Aruba Central y Purple WiFi: integración gestionada en la nube

Aruba Central y Purple WiFi: integración gestionada en la nube. Una sesión informativa para líderes de TI. Bienvenidos. Si gestiona WiFi para invitados en múltiples establecimientos y utiliza Aruba Central, este episodio le interesa directamente. Le explicaré exactamente cómo se integra Purple con Aruba Central: la arquitectura, los pasos de configuración, los patrones de despliegue multisitio y los errores comunes que suelen cometer los equipos. Se trata de una sesión práctica, no de una presentación comercial. Comencemos. Sección uno: Contexto y por qué es importante. Aruba Central es la plataforma de gestión de redes en la nube de HPE. Es el plano de control para decenas de miles de puntos de acceso Aruba Instant desplegados en hoteles, cadenas de tiendas, estadios, centros de conferencias y edificios del sector público. Si ha migrado de los controladores locales de Aruba (los Mobility Controllers o Mobility Conductors) a Central, ya habrá experimentado el cambio de una configuración basada en CLI y específica para cada sitio a una gestión de políticas basada en grupos y distribuida desde la nube. Ese cambio modifica fundamentalmente la forma de integrar una plataforma de WiFi para invitados como Purple. En un controlador local tradicional de Aruba, configuraría la redirección del portal cautivo y la autenticación RADIUS directamente en el propio controlador. El controlador era el punto de aplicación de las políticas y se encontraba en su centro de datos o sala de comunicaciones. Con Aruba Central, la aplicación de las políticas sigue realizándose en el punto de acceso, pero la configuración se envía desde la nube. Esto significa que los puntos de contacto de la integración son diferentes. Ahora trabaja con plantillas de grupo, perfiles de SSID y objetos de perfil de Captive Portal externo que residen en la jerarquía de configuración de Central, no en un equipo físico en un rack. Purple se sitúa por encima de todo esto como una plataforma de inteligencia de WiFi para invitados alojada en la nube. Proporciona el portal cautivo (la página de inicio que ven los invitados), gestiona la lógica de autenticación, captura datos de primera mano con consentimiento y envía análisis a sus equipos de marketing y operaciones. La pregunta es: ¿cómo conectar estas dos plataformas en la nube de forma limpia, a escala y en cientos de sitios potenciales? Sección dos: La arquitectura técnica. Permítame describir el flujo de datos cuando se conecta un invitado. El dispositivo de un invitado se asocia con su SSID de invitados (llamémoslo Hotel-Guest), que es emitido por un AP Aruba Instant. El AP ha sido configurado, a través de Aruba Central, con un perfil de Captive Portal externo. Ese perfil contiene dos datos críticos: la URL de redirección, que apunta al servidor del portal cautivo de Purple, y los detalles del servidor RADIUS, que apuntan al endpoint de RADIUS-as-a-Service de Purple. Cuando el invitado abre un navegador, el AP intercepta la solicitud HTTP y la redirige a la página de inicio de Purple. El invitado se autentica (a través de redes sociales, correo electrónico, SMS o un formulario personalizado, según su configuración de Purple). El backend de Purple envía un mensaje RADIUS Access-Accept de vuelta al AP, que concede al invitado acceso a Internet y lo mueve del rol de preautenticación al rol de invitado autenticado. Los paquetes de contabilidad RADIUS fluyen durante toda la sesión, lo que permite a Purple conocer la duración de la sesión y el uso de datos. Ahora bien, la diferencia clave con respecto al entorno local de Aruba: en Aruba Central, usted configura el perfil de Captive Portal externo una sola vez a nivel de grupo, y este se propaga a todos los AP de ese grupo. No tiene que tocar los AP de forma individual. Esto es enormemente potente para despliegues multisitio, pero requiere definir correctamente la estructura de grupos antes de empezar. Aruba Central organiza los dispositivos en grupos y, dentro de los grupos, puede tener sitios. Un grupo es la unidad de configuración: los SSID, los perfiles de radio y las políticas de seguridad residen a nivel de grupo. Los sitios son la unidad de ubicación y monitorización. Para una cadena hotelera, una estructura lógica es tener un grupo por tipo de propiedad (por ejemplo, hoteles de servicio completo y propiedades económicas), con cada hotel físico como un sitio independiente dentro del grupo correspondiente. La configuración de Purple se asigna entonces a los grupos: un perfil de Captive Portal externo por grupo, que apunta al mismo endpoint RADIUS de Purple, pero potencialmente con diferentes temas de página de inicio por sitio utilizando la personalización a nivel de establecimiento de Purple. El walled garden es un elemento de configuración crítico en el que los equipos suelen equivocarse. Antes de que un invitado se autentique, el AP solo permite el tráfico DNS y DHCP, además de los dominios que usted incluya explícitamente en la lista blanca. Para que Purple funcione, debe incluir en la lista blanca el dominio del portal cautivo de Purple, cualquier dominio de CDN que Purple