How to Configure NAC Policies for VLAN Steering in Cisco Meraki

Questa guida autorevole fornisce ai leader IT, agli architetti di rete e ai direttori delle operazioni delle strutture un framework pratico e dettagliato per la configurazione delle policy NAC e del VLAN steering negli ambienti Cisco Meraki. Copre l'implementazione di 802.1X, l'isolamento dei dispositivi IoT tramite MAC Authentication Bypass e l'integrazione fluida con la piattaforma di analisi del guest WiFi di Purple per garantire una segmentazione di rete sicura, conforme e ad alte prestazioni in contesti hospitality, retail e settore pubblico.

📖 7 minuti di lettura📝 1,719 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

[INTRO]

Host: Benvenuti al nuovo appuntamento con il Purple Enterprise Networking Brief. Sono il vostro presentatore e oggi affronteremo uno scenario di deployment che toglie il sonno a molti direttori IT: Come configurare le policy NAC per il VLAN Steering in Cisco Meraki.

Se gestite una struttura di grandi dimensioni — che si tratti di un hotel da 500 camere, di un grande complesso retail o di uno stadio ad alta densità — sapete già che una rete piatta è una rete compromessa. Avete bisogno di una segmentazione dinamica. Dovete garantire che, quando un dispositivo si connette al vostro SSID, venga profilato, autenticato e inserito automaticamente nella VLAN corretta, senza alcun intervento manuale.

In questo briefing salteremo la teoria accademica per immergerci direttamente nell'architettura pratica. Vedremo come implementare l'802.1X, come gestire i dispositivi IoT che non possono eseguire un supplicant e come integrare tutto questo in modo fluido con la piattaforma di guest WiFi e analytics di Purple. Entriamo nel vivo.

[TECHNICAL DEEP-DIVE]

Host: Partiamo dall'architettura. Il VLAN steering in un ambiente Meraki si basa sul Network Access Control, o NAC. L'obiettivo qui è semplice: un solo SSID, molteplici risultati. Invece di trasmettere SSID separati per il personale, gli ospiti e l'IoT — il che consuma tempo di trasmissione prezioso e riduce le prestazioni — trasmettiamo un unico SSID sicuro. Il server RADIUS e la dashboard Meraki gestiscono la logica.

Quando un dispositivo si associa all'access point, l'AP invia un Access-Request al server RADIUS. È qui che entra in gioco il motore delle policy NAC. Il server RADIUS verifica le credenziali, lo stato di sicurezza del dispositivo o l'indirizzo MAC. Risponde quindi con un messaggio di Access-Accept. Ma, aspetto fondamentale, include gli attributi RADIUS — nello specifico, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. Quest'ultimo attributo indica all'AP Meraki esattamente quale tag VLAN applicare al traffico di quel client specifico.

Quindi, come si configura questo aspetto nella Dashboard Meraki?

Per prima cosa, andate su Wireless, poi su Configure e selezionate Access Control. Selezionate l'SSID di destinazione e impostate i requisiti di associazione su Enterprise con 802.1X. Questa è la base per un accesso sicuro basato sull'identità.

Successivamente, dovete indirizzare l'SSID verso il vostro server RADIUS. Sotto le impostazioni del server RADIUS, inserite l'indirizzo IP, la porta — solitamente la 1812 — e la chiave segreta condivisa.

Ma ecco il passaggio cruciale per il VLAN steering: dovete scorrere verso il basso e assicurarvi che il RADIUS override sia abilitato per le assegnazioni VLAN. Nei moderni deployment Meraki, in genere si imposta il tagging VLAN su Use VLAN tag from RADIUS.

Ora, cosa fare con i dispositivi che non supportano l'802.1X? Le telecamere IP, i termostati intelligenti, i terminali POS? È qui che entra in gioco il MAC Authentication Bypass, o MAB.

Con il MAB, l'access point utilizza l'indirizzo MAC del dispositivo come nome utente e password. Il server NAC lo confronta con un database di endpoint. Se corrisponde a un profilo IoT noto, restituisce l'ID VLAN per la rete IoT, ad esempio la VLAN 40. Questo mantiene i tuoi dispositivi legacy vulnerabili completamente isolati dai dati aziendali e dal traffico degli ospiti.

[RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI]

Host: Ora parliamo della realtà dell'implementazione. Ho visto decine di questi rollout e ci sono alcune trappole comuni che devi evitare.

Primo: Il dilemma fail-open contro fail-closed. Cosa succede se il tuo server RADIUS va offline? Se configuri il fail-closed, nessuno accede alla rete. Se configuri il fail-open, tutti finiscono in una VLAN predefinita. Per gli ambienti aziendali, specialmente nel retail e nell'hospitality, dovresti configurare una VLAN di autenticazione critica. Questa fornisce un accesso a internet di base ma limita l'accesso alle risorse interne fino a quando il server NAC non è nuovamente raggiungibile.

