Captive Portal for Cisco Meraki

Una guía de referencia técnica autorizada de nivel intermedio para integrar los puntos de acceso Cisco Meraki MR con el Captive Portal en la nube de Purple. Cubre configuraciones paso a paso del panel de Meraki, ajustes del servidor RADIUS (puertos 1812/1813), excepciones de dominio con comodines para el walled garden y parámetros de tiempo de espera de sesión para despliegues de WiFi de invitados de alto rendimiento.

📖 8 min de lectura📝 1,892 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy vamos a tratar un tema que surge en casi todos los despliegues de WiFi para invitados empresariales en los que trabajamos: la configuración de un Captive Portal en los puntos de acceso Cisco Meraki MR, y específicamente cómo integrarlo con la plataforma en la nube de Purple mediante autenticación RADIUS. Tanto si es un MSP que incorpora a un nuevo cliente de hostelería como si es un arquitecto de redes interno en una cadena de tiendas, este episodio le proporcionará los pasos de configuración precisos y la justificación de cada uno de ellos.

Pongámonos en situación. Tiene un espacio (puede ser un hotel, un centro de conferencias, un estadio o un parque comercial) que cuenta con puntos de acceso Cisco Meraki MR gestionados a través del panel de control de Meraki. El objetivo es desplegar una experiencia de WiFi para invitados personalizada con su marca que recopile datos de origen, obligue a aceptar los términos del servicio y envíe los datos analíticos a una plataforma de marketing. Eso es exactamente para lo que se ha diseñado Purple, y Meraki es uno de nuestros despliegues de hardware más comunes a nivel mundial.

Ahora bien, el punto arquitectónico clave que debe comprender antes de tocar un solo ajuste es el siguiente: en Cisco Meraki, la autenticación RADIUS para una página de bienvenida no la procesa localmente el punto de acceso. La solicitud de acceso RADIUS (Access-Request) se origina en la nube de Meraki (desde la infraestructura del panel de control), no desde el AP en su LAN. Esta es una distinción crítica que confunde a muchos ingenieros en su primer despliegue de Meraki. Significa que su servidor RADIUS, en este caso el endpoint RADIUS en la nube de Purple, debe ser accesible desde internet, y las reglas de su cortafuegos deben permitir el tráfico desde los rangos de IP del panel de control de Meraki, no solo desde la subred local de su AP. Encontrará los rangos de IP actuales del panel de control en la sección de Ayuda y, a continuación, en Información del cortafuegos en su panel de control de Meraki.

Muy bien, entremos en la configuración. Le guiaré a través de este proceso en el orden en que lo haría en un despliegue real.

Paso uno: configuración del SSID. En el panel de control de Meraki, navegue a Wireless, luego a Configure y después a SSIDs. Seleccione la ranura de SSID que desea utilizar para el acceso de invitados. Asígnele un nombre claro, algo como GuestWiFi o NombreDelEstablecimiento guion bajo Guest. En los requisitos de asociación (Association requirements), establezca la seguridad (Security) en Open, sin cifrado. Esto es correcto e intencionado: la capa de seguridad para los invitados se gestiona mediante el Captive Portal y la autenticación RADIUS, no mediante el cifrado WPA. Si está realizando el despliegue en un entorno PCI DSS, querrá asegurarse de que el tráfico de invitados esté aislado en su propia VLAN, algo que trataremos en breve.

Paso dos: Captive Portal y autenticación. En la misma página de Control de acceso de su SSID, desplácese hacia abajo hasta la sección de Captive Portal. Establézcalo en Iniciar sesión con y, en el menú desplegable, seleccione mi servidor RADIUS. Este es el ajuste crítico que indica a Meraki que debe autenticar a los usuarios contra un servidor RADIUS externo antes de conceder acceso a la red. Debajo de eso, verá la opción de Fuerza del Captive Portal. Establézcala en Bloquear todo el acceso hasta que se complete el inicio de sesión. Esto es lo que aplica el walled garden (entorno cerrado); sin esto, los invitados podrían eludir el portal por completo.

