Ruckus Unleashed e guest WiFi: configurazione del captive portal con Purple

Benvenuto al Purple Technical Briefing. Sono il tuo presentatore e oggi ci occuperemo di un modello di distribuzione che si presenta in quasi tutti i progetti WiFi aziendali su larga scala che seguiamo - l'integrazione di CommScope Ruckus con la piattaforma cloud di Purple. Che tu gestisca un gruppo alberghiero, una catena retail, uno stadio o un centro congressi, questo episodio ti fornirà il manuale di configurazione di cui hai bisogno. Iniziamo a inquadrare lo scenario. Ruckus - ora sotto CommScope - è una delle piattaforme WiFi aziendali leader a livello globale. SmartZone, in particolare, è il controller preferito per gli ambienti ad alta densità. Hotel come Premier Inn, grandi catene di negozi, stadi e centri congressi utilizzano tutti l'infrastruttura Ruckus. Quando distribuisci il WiFi per gli ospiti su tale scala, hai bisogno di qualcosa di più di un SSID aperto. Ti servono un'autenticazione strutturata, l'acquisizione di dati conforme al GDPR e la possibilità di inserire i dati degli ospiti nel tuo stack di marketing. È proprio qui che entra in gioco Purple. Purple opera in oltre 80.000 sedi attive, ha elaborato 440 milioni di accessi solo nel 2024 e possiede le certificazioni ISO 27001, GDPR e Cyber Essentials. L'integrazione con Ruckus è uno dei nostri modelli di implementazione più maturi. Ora, Ruckus ha tre diverse piattaforme di controller che devi conoscere prima di toccare una schermata di configurazione. SmartZone - disponibile come appliance fisica SZ300 o virtuale vSZ - è il controller aziendale per distribuzioni multi-sito su larga scala. Gestisce migliaia di punti di accesso in più zone, offre un controllo approfondito delle policy e supporta l'intera gamma di metodi di autenticazione che tratteremo oggi. ZoneDirector è il controller on-premises legacy - ancora ampiamente utilizzato, in particolare nel settore alberghiero - e supporta lo stesso flusso di Captive Portal basato su WISPr, sebbene con un percorso di configurazione leggermente diverso. E Unleashed è il modello senza controller, in cui un AP funge da master per un massimo di altri 128. È ideale per implementazioni più piccole e a sito singolo - hotel indipendenti, filiali retail, uffici di PMI. Bene. Entriamo nei dettagli tecnici. Tratterò tre casi d'uso distinti: WiFi per gli ospiti con reindirizzamento al Captive Portal, WiFi protetto per il personale tramite 802.1X e isolamento di rete multi-tenant tramite Ruckus Dynamic PSK. Iniziamo con il WiFi per gli ospiti. L'architettura qui è un flusso di hotspot basato su WISPr. WISPr - Wireless Internet Service Provider roaming - è uno standard di settore che definisce il modo in cui un controller wireless intercetta il traffico HTTP non autenticato e lo reindirizza a un portale esterno. L'ospite si connette al tuo SSID. Il suo dispositivo invia una richiesta HTTP. SmartZone la intercetta e invia un reindirizzamento HTTP 302 all'URL del tuo portale esterno - in questo caso, il Captive Portal di Purple. L'ospite si autentica - tramite social login, e-mail, SMS o un modulo personalizzato - e quindi il portale comunica nuovamente con il controller tramite la Northbound Interface, o NBI, per concedere l'accesso. Su SmartZone, la configurazione si compone di quattro elementi principali. In primo luogo, il profilo del server di autenticazione RADIUS. Accedere a Servizi e Profili, quindi ad Autenticazione. Creare un nuovo profilo server AAA. Impostare il Protocollo di Servizio su RADIUS. L'IP del server primario e il codice segreto condiviso sono forniti nella console di amministrazione Purple. Porta 1812 per l'autenticazione. Configurare sempre un server RADIUS di backup per garantire la resilienza. Creare quindi il server di accounting sotto Servizi e Profili, Accounting - porta 1813, stesso codice segreto condiviso. In secondo luogo, il profilo Hotspot WISPr. Andare su Servizi e Profili, Hotspot e Portali, e selezionare la scheda Hotspot WISPr. Creare un nuovo profilo. Impostare l'URL di accesso su Esterno e inserire l'URL di reindirizzamento del portale. Impostare la Pagina Iniziale per reindirizzare all'URL post-autenticazione - solitamente una pagina di successo o la homepage della struttura. Ora, il Walled Garden. Questo è il punto in cui i tecnici sbagliano più spesso. Il Walled Garden definisce quali domini e indirizzi IP un ospite può raggiungere prima di essersi autenticato. È necessario includere il dominio del portale, tutti i domini CDN o di risorse da cui il portale carica i contenuti e gli endpoint standard di rilevamento del Captive Portal del sistema operativo. In SmartZone, i caratteri jolly sono supportati utilizzando il formato asterisco-punto - quindi star-dot-purple-dot-ai copre tutti i sottodomini. Sono necessari anche il dominio di rilevamento del Captive Portal di Apple - captive.apple.com - e gli endpoint di controllo della connettività di Google per evitare anomalie del mini-browser CNA sui dispositivi iOS e Android. Un passaggio critico che è facile dimenticare. Per impostazione predefinita, SmartZone crittografa l'indirizzo MAC e l'indirizzo IP passati al portale esterno nell'URL di reindirizzamento. Purple deve vedere l'effettivo indirizzo MAC del client per eseguire la gestione della sessione basata su MAC. È necessario disattivare questa opzione tramite la CLI. Accedere via SSH a SmartZone, entrare in modalità di configurazione ed eseguire: no encrypt-mac-ip. Si tratta di un solo comando, ma rappresenta un blocco totale se viene saltato. La Northbound Interface è l'altro elemento essenziale. Questa è l'API che consente a Purple di comunicare con SmartZone per consentire o negare l'accesso dopo l'autenticazione. Abilitarla sotto Amministrazione, Servizi Esterni, WISPr Northbound Interface. Impostare un nome utente e una password, e fornire tali credenziali a Purple. La NBI funziona sulla porta TCP 9080 per HTTP e 9443 per HTTPS - assicurarsi che il firewall consenta le connessioni in entrata dall'intervallo IP di Purple verso queste porte. Infine, creare la WLAN. Impostare il Tipo di Autenticazione su Hotspot WISPr, selezionare il profilo del portale e assegnare i servizi di autenticazione e accounting RADIUS. Impostare il NAS ID su Definito dall'utente se Purple richiede un valore specifico, impostare Called Station ID su AP MAC e abilitare Single Session ID. Per Unleashed, l'architettura è fondamentalmente diversa - si tratta di un modello distribuito e senza controller. La configurazione si trova in Admin and Services, Services, Hotspot Services. I passaggi sono sostanzialmente simili - creare un servizio Hotspot, configurare l'URL del portale esterno, impostare il server di autenticazione AAA, aggiungere le voci Walled Garden - ma ci sono due differenze fondamentali. Non è richiesto alcun Northbound Interface in Unleashed. Inoltre, la crittografia dell'indirizzo MAC non è applicata per impostazione predefinita, quindi non è necessario il comando CLI. Il walled garden di Unleashed accetta anche voci a livello di dominio anziché la sintassi wildcard completa. Passiamo ora al Secure Staff WiFi utilizzando 802.1X. Si tratta di un modello di autenticazione completamente diverso. Invece di un Captive Portal, i dispositivi del personale si autenticano direttamente utilizzando l'Extensible Authentication Protocol - EAP. Il metodo più comune negli ambienti enterprise è PEAP-MSCHAPv2, in cui l'utente inserisce le proprie credenziali Active Directory, oppure EAP-TLS, in cui il dispositivo presenta un certificato. L'add-on SecurePass di Purple si integra con Microsoft Entra ID, Okta e Google Workspace per fungere