Secondo: L'accesso ospiti. Non vuoi gestire i dispositivi degli ospiti tramite 802.1X. Utilizza invece un SSID aperto o con chiave precondivisa con un Captive Portal. È qui che Purple eccelle. Quando un ospite si connette, viene reindirizzato a una splash page ospitata da Purple. Purple gestisce l'autenticazione — spesso tramite social login o un semplice modulo — e acquisisce quei dati di prima parte fondamentali. La dashboard Meraki viene quindi configurata per assegnare questi utenti non autenticati a una VLAN ospiti altamente limitata, in genere la VLAN 30, con l'isolamento dei client abilitato.

Terzo: La configurazione delle porte dello switch. Lo steering della VLAN sul lato wireless è inutile se la tua infrastruttura cablata non è configurata per supportarlo. Le porte dello switch che si collegano ai tuoi AP Meraki devono essere configurate come trunk, consentendo tutte le potenziali VLAN che l'AP potrebbe assegnare ai client. Se dimentichi di consentire la VLAN 20 sulla porta trunk, i dispositivi del tuo personale si autenticheranno correttamente ma non riusciranno a ottenere un indirizzo IP.

[DOMANDE E RISPOSTE RAPIDE]

Host: Facciamo una rapida carrellata di domande e risposte basate sulle domande più comuni dei clienti.

Domanda uno: Posso utilizzare l'autenticazione cloud integrata di Meraki per lo steering della VLAN? Sì, Meraki Cloud Authentication supporta l'assegnazione dinamica della VLAN tramite policy di gruppo, ma per ambienti aziendali complessi con requisiti di conformità rigorosi come PCI DSS, si consiglia un NAC dedicato on-premise o ospitato in cloud come Cisco ISE o ClearPass.

Domanda due: In che modo questo influisce sul roaming? L'assegnazione dinamica della VLAN può introdurre latenza durante il roaming se è richiesta l'autenticazione 802.1X completa su ogni access point. È necessario abilitare il Fast BSS Transition, o 802.11r, per garantire un roaming fluido per le applicazioni voce e video.
Terza domanda: come gestiamo la randomizzazione dei MAC? Gli smartphone moderni randomizzano i propri indirizzi MAC per proteggere la privacy. Per le reti guest gestite da Purple, questo aspetto viene gestito in modo ottimale attraverso il flusso del Captive Portal. Per le reti del personale che utilizzano lo standard 802.1X, l'identità è legata al certificato o alle credenziali dell'utente, non all'indirizzo MAC, quindi la randomizzazione non rappresenta un problema.

[RIASSUNTO E PROSSIMI PASSI]

Host: Per concludere, la configurazione delle policy NAC per lo steering delle VLAN in Cisco Meraki è un passaggio imprescindibile per proteggere le strutture moderne ad alta densità. Riduce il sovraccarico degli SSID, isola i dispositivi IoT vulnerabili e garantisce la conformità a framework come il GDPR e il PCI DSS.

Ricordate le regole d'oro: utilizzate lo standard 802.1X per i dispositivi aziendali, il MAB per l'IoT e integrate un Captive Portal robusto come Purple per il traffico guest. Assicuratevi che le porte trunk siano configurate correttamente e pianificate sempre la ridondanza dei server RADIUS.

Per una guida dettagliata passo dopo passo, inclusi screenshot di configurazione e diagrammi di architettura, consultate la guida tecnica completa sul sito web di Purple. Grazie per aver seguito il Purple Enterprise Networking Brief. Rimanete al sicuro e alla prossima.

Punti chiave

✓Il routing VLAN dinamico tramite NAC elimina la necessità di SSID multipli, migliorando le prestazioni RF e semplificando la gestione multi-sito.
✓Utilizza IEEE 802.1X con EAP-TLS per un'autenticazione robusta basata su certificati per tutti i dispositivi aziendali e del personale.
✓Implementa il MAC Authentication Bypass (MAB) per registrare e isolare in modo sicuro i dispositivi IoT headless che non supportano l'802.1X.
✓La porta fisica dello switch che collega l'AP Meraki allo switch principale DEVE essere configurata come trunk con tutte le potenziali VLAN esplicitamente consentite.
✓Il server RADIUS deve restituire tutti e tre gli attributi VLAN — [64] Tunnel-Type, [65] Tunnel-Medium-Type e [81] Tunnel-Private-Group-ID — affinché l'AP Meraki applichi il tag VLAN corretto.
✓Integra le reti ospiti con il Captive Portal di Purple per garantire un accesso sicuro e conforme alle normative, acquisendo al contempo dati analitici di prima parte su scala.
✓Configura sempre una VLAN di autenticazione critica e un server RADIUS secondario per mantenere la connettività essenziale e la continuità aziendale in caso di guasto del server NAC primario.

