Vai al contenuto principale
Italiano

Integrazione di Zyxel Nebula Cloud e USG con Purple WiFi

Questa guida di riferimento tecnico copre l'integrazione end-to-end di Zyxel Nebula Cloud e dei firewall USG Flex con la piattaforma Purple WiFi. Fornisce istruzioni di configurazione passo-passo per il reindirizzamento del Captive Portal per gli ospiti, l'autenticazione RADIUS, la configurazione del Walled Garden, il WiFi protetto per il personale tramite 802.1X e la segmentazione della rete multi-tenant utilizzando le chiavi pre-condivise private (PPSK) di Zyxel con assegnazione dinamica della VLAN. I responsabili IT, gli MSP e gli architetti di rete che distribuiscono il WiFi in ambienti ricettivi, retail e multi-tenant troveranno indicazioni pratiche basate sugli standard di settore, inclusi PCI DSS, IEEE 802.1X e GDPR.

📖 9 minuti di lettura📝 2,234 parole🔧 2 esempi pratici3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Welcome to the Purple Technical Briefing Series. I am your host, and today we are covering a crucial deployment scenario for IT managers and network architects: integrating Zyxel Nebula Cloud and USG Flex Firewalls with Purple WiFi. If you are deploying guest WiFi across a hotel chain, a retail estate, or a multi-tenant environment, this episode is for you. Let us get straight into the architecture. First, why this integration? Zyxel provides robust hardware, and Nebula offers centralised cloud management. But when you deploy WiFi at scale - say, across 50 retail branches or a 200-room hotel - you need more than basic connectivity. You need a structured authentication flow, compliant data capture, and dynamic network segmentation. That is where Purple comes in. We integrate with Zyxel via RADIUS and external captive portal redirection to deliver Identity-Based Networks. Let us walk through the core configuration on Zyxel Nebula. The process starts with your SSID settings. You navigate to Site-wide, Configure, Access points, and then SSID advanced settings. Here, you enable the external captive portal URL. You will input the specific Purple redirect URL provided in your Purple portal. But redirection alone is not enough; you must configure the Walled Garden. The Walled Garden defines which domains a guest device can reach before authentication. This is a common pitfall. You must whitelist the Purple portal domains, any asset CDNs, and the standard OS captive portal detection endpoints. In Nebula, you add these domains line by line. If you miss a domain, the splash page will fail to load properly, and your guests will be stuck. Next, we configure the RADIUS server. In the SSID advanced settings, you select WPA2-Enterprise with My RADIUS server, or configure MAC-based authentication depending on your flow. You enter the Purple RADIUS IP address, set the authentication port to 1812, the accounting port to 1813, and input the shared secret. Always configure the backup RADIUS server to ensure high availability. Now, let us discuss a more advanced scenario: Multi-Tenant segmentation using Zyxel Private Pre-Shared Keys, or PPSK. In environments like student accommodation or coworking spaces, you want a single SSID, but you need to isolate traffic per tenant. Zyxel PPSK allows you to issue a unique WiFi password to each user. When they connect, the Nebula controller dynamically assigns them to a specific VLAN based on that password. You configure this under Cloud Authentication by selecting DPPSK and assigning the corresponding VLAN ID. It reduces SSID overhead and significantly improves security. What about the USG Flex firewall? If you are running the gateway on-premise, you must ensure your firewall rules and zone policies align with your wireless segments. You typically create dedicated zones for Guest, Staff, and Multi-Tenant traffic. The Guest zone must only have outbound internet access, with strict rules blocking access to the LAN or DMZ zones. Let us move to implementation recommendations and common pitfalls. The most frequent issue we see is walled garden misconfiguration. If a guest connects and sees a blank page, check your whitelist. Use browser developer tools to identify blocked CDN requests. The second issue is RADIUS timeouts. Ensure your upstream firewalls allow UDP ports 1812 and 1813 outbound to the Purple cloud platform. Time for a rapid-fire Q and A. Question one: Do I need a dedicated VLAN for Guest WiFi? Answer: Yes. Always isolate guest traffic on a dedicated VLAN. This is mandatory for PCI DSS compliance if your venue processes payments on the same physical infrastructure. Question two: Can I use Purple with Zyxel standalone APs without Nebula? Answer: Yes, but managing the RADIUS and portal settings per AP is inefficient. We strongly recommend using Nebula Control Center for centralised management. Question three: How does Purple handle MAC address randomisation? Answer: Purple relies on the MAC address provided by the Zyxel controller via RADIUS accounting. While devices randomise MACs per network, they keep the same MAC for your specific SSID, allowing session persistence during their visit. To summarise: Integrating Zyxel Nebula with Purple requires precise configuration of the external captive portal URL, a comprehensive Walled Garden, and accurate RADIUS settings. For multi-tenant venues, leverage Zyxel PPSK for dynamic VLAN steering. Get these elements right, and you deliver a secure, scalable WiFi experience that captures valuable first-party data. If you are planning a deployment, review the full technical guide for step-by-step instructions and architecture diagrams. Thank you for listening, and we will see you on the next technical briefing.

