Saltar al contenido principal
Español

Captive Portal for Aruba

Una guía de referencia técnica autorizada para configurar los puntos de acceso gestionados de Aruba Instant (IAP) y Aruba Central para redirigir a los usuarios invitados al Captive Portal externo, seguro y de alta conversión de Purple. Esta guía cubre la configuración paso a paso del SSID de invitados, la redirección al Captive Portal externo, los parámetros de autenticación y contabilidad del servidor RADIUS, las listas de excepciones de walled garden y el soporte de WISPr.

📖 11 min de lectura📝 2,686 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
CAPTIVE PORTAL PARA ARUBA: INTEGRACIÓN DE PURPLE PARA WIFI DE INVITADOS EMPRESARIAL Una sesión informativa técnica de Purple — Aproximadamente 10 minutos [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Le damos la bienvenida a la serie de sesiones informativas técnicas de Purple. Soy su anfitrión y hoy vamos a tratar un tema que surge en casi todas las conversaciones sobre despliegues inalámbricos empresariales: cómo configurar un Captive Portal en la infraestructura de Aruba y, específicamente, cómo conectar ese portal a la plataforma de inteligencia de WiFi de invitados de Purple. Si utiliza AP de Aruba Instant o gestiona una flota de puntos de acceso a través de Aruba Central, este episodio es para usted. Vamos a avanzar rápido —esta es una sesión informativa para profesionales, no una clase teórica—, por lo que asumiré que sabe manejarse en una pantalla de configuración de WLAN y que comprende los conceptos básicos de la autenticación RADIUS. El problema principal que resolvemos es el siguiente: el portal de invitados integrado de Aruba es funcional, pero limitado. No ofrece la captura de datos de marketing, los flujos de consentimiento conformes con el GDPR ni las analíticas en tiempo real que necesitan los espacios empresariales. Sustituirlo por el Captive Portal externo de Purple es la decisión arquitectónica correcta, y hoy le guiaré exactamente sobre cómo hacerlo. [INMERSIÓN TÉCNICA PROFUNDA — aprox. 5 minutos] Comencemos con la arquitectura. Cuando un invitado se conecta a su SSID de Aruba y abre un navegador, el AP intercepta esa solicitud HTTP en el puerto TCP 80 y la redirige a la URL del portal externo (en este caso, la página de bienvenida alojada en la nube de Purple). El invitado se autentica a través del portal de Purple, que luego envía un Access-Request de RADIUS a los servidores RADIUS de Purple en el puerto UDP 1812. Si tiene éxito, el servidor RADIUS devuelve un mensaje Access-Accept y el AP concede al cliente acceso completo a Internet. Los registros de contabilidad (Accounting) se envían en el puerto UDP 1813 durante toda la sesión. Ese es el flujo fundamental. Ahora entremos en la configuración. Hay dos planos de gestión con los que podría estar trabajando: Aruba Instant, que es el modelo de controlador virtual local que ejecuta ArubaOS 8.x, y Aruba Central, que es la plataforma de gestión en la nube de HPE. Los pasos de configuración son similares en concepto, pero difieren en dónde se encuentran los ajustes. Comenzando con Aruba Instant en ArubaOS 8. Primero, configurará su servidor RADIUS. Vaya a Security, luego a Authentication Server y haga clic en New. Necesitará cuatro datos de la plataforma de Purple: la dirección IP del servidor principal, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (normalmente 1813) y el secreto compartido. Purple los proporciona en el panel de configuración de su espacio. Añada un servidor secundario para mayor resiliencia; Purple opera una infraestructura RADIUS multirregión, por lo que dispondrá de un respaldo geográficamente adecuado. A continuación, cree el perfil de External Captive Portal. Vaya a Security, luego a Captive Portal, haga clic en New y establezca el Type en External. Introduzca la URL de la página de inicio (splash page) de la configuración de su sede de Purple; este será un endpoint HTTPS alojado por Purple. Establezca el puerto en 443, active Use HTTPS y, fundamentalmente, establezca el campo WISPr en Enabled. WISPr (Wireless Internet Service Provider roaming) es el protocolo que permite a los dispositivos autodetectar el Captive Portal y mostrarlo correctamente, especialmente en dispositivos iOS y Android que utilizan la detección de Captive Portal en segundo plano. Si WISPr no está activado, algunos dispositivos no lograrán activar el portal de forma automática. Ahora, el SSID de invitados. Cree una nueva WLAN, establezca el Primary Usage en Guest y, en la pestaña Security, establezca el Splash Page Type en External — RADIUS Server. Asigne el perfil de Captive Portal y el servidor RADIUS que acaba de crear. Establezca el Reauth Interval en un valor lógico: 1440 minutos (que equivale a 24 horas) es una opción habitual para entornos de hostelería. Active la autenticación MAC si desea que los invitados que regresan omitan el portal en las visitas posteriores dentro de ese intervalo de tiempo. Para Aruba Central en AOS-8, el flujo es esencialmente el mismo, pero se accede a través del asistente de WLAN en Devices, Config, WLANs. Establezca el Security Level en Visitors, el Type en External Captive Portal y cree un nuevo perfil de Captive Portal con la URL de inicio de Purple. Añada sus servidores RADIUS principal y secundario, active el accounting y establezca un intervalo de accounting de cinco minutos. Este intervalo es importante: garantiza que la plataforma de analítica de Purple reciba actualizaciones periódicas de la sesión para ofrecer informes precisos sobre el tiempo de permanencia y el engagement. En AOS-10, que es la arquitectura cloud-first, hay una diferencia importante: el walled garden ya no se configura en la pestaña WLAN Security. En su lugar, se configura a través de Access Rules. Debe crear un rol de preautenticación (llámelo Guest Logon) y añadir reglas de permiso (allow) para cada dominio de la lista blanca del walled garden. A continuación, asigne ese rol como Pre-Authentication Role en el SSID. Hablando del walled garden: aquí es donde fallan la mayoría de las implementaciones. El walled garden es la lista de dominios a los que los invitados no autenticados pueden acceder antes de haber completado el flujo del portal. Sin estas entradas, el propio portal no se cargará, ya que el dispositivo del invitado no podrá conectarse a la CDN de Purple para descargar los recursos de la página de inicio. Las entradas obligatorias de Purple son: asterisco punto purple punto ai, asterisco punto cloudfront punto net y asterisco punto venuewifi punto com. Si utiliza el inicio de sesión social (Google, Facebook, Apple, Microsoft), deberá añadir los dominios de OAuth correspondientes para cada proveedor. Google requiere asterisco punto google punto com, asterisco punto googleapis punto com y asterisco punto gstatic punto com. Facebook requiere asterisco punto facebook punto com, asterisco punto fbcdn punto net y connect punto facebook punto