Executive Summary

Per le sedi aziendali di grandi dimensioni — dagli stadi ad alta densità ai complessi alberghieri più estesi — una rete piatta è una rete compromessa. La trasmissione di più SSID per segmentare il traffico degrada le prestazioni RF, spreca tempo di trasmissione prezioso e crea un carico amministrativo difficile da gestire su distribuzioni multi-sito. Lo standard moderno è la segmentazione dinamica: trasmettere un singolo SSID sicuro e affidarsi al Network Access Control (NAC) per profilare, autenticare e indirizzare automaticamente i dispositivi nella VLAN corretta.

Questa guida fornisce ai senior IT architect e ai direttori delle operazioni un modello pratico per la configurazione delle policy NAC per lo steering delle VLAN in Cisco Meraki. Tralasciamo la teoria accademica per concentrarci sulle realtà di implementazione: implementare lo standard IEEE 802.1X per i dispositivi aziendali, utilizzare il MAC Authentication Bypass (MAB) per i sistemi IoT headless e integrarsi perfettamente con le piattaforme di Guest WiFi come Purple per garantire un accesso sicuro e conforme in contesti Retail , Hospitality e altri ambienti aziendali. Padroneggiando queste configurazioni, le organizzazioni possono mitigare i rischi di sicurezza, garantire la conformità PCI DSS e ottimizzare il throughput di rete, il tutto da un unico SSID gestito centralmente.

Technical Deep-Dive

L'architettura del Dynamic VLAN Steering

Lo steering delle VLAN in un ambiente Meraki si basa sull'interazione tra tre componenti fondamentali: l'Access Point Meraki (che funge da autenticatore), il dispositivo client (il supplicant) e il server NAC/RADIUS (il server di autenticazione). Questo modello a tre parti è definito dallo standard IEEE 802.1X e costituisce la spina dorsale di qualsiasi implementazione di controllo degli accessi di livello enterprise.

Quando un dispositivo si associa alla rete, l'AP intercetta il traffico e inoltra un Access-Request al server RADIUS. A seguito di un'autenticazione riuscita, il server RADIUS risponde con un messaggio di Access-Accept. Aspetto cruciale, affinché avvenga lo steering della VLAN, questo messaggio deve includere attributi RADIUS standard IETF specifici che indicano all'AP quale VLAN applicare:

Attributo RADIUS	ID	Valore	Scopo
Tunnel-Type	64	13 (VLAN)	Specifica il protocollo di tunneling
Tunnel-Medium-Type	65	6 (802)	Specifica il mezzo di trasporto
Tunnel-Private-Group-ID	81	es. `20`	Specifica l'ID della VLAN di destinazione

Quando l'AP Meraki riceve questi attributi, tagga dinamicamente il traffico del client con l'ID VLAN specificato prima di inoltrarlo alla porta dello switch. Questo processo è trasparente per l'utente finale e si completa entro pochi millisecondi dall'associazione.

Meccanismi di Autenticazione

Le reti aziendali richiedono in genere un approccio multilivello all'autenticazione, poiché la popolazione di dispositivi in una determinata sede è eterogenea. I tre meccanismi principali sono:

IEEE 802.1X (EAP-TLS o PEAP) rappresenta lo standard di riferimento per i dispositivi aziendali e del personale. L'autenticazione si basa su certificati digitali (EAP-TLS) o credenziali sicure (PEAP-MSCHAPv2), garantendo una crittografia robusta e la convalida dell'identità. Questo è l'approccio consigliato per qualsiasi dispositivo gestito dalla piattaforma MDM dell'organizzazione.

MAC Authentication Bypass (MAB) è essenziale per i dispositivi headless — telecamere IP, terminali POS, sensori di gestione degli edifici e smart TV — che non possono eseguire un supplicant 802.1X. L'indirizzo MAC viene utilizzato come identificatore. Sebbene sia meno sicuro dell'autenticazione basata su certificati (gli indirizzi MAC possono essere clonati), il MAB combinato con ACL VLAN rigorose fornisce un livello di sicurezza accettabile per i segmenti IoT isolati. Per una trattazione completa di questo argomento, consulta la nostra guida su Gestione della Sicurezza dei Dispositivi IoT con NAC e MPSK .

Autenticazione tramite Captive Portal viene utilizzata per l'accesso degli ospiti. I dispositivi vengono inseriti in uno stato limitato di pre-autenticazione fino a quando l'utente non completa un flusso di accesso — in genere tramite social login, registrazione e-mail o un semplice click-through — ospitato da una piattaforma come Purple. Questo consente di acquisire dati di prima parte indirizzando al contempo il dispositivo in una VLAN guest isolata.

