Captive Portal para Aruba

Resumen ejecutivo

Para los ingenieros de redes inalámbricas empresariales, arquitectos de red y directores de operaciones de recintos, implementar una infraestructura inalámbrica de invitados robusta ya no consiste solo en proporcionar un acceso básico a Internet. Los recintos modernos requieren una solución que equilibre una estricta seguridad de red, el cumplimiento normativo y una experiencia de invitado de alta conversión. Aunque las capacidades nativas de Captive Portal de HPE Aruba son muy fiables, carecen de la sofisticada captura de datos de marketing, la escalabilidad global multisitio y las analíticas demográficas y de ubicación en tiempo real que requieren los recintos empresariales en los sectores de hostelería, retail y sector público.

Al integrar Purple directamente con los puntos de acceso gestionados por Aruba Instant (IAP) o Aruba Central, las organizaciones pueden sustituir las páginas de inicio locales básicas por un portal de invitados global, seguro y altamente escalable. Esta integración aprovecha los protocolos de red estándar, incluidos el Servicio de autenticación remota telefónica de usuario (RADIUS) y el roaming de proveedor de servicios de Internet inalámbrico (WISPr), para ofrecer un proceso de incorporación fluido, seguro y coherente con la marca. Esta guía de referencia técnica proporciona los parámetros de configuración exactos, los diagramas de arquitectura y los flujos de trabajo de resolución de problemas necesarios para implementar con éxito Purple en la infraestructura de Aruba.

Análisis técnico detallado

La integración de Purple con la infraestructura inalámbrica de Aruba se basa en un flujo estándar de redirección a un Captive Portal externo y autenticación RADIUS. Esta arquitectura garantiza que la autenticación de usuarios y la contabilidad del tráfico se gestionen de forma segura en la nube, mientras que los puntos de acceso locales aplican las políticas de control de acceso y calidad de servicio (QoS).

El flujo de redirección del Captive Portal

Cuando un cliente no autenticado se asocia con el SSID de invitados, el punto de acceso de Aruba intercepta la solicitud HTTP inicial del cliente (normalmente el puerto TCP 80) y realiza una redirección HTTP 302 a la página de inicio de Purple alojada en la nube.

+--------------+             +-----------------+             +------------------+             +------------------+
| Dispositivo  |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Cliente)  |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Servidor (Nube) |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Se asocia al SSID ----->|                               |                                |
       |                              |                               |                                |
       |-- 2. Solicitud HTTP (TCP 80)->|                               |                                |
       |                              |-- 3. Redirección HTTP 302 --->|                                |
       |<-- 4. Presenta página inicio --------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Envía form. de inicio --------------------------------->|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (con Session Timeout)    |                                |
       |<-- 8. Acceso a Internet -----|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (cada 5 min) ----------------->|

Parámetros de autenticación y contabilidad RADIUS

Una vez que el invitado envía sus credenciales o completa un inicio de sesión social en la página de inicio de Purple, el backend del portal de Purple se comunica con el punto de acceso o controlador de Aruba local para iniciar la autenticación RADIUS. El AP de Aruba actúa como el Servidor de acceso a la red (NAS) y envía una solicitud Access-Request de RADIUS a los servidores RADIUS en la nube de Purple en el puerto UDP 1812.

Para garantizar un seguimiento preciso de las sesiones, la aplicación de políticas y la generación de informes, se deben intercambiar los siguientes atributos RADIUS:

La arquitectura de Walled Garden (lista de excepciones)

Antes de que un usuario se autentique, el AP de Aruba restringe todo el tráfico excepto para los destinos definidos explícitamente en el Walled Garden (o lista de excepciones). Debido a que el portal de Purple está alojado en la nube y depende de proveedores de identidad externos (como Google, Facebook y Apple) para la autenticación social, el AP debe permitir que los clientes no autenticados resuelvan DNS y se comuniquen con estos dominios externos.

