Integración de Arista Cognitive Wi-Fi con Purple WiFi

Resumen ejecutivo

Implementar un Captive Portal de Arista para el acceso de invitados no es una mera tarea de conectividad. Es una intersección crítica entre la seguridad de la red, el cumplimiento normativo y la estrategia de datos. Para los responsables de TI que gestionan centros distribuidos, la integración de Arista CloudVision Cognitive Unified Edge (CV-CUE) con Purple transforma el tráfico de invitados no gestionado en un activo seguro, segmentado y medible.

Esta referencia proporciona un modelo definitivo para configurar Arista Cognitive Wi-Fi con Purple. Detallamos los mecanismos exactos necesarios para implementar páginas de inicio (splash pages) alojadas por terceros, crear listas de control de acceso precisas para Walled Garden e implementar la autenticación RADIUS. También cubrimos el aislamiento avanzado de WiFi multiinquilino mediante claves precompartidas privadas (PPSK) de Arista y la redirección dinámica de VLAN, la arquitectura que elimina la proliferación de SSID en espacios de coworking, centros comerciales y edificios residenciales.

Purple opera en más de 80 000 establecimientos activos y ha procesado 440 millones de inicios de sesión en 2024 (datos internos de Purple). La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y dispone de las certificaciones Cyber Essentials y B Corp. Esta guía refleja configuraciones probadas en producción y validadas en despliegues de los sectores de hostelería, retail y sector público.

Análisis técnico detallado

La arquitectura de incorporación del Captive Portal de Arista

El flujo de incorporación de invitados determina cómo interactúan los dispositivos con el punto de acceso (AP) de Arista antes y después de la autenticación. Cuando un dispositivo se asocia con el SSID abierto para invitados, el AP de Arista lo asigna a una VLAN de preautenticación. En este estado, el AP restringe el tráfico DNS y HTTP a una lista de permitidos definida. El sistema operativo del dispositivo detecta el Captive Portal e intenta conectarse a un endpoint conocido: iOS envía una solicitud HTTP a captive.apple.com, Android a connectivitycheck.gstatic.com y Windows a www.msftconnecttest.com. El AP de Arista intercepta esta solicitud y emite un redireccionamiento HTTP 302 a la URL de la splash page de Purple.

{{asset:captive_portal_flow.png}}

Para garantizar que este flujo se ejecute sin errores, el controlador CV-CUE de Arista debe estar configurado para apuntar a Purple como un portal alojado por terceros. Esto requiere definir los servidores RADIUS de Purple (puerto de autenticación 1812, puerto de contabilidad 1813) dentro de los perfiles de red de CV-CUE. Una vez que el invitado envía sus credenciales o acepta los términos en el portal de Purple, Purple actúa como servidor RADIUS y envía un mensaje Access-Accept de vuelta al AP de Arista. Este mensaje incluye los atributos de cambio de autorización (CoA) de RADIUS definidos en la norma RFC 3576, que indican al AP que transfiera la dirección MAC del cliente desde el estado restringido de preautenticación al acceso completo a Internet en la VLAN de postautenticación.

Diseño de ACL de Walled Garden en CV-CUE

El Walled Garden es una lista blanca de dominios y direcciones IP a las que los dispositivos no autenticados deben poder acceder para cargar la splash page y completar la autenticación. En Arista CV-CUE, esto se configura en los ajustes de Captive Portal como "Websites that users can access before login".

El Walled Garden es una lista de permitidos explícita. Debe incluir los dominios principales de Purple para representar el portal. Si ofrece inicio de sesión social, también debe incluir en la lista blanca los dominios del proveedor de identidad (IdP). Si no se mantiene esta lista, los invitados no podrán cargar la pantalla de inicio de sesión del proveedor de autenticación, lo que provocará el abandono inmediato.