Paso tres: Configuración del servidor RADIUS. En la sección RADIUS, haga clic en Añadir servidor. Necesitará tres datos de su cuenta de Purple: la dirección IP o FQDN del servidor RADIUS, el puerto de autenticación que es UDP 1812 y el secreto compartido. Purple proporciona estos datos en la sección de configuración del recinto del portal. Para garantizar la redundancia en entornos de producción, debería añadir un servidor RADIUS secundario (Purple proporciona un endpoint de failover). Establezca el puerto de contabilidad en UDP 1813 si desea que los datos de la sesión se envíen de vuelta al motor de analítica de Purple, algo que recomiendo encarecidamente para cualquier recinto donde el tiempo de permanencia y la duración de la sesión sean métricas significativas.

Una nota rápida sobre los atributos RADIUS. Meraki respeta el atributo Session-Timeout devuelto en la respuesta Access-Accept de RADIUS. Purple utiliza esto para controlar cuánto dura la sesión de un invitado antes de que se requiera una nueva autenticación. Para un hotel, podría establecerlo en 86.400 segundos (es decir, 24 horas). Para una cafetería, algo como 3.600 segundos (una hora) es más adecuado. También se respeta el atributo Idle-Timeout, pero solo si la contabilidad RADIUS está habilitada. Esto desconecta las sesiones inactivas, lo cual es importante para la gestión de la capacidad en recintos de alta densidad.

Paso cuatro: URL del Captive Portal. Vaya a Wireless, luego a Configure y después a Splash page. Seleccione su SSID de invitados en el menú desplegable. Establezca la URL personalizada del Captive Portal con la URL del portal de Purple para su recinto. Esta es la URL a la que Meraki redirigirá a los clientes no autenticados. Meraki añade parámetros de consulta a esta URL (incluido un parámetro login_url) que Purple utiliza para completar el proceso de autenticación. No modifique ni elimine estos parámetros.

Paso cinco: el walled garden. Aquí es donde la mayoría de las implementaciones experimentan problemas. El walled garden es la lista de dominios y rangos de IP a los que un dispositivo invitado puede acceder antes de haberse autenticado. Sin las entradas correctas, la propia página del Captive Portal no se cargará, ya que se bloqueará el acceso del navegador a la CDN de Purple y a los proveedores de inicio de sesión social.

Vuelva a Control de acceso para su SSID de invitado. Establezca el Walled garden en Walled garden habilitado. En el campo de rangos de Walled garden, debe añadir lo siguiente. Primero, los dominios de la plataforma Purple: star punto purple punto ai y star punto venuewifi punto com. Segundo, los dominios CDN que utiliza Purple para servir los recursos del portal: star punto cloudfront punto net y star punto akamaihd punto net. Tercero, la infraestructura de redirección de Meraki: star punto network-auth punto com. Cuarto, si ofrece opciones de inicio de sesión social, necesitará los dominios OAuth correspondientes. Para Google: accounts punto google punto com, star punto googleapis punto com, star punto gstatic punto com. Para Facebook: star punto facebook punto com, star punto fbcdn punto net y connect punto facebook punto net. Para Twitter o X: star punto twitter punto com y star punto twimg punto com.

Una nota importante sobre cómo gestiona Meraki los dominios con comodines en el walled garden. Meraki admite entradas con comodines utilizando el prefijo de asterisco, por ejemplo, star punto cloudfront punto net. Sin embargo, se trata de una coincidencia basada en DNS: Meraki resuelve el dominio y permite las direcciones IP resultantes. Esto significa que para los proveedores de CDN como CloudFront o Akamai, donde las IP resueltas pueden cambiar con frecuencia, debe utilizar el comodín de dominio en lugar de rangos de IP estáticas. Las entradas de IP estáticas son adecuadas para los endpoints RADIUS de Purple, que son estables, pero no para el tráfico de CDN.

Ahora hablemos de dos escenarios del mundo real en los que he trabajado directamente.

El primero es un hotel de 350 habitaciones en el Reino Unido. El cliente utilizaba puntos de acceso Meraki MR46 en tres edificios, con unos 400 dispositivos de invitados simultáneos en las horas punta. El despliegue inicial utilizaba una página de bienvenida de tipo clic, sin RADIUS, solo con aceptación de condiciones. El problema era que no tenían ninguna información sobre quién se conectaba, no captaban correos electrónicos y no tenían forma de realizar campañas de marketing tras la estancia. Los migramos a Purple con inicio de sesión basado en RADIUS. La configuración fue sencilla, pero el inconveniente fue que su cortafuegos ascendente estaba bloqueando el UDP saliente en el puerto 1812 a cualquier elemento fuera de la subred local. Una vez que añadimos los rangos de IP del panel de Meraki a la lista de permitidos del cortafuegos, la autenticación funcionó de inmediato. Tras el despliegue, el hotel captó las direcciones de correo electrónico de aproximadamente el 68 por ciento de los huéspedes que se conectaron en el primer mes, y su equipo de marketing realizó una campaña de reactivación que generó un aumento medible en las reservas directas.

