • Isolare il traffico ospiti: Posizionare sempre il WiFi ospiti su una VLAN dedicata e abilitare l'isolamento dei client. Questo è un requisito obbligatorio per la conformità PCI DSS se la struttura elabora pagamenti sulla stessa infrastruttura fisica.
  • Standardizzare gli ID VLAN: Quando si distribuisce il reindirizzamento dinamico della VLAN su più sedi, assicurarsi che lo schema di numerazione delle VLAN sia identico a livello globale (ad es. la VLAN 20 è sempre Staff). Una denominazione incoerente causerà errori di autenticazione.
  • Implementare il fallback RADIUS: Configurare una VLAN critica o un meccanismo di fallback sui controller. Se il server RADIUS primario non è raggiungibile, i dispositivi dovrebbero essere spostati in una VLAN limitata al solo accesso a Internet per mantenere la connettività di base.
  • Utilizzare DPSK3 per nuove installazioni: Se l'hardware Ruckus supporta WPA3, implementare DPSK3 anziché il DPSK legacy per beneficiare della crittografia basata su SAE.

Risoluzione dei problemi e mitigazione dei rischi

Durante l'integrazione di Captive Portal esterni e servizi RADIUS, i tecnici riscontrano comunemente i seguenti tipi di errore:

  • Il portale non si carica: Si tratta quasi sempre di una configurazione errata del Walled Garden. I portali moderni caricano risorse da più CDN e provider di identità. Utilizzare gli strumenti di sviluppo del browser per identificare le richieste bloccate e aggiungere i domini richiesti al Walled Garden di SmartZone.
  • L'autenticazione ha successo ma non c'è accesso a Internet: Questo indica un errore dell'interfaccia Northbound. SmartZone non riceve la callback di autorizzazione da Purple. Verificare le credenziali NBI e controllare i log del firewall per verificare la presenza di traffico bloccato sulle porte TCP 9080/9443.
  • Assegnazione dinamica della VLAN non riuscita: Se gli utenti 802.1X si autenticano correttamente ma finiscono sulla VLAN predefinita, verificare che AAA Override sia abilitato nelle impostazioni della WLAN. Senza questo, SmartZone ignora l'attributo Tunnel-Private-Group-ID restituito da Purple.

ROI e impatto sul business

L'integrazione dell'infrastruttura Ruckus con Purple trasforma una rete wireless standard in una risorsa aziendale misurabile.

Per i settori retail e hospitality, il Captive Portal acquisisce dati di prima parte verificati, favorendo la crescita dei programmi di fidelizzazione e consentendo campagne di marketing mirate. Una grande catena alberghiera del Regno Unito ha registrato un aumento del 40% nei punteggi di soddisfazione degli ospiti in seguito al lancio di Ruckus e Purple.

Per le operazioni IT, il dynamic VLAN steering e l'automazione DPSK riducono drasticamente i costi di configurazione manuale. Invece di gestire porte di switch statiche o reimpostare password condivise quando un tenant se ne va, il controllo degli accessi è centralizzato e automatizzato, mitigando i rischi di sicurezza e riducendo i ticket di supporto.

Definizioni chiave

WISPr

Wireless Internet Service Provider roaming. Un protocollo standard del settore utilizzato dai controller wireless per intercettare il traffico HTTP e reindirizzare gli utenti a un Captive Portal esterno.

Questa è l'architettura fondamentale per tutte le implementazioni di Guest WiFi pubblico su hardware Ruckus.

Northbound Interface (NBI)

Un'API sul controller Ruckus SmartZone che consente a piattaforme esterne di inviare comandi di autorizzazione.

Necessario a Purple per concedere l'accesso a Internet a un utente dopo che ha completato con successo l'accesso al Captive Portal.

Walled Garden

Una whitelist di domini e indirizzi IP a cui un dispositivo è autorizzato ad accedere prima di autenticarsi sulla rete.

Essenziale per consentire il caricamento della pagina del Captive Portal, delle relative immagini e dei provider di login social per gli ospiti non autenticati.

Dynamic PSK (DPSK)

Una tecnologia proprietaria di Ruckus che assegna una passphrase WPA2/WPA3 univoca a singoli utenti o gruppi su un unico SSID condiviso.

Utilizzato ampiamente in ambienti multi-tenant (MDU, spazi di co-working) per fornire un isolamento sicuro della rete senza proliferazione di SSID.

Dynamic VLAN Steering

Il processo di assegnazione automatica di un dispositivo a uno specifico segmento di rete (VLAN) in base agli attributi RADIUS restituiti durante l'autenticazione 802.1X.

Consente ai team IT di utilizzare un unico SSID "Staff" separando in modo sicuro il traffico di risorse umane, finanza e reception a livello di rete.

AAA Override

Un'impostazione di configurazione sui controller wireless che costringe l'access point ad applicare le policy (come gli ID VLAN) restituite dal server RADIUS.

Deve essere abilitato sulle WLAN Ruckus affinché il Dynamic VLAN Steering funzioni correttamente.

Client Isolation

Una funzionalità di sicurezza che impedisce ai dispositivi connessi alla stessa rete wireless di comunicare direttamente tra loro.

Un controllo di sicurezza obbligatorio per le reti Guest WiFi pubbliche per prevenire attacchi peer-to-peer e garantire la conformità.

Captive Network Assistant (CNA)

Il mini-browser integrato nei sistemi operativi mobili (come iOS e Android) che si apre automaticamente quando viene rilevato un Captive Portal.

I tecnici devono gestire il comportamento del CNA tramite il Walled Garden per garantire un'esperienza di login fluida agli utenti mobili.

