Cambium Networks cnPilot and cnMaestro Integration with Purple WiFi

Esta guía de referencia detalla la integración de los puntos de acceso cnPilot y el controlador en la nube cnMaestro de Cambium Networks con la plataforma de inteligencia Purple WiFi. Cubre la arquitectura, la configuración del Captive Portal, los requisitos de walled garden, el Wi-Fi para personal mediante 802.1X y la segmentación dinámica de VLAN utilizando Cambium ePSK para entornos multi-inquilino.

📖 5 min de lectura📝 1,178 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Integración de Cambium Networks cnPilot y cnMaestro con Purple WiFi. Informe para consultores.

Bienvenido. Si gestionas un entorno de Cambium Networks y te han pedido que ofrezcas una experiencia de WiFi para invitados que recopile datos, impulse el marketing y cumpla con las normativas, este informe es exactamente lo que necesitas.

Te guiaré a través de cómo encajan los puntos de acceso Cambium cnPilot, el controlador en la nube cnMaestro y Purple WiFi. Analizaremos la arquitectura, el flujo de autenticación RADIUS, la configuración del walled garden (entorno cerrado), el acceso WiFi seguro para el personal mediante 802.1X y la segmentación multi-inquilino utilizando la función ePSK de Cambium con asignación dinámica de VLAN.

Tanto si gestionas un complejo hotelero, una cartera de tiendas minoristas, un centro de conferencias o un campus del sector público, los principios son los mismos. Vamos a ello.

En primer lugar, una breve orientación sobre ambas plataformas.

Cambium Networks produce la gama cnPilot de puntos de acceso WiFi empresariales: los modelos e410, e425H, e430H y e505 para despliegues en interiores y exteriores. Estos AP se gestionan de forma centralizada a través de cnMaestro, la plataforma de gestión en la nube de Cambium. cnMaestro te proporciona visibilidad centralizada, gestión de la configuración y actualizaciones de firmware en todo tu parque de AP, ya sea un puñado de dispositivos en un único recinto o miles de AP en un territorio nacional.

Purple WiFi es una plataforma empresarial de inteligencia de WiFi para invitados. Se encarga del Captive Portal —la página de bienvenida de marca que ven tus invitados al conectarse— y también actúa como servidor de autenticación RADIUS, motor de captura de datos y plataforma de automatización de marketing. Purple opera en más de 80.000 recintos activos y ha procesado 440 millones de inicios de sesión solo en 2024. La combinación de Cambium cnMaestro y Purple te ofrece una pila de WiFi para invitados de nivel de producción que es tanto técnicamente sólida como comercialmente valiosa.

Ahora, hablemos de la arquitectura de integración.

El mecanismo principal es un redireccionamiento de Captive Portal combinado con autenticación RADIUS. Así es como funciona el flujo en la práctica.

Un dispositivo de invitado se asocia con tu SSID de invitados. Ese SSID está configurado en cnMaestro como una red abierta, sin clave precompartida para los invitados. El AP de Cambium intercepta la primera solicitud HTTP del dispositivo y la redirige a la URL del Captive Portal de Purple. Este redireccionamiento se configura en cnMaestro dentro de los ajustes de Acceso de Invitados de la WLAN, donde se establece la URL de la página externa (External Page URL) apuntando al endpoint del portal de Purple de tu recinto.

A continuación, el invitado interactúa con el portal de Purple. Puede autenticarse mediante inicio de sesión social, correo electrónico, verificación por SMS o un formulario personalizado. Una vez completado el flujo de autenticación, el backend de Purple envía un mensaje RADIUS Access-Accept de vuelta al AP de Cambium en el puerto UDP 1812. El AP cambia entonces el dispositivo del estado de preautenticación al de acceso total a la red.

Permíteme guiarte por los pasos de configuración exactos en cnMaestro.