header_image.png

Sintesi esecutiva

I firewall Zyxel Nebula Cloud e USG Flex sono distribuiti in migliaia di sedi aziendali, dalle catene alberghiere ai complessi commerciali. Quando si integra questo hardware con Purple, si aggiunge un livello di autenticazione degli ospiti conforme e in grado di acquisire dati, che trasforma una rete wireless standard in una risorsa di dati proprietari. Questa guida copre quattro scenari di implementazione: reindirizzamento del Captive Portal per gli ospiti tramite una splash page esterna, autenticazione e accounting basati su RADIUS, WiFi protetto per il personale tramite IEEE 802.1X e segmentazione di rete multi-tenant tramite le chiavi pre-condivise personali dinamiche (DPPSK) di Zyxel. Purple opera in oltre 80.000 sedi attive e ha gestito 440 milioni di accessi nel 2024 (dati interni di Purple). Possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. L'architettura di integrazione descritta qui è indipendente dall'hardware a livello di piattaforma, ma i percorsi e i parametri di configurazione specifici in questa guida si applicano a Zyxel Nebula Control Center (NCC) e ai firewall USG Flex con firmware corrente.

Per una visione più ampia dell'architettura di sicurezza WiFi aziendale, consulta la nostra guida Sicurezza WiFi aziendale: una guida completa per il 2026 .

Approfondimento tecnico

Architettura di integrazione

L'integrazione tra Zyxel e Purple si basa su tre protocolli standard che lavorano in sequenza: reindirizzamento HTTP (rilevamento del Captive Portal), autenticazione RADIUS (UDP 1812) e accounting RADIUS (UDP 1813). Quando un dispositivo ospite si connette all'SSID del WiFi ospiti, l'access point Zyxel intercetta la prima richiesta HTTP ed emette un reindirizzamento HTTP 302 verso l'URL del Captive Portal esterno di Purple. L'ospite si autentica sulla splash page di Purple (tramite e-mail, social login o SMS) e Purple invia un messaggio RADIUS Access-Accept al controller Zyxel. Il controller concede l'accesso a Internet e inizia a inviare pacchetti RADIUS Accounting Start per registrare i dati della sessione.

architecture_overview.png

Il firewall Zyxel USG Flex si posiziona tra i segmenti wireless e la WAN. Applica criteri di sicurezza basati su zone che isolano le VLAN Guest, Staff e Multi-Tenant tra loro e dalla LAN aziendale. Nebula Control Center gestisce gli access points e le configurazioni SSID in modo centralizzato tramite HTTPS sulla porta 443 verso il cloud Nebula.

Parametri RADIUS

La tabella seguente riassume i parametri di configurazione RADIUS necessari, disponibili nella console di amministrazione di Purple.