Guida all'Implementazione

Passaggio 1: Pianificare l'Architettura VLAN

Prima di accedere alla Dashboard Meraki, definisci la tua strategia di segmentazione delle VLAN. Una tipica implementazione in una sede aziendale utilizza la seguente struttura:

ID VLAN	Nome	Scopo	Metodo di Autenticazione
10	Management	Infrastruttura di rete	Statico
20	Staff	Dispositivi aziendali, sistemi interni	802.1X (EAP-TLS)
30	Guest	Accesso internet visitatori	Captive Portal (Purple)
40	IoT	Telecamere, sensori, dispositivi smart	MAB
50	POS	Terminali di pagamento (ambito PCI)	802.1X (Certificato)
999	Quarantine	Autenticazione non riuscita, dispositivi sconosciuti	Nessuno

Passaggio 2: Configurare l'Infrastruttura degli Switch

Prima di configurare le impostazioni wireless, è necessario preparare l'infrastruttura cablata. Le porte degli switch che si collegano agli AP Meraki devono essere configurate come porte trunk, consentendo il transito di tutte le VLAN che l'AP potrebbe assegnare dinamicamente. Questa è la svista più comune nelle implementazioni non riuscite.

Nel Meraki Dashboard, vai su Switch > Monitor > Switch ports, seleziona le porte collegate ai tuoi AP, imposta il Type su Trunk, configura la Native VLAN (in genere la VLAN di gestione) e, nel campo Allowed VLANs, specifica esplicitamente tutte le potenziali VLAN client (es. 20,30,40,50,999).

Passaggio 3: Configura l'SSID Meraki per 802.1X

Vai su Wireless > Configure > Access control e seleziona l'SSID di destinazione. Sotto Network access, seleziona Enterprise with 802.1X. Scorri fino alla sezione RADIUS servers e aggiungi i dettagli del tuo server NAC: indirizzo IP, porta (predefinita 1812 per l'autenticazione, 1813 per l'accounting) e la chiave segreta condivisa (shared secret). Per ridondanza, aggiungi un server RADIUS secondario.

Passaggio 4: Abilita il RADIUS Override per il VLAN Tagging

Questo è il passaggio cruciale che consente all'AP Meraki di accettare le assegnazioni di VLAN dal server NAC. Nella stessa pagina Access control, scorri fino alla sezione Addressing and traffic. Imposta Client IP assignment su Bridge mode — questo assicura che i client ricevano gli indirizzi IP dal server DHCP locale sulla VLAN assegnata, e non dal NAT dell'AP. Sotto VLAN tagging, seleziona Use VLAN tag from RADIUS.

Passaggio 5: Configura l'Accesso Ospiti con Purple

Per le reti ospiti, crea un SSID separato configurato con associazione aperta e un'integrazione con Captive Portal. Imposta Network access su Open (no encryption) e configura la Splash page in modo che punti all'URL del tuo portale Purple. Imposta il VLAN tagging per assegnare tutto il traffico pre-autenticato a una VLAN ospiti dedicata e isolata (es. VLAN 30) e abilita Client isolation per impedire movimenti laterali tra i dispositivi degli ospiti. La piattaforma di WiFi Analytics di Purple gestirà il flusso di autenticazione e l'acquisizione dei dati.

Best Practice

Implementa una postura Fail-Closed con VLAN di autenticazione critica. Se il server RADIUS diventa irraggiungibile, evita il fail-open che concede l'accesso completo alla rete. Configura una VLAN di autenticazione critica che fornisca una connettività internet di base ma blocchi l'accesso a tutte le risorse interne fino al ripristino del server NAC. Questo è particolarmente importante per gli ambienti retail in cui i terminali POS devono continuare a elaborare i pagamenti anche durante un'interruzione del servizio RADIUS.

Abilita il Fast BSS Transition (802.11r) per un Roaming fluido. L'assegnazione dinamica della VLAN può introdurre latenza durante il roaming, poiché il dispositivo deve autenticarsi nuovamente su ciascun AP. L'abilitazione di 802.11r garantisce passaggi fluidi per le applicazioni voce e video in tutta la struttura. Questo è un requisito non negoziabile per gli ambienti hospitality in cui gli ospiti si spostano continuamente all'interno della proprietà. Consultare la guida Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 può inoltre aiutare a ottimizzare la pianificazione dei canali per implementazioni ad alta densità. Segmenta il traffico IoT in modo aggressivo. Non mescolare mai i dispositivi IoT con il traffico aziendale o degli ospiti. Utilizza il MAB per identificare questi dispositivi e indirizzarli in VLAN dedicate con regole di firewall Layer 3 rigorose che consentano solo le porte e le destinazioni specifiche richieste per il funzionamento del dispositivo. Una telecamera IP compromessa non dovrebbe mai essere in grado di raggiungere la rete POS o i file server aziendali.