Navegue a Configuration, luego a WiFi Profiles y después a WLANs. Cree una nueva WLAN para su red de invitados. Establezca el nombre del SSID (por ejemplo, "Hotel Guest WiFi") y configure la seguridad como Open. En Guest Access, active la opción External Hotspot. Este es el ajuste clave que indica a cnMaestro que debe redirigir a los clientes no autenticados a un portal externo.

Establezca la External Page URL con la URL del portal de su establecimiento de Purple. Active la autenticación RADIUS e introduzca la dirección IP del servidor RADIUS de Purple, el secreto compartido y configure el puerto de autenticación en UDP 1812. Active el registro de actividad (accounting) de RADIUS en UDP 1813; esto es fundamental para que las analíticas de Purple funcionen correctamente. Sin estos registros, Purple no puede generar datos de sesión, métricas de tiempo de permanencia o análisis de frecuencia de visitas.

Ahora, el walled garden (entorno cerrado). Esta es la lista de dominios y direcciones IP a los que los dispositivos de los invitados pueden acceder antes de autenticarse. Debe incluir en la lista blanca el dominio del portal de Purple y cualquier punto de conexión CDN utilizado para cargar los recursos del portal. También debe incluir en la lista blanca los dominios de los proveedores de autenticación; si utiliza el inicio de sesión social a través de Google o Facebook, sus dominios de OAuth deben estar en el walled garden. Un walled garden mal configurado es la causa más común de fallos en el Captive Portal. El dispositivo del invitado necesita resolver el DNS y acceder al portal de Purple a través de HTTPS antes de poder autenticarse.

En cnMaestro, el walled garden se configura en los ajustes de External Hotspot. Añada entradas para el dominio del portal de Purple, los dominios de los proveedores de inicio de sesión social y los dominios de las pasarelas de pago si ofrece planes de WiFi de pago.

Ahora hablemos del WiFi seguro para el personal mediante IEEE 802.1X.

Para las redes del personal, no se requiere un Captive Portal. Lo que se necesita es una autenticación basada en certificados o credenciales que se realice de forma silenciosa en el propio dispositivo. En cnMaestro, cree una WLAN independiente para el personal. Configure la seguridad como WPA2-Enterprise. Configure los datos del servidor RADIUS; de nuevo, la IP del servidor RADIUS de Purple en UDP 1812. Los dispositivos del personal se autentican mediante EAP-PEAP con credenciales de usuario y contraseña, o mediante EAP-TLS con certificados de dispositivo para obtener el máximo nivel de seguridad.

Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Esto significa que su personal puede autenticarse en el WiFi con sus credenciales corporativas habituales, sin necesidad de gestionar una contraseña de WiFi independiente. Purple valida las credenciales con su proveedor de identidad y devuelve un Access-Accept al punto de acceso de Cambium. La asignación dinámica de VLAN sitúa entonces al dispositivo del personal autenticado en la VLAN de personal correcta, aislándolo del tráfico de invitados.

Por último, la segmentación multiinquilino mediante Cambium ePSK.

ePSK (enhanced pre-shared key) es la implementación de Cambium de lo que el sector denomina PPSK o iPSK. El concepto es sencillo: en lugar de una contraseña compartida para todo un SSID, cada usuario o inquilino obtiene su propia contraseña única. Todos se conectan al mismo SSID, pero cada clave única se asocia a una VLAN específica, lo que proporciona aislamiento de red sin la complejidad de gestionar múltiples SSIDs.

cnMaestro admite hasta 2.000 entradas ePSK por WLAN. A cada ePSK se le puede asignar un ID de VLAN específico, un límite de velocidad y una fecha de caducidad. Esto lo hace ideal para entornos multi-inquilino; piense en un centro de conferencias donde cada expositor obtiene su propio segmento de red aislado, o en un edificio residencial de alquiler donde cada residente dispone de su propia red de área privada.

Para configurar ePSK en cnMaestro, vaya a Configuración, Perfiles de WiFi, WLANs. Cree una nueva WLAN. Establezca la seguridad en WPA2 Pre-Shared Key. Active la opción ePSK. A continuación, puede añadir entradas ePSK individuales de forma manual o utilizar la API de cnMaestro para aprovisionarlas mediante programación, que es el método recomendado para despliegues a gran escala.

