Alta Labs AP y WiFi de invitados: configuración de captive portal con Purple

GUION DE PODCAST: Integración de Alta Labs con Purple WiFi: configuración y configuración del portal cautivo Serie de informes técnicos de Purple WiFi Intelligence Platform Duración: aproximadamente 10 minutos Voz: inglés británico, tono de consultor sénior - seguro, conversacional, con autoridad --- [INTRO - 1 MINUTO] Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy vamos a desglosar la integración entre los puntos de acceso de Alta Labs y la plataforma de inteligencia Purple WiFi. Si es un director de TI, un arquitecto de redes o un director de operaciones de un recinto que busca implementar una solución de WiFi para invitados sólida y escalable, este informe es para usted. Vamos a cubrir la configuración específica para Alta Labs AP6 y AP6 Pro, cómo configurar la redirección del portal cautivo externo y los ajustes críticos de walled garden necesarios para que los inicios de sesión social funcionen de verdad en el mundo real. También profundizaremos en AltaPass - la implementación de Alta Labs de claves privadas previamente compartidas, o PPSK - y cómo puede usarlo para segmentar entornos multi-inquilino sin destruir el rendimiento de su RF con la saturación de SSID. Comencemos. --- [INMERSIÓN TÉCNICA - 5 MINUTOS] La integración entre Alta Labs y Purple se basa en dos conceptos de red fundamentales: la redirección HTTP para el portal cautivo y RADIUS para la autenticación y la contabilidad. Cuando un invitado entra en su recinto - por ejemplo, una tienda minorista o el vestíbulo de un hotel - y se conecta a su red de invitados abierta o WPA3-OWE, el AP de Alta Labs actúa como guardián. Intercepta las solicitudes HTTP iniciales del cliente y las redirige a su página de inicio de marca de Purple. Para configurar esto en la plataforma Alta Labs Cloud Management, vaya a la configuración de su WiFi, seleccione su SSID de invitados y, en Configuración avanzada, establezca el tipo de red en Invitado. Esto es crucial porque aplica automáticamente el aislamiento de clientes, evitando que los dispositivos se comuniquen lateralmente a través de la red. A continuación, en la sección Hotspot, seleccione Externo e introduzca la URL de redirección de Purple proporcionada en la configuración de su recinto, junto con su Secreto de Autorización. Pero aquí es donde la mayoría de las implementaciones encuentran un obstáculo: el walled garden. El walled garden es la lista de dominios y direcciones IP a las que un dispositivo tiene permitido acceder antes de haberse autenticado. Si desea que los invitados inicien sesión con Google, Facebook o Apple, sus dispositivos deben poder llegar a esos servidores de OAuth mientras aún se encuentran en el estado previo a la autenticación. Debe incluir explícitamente en la lista blanca los dominios de la infraestructura de Purple - como region1.purpleportal.net y cloudfront.net. Luego, debe agregar las sondas de portal cautivo del sistema operativo: captive.apple.com para iOS, y connectivitycheck.gstatic.com para Android. Si bloquea estas, el teléfono no sabrá que está detrás de un portal cautivo y la página de inicio nunca aparecerá. Finalmente, agregue los dominios de inicio de sesión social. Para Google, son accounts.google.com, oauth2.googleapis.com y gstatic.com. Para Facebook, son facebook.com, graph.facebook.com y los dominios de fbcdn.net. Una lista blanca de IP estáticas no funcionará aquí porque estos proveedores utilizan redes de distribución de contenido dinámicas. Debe utilizar nombres de dominio y asegurarse de que su controlador realice la resolución dinámica de DNS. Una vez que el usuario completa el inicio de sesión en la página de inicio de Purple, el servidor RADIUS de Purple envía un mensaje Access-Accept de vuelta al AP de Alta Labs. A continuación, el AP elimina la restricción del portal cautivo (walled garden) y otorga al dispositivo acceso total a Internet. Es un flujo limpio y seguro que captura datos de origen mientras mantiene la integridad de la red. Ahora, hablemos de la segmentación multi-inquilino. En entornos como oficinas inteligentes, residencias de estudiantes o edificios de viviendas múltiples, a menudo