net. El inicio de sesión de Apple necesita asterisco punto apple punto com y appleid punto apple punto com. Microsoft Entra ID requiere asterisco punto microsoft punto com y asterisco punto microsoftonline punto com. Un detalle que vale la pena destacar: en Aruba, puede habilitar la lista blanca automática de URL (Automatic URL Whitelisting) en el perfil del Captive Portal. Esta función añade dinámicamente a la lista blanca las URL a las que hace referencia la página del portal. Es útil como alternativa de respaldo, pero recomendaría configurar explícitamente el walled garden en lugar de confiar en la lista blanca automática en producción; es más predecible y fácil de auditar. Hablemos específicamente de los parámetros RADIUS. Los atributos clave que utiliza Purple son: NAS-IP-Address, que identifica su AP o controlador; Called-Station-Id, que transporta el BSSID y el SSID en el formato dirección-MAC:nombre-SSID (Purple utiliza esto para asociar las sesiones a ubicaciones y puntos de acceso específicos); y Calling-Station-Id, que es la dirección MAC del cliente. En cuanto a la contabilidad, Acct-Session-Id proporciona el identificador único de sesión, y Acct-Status-Type transporta los eventos Start, Interim-Update y Stop. Asegúrese de que su configuración de Aruba envíe los tres tipos de eventos de contabilidad; algunas implementaciones solo envían Start y Stop, lo que significa que las analíticas de Purple se pierden los datos de sesión intermedios necesarios para calcular con precisión el tiempo de permanencia. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle las recomendaciones prácticas que daría a cualquier cliente que vaya a implementar esto. Primero: realice siempre pruebas con un dispositivo de prueba dedicado antes de pasar a producción. Conéctese al SSID de invitados, abra un navegador web con una URL HTTP (no HTTPS) y verifique que se active la redirección. Si va directamente a HTTPS, la redirección no funcionará porque el AP no puede interceptar el tráfico cifrado. Este es el motivo número uno de las llamadas de soporte que recibimos. Segundo: reglas de firewall. Su VLAN de gestión de AP o controlador necesita acceso UDP saliente a las IP del servidor RADIUS de Purple en los puertos 1812 y 1813. Si tiene un firewall de estado (stateful) entre sus AP e internet, asegúrese de que permita estos flujos UDP. RADIUS no está orientado a la conexión, por lo que algunos firewalls necesitan reglas explícitas en lugar de confiar en la inspección de estado. Tercero: confianza de certificados. Cuando configura la URL de la página de inicio como HTTPS, el AP debe confiar en el certificado presentado por el servidor del portal de Purple. En Aruba Central, es posible que deba importar un certificado de CA de confianza en la configuración global antes de que la redirección del portal funcione correctamente a través de HTTPS. Purple utiliza certificados de una CA ampliamente confiable, pero vale la pena verificar esto en su entorno. Cuarto: segmentación de VLAN. Su SSID de invitados debe estar en una VLAN dedicada que esté aislada de su red corporativa. Esto es tanto un requisito de seguridad (PCI DSS 3.2.1 exige la segmentación de red para entornos de datos de titulares de tarjetas) como una necesidad práctica para el funcionamiento del Captive Portal. La VLAN de invitados debe tener acceso a internet pero no tener ruta hacia los recursos internos. Quinto: la configuración de WISPr. Mencioné esto antes, pero vale la pena repetirlo. Habilite WISPr. Sin esto, los dispositivos iOS en particular no detectarán automáticamente el Captive Portal, y los invitados experimentarán una situación confusa en la que parecerá que están conectados pero no tendrán acceso a internet. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar las preguntas que recibo con más frecuencia. ¿Puedo usar Aruba Instant On —el producto para pequeñas empresas— con Purple? Sí, con algunas limitaciones. Instant On admite Captive Portals externos, pero la interfaz de configuración es más limitada que la de Aruba Central completo. Purple dispone de una guía de integración dedicada para Instant On. ¿Admite Purple RadSec para RADIUS cifrado? Sí. Purple admite RADIUS sobre TLS —RadSec— para despliegues en los que el tráfico RADIUS atraviesa redes no confiables. Esto es cada vez más relevante para despliegues gestionados en la nube donde el intercambio RADIUS cruza la internet pública. ¿Qué ocurre si el portal de Purple no está accesible? Puede configurar la opción de fallo del Captive Portal para "Denegar Internet" —que es la opción segura por defecto— o "Permitir Internet", que proporciona un modo de acceso abierto de respaldo. Para la mayoría de los recintos empresariales, "Denegar Internet" es la opción correcta. ¿Puedo ejecutar múltiples SSIDs con diferentes recintos de Purple en la misma infraestructura de Aruba? Absolutamente. Cada SSID tiene su propio perfil de Captive Portal que apunta a una URL de recinto de Purple diferente. El atributo RADIUS Called-Station-Id transporta el nombre del SSID, que Purple utiliza para enrutar la sesión a la configuración del recinto correcta. [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Permítame resumir todo esto. Desplegar Purple como un Captive Portal externo en la infraestructura de Aruba es una ruta de integración muy consolidada. Los pasos clave son: configurar sus servidores RADIUS con las credenciales de Purple, crear un perfil de Captive Portal externo que apunte a la URL de su página de bienvenida de Purple con WISPr habilitado, crear su SSID de invitados con el tipo de página de bienvenida "Servidor RADIUS externo" y configurar su walled garden con los dominios principales de Purple más los dominios de los proveedores de inicio de sesión social que vaya a habilitar. La diferencia de AOS-10 que debe recordar es que la configuración del walled garden se traslada a las Reglas de acceso (Access Rules) en lugar de a la pestaña de Seguridad WLAN. Desde una perspectiva empresarial, sustituir el portal local básico de Aruba por Purple le ofrece captura de datos conforme al GDPR, analíticas de ubicación en tiempo real, informes demográficos y automatización de marketing, todo ello desde la misma infraestructura WiFi que ya posee. Para sus próximos pasos: obtenga sus credenciales RADIUS del recinto de Purple desde el panel de control de Purple, repase la lista de verificación de configuración en la guía escrita adjunta y realice pruebas con un dispositivo dedicado antes de implementarlo en producción. Si va a realizar el despliegue en múltiples ubicaciones, la consola de gestión multi-sitio de Purple le permite administrar las configuraciones del Captive Portal, la imagen de marca y las analíticas de todo su patrimonio desde una única interfaz. Gracias por su atención. La guía escrita completa, las tablas de configuración y las listas de referencia del walled garden están disponibles en purple dot ai. Hasta la próxima. [FIN DEL SCRIPT]