utilice para sus recursos y los dominios de los proveedores de inicio de sesión social si utiliza la autenticación social (Facebook, Google, Apple). Si falta un dominio, la página de inicio se cargará parcialmente o la autenticación fallará silenciosamente. La documentación de soporte de Purple proporciona la lista actualizada del walled garden, y conviene tratarla como un documento vivo que debe revisar cada vez que Purple actualice su plataforma. Sección tres: La superficie de la API de Aruba Central para la automatización. Si va a realizar un despliegue en más de veinte sitios, la configuración manual a través de la interfaz de usuario de Central se convierte en un cuello de botella. Aruba Central ofrece una API REST completa (la API de Central) que le permite automatizar la creación de SSID, la asignación de perfiles de portal cautivo y la configuración del walled garden. La API se autentica mediante OAuth 2.0 y deberá generar las credenciales de la API desde el portal de Central. Los endpoints clave de la API para una integración con Purple son: el endpoint de configuración de WLAN, que permite crear y actualizar perfiles de SSID; el endpoint de perfil de Captive Portal externo, que es donde se definen la URL de redirección de Purple y los detalles del servidor RADIUS; y los endpoints de gestión de sitios y grupos, que permiten asignar dispositivos a sitios y grupos de forma programada. Si va a incorporar un nuevo establecimiento, puede escribir un script que cree el sitio en Central, asigne los AP al sitio, aplique la plantilla de grupo correcta y configure el perfil de portal cautivo específico de Purple, todo ello sin tocar la interfaz de usuario. Purple también ofrece su propia API, que permite crear registros de establecimientos, configurar temas de páginas de inicio y extraer datos analíticos. Una integración madura utilizará ambas API conjuntamente: la API de Central para gestionar la capa de red y la API de Purple para gestionar la capa de experiencia del invitado. Este es el patrón que utilizan las grandes cadenas de tiendas y grupos hoteleros cuando incorporan decenas de nuevos sitios cada trimestre. Sección cuatro: Configuración paso a paso. Permítame guiarle a través de la secuencia de configuración para un único sitio, que luego podrá automatizar para escalar. Primero, en Aruba Central, navegue a su grupo de destino y abra la configuración de WLAN. Cree un nuevo SSID (por ejemplo, Venue-Guest) y establezca el nivel de seguridad en Visitantes. Esta es la terminología de Aruba para una red abierta o autenticada mediante portal cautivo. Segundo, en la pestaña Seguridad, establezca el tipo de Splash Page en Captive Portal externo. Cree un nuevo perfil de Captive Portal externo. Asígnele un nombre descriptivo (por ejemplo, Purple-Guest-Portal). Establezca el tipo de autenticación en Autenticación RADIUS. Introduzca el nombre de host del servidor del portal cautivo de Purple en el campo IP o Nombre de host. Introduzca la URL de redirección. Habilite HTTPS. Establezca el comportamiento de fallo del Captive Portal en Denegar Internet, que es la opción predeterminada más segura. Tercero, configure el servidor RADIUS. En Central, vaya a la configuración del servidor de autenticación y añada el servidor RADIUS-as-a-Service de Purple. Necesitará la IP o el nombre de host del servidor, el secreto compartido (que se genera en la plataforma de Purple) y el puerto de autenticación, que es el estándar 1812, con la contabilidad en el 1813. Añada este servidor como servidor principal para su SSID de invitados. Cuarto, configure el walled garden. En las reglas de acceso del SSID, añada el dominio del portal cautivo de Purple y los dominios de inicio de sesión social a la lista de permitidos. Pruebe esto con cuidado: la falta de un dominio es la causa más común de fallos en la página de inicio. Quinto, guarde y aplique la configuración. Central enviará la configuración a todos los AP del grupo. Verifique en un dispositivo de prueba que la redirección se activa correctamente y que la autenticación se completa. Sección cinco: Patrones de despliegue multisitio. Para un despliegue en cincuenta o más sitios, se necesita un enfoque disciplinado. El patrón que recomiendo es: pilotar, crear plantillas, automatizar y validar. Realice un piloto en un solo sitio. Asegúrese de que la configuración sea exacta: el walled garden completo, el funcionamiento de RADIUS, la carga limpia de la página de inicio y el flujo de la contabilidad. Documente el valor de cada parámetro. A continuación, incorpore esa configuración a una plantilla de grupo de Central. La plantilla se convertirá en su fuente de información única. Para el despliegue, utilice la API de Central para aplicar la plantilla a los nuevos grupos a medida que incorpore sitios. Si su despliegue de Purple utiliza diferentes temas de página de inicio por marca o región, parametrice el perfil del portal cautivo: la URL de redirección puede incluir parámetros de consulta que Purple utiliza para ofrecer el tema correcto. Esto significa que puede tener un único endpoint RADIUS pero múltiples experiencias de página de inicio, todo gestionado de forma centralizada. Valide