Para cada entrada ePSK, configure la contraseña, el ID de VLAN asignado y, opcionalmente, el límite de velocidad y la caducidad. Cuando un dispositivo se conecta utilizando esa contraseña, el AP de Cambium lo sitúa automáticamente en la VLAN asignada. No se requiere RADIUS para el propio flujo de ePSK: la asignación de VLAN la gestiona localmente el AP en función de la contraseña utilizada.

Purple se integra con este modelo gestionando el ciclo de vida de ePSK a través de la API de cnMaestro. Purple puede aprovisionar nuevas entradas ePSK cuando se incorpora un nuevo inquilino, actualizar la asignación de VLAN, establecer fechas de caducidad y revocar el acceso cuando un inquilino se marcha. Esto elimina la carga de trabajo manual que supone gestionar cientos o miles de claves individuales.

Bien, hablemos de lo que puede salir mal y de cómo evitarlo.

El error más común es el jardín vallado (walled garden). Si las entradas de su jardín vallado están incompletas, la redirección del Captive Portal nunca se completa. Los invitados ven un tiempo de espera de conexión agotado, no una página de inicio de sesión. Pruebe siempre con un dispositivo nuevo (no con uno que se haya conectado previamente) y verifique que el portal de Purple se carga antes de la autenticación. Compruebe que la resolución DNS funciona para el dominio del portal de Purple desde el estado de preautenticación.

Segundo: discrepancias en el secreto compartido de RADIUS. En grandes despliegues con múltiples ubicaciones, es fácil que un secreto compartido se configure de forma diferente en cnMaestro en comparación con el que Purple tiene registrado. Verifique siempre el secreto compartido en ambos lados antes de la puesta en marcha. Utilice un secreto fuerte generado aleatoriamente (de al menos 32 caracteres) y almacénelo en un gestor de secretos, no en una hoja de cálculo.

Tercero: contabilidad (accounting) de RADIUS. No la pase por alto. Los registros de contabilidad son lo que utiliza Purple para crear analíticas de sesión: tiempo de permanencia, frecuencia de visitas, tipo de dispositivo. Configure la contabilidad de RADIUS en el puerto UDP 1813 en cnMaestro. Sin ella, perderá el valor analítico que proporciona Purple. Es un paso de configuración que solo requiere cinco minutos.

Cuarto: trunking de VLAN. Para que la asignación dinámica de VLAN funcione, las VLAN deben estar configuradas como trunk en los puertos del switch que se conectan a sus puntos de acceso Cambium. Si la VLAN 100 para invitados no está permitida en el trunk, los invitados autenticados no obtendrán una dirección IP y parecerá que no tienen acceso a internet incluso tras una autenticación correcta. Verifique la configuración del trunk de su switch antes de realizar las pruebas.

Quinto: conflictos en el rango de VLAN de ePSK. Asegúrese de que su rango de VLAN de ePSK no entre en conflicto con las VLAN existentes en su red, especialmente las VLAN de gestión o de infraestructura. Documente su asignación de VLAN antes de comenzar.

Sexto: versión de firmware. Asegúrese de que sus AP cnPilot ejecuten la versión de firmware 6.0 o posterior para disponer de compatibilidad total con hotspot externo y funcionalidad ePSK. Las versiones de firmware anteriores presentan problemas conocidos con el comportamiento de redirección del Captive Portal.

Ahora, algunas preguntas rápidas.

¿Puedo usar Purple con Cambium sin RADIUS, solo con una redirección simple? Sí, pero perderá la asignación dinámica de VLAN y los datos de contabilidad de sesión. Para cualquier opción que vaya más allá de una página de bienvenida básica, se recomienda encarecidamente utilizar RADIUS.

¿Admite Purple WPA3 en los AP de Cambium? Sí. La autenticación basada en portal de Purple es compatible con WPA3-SAE en el SSID. El flujo de RADIUS es independiente del protocolo de seguridad inalámbrica.