Imponi WPA3 sugli SSID aziendali. Laddove la compatibilità dei dispositivi lo consenta, configura gli SSID aziendali per utilizzare WPA3-Enterprise. Ciò garantisce una crittografia più forte ed elimina le vulnerabilità associate agli attacchi PMKID di WPA2.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni

I client non riescono a ottenere un indirizzo IP. Si tratta quasi sempre di un problema di configurazione della porta dello switch. Verifica che la porta dello switch collegata all'AP sia configurata come trunk e che la VLAN assegnata dinamicamente sia consentita su quel trunk. Inoltre, verifica che il server DHCP abbia un ambito attivo per quella VLAN e che l'agente di inoltro DHCP (se applicabile) sia configurato correttamente.

Timeout di autenticazione. Se i dispositivi vanno in timeout durante l'handshake 802.1X, controlla la latenza di rete tra gli AP Meraki e il server RADIUS. Una latenza elevata può causare la scadenza dei timer EAP. L'Event Log della dashboard Meraki mostrerà gli eventi 8021x_auth_timeout se si verifica questo problema.

Assegnazione VLAN errata. Utilizza l'Event Log della dashboard Meraki per visualizzare i messaggi Access-Accept di RADIUS. Verifica che il server NAC invii l'attributo Tunnel-Private-Group-ID corretto. Se manca o è errato, il problema risiede nella configurazione dei criteri NAC, non nell'AP Meraki. La maggior parte delle piattaforme NAC (Cisco ISE, ClearPass) fornisce registri di autenticazione RADIUS dettagliati che mostrano esattamente quali attributi sono stati restituiti.

La randomizzazione MAC interrompe il MAB. I dispositivi moderni iOS e Android randomizzano i propri indirizzi MAC per impostazione predefinita. Per le reti ospiti gestite da Purple, questo problema viene gestito correttamente attraverso il flusso del Captive Portal: l'identità viene stabilita dal login dell'utente, non dall'indirizzo MAC. Per i dispositivi IoT che utilizzano il MAB, assicurati che l'indirizzo MAC hardware effettivo sia registrato nel database degli endpoint, poiché questi dispositivi non effettuano la randomizzazione.

ROI e impatto aziendale

L'implementazione del reindirizzamento VLAN guidato dal NAC offre un valore aziendale misurabile per le sedi aziendali su più dimensioni:

Risultato aziendale	Meccanismo	Impatto misurabile
Riduzione dei costi operativi	Meno SSID da gestire	Riduzione del 60-70% del numero di SSID
Sicurezza migliorata	Micro-segmentazione automatizzata	Raggio d'azione limitato per le violazioni
Abilitazione alla conformità	Controllo degli accessi basato sull'identità	Allineamento a PCI DSS, GDPR, ISO 27001
Acquisizione dati ospiti	Integrazione con il Captive Portal di Purple	Dati di prima parte su scala
Prestazioni di rete	Riduzione del sovraccarico dei frame di gestione	Throughput migliorato in aree ad alta densità

Per gli operatori del settore Sanitario e dei Trasporti , l'argomento della conformità da solo giustifica l'investimento. La capacità di dimostrare che le cartelle cliniche dei pazienti si trovano su una VLAN rigorosamente isolata, o che i sistemi di biglietteria sono segregati dal WiFi pubblico, costituisce una mitigazione concreta del rischio che soddisfa sia l'audit interno sia i requisiti normativi esterni.

Per gli operatori del settore alberghiero e retail, l'integrazione con la piattaforma guest WiFi di Purple trasforma la rete ospiti da un centro di costo a una risorsa in grado di generare ricavi. Ogni sessione ospite autenticata diventa un punto dati che alimenta l'automazione del marketing, i programmi di fidelizzazione e l'analisi della sede — il tutto mentre la politica NAC sottostante garantisce che il traffico degli ospiti non tocchi mai i sistemi interni.

Ascolta il Briefing

Per un approfondimento sulle strategie di implementazione e sugli errori comuni, ascolta il nostro podcast di briefing tecnico di 10 minuti:

Definizioni chiave

Network Access Control (NAC)

Un'architettura di sicurezza che applica policy ai dispositivi che cercano di accedere alle risorse di rete, valutando in genere l'identità, lo stato del dispositivo e la conformità prima di concedere l'accesso e assegnare un segmento di rete.