El segundo escenario es una cadena de tiendas con 45 establecimientos, cada uno de ellos con puntos de acceso Meraki MR33. El reto aquí era la escala y la consistencia. Configurar manualmente 45 SSID con los ajustes de RADIUS y las listas de walled garden correctos habría sido propenso a errores y habría consumido mucho tiempo. La solución fue utilizar la configuración basada en plantillas de Meraki. Creamos una única plantilla de red con los ajustes correctos de SSID, RADIUS y walled garden, y luego vinculamos las 45 redes de las tiendas a esa plantilla. Cualquier cambio (por ejemplo, añadir un nuevo proveedor de inicio de sesión social al walled garden) se realiza una sola vez en la plantilla y se propaga a todas las tiendas automáticamente. A continuación, las analíticas de Purple agregaron los datos de afluencia y tiempo de permanencia de todas las tiendas, ofreciendo al equipo de operaciones de retail una vista de panel único del comportamiento de los clientes por tienda, por región y por hora del día.

Permítame darle tres reglas prácticas que le ahorrarán tiempo en cada despliegue de Captive Portal de Meraki.

Regla uno: Compruebe siempre los rangos de IP del Dashboard de Meraki antes de configurar RADIUS. Los rangos cambian ocasionalmente y, si su cortafuegos los bloquea, la autenticación fallará silenciosamente desde la perspectiva del usuario: simplemente verán que la página del portal se queda colgada. Utilice la herramienta de prueba de RADIUS integrada en el Dashboard, en la sección de Control de Acceso, para verificar la conectividad antes de la puesta en marcha.

Regla dos: Utilice comodines de dominio en el walled garden, no rangos de IP, para cualquier contenido alojado en CDN. Los rangos de IP de las CDN son amplios y cambian con frecuencia. Una entrada de dominio con comodín es más fácil de mantener y más fiable.

Regla tres: Habilite la contabilidad RADIUS en el puerto 1813 incluso si cree que aún no la necesita. Los datos de sesión son valiosos para solucionar problemas de desconexión y para alimentar métricas precisas de tiempo de permanencia en su plataforma de analíticas. No cuesta nada habilitarlo y es muy difícil de implementar a posteriori.

Ahora, algunas preguntas rápidas que me hacen con frecuencia.

¿Puedo utilizar la página de bienvenida integrada de Meraki en lugar de Purple? Sí, pero perderá la captura de datos, las analíticas, la automatización de marketing y la gestión de consentimiento que cumple con el GDPR. La página de bienvenida integrada está bien para un clic de acceso básico, pero no es una plataforma de inteligencia de clientes.

¿Funciona esta configuración en los cortafuegos Meraki MX además de en los puntos de acceso MR? La configuración de la página de bienvenida RADIUS es compatible con los puntos de acceso MR. Los dispositivos MX gestionan la autenticación de VPN de cliente de forma diferente. Específicamente para el WiFi de invitados, configurará los SSID de MR.

¿Qué pasa con WPA3? Los puntos de acceso Meraki MR son compatibles con WPA3 en SSID empresariales. Para despliegues de Captive Portal de invitados, el SSID suele ser Open, por lo que WPA3 no se aplica directamente. Sin embargo, si está desplegando un SSID de Passpoint o OpenRoaming junto a su SSID de Captive Portal (lo cual es compatible con Purple), ese SSID utiliza WPA3-Enterprise con 802.1X, y ahí es donde WPA3 resulta relevante.

Para resumir: la integración de Cisco Meraki y Purple está muy probada y es fiable, pero requiere prestar atención a tres aspectos: el enrutamiento de la IP de origen de RADIUS, la integridad del walled garden y la configuración del tiempo de espera de la sesión (session timeout). Si se configuran correctamente estos tres elementos, la implementación es sencilla. El caso de negocio es claro: los establecimientos que despliegan una plataforma de guest WiFi configurada correctamente con captura de datos obtienen de forma constante retornos medibles en el engagement de marketing y en la información operativa.