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Resumen Ejecutivo

Para los ingenieros de redes inalámbricas empresariales, arquitectos de red y directores de operaciones de recintos, desplegar una infraestructura inalámbrica de invitados robusta ya no consiste solo en proporcionar un acceso básico a internet. Los recintos modernos requieren una solución que equilibre una seguridad de red estricta, el cumplimiento normativo y una experiencia de invitado de alta conversión. Aunque las capacidades nativas de Captive Portal de HPE Aruba son muy fiables, carecen de la captura sofisticada de datos de marketing, la escalabilidad global multisitio y las analíticas demográficas y de ubicación en tiempo real que requieren los recintos empresariales en los sectores de hostelería, retail y sector público.

Al integrar Purple directamente con los puntos de acceso gestionados por Aruba Instant (IAP) o Aruba Central, las organizaciones pueden sustituir las páginas de bienvenida locales básicas por un portal de invitados global, seguro y altamente escalable. Esta integración aprovecha los protocolos de red estándar, incluidos el Servicio de usuario de marcación de autenticación remota (RADIUS) y el roaming de proveedor de servicios de Internet inalámbrico (WISPr), para ofrecer una incorporación fluida, segura y coherente con la marca. Esta guía de referencia técnica proporciona los parámetros de configuración exactos, los diagramas de arquitectura y los flujos de trabajo de resolución de problemas necesarios para desplegar con éxito Purple en la infraestructura de Aruba.

Análisis Técnico Detallado

La integración de Purple con la infraestructura inalámbrica de Aruba se basa en un flujo estándar de redirección a un Captive Portal externo y autenticación RADIUS. Esta arquitectura garantiza que la autenticación de usuarios y la contabilidad del tráfico se gestionen de forma segura en la nube, mientras que los puntos de acceso locales aplican las políticas de control de acceso y calidad de servicio (QoS).

El Flujo de Redirección del Captive Portal

Cuando un cliente no autenticado se asocia con el SSID de invitados, el punto de acceso de Aruba intercepta la solicitud HTTP inicial del cliente (normalmente el puerto TCP 80) y realiza una redirección HTTP 302 a la página de bienvenida alojada en la nube de Purple.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Presents Splash Page ----------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Submits Login Form ------------------------------------>|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (with Session Timeout)   |                                |
       |<-- 8. Internet Granted ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (every 5 min) ---------------->|

architecture_overview.png

Parámetros de autenticación y contabilidad de RADIUS

Una vez que el invitado envía sus credenciales o completa un inicio de sesión social en la splash page de Purple, el backend del portal de Purple se comunica con el punto de acceso o controlador local de Aruba para iniciar la autenticación RADIUS. El AP de Aruba actúa como el Servidor de Acceso a la Red (NAS) y envía un Access-Request de RADIUS a los servidores RADIUS en la nube de Purple en el puerto UDP 1812.