¿Puedo ejecutar Purple en múltiples ubicaciones de Cambium desde una sola cuenta de Purple? Por supuesto. La arquitectura multi-venue de Purple está diseñada exactamente para esto. Cada sitio se asocia a un punto de acceso en Purple, y las políticas de red de cnMaestro se escalan fácilmente en todo un despliegue nacional.

¿Cuántas entradas ePSK admite cnMaestro? Hasta 2000 por WLAN. Para despliegues que requieran más, utilice un enfoque basado en RADIUS para la gestión de claves.

En resumen: la integración de Cambium cnMaestro y Purple WiFi es una arquitectura de eficacia probada que ofrece WiFi para invitados con captura de datos, autenticación RADIUS, segmentación dinámica de VLAN y analítica completa, todo gestionado de forma centralizada a través de la consola en la nube de cnMaestro.

Los pasos clave para poner esto en marcha: configure su WLAN de invitados en cnMaestro con la opción de Hotspot Externo activada y la URL del portal de Purple configurada, añada los detalles del servidor RADIUS de Purple para la autenticación y la contabilidad, configure sus entradas de walled garden, verifique el trunking de VLAN en sus switches y realice pruebas con un dispositivo nuevo antes del lanzamiento definitivo.

Para despliegues multiinquilino, configure ePSK en una WLAN dedicada, asigne ID de VLAN por inquilino y utilice la API de cnMaestro para la gestión del ciclo de vida a escala.

El caso de ROI es claro. La plataforma de analítica de Purple convierte su WiFi para invitados de un centro de costes a un activo de datos de origen. Harrods logró un ROI de marketing de 57 veces su inversión con su despliegue de WiFi para invitados de Purple. AGS Airports generó un ROI del 842 %. En combinación con la infraestructura de nivel empresarial de Cambium, obtendrá una solución que se escala desde un único recinto hasta un despliegue nacional sin cambios estructurales.

Para sus próximos pasos: solicite los detalles del servidor RADIUS de Purple a su gestor de cuentas de Purple, abra la configuración de WLAN de cnMaestro para su SSID de invitados y revise la lista de comprobación de configuración. La mayoría de las implementaciones en un solo sitio se activan en un día.

Gracias por su atención. Si desea profundizar en el diseño del Captive Portal, la estrategia de segmentación de VLAN o la gestión del ciclo de vida de ePSK, la documentación de Purple y el equipo de soporte son el siguiente paso adecuado.

Conclusiones clave

✓Integra los APs Cambium cnPilot con Purple WiFi utilizando redirección HTTP estándar y protocolos RADIUS.
✓Configura la redirección de Captive Portal en cnMaestro dentro de los ajustes de acceso de invitados de la WLAN (Guest Access).
✓Asegúrate de que el walled garden incluya los dominios de Purple y cualquier endpoint de proveedor de identidad requerido.
✓Habilita RADIUS Accounting en UDP 1813 para nutrir los paneles de analíticas de Purple con datos de sesión.
✓Proteja las redes de personal utilizando autenticación 802.1X, vinculando el acceso WiFi a las identidades corporativas.
✓Utiliza Cambium ePSK para entornos multiinquilino para segmentar de forma segura el tráfico en un solo SSID.
✓Automatiza la gestión del ciclo de vida de ePSK a través de la integración de Purple con la API de cnMaestro.

Resumen Ejecutivo

Para aquellos entornos empresariales que estandarizan su infraestructura con Cambium Networks, el despliegue de una solución de WiFi para invitados de nivel de producción requiere una integración estrecha entre la capa de acceso inalámbrico y la plataforma de gestión de identidades. Esta guía proporciona una estrategia definitiva para integrar los puntos de acceso Cambium cnPilot y el controlador en la nube cnMaestro con Purple WiFi. Al combinar el hardware escalable de Cambium con el Captive Portal, la autenticación RADIUS y las capacidades analíticas de Purple, los equipos de TI pueden transformar sus redes inalámbricas de un centro de costes a un activo estratégico. La arquitectura detallada aquí admite desde el acceso básico para invitados hasta la segmentación multiinquilino compleja mediante las claves precompartidas privadas (PPSK) de Cambium, ofreciendo una conectividad segura, compatible y rica en datos en entornos de hostelería, comercio minorista y sector público.