I team IT implementano le piattaforme NAC (come Cisco ISE o Aruba ClearPass) come motore di policy centrale, decidendo a quale VLAN appartiene un dispositivo in base a chi o cosa sia e al suo stato attuale.

VLAN Steering (Dynamic VLAN Assignment)

Il processo di assegnazione automatica di un dispositivo client a una specifica Virtual Local Area Network (VLAN) a seguito di un'autenticazione riuscita, indipendentemente dalla porta fisica o dall'SSID a cui si connette.

Essenziale per le sedi ad alta densità per ridurre il numero di SSID trasmessi, mantenendo al contempo una rigorosa segmentazione della sicurezza tra utenti guest, personale e dispositivi IoT.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN, utilizzando il framework Extensible Authentication Protocol (EAP).

Il gold standard per l'autenticazione di laptop aziendali e smartphone del personale, che garantisce che solo gli utenti verificati con credenziali o certificati validi possano accedere alle risorse interne.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione di fallback in cui l'indirizzo MAC di un dispositivo viene utilizzato come credenziale di identità quando non è in grado di supportare lo standard 802.1X. L'indirizzo MAC viene inviato al server RADIUS sia come nome utente che come password.

Fondamentale per l'onboarding di dispositivi IoT headless (stampanti, telecamere, sensori e terminali POS) su una rete sicura e segmentata senza richiedere l'intervento dell'utente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti e i dispositivi che si connettono a un servizio di rete.

Il protocollo utilizzato dall'AP Meraki per comunicare con il server NAC. L'AP invia messaggi di Access-Request; il server NAC risponde con Access-Accept (inclusi gli attributi VLAN) o Access-Reject.

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso completo alla rete. Utilizzata in genere per l'accettazione dei termini, il login o l'acquisizione dei dati.

Il metodo principale per l'onboarding degli utenti guest nei settori hospitality, retail e pubblico. Piattaforme come Purple ospitano il Captive Portal, acquisendo dati analitici e applicando i termini di servizio.

Client Isolation

Una funzionalità di sicurezza wireless che impedisce ai dispositivi connessi allo stesso SSID o alla stessa VLAN di comunicare direttamente tra loro, forzando tutto il traffico attraverso il gateway.

Un'impostazione obbligatoria per le VLAN Guest per impedire ad attori malintenzionati di scansionare o attaccare i dispositivi di altri ospiti. Dovrebbe essere abilitata su qualsiasi SSID in cui sono previsti dispositivi non attendibili.

Fast BSS Transition (802.11r)

Un emendamento dello standard IEEE 802.11 che consente passaggi rapidi e sicuri da un punto di accesso all'altro pre-memorizzando nella cache le chiavi di autenticazione, riducendo la latenza di roaming da centinaia di millisecondi a meno di 50 ms.

Deve essere abilitato quando si utilizzano lo standard 802.1X e l'assegnazione dinamica delle VLAN in ambienti in cui gli utenti sono in movimento, per evitare che le chiamate vocali o i flussi video si interrompano quando gli utenti si spostano tra i punti di accesso.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo di autenticazione reciproca all'interno del framework 802.1X che utilizza certificati digitali sia sul client che sul server di autenticazione, fornendo il massimo livello di sicurezza per l'autenticazione wireless.

Il metodo di autenticazione consigliato per i dispositivi nell'ambito del PCI DSS e per qualsiasi ambiente in cui il furto di credenziali rappresenta un rischio significativo. Richiede un'infrastruttura PKI per emettere e gestire i certificati client.

Esempi pratici

Un hotel da 400 camere deve implementare una rete wireless sicura. Richiede che il personale acceda in modo sicuro ai sistemi di prenotazione interni, che gli ospiti accedano a Internet tramite un Captive Portal personalizzato e che le smart TV nelle camere si colleghino a un media server locale. Desiderano ridurre al minimo il sovraccarico di trasmissione degli SSID per garantire prestazioni ottimali nelle aree ad alta densità.

Il team IT dovrebbe implementare due SSID. SSID 1: "Hotel_Secure" configurato per 802.1X. Il personale si autentica utilizzando EAP-TLS con certificati aziendali emessi dalla PKI dell'hotel. Il server NAC (Cisco ISE) riconosce l'identità del personale e restituisce gli attributi RADIUS assegnandoli alla VLAN 20 (Staff), che ha pieno accesso al PMS e ai sistemi di prenotazione. Le Smart TV, prive di funzionalità 802.1X, vengono profilate tramite MAC Authentication Bypass (MAB). Il server NAC riconosce i prefissi OUI del MAC delle TV e le assegna alla VLAN 40 (IoT), che ha ACL che consentono l'accesso solo al media server sulla porta 8080 e a Internet. SSID 2: "Hotel_Guest" configurato come Open con un Captive Portal Purple. Gli ospiti si connettono, vengono reindirizzati alla splash page di Purple e, a seguito del login social o della registrazione via e-mail, vengono assegnati alla VLAN 30 (Guest) con l'isolamento dei client abilitato. La piattaforma Purple acquisisce dati di prima parte per il CRM e la marketing automation dell'hotel.