Para garantizar un seguimiento preciso de las sesiones, la aplicación de políticas y la generación de informes, se deben intercambiar los siguientes atributos de RADIUS:

Nombre del atributo ID del atributo Descripción Contexto práctico
NAS-IP-Address 4 La dirección IP de gestión del controlador virtual o AP de Aruba. Identifica el hardware físico que origina la solicitud de autenticación.
Calling-Station-Id 31 La dirección MAC del dispositivo cliente (normalmente formateada como XX-XX-XX-XX-XX-XX). Utilizada por Purple para realizar el seguimiento de dispositivos únicos y aplicar el almacenamiento en caché de MAC para los invitados que regresan.
Called-Station-Id 30 La dirección MAC de la radio del AP (BSSID) combinada con el nombre del SSID (formateada como MAC:SSID). Crucial para que Purple identifique el lugar físico exacto y el SSID específico al que se conecta el usuario.
Acct-Session-Id 44 Un identificador único generado por el AP para cada sesión de cliente. Vincula los eventos de autenticación con los registros posteriores de inicio, intermedios y de parada de contabilidad.
Acct-Status-Type 40 Indica el tipo de registro de contabilidad: Start (1), Stop (2) o Interim-Update (3). Permite el seguimiento en tiempo real de las sesiones activas y cálculos precisos del tiempo de permanencia.
Acct-Interim-Interval 85 Especifica la frecuencia (en segundos) de las actualizaciones de contabilidad provisionales enviadas por el AP. Debe establecerse en 300 segundos (5 minutos) para garantizar que el panel de análisis de Purple muestre datos precisos en tiempo real.

Arquitectura del Walled Garden (Lista de excepciones)

Antes de que un usuario sea autenticado, el AP de Aruba restringe todo el tráfico excepto los destinos definidos explícitamente en el Walled Garden (o lista de excepciones). Dado que el portal de Purple está alojado en la nube y depende de proveedores de identidad externos (como Google, Facebook y Apple) para la autenticación social, el AP debe permitir que los clientes no autenticados resuelvan DNS y se comuniquen con estos dominios externos.

Si se omite algún dominio requerido del walled garden, el invitado experimentará una página en blanco, CSS roto, imágenes faltantes o un tiempo de espera agotado por completo durante el flujo de inicio de sesión.

walled_garden_infographic.png

Guía de implementación

La implementación de Purple en la infraestructura inalámbrica de Aruba se puede realizar a través de Aruba Instant (IAP) con ArubaOS 8.x (modo de controlador virtual local) o Aruba Central (AOS-8 o AOS-10 gestionado en la nube).

Configuración de Aruba Instant (IAP) (ArubaOS 8.x)

Paso 1: Configurar los servidores RADIUS

  1. Inicie sesión en la interfaz web del controlador virtual de Aruba Instant AP.
  2. Vaya a Security > Authentication Server y haga clic en New.
  3. Configure el Servidor RADIUS primario con los siguientes parámetros:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Proporcionado en su panel de control de Purple Venue]
  4. Haga clic en OK para guardar.
  5. Haga clic en New nuevamente para configurar el Servidor RADIUS secundario:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Proporcionado en su panel de control de Purple Venue]
  6. Haga clic en OK para guardar.

Paso 2: Crear el perfil del Captive Portal

  1. Vaya a Security > Captive Portal y haga clic en New.
  2. Configure el perfil con los siguientes ajustes:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Crucial para la activación automática del portal en dispositivos iOS y Android)
  3. Haga clic en OK para guardar.

Paso 3: Configurar la lista blanca del Walled Garden

  1. En el menú Security > Captive Portal, seleccione su perfil Purple_Portal recién creado.
  2. En la sección Walled Garden, haga clic en el enlace para abrir la configuración de la lista blanca.
  3. Añada los siguientes dominios principales de Purple:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. Si el inicio de sesión social está habilitado, añada los dominios respectivos (por ejemplo, *.google.com, *.facebook.com, *.apple.com).
  5. Haga clic en Guardar.

Paso 4: Crear y configurar el SSID de invitados

  1. Vaya a Red > Nuevo para iniciar el asistente de WLAN.
  2. En la pestaña Configuración de WLAN:
    • Nombre (SSID): Guest-WiFi
    • Uso principal: Invitado
    • Haga clic en Siguiente.
  3. En la pestaña VLAN, configure la asignación de IP y VLAN de acuerdo con la arquitectura de su red (normalmente Asignación de IP de cliente: Asignada por la red en una VLAN de invitados dedicada). Haga clic en Siguiente.
  4. En la pestaña Seguridad:
    • Tipo de página de bienvenida: Externa
    • Perfil de Captive Portal: Seleccione Purple_Portal
    • Servidor de autenticación 1: Seleccione Purple_Primary
    • Servidor de autenticación 2: Seleccione Purple_Secondary
    • Intervalo de reautenticación: 1440 (24 horas, o según la política del establecimiento)
    • Contabilidad: Habilitado
    • Intervalo de contabilidad: 5 minutos
  5. Haga clic en Siguiente para pasar a la pestaña Acceso. Asegúrese de que la regla de invitados predeterminada permita la preautenticación DHCP y DNS, luego haga clic en Finalizar.