Parametro Valore
IP RADIUS primario Fornito nella console di amministrazione di Purple
IP RADIUS secondario Fornito nella console di amministrazione di Purple
Porta di autenticazione UDP 1812
Porta di accounting UDP 1813
Segreto condiviso Fornito nella console di amministrazione di Purple
Identificatore NAS Impostato sull'indirizzo MAC dell'AP o sul nome del sito
Called Station ID Indirizzo MAC dell'AP

Configurare sempre sia il server RADIUS primario che quello secondario. Un singolo endpoint RADIUS rappresenta un singolo punto di vulnerabilità (single point of failure) che impedirà l'accesso agli ospiti se il server non è raggiungibile.

Configurazione del Walled Garden

Il Walled Garden (chiamato anche whitelist) definisce i domini e gli intervalli IP che un dispositivo può raggiungere prima di completare l'autenticazione. In Zyxel Nebula, questo viene configurato in Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

È necessario includere le seguenti categorie di voci:

  • Il dominio del portale Purple e tutti i sottodomini (utilizzare il formato wildcard: *.purple.ai)
  • I domini CDN che distribuiscono i file CSS, JavaScript e le immagini del portale
  • I domini dei provider di social login se si abilita l'accesso con Facebook, Google o Microsoft
  • Rilevamento del Captive Portal di Apple: captive.apple.com
  • Verifica della connettività di Google: connectivitycheck.gstatic.com
  • Microsoft NCSI: www.msftconnecttest.com

La mancanza di una qualsiasi di queste voci impedirà il corretto caricamento della splash page su specifici tipi di dispositivi. I dispositivi iOS, in particolare, mostreranno un mini-browser vuoto se l'endpoint CNA di Apple non viene gestito correttamente.

WiFi protetto per il personale tramite IEEE 802.1X

Per le reti del personale, non si dovrebbe utilizzare una PSK condivisa. Lo standard IEEE 802.1X (definito nello standard IEEE 802.1X-2020) fornisce un controllo dell'accesso alla rete basato su porte utilizzando credenziali individuali per ciascun utente. In Nebula, questo si configura impostando la sicurezza dell'SSID su WPA2-Enterprise e indirizzando l'autenticazione al Nebula Cloud Authentication Server (NCAS) o a un server RADIUS esterno come Microsoft Entra ID o Okta tramite un proxy RADIUS.

Per le distribuzioni WPA3-Enterprise, il percorso di configurazione è identico, ma si seleziona WPA3 nelle opzioni di sicurezza. WPA3 impone l'uso dei Protected Management Frames (PMF) e utilizza la Simultaneous Authentication of Equals (SAE) per una migliore resistenza agli attacchi con dizionario offline.

PPSK e assegnazione dinamica della VLAN per ambienti multi-tenant

ppsk_vlan_diagram.png

La tecnologia DPPSK (Dynamic Personal Pre-Shared Key) di Zyxel consente a un singolo SSID di servire più segmenti di rete isolati. Ogni utente o dispositivo riceve una passphrase univoca. Al momento dell'autenticazione, il controller Nebula mappa tale passphrase su un ID VLAN definito nel database DPPSK. Questo è l'approccio corretto per spazi di coworking, alloggi per studenti, complessi build-to-rent (BTR) e unità abitative plurifamiliari (MDU) in cui è necessario l'isolamento dei tenant senza trasmettere decine di SSID.

La funzionalità DPPSK richiede la licenza Nebula Pro Pack e una versione del firmware dell'access point pari o superiore alla 6.00. Il database DPPSK si configura in Configure > Cloud authentication > DPPSK nel Nebula Control Center. Ogni voce include la passphrase, una data di scadenza opzionale, un indirizzo e-mindirizzo per la consegna, e l'ID VLAN di destinazione.

Il numero massimo di voci DPPSK autorizzate simultaneamente è 2.048. Per implementazioni con più di 2.048 utenti simultanei, sarà necessario gestire attentamente le date di scadenza per garantire che le credenziali attive rimangano entro questo limite.

Guida all'implementazione

Passaggio 1: Preparare l'infrastruttura di rete

Prima di intervenire sul Nebula Control Center, configurare le VLAN sul Firewall USG Flex e sugli switch a valle.

  1. Creare una VLAN Guest (esempio: VLAN 10) con una subnet dedicata (esempio: 192.168.10.0/24). Configurare un server DHCP su questa interfaccia.
  2. Creare una VLAN Staff (esempio: VLAN 20) con una subnet dedicata (esempio: 192.168.20.0/24).
  3. Per implementazioni multi-tenant, creare VLAN aggiuntive per ciascun tenant (esempio: VLAN 30, 40, 50).
  4. Sull'USG Flex, creare una Guest Zone mappata sulla VLAN 10. Creare una policy di sicurezza che consenta il traffico dalla Guest Zone alla zona WAN. Creare una policy deny-all che blocchi il traffico dalla Guest Zone alla zona LAN.
  5. Assicurarsi che le porte dello switch che collegano gli AP Zyxel siano configurate come trunk 802.1Q che trasportano tutti i tag VLAN richiesti.

Passaggio 2: Configurare l'SSID guest nel Nebula Control Center

  1. Accedere al Nebula Control Center all'indirizzo ncc.nebula.zyxel.com.
  2. Passare a Site-wide > Configure > Access points > SSID settings.
  3. Abilitare l'SSID guest e attivare la modalità Advanced mode.
  4. Abilitare Guest network per attivare l'isolamento dei client Layer 2. Questo impedisce ai dispositivi guest di comunicare direttamente tra loro sullo stesso SSID.
  5. Salvare.

Passaggio 3: Configurare il Captive Portal esterno

  1. Passare a Site-wide > Configure > Access points > SSID advanced settings.
  2. Selezionare l'SSID guest dal menu a discesa.
  3. Sotto Sign-in method, selezionare Click-to-continue per il reindirizzamento iniziale, oppure selezionare My RADIUS server se si utilizza l'autenticazione MAC basata su RADIUS di Purple.
  4. Passare a Site-wide > Configure > Access points > Captive portal customisation.
  5. Sotto External captive portal URL, inserire l'URL di reindirizzamento di Purple dalla console di amministrazione di Purple. Il formato è https://[your-purple-domain]/[venue-id].
  6. Sotto Captive portal advance setting, inserire tutti i domini Walled Garden richiesti.
  7. Impostare Strict policy su Block all access until sign-on per impedire ai guest di aggirare il portale.
  8. Impostare Reauth time in modo che corrisponda alla policy di sessione della sede (in genere 24 ore per il settore hospitality, 30 giorni per i programmi fedeltà del settore retail).
  9. Salvare.

Passaggio 4: Configurare RADIUS in Nebula

  1. In SSID advanced settings, sotto Network access, selezionare My RADIUS server.
  2. Inserire l'Primary RADIUS server IP dalla console di amministrazione di Purple.
  3. Impostare Authentication port su 1812.
  4. Inserire la Shared secret.
  5. Ripetere l'operazione per il server RADIUS secondario.
  6. Abilitare RADIUS accounting e impostare la porta di accounting su 1813.
  7. Salvare.

Passaggio 5: Configurare DPPSK per la segmentazione multi-tenant

  1. Passare a Configure > Access points > SSID advanced settings.
  2. Selezionare l'SSID multi-tenant e impostare Network access su Dynamic personal PSK.
  3. Passare a Configure > Cloud authentication > DPPSK.
  4. Fare clic su Add e selezionare Batch create DPPSK.
  5. Impostare il numero di credenziali, la data di scadenza e l'VLAN ID di destinazione per ciascun gruppo di tenant.
  6. Inserire l'indirizzo e-mail per ricevere il batch di credenziali.
  7. Salvare e distribuire le credenziali ai tenant.

Passaggio 6: Convalidare l'implementazione

  1. Connettere un dispositivo di test all'SSID WiFi Guest.
  2. Verificare che il dispositivo venga reindirizzato alla splash page di Purple.
  3. Completare l'autenticazione e verificare che l'accesso a Internet sia consentito.
  4. Nella console di amministrazione di Purple, verificare che la sessione appaia nella dashboard di analisi.
  5. In Nebula, passare a Access point > Monitor > Clients per confermare che il client sia associato e assegnato alla VLAN corretta.
  6. Testare il DPPSK connettendosi con una credenziale tenant e confermando l'assegnazione corretta della VLAN.

Best practice

Segmentare ogni tipo di traffico. Il traffico Guest, Staff e IoT deve occupare ciascuno una VLAN dedicata. Questo non è facoltativo se la sede elabora pagamenti con carta sulla stessa infrastruttura fisica: lo standard PCI DSS v4.0 richiede la segmentazione della rete tra gli ambienti dei dati dei titolari di carta e le reti guest.

Utilizzare la ridondanza RADIUS. Configurare sia l'IP RADIUS primario che quello secondario di Purple in Nebula. Il guasto di un singolo server RADIUS impedirà qualsiasi autenticazione dei guest fino alla risoluzione del problema.

Controllare regolarmente il Walled Garden. I fornitori del portale aggiornano le loro configurazioni CDN. Un dominio funzionante al momento dell'implementazione potrebbe smettere di funzionare sei mesi dopo se il fornitore migra le risorse su una nuova CDN. Pianificare una revisione trimestrale delle voci del Walled Garden.

Abilitare il RADIUS accounting. Senza l'accounting, Purple non può tracciare la durata della sessione, l'utilizzo dei dati o applicare limiti di accesso basati sul tempo. I dati di accounting alimentano anche la dashboard WiFi Analytics .

Applicare WPA3 dove l'hardware lo supporta. Gli access point Zyxel rilasciati dal 2021 in poi supportano WPA3. Per il WiFi Staff, WPA3-Enterprise con modalità di sicurezza a 192 bit è in linea con le raccomandazioni NIST SP 800-187 per la sicurezza wireless aziendale.

Testare il comportamento del CNA prima della messa in servizio. Su iOS, il mini-browser Captive Network Assistant (CNA) ha funzionalità limitate rispetto a un browser completo. Testare la splash page di Purple nell'ambiente CNA, in particolare i flussi di social login e il JavaScript personalizzato, prima di distribuirla ai guest.

Per le implementazioni nel settore hospitality , consultare anche la nostra guida sulla segmentazione delle reti guest e back-of-house. Per gli ambienti retail , lo stesso approccio PPSK si applica all'isolamento dei sistemi POS (point-of-sale) dal WiFi degli acquirenti.

Risoluzione dei problemi e mitigazione dei rischi

Impossibile caricare la splash page

Sintomo: il guest si connette all'SSID ma visualizza una pagina vuota o un errore del browser nel CNA.

Causa: uno o più domini richiesti dalla splash page non sono nel Walled Garden.

Risoluzione: Connettere un dispositivo di test al Guest SSID. Aprire un browser (non il CNA) e navigare su qualsiasi URL HTTP. Una volta reindirizzati al portale, aprire gli strumenti di sviluppo del browser e ispezionare la scheda Rete (Network). Identificare eventuali richieste che restituiscono errori 403 o di connessione rifiutata. Aggiungere questi domini al Nebula Walled Garden.

Gli ospiti si autenticano ma non ottengono l'accesso a Internet

Sintomo: L'ospite compila il modulo del portale e visualizza una pagina di successo, ma la navigazione in Internet non funziona.

Causa: Il controller Zyxel non riceve il messaggio RADIUS Access-Accept da Purple, oppure il firewall USG Flex sta bloccando la risposta RADIUS.

Risoluzione: Verificare che le porte UDP in uscita 1812 e 1813 siano consentite dall'IP di gestione dell'AP Zyxel all'IP del server RADIUS di Purple. Controllare i log dei criteri di sicurezza di USG Flex per verificare la presenza di traffico bloccato.

Dati di accounting RADIUS mancanti dalla dashboard di Purple

Sintomo: Le sessioni appaiono in Nebula ma la dashboard di analisi di Purple non mostra dati sulla durata delle sessioni.

Causa: L'accounting RADIUS non è abilitato nella configurazione dell'SSID di Nebula, oppure la porta UDP 1813 è bloccata.

Risoluzione: Confermare che l'accounting RADIUS sia abilitato nelle impostazioni avanzate dell'SSID. Verificare che la porta di accounting sia impostata su 1813 e che la chiave segreta condivisa (shared secret) corrisponda alla configurazione di Purple.

Utenti DPPSK assegnati alla VLAN errata

Sintomo: Un utente (tenant) si connette con la propria PPSK ma viene inserito nel segmento di rete errato.

Causa: L'ID VLAN nella voce del database DPPSK non corrisponde alla VLAN configurata sul trunk dello switch o sull'interfaccia USG Flex.

Risoluzione: Confrontare l'ID VLAN nel database DPPSK di Nebula con la configurazione VLAN sullo switch a monte e su USG Flex. Assicurarsi che la porta dello switch dell'AP sia un trunk che trasporta tutte le VLAN degli utenti.

ROI e impatto aziendale

L'integrazione dell'infrastruttura Zyxel con Purple trasforma una rete wireless che rappresenta un centro di costo in una risorsa di dati in grado di generare ricavi. Per un hotel di 200 camere, l'acquisizione degli indirizzi e-mail degli ospiti e del consenso al marketing al momento del login WiFi consente di creare un database CRM che alimenta le campagne di prenotazione diretta, riducendo la dipendenza dalle commissioni delle OTA. Per una catena di negozi, la piattaforma Guest WiFi di Purple fornisce analisi sul flusso di visitatori, dati sul tempo di permanenza e tassi di visite ripetute che orientano le decisioni relative al personale e al merchandising.

Per gli operatori multi-tenant (sviluppi BTR, alloggi per studenti, spazi di coworking), l'implementazione di Zyxel DPPSK con Purple elimina i costi operativi legati alla gestione di SSID e credenziali separati per ciascun inquilino. Un unico SSID con assegnazione dinamica della VLAN riduce le interferenze RF, semplifica l'onboarding e si adatta a centinaia di residenti senza infrastrutture aggiuntive.

L'SLA di uptime del 99,999% di Purple garantisce che il livello di autenticazione non diventi un collo di bottiglia per l'accesso degli ospiti. Con 29 miliardi di punti dati raccolti sulla piattaforma (dati interni di Purple), le analisi fornite tramite la console di amministrazione di Purple offrono ai gestori delle strutture informazioni utili che giustificano l'investimento nell'integrazione già nel primo trimestre di implementazione.

Per i settori della sanità e dei trasporti , dove il WiFi per i visitatori è un servizio regolamentato, l'acquisizione dei dati e la gestione del consenso conformi al GDPR integrate nel captive portal di Purple eliminano i rischi di conformità associati alle reti aperte non gestite.

Vedi anche: Integrazione di Arista Cognitive Wi-Fi con Purple WiFi per un modello di integrazione simile su una piattaforma hardware diversa.

Definizioni chiave

Captive portal

A web page that intercepts unauthenticated HTTP traffic from a connected device and requires the user to interact or authenticate before internet access is granted.

The primary mechanism Purple uses to capture guest data and enforce terms of service on Zyxel Guest WiFi networks.

Walled Garden

A list of IP addresses and domain names that a device can access before completing captive portal authentication.

Configured in Nebula under Captive portal advance setting. Must include all Purple portal domains, CDN endpoints, and OS connectivity check URLs.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol providing centralised Authentication, Authorisation, and Accounting (AAA) management for network access.

Purple acts as the RADIUS server. Zyxel APs send authentication requests on UDP 1812 and accounting data on UDP 1813.

DPPSK

Dynamic Personal Pre-Shared Key. A Zyxel Nebula feature that issues unique WiFi passphrases on a single SSID, mapping each passphrase to a specific VLAN.

Used in multi-tenant venues to isolate resident or tenant traffic without broadcasting multiple SSIDs. Requires Nebula Pro Pack.

VLAN

Virtual Local Area Network. A logical network segment that isolates traffic at Layer 2, regardless of the physical switch or AP infrastructure.

Mandatory for separating Guest, Staff, and Multi-Tenant traffic. Required for PCI DSS compliance in venues that process card payments.

IEEE 802.1X

An IEEE standard for port-based network access control that uses the Extensible Authentication Protocol (EAP) to authenticate individual users or devices before granting network access.

Used for Staff WiFi in Nebula by selecting WPA2-Enterprise or WPA3-Enterprise with either the Nebula Cloud Authentication Server or an external RADIUS server.

CNA

Captive Network Assistant. The pseudo-browser that iOS and macOS devices automatically open when they detect a captive portal on a WiFi network.

Has limited JavaScript and cookie support compared to a full browser. Purple splash pages must be tested in the CNA environment before deployment.

Identity-Based Networks

A network architecture where access policies, VLAN assignments, and bandwidth limits are dynamically applied based on the authenticated identity of the user or device.

The outcome of combining Zyxel DPPSK with Purple's RADIUS platform. Each user gets the right network segment automatically at connection time.

NCC

Nebula Control Center. Zyxel's cloud-based network management platform for centrally configuring and monitoring Zyxel access points, switches, and firewalls.

All SSID, captive portal, RADIUS, and DPPSK configurations described in this guide are performed within NCC.

Esempi pratici

A 200-room hotel is deploying Zyxel Nebula access points and a USG Flex 500 firewall. They need guest WiFi with a branded splash page, a separate staff network with individual credentials, and an IoT network for smart TVs and thermostats - all without broadcasting more than three SSIDs.

The IT team configures three SSIDs. The first is 'Hotel-Guest', an open SSID with the Purple external captive portal URL configured in Nebula. Guests are redirected to a branded Purple splash page where they submit their email and accept marketing consent. RADIUS authentication and accounting point to the Purple cloud platform on ports 1812 and 1813. The second SSID is 'Hotel-Staff', configured with WPA2-Enterprise and the Nebula Cloud Authentication Server. Each staff member has a unique username and password in the NCAS database, mapped to VLAN 20. The third SSID is 'Hotel-IoT', configured with DPPSK. Each smart TV and thermostat receives a unique passphrase mapped to VLAN 30. The USG Flex enforces zone policies: Guest (VLAN 10) can only reach the WAN. Staff (VLAN 20) can reach the WAN and internal management systems. IoT (VLAN 30) is restricted to specific local services only.

Commento dell'esaminatore: This architecture achieves full segmentation with minimal SSID overhead. Using DPPSK for IoT devices provides device-level isolation without requiring 802.1X supplicants, which headless devices cannot support. The Purple integration on the guest SSID captures first-party data at scale while the staff SSID maintains enterprise-grade security via individual 802.1X credentials.

A coworking space operator manages 12 tenants across three floors. Each tenant needs isolated internet access and must not be able to reach other tenants' devices. The operator wants to issue WiFi credentials at move-in and revoke them at move-out, without changing the SSID or reconfiguring the APs.

The operator deploys a single 'CoWork-Connect' SSID with DPPSK enabled in Nebula. At move-in, they log in to the Nebula Control Center, navigate to Configure > Cloud authentication > DPPSK, and create a new credential for the tenant with the target VLAN ID matching that tenant's network segment. They set an expiry date matching the lease end date and email the credential to the tenant. At move-out, they delete the DPPSK entry. The credential immediately becomes invalid and the tenant's devices can no longer associate. Layer 2 isolation is enabled on the SSID to prevent cross-tenant communication even within the same VLAN.

Commento dell'esaminatore: DPPSK provides a clean lifecycle management model for multi-tenant environments. The expiry date feature automates offboarding without requiring manual AP reconfiguration. The 2,048 concurrent credential limit is well within the capacity of a 12-tenant coworking space. For larger deployments, operators should plan credential rotation schedules to stay within this limit.

Domande di esercitazione

Q1. You have configured the Purple captive portal URL in Zyxel Nebula and enabled the external portal. Guests connect to the SSID but report that the splash page takes over 30 seconds to load and appears visually broken - missing images and layout. What is the most likely cause and how do you resolve it?

Suggerimento: Consider what controls access to external resources before a guest has authenticated.

Visualizza risposta modello

The Walled Garden configuration is incomplete. The Purple splash page loads CSS, JavaScript, and image assets from CDN domains. If these domains are not whitelisted in the Nebula Captive portal advance setting, the AP blocks those requests before authentication is complete. Resolution: connect a test device to the Guest SSID, open a browser (not the CNA mini-browser), navigate to any HTTP URL to trigger the redirect, then open developer tools and inspect the Network tab. Identify any requests returning 403 or connection errors. Add those domains to the Nebula Walled Garden and retest.

Q2. A venue operator wants to provide isolated networks for 15 different retail tenants in a shopping centre. Their initial plan is to broadcast 15 separate SSIDs from their Zyxel APs. Why is this approach problematic, and what should they deploy instead?

Suggerimento: Think about RF airtime and the Zyxel feature designed specifically for this use case.

Visualizza risposta modello

Broadcasting 15 SSIDs generates 15 sets of beacon frames per access point per second. In a dense retail environment with multiple APs, this beacon overhead consumes significant airtime and degrades throughput for all connected devices. The correct approach is to broadcast a single SSID and enable Zyxel DPPSK. Each tenant receives a unique passphrase mapped to their dedicated VLAN ID. When a tenant device connects, the Nebula controller dynamically assigns it to the correct VLAN. This achieves full traffic isolation with a single SSID and minimal RF overhead.

Q3. After deploying the Zyxel and Purple integration, guests can authenticate successfully and browse the internet. However, the Purple analytics dashboard shows zero session duration data and the time-based access limit feature is not working. What is missing from the configuration?

Suggerimento: Authentication and session tracking use different ports and protocols.

Visualizza risposta modello

RADIUS Accounting is either not enabled in the Nebula SSID configuration or UDP port 1813 is blocked by the upstream firewall. Authentication (UDP 1812) is succeeding, which is why guests can connect. But without Accounting packets (Start, Interim-Update, Stop), Purple cannot track session duration, enforce time limits, or populate the analytics dashboard. Resolution: confirm RADIUS accounting is enabled in SSID advanced settings with the accounting port set to 1813 and the correct shared secret. Then verify the upstream firewall permits outbound UDP 1813 from the Zyxel AP management IP to the Purple RADIUS server IP.

Continua a leggere questa serie

Guida all'integrazione di MikroTik RouterOS Captive Portal e Purple WiFi

Questa guida tecnica fornisce istruzioni dettagliate per l'integrazione di MikroTik RouterOS con la piattaforma Purple WiFi. Copre la configurazione del Captive Portal per il WiFi ospiti, l'autenticazione 802.1X per il WiFi dipendenti e il WiFi multi-tenant utilizzando PSK privati per la segmentazione dinamica delle VLAN.

Leggi la guida →

Integrazione di Alta Labs con Purple WiFi: installazione e configurazione del Captive Portal

Questa guida di riferimento tecnico copre l'integrazione end-to-end degli access point Alta Labs AP6 e AP6 Pro con il captive portal ospitato in cloud di Purple. Dettaglia la configurazione del reindirizzamento esterno, l'autenticazione RADIUS, i requisiti di walled garden e la segmentazione multi-tenant tramite AltaPass Private Pre-Shared Keys. I gestori delle sedi e i team IT disporranno di un playbook di implementazione replicabile per ambienti hospitality, retail e smart office.

Leggi la guida →

Aruba ClearPass e Purple WiFi: Guida all'integrazione e alla distribuzione

Questa guida fornisce un riferimento tecnico completo per l'integrazione di HPE Aruba ClearPass Policy Manager con la piattaforma Purple WiFi, coprendo l'architettura proxy RADIUS, la configurazione del Captive Portal e la mappatura dinamica dei ruoli VLAN. È progettata per i responsabili IT e gli architetti di rete in ambienti fortemente basati su Aruba che necessitano di mantenere ClearPass per il NAC pur implementando Purple per l'autenticazione degli ospiti e l'analisi. L'implementazione di questa integrazione colma una lacuna critica tra i fornitori, consentendo sicurezza e conformità di livello aziendale insieme alle capacità di intelligence sui visitatori leader di mercato di Purple.

Leggi la guida →