Cambium cnPilot y WiFi para invitados: configuración de Captive Portal con Purple

Integración de Cambium Networks cnPilot y cnMaestro con Purple WiFi. Información para consultores. Bienvenido. Si gestiona un entorno de Cambium Networks y le han pedido que ofrezca una experiencia de WiFi para invitados que recopile datos, impulse el marketing y cumpla las normativas, este documento es exactamente lo que necesita. Le explicaré cómo encajan los puntos de acceso Cambium cnPilot, el controlador en la nube cnMaestro y Purple WiFi. Analizaremos la arquitectura, el flujo de autenticación RADIUS, la configuración del walled garden, el WiFi seguro para el personal mediante 802.1X y la segmentación multi-inquilino utilizando la función ePSK de Cambium con asignación dinámica de VLAN. Tanto si gestiona un complejo hotelero, una cartera de tiendas, un centro de conferencias o un campus del sector público, los principios son los mismos. Vamos a ello. En primer lugar, una breve orientación sobre las dos plataformas. Cambium Networks fabrica la gama cnPilot de puntos de acceso WiFi para empresas (los modelos e410, e425H, e430H y e505 para despliegues en interiores y exteriores). Estos AP se gestionan de forma centralizada a través de cnMaestro, la plataforma de gestión en la nube de Cambium. cnMaestro le ofrece visibilidad centralizada, gestión de la configuración y actualizaciones de firmware en todo su parque de AP, ya sea un puñado de dispositivos en un único recinto o miles de AP en todo un territorio nacional. Purple WiFi es una plataforma empresarial de inteligencia de WiFi para invitados. Se encarga del Captive Portal (la página de bienvenida personalizada que ven los invitados al conectarse) y también actúa como servidor de autenticación RADIUS, motor de captura de datos y plataforma de automatización de marketing. Purple opera en más de 80.000 recintos activos y ha procesado 440 millones de inicios de sesión solo en 2024. La combinación de Cambium cnMaestro y Purple le ofrece una solución de WiFi para invitados de nivel de producción que es técnicamente sólida y comercialmente valiosa. Ahora, hablemos de la arquitectura de integración. El mecanismo principal es un redireccionamiento de Captive Portal combinado con la autenticación RADIUS. Así es como funciona el flujo en la práctica. El dispositivo de un invitado se asocia con su SSID de invitado. Ese SSID se configura en cnMaestro como una red abierta, sin clave precompartida para los invitados. El AP de Cambium intercepta la primera solicitud HTTP del dispositivo y lo redirige a la URL del Captive Portal de Purple. Este redireccionamiento se configura en cnMaestro dentro de los ajustes de Guest Access de la WLAN, donde se establece la URL de la página externa (External Page URL) para que apunte al endpoint del portal del recinto de Purple. A continuación, el invitado interactúa con el portal de Purple. Puede autenticarse mediante inicio de sesión social, correo electrónico, verificación por SMS o un formulario personalizado. Una vez que completa el flujo de autenticación, el backend de Purple envía un mensaje RADIUS Access-Accept de vuelta al AP de Cambium en el puerto UDP 1812. El AP pasa entonces el dispositivo del estado de preautenticación al acceso total a la red. Permítame guiarle por los pasos exactos de configuración en cnMaestro. Vaya a Configuration, luego a WiFi Profiles, y después a WLANs. Cree una nueva WLAN para su red de invitados. Defina el SSID (por ejemplo, "Hotel Guest WiFi") y establezca la seguridad en Open. En Guest Access, active la opción External Hotspot. Este es el ajuste clave que indica a cnMaestro que debe redirigir a los clientes no autenticados a un portal externo. Configure la External Page URL con la URL de su portal de establecimiento de Purple. Active la autenticación RADIUS e introduzca la dirección IP del servidor RADIUS de Purple, el secreto compartido y configure el puerto de autenticación en UDP 1812. Active la contabilidad RADIUS en el puerto UDP 1813; esto es fundamental para que el análisis de Purple funcione correctamente. Sin los registros de contabilidad, Purple no puede generar datos de sesión, métricas de tiempo de permanencia o análisis de frecuencia de visitas. Ahora, el walled garden. Esta es la lista de dominios y direcciones IP a los que los dispositivos de los invitados pueden acceder antes de autenticarse. Debe añadir a la lista de permitidos el dominio del portal de Purple y cualquier endpoint de CDN utilizado para ofrecer los recursos del portal. También debe añadir a la lista de permitidos los dominios de los proveedores de autenticación - si utiliza el