Análisis Técnico Detallado

La integración entre Cambium Networks y Purple se basa en protocolos estándar de redirección HTTP y RADIUS. Este enfoque independiente del proveedor garantiza una seguridad robusta, compatibilidad multiplataforma y una gestión centralizada a través de cnMaestro.

Arquitectura de Integración

El mecanismo principal consiste en un redireccionamiento de Captive Portal gestionado por el AP de Cambium, combinado con la autenticación RADIUS gestionada por Purple.

Cuando un dispositivo de invitado se asocia con un SSID de invitado abierto, el AP de Cambium intercepta la solicitud HTTP inicial. En lugar de enrutar el tráfico a Internet, el AP redirige el dispositivo a la URL del Captive Portal alojado de Purple. El invitado completa el flujo de autenticación en la página de inicio de Purple, que admite el inicio de sesión con redes sociales, el registro por correo electrónico y formularios personalizados de captura de datos.

Tras una autenticación correcta, el backend de Purple envía un mensaje RADIUS Access-Accept al AP de Cambium en el puerto UDP 1812. Este mensaje indica al AP que cambie el estado del dispositivo del cliente de un entorno limitado de preautenticación (walled garden) a un acceso total a la red. Simultáneamente, el AP envía datos de contabilidad RADIUS a Purple en el puerto UDP 1813, lo que alimenta los paneles de análisis de Purple con información sobre la duración de la sesión, el uso de datos y el tipo de dispositivo.

Requisitos de Walled Garden

El walled garden es un componente crítico del flujo del Captive Portal. Define las direcciones IP y los dominios específicos a los que puede acceder un dispositivo no autenticado. Si el walled garden está mal configurado, el dispositivo no podrá cargar el portal de Purple, lo que provocará un error de tiempo de espera en la conexión.

Para que la integración funcione, el walled garden debe incluir los dominios del portal de Purple, cualquier endpoint de la Content Delivery Network (CDN) que aloje recursos del portal y los dominios de cualquier proveedor de identidad compatible (como Facebook, Google o Microsoft Entra ID).

Segmentación Multitenant con Cambium ePSK

La implementación de Cambium de las Claves Precompartidas Privadas (Private Pre-Shared Keys), denominada comercialmente ePSK, permite a los arquitectos de red segmentar el tráfico de forma segura sin transmitir múltiples SSIDs.

Con ePSK, un único SSID admite hasta 2.000 contraseñas únicas. Cada contraseña se asocia a una VLAN específica. Cuando un usuario se conecta utilizando su clave única, el AP de Cambium asigna automáticamente su tráfico a la VLAN asignada. Esta función es de gran valor para entornos multitenant, como espacios de coworking o edificios residenciales, donde cada inquilino requiere un segmento de red aislado. Purple se integra con esta arquitectura gestionando el ciclo de vida de ePSK a través de la API de cnMaestro, automatizando el aprovisionamiento, la asignación de VLAN y la revocación de las credenciales de los inquilinos.

Guía de Implementación

La implementación de la integración entre Cambium y Purple requiere una configuración precisa en la consola de cnMaestro en la nube. Siga estos pasos para establecer el servicio básico de WiFi para invitados.

1. Configurar la WLAN de Invitados

Navegue hasta el menú de Configuración en cnMaestro, seleccione Perfiles de WiFi y abra la pestaña WLANs. Cree un nuevo perfil de WLAN.

Nombre / SSID: Defina el nombre de la red de invitados (p. ej., "Venue Guest WiFi").
Seguridad: Establézcala en Abierta.
Aislamiento de Clientes: Establézcalo en Habilitar para evitar que los dispositivos de los invitados se comuniquen entre sí en la subred local.

