Aruba ClearPass vs. Purple WiFi: comparación de funciones y co-despliegue
Una guía técnica exhaustiva que detalla la arquitectura de co-despliegue de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en análisis junto con el NAC empresarial.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico profundo
- Arquitectura principal
- Flujo del Proxy RADIUS
- Asignación Dinámica de VLAN Basada en Roles
- Guía de Implementación
- Paso 1: Configurar los Servidores RADIUS de Purple en ClearPass
- Paso 2: Crear una Política de Enrutamiento RADIUS
- Paso 3: Definir el Servicio de Invitados
- Paso 4: Configurar el Walled Garden en el controlador
- Paso 5: Configurar la contabilidad de RADIUS
- Buenas prácticas
- Resolución de problemas y mitigación de riesgos
- Configuración incorrecta del Walled Garden
- Errores de tiempo de espera de RADIUS
- Discrepancia en el Secreto Compartido
- Sensibilidad a Mayúsculas y Minúsculas en el Nombre del Rol
- ROI e Impacto Comercial
- Referencias

Resumen ejecutivo
Para entornos empresariales con una gran inversión en infraestructura HPE Aruba, gestionar políticas complejas de acceso a la red y, al mismo tiempo, ofrecer una experiencia de WiFi para invitados fluida y rica en datos presenta un desafío arquitectónico importante. Mientras que Aruba ClearPass Policy Manager destaca en el control de acceso a la red (NAC) y la seguridad 802.1X para dispositivos corporativos, su Captive Portal integrado a menudo carece de la automatización de marketing avanzada y las analíticas que requieren los espacios modernos. Esta guía detalla cómo integrar Purple WiFi con ClearPass, lo que permite que cada plataforma se centre en sus puntos fuertes.
Al implementar ClearPass como un proxy RADIUS, se mantiene un registro de auditoría de seguridad unificado y una asignación dinámica de VLAN para dispositivos corporativos e IoT, mientras se delega la experiencia de incorporación de invitados en Purple. Este enfoque permite la captura de datos de primera mano de conformidad con el GDPR, analíticas detalladas de afluencia e integraciones con más de 400 conectores de marketing, todo ello sin tener que reemplazar su inversión existente en el NAC de Aruba. Este documento proporciona el diseño técnico para esta implementación conjunta, abarcando la arquitectura, los flujos de trabajo de configuración y las mejores prácticas.
Análisis técnico profundo
La integración de Aruba ClearPass y Purple WiFi se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP, estructurados en torno a una arquitectura de proxy RADIUS. Este diseño garantiza que ClearPass siga siendo el punto central de decisión de políticas para todo el acceso a la red, mientras que Purple gestiona el Captive Portal orientado al invitado y la recopilación de datos.
Arquitectura principal
En una implementación conjunta estándar, sus Aruba Mobility Controllers o Aruba Instant Access Points emiten múltiples SSIDs. Un patrón de diseño típico, como se detalla en Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza tres redes dedicadas:
- SSID corporativo: Utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados provistos a través de ClearPass Onboard. ClearPass evalúa el estado de seguridad del dispositivo, consulta a Microsoft Entra ID o Active Directory y asigna el dispositivo a la VLAN corporativa (por ejemplo, VLAN 10). Purple no interviene en este flujo.
- SSID de IoT: Utiliza MAC Authentication Bypass (MAB). ClearPass perfila el dispositivo utilizando su identificador único de organización (OUI) y lo asigna a una VLAN de IoT aislada (por ejemplo, VLAN 30) sin acceso a internet.
- SSID de invitados: Una red abierta o con encriptación inalámbrica oportunista (OWE) que activa el Captive Portal de Purple.

Flujo del Proxy RADIUS
Cuando un visitante se conecta al SSID de invitados y abre un navegador, el controlador de Aruba intercepta el tráfico HTTP y redirige la sesión a la URL del Captive Portal de Purple. El visitante se autentica a través de Purple mediante inicio de sesión social, formularios personalizados u OpenRoaming (donde Purple actúa como un proveedor de identidad gratuito bajo el plan Connect).
Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept. Sin embargo, en lugar de que el controlador de Aruba se comunique directamente con los servidores RADIUS en la nube de Purple, ClearPass se integra como un proxy RADIUS:
- El controlador de Aruba envía todas las solicitudes RADIUS a ClearPass.
- ClearPass evalúa la solicitud con respecto a sus Reglas de Servicio. Si la solicitud coincide con el SSID de invitados (identificado por el
Called-Station-Ido el identificador NAS), la Política de Enrutamiento RADIUS reenvía la solicitud a los servidores RADIUS de Purple. - Purple responde con un mensaje Access-Accept.
