Ver transcripción del podcast
Bienvenido a la sesión informativa. Hoy analizaremos la integración de Arista Cognitive Wi-Fi con la plataforma Purple. Esta es una sesión para consultores sénior, dirigida directamente a arquitectos de redes empresariales y administradores de sistemas en la nube que necesitan realizar esta implementación correctamente a la primera.
Pongámonos en situación. Arista Cognitive Wi-Fi, gestionado a través de la plataforma CloudVision Cognitive Unified Edge, es una infraestructura inalámbrica gestionada en la nube que admite implementaciones de redes de invitados y personal de nivel empresarial. Purple es una capa superpuesta en la nube, independiente del hardware, que proporciona el portal de invitados, la captura de identidad, la autenticación RADIUS y la capa de análisis. Al combinar ambos, se obtiene una arquitectura de WiFi para invitados completa, compatible y de gran valor comercial. Analicemos el funcionamiento técnico.
Lo primero que hay que entender es el flujo de incorporación del Captive Portal. Cuando un dispositivo de invitado se asocia con el SSID de invitados abierto en un punto de acceso Arista, el AP coloca inmediatamente ese dispositivo en una VLAN de autenticación previa. En este estado, el dispositivo tiene una dirección IP asignada por DHCP, pero su tráfico DNS y HTTP está muy restringido. El sistema operativo del dispositivo, ya sea iOS, Android o Windows, realiza una sonda de detección de Captive Portal. iOS envía una solicitud HTTP a captive.apple.com. Android sondea connectivitycheck.gstatic.com. El AP de Arista intercepta esta solicitud y devuelve un redireccionamiento 302, que apunta al dispositivo a la URL de la página de inicio de Purple.
Aquí es donde fallan la mayoría de las implementaciones. Para que ese redireccionamiento funcione y para que la página de inicio realmente se renderice, es necesario configurar el Walled Garden correctamente en Arista CV-CUE. El Walled Garden es una lista de permitidos explícita. En el estado de autenticación previa, todo el tráfico se descarta por defecto. Debe incluir en la lista blanca todos los dominios necesarios para cargar el portal. Como mínimo, esto significa los dominios principales de Purple: region1.purpleportal.net, venuewifi.com y cloudfront.net. Si ofrece inicio de sesión social a través de Google Workspace, debe agregar accounts.google.com y sus rangos de CDN asociados. Para Facebook, necesita facebook.com, fbcdn.net y akamaihd.net. Si omite alguno de estos, el invitado verá una pantalla en blanco o un botón de inicio de sesión que no para de girar. Se marcharán y perderá la oportunidad de capturar datos.
Permítame guiarle a través de la configuración de RADIUS en CV-CUE. Vaya a Configure, luego a Network Profiles y después a RADIUS. Haga clic en Add RADIUS Server. Introduzca la dirección IP del servidor RADIUS primario de Purple, configure el Authentication Port en 1812, el Accounting Port en 1813 e introduzca el secreto compartido proporcionado por Purple. Repita este proceso para el servidor secundario. Esta redundancia es fundamental. Si el servidor primario no está disponible, el secundario toma el control sin interrumpir el acceso de los invitados.
Una vez guardados los perfiles RADIUS, vaya a Configure, luego a WiFi, después a SSID, y haga clic en Add New SSID. Dé un nombre a su SSID, configure el tipo como Guest, y en la pestaña Security, configure el nivel de seguridad como Open. Esto es lo correcto para un despliegue de Captive Portal. En la pestaña Captive Portal, active la casilla de verificación Captive Portal, seleccione Third-Party Hosted en el menú desplegable Cloud Hosted, y marque la casilla With RADIUS Authentication. Pegue la URL de la página de inicio de Purple en el campo Splash Page URL. Esto suele tener el formato https://region1.purpleportal.net/access/. Introduzca el secreto compartido. A continuación, en la sección de sitios web a los que los usuarios pueden acceder antes de iniciar sesión, añada sus dominios de Walled Garden. Configure el formato de Called Station ID como percent-m, lo que envía la dirección MAC en el formato que Purple espera. Configure el Accounting Interval a 2 minutos. Desactive la casilla de verificación HTTPS Redirection. Guarde el SSID. Se propagará a sus puntos de acceso Arista en cuestión de minutos.
Ahora hablemos de lo que ocurre después de que el invitado envíe sus datos en el portal de Purple. Purple actúa como el servidor RADIUS. Valida la identidad, captura el consentimiento y envía un mensaje RADIUS Access-Accept de vuelta al punto de acceso de Arista. Pero aquí está la pieza clave: ese mensaje Access-Accept contiene atributos de Change of Authorisation, definidos en RFC 3576. Estos atributos indican al punto de acceso de Arista que realice una transición dinámica de ese cliente específico desde el estado restringido de autenticación previa a la VLAN de autenticación posterior con acceso completo a Internet. Al mismo tiempo, el punto de acceso envía un mensaje RADIUS Accounting-Start a Purple en el puerto 1813. Esto inicia el temporizador de la sesión y envía los datos de duración de la sesión al panel de análisis de Purple.
Pasemos al caso de uso más avanzado: WiFi multiinquilino utilizando claves privadas previamente compartidas de Arista, o PPSK. Esta es la arquitectura que busca para espacios de coworking, centros comerciales, edificios residenciales o cualquier entorno en el que disponga de múltiples grupos de usuarios distintos que necesiten un aislamiento de red estricto.
El problema de los enfoques tradicionales es que la emisión de un SSID independiente para cada inquilino genera un enorme consumo de recursos de RF. Cada SSID requiere tramas de baliza (beacon frames). En un entorno denso con 20 inquilinos, eso supone 20 SSIDs consumiendo tiempo de transmisión. PPSK resuelve esto de forma elegante. Se emite un único SSID. Sin embargo, en el portal de Purple, a cada inquilino se le asigna una contraseña única. Cuando un usuario se conecta, el punto de acceso de Arista autentica esa contraseña con el servidor RADIUS de Purple. Purple busca la contraseña, identifica al inquilino asociado y devuelve un mensaje Access-Accept. Pero lo más importante es que añade tres atributos RADIUS: Tunnel-Type, configurado como VLAN; Tunnel-Medium-Type, configurado como 802; y Tunnel-Private-Group-ID, configurado con el ID de VLAN específico del inquilino. El punto de acceso de Arista lee estos atributos y dirige dinámicamente al cliente a la VLAN correcta. El inquilino A, utilizando su contraseña, accede a la VLAN 100. El inquilino B accede a la VLAN 200. Están completamente aislados en la Capa 2. No pueden ver los dispositivos, impresoras o servidores de los demás.
Esto es Identity-Based Networking en la práctica. La identidad de la frase de paso determina el segmento de red. Se gestiona de forma centralizada a través de Purple, por lo que cuando un inquilino se marcha, se revoca su frase de paso en el portal de Purple y el acceso se interrumpe de inmediato. No se requieren cambios en la infraestructura de Arista.
Ahora, hablemos de la red WiFi segura para el personal mediante IEEE 802.1X. Para el SSID de su personal, no debería utilizar una frase de paso compartida. Debería utilizar 802.1X con EAP, Extensible Authentication Protocol. En CV-CUE, cree un nuevo SSID corporativo. En la pestaña Seguridad, seleccione WPA2-Enterprise o WPA3-Enterprise. Seleccione su perfil RADIUS, que debe apuntar a su proveedor de identidad corporativo, como Microsoft Entra ID u Okta. Cuando un miembro del personal se conecta, su dispositivo presenta las credenciales al AP de Arista, que las reenvía al servidor RADIUS a través de EAP. El proveedor de identidad valida las credenciales y devuelve un Access-Accept. Para la autenticación basada en certificados mediante EAP-TLS, el dispositivo presenta un certificado de cliente en lugar de un nombre de usuario y una contraseña, lo que elimina por completo el robo de credenciales como vector de ataque.
Permítame abordar la integración de Arista Cloud WIPS. El sistema de prevención de intrusiones inalámbricas de Arista funciona en segundo plano, escaneando en busca de puntos de acceso no autorizados y clientes no permitidos. En CV-CUE, navegue a Configurar, luego a WIPS y después a Prevención automática de intrusiones. Puede configurar el nivel de prevención desde Degradado hasta Bloqueado. Para despliegues empresariales, recomendamos el nivel Interrumpir como punto de partida, que interrumpe la comunicación no autorizada sin bloquearla por completo, reduciendo el riesgo de falsos positivos. También debe configurar la supervisión de VLAN en Configurar, luego en Dispositivo, después en Punto de acceso, seleccionando la pestaña Seguridad. Habilite la supervisión de VLAN de SSID para que los AP supervisen activamente sus VLAN asignadas en busca de actividad no autorizada.
Ahora, algunos errores de implementación que debe evitar. En primer lugar, el agotamiento del pool DHCP. En entornos con mucha afluencia, como tiendas minoristas o estadios, los dispositivos se conectan brevemente y se alejan. Si el tiempo de espera de inactividad se configura demasiado alto, esas sesiones permanecen activas, reteniendo las direcciones IP. Establezca el tiempo de espera de inactividad en CV-CUE en 10 minutos para tiendas minoristas, y en un mínimo de 5 minutos para recintos de eventos. Esto recupera de forma agresiva las IP y evita que el pool se agote.
En segundo lugar, la aleatorización de direcciones MAC. Desde iOS 14 y Android 10, los dispositivos aleatorizan su dirección MAC por SSID de forma predeterminada. Esto rompe cualquier arquitectura que dependa de las direcciones MAC para identificar a los invitados que regresan. La respuesta correcta es cambiar su modelo de identidad a credenciales autenticadas - la dirección de correo electrónico o el inicio de sesión de redes sociales capturado a través del portal de Purple. Para una reconexión fluida sin portal, la vía de migración a largo plazo es Passpoint, también conocido como Hotspot 2.0, que utiliza autenticación basada en certificados y elimina por completo el Captive Portal.
En tercer lugar, la redirección HTTPS. Al configurar el Captive Portal en CV-CUE, asegúrese de que la casilla de verificación Redirección HTTPS esté desactivada. Purple gestiona la sesión HTTPS de forma independiente. Habilitar la redirección HTTPS en el lado de Arista puede provocar errores de discordancia de certificados que impidan que el portal se cargue.
Pasemos a una ronda de preguntas y respuestas rápidas sobre escenarios habituales.
Pregunta: La página del portal de un invitado muestra una pantalla en blanco. ¿Dónde se debe mirar primero? Respuesta: En el Walled Garden. La causa suele ser casi siempre la falta de un dominio. Compruebe que todos los dominios de Purple y los dominios CDN del proveedor de identidad pertinentes estén en la lista blanca de CV-CUE.
Pregunta: Todos los usuarios de PPSK están aterrizando en la VLAN predeterminada. ¿Qué ocurre? Respuesta: El servidor RADIUS de Purple no está devolviendo el atributo Tunnel-Private-Group-ID. Compruebe la respuesta RADIUS en los registros de resolución de problemas de CV-CUE y verifique la asignación de VLAN en el portal de Purple.
Pregunta: Los datos de contabilidad de RADIUS en Purple muestran sesiones de cero segundos. ¿Cuál es el problema? Respuesta: Es probable que el puerto de contabilidad (Accounting Port) esté mal configurado o bloqueado. Verifique que el puerto 1813 esté abierto en el firewall entre los AP de Arista y los servidores RADIUS de Purple, y que el intervalo de contabilidad esté configurado en 2 minutos en los ajustes de SSID.
Para resumir los puntos clave de esta sesión técnica. Primero: el Walled Garden es una lista de permitidos explícita. Manténgala como una tarea operativa recurrente, no como una configuración única. Segundo: el mecanismo que concede el acceso es RADIUS Change of Authorization (CoA). Sin él, el portal se completa pero el invitado permanece bloqueado. Tercero: Arista PPSK con Purple RADIUS permite el redireccionamiento dinámico de VLAN para el aislamiento multi-inquilino en un único SSID, lo que elimina la sobrecarga de balizas (beacons). Cuarto: habilite siempre el aislamiento de clientes en los SSID de invitados para evitar el movimiento lateral. Quinto: la aleatorización de direcciones MAC exige un cambio hacia la autenticación basada en la identidad para obtener análisis precisos. Sexto: una integración correcta cumple con los requisitos de consentimiento de la GDPR y captura datos de origen que impulsan directamente el ROI de marketing.
Sus próximos pasos: recupere las direcciones IP y los secretos compartidos del servidor RADIUS de Purple en la página de configuración de hardware del portal de Purple. Configure los perfiles RADIUS en CV-CUE. Cree su lista de dominios en el Walled Garden. Implemente su SSID de invitados. Pruebe todo el flujo de autenticación desde un dispositivo móvil antes de lanzarlo a producción. Y si va a implementar entornos multi-inquilino, asigne los ID de VLAN de sus inquilinos en Purple antes de configurar las contraseñas PPSK.
Con esto concluye esta sesión técnica. Gracias por su atención.