2. Habilitar el Hotspot Externo

Dentro de la configuración de la WLAN, localice la sección Acceso de Invitados (Guest Access).

Habilitar Acceso de Invitados: Marque esta casilla.
Tipo de Portal: Seleccione External Hotspot (Hotspot Externo).
URL de Página Externa: Introduzca la URL específica del Captive Portal proporcionada por su administrador de cuentas de Purple.

3. Configurar la Autenticación y Contabilidad de RADIUS

En la misma sección de Acceso de Invitados, configure los parámetros de RADIUS.

Servidor de Autenticación: Introduzca la dirección IP del servidor RADIUS principal de Purple.
Puerto de Autenticación: 1812
Servidor de Contabilidad: Introduzca la dirección IP del servidor RADIUS principal de Purple.
Puerto de Contabilidad: 1813
Secreto Compartido: Introduzca el secreto compartido complejo proporcionado por Purple. Asegúrese de que coincida exactamente en ambas plataformas.

4. Definir el Walled Garden

En la configuración del Hotspot Externo, complete la lista del walled garden. Debe añadir los dominios principales de Purple y los dominios específicos requeridos para los métodos de autenticación elegidos (p. ej., proveedores de inicio de sesión social).

5. Configurar 802.1X para el WiFi del Personal

Para asegurar el acceso del personal, cree un perfil de WLAN independiente en cnMaestro.

Security: Set to WPA2-Enterprise.
RADIUS Server: Point to Purple's RADIUS server IP on port 1812.

Staff authenticate using their corporate credentials via Microsoft Entra ID or Google Workspace, which Purple validates. Purple then returns a Tunnel-Private-Group-ID RADIUS attribute, instructing the Cambium AP to place the staff device onto the secure corporate VLAN.

Best Practices

VLAN Trunking: Ensure that all required VLANs (Guest, Staff, Management) are trunked on the switch ports connecting to the Cambium APs. If the VLAN is missing from the trunk, authenticated clients will fail to obtain an IP address via DHCP.
Firmware Consistency: Standardise your AP estate on cnPilot firmware version 6.0 or later. This version provides the most stable support for external hotspot redirection and ePSK functionality.
Accounting is Mandatory: Never disable RADIUS accounting. Purple relies entirely on the UDP 1813 accounting stream to generate dwell time metrics, visit frequency data, and compliance logs.
Avoid Local PSKs for Staff: Replace legacy shared passwords with 802.1X authentication for staff networks. This approach aligns with ISO 27001 requirements by tying network access to individual, auditable identities.

Troubleshooting & Risk Mitigation

When integration issues arise, they typically manifest during the initial Captive Portal redirect or the RADIUS authentication phase.

Portal Fails to Load: This is almost always a walled garden issue. If a guest device connects to the SSID but receives a connection timeout instead of the splash page, the AP is blocking access to the Purple portal domain. Verify your walled garden entries in cnMaestro and ensure DNS resolution is permitted pre-authentication.
Authentication Fails (Invalid Credentials Error): Check the RADIUS shared secret. A mismatch between cnMaestro and Purple will cause the RADIUS server to silently drop the authentication requests.
Device Authenticates but Lacks Internet Access: This indicates a failure in the dynamic VLAN assignment or DHCP process. Verify that Purple is returning the correct VLAN ID in the RADIUS response and confirm that the switch port trunking configuration allows that VLAN.

ROI & Business Impact

Deploying Purple WiFi on Cambium Networks infrastructure transforms a standard network utility into a measurable business asset. By capturing first-party data at the point of authentication, venues can build comprehensive visitor profiles and drive targeted marketing campaigns.

Por ejemplo, Harrods implementó Purple Guest WiFi y logró un ROI de marketing de 57 veces al integrar los datos capturados con su programa de fidelización. De manera similar, AGS Airports generó un ROI del 842% al utilizar un ancho de banda escalonado y una interacción dirigida con los pasajeros. Al estandarizar con Cambium cnMaestro y Purple, los líderes de TI pueden ofrecer una conectividad segura y conforme a la normativa, al tiempo que proporcionan a la organización de marketing los datos necesarios para impulsar los ingresos.