Configuración de Aruba Central (AOS-8 y AOS-10)

Aruba Central AOS-8

  1. Vaya a Dispositivos en la sección Administrar de su grupo en Aruba Central.
  2. Haga clic en Configuración (icono de engranaje) en la parte superior derecha, luego vaya a la pestaña WLAN y haga clic en + Añadir SSID.
  3. En el Paso 1: General, introduzca el nombre del SSID (por ejemplo, Guest-WiFi) y haga clic en Siguiente.
  4. En el Paso 2: VLAN, configure la asignación de su VLAN de invitados y haga clic en Siguiente.
  5. En el Paso 3: Seguridad:
    • Establezca el Nivel de seguridad en Visitantes.
    • Establezca el Tipo en Captive Portal externo.
    • Asegúrese de que la Gestión de claves esté configurada en Abierta (no utilice Enhanced Open/OWE para portales de invitados estándar, ya que puede causar problemas de compatibilidad con los clientes).
    • Haga clic en el icono + junto a Perfil de Captive Portal para añadir un nuevo perfil:
      • Nombre: Purple_Central_Portal
      • IP o nombre de host: portal.venuewifi.com
      • URL: /
      • Puerto: 443
      • URL de redirección: https://portal.venuewifi.com
      • Usar HTTPS: Verdadero
      • Fallo de Captive Portal: Denegar Internet (Recomendado para el cumplimiento de la seguridad)
    • Haga clic en Guardar.
    • Haga clic en el icono + junto a Servidor principal y Servidor secundario para añadir los servidores RADIUS de Purple utilizando las IP 34.94.146.135 y 34.94.183.201 respectivamente, con los puertos 1812 (Autenticación) y 1813 (Contabilidad).
    • Despliegue Configuración avanzada, desplácese hasta Contabilidad, seleccione Usar servidores de autenticación y establezca el Intervalo de contabilidad en 5 minutos.
  6. Desplácese hacia abajo hasta la sección Walled Garden, haga clic en + Añadir e introduzca los dominios de Purple y de inicio de sesión social requeridos.
  7. Haga clic en Guardar configuración.

Aruba Central AOS-10

En AOS-10, la configuración del walled garden se traslada de la pestaña WLAN Security a Access Rules.

  1. Siga los mismos pasos de configuración de SSID y RADIUS que en AOS-8 anteriormente.
  2. En el asistente de SSID, navegue hasta la pestaña Access.
  3. Haga clic en + Add Role y cree un rol de preautenticación llamado Purple_Pre_Auth.
  4. En el editor de reglas para este rol, configure reglas explícitas de tipo Allow para DNS, DHCP y los dominios de walled garden requeridos (por ejemplo, *.purple.ai, *.venuewifi.com).
  5. Desplácese hacia abajo hasta Assign Pre-Authentication Role, active la opción y seleccione Purple_Pre_Auth en el menú desplegable.
  6. El rol de postautorización (que normalmente coincide con el nombre del SSID) debe permanecer configurado con Allow any to all destinations o con sus políticas de acceso corporativas específicas.
  7. Haga clic en Save Settings.

Buenas prácticas

Para garantizar el máximo rendimiento, seguridad y cumplimiento, los arquitectos de red deben adherirse a los siguientes estándares del sector y buenas prácticas independientes del fabricante al implementar portales cautivos en Aruba y Purple.

1. Gestión segura de certificados

Los puntos de acceso de Aruba deben presentar un certificado SSL/TLS válido y de confianza durante el flujo de redirección del Captive Portal.

  • Evite los certificados autofirmados: Si el AP presenta un certificado autofirmado, los navegadores modernos mostrarán una advertencia muy visible de "La conexión no es privada", lo que dañará gravemente la confianza de los invitados y reducirá las tasas de conversión.
  • Implemente un certificado de CA de confianza: Suba un certificado comodín (wildcard) de una Autoridad de Certificación (CA) reconocida mundialmente a su configuración global de Aruba Central o a los controladores virtuales de Instant. Asegúrese de que los certificados intermedios y raíz estén combinados en un solo archivo para completar la cadena de confianza.

2. Segmentación de red y cumplimiento normativo

El tráfico de invitados debe mantenerse completamente separado del tráfico corporativo y administrativo para mitigar los riesgos de seguridad y garantizar el cumplimiento de los estándares del sector.

  • Aislamiento de VLAN: Asocie el SSID de invitados a una VLAN dedicada y no enrutable. Utilice listas de control de acceso (ACL) en el switch principal ascendente o en el firewall para evitar cualquier enrutamiento entre la VLAN de invitados y las subredes corporativas internas.
  • Cumplimiento de PCI DSS: Si su establecimiento procesa pagos con tarjeta (por ejemplo, puntos de venta minoristas), la segmentación de la red es un requisito obligatorio según el Requisito 1.2 de PCI DSS [3]. El WiFi de invitados debe estar aislado física o lógicamente del Entorno de Datos de Tarjetas de Pago (CDE).
  • GDPR y privacidad de datos: Asegúrese de que el portal de Purple esté configurado para mostrar casillas de verificación de consentimiento explícitas y sin marcar para la aceptación de comunicaciones de marketing, cumpliendo con los estrictos requisitos del Reglamento General de Protección de Datos (GDPR) [4].

3. Optimización de WISPr y detección de Captive Portal

Los sistemas operativos móviles modernos utilizan sondeos activos para detectar portales cautivos inmediatamente después de la asociación.

  • Habilitar WISPr: Asegúrese siempre de que el soporte WISPr esté habilitado en su perfil de Captive Portal de Aruba. Este protocolo pasa metadatos en formato XML al sistema operativo del cliente, lo que permite que iOS (Captive Network Assistant) y Android (Captive Portal Login) inicien de forma fluida la pantalla de inicio de sesión en una ventana de navegador dedicada.
  • Evitar problemas de "Enhanced Open" (OWE): Aunque Opportunistic Wireless Encryption (OWE) proporciona cifrado en redes abiertas, muchos dispositivos cliente heredados no lo admiten. Para redes de invitados públicas, mantenga la gestión de claves estándar Open para maximizar la compatibilidad de los dispositivos.