Entradas mínimas de Walled Garden requeridas para Purple:

• region1.purpleportal.net
• venuewifi.com
• cloudfront.net
• openweathermap.org
• stripe.com (si el acceso con pasarela de pago está habilitado)

Entradas adicionales para inicio de sesión social:

• Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
• Google Workspace: accounts.google.com, googleapis.com
• Twitter/X: twitter.com, twimg.com
• LinkedIn: linkedin.com, licdn.net

Configuración de PPSK de Arista para aislamiento multi-tenant

Para entornos como espacios de coworking, edificios residenciales o centros comerciales, el estándar 802.1X suele ser demasiado complejo para dispositivos no gestionados, mientras que las redes abiertas carecen de la seguridad necesaria. Las claves precompartidas privadas (PPSK) de Arista solucionan este problema al permitir varias frases de contraseña únicas en un único SSID, cada una asociada a una política de red diferente.

Cuando se integra con el servidor RADIUS de Purple, la tecnología PPSK de Arista permite la redirección dinámica de VLAN. Un residente o un inquilino de un comercio se conecta al SSID unificado utilizando su PPSK específica. El AP de Arista autentica la clave con el servidor RADIUS de Purple. Purple devuelve la respuesta estándar Access-Accept, pero añade tres atributos RADIUS que dirigen la asignación de VLAN:

El AP de Arista asigna dinámicamente el dispositivo a esa VLAN. Esto proporciona un aislamiento estricto de Capa 2 entre inquilinos sin necesidad de transmitir docenas de SSIDs independientes, optimizando el uso de RF y manteniendo límites de seguridad absolutos.

WiFi seguro para el personal con IEEE 802.1X

Para las redes del personal, las contraseñas compartidas representan un riesgo de seguridad. El estándar IEEE 802.1X (definido en IEEE Std 802.1X-2020) proporciona control de acceso a la red basado en puertos mediante credenciales por usuario. En CV-CUE, se configura un SSID corporativo con seguridad WPA2-Enterprise o WPA3-Enterprise. El AP actúa como autenticador, reenviando las credenciales al servidor RADIUS a través de EAP (Extensible Authentication Protocol). Purple admite EAP-PEAP para la autenticación por usuario/contraseña y EAP-TLS para la autenticación basada en certificados.

Para implementaciones de EAP-TLS, se integra con Microsoft Entra ID, Okta o Google Workspace como autoridad de certificación. Cuando el dispositivo de un miembro del personal presenta un certificado de cliente válido, el servidor RADIUS lo valida contra el directorio y devuelve un Access-Accept. Esto elimina por completo el robo de credenciales como vector de ataque.

Integración con Arista Cloud WIPS

El sistema de prevención de intrusiones inalámbricas (WIPS) de Arista funciona de forma continua en segundo plano, escaneando en busca de puntos de acceso no autorizados, APs mal configurados y clientes no autorizados. En CV-CUE, navegue a Configure > WIPS > Automatic Intrusion Prevention para configurar el nivel de prevención. Arista ofrece cuatro niveles: Degrade, Interrupt, Disrupt y Block. Para implementaciones empresariales, comience con Disrupt, que interrumpe la comunicación no autorizada sin bloquearla por completo, reduciendo el riesgo de falsos positivos durante la implementación inicial.

Habilite SSID VLAN Monitoring en Configure > Device > Access Point > Security tab para garantizar que los APs supervisen activamente sus VLAN asignadas en busca de actividad no autorizada. Los modelos de la serie Arista AP-3xx admiten la supervisión de hasta 42 VLAN simultáneamente (documentación de Arista WIPS, 2025).

Guía de implementación

Fase 1: Segmentación de red y configuración de RADIUS

1. Inicie sesión en Arista CV-CUE y navegue a Configure > Network Profiles > RADIUS.
2. Haga clic en Add RADIUS Server.
3. Introduzca los datos del servidor RADIUS principal de Purple: dirección IP, puerto de autenticación (1812), puerto de contabilidad o "Accounting" (1813) y el Secreto compartido de la página de configuración de hardware del portal de Purple.
4. Repita el proceso para el servidor RADIUS secundario de Purple para garantizar la alta disponibilidad.
5. Verifique en su cortafuegos que los puertos UDP 1812 y 1813 estén abiertos entre los APs de Arista y los servidores RADIUS de Purple.