da backend RADIUS per questo flusso. Su SmartZone, creare una nuova WLAN e impostare l'Authentication Type su 802.1X EAP. Sotto le impostazioni AAA, indirizzare al server RADIUS - l'endpoint SecurePass di Purple. La differenza fondamentale rispetto al flusso guest è che qui si configura anche l'assegnazione dinamica della VLAN. Quando il server RADIUS di Purple restituisce un Access-Accept, include tre attributi standard IETF: Tunnel-Type impostato su VLAN, valore 13; Tunnel-Medium-Type impostato su IEEE-802, valore 6; e Tunnel-Private-Group-ID contenente la stringa dell'ID della VLAN - ad esempio, venti per la VLAN del personale. SmartZone legge questi attributi e tagga dinamicamente il traffico del membro del personale con la VLAN corretta, indipendentemente dall'AP a cui è connesso. Questo è il dynamic VLAN steering, ed è ciò che consente a un singolo SSID di servire più ruoli utente con diverse policy di accesso alla rete. Abilitare AAA Override nelle impostazioni avanzate della WLAN per garantire che SmartZone elabori gli attributi VLAN restituiti dal RADIUS. Senza quella casella di controllo, l'assegnazione dinamica non funzionerà anche se il server RADIUS invia gli attributi corretti. Il terzo caso d'uso è l'isolamento Multi-Tenant che utilizza Ruckus Dynamic PSK - o DPSK. Si tratta di una tecnologia proprietaria di Ruckus che assegna una passphrase WPA2 univoca a ciascun utente o tenant, il tutto su un unico SSID. A differenza di una PSK condivisa in cui tutti utilizzano la stessa password, DPSK significa che il Tenant A ha una chiave univoca di 62 caratteri, il Tenant B ne ha una diversa e così via. Ciascuna chiave è associata a una VLAN specifica, quindi il traffico del Tenant A finisce sulla VLAN 101 e quello del Tenant B sulla VLAN 102 - isolamento completo, nessun rischio di password condivisa e revoca istantanea senza influire sugli altri tenant. Questo è particolarmente efficace negli spazi di co-working, negli edifici residenziali build-to-rent, negli alloggi per studenti e nei retail park multi-tenant. Purple si integra con Ruckus DPSK tramite l'API SmartZone per automatizzare il provisioning delle chiavi - quando un nuovo inquilino viene registrato in Purple, viene generata una DPSK, associata alla VLAN corretta e consegnata all'inquilino in modo automatico. Per configurare la DPSK su SmartZone: navigare su WLAN, aggiungere una nuova WLAN e sotto Sicurezza impostare il metodo su Dynamic PSK. Impostare la lunghezza della DPSK a 62 caratteri per la massima entropia. Sotto VLAN, abilitare l'assegnazione VLAN Per-DPSK. Successivamente, utilizzare l'API SmartZone o l'interfaccia di gestione DPSK per creare chiavi individuali per inquilino, ciascuna mappata sul proprio ID VLAN. Su Unleashed, la stessa funzione è disponibile sotto WiFi Networks, Opzioni Avanzate, Dynamic PSK. DPSK3 è la variante WPA3, che offre una crittografia più forte basata su SAE. Se la vostra flotta di AP supporta WPA3 - come tutti gli attuali AP Ruckus serie R - DPSK3 è la scelta preferita per i nuovi deployment. Vediamo ora due scenari di implementazione reali che illustrano come questi tre casi d'uso si integrino tra loro. Primo scenario: un hotel da 250 camere. La struttura gestisce Ruckus SmartZone con access point R750 in tutto l'edificio. Hanno bisogno di tre tipi di rete: WiFi ospiti per i clienti dell'hotel, WiFi personale sicuro per lo staff di front-of-house e back-of-house, e una rete IoT per i controlli domotici delle camere e la videosorveglianza. La WLAN ospiti utilizza il flusso WISPr Captive Portal con Purple. Gli ospiti si connettono, vengono reindirizzati a un portale Purple personalizzato con il brand, si autenticano tramite e-mail o social login e atterrano sulla VLAN 10. Il portale acquisisce dati di prima parte - e-mail, consenso al marketing, preferenze di