inicio de sesión social a través de Google o Facebook, sus dominios OAuth deben estar en el walled garden. Un walled garden mal configurado es la causa más común de fallos en el Captive Portal. El dispositivo del invitado debe poder resolver el DNS y acceder al portal de Purple a través de HTTPS antes de poder autenticarse. En cnMaestro, el walled garden se configura en los ajustes de External Hotspot. Añada entradas para el dominio del portal de Purple, los dominios de los proveedores de inicio de sesión social y los dominios de las pasarelas de pago si ofrece planes de WiFi de pago. Pasemos ahora a la red WiFi segura para empleados mediante IEEE 802.1X. Para las redes de empleados, no se necesita un Captive Portal. Lo ideal es una autenticación basada en certificados o credenciales que se realice de forma silenciosa en el propio dispositivo. En cnMaestro, cree una WLAN independiente para los empleados. Establezca la seguridad en WPA2-Enterprise. Configure los datos del servidor RADIUS; de nuevo, la IP del servidor RADIUS de Purple en UDP 1812. Los dispositivos de los empleados se autentican mediante EAP-PEAP con credenciales de usuario y contraseña, o mediante EAP-TLS con certificados de dispositivo para garantizar el máximo nivel de seguridad. Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Esto significa que sus empleados pueden autenticarse en la red WiFi utilizando sus credenciales corporativas existentes, sin necesidad de gestionar una contraseña de WiFi independiente. Purple valida las credenciales con su proveedor de identidad y devuelve un Access-Accept al AP de Cambium. La asignación dinámica de VLAN ubica entonces el dispositivo autenticado del empleado en la VLAN de empleados correcta, manteniéndolo aislado del tráfico de invitados. Veamos ahora la segmentación multiinquilino mediante Cambium ePSK. ePSK (enhanced pre-shared key) es la implementación de Cambium de lo que el sector denomina PPSK o iPSK. El concepto es sencillo: en lugar de una contraseña compartida para todo un SSID, cada usuario o inquilino obtiene su propia contraseña única. Todos se conectan al mismo SSID, pero cada clave única se asocia a una VLAN específica, lo que le ofrece aislamiento de red sin la complejidad de gestionar múltiples SSIDs. cnMaestro admite hasta 2.000 entradas ePSK por WLAN. A cada ePSK se le puede asignar un ID de VLAN específico, un límite de velocidad y una fecha de caducidad. Esto lo hace ideal para entornos multi-inquilino - piense en un centro de conferencias donde cada expositor tiene su propio segmento de red aislado, o un edificio residencial de alquiler donde cada residente tiene su propia red de área privada. Para configurar ePSK en cnMaestro, vaya a Configuration, WiFi Profiles, WLANs. Cree una nueva WLAN. Establezca la seguridad en WPA2 Pre-Shared Key. Active la opción ePSK. A continuación, puede añadir entradas ePSK individuales de forma manual o utilizar la API de cnMaestro para aprovisionarlas mediante programación, que es el enfoque recomendado para implantaciones a gran escala. Para cada entrada ePSK, configure la contraseña, el ID de VLAN asignado y, opcionalmente, el límite de velocidad y la caducidad. Cuando un dispositivo se conecta utilizando esa contraseña, el AP de Cambium lo coloca automáticamente en la VLAN asignada. No se requiere RADIUS para el propio flujo ePSK - la asignación de VLAN la gestiona localmente el AP en función de la contraseña utilizada. Purple se integra con este modelo gestionando el ciclo de vida de ePSK a través de la API de cnMaestro. Purple puede aprovisionar nuevas entradas ePSK cuando se incorpora un nuevo inquilino, actualizar la asignación de VLAN, establecer fechas de caducidad y revocar el acceso cuando un inquilino se marcha. Esto elimina la gestión manual de cientos o miles de claves individuales. Bien, hablemos de lo que puede salir mal y de cómo evitarlo. El problema más común es el walled garden (entorno cerrado). Si las entradas del walled garden están incompletas, el redireccionamiento al Captive Portal nunca se completa. Los invitados ven un tiempo de espera de conexión agotado, no una página de inicio de sesión. Realice siempre las pruebas con un dispositivo nuevo - no con uno que se haya conectado previamente - y verifique que el portal de Purple se carga antes de la autenticación. Compruebe que la resolución DNS funciona para el dominio del portal de Purple desde el estado previo a la autenticación. Segundo: discrepancias en el secreto compartido de RADIUS. En grandes implantaciones con múltiples ubicaciones, es fácil que el secreto compartido esté configurado de forma diferente en