cada sitio después de la incorporación. Un script de validación sencillo que asocie un dispositivo de prueba, compruebe la redirección, se autentique y verifique el acceso a Internet detectará cualquier desviación en la configuración antes de que los invitados la experimenten. El panel de análisis de Purple también le mostrará si se están registrando las sesiones; si un sitio deja de reportar en Purple, esa es la señal de que algo falla en la capa de red. Sección seis: Errores de implementación. El walled garden es el punto de fallo número uno. Realice las pruebas con un dispositivo que no tenga sesiones de portal o DNS en caché. Utilice un perfil de navegador nuevo o el modo de incógnito. El segundo error es la discrepancia en el secreto compartido de RADIUS. El secreto que configure en Central debe coincidir exactamente con el secreto de la plataforma de Purple. Una diferencia de un solo carácter provocará fallos de autenticación silenciosos: el AP no recibirá respuesta del servidor RADIUS y denegará el acceso al invitado o, si ha configurado el modo de fallo del portal cautivo en Permitir Internet, concederá acceso sin autenticación, lo que supone un riesgo de cumplimiento normativo. El tercer error es la configuración incorrecta de la VLAN. El tráfico de invitados debe estar en una VLAN dedicada, aislada de su red corporativa. En Aruba Central, esto se configura en los ajustes de VLAN del perfil de SSID. Si su VLAN de invitados no está correctamente configurada en el puerto del switch de enlace ascendente, los AP se activarán pero los invitados no obtendrán direcciones DHCP. El cuarto error es la confianza del certificado en la redirección del portal cautivo. Los navegadores y sistemas operativos modernos son cada vez más estrictos con la aplicación de HTTPS. El servidor del portal cautivo de Purple utiliza un certificado TLS válido, pero si su walled garden bloquea los endpoints OCSP o CRL que el cliente utiliza para validar el certificado, verá errores de certificado en la página de inicio. Añada esos endpoints a su walled garden. Sección siete: Preguntas rápidas. ¿Funciona Purple con la arquitectura AOS-10 de Aruba Central al igual que con AOS-8? Sí. El mecanismo del portal cautivo externo es consistente en ambas versiones de firmware. La ruta de la interfaz de usuario difiere ligeramente, pero los objetos de configuración subyacentes son los mismos. ¿Puedo utilizar el servicio RADIUS-as-a-Service de Purple sin tener mi propia infraestructura RADIUS? Sí, ese es el objetivo. El servicio RADIUS-as-a-Service de Purple es un servidor RADIUS alojado en la nube al que apunta sus AP de Aruba. No necesita FreeRADIUS ni Cisco ISE de forma local. ¿Admite esta integración WPA3? Aruba Central admite WPA3 en AP compatibles, y puede habilitar el modo de transición WPA3 en su SSID de invitados. El mecanismo de portal cautivo de Purple es independiente de la capa de cifrado: funciona a nivel de redirección HTTP, no a nivel de asociación 802.11. ¿Cumplen con el GDPR los datos que recopila Purple? Purple está diseñado teniendo el cumplimiento del GDPR como un requisito fundamental. La página de inicio presenta un mecanismo de consentimiento, y el tratamiento de datos de Purple se rige por el acuerdo de tratamiento de datos que tenga con ellos. Para los establecimientos de la UE, asegúrese de que su configuración de Purple incluya el texto de consentimiento adecuado y de que el acuerdo de tratamiento de datos esté firmado antes de la puesta en marcha. Sección ocho: Resumen y siguientes pasos. En resumen: Aruba Central y Purple se integran a través del mecanismo de Captive Portal externo, y la autenticación RADIUS la gestiona el servicio RADIUS en la nube de Purple. La configuración reside a nivel de grupo en Central y se propaga a todos los AP del grupo, lo que constituye la diferencia arquitectónica clave con respecto al entorno local de Aruba. Para despliegues multisitio, utilice la API de Central para automatizar el aprovisionamiento y trate la configuración de su sitio piloto como la plantilla para todo lo que venga a continuación. Sus siguientes pasos inmediatos: primero, confirme que la estructura de grupos de Aruba Central se corresponde con la jerarquía de establecimientos de Purple. Segundo, obtenga la lista actual de dominios del walled garden de Purple y los detalles del endpoint RADIUS desde el portal de soporte de Purple. Tercero, realice un piloto en un solo sitio y valide todo el flujo de autenticación antes de escalar. Cuarto, cree sus scripts de automatización utilizando la API de Central y la API de Purple en paralelo. Si está evaluando Purple por primera vez, las páginas de WiFi para invitados y de la plataforma de análisis en purple dot ai le ofrecerán una imagen clara de lo que obtiene más allá del portal cautivo: la captura de datos de primera mano, la automatización de marketing y el análisis de afluencia. Ese es el caso de negocio que justifica la financiación de este proyecto. Gracias por escuchar. Si tiene preguntas sobre esta integración, el equipo de soluciones de Purple puede guiarle a través de una prueba de concepto adaptada a su entorno específico de Aruba Central.