Resolución de problemas y mitigación de riesgos

Incluso con una planificación meticulosa, las implementaciones de Captive Portal pueden enfrentarse a modos de fallo comunes. La siguiente matriz de resolución de problemas proporciona pasos inmediatos y prácticos para los ingenieros de redes inalámbricas.

Matriz de resolución de problemas de Captive Portal

Síntoma Causa probable Pasos de diagnóstico Solución práctica
El invitado se asocia pero la página de bienvenida no se carga (Tiempo de espera agotado/Página en blanco). Configuración de Walled Garden ausente o incompleta. Intente hacer ping a portal.venuewifi.com desde un dispositivo cableado en la misma VLAN. Compruebe si el dispositivo está intentando cargar recursos externos (por ejemplo, scripts de inicio de sesión social) que están bloqueados. Añada explícitamente *.purple.ai, *.venuewifi.com y *.cloudfront.net al walled garden de Aruba. Verifique que la resolución DNS esté permitida en el rol de preautenticación.
El invitado es redirigido pero el navegador muestra una advertencia de certificado SSL/TLS. El AP de Aruba está presentando un certificado no confiable o autofirmado para la página de redirección local. Inspeccione los detalles del certificado del navegador para ver qué certificado se está presentando. Cargue un certificado SSL válido y confiable firmado por una CA pública en el controlador virtual de Aruba o en la configuración global de Central.
El invitado completa el formulario de inicio de sesión pero no se le concede acceso a Internet (bucle de redirección). Fallo de comunicación RADIUS entre el AP de Aruba y los servidores de Purple. Compruebe los registros del controlador virtual de Aruba para ver si hay tiempos de espera de RADIUS o rechazos de acceso. Ejecute show auth-survivability o compruebe los registros del firewall. Verifique que los puertos UDP de salida 1812 (Auth) y 1813 (Acct) estén abiertos en su firewall perimetral. Asegúrese de que el secreto compartido de RADIUS coincida exactamente tanto en Purple como en Aruba.
El Captive Portal no aparece automáticamente en dispositivos iOS o Android. WISPr está deshabilitado, o el AP está bloqueando las URL de detección de Captive Portal del sistema operativo. Verifique si el dispositivo puede acceder a Internet sin iniciar sesión, o si permanece conectado con "Sin Internet" y sin ventana emergente. Habilite WISPr en el perfil de Captive Portal de Aruba. Asegúrese de que las URL de detección de Captive Portal (por ejemplo, captive.apple.com, connectivitycheck.gstatic.com) no estén bloqueadas por ACL de preautenticación personalizadas.
Real-time dwell-time analytics are inaccurate or missing in Purple. RADIUS Accounting is disabled or the accounting interval is set too high. Check the AP configuration to see if accounting is enabled and inspect the interval. Enable RADIUS Accounting on the Aruba SSID. Set the Accounting Interval to exactly 5 minutes (300 seconds) to ensure regular session updates.

ROI & Business Impact

Transitioning from a basic, local captive portal to an enterprise-grade WiFi intelligence platform like Purple delivers measurable business outcomes across operations, marketing, and network management.

Operational Efficiency and Scalability

Managing individual local captive portals across hundreds of retail stores, hotels, or public venues is an administrative bottleneck. Purple provides a centralized, cloud-managed console that allows IT teams to deploy, update, and audit captive portal configurations globally with a single click. This reduces configuration drift, ensures consistent branding, and slashes administrative overhead by up to 60%.

Data Monetization and Marketing ROI

For industries like Retail and Hospitality, guest WiFi is a powerful channel for customer acquisition and engagement. Purple replaces anonymous connections with rich demographic profiles.

  • Direct Integration: Purple integrates with CRM and marketing automation platforms to trigger real-time, context-aware campaigns. For example, a retail venue can trigger a personalized discount SMS the moment a loyalty customer connects to the guest WiFi.
  • Measurable Footfall Analytics: By analyzing RADIUS accounting data and BSSID associations, Purple provides highly accurate dwell-time, return-rate, and path-analysis reporting. This data enables venue operations directors to optimize staffing levels, evaluate window display effectiveness, and measure the direct ROI of marketing campaigns.

Cost-Benefit Analysis: Native Aruba vs. Purple Integration

Feature / Metric Native Aruba Local Portal Aruba + Purple Integration Business Impact
Centralized Multi-Site Management Limited. Requires individual configuration per virtual controller or complex Central group mapping. Fully Centralized. Manage thousands of venues and SSIDs from a single cloud dashboard. Reduces IT overhead and eliminates configuration drift across distributed estates.
Data Capture & Compliance Basic form capture. No built-in GDPR/CCPA consent validation workflows. Enterprise-grade. Automated, legally-compliant consent tracking with real-time API sync to CRMs. Mitigates legal risk and ensures compliance with global privacy regulations [4].
Social Authentication Requires custom external web development and manual API maintenance. Out-of-the-box support for Google, Facebook, Apple, Microsoft, LinkedIn, and SMS. Increases conversion rates by up to 40% through friction-free login options.
Analytics & Reporting Basic session logs (IP, MAC, connect time). No demographic or behavior tracking. Rich analytics: age, gender, dwell-time, return rates, heatmaps, and cross-venue roaming. Drives marketing ROI and provides actionable business intelligence for operations.