soggiorno - che confluiscono direttamente nel CRM dell'hotel. La dashboard analitica di Purple mostra all'hotel quali piani hanno i tassi di connessione più elevati, gli orari di picco e i tassi di visitatori ricorrenti. Premier Inn ha implementato questo modello in tutte le sue strutture nel Regno Unito e ha registrato miglioramenti misurabili nei punteggi di soddisfazione degli ospiti, direttamente legati all'esperienza WiFi. La WLAN del personale utilizza lo standard 802.1X con SecurePass di Purple. Il personale si autentica con le proprie credenziali Active Directory tramite PEAP-MSCHAPv2. Il personale della reception atterra sulla VLAN 20 con accesso al sistema di gestione della struttura. Il personale di back-of-house atterra sulla VLAN 21 con accesso esclusivo ai sistemi HR e di pianificazione. L'assegnazione della VLAN è guidata interamente dagli attributi RADIUS restituiti da Purple - non è richiesta alcuna configurazione manuale delle porte. Quando un membro dello staff lascia l'azienda, il suo account viene disabilitato in Microsoft Entra ID e l'accesso viene revocato istantaneamente in tutte le strutture. La WLAN IoT utilizza una PSK statica, isolata sulla VLAN 30, con l'isolamento dei client abilitato. Termostati intelligenti, serrature elettroniche e telecamere di videosorveglianza si trovano qui, completamente separati dal traffico degli ospiti e del personale. Secondo scenario: uno spazio di co-working con 15 aziende clienti. È qui che il DPSK dimostra davvero il suo valore. L'operatore utilizza Ruckus Unleashed su tre piani. Ogni azienda cliente riceve un DPSK unico associato alla propria VLAN. I 20 membri del personale dell'Azienda A utilizzano tutti la stessa passphrase DPSK-A, ma tale passphrase è esclusiva dell'Azienda A e si mappa solo sulla VLAN 101. L'Azienda B utilizza il DPSK-B, mappandolo sulla VLAN 102. I clienti sono completamente isolati l'uno dall'altro a livello di rete. Quando un cliente se ne va, l'operatore revoca il suo DPSK in SmartZone - o tramite l'interfaccia di gestione di Purple - e il gioco è fatto. Nessun altro cliente viene influenzato, non è richiesta alcuna modifica dell'SSID, né il ripristino delle password in tutto l'edificio. Il livello di gestione multi-tenant di Purple si colloca al di sopra di questo, offrendo all'operatore del co-working un'unica dashboard per gestire l'onboarding, la revoca degli accessi e la reportistica sull'utilizzo per tutti i 15 clienti. Ora vorrei analizzare i problemi più comuni e come evitarli. Numero uno: errata configurazione del Walled Garden. Se la pagina del portale non si carica dopo il reindirizzamento, la prima cosa da verificare è se tutti i domini a cui fa riferimento la pagina del portale si trovano nel walled garden. Le moderne pagine dei portali caricano risorse da più domini CDN, script di analisi e SDK per il login social. Se uno qualsiasi di questi viene bloccato prima dell'autenticazione, la pagina non si caricherà o si caricherà in modo errato. Utilizza gli strumenti di sviluppo del browser su un dispositivo di test connesso all'SSID ospiti per identificare quali richieste vengono bloccate. Purple fornisce un elenco documentato di walled garden per SmartZone e Unleashed - usalo come base di partenza e aggiungi eventuali domini specifici della sede. Numero due: il problema di connettività NBI. Se gli ospiti riescono a visualizzare il portale e ad autenticarsi, ma non ottengono mai l'accesso a internet, la causa probabile è che SmartZone non riesce a ricevere la callback NBI da Purple. Verifica che le porte 9080 e 9443 siano aperte in entrata verso l'IP di gestione di SmartZone dall'intervallo IP di Purple. Verifica anche che le credenziali NBI configurate corrispondano a quelle registrate da Purple. Numero tre: il comando no encrypt-mac-ip mancante. Questo è l'inghippo più