Commento dell'esaminatore: Questo approccio bilancia perfettamente sicurezza e prestazioni. Consolidando il personale e l'IoT su un unico SSID 802.1X e utilizzando il reindirizzamento dinamico della VLAN, la struttura riduce i costi di gestione e le interferenze RF. L'SSID per gli ospiti viene mantenuto separato per consentire l'associazione aperta richiesta per il flusso del Captive Portal. L'isolamento del traffico degli ospiti con il client isolation garantisce la conformità e impedisce i movimenti laterali. Le ACL della VLAN IoT seguono il principio del privilegio minimo: le TV possono raggiungere solo ciò di cui hanno bisogno.

Una catena di negozi al dettaglio sta introducendo nuovi terminali POS (Point-of-Sale) wireless in 50 punti vendita. Questi dispositivi devono essere rigorosamente segmentati per soddisfare i requisiti di conformità PCI DSS. Tuttavia, il team IT è preoccupato per ciò che potrebbe accadere se il server RADIUS centrale andasse offline durante le ore di punta delle vendite.

I terminali POS dovrebbero connettersi a un SSID abilitato per 802.1X, utilizzando l'autenticazione basata su certificati (EAP-TLS) per garantire una solida convalida dell'identità. La policy NAC indirizzerà questi dispositivi in una VLAN POS dedicata e altamente limitata (VLAN 50) con regole firewall Layer 3 che consentono il traffico solo verso gli IP del gateway di pagamento sulle porte richieste. Per mitigare il rischio di guasto del server RADIUS, il team IT deve configurare una Critical Authentication VLAN sugli access point Meraki. Se l'AP non riesce a raggiungere il server RADIUS entro il timeout configurato, inserirà automaticamente i terminali POS in questa VLAN critica. Questa VLAN deve essere configurata con ACL rigorose che consentano il traffico solo verso i gateway di elaborazione dei pagamenti essenziali, garantendo la continuità delle transazioni e bloccando al contempo qualsiasi altro accesso alla rete. Un server RADIUS secondario in ciascuna sede fornisce un ulteriore livello di ridondanza.

Commento dell'esaminatore: Questa soluzione dimostra una profonda comprensione della mitigazione del rischio negli ambienti aziendali. L'approccio fail-closed tramite una Critical Authentication VLAN garantisce la business continuity per le operazioni critiche (l'accettazione dei pagamenti) senza compromettere il livello di sicurezza generale o violare i requisiti di conformità PCI DSS. L'uso di EAP-TLS anziché PEAP elimina il rischio di furto di credenziali ed è fortemente raccomandato per qualsiasi dispositivo rientrante nell'ambito PCI.

Domande di esercitazione

Q1. Un direttore IT ospedaliero riferisce che le telecamere IP wireless appena installate non riescono a connettersi all'SSID 'Med_Secure', configurato per 802.1X. Le telecamere non supportano l'autenticazione basata su certificati e non hanno un'interfaccia utente. Come dovrebbe essere modificata l'architettura di rete per integrare in modo sicuro questi dispositivi?

Suggerimento: Considera come i dispositivi headless vengono profilati e autenticati quando non possono eseguire un supplicant 802.1X.

Visualizza risposta modello

Il team IT deve utilizzare il MAC Authentication Bypass (MAB) sul server NAC. Gli indirizzi MAC delle telecamere devono essere aggiunti al database degli endpoint e profilati come 'IoT_Camera'. Quando una telecamera tenta di connettersi, il server NAC utilizzerà l'indirizzo MAC come credenziale di autenticazione e restituirà gli attributi RADIUS per indirizzare la telecamera in una VLAN IoT isolata. A questa VLAN devono essere applicate ACL Layer 3 rigorose, che consentano il traffico solo verso il server di gestione delle telecamere e blocchino qualsiasi altro accesso alla rete interna. L'ospedale dovrebbe anche considerare l'uso del fingerprinting DHCP come metodo di profilazione secondario per verificare che il tipo di dispositivo corrisponda al profilo previsto per l'indirizzo MAC registrato.

Q2. Durante un audit di rete presso una catena di negozi, si scopre che i laptop del personale sulla VLAN dinamica si autenticano correttamente tramite 802.1X (l'Event Log mostra messaggi di Access-Accept con l'ID VLAN corretto) ma non ricevono indirizzi IP. I dispositivi degli ospiti su un SSID separato funzionano normalmente. Qual è l'errore di configurazione più probabile e come lo risolveresti?