Definiciones clave

Captive Portal

Una página web que se muestra a los usuarios recién conectados a una red Wi-Fi antes de que se les conceda un acceso más amplio a los recursos de la red.

Se utiliza para capturar datos de invitados, hacer cumplir las condiciones de servicio y presentar contenido de marketing de marca.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

Purple actúa como el servidor RADIUS externo, autenticando a los invitados y realizando el seguimiento de la duración de su sesión.

WISPr (Wireless Internet Service Provider roaming)

Un borrador de protocolo que permite a los proveedores de servicios de internet inalámbrico independientes permitir que los usuarios realicen roaming en las redes de los demás utilizando un portal de inicio de sesión común.

Habilitar WISPr en los AP de Aruba permite que los smartphones modernos detecten automáticamente el Captive Portal y muestren la página de bienvenida en una ventana nativa del sistema.

Walled Garden

Un conjunto restringido de sitios web o dominios a los que un usuario no autenticado puede acceder antes de completar el proceso de inicio de sesión del Captive Portal.

Crucial para permitir que los invitados carguen los recursos de la página de bienvenida (CSS, JS, imágenes) y accedan a los proveedores de inicio de sesión social (Google, Facebook) antes de ser autenticados.

BSSID (Basic Service Set Identifier)

La dirección MAC de la interfaz de radio del punto de acceso inalámbrico para un SSID específico.

Se envía en el atributo RADIUS Called-Station-Id, lo que permite a Purple mapear la ubicación física del usuario en un AP específico.

NAS-IP-Address

La dirección IP del Servidor de Acceso a la Red (el AP o controlador de Aruba) que origina la solicitud RADIUS.

Se utiliza en los paquetes RADIUS para identificar qué hardware físico está solicitando la autenticación.

RadSec

Un protocolo que protege las transacciones RADIUS utilizando Transport Layer Security (TLS) sobre TCP.

Se utiliza para cifrar el tráfico de autenticación y contabilidad de RADIUS cuando se atraviesan redes públicas no seguras entre el AP local y la nube de Purple.

Enhanced Open (OWE)

Una extensión de Wi-Fi Certified Easy Connect que proporciona cifrado de transmisiones inalámbricas en redes abiertas sin necesidad de contraseña.

Puede causar problemas de compatibilidad con dispositivos de invitados más antiguos; se recomienda la seguridad Open estándar para los Captive Portals públicos.

Ejemplos prácticos

An enterprise wireless engineer is deploying guest WiFi across a national retail chain with 150 stores. Each store has 3-5 Aruba Instant APs managed via Aruba Central. The marketing team requires a branded captive portal with Facebook and Google social login options, and the compliance team mandates that guest traffic must be completely isolated from the store's Point-of-Sale (PoS) network. How should this be architected and configured?

  1. Network Segmentation: Map the Guest SSID to VLAN 100 on the Aruba APs. Configure the local switch ports as trunk ports, allowing VLAN 100. On the store's gateway firewall, configure VLAN 100 with a DHCP scope and an outbound-only NAT policy. Apply an ACL on the firewall to drop all traffic from VLAN 100 to the PoS VLAN (VLAN 10).
  2. RADIUS & Portal Configuration in Aruba Central: Create a new SSID named 'Store-Guest' on VLAN 100. Set Security to 'Visitors' and Splash Page to 'External Captive Portal'. Add Purple's primary RADIUS server (34.94.146.135) and secondary server (34.94.183.201) with ports 1812/1813. Enable RADIUS Accounting with a 5-minute interval.
  3. Walled Garden: Configure the walled garden in Aruba Central to include: *.purple.ai, *.venuewifi.com, *.cloudfront.net (for Purple core), and the social login domains: *.google.com, *.googleapis.com, *.gstatic.com (for Google) and *.facebook.com, *.fbcdn.net, connect.facebook.net (for Facebook).
  4. Testing: Connect a test device to 'Store-Guest', verify DHCP assigns an IP on VLAN 100, confirm the browser redirects to the Purple portal over HTTPS, complete the Facebook login, and verify that internet access is granted while internal PoS resources remain completely unreachable.
Comentario del examinador: This approach is highly effective because it addresses both security and user experience. Using VLAN isolation at the physical switch and gateway firewall ensures robust GDPR compliance, preventing guest devices from ever reaching the CDE. Explicitly defining the social login domains in the walled garden is critical; relying on 'Automatic URL Whitelisting' can sometimes cause intermittent failures if the social provider dynamically changes their CDN subdomains. Setting the RADIUS accounting interval to 5 minutes ensures the marketing team gets high-fidelity dwell-time analytics without overloading the AP's CPU.

A stadium venue with 50,000 seats is running Aruba Central on AOS-10 with high-density AP-555 access points. During peak event hours, thousands of users attempt to connect to the guest WiFi simultaneously. The IT director is concerned about the performance impact of captive portal redirects on the virtual controller and wants to ensure the authentication process is as fast and resilient as possible. What advanced configurations should be applied?