Si desea profundizar más, consulte la guía de Purple sobre la implementación de la autenticación 802.1X con RADIUS en la nube, y nuestra guía de despliegue de Cisco Wireless AP en el blog de Purple. Ambas están enlazadas en las notas del programa.

Gracias por escucharnos. Si tiene un escenario de despliegue específico que le gustaría que tratáramos, póngase en contacto con el equipo técnico de Purple. Nos vemos en el próximo episodio.

Conclusiones clave

✓Las solicitudes RADIUS de la página de inicio (splash page) para invitados de Cisco Meraki se originan en el Meraki Cloud Dashboard, no en los puntos de acceso MR locales.
✓Desvincular el WiFi de invitados en una capa agnóstica como Purple permite una captura de datos avanzada y análisis de marketing que cumplen con el GDPR.
✓Un walled garden robusto debe incluir dominios de Purple, hosts de CDN (*.cloudfront.net, *.akamaihd.net) y endpoints de OAuth social.
✓Cisco Meraki gestiona los dominios con comodines en el walled garden de forma dinámica mediante listas blancas basadas en DNS en tiempo real.
✓Los atributos RADIUS Session-Timeout e Idle-Timeout son esenciales para gestionar los pools de concesión DHCP en espacios de alta densidad.
✓Las configuraciones basadas en plantillas en el Meraki Dashboard permiten despliegues de WiFi de invitados consistentes y sin errores en espacios multisitio.

📚 Part of our core series: Multi-Tenant WiFi →

Resumen Ejecutivo

Esta guía de referencia autorizada proporciona un marco de configuración completo y paso a paso para integrar redes inalámbricas Cisco Meraki con el Captive Portal basado en la nube de Purple. Diseñado para responsables de TI, arquitectos de red y proveedores de servicios gestionados (MSP), este documento detalla las configuraciones exactas requeridas dentro del panel de Meraki para implementar una solución de WiFi para invitados segura y de alto rendimiento [1].

Al desacoplar la capa de inteligencia de invitados del hardware, los espacios empresariales pueden aprovechar las plataformas certificadas de Guest WiFi y WiFi Analytics de Purple para capturar datos de origen enriquecidos y conformes con el GDPR, garantizando al mismo tiempo la integridad de la red y el cumplimiento normativo [2]. Esta guía aborda parámetros de integración críticos, incluyendo la autenticación RADIUS (puertos 1812/1813), excepciones de dominio de walled garden, resolución de comodines de CDN y mecanismos de redirección de invitados en diversos espacios físicos como Retail , Healthcare , Hospitality y centros de Transport .

Análisis Técnico Detallado

Para integrar con éxito los puntos de acceso (AP) Cisco Meraki MR con un Captive Portal externo como Purple, los ingenieros de red deben comprender la arquitectura subyacente del plano de control y de datos. A diferencia de los controladores inalámbricos locales tradicionales, donde las solicitudes de autenticación RADIUS se originan en el controlador físico o en los AP individuales, Cisco Meraki emplea una arquitectura gestionada en la nube [1].

Separación del Plano de Control y del Plano de Datos

Cuando un cliente invitado se asocia con un SSID abierto configurado para un Captive Portal externo, el AP Meraki MR coloca al cliente en un estado de preautenticación. En este estado, se bloquea todo el tráfico excepto las consultas DNS, DHCP y el tráfico destinado a direcciones IP o nombres de host definidos explícitamente en el Walled Garden [3].

Los mensajes RADIUS Access-Request reales no son generados por el AP Meraki MR local. En su lugar, se originan en la Cisco Meraki Dashboard Cloud Infrastructure [1]. Esta es una distinción arquitectónica crucial:

> "Los mensajes de solicitud de acceso RADIUS para una página de bienvenida se originarán en el panel de control, no en los dispositivos Meraki locales. Por lo tanto, no se puede especificar aquí la dirección IP de la LAN privada del servidor RADIUS." [1]

Consequently, the upstream firewalls protecting your RADIUS servers must permit inbound traffic from the entire block of Meraki Dashboard outbound IP ranges, which are dynamic and region-specific [1]. These ranges can be retrieved dynamically via the Meraki Dashboard under Help > Firewall info [1].

