AP de la serie Allied Telesis TQ y WiFi para invitados: configuración del captive portal con Purple

Usted es un consultor senior de redes que habla con el director de TI de un cliente en una sesión informativa privada. Hable en un español formal y profesional de España, con un tono seguro, autoritario y conversacional. Ritmo pausado, dicción clara. Sin palabras de relleno. Pausas naturales ocasionales para dar énfasis: Bienvenido a esta sesión técnica sobre la integración de los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Le guiaré a través de todo el escenario de despliegue, desde la redirección del Captive Portal de invitados hasta el aislamiento PPSK multiinquilino. Al final de esta sesión, dispondrá de una hoja de ruta de implementación clara. [pausa media] Empecemos con el contexto. Allied Telesis fabrica la serie TQ, que incluye los puntos de acceso Wi-Fi 6 TQ5403 y TQ6702 GEN2. Se trata de AP de nivel empresarial que ejecutan el firmware AlliedWare Plus y están ampliamente desplegados en entornos de hostelería, comercio minorista y sector público. Purple es una plataforma en la nube agnóstica respecto al hardware que opera en 80.000 establecimientos y gestiona 440 millones de inicios de sesión en 2024. La integración entre estas dos plataformas es limpia, basada en estándares y lista para producción. [pausa media] Ahora bien, lo primero que la mayoría de los equipos de TI deben configurar es la redirección del Captive Portal de invitados. El AP de Allied Telesis admite tres modos de Captive Portal: clic directo, autenticación RADIUS y redirección a página externa. Para la integración con Purple, utilizará el modo de redirección a página externa. Así es como funciona en la práctica. Inicie sesión en la interfaz gráfica de usuario del AP, navegue hasta Wireless, seleccione el VAP correspondiente, vaya a Configuración avanzada y luego a la pestaña Seguridad. Establezca el Captive Portal en Redirección a página externa. En el campo URL de página externa, introduzca la URL de la página de inicio de Purple que se proporciona en su panel de control de Purple. Esa es la URL a la que llegarán sus invitados cuando se conecten por primera vez. [pausa corta] Ahora, el AP intercepta el primer paquete HTTP o HTTPS de cada nuevo cliente y redirige ese tráfico a su página de inicio de Purple. El invitado se autentica a través de Purple, y el servidor RADIUS de Purple envía un Access-Accept de vuelta al AP. A continuación, el AP concede acceso a la red. [pausa media] Para la configuración de RADIUS, Purple le proporciona una dirección IP del servidor RADIUS, un secreto compartido y el puerto de autenticación, que es el UDP 1812. El registro de conexiones (accounting) funciona en el puerto UDP 1813. Estos parámetros se configuran en Servicios de red y, a continuación, en RADIUS, dentro de la interfaz gráfica del AP. El identificador NAS debe establecerse en la IP de gestión del AP o en un nombre de host descriptivo. El RADIUS-as-a-Service de Purple se encarga del backend de autenticación, por lo que no es necesario que ejecute su propia infraestructura RADIUS. [pausa corta] Una cosa que hay que configurar correctamente es el Walled Garden. Antes de que un usuario invitado se autentique, el AP bloquea todo el tráfico excepto hacia los destinos de la lista blanca. Debe añadir los dominios de la plataforma de Purple al walled garden para que la splash page se cargue correctamente. Como mínimo, añada a la lista blanca el dominio de la splash page de Purple, los endpoints de CDN que Purple utiliza para los recursos y cualquier proveedor de inicio de sesión social que haya habilitado, como Google o Facebook. Esto se configura en el mismo panel VAP Advanced Settings, en la sección Walled Garden. [medium pause] Pasemos a la WiFi para el personal mediante 802.1X. Aquí es donde se configura WPA Enterprise en un VAP independiente. En la interfaz gráfica del AP, seleccione WPA Enterprise en el menú desplegable Security y, a continuación, apunte el RADIUS Authentication Group a su servidor RADIUS externo, que en este caso es el servicio SecurePass de Purple o su propio RADIUS respaldado por Microsoft Entra ID o Okta. Los dispositivos del personal se autentican mediante EAP-PEAP con MSCHAPv2, o EAP-TLS con certificados para entornos de mayor seguridad. El AP actúa como autenticador 802.1X, reenviando las credenciales al servidor RADIUS y aplicando la respuesta. [short pause] Para la asignación dinámica de VLAN en la red del personal, habilite la opción Dynamic VLAN en los ajustes de Advanced Security del VAP. Cuando el servidor RADIUS devuelve un Access-Accept, incluye tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en IEEE 802 y Tunnel-Private-Group-Id establecido en el ID de la VLAN. El AP lee estos atributos y coloca automáticamente el dispositivo autenticado en la VLAN correcta. Este es el mecanismo definido en RFC 3580 y funciona de manera consistente en todo el hardware de Allied Telesis. [medium pause] Ahora hablemos de la capacidad más interesante para despliegues multi-inquilino: PPSK de Allied Telesis, o Private Pre-Shared Key. A veces se denomina iPSK en otras plataformas. El concepto es sencillo. Se tiene un único SSID, pero cada inquilino o grupo de usuarios obtiene una contraseña única. Cuando un dispositivo se conecta, el AP envía esa contraseña al servidor RADIUS como el campo de contraseña en una solicitud RADIUS Access-Request. El servidor RADIUS asocia la contraseña con un registro de usuario y devuelve un Access-Accept con un atributo Tunnel-Private-Group-Id que especifica la VLAN para ese inquilino. [short pause] Así, en un edificio de uso mixto, el Inquilino A en el local comercial se conecta con su contraseña y accede a la VLAN 100. El restaurante de la planta baja utiliza una contraseña diferente y accede a la VLAN 300. La