Esempi pratici

Un hotel da 250 camere deve implementare tre reti distinte sulla propria infrastruttura Ruckus SmartZone: una rete ospiti pubblica, una rete sicura per il personale con accesso al sistema di gestione della proprietà e una rete IoT isolata per i termostati intelligenti.

Il team IT configura tre WLAN. La WLAN 'Guest-WiFi' utilizza l'autenticazione Hotspot (WISPr) con reindirizzamento al Captive Portal di Purple, inserendo gli utenti nella VLAN 10 con l'isolamento dei client abilitato. La WLAN 'Staff-Secure' utilizza l'autenticazione 802.1X EAP tramite Purple SecurePass; il server RADIUS restituisce Tunnel-Private-Group-ID = 20, indirizzando dinamicamente il personale alla VLAN interna. La WLAN 'IoT-Devices' utilizza una chiave WPA2 PSK statica associata alla VLAN 30, limitata tramite regole di firewall a comunicare solo con il server di controllo dei termostati.

Commento dell'esaminatore: Questa architettura applica correttamente il principio del privilegio minimo. Sfruttando l'indirizzamento dinamico della VLAN per il personale, l'hotel evita di trasmettere molteplici SSID specifici per reparto, riducendo l'utilizzo dei canali e mantenendo la rigida segmentazione di rete richiesta per la conformità PCI DSS.

Un operatore di spazi di co-working gestisce un edificio con 15 diverse aziende clienti. Deve fornire un accesso wireless sicuro e isolato per ciascuna azienda senza trasmettere 15 SSID separati.

L'operatore implementa Ruckus Unleashed e configura una singola WLAN 'Tenant-WiFi' utilizzando la sicurezza Dynamic PSK (DPSK). All'interno del controller, abilita l'assegnazione VLAN Per-DPSK. A ciascuna delle 15 aziende clienti viene rilasciata una passphrase univoca di 62 caratteri. Quando i dipendenti dell'Azienda A si connettono utilizzando la loro chiave specifica, il controller assegna automaticamente il loro traffico alla VLAN 101. I dipendenti dell'Azienda B utilizzano una chiave diversa e accedono alla VLAN 102.

Commento dell'esaminatore: Questo è il caso d'uso ottimale per Ruckus DPSK. Fornisce un isolamento di livello enterprise a livello di rete, mantenendo pulito l'ambiente RF grazie alla trasmissione di un solo SSID. Elimina inoltre il rischio di sicurezza di una password condivisa, poiché la revoca dell'accesso dell'Azienda A richiede l'eliminazione di una singola chiave senza influire sulle altre 14 aziende.

Domande di esercitazione

Q1. Hai configurato una rete Guest WiFi su un controller Ruckus SmartZone integrato con Purple. Quando si connette un dispositivo di test, viene visualizzata la pagina del Captive Portal di Purple, ma l'immagine del logo è mancante e il pulsante "Accedi con Facebook" non funziona. Qual è la causa più probabile?

Suggerimento: Considera il tipo di accesso alla rete di cui dispone il dispositivo prima di autenticarsi con successo.

Visualizza risposta modello

Il Walled Garden è configurato in modo errato. I domini che ospitano l'immagine del logo (ad esempio, una CDN) e i server di autenticazione di Facebook non sono stati aggiunti alla whitelist del Walled Garden, pertanto il controller SmartZone blocca tali richieste prima dell'autenticazione.

Q2. Un ingegnere di rete sta implementando lo standard 802.1X per l'accesso del personale. Il server RADIUS di Purple restituisce correttamente l'attributo `Tunnel-Private-Group-ID` per la VLAN 20. Tuttavia, quando il personale si connette, viene inserito nella VLAN predefinita assegnata alla WLAN. Come si risolve questo problema?

Suggerimento: Il controller riceve le istruzioni RADIUS ma sceglie di ignorarle.

Visualizza risposta modello

È necessario abilitare l'opzione "AAA Override" nelle impostazioni avanzate della WLAN sul controller SmartZone. Senza questa impostazione abilitata, il controller non applicherà gli attributi VLAN dinamici restituiti dal server RADIUS.

Q3. Uno spazio di co-working desidera fornire un accesso WiFi sicuro a 10 aziende diverse. Attualmente trasmettono 10 SSID separati, il che causa gravi interferenze di canale. Non possono utilizzare lo standard 802.1X perché molti dispositivi sono stampanti condivise o smart TV. Qual è l'architettura Ruckus consigliata?

Suggerimento: Cerca una soluzione che fornisca chiavi di crittografia univoche senza richiedere certificati o credenziali aziendali.

Visualizza risposta modello

Implementare Ruckus Dynamic PSK (DPSK) su un singolo SSID. Rilasciare una DPSK univoca a ciascuna azienda locataria e configurare il controller per associare ciascuna DPSK a una VLAN specifica. Ciò elimina la proliferazione di SSID, fornisce l'isolamento della rete e supporta i dispositivi headless come le stampanti.

Continua a leggere questa serie

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →

Integrazione di Cisco WLC e Catalyst con Purple WiFi: guida passo-passo per l'accesso guest

Questa guida dettaglia l'integrazione passo-passo di Cisco WLC e Catalyst 9800 Wireless con Purple, coprendo il reindirizzamento al Captive Portal Guest WiFi tramite Central Web Authentication, il Wi-Fi protetto per il personale tramite 802.1X EAP-TLS e la segmentazione Multi-Tenant tramite Cisco Identity Pre-Shared Keys (iPSK) con assegnazione dinamica della VLAN. È scritta per architetti di reti aziendali e direttori della sicurezza IT che distribuiscono infrastrutture Cisco in settori quali hospitality, retail e grandi spazi pubblici.

Leggi la guida →