Definiciones clave

Captive Portal

Una página de inicio de sesión personalizada que requiere que los usuarios se autentiquen o acepten los términos antes de obtener acceso a una red WiFi pública o empresarial.

Utilizado en implementaciones de WiFi de invitados para recopilar datos de primera mano, aplicar políticas de uso aceptable y presentar la imagen de marca del establecimiento antes de conceder acceso a internet.

RADIUS

Remote Authentication Dial-In User Service (Servicio de autenticación remota de usuario de conexión telefónica); un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El protocolo que utilizan los puntos de acceso de Cambium para comunicarse con Purple para verificar las credenciales del usuario y notificar los datos de la sesión.

Walled Garden

Un entorno limitado que controla el acceso de los usuarios a contenidos y servicios web antes de la autenticación.

Requerido en cnMaestro para permitir que los dispositivos de los invitados accedan a la página de bienvenida de Purple y a los dominios del proveedor de identidad (como Facebook o Google) antes de tener acceso completo a internet.

ePSK

Enhanced Pre-Shared Key (Clave precompartida mejorada); la implementación de Cambium de claves precompartidas privadas, que permite contraseñas únicas para usuarios individuales en un solo SSID.

Utilizado para proporcionar segmentos de red seguros y aislados para entornos multi-inquilino sin necesidad de transmitir múltiples SSIDs.

Dynamic VLAN Assignment

El proceso de colocar un dispositivo autenticado en una red de área local virtual específica basándose en los atributos de RADIUS en lugar del puerto físico o SSID.

Permite al departamento de TI utilizar un único SSID al tiempo que separa de forma segura el tráfico de invitados del tráfico del personal o de administración.

802.1X

Un estándar de la IEEE para el control de acceso a redes basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El estándar utilizado para el WiFi seguro del personal, que sustituye las contraseñas compartidas por credenciales corporativas individuales validadas contra un proveedor de identidad.

cnMaestro

La plataforma de gestión local o basada en la nube de Cambium Networks para el control centralizado de la infraestructura de red cableada e inalámbrica.

La interfaz donde los arquitectos de red configuran los perfiles WLAN, la configuración de RADIUS y los walled gardens necesarios para la integración con Purple.

First-Party Data

Información que una empresa recopila directamente de sus clientes y que posee por completo.

El principal resultado de negocio de una implementación de WiFi de invitados de Purple, utilizado para impulsar campañas de marketing y comprender el comportamiento de los visitantes.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita implementar un Wi-Fi seguro para huéspedes, personal y un centro de conferencias. Los huéspedes requieren un Captive Portal personalizado, el personal necesita acceso seguro a los sistemas internos y el centro de conferencias requiere redes aisladas para los diferentes organizadores de eventos. ¿Cómo debe configurar el arquitecto de red el entorno Cambium cnMaestro para dar soporte a esto utilizando Purple?

El arquitecto debe implementar tres perfiles de WLAN distintos en cnMaestro.

WLAN de invitados (Guest): Configurada como una red abierta con la opción "External Hotspot" habilitada. La URL de redirección apunta al Captive Portal de Purple. La autenticación RADIUS (UDP 1812) y la contabilidad (UDP 1813) apuntan a los servidores de Purple. El walled garden incluye los dominios de Purple.
WLAN de personal (Staff): Configurada como WPA2-Enterprise (802.1X). El RADIUS apunta a Purple, que se integra con el Microsoft Entra ID del hotel. El personal se autentica con sus credenciales corporativas y Purple los asigna a la VLAN de personal.
WLAN de conferencias: Configurada con clave precompartida WPA2 y con Cambium ePSK habilitado. Purple proporciona frases de contraseña ePSK únicas para cada organizador de eventos a través de la API de cnMaestro, asignando cada clave a una VLAN aislada (por ejemplo, VLAN 301, 302).