WiFi para invitados del edificio utiliza una tercera contraseña y accede a la VLAN 400, donde el Captive Portal de Purple está activo. Todo esto funciona en un solo SSID. Sin proliferación de SSID. Limpio, escalable y fácil de gestionar. [medium pause] En el lado de Purple, usted configura los registros de usuario PPSK en el panel de control de Purple o a través de la interfaz de RADIUS-as-a-Service. Cada inquilino recibe una contraseña única asignada a un VLAN ID. El servidor RADIUS de Purple se encarga de la coincidencia y devuelve el Tunnel-Private-Group-Id correcto. Cuando necesite revocar el acceso de un inquilino, simplemente elimine o desactive su registro PPSK en Purple. El AP aplica el cambio en el siguiente intento de autenticación. [medium pause] Permítame presentarle dos escenarios del mundo real donde esto es relevante. Primero, un hotel de conferencias de 250 habitaciones. El hotel opera tres redes: WiFi para invitados con una Captive Portal de Purple y login social, WiFi para el personal en 802.1X vinculado a Active Directory a través de Microsoft Entra ID, y una red de delegados de conferencias para eventos. Los AP Allied Telesis TQ6702 GEN2 gestionan las tres en VAPs independientes con VLANs separadas. Purple gestiona la Captive Portal de invitados, recopila datos de origen para el CRM del hotel y proporciona análisis sobre los periodos de mayor uso. El equipo de TI del hotel gestiona la red del personal a través de SecurePass de Purple sin necesidad de mantener un servidor RADIUS independiente en las instalaciones. [short pause] Segundo escenario: un parque comercial con 12 inquilinos independientes. El propietario desea ofrecer WiFi como servicio a cada inquilino sin permitirles acceder al tráfico de los demás. Despliegan AP de Allied Telesis en todo el recinto con un único SSID. Cada inquilino recibe una PPSK única. El servidor RADIUS de Purple asigna cada PPSK a una VLAN dedicada. El propietario puede incorporar a un nuevo inquilino en menos de diez minutos creando un nuevo registro PPSK en Purple y entregando la contraseña al inquilino. No se requiere ninguna reconfiguración del AP. [medium pause] Ahora, algunos errores comunes que se deben evitar. El problema más habitual que vemos son los walled gardens mal configurados. Si olvida incluir en la lista blanca un endpoint de la CDN de Purple, la Captive Portal se cargará parcialmente o fallará en ciertos dispositivos. Realice pruebas con un dispositivo nuevo que no tenga DNS en caché antes de la puesta en marcha. En segundo lugar, discrepancias en el secreto compartido de RADIUS. El secreto configurado en el AP debe coincidir exactamente con el secreto en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos. Utilice un gestor de contraseñas para generar y almacenar el secreto. En tercer lugar, la falta de activación de la VLAN dinámica. En los AP de Allied Telesis, la VLAN dinámica está desactivada por defecto incluso cuando WPA Enterprise está activo. Debe activarla explícitamente en la configuración de seguridad avanzada de la VAP. Vemos que esto se pasa por alto con regularidad. En cuarto lugar, el conflicto entre autenticación PPSK y MAC. Si tiene la autenticación MAC activada en la misma VAP que PPSK, el orden de autenticación importa. Consulte la documentación del AP para su versión de firmware para confirmar qué método tiene prioridad. [medium pause] Preguntas rápidas que suelo recibir de los equipos de TI. ¿Puedo utilizar el servidor RADIUS de Purple tanto para el Captive Portal de invitados como para el 802.1X del personal en el mismo despliegue? Sí. El servicio RADIUS-as-a-Service de Purple es compatible con ambos flujos de autenticación. Puede configurar grupos o políticas de RADIUS independientes en Purple para cada caso de uso. ¿Admiten los AP de Allied Telesis WPA3 con Captive Portal? El TQ6702 GEN2 con firmware 5.5.4-2.3 o posterior admite el cifrado WPA3 CCMP. Sin embargo, el Captive Portal con redirección externa se ejecuta normalmente en un SSID abierto o WPA2 Personal. El personal con 802.1X puede utilizar WPA3 Enterprise. ¿Qué ocurre si el servidor RADIUS de Purple no está accesible? El AP denegará los nuevos intentos de autenticación. Las sesiones existentes continuarán hasta que expiren. Debe configurar un servidor RADIUS secundario en el grupo RADIUS del AP para disponer de redundancia. La plataforma de Purple mantiene un tiempo de actividad del 99,999%, pero la defensa en profundidad es una buena práctica. [medium pause] En resumen. Los AP de la serie TQ de Allied Telesis se integran con Purple a través de tres mecanismos principales: redirección a un Captive Portal externo para WiFi de invitados, WPA Enterprise con RADIUS para 802.1X del personal, y PPSK con VLAN dinámica para el aislamiento de inquilinos múltiples. Los atributos RADIUS que necesita son Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 y Tunnel-Private-Group-Id con el ID de VLAN. Purple proporciona el backend de RADIUS-as-a-Service, la plataforma de portal cautivo y la capa de análisis. [short pause] Sus siguientes pasos: obtenga las credenciales RADIUS de Purple de su panel de control, configure la redirección de página externa en su VAP de invitados, añada las entradas del walled garden, active la VLAN dinámica en su VAP de personal y ejecute una autenticación de prueba para cada segmento de red antes de la puesta en marcha. Si va a implementar PPSK para inquilinos múltiples, planifique su esquema de numeración de VLAN antes de empezar, ya que cambiar los ID de VLAN después de que los inquilinos estén activos requiere coordinación. [medium pause] Esto es todo para este informe. Para consultar la referencia de configuración paso a paso completa, el diagrama de arquitectura de Mermaid y la tabla de atributos RADIUS, consulte la guía escrita. Gracias por su tiempo.