- ClearPass recibe esta respuesta y aplica su propia Política de Aplicación (Enforcement Policy), añadiendo Atributos Específicos del Fabricante (VSAs) específicos antes de reenviar la respuesta final al controlador.
Asignación Dinámica de VLAN Basada en Roles
El VSA clave en esta arquitectura es Aruba-User-Role. Cuando ClearPass reenvía el mensaje Access-Accept al controlador, incluye este atributo para definir con precisión qué rol debe asumir el visitante en la red inalámbrica.
Por ejemplo, ClearPass puede devolver Aruba-User-Role = guest-authenticated. En el controlador de Aruba, este rol se asigna a la VLAN 20, que está configurada con políticas de firewall que permiten el acceso a internet pero bloquean el enrutamiento a las subredes corporativas internas. Esta segmentación es esencial para el cumplimiento de estándares como PCI-DSS [1].

Guía de Implementación
Desplegar esta arquitectura requiere una configuración precisa tanto en la infraestructura de Aruba como en ClearPass. Siga estos pasos independientes del fabricante para establecer la integración.
Paso 1: Configurar los Servidores RADIUS de Purple en ClearPass
Navegue a Configuración > Red > Dispositivos en ClearPass y añada los servidores RADIUS primario y secundario de Purple como dispositivos de red. Necesitará las direcciones IP y el secreto compartido proporcionados en su panel de configuración de ubicaciones de Purple.
Paso 2: Crear una Política de Enrutamiento RADIUS
Crear una nueva Política de Enrutamiento RADIUS en ClearPass. Esta política determinará bajo qué condiciones se realiza el proxy de las solicitudes a Purple. Establezca los destinos principal y de respaldo en los servidores RADIUS de Purple que configuró en el Paso 1.
Paso 3: Definir el Servicio de Invitados
Crear un nuevo Servicio en ClearPass para la autenticación de invitados.
- Tipo: Aplicación RADIUS (Genérico)
- Reglas de servicio: Coinciden con el
Radius:IETF:Called-Station-Idque contiene el nombre de su SSID de invitados. - Política de enrutamiento: Seleccione la política creada en el Paso 2.
- Política de aplicación: Configure una política para devolver el VSA
Aruba-User-Rolecon el valor correspondiente a su rol de invitado en el controlador Aruba.
Paso 4: Configurar el Walled Garden en el controlador
El walled garden es una lista de dominios a los que un dispositivo puede acceder antes de la autenticación. Esto se configura en el controlador Aruba (o mediante reglas de acceso en ArubaOS 10). Debe incluir los dominios principales de Purple:
*.purple.ai*.cloudfront.net*.venuewifi.com
Si va a habilitar los inicios de sesión con redes sociales, también debe agregar los dominios de OAuth para cada proveedor (por ejemplo, *.facebook.com, *.google.com, *.microsoftonline.com).
Paso 5: Configurar la contabilidad de RADIUS
Asegúrese de que la contabilidad de RADIUS también se esté enviando a través de un proxy mediante ClearPass a Purple. Purple utiliza los datos de contabilidad (Acct-Start, Acct-Interim-Update, Acct-Stop) para realizar el seguimiento de la duración de la sesión y completar su panel de control de analíticas de WiFi (/guest-wifi-marketing-analytics-platform). Establezca el intervalo de contabilidad en 5 minutos en el controlador Aruba.
Buenas prácticas
Para garantizar una implementación sólida y constante, siga estas recomendaciones estándar del sector.
- Segregar el tráfico de forma estricta: Coloque siempre el tráfico de invitados en una VLAN dedicada sin ruta de acceso a los recursos corporativos. Este es un requisito fundamental para PCI DSS y la seguridad general de la red.
- Datos de contabilidad proxy: No descuide la contabilidad de RADIUS. Si los paquetes de contabilidad no llegan a Purple, sus informes de analíticas de afluencia y tiempo de permanencia estarán incompletos.
- Habilitar WISPr: En el perfil del Captive Portal del controlador Aruba, asegúrese de que WISPr (Wireless Internet Service Provider roaming) esté habilitado. Este protocolo permite que los sistemas operativos móviles detecten automáticamente el Captive Portal y muestren la pantalla de inicio de sesión sin problemas.
- Utilizar el consentimiento explícito de elección activa: Para cumplir con el GDPR, configure su portal de Purple para usar casillas de verificación de consentimiento explícito para las comunicaciones de marketing en lugar de casillas ya marcadas o consentimiento implícito [2].
Resolución de problemas y mitigación de riesgos
Incluso con una configuración cuidadosa, las integraciones pueden fallar. Estos son los modos de fallo más comunes y cómo resolverlos.