Si se omite algún dominio requerido del walled garden, el invitado experimentará una página en blanco, CSS roto, imágenes faltantes o un tiempo de espera agotado completo durante el flujo de inicio de sesión.

Guía de implementación

El despliegue de Purple en la infraestructura inalámbrica de Aruba se puede realizar a través de Aruba Instant (IAP) con ArubaOS 8.x (modo de controlador virtual local) o Aruba Central (gestionado en la nube con AOS-8 o AOS-10).

Configuración de Aruba Instant (IAP) (ArubaOS 8.x)

Paso 1: Configurar los servidores RADIUS

1. Inicie sesión en la interfaz web del controlador virtual de Aruba Instant AP.
2. Vaya a Security > Authentication Server y haga clic en New.
3. Configure el Primary RADIUS Server con los siguientes parámetros:
   • Name: Purple_Primary
   • IP Address: 34.94.146.135
   • Auth Port: 1812
   • Acct Port: 1813
   • Shared Key: [Proporcionado en su panel de control de Purple Venue]
4. Haga clic en OK para guardar.
5. Haga clic de nuevo en New para configurar el Secondary RADIUS Server:
   • Name: Purple_Secondary
   • IP Address: 34.94.183.201
   • Auth Port: 1812
   • Acct Port: 1813
   • Shared Key: [Proporcionado en su panel de control de Purple Venue]
6. Haga clic en OK para guardar.

Paso 2: Crear el perfil de Captive Portal

1. Vaya a Security > Captive Portal y haga clic en New.
2. Configure el perfil con los siguientes ajustes:
   • Name: Purple_Portal
   • Type: External
   • IP or Hostname: portal.venuewifi.com
   • URL: /
   • Port: 443
   • Use HTTPS: Enabled
   • Redirect URL: https://portal.venuewifi.com
   • WISPr: Enabled (Crucial para la activación automática del portal en dispositivos iOS y Android)
3. Haga clic en OK para guardar.

Paso 3: Configurar la lista blanca de Walled Garden

1. En el menú Security > Captive Portal, seleccione su perfil Purple_Portal recién creado.
2. En la sección Walled Garden, haga clic en el enlace para abrir la configuración de la lista blanca.
3. Añada los siguientes dominios principales de Purple:
   • *.purple.ai
   • *.cloudfront.net
   • *.venuewifi.com
4. Si el inicio de sesión social está habilitado, añada los dominios respectivos (por ejemplo, *.google.com, *.facebook.com, *.apple.com).
5. Haga clic en Save.

Paso 4: Crear y configurar el SSID de invitados

1. Vaya a Network > New para iniciar el asistente de WLAN.
2. En la pestaña WLAN Settings:
   • Name (SSID): Guest-WiFi
   • Primary Usage: Guest
   • Haga clic en Next.
3. En la pestaña VLAN, configure la asignación de IP y VLAN según su arquitectura de red (normalmente Client IP assignment: Network Assigned en una VLAN de invitados dedicada). Haga clic en Next.
4. En la pestaña Security:
   • Splash Page Type: External
   • Captive Portal Profile: Seleccione Purple_Portal
   • Auth Server 1: Seleccione Purple_Primary
   • Auth Server 2: Seleccione Purple_Secondary
   • Reauth Interval: 1440 (24 horas, o según la política del establecimiento)
   • Accounting: Enabled
   • Accounting Interval: 5 minutos
5. Haga clic en Next para pasar a la pestaña Access. Asegúrese de que la regla de invitados predeterminada permita la preautenticación DHCP y DNS, luego haga clic en Finish.