es necesario proporcionar redes seguras y aisladas para diferentes grupos. Históricamente, los equipos de TI transmitían un SSID independiente para cada inquilino. Esa es una práctica terrible. Provoca una sobrecarga de gestión enorme y destruye el rendimiento inalámbrico debido a la sobrecarga de las tramas de baliza (beacon frames). Alta Labs resuelve esto con AltaPass, su versión de Private Pre-Shared Keys. Con AltaPass, usted transmite un único SSID - llamémoslo BuildingWiFi. Pero genera contraseñas únicas para diferentes usuarios o dispositivos. Cuando el Inquilino A introduce su contraseña específica, el AP lo asigna dinámicamente a la VLAN 101 con un límite de ancho de banda de 100 Megabits. Cuando el equipo de gestión introduce su contraseña en el mismo SSID, se les asigna a la VLAN 200 con ancho de banda ilimitado. Incluso puede crear una contraseña para dispositivos IoT, como termostatos inteligentes, que los asigne a una VLAN aislada y evite el Captive Portal por completo. Un SSID. Contraseñas ilimitadas. Aislamiento completo. Esto es Identity-Based Networking en el extremo, y es una solución genuinamente elegante a un problema que ha afectado a los despliegues multi-inquilino durante años. Permítame darle un ejemplo concreto de cómo funciona esto en la práctica. Considere un complejo de apartamentos de 72 unidades - un tipo de despliegue del mundo real para el cual se ha utilizado ampliamente Alta Labs. En lugar de transmitir 72 SSIDs independientes, el administrador de la red crea un único SSID y genera una contraseña única para cada unidad. Cada contraseña se asocia a una VLAN y subred dedicadas. Los residentes con el plan básico obtienen 100 Megabits. Los residentes que han pagado por el plan premium obtienen 300 Megabits. El equipo de gestión del edificio obtiene acceso sin restricciones. El sistema de automatización del edificio - cerraduras de puertas, HVAC, ascensores - obtiene su propia VLAN aislada con inspección profunda de paquetes habilitada. Todo desde un solo SSID. El entorno de RF está más limpio, el rendimiento es mayor y la gestión es drásticamente más sencilla. Ahora, pasemos a la configuración de 802.1X para el WiFi seguro del personal. Para la red de sus empleados, no debería utilizar en absoluto una clave previamente compartida. Debería utilizar WPA2 o WPA3 Enterprise con autenticación 802.1X. En la plataforma de Alta Labs, esto se configura seleccionando el SSID de su personal, estableciendo el modo de seguridad en WPA2-Enterprise o WPA3-Enterprise y apuntando el AP a su servidor RADIUS. Si se integra con el producto SecurePass de Purple, Purple actúa como intermediario RADIUS, conectándose a su proveedor de identidad - ya sea Microsoft Entra ID, Okta o Google Workspace - y devolviendo la asignación de VLAN correspondiente en el mensaje Access-Accept. El AP de Alta Labs lee el atributo Tunnel-Private-Group-Id de la respuesta RADIUS y coloca el dispositivo en la VLAN correcta de forma automática. Una nota importante sobre la asignación dinámica de VLAN con Alta Labs: al configurar las VLAN asignadas por RADIUS, establezca la VLAN predeterminada en el SSID en VLAN 1 o déjela sin etiquetar. Existe un comportamiento conocido por el cual, si la VLAN predeterminada se establece en un valor específico, el AP puede anular la VLAN asignada por RADIUS con la predeterminada configurada. Establecer la VLAN predeterminada en VLAN 1 garantiza que la asignación de RADIUS tenga prioridad. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS] Cuando vaya a implementar esto, hay algunas recomendaciones clave que quiero destacar. En primer lugar, pruebe siempre el flujo de su Captive Portal con un dispositivo nuevo. No utilice su propio teléfono si ya se ha conectado a la red durante las pruebas. Su dispositivo recuerda la autorización de la dirección MAC o tiene entradas DNS almacenadas en caché, lo que ocultará los fallos del walled garden. Coja una tableta que nunca se haya conectado a la red, conéctela y verifique que el asistente de Captive Portal del sistema operativo se inicia automáticamente. En segundo lugar, tenga cuidado con el exceso de listas blancas. He visto a ingenieros frustrarse con los errores de inicio de sesión social y añadir a la lista blanca dominios enteros con comodines o bloques de IP masivos. Esto crea una vulnerabilidad de seguridad que permite a los usuarios avanzados eludir por completo su Captive Portal. Limítese a los dominios específicos requeridos para el flujo OAuth. En tercer lugar, al desplegar PPSK de AltaPass con VLAN dinámicas, asegúrese de que toda su infraestructura de conmutación esté configurada correctamente. Los puertos del switch que se conectan a sus AP de Alta Labs deben estar configurados como enlaces troncales (trunks), permitiendo que todas las VLAN etiquetadas pasen a la pasarela. Si el AP etiqueta el tráfico para la VLAN 101, pero el puerto del switch está configurado en modo de acceso en la VLAN 1, el tráfico se descarta y el cliente no obtiene dirección IP. En cuarto lugar, realice una revisión trimestral de la configuración de su walled garden. Los proveedores de OAuth y las redes de distribución de contenidos cambian sus estructuras de dominio. Apple actualizó sus dominios de Sign In dos veces en 2023. Un walled garden que era correcto en el momento del despliegue dejará de estar alineado si no se realiza un mantenimiento activo. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO] Repasemos un par de preguntas rápidas que solemos recibir desde el terreno. Pregunta uno: ¿Puedo utilizar WPA3 con el Captive Portal de Purple en hardware de Alta Labs? Sí. Debería utilizar WPA3-OWE, que significa Opportunistic Wireless Encryption. Esto cifra los datos en el aire, protegiendo la privacidad de los invitados, mientras sigue funcionando como una red abierta que activa la redirección del Captive Portal. Es la opción adecuada para cualquier nueva implementación de WiFi de invitados en 2026. Pregunta dos: ¿Qué puertos debo abrir en mi cortafuegos para el tráfico RADIUS? Los servidores RADIUS de Purple se comunican a través del puerto UDP 1812 para la autenticación y del puerto UDP 1813 para la contabilidad. Asegúrese de que su cortafuegos perimetral permita el tráfico saliente en estos puertos desde los puntos de acceso de Alta Labs hacia la infraestructura de Purple. Pregunta tres: ¿Puedo utilizar AltaPass PPSK junto con el Captive Portal de Purple en el mismo SSID? Sí, y de hecho esta es una configuración muy útil. Puede crear una contraseña de AltaPass que evite el Captive Portal para los dispositivos conocidos - como sus terminales de punto de venta o la señalización digital - mientras que las conexiones estándar al mismo SSID sigan pasando por la página de bienvenida de Purple. Esto le proporciona un único SSID limpio que gestiona tanto los dispositivos autenticados como los usuarios invitados. --- [RESUMEN Y PRÓXIMOS PASOS - 1 MINUTO] Para terminar: La integración de Alta Labs con Purple WiFi le ofrece una plataforma segura y escalable para capturar datos de primera mano y ofrecer una experiencia de invitado de marca. Recuerde los tres pilares de una implementación exitosa. En primer lugar, configure con precisión la redirección del punto de acceso externo y los parámetros de RADIUS en la plataforma Alta Labs Cloud Management. En segundo lugar, defina minuciosamente sus dominios de walled garden para garantizar que los sondeos del sistema operativo y los inicios de sesión sociales funcionen correctamente. Y en tercer lugar, aproveche AltaPass PPSK para implementar redes basadas en la identidad, segmentando su tráfico sin contaminar el espacio radioeléctrico con SSIDs innecesarios. Purple opera en más de 80.000 recintos en vivo y ha procesado 440 millones de inicios de sesión en 2024. La plataforma cuenta con la certificación ISO 27001, cumple con la normativa GDPR y está diseñada para escalar desde un único hotel boutique hasta una red de tiendas a nivel nacional. Cuando combina eso con el rendimiento y la flexibilidad del hardware de Alta Labs, obtiene una potente solución de WiFi empresarial. Si sigue esta guía, ofrecerá una experiencia de WiFi fluida y de conformidad con la normativa que satisfará tanto a su equipo de marketing como a su equipo de seguridad. Gracias por escuchar la serie de resúmenes técnicos de Purple. Hasta la próxima, mantenga sus redes seguras y sus datos listos para la acción.