Configuración incorrecta del Walled Garden
Si el Captive Portal no se carga en el dispositivo de un visitante, la causa principal casi siempre es el walled garden. Los proveedores de inicio de sesión social actualizan con frecuencia sus rangos de IP de CDN y nombres de dominio. Trate el walled garden como una configuración en continuo cambio. Si falla un inicio de sesión social específico, utilice una captura de paquetes para identificar a qué dominio intenta acceder el dispositivo y agréguelo a la lista de permitidos.
Errores de tiempo de espera de RADIUS
El tiempo de espera de RADIUS predeterminado en la mayoría de los controladores Aruba es de 3 segundos. En una arquitectura proxy, la solicitud de autenticación debe viajar desde el AP al controlador, a ClearPass, a través de internet hasta la infraestructura en la nube de Purple y de regreso. En una red congestionada, este viaje de ida y vuelta puede superar fácilmente los 3 segundos, lo que hace que el controlador descarte la solicitud. Aumente el tiempo de espera de RADIUS en el controlador Aruba a al menos 10 segundos y configure la lógica de reintento.
Discrepancia en el Secreto Compartido
RADIUS depende de secretos compartidos para la seguridad. Si el secreto compartido entre el controlador Aruba y ClearPass, o entre ClearPass y Purple, no coincide exactamente, la autenticación fallará de forma silenciosa. Al visitante no se le mostrará ningún mensaje de error útil. Verifique siempre estos secretos carácter por carácter si la autenticación está fallando.
Sensibilidad a Mayúsculas y Minúsculas en el Nombre del Rol
El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluyendo mayúsculas y minúsculas. Si ClearPass devuelve guest-authenticated pero el controlador espera Guest-Authenticated, el visitante volverá al rol de inicio de sesión predeterminado y no tendrá acceso a internet.
ROI e Impacto Comercial
Implementar Purple WiFi en lugar de un Captive Portal local básico ofrece un valor comercial medible en múltiples departamentos.
- Impacto de Marketing: Al capturar datos de origen a través del portal, los establecimientos experimentan un aumento significativo en sus bases de datos de marketing. Por ejemplo, Harrods logró un ROI de marketing de 57 veces utilizando Purple para impulsar las suscripciones a programas de fidelización [3].
- Eficiencia Operativa: La arquitectura de proxy RADIUS reduce la carga operativa de TI. Los equipos de seguridad mantienen un único panel de control en ClearPass para todos los eventos de acceso a la red, lo que simplifica los informes de cumplimiento y la resolución de problemas.
- Monetización: Para los establecimientos de los sectores de transporte u hostelería , Purple permite modelos de ancho de banda por niveles. AGS Airports generó un ROI del 842% al implementar un nivel de WiFi premium de pago junto con un nivel básico gratuito [4].
Al implementar este despliegue conjunto, transformará su red de invitados de un centro de costes a un activo generador de ingresos, al tiempo que mantiene la rigurosa postura de seguridad que requiere la TI empresarial.
Referencias
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Caso de Estudio de WiFi para Invitados de Harrods." [4] Purple. "Caso de Estudio de WiFi para Invitados de AGS Airports."
Definiciones clave
Proxy RADIUS
Una arquitectura en la que un servidor intermedio (ClearPass) recibe solicitudes de autenticación de un dispositivo de red (controlador Aruba) y las reenvía al servidor backend adecuado (Purple), lo que permite al proxy inspeccionar, registrar o modificar el tráfico.
Se utiliza para mantener un único registro de auditoría de seguridad en ClearPass al tiempo que se permite que Purple gestione la autenticación de invitados.
Walled Garden
Un entorno limitado que controla el acceso de un usuario al contenido web antes de que se haya autorizado por completo en la red.
Esencial para los portales cautivos; el walled garden debe permitir el acceso a los dominios de alojamiento del portal y a los proveedores de inicio de sesión social para que la página de inicio de sesión pueda cargarse.
Atributo específico del proveedor (VSA)
Campos de datos personalizados dentro del protocolo RADIUS que permiten a los proveedores de hardware admitir funciones propietarias no definidas en los RFC estándar de RADIUS.
ClearPass utiliza el VSA "Aruba-User-Role" para indicar al controlador Aruba exactamente qué rol de firewall y qué VLAN asignar a un usuario invitado.
802.1X
Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.
El protocolo principal utilizado por ClearPass para proteger los dispositivos corporativos, normalmente utilizando EAP-TLS con certificados.
Captive Portal
Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.
Purple proporciona la interfaz de Captive Portal para capturar datos de visitantes, mostrar la imagen de marca y recopilar el consentimiento de marketing.
Bypass de autenticación MAC (MAB)
Una técnica que utiliza la dirección MAC de un dispositivo para autenticarlo en la red cuando el dispositivo no admite suplicantes 802.1X.
Utilizado por ClearPass para perfilar y autenticar dispositivos IoT sin interfaz de usuario directa, como televisiones inteligentes o termostatos, ubicándolos en una VLAN aislada.
Asignación dinámica de VLAN
El proceso de asignar automáticamente un dispositivo a una red de área local virtual específica en función de sus credenciales de autenticación o de su rol, en lugar del SSID al que se conectó.
Permite que una única infraestructura de red física segmente de forma segura el tráfico corporativo, de invitados y de IoT.
WISPr
Itinerancia del proveedor de servicios de Internet inalámbrico; un protocolo que permite a los dispositivos detectar automáticamente los portales cautivos.
Debe estar habilitado en el controlador Aruba para que los dispositivos móviles muestren automáticamente la pantalla de inicio de sesión de Purple al conectarse al WiFi de invitados.
Ejemplos prácticos
Un hotel de 500 habitaciones necesita desplegar una WiFi corporativa segura para el personal y un portal para invitados con marca personalizada y captura de datos para los visitantes, utilizando los controladores Aruba y ClearPass existentes.
Despliegue dos SSID: "Hotel_Corp" y "Hotel_Guest". Configure "Hotel_Corp" para la autenticación 802.1X contra Active Directory a través de ClearPass, asignando al personal la VLAN 10. Configure "Hotel_Guest" como una red abierta que redirija al Captive Portal de Purple. Configure ClearPass como un proxy RADIUS para el SSID de invitados, reenviando las solicitudes a Purple. Configure ClearPass para que devuelva el VSA "Aruba-User-Role" tras una autenticación correcta en Purple, asignando a los invitados a una VLAN 20 aislada.
Los visitantes se están conectando al SSID de invitados, pero la página del Captive Portal de Purple no se carga en sus dispositivos.
Revise y actualice la configuración del walled garden en el controlador Aruba. Asegúrese de que los dominios principales de Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estén explícitamente permitidos. Si el inicio de sesión social está habilitado, verifique que todos los dominios OAuth necesarios (por ejemplo, *.facebook.com, *.google.com) también estén incluidos en la lista de permitidos previa a la autenticación.
Preguntas de práctica
Q1. ¿Se ha configurado ClearPass para actuar como proxy de autenticación de invitados hacia Purple. El invitado se autentica correctamente en el portal de Purple, pero el controlador Aruba lo ubica en el rol predeterminado 'logon' sin acceso a internet en lugar del rol 'guest-access' previsto. ¿Cuál es el error de configuración más probable?
Sugerencia: Compruebe cómo ClearPass comunica la asignación de roles de vuelta al controlador.
Ver respuesta modelo
La distinción entre mayúsculas y minúsculas en el nombre del rol no coincide. El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba. Si hay una errata o una diferencia de mayúsculas (por ejemplo, 'Guest-Access' frente a 'guest-access'), el controlador no reconocerá el rol y colocará al usuario en el estado restringido predeterminado.
Q2. Una cadena de tiendas quiere desplegar Purple WiFi para analíticas de invitados, pero su equipo de seguridad insiste en que todos los eventos de autenticación de red se registren de forma centralizada en su sistema Aruba ClearPass existente para cumplir con las normativas. ¿Cómo debería diseñarse la arquitectura?
Sugerencia: Considere cómo fluye el tráfico RADIUS entre los puntos de acceso, ClearPass y Purple.
Ver respuesta modelo
Implemente una arquitectura de proxy RADIUS. Configure los controladores Aruba para enviar todas las solicitudes RADIUS a ClearPass. En ClearPass, cree una política de enrutamiento que reenvíe las solicitudes del SSID de invitados a los servidores RADIUS en la nube de Purple. Esto garantiza que Purple gestione el portal de invitados y las analíticas, mientras que ClearPass mantiene un registro de auditoría completo y centralizado de todos los eventos de autenticación.
Q3. Tras desplegar la integración, el equipo de marketing informa que el panel de analíticas de Purple muestra cero datos para el "tiempo de permanencia" de los visitantes, a pesar de que los invitados se conectan y usan internet con éxito. ¿Qué paso de configuración se omitió?
Sugerencia: Los cálculos del tiempo de permanencia requieren actualizaciones continuas sobre el estado de la sesión, no solo la autenticación inicial.
Ver respuesta modelo
La contabilidad RADIUS no se está enviando como proxy a Purple. Aunque el proxy de autenticación permite a los usuarios acceder a la red, Purple requiere paquetes de contabilidad RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular la duración de la sesión y el tiempo de permanencia. Debe asegurarse de que ClearPass esté configurado para enviar por proxy los datos de contabilidad a Purple y de que el controlador esté configurado para enviar actualizaciones provisionales (por ejemplo, cada 5 minutos).
Continúe leyendo esta serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.
Passpoint y OpenRoaming: Guía completa
Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.
Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior
Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.