Configuración de Aruba Central (AOS-8 y AOS-10)

Aruba Central AOS-8

1. Vaya a Devices en la sección Manage de su grupo en Aruba Central.
2. Haga clic en Config (icono de engranaje) en la parte superior derecha, luego vaya a la pestaña WLANs y haga clic en + Add SSID.
3. En el Step 1: General, introduzca el nombre del SSID (por ejemplo, Guest-WiFi) y haga clic en Next.
4. En el Step 2: VLANs, configure su asignación de VLAN de invitados y haga clic en Next.
5. En el Step 3: Security:
   • Establezca el Security Level en Visitors.
   • Establezca el Type en External Captive Portal.
   • Asegúrese de que Key Management esté establecido en Open (no utilice Enhanced Open/OWE para portales de invitados estándar, ya que puede causar problemas de compatibilidad con los clientes).
   • Haga clic en el icono + junto a Captive Portal Profile para añadir un nuevo perfil:
     • Name: Purple_Central_Portal
     • IP or Hostname: portal.venuewifi.com
     • URL: /
     • Port: 443
     • Redirect URL: https://portal.venuewifi.com
     • Use HTTPS: True
     • Captive Portal Failure: Deny Internet (Recomendado para el cumplimiento de la seguridad)
   • Haga clic en Save.
   • Haga clic en el icono + junto a Primary Server y Secondary Server para añadir los servidores RADIUS de Purple utilizando las direcciones IP 34.94.146.135 y 34.94.183.201 respectivamente, con los puertos 1812 (Auth) y 1813 (Acct).
   • Despliegue Advanced Settings, desplácese hasta Accounting, seleccione Use authentication servers y establezca el Accounting Interval en 5 minutos.
6. Desplácese hacia abajo hasta la sección Walled Garden, haga clic en + Add e introduzca los dominios requeridos de Purple y de inicio de sesión social.
7. Haga clic en Save Settings.

Aruba Central AOS-10

En AOS-10, la configuración del walled garden se traslada de la pestaña WLAN Security a Access Rules.

1. Siga los mismos pasos de configuración de SSID y RADIUS que en AOS-8 anteriormente.
2. En el SSID asistente, navegue a la pestaña Acceso.
3. Haga clic en + Add Role y cree un rol de preautenticación llamado Purple_Pre_Auth.
4. En el editor de reglas para este rol, configure reglas explícitas de Permitir (Allow) para DNS, DHCP y los dominios de walled garden requeridos (por ejemplo, *.purple.ai, *.venuewifi.com).
5. Desplácese hacia abajo hasta Assign Pre-Authentication Role, active la opción y seleccione Purple_Pre_Auth en el menú desplegable.
6. El rol de postautorización (que normalmente coincide con el nombre del SSID) debe permanecer configurado con Allow any to all destinations o con sus políticas de acceso corporativas específicas.
7. Haga clic en Save Settings.

Buenas prácticas

Para garantizar el máximo rendimiento, seguridad y cumplimiento, los arquitectos de red deben adherirse a los siguientes estándares del sector y buenas prácticas independientes del proveedor al implementar Captive Portals en Aruba y Purple.

1. Gestión segura de certificados

Los puntos de acceso de Aruba deben presentar un certificado SSL/TLS válido y de confianza durante el flujo de redirección del Captive Portal.

• Evite los certificados autofirmados: Si el AP presenta un certificado autofirmado, los navegadores modernos mostrarán una advertencia muy visible de "La conexión no es privada", lo que dañará gravemente la confianza de los invitados y reducirá las tasas de conversión.
• Implemente un certificado de CA de confianza: Cargue un certificado comodín (wildcard) de una entidad de certificación (CA) reconocida mundialmente en la configuración global de Aruba Central o en los controladores virtuales Instant. Asegúrese de que los certificados intermedios y raíz se combinen en un único archivo para completar la cadena de confianza.

2. Segmentación de red y cumplimiento normativo

El tráfico de invitados debe mantenerse completamente separado del tráfico corporativo y administrativo para mitigar los riesgos de seguridad y garantizar el cumplimiento de los estándares del sector.

• Aislamiento de VLAN: Asocie el SSID de invitados a una VLAN dedicada y no enrutable. Utilice listas de control de acceso (ACL) en el switch principal o firewall ascendente para evitar cualquier enrutamiento entre la VLAN de invitados y las subredes corporativas internas.
• Cumplimiento de PCI DSS: Si su establecimiento procesa pagos con tarjeta (por ejemplo, puntos de venta minoristas), la segmentación de la red es un requisito obligatorio según el requisito 1.2 de PCI DSS [3]. El WiFi de invitados debe estar aislado física o lógicamente del entorno de datos de los titulares de tarjetas (CDE).
• GDPR y privacidad de datos: Asegúrese de que el portal de Purple esté configurado para mostrar casillas de verificación de consentimiento explícitas y sin marcar para la aceptación de comunicaciones de marketing, cumpliendo con los estrictos requisitos del Reglamento General de Protección de Datos (GDPR) [4].

3. Optimización de WISPr y la detección de Captive Portal

Los sistemas operativos móviles modernos utilizan sondeos activos para detectar Captive Portals inmediatamente después de la asociación.

• Habilite WISPr: Asegúrese siempre de que el soporte de WISPr esté habilitado en su perfil de Captive Portal de Aruba. Este protocolo pasa metadatos en formato XML al sistema operativo del cliente, lo que permite a iOS (Captive Network Assistant) y Android (Captive Portal Login) abrir de forma fluida la pantalla de inicio de sesión en una ventana de navegador dedicada.
• Evite problemas con "Enhanced Open" (OWE): Aunque la encriptación inalámbrica oportunista (OWE) proporciona cifrado en redes abiertas, muchos dispositivos cliente heredados no la admiten. Para redes públicas de invitados, utilice la gestión de claves estándar Open (Abierta) para maximizar la compatibilidad de los dispositivos.

Resolución de problemas y mitigación de riesgos

Incluso con una planificación meticulosa, las implementaciones de Captive Portal pueden presentar fallos comunes. La siguiente matriz de resolución de problemas proporciona pasos inmediatos y prácticos para los ingenieros de redes inalámbricas.

Matriz de resolución de problemas de Captive Portal

ROI e impacto empresarial

La transición de un Captive Portal básico y local a una plataforma de inteligencia WiFi de nivel empresarial como PPurple ofrece resultados comerciales medibles en operaciones, marketing y gestión de redes.

Eficiencia operativa y escalabilidad

Gestionar Captive Portals locales individuales en cientos de tiendas minoristas, hoteles o espacios públicos es un cuello de botella administrativo. Purple proporciona una consola centralizada y gestionada en la nube que permite a los equipos de TI implementar, actualizar y auditar configuraciones de Captive Portal a nivel global con un solo clic. Esto reduce las discrepancias de configuración, garantiza una imagen de marca coherente y reduce los costes administrativos indirectos hasta en un 60 %.

Monetización de datos y ROI de marketing

Para sectores como el Retail y la Hostelería, el WiFi de invitados es un canal potente para la captación y fidelización de clientes. Purple sustituye las conexiones anónimas por perfiles demográficos detallados.

• Integración directa: Purple se integra con plataformas de CRM y automatización de marketing para activar campañas en tiempo real y adaptadas al contexto. Por ejemplo, un establecimiento comercial puede activar el envío de un SMS con un descuento personalizado en el momento en que un cliente de su programa de fidelización se conecta al WiFi de invitados.
• Analítica de visitas medible: Al analizar los datos de contabilidad de RADIUS y las asociaciones de BSSID, Purple proporciona informes muy precisos sobre el tiempo de permanencia, la tasa de retorno y el análisis de rutas. Estos datos permiten a los directores de operaciones de los establecimientos optimizar los niveles de personal, evaluar la eficacia de los escaparates y medir el ROI directo de las campañas de marketing.

Análisis de coste-beneficio: Aruba nativo frente a la integración con Purple