Fase 2: Configuración del SSID de invitados y del Captive Portal

1. Navegue a Configure > WiFi > SSID y haga clic en Add New SSID.
2. Defina el nombre del SSID (por ejemplo, Guest_WiFi) y establezca el tipo de SSID en Guest.
3. En la pestaña Security, configure el nivel de seguridad en Open.
4. En la pestaña Network, configure la VLAN de preautenticación (por ejemplo, VLAN 10) con un rango DHCP dedicado.
5. En la pestaña Captive Portal, active la casilla de verificación Captive Portal.
6. Seleccione Third-Party Hosted en el menú desplegable Cloud Hosted.
7. Marque With RADIUS Authentication y seleccione el perfil Purple RADIUS.
8. Introduzca la URL de la página de inicio (Splash Page) de Purple (por ejemplo, https://region1.purpleportal.net/access/) y la URL de redirección (por ejemplo, https://region1.purpleportal.net/access/?res=success).
9. Establezca el formato de Called Station ID en %m (formato de dirección MAC requerido por Purple).
10. Establezca el Accounting Interval en 2 minutos.
11. Desmarque la casilla de verificación HTTPS Redirection.

Fase 3: Despliegue de Walled Garden

1. Dentro de la pestaña Captive Portal, localice la sección Websites that users can access before login.
2. Añada todos los dominios de Purple y dominios de proveedores de identidad (Identity Provider) requeridos, tal como se enumeran anteriormente.
3. Guarde la configuración del SSID y aplíquela a los grupos de AP de Arista de destino.

Fase 4: Configuración multi-tenant de PPSK

1. En el portal de Purple, navegue a la configuración de hardware del establecimiento y recupere los ajustes RADIUS de PPSK.
2. En CV-CUE, cree un nuevo SSID con seguridad WPA2-Personal y active el modo PPSK.
3. Configure el SSID para que se autentique contra el perfil Purple RADIUS.
4. En el portal de Purple, cree una frase de contraseña PPSK para cada tenant y asóciela al ID de VLAN correspondiente.
5. Verifique que los puertos de los conmutadores que se conectan a los AP de Arista estén configurados para realizar el enlace troncal (trunk) de las VLAN de tenant requeridas.

Fase 5: WiFi corporativa segura (802.1X)

1. Cree un nuevo SSID corporativo en CV-CUE.
2. En la pestaña Security, seleccione WPA2-Enterprise o WPA3-Enterprise.
3. Seleccione el perfil RADIUS que apunta a su proveedor de identidad corporativo (Microsoft Entra ID, Okta o Google Workspace).
4. Configure el tipo de EAP: PEAP para usuario/contraseña, EAP-TLS para autenticación basada en certificados.
5. Asigne el SSID corporativo a una VLAN dedicada (por ejemplo, VLAN 20) aislada de la VLAN de invitados.

Mejores prácticas

Automatice las actualizaciones de Walled Garden. Los proveedores de identidad cambian con frecuencia sus dominios de CDN. Programe una revisión trimestral de su configuración de Walled Garden en Arista CV-CUE contrastándola con las listas de dominios actualizadas de Purple. Un solo registro de CDN que falte interrumpirá el inicio de sesión con redes sociales para todos los invitados.

Optimice los temporizadores de sesión según el tipo de establecimiento. Configure los tiempos de espera por inactividad (idle timeouts) en Arista CV-CUE para que se adapten al perfil de tráfico de su establecimiento. Los entornos de retail se benefician de un tiempo de espera por inactividad de 10 minutos para liberar direcciones IP de los dispositivos que han abandonado la tienda. Los despliegues en hoteles deberían utilizar tiempos de espera más largos (de 4 a 8 horas) para evitar tener que volver a activar el portal durante la estancia de un huésped.

Aplique el aislamiento de clientes (Client Isolation). Active siempre el aislamiento de clientes en el SSID de invitados dentro de Arista CV-CUE. Esto evita que los dispositivos de los invitados se comuniquen entre sí, mitigando los riesgos de movimiento lateral y cumpliendo con los requisitos de segmentación de red de PCI DSS. Habilite RADIUS Accounting. Asegúrese de que RADIUS Accounting esté habilitado con un intervalo de 2 minutos. Esto proporciona a Purple métricas precisas de duración de la sesión y transferencia de datos, que se envían al panel de WiFi Analytics y permiten un análisis preciso del tiempo de permanencia de los visitantes.

Segmente por tipo de SSID, no por AP. Aplique SSIDs de tipo Guest, Staff y Multi-Tenant a los mismos grupos de AP. Arista CV-CUE gestiona el etiquetado de VLAN por SSID, por lo que no necesita APs independientes para cada tipo de usuario. Esto simplifica su despliegue de hardware mientras mantiene una separación lógica estricta.

Para obtener una visión más amplia de la arquitectura de seguridad WiFi para empresas, consulte nuestra guía Seguridad WiFi empresarial: una guía completa para 2026 .

Casos de éxito

Caso de éxito 1: Cadena hotelera de 350 habitaciones

Una cadena hotelera de gama media con 12 propiedades desplegó APs Arista Wi-Fi 6E en todas sus instalaciones, gestionados a través de una única instancia de CV-CUE. El requisito era proporcionar WiFi de invitados (Guest WiFi) personalizado con captura de correo electrónico para marketing, aislado de la red del sistema de gestión hotelera (PMS), al mismo tiempo que se admitía 802.1X para los dispositivos del personal.

El equipo configuró tres SSIDs por propiedad: un SSID Guest (VLAN 10) que apuntaba a Purple, un SSID Staff (VLAN 20) que utilizaba 802.1X contra Microsoft Entra ID y un SSID IoT (VLAN 30) para dispositivos de gestión del edificio. El portal de Purple capturó las direcciones de correo electrónico de los huéspedes y su consentimiento en el momento del registro de entrada. En un plazo de 90 días, la cadena recopiló datos de origen (first-party data) verificados del 68 % de los huéspedes (datos internos de Purple), lo que permitió campañas de fidelización personalizadas. La red PMS permaneció completamente aislada, cumpliendo con los requisitos de PCI DSS para la segmentación del entorno de datos de los titulares de tarjetas.

Caso de éxito 2: Espacio de coworking multinquilino

Un operador de coworking que gestionaba ocho ubicaciones necesitaba proporcionar WiFi aislado a 35 empresas miembro por centro sin emitir 35 SSIDs. El entorno de radiofrecuencia (RF) ya estaba congestionado, y la proliferación de SSIDs estaba degradando el rendimiento para todos los miembros.

La solución fue un único SSID por centro utilizando Arista PPSK con Purple RADIUS. Cada empresa miembro recibió una frase de contraseña PPSK única. Purple asoció cada frase de contraseña a una VLAN dedicada (de la VLAN 100 a la VLAN 3500). Cuando un miembro se conectaba, el AP de Arista lo dirigía dinámicamente a su VLAN en función del Tunnel-Private-Group-ID devuelto por Purple RADIUS. El resultado fue una reducción de 35 SSIDs a uno por centro, una mejora medible en la eficiencia del tiempo de transmisión y un aislamiento completo de Capa 2 entre las empresas miembro. Cuando finalizaba el contrato de un miembro, el operador revocaba su frase de contraseña en el portal de Purple, cancelando el acceso en cuestión de segundos.

Resolución de problemas y mitigación de riesgos

Problema: La página de bienvenida no se carga en dispositivos Apple. iOS utiliza un mecanismo específico para detectar captive portals. Si la página de bienvenida no se carga automáticamente, verifique que el Walled Garden de Arista incluya todos los dominios CDN de Purple. Si el Walled Garden es demasiado restrictivo, el dispositivo iOS no podrá cargar los recursos del portal y anulará la conexión.

Problema: La aleatorización de la dirección MAC impide reconocer a los invitados que regresan. Los dispositivos con iOS 14+ y Android 10+ aleatorizan su dirección MAC por SSID. Esto impide que Purple reconozca a un invitado que regresa basándose únicamente en su dirección MAC. Dependa de la identidad autenticada (correo electrónico o inicio de sesión social) para el seguimiento a largo plazo. Para una reconexión segura y sin interrupciones sin un captive portal, migre a arquitecturas Passpoint/Hotspot 2.0.

Problema: El direccionamiento dinámico de VLAN falla con PPSK. Si se asigna a los inquilinos la VLAN predeterminada en lugar de su VLAN específica, verifique la respuesta RADIUS mediante las herramientas de resolución de problemas de Arista CV-CUE. Asegúrese de que Purple devuelva los atributos Tunnel-Private-Group-ID, Tunnel-Type y Tunnel-Medium-Type correctos, y que la VLAN especificada exista en el puerto del conmutador conectado al AP de Arista.

Problema: Agotamiento del grupo DHCP en la VLAN de invitados. Reduzca el tiempo de espera de inactividad a 5-10 minutos en entornos de gran afluencia. Aumente el tamaño del alcance de DHCP si el recinto supera habitualmente el 80% de utilización del grupo. Considere la posibilidad de utilizar una subred /22 o superior para recintos de alta densidad como estadios o centros de conferencias.

Problema: Los datos de contabilidad de RADIUS muestran sesiones de cero segundos. Verifique que el puerto UDP 1813 esté abierto en el cortafuegos entre los AP de Arista y los servidores RADIUS de Purple. Confirme que el intervalo de contabilidad (Accounting Interval) esté configurado en 2 minutos en los ajustes de SSID de CV-CUE.

Para obtener orientación relacionada sobre la visualización inalámbrica y las mejores prácticas de protocolos en entornos empresariales, consulte What Is Wireless Display: Protocols and Best Practices 2026 .

ROI e impacto empresarial

La implementación de Arista Cognitive Wi-Fi con Purple transforma un centro de costes de red en un activo empresarial medible. Al aplicar un captive portal que cumpla con la normativa, se mitiga el riesgo de multas de GDPR, que pueden alcanzar el 4% de la facturación anual global. Lo que es más importante, el portal de Guest WiFi captura datos de origen (first-party) verificados. Purple ha recopilado 29.000 millones de puntos de datos en toda su red (datos internos de Purple), lo que demuestra la escala de lo que puede generar una arquitectura de guest WiFi correctamente desplegada.

Para los establecimientos de Retail , estos datos se integran directamente en los sistemas CRM, lo que permite realizar campañas de marketing específicas basadas en la frecuencia de las visitas y el tiempo de permanencia. Para los operadores de Hospitality , permite volver a interactuar de forma personalizada con los huéspedes que regresan. Para los centros de Transport , proporciona datos precisos sobre el flujo de pasajeros que sirven de base para las decisiones operativas. Para los centros de Healthcare , garantiza que los pacientes y visitantes reciban el acceso a la red adecuado, mientras que los sistemas clínicos permanecen completamente aislados.

La plataforma Purple funciona con un tiempo de actividad del 99,999 % (datos internos de Purple), lo que garantiza que el acceso de los invitados nunca se vea interrumpido por problemas de disponibilidad de la plataforma. En combinación con la infraestructura gestionada en la nube de Arista, se obtiene una arquitectura de extremo a extremo que se escala desde un único establecimiento hasta más de 80 000 ubicaciones sin necesidad de realizar cambios de arquitectura.

Para obtener un contexto de integración adicional, consulte nuestra guía sobre la integración de puntos de acceso empresariales y NETGEAR Insight con Purple WiFi . Para los operadores de establecimientos que evalúan herramientas de encuestas para complementar sus análisis de WiFi, consulte Diseño de una encuesta: guía práctica para establecimientos .