  1. Pre-Authentication Role (AOS-10): In AOS-10, configure a dedicated pre-authentication role named 'Stadium-Pre-Auth'. Apply an ACL that permits DHCP (UDP 67-68), DNS (UDP 53), and outbound traffic to the Purple walled garden domains. Assign this role as the 'Pre-Authentication Role' in the SSID settings. This offloads the packet filtering from the central controller to the individual APs, distributing the load.
  2. RADIUS Load Balancing: In Aruba Central, enable RADIUS Load Balancing across the primary and secondary Purple RADIUS servers. This distributes the authentication load evenly during peak ingress windows.
  3. Server Offload: Enable 'Server Offload' in the Captive Portal Profile settings. This prevents non-browser client applications (like background mobile apps, system updates, or IoT devices) from being repeatedly redirected to the external captive portal, preserving AP CPU cycles and WAN bandwidth.
  4. Captive Portal Failure Policy: Set 'Captive Portal Failure' to 'Deny Internet'. While 'Allow Internet' seems customer-friendly, during an extreme network event it could lead to uncontrolled open access, bypassing security controls and exhausting DHCP pools.
Comentario del examinador: High-density environments like stadiums require a distributed processing model. Configuring the walled garden via Access Rules in AOS-10 ensures that the access control lists are compiled and executed locally in the AP's hardware-accelerated data path, rather than being tunneled back to a gateway. Enabling Server Offload is an industry-standard best practice for stadium deployments; it mitigates the 'captive portal storm' caused by background apps on thousands of locked phones attempting to reach their respective cloud servers simultaneously.

Preguntas de práctica

Q1. Un ingeniero de redes configura un nuevo SSID de invitados en un clúster de Aruba Instant AP. Al realizar las pruebas, se conecta al SSID, pero en lugar de la página de inicio personalizada de Purple, ve un error de tiempo de espera del navegador. ¿Cuál es la causa más probable de este problema y qué pasos de resolución de problemas se deben seguir?

Sugerencia: Piense en lo que se requiere para que el dispositivo cliente llegue a la página de inicio (splash page) alojada en la nube antes de la autenticación.

Ver respuesta modelo

La causa más probable es una configuración de Walled Garden ausente o incompleta, o un problema de resolución de DNS. Antes de la autenticación, el AP bloquea todo el tráfico excepto los dominios incluidos en la lista blanca. Si los dominios de Purple (*.purple.ai, *.venuewifi.com, *.cloudfront.net) no están en el walled garden, el cliente no puede cargar la página de inicio. Pasos de resolución: 1. Verifique que el dispositivo cliente haya recibido una dirección IP válida y un servidor DNS a través de DHCP. 2. Intente resolver "portal.venuewifi.com" desde un dispositivo cableado en la misma VLAN para confirmar que el DNS funciona. 3. Verifique la configuración del AP de Aruba para asegurarse de que la lista blanca del Walled Garden esté activa y contenga todos los dominios de Purple requeridos. 4. Verifique que el rol de preautenticación permita el tráfico DNS (puerto UDP 53) hacia el servidor DNS.

Q2. Durante el despliegue de la red WiFi de invitados de Purple en un gran centro de convenciones, el equipo de TI informa que los dispositivos de los invitados se conectan correctamente, pero se les solicita iniciar sesión de nuevo cada 15 minutos. El comportamiento deseado es que los invitados permanezcan conectados durante 24 horas. ¿Qué parámetros de configuración de Aruba y Purple se deben inspeccionar para resolver esto?

Sugerencia: Examine los parámetros que controlan la duración de la sesión y los intervalos de reautenticación.

Ver respuesta modelo

Este problema se debe a una discrepancia en la configuración del tiempo de espera de la sesión o del intervalo de reautenticación. Para resolverlo: 1. Inspeccione el "Intervalo de reautenticación" en la pestaña de seguridad del SSID de Aruba; debe estar configurado en 1440 minutos (24 horas) en lugar de 15 minutos. 2. Verifique el atributo "Session Timeout" devuelto por el servidor RADIUS de Purple en el mensaje Access-Accept. Si Purple está configurado con una duración de sesión corta, forzará la reautenticación. 3. Asegúrese de que la autenticación MAC esté habilitada en el SSID de Aruba. Esto permite que el AP autentique automáticamente a los invitados que regresan a través de su dirección MAC contra la base de datos de Purple sin mostrarles la Captive Portal de nuevo durante el intervalo de 24 horas.

Q3. Una organización del sector público está desplegando WiFi de invitados en varias bibliotecas utilizando Aruba Central en AOS-10. La política de seguridad exige que todo el tráfico de invitados esté cifrado en el aire, pero los directores de las bibliotecas desean una experiencia de inicio de sesión fluida y sin fricciones. ¿Cómo puede el arquitecto de redes inalámbricas cumplir ambos requisitos utilizando Aruba y Purple?

Sugerencia: Considere las diferencias entre Open, OWE (Enhanced Open) y WPA2/WPA3-Enterprise, y cómo interactúan con los portales cautivos.

Ver respuesta modelo

Para lograr tanto el cifrado en el aire como una experiencia de Captive Portal fluida, el arquitecto debe implementar "Enhanced Open" (Opportunistic Wireless Encryption - OWE) con un modo de transición si se requiere compatibilidad con dispositivos heredados. Enhanced Open cifra la conexión inalámbrica entre el cliente y el AP sin necesidad de una clave precompartida, protegiendo a los invitados de la escucha pasiva. 1. Configure el SSID de invitados en Aruba Central con el nivel de seguridad establecido en "Visitors" y la gestión de claves establecida en "Enhanced Open". 2. Habilite el "Modo de transición OWE" y asócielo con un SSID de invitados Open estándar para admitir dispositivos más antiguos que no son compatibles con WPA3 OWE. 3. Configure el perfil de Captive Portal externo apuntando a Purple como de costumbre. Esta combinación garantiza que los dispositivos modernos obtengan transporte inalámbrico cifrado automáticamente, mientras se les sigue redirigiendo a la página de inicio de Purple para la captura de datos y el cumplimiento normativo.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →