Zyxel Nebula e guest WiFi: configurazione del captive portal con Purple

Benvenuto nella serie Purple Technical Briefing. Sono il tuo presentatore e oggi tratteremo uno scenario di implementazione cruciale per gli IT manager e gli architetti di rete: l'integrazione di Zyxel Nebula Cloud e USG Flex Firewall con Purple WiFi. Se stai implementando il guest WiFi in una catena alberghiera, in un patrimonio retail o in un ambiente multi-tenant, questo episodio fa per te. Entriamo subito nell'architettura. In primo luogo, perché questa integrazione? Zyxel offre un hardware robusto e Nebula offre una gestione cloud centralizzata. Ma quando si distribuisce il WiFi su scala - ad esempio, in 50 filiali retail o in un hotel di 200 camere - serve qualcosa di più di una semplice connettività di base. Occorrono un flusso di autenticazione strutturato, un'acquisizione dei dati conforme e una segmentazione dinamica della rete. È qui che entra in gioco Purple. Ci integriamo con Zyxel tramite RADIUS e reindirizzamento al Captive Portal esterno per offrire reti basate sull'identità. Esaminiamo la configurazione principale su Zyxel Nebula. Il processo inizia con le impostazioni dell'SSID. Vai su Site-wide, Configure, Access points e poi su SSID advanced settings. Qui, abilita l'URL del Captive Portal esterno. Inserirai l'URL di reindirizzamento specifico di Purple fornito nel tuo portale Purple. Ma il solo reindirizzamento non è sufficiente; è necessario configurare la Walled Garden. La Walled Garden definisce quali domini un dispositivo ospite può raggiungere prima dell'autenticazione. Questo è un errore comune. È necessario inserire nella whitelist i domini del portale Purple, le eventuali CDN degli asset e gli endpoint standard di rilevamento del Captive Portal del sistema operativo. In Nebula, si aggiungono questi domini riga per riga. Se si salta un dominio, la splash page non si caricherà correttamente e i tuoi ospiti rimarranno bloccati. Successivamente, configuriamo il server RADIUS. Nelle impostazioni avanzate dell'SSID, seleziona WPA2-Enterprise con My RADIUS server, oppure configura l'autenticazione basata su MAC a seconda del tuo flusso. Inserisci l'indirizzo IP di Purple RADIUS, imposta la porta di autenticazione su 1812, la porta di accounting su 1813 e inserisci il segreto condiviso. Configura sempre il server RADIUS di backup per garantire l'alta affidabilità. Ora parliamo di uno scenario più avanzato: la segmentazione Multi-Tenant utilizzando le chiavi private pre-condivise di Zyxel, o PPSK. In ambienti come gli alloggi per studenti o gli spazi di coworking, si desidera un unico SSID, ma è necessario isolare il traffico per ciascun tenant. Zyxel PPSK consente di rilasciare una password WiFi univoca a ciascun utente. Quando si connettono, il controller Nebula li assegna dinamicamente a una VLAN specifica in base a tale password. Per configurare questa opzione in Cloud Authentication, seleziona DPPSK e assegna il relativo VLAN ID. In questo modo si riduce il sovraccarico dell'SSID e si migliora notevolmente la sicurezza. Che dire del firewall USG Flex? Se si esegue il gateway on-premises, è necessario assicurarsi che le regole del firewall e le policy di zona siano allineate con i segmenti wireless. In genere si creano zone dedicate per il traffico Guest, Staff e Multi-Tenant. La zona Guest deve avere solo l'accesso a internet in uscita, con regole rigorose che bloccano l'accesso alle zone LAN o DMZ. Passiamo ora ai consigli di implementazione e agli errori comuni. Il problema più frequente che riscontriamo è la configurazione errata del walled garden. Se un ospite si connette e visualizza una pagina vuota, verificare la whitelist. Utilizzare gli strumenti di sviluppo del browser per identificare le richieste CDN bloccate. Il secondo problema riguarda i timeout RADIUS. Assicurarsi che i firewall a monte consentano le porte UDP 1812 e 1813 in uscita verso la piattaforma cloud Purple. È il momento di una sessione rapida di domande e risposte. Domanda uno: Ho bisogno di una VLAN dedicata per il WiFi Guest? Risposta: Sì. Isolare sempre il traffico degli ospiti su una VLAN dedicata. Questo è obbligatorio per la conformità PCI-DSS se la sede elabora i pagamenti sulla stessa infrastruttura fisica. Domanda due: Posso usare Purple con gli AP standalone Zyxel senza Nebula? Risposta: Sì, ma la gestione delle impostazioni RADIUS e del portale per singolo AP è inefficiente. Consigliamo vivamente di utilizzare Nebula Control Centre per una gestione centralizzata. Domanda tre: In che modo Purple gestisce la randomizzazione degli indirizzi MAC? Risposta: Purple si affida all'indirizzo MAC fornito dal controller Zyxel tramite RADIUS accounting. Sebbene i dispositivi randomizzino i MAC per rete, mantengono lo stesso MAC per il vostro SSID specifico, consentendo la persistenza della sessione durante la loro visita. Per riassumere: l'integrazione di Zyxel Nebula con Purple richiede una configurazione precisa dell'URL del Captive Portal esterno, un Walled Garden completo e impostazioni RADIUS accurate. Per le sedi multi-tenant, sfruttate lo Zyxel PPSK per lo steering dinamico della VLAN. Configurando correttamente questi elementi, potrete offrire un'esperienza WiFi sicura e scalabile in grado di acquisire preziosi dati di prima parte. Se state pianificando una distribuzione, consultate la guida tecnica completa per istruzioni dettagliate e diagrammi di architettura. Grazie per l'ascolto e ci vediamo al prossimo briefing tecnico.