Suggerimento: L'autenticazione sta avendo successo — il problema risiede nel percorso dati dopo l'applicazione del tag VLAN.

Visualizza risposta modello

Il problema più probabile è che la porta dello switch fisico che collega l'AP Meraki allo switch core non sia configurata correttamente. Sebbene l'AP autentichi correttamente il client e tagghi il traffico con l'ID della VLAN Staff, la porta dello switch è probabilmente configurata come porta di accesso (o come porta trunk a cui manca la VLAN Staff nell'elenco di quelle consentite). La porta dello switch deve essere configurata come trunk e la VLAN Staff assegnata dinamicamente deve essere esplicitamente inclusa nell'elenco delle VLAN consentite. Il team IT dovrebbe andare su Switch > Monitor > Switch ports nella dashboard Meraki, selezionare la porta collegata all'AP, verificare che sia impostata su tipo Trunk e confermare che l'ID della VLAN Staff sia incluso nel campo Allowed VLANs.

Q3. Uno stadio desidera offrire un servizio WiFi ottimale a 50.000 tifosi durante gli eventi, collegando in modo sicuro i terminali POS e la segnaletica digitale. L'attuale team di rete propone di trasmettere cinque diversi SSID per separare il traffico. Perché questo è un design inadeguato per un ambiente ad alta densità e qual è l'architettura consigliata?

Suggerimento: Considera l'impatto dei frame di gestione sul tempo di trasmissione wireless in un ambiente ad alta densità.

Visualizza risposta modello

La trasmissione di cinque SSID crea un sovraccarico eccessivo di frame di gestione: ogni SSID richiede i propri frame beacon trasmessi a intervalli regolari da ogni access point. In un ambiente ad alta densità come uno stadio con centinaia di AP, questo sovraccarico di frame di gestione consuma una parte significativa del tempo di trasmissione disponibile, riducendo direttamente la larghezza di banda disponibile per i dati degli utenti. L'approccio consigliato consiste nel trasmettere un massimo di due SSID: un SSID aperto con un Captive Portal Purple per i 50.000 tifosi, che li indirizza a una VLAN Guest con isolamento dei client; e un SSID sicuro abilitato per 802.1X per tutti i dispositivi aziendali. La policy NAC indirizzerà quindi dinamicamente i terminali POS in una VLAN conforme a PCI e la segnaletica digitale in una VLAN IoT in base alla loro identità, senza richiedere SSID aggiuntivi.

Continua a leggere questa serie

Cos'è un WLC (Wireless LAN Controller) e ne hai ancora bisogno?

Questa guida completa esplora l'evoluzione dei Wireless LAN Controller (WLC) e fornisce un quadro tecnico per determinare l'architettura corretta nel 2026. Copre i modelli hardware tradizionali, gestiti in cloud e senza controller, dettagliando il loro impatto su conformità, scalabilità e guest experience.

Power over Ethernet (PoE) per Access Point: una guida all'implementazione

Questa guida fornisce a tecnici delle infrastrutture, architetti di rete e decisori IT un riferimento tecnico definitivo per l'implementazione di access point Power over Ethernet (PoE) in ambienti aziendali, inclusi hotel, aree commerciali, stadi e strutture del settore pubblico. Copre gli standard IEEE da 802.3af a 802.3bt, il calcolo del budget di alimentazione, i requisiti di cablaggio, la segmentazione VLAN e la conformità di sicurezza, con scenari di implementazione concreti e benchmark ROI misurabili. La comprensione dell'architettura PoE è fondamentale per qualsiasi implementazione di [Guest WiFi](/guest-wifi) o [WiFi Analytics](/guest-wifi-marketing-analytics-platform), poiché l'affidabilità del livello fisico determina direttamente la qualità dell'acquisizione dei dati, l'esperienza utente e l'operatività del sistema.

Mesh Network vs Access Points: qual è la soluzione migliore per i grandi spazi?

Questa guida tecnica offre un confronto definitivo tra le reti mesh e i tradizionali access point cablati per spazi di grandi dimensioni, analizzando l'architettura, i compromessi in termini di prestazioni e le strategie di implementazione. Fornisce a IT manager, architetti di rete e CTO i framework operativi per progettare infrastrutture WiFi ad alte prestazioni e conformi alle normative per i settori dell'ospitalità, del retail, degli eventi e del settore pubblico. La guida associa inoltre queste decisioni architetturali alla piattaforma di analisi e guest WiFi di Purple, indipendente dall'hardware, dimostrando come la scelta della giusta infrastruttura possa generare risultati di business misurabili.