cnMaestro en comparación con el que tiene registrado Purple. Verifique siempre el secreto compartido en ambos lados antes de la puesta en marcha. Utilice un secreto fuerte generado aleatoriamente - de al menos 32 caracteres - y guárdelo en un gestor de secretos, no en una hoja de cálculo. Tercero: contabilidad de RADIUS. No la pase por alto. Los registros de contabilidad son lo que utiliza Purple para crear análisis de sesión - tiempo de permanencia, frecuencia de visitas, tipo de dispositivo. Configure la contabilidad de RADIUS en el puerto UDP 1813 en cnMaestro. Sin ella, perderá el valor analítico que proporciona Purple. Es un paso de configuración que solo lleva cinco minutos. Cuarto: VLAN trunking. Para que la asignación dinámica de VLAN funcione, las VLAN deben estar en modo trunk en los puertos del switch que se conectan a sus AP de Cambium. Si la VLAN 100 para invitados no está permitida en el trunk, los invitados autenticados no obtendrán una dirección IP y parecerá que no tienen acceso a Internet incluso después de una autenticación exitosa. Verifique la configuración del trunk de su switch antes de realizar las pruebas. Quinto: conflictos de rango de VLAN de ePSK. Asegúrese de que su rango de VLAN de ePSK no entre en conflicto con las VLAN existentes en su red - especialmente las VLAN de gestión o las VLAN de infraestructura. Documente su asignación de VLAN antes de comenzar. Sexto: versión de firmware. Asegúrese de que sus AP cnPilot ejecuten la versión de firmware 6.0 o posterior para obtener un soporte completo de hotspot externo y funcionalidad ePSK. Las versiones de firmware anteriores tienen problemas conocidos con el comportamiento de redirección del Captive Portal. Ahora, algunas preguntas rápidas. ¿Puedo usar Purple con Cambium sin RADIUS, solo con una redirección simple? Sí, pero perderá la asignación dinámica de VLAN y los datos de contabilidad de sesión. Para cualquier cosa que vaya más allá de una página de bienvenida básica, se recomienda encarecidamente RADIUS. ¿Admite Purple WPA3 en los AP de Cambium? Sí. La autenticación basada en portal de Purple es compatible con WPA3-SAE en el SSID. El flujo de RADIUS es independiente del protocolo de seguridad inalámbrica. ¿Puedo ejecutar Purple en múltiples sitios de Cambium desde una sola cuenta de Purple? Absolutamente. La arquitectura multi-venue de Purple está diseñada exactamente para esto. Cada sitio se asocia a un punto de acceso en Purple, y las políticas de red de cnMaestro se escalan de forma limpia en todo un patrimonio nacional. ¿Cuántas entradas ePSK puede admitir cnMaestro? Hasta 2.000 por WLAN. Para despliegues que requieran más, utilice un enfoque basado en RADIUS para la gestión de claves. En resumen: la integración de Cambium cnMaestro y Purple WiFi es una arquitectura de eficacia probada que ofrece WiFi para invitados con captura de datos, autenticación RADIUS, segmentación dinámica de VLAN y analítica completa - todo gestionado de forma centralizada a través de la consola en la nube de cnMaestro. Los pasos clave para poner esto en marcha: configure su WLAN de invitados en cnMaestro con la opción de Hotspot Externo habilitada y la URL del portal de Purple configurada, añada los detalles del servidor RADIUS de Purple para la autenticación y la contabilidad, configure sus entradas de walled garden, verifique el VLAN trunking en sus switches y realice pruebas con un dispositivo nuevo antes de la puesta en marcha. Para despliegues multi-inquilino, configure ePSK en una WLAN dedicada, asigne ID de VLAN por inquilino y utilice la API de cnMaestro para la gestión del ciclo de vida a escala. El caso de ROI es sencillo. La plataforma de analítica de Purple convierte su WiFi para invitados de un centro de costes a un activo de datos de origen. Harrods logró un ROI de marketing de 57 veces con su despliegue de WiFi para invitados de Purple. AGS Airports generó un ROI del 842%. Combinado con la infraestructura de nivel empresarial de Cambium, obtiene una solución que se escala desde un único recinto hasta un patrimonio nacional sin cambios arquitectónicos. Para los siguientes pasos: obtenga los detalles del servidor RADIUS de Purple de su gestor de cuentas de Purple, abra la configuración de cnMaestro WLAN para su SSID de invitados y repase la lista de verificación de configuración. La mayoría de las implementaciones en un solo sitio se activan en un día. Gracias por escuchar. Si desea profundizar en el diseño de Captive Portal, la estrategia de segmentación de VLAN o la gestión del ciclo de vida de ePSK, la documentación y el equipo de soporte de Purple son el siguiente paso adecuado.