Comentario del examinador: Este enfoque asigna correctamente las capacidades técnicas de Cambium y Purple a los requisitos del negocio. Aísla el tráfico de forma segura utilizando la asignación dinámica de VLAN y ePSK, evitando la degradación del espectro causada por la transmisión de múltiples SSID para cada inquilino de las conferencias.

Una cadena de tiendas ha implementado AP Cambium e410 y ha configurado el Captive Portal de Purple. Sin embargo, los compradores informan de que la página de bienvenida nunca aparece en sus smartphones; en su lugar, el navegador muestra un tiempo de espera de conexión agotado. ¿Cuál es la causa raíz y cómo se resuelve?

La causa raíz es una configuración incompleta del walled garden en cnMaestro. El AP de Cambium está bloqueando el tráfico HTTP/HTTPS requerido para cargar el portal de Purple antes de que el usuario sea autenticado.

Para resolver esto, el ingeniero de red debe iniciar sesión en cnMaestro, navegar al perfil de WLAN de invitados (Guest) y actualizar la lista de walled garden del Hotspot externo. Debe añadir los dominios específicos del portal de Purple y cualquier punto de enlace de CDN asociado. Una vez aplicado, los dispositivos no autenticados podrán acceder al portal y completar el flujo de inicio de sesión.

Comentario del examinador: Las configuraciones incorrectas del walled garden son la causa más frecuente de fallos en el Captive Portal. Esta solución identifica correctamente las restricciones del estado previo a la autenticación y proporciona la ruta de configuración exacta en cnMaestro para rectificar el problema.

Preguntas de práctica

Q1. Estás desplegando Purple Guest WiFi en 50 tiendas minoristas utilizando APs Cambium e505. Los usuarios pueden conectarse al SSID y ver la splash page, pero después de iniciar sesión, no pueden acceder a internet. Verificas que Purple está enviando el mensaje Access-Accept. ¿Cuál es el problema de infraestructura más probable?

Sugerencia: Considera qué sucede a nivel de switch cuando un dispositivo intenta obtener una dirección IP después de la autenticación.

Ver respuesta modelo

El problema más probable es la falta de VLAN trunking en los puertos del switch que se conectan a los APs Cambium. Aunque el AP autoriza al dispositivo, si la VLAN de invitados asignada no está permitida en el trunk del switch, el dispositivo no puede comunicarse con el servidor DHCP para obtener una dirección IP, lo que resulta en la falta de acceso a internet.

Q2. Un campus universitario quiere utilizar un único SSID para todos los estudiantes en las residencias, pero requiere que los dispositivos de cada estudiante estén aislados en su propio segmento de red privada para permitir la transmisión (casting) a su Smart TV específico. ¿Cómo se implementa esto utilizando Cambium y Purple?

Sugerencia: Observa la implementación de claves precompartidas privadas de Cambium.

Ver respuesta modelo

Implementa Cambium ePSK (Enhanced Pre-Shared Key) en la WLAN de la residencia. Purple gestionará el ciclo de vida de ePSK a través de la API de cnMaestro, generando una contraseña única para cada estudiante. Cuando un estudiante conecta sus dispositivos utilizando su clave específica, el AP de Cambium los asigna a una VLAN única, creando una red de área privada aislada.

Q3. Durante un despliegue piloto, el panel de analíticas de Purple muestra cero tiempo de permanencia o métricas de uso de datos para el sitio de prueba de Cambium, a pesar de que los usuarios se están autenticando y navegando por internet con éxito. ¿Qué paso de configuración se omitió en cnMaestro?

Sugerencia: Las analíticas requieren datos de sesión, que se gestionan a través de un puerto UDP específico en la configuración AAA.

Ver respuesta modelo

No se configuró el RADIUS Accounting. El ingeniero de red debe habilitar RADIUS Accounting en el perfil WLAN de invitados de cnMaestro y apuntarlo al servidor RADIUS de Purple en el puerto UDP 1813. Sin esto, Purple solo gestiona la autenticación y no recibe datos sobre el ciclo de vida de la sesión.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.