comune specifico di SmartZone. Se Purple riceve richieste di reindirizzamento ma non riesce ad associare la sessione a un indirizzo MAC, la causa è quasi certamente questa. Si tratta di una correzione CLI da una sola riga, ma è facile da dimenticare perché non è visibile nella GUI. Numero quattro: AAA Override non abilitato per la VLAN dinamica. Se il personale si autentica con successo su 802.1X ma finisce tutto sulla stessa VLAN predefinita anziché sulla VLAN specifica per il proprio ruolo, verifica che AAA Override sia abilitato nelle impostazioni avanzate della WLAN. Questo è l'interruttore che dice a SmartZone di rispettare gli attributi VLAN restituiti dal server RADIUS. Numero cinque: la VLAN DPSK non si propaga. Se gli utenti DPSK si autenticano ma non atterrano sulla VLAN corretta, verifica che l'assegnazione della VLAN Per-DPSK sia abilitata nelle impostazioni WLAN e che le porte dello switch collegate ai tuoi AP siano configurate come porte trunk che trasportano tutte le VLAN DPSK. Se la porta dello switch è una porta di accesso, il tagging VLAN verrà rimosso. Ora, tre domande rapide che mi vengono poste in ogni implementazione Ruckus-Purple. Ho bisogno di una VLAN dedicata per il WiFi ospiti? Sì, sempre. Isola il traffico ospiti su una VLAN dedicata. Questo è sia un requisito di sicurezza sia una considerazione di conformità PCI-DSS se la tua sede elabora pagamenti con carta sulla stessa rete. Abilita l'isolamento dei client sulla WLAN ospiti per impedire ai dispositivi degli ospiti di comunicare tra loro. Posso usare Purple con Ruckus One - la piattaforma gestita in cloud - invece di SmartZone? Sì. Il percorso di configurazione è diverso - si trova sotto WiFi Networks, impostazioni di Guest Access nel portale Ruckus One - ma i principi del walled garden e della configurazione RADIUS sono identici. Purple supporta le distribuzioni multi-zona di SmartZone? Sì. L'integrazione di Purple gestisce ambienti SmartZone multi-zona ed è possibile limitare le configurazioni del portale a singole zone per diverse sedi o piani all'interno di una singola istanza SmartZone. Per concludere. L'integrazione tra Ruckus e Purple copre tre casi d'uso distinti, ciascuno con il proprio modello di configurazione. Il WiFi ospiti utilizza il flusso del Captive Portal WISPr - cinque punti di configurazione chiave: RADIUS sulle porte 1812 e 1813 con un server di backup, il profilo Hotspot WISPr con un URL di login esterno, un walled garden correttamente configurato che utilizza voci wildcard, il comando CLI no encrypt-mac-ip e la Northbound Interface abilitata con le credenziali corrette. Il WiFi protetto per il personale utilizza 802.1X EAP con instradamento dinamico della VLAN tramite attributi RADIUS - l'elemento abilitante critico è l'AAA Override nelle impostazioni avanzate della WLAN. L'isolamento multi-tenant utilizza Ruckus DPSK - chiavi univoche per tenant, ciascuna associata a una VLAN dedicata, con revoca istantanea e nessun rischio di password condivise. Configurando correttamente questi tre pattern, otterrai un'architettura di rete che si adatta da un hotel indipendente da 50 camere su Unleashed a uno stadio da 5.000 posti su SmartZone, con la stessa piattaforma Purple che sovrasta il tutto offrendo analisi unificate, acquisizione dati conforme a GDPR e gestione centralizzata degli accessi. Se stai pianificando una distribuzione Ruckus con Purple, il team di onboarding tecnico può guidarti attraverso una checklist pre-lancio e convalidare la tua configurazione prima della messa in servizio. La piattaforma Purple offre anche analisi in tempo reale sui tempi di caricamento del portale, sui tassi di successo dell'autenticazione e sui dati di sessione - offrendoti la visibilità necessaria per individuare i problemi prima dei tuoi ospiti. Grazie per l'attenzione. Alla prossima.