RADIUS Authentication Protocol (PAP)

For sign-on splash page authentication, Meraki utilizes the Password Authentication Protocol (PAP) [1]. While PAP is historically unencrypted, the Meraki-Purple integration mitigates security risks through multi-layered encryption:

Client-to-Cloud Encryption: The guest client establishes a secure HTTPS (SSL/TLS) session directly with Purple's hosted Captive Portal. The credentials (e.g., social login tokens, email forms) are encrypted in transit from the client's browser to Purple's servers [1].
RADIUS Shared Secret Encryption: When the Meraki Cloud sends the RADIUS Access-Request to Purple's Cloud RADIUS server, it encrypts the user's password using the configured RADIUS Shared Secret and a standard XOR function in accordance with RFC 2865 [1]. This ensures that cleartext credentials are never transmitted over the public internet.

Supported RADIUS Attributes

The Meraki Cloud and Purple Cloud RADIUS exchange several key attributes during the authentication handshake to enforce session parameters and policies:

RADIUS Attribute	Type	Direction	Description & Practical Context
User-Name	String	Request	El identificador del usuario invitado (por ejemplo, dirección MAC o correo electrónico) [1].
User-Password	String	Request	La contraseña de usuario cifrada o el token de sesión [1].
Called-Station-ID	String	Request	Formateado como `AP_MAC:SSID_NAME` (por ejemplo, `AA-BB-CC-DD-EE-FF:GuestWiFi`). Crucial para el enrutamiento de políticas basadas en la ubicación [1].
Calling-Station-ID	String	Request	La dirección MAC física del cliente (por ejemplo, `11-22-33-44-55-66`). Se utiliza para el seguimiento de dispositivos y la reanudación de sesiones [1].
Session-Timeout	Integer	Accept	La duración máxima de la sesión en segundos. Tras la expiración, el cliente es redirigido de nuevo al Captive Portal [1].
Idle-Timeout	Integer	Accept	El tiempo de inactividad máximo en segundos. Si no se transfieren datos, la sesión se finaliza. Requiere RADIUS Accounting [1].
Filter-Id	String	Accept	Transmite el nombre de una política de grupo de Meraki específica para aplicar al cliente (por ejemplo, limitar el ancho de banda o bloquear categorías específicas) [1].

Implementation Guide

Esta guía de configuración paso a paso describe cómo integrar los puntos de acceso Cisco Meraki MR con el Captive Portal externo de Purple.

Step 1: Configure SSID Access Control

Vaya a Wireless > Configure > Access control en el panel de control de Meraki [1]. Seleccione su SSID de invitados de destino y configure los siguientes parámetros:

Association Requirements: Establézcalo en Open (no encryption) [1]. Esto garantiza una experiencia de incorporación sin fricciones. Si necesita un tránsito de invitados cifrado, considere implementar Passpoint / Hotspot 2.0 con Cloud RADIUS [4].
Splash Page: Seleccione Sign-on with y elija my RADIUS server en el menú desplegable [1].
RADIUS Servers: Haga clic en Add server e introduzca los endpoints primario y secundario de Cloud RADIUS de Purple [1]:
- Host IP: 116.203.120.121 (Primario) y 195.201.123.149 (Secundario)
- Port: 1812 (Autenticación) [1]
- Secret: [Su secreto compartido de Purple]
RADIUS Accounting: Establézcalo en RADIUS accounting is enabled y añada los servidores de contabilidad:
- Host IP: 116.203.120.121 (Primario) y 195.201.123.149 (Secundario)
- Port: 1813 (Contabilidad)
- Secret: [Su secreto compartido de Purple]
Captive Portal Strength: Seleccione Block all access until sign-on is complete [1]. Esto obliga estrictamente a que los clientes no puedan acceder a internet sin pasar por la splash page.

Paso 2: Configurar la URL personalizada de la Splash Page

Vaya a Wireless > Configure > Splash page [1]. Seleccione su SSID de invitados y configure:

Custom Splash URL: Seleccione Or point to a custom URL e introduzca la URL de redirección de Purple:
- https://login.venuewifi.com/ip/v2/meraki
Splash Page Redirect: Establézcalo en The URL they were trying to fetch o rediríjalos a una página de destino específica (por ejemplo, la página de inicio de su establecimiento) [3].

Paso 3: Configurar las excepciones de nombres de dominio del Walled Garden

Para garantizar que los clientes invitados puedan cargar el Captive Portal, descargar recursos de las redes de distribución de contenido (CDN) y completar la autenticación social (por ejemplo, OAuth de Google o Facebook), debe habilitar y configurar el Walled Garden [3].

Vaya de nuevo a Wireless > Configure > Access control y busque la sección Walled Garden [1].

Establezca Walled Garden en Walled garden is enabled [1].
En el campo Walled garden ranges, introduzca los FQDN y dominios comodín requeridos [1].

Cómo gestiona Meraki los comodines y el tráfico CDN

Los puntos de acceso Cisco Meraki MR admiten dominios comodín en el walled garden utilizando el prefijo de asterisco (por ejemplo, *.purple.ai) [1]. Sin embargo, es fundamental comprender el funcionamiento subyacente:

Lista blanca basada en DNS: El AP de Meraki intercepta las solicitudes DNS del cliente. Cuando el cliente solicita un dominio que coincide con una entrada en el walled garden, el AP resuelve el dominio a su dirección IP actual y permite temporalmente que el cliente se comunique con esa IP [3].
IP de CDN dinámicas: las CDN como Amazon CloudFront (*.cloudfront.net) y Akamai (*.akamaihd.net) se resuelven en direcciones IP muy dinámicas y distribuidas geográficamente que cambian con frecuencia. La lista blanca basada en DNS de Meraki gestiona esto de forma fluida resolviendo los dominios en tiempo real. Nunca utilice direcciones IP estáticas para los recursos de la CDN en su walled garden, ya que esto provocará fallos de carga intermitentes en los recursos del portal.

Buenas prácticas

Para garantizar una alta disponibilidad, seguridad y una experiencia de usuario óptima, siga estas buenas prácticas de despliegue estándar del sector:

1. Segmentación de red y aislamiento de VLAN

Nunca conecte el tráfico de invitados directamente a su LAN corporativa. Configure sus AP Meraki MR para etiquetar el tráfico de invitados con una VLAN de invitados dedicada (por ejemplo, VLAN 30) [4]. Asegúrese de que esta VLAN termine en una DMZ o en una instancia de enrutamiento y reenvío virtual (VRF) independiente en su firewall ascendente. Esto mitiga los riesgos de movimiento lateral y garantiza el cumplimiento de normativas de seguridad como PCI DSS y GDPR [2] [4].

2. Configurar la tolerancia a fallos y la resiliencia de las sesiones

Los enlaces de red pueden fallar. Para evitar que los invitados se queden sin acceso a Internet durante una caída del servidor de autenticación, configure la Política de tolerancia a fallos de RADIUS en el panel de Meraki:

Política de tolerancia a fallos: establézcala en Denegar acceso para obtener la máxima seguridad, o en Permitir acceso si se prioriza mantener la conectividad de los invitados sobre la captura de datos durante una caída.
Servidores secundarios: configure siempre servidores RADIUS tanto primarios como secundarios para distribuir la carga y proporcionar una tolerancia a fallos automática [1].

3. Implementar tiempos de espera de sesión e inactividad

Gestione su espectro inalámbrico y las concesiones de su pool de DHCP configurando los parámetros de tiempo de espera adecuados [1]:

Tiempo de espera de la sesión: establézcalo en 1440 minutos (24 horas) para entornos de hostelería, lo que permite a los invitados permanecer conectados durante toda su estancia sin tener que volver a autenticarse constantemente [1]. Para comercios o transporte público, redúzcalo a 120 minutos (2 horas) para fomentar una nueva interacción y liberar concesiones de DHCP.
Tiempo de espera por inactividad: establézcalo en 15 minutos. Si el dispositivo de un cliente entra en modo de suspensión o abandona el establecimiento, el AP finaliza la sesión, recuperando los recursos de red [1].

Resolución de problemas y mitigación de riesgos

Al desplegar Captive Portals externos en Cisco Meraki, los ingenieros suelen encontrarse con tres modos de fallo principales. Utilice esta matriz de diagnóstico para aislar y resolver problemas rápidamente:

Síntoma	Causa raíz	Paso de diagnóstico	Solución
La página de bienvenida no se carga; el navegador muestra "Tiempo de espera de conexión agotado".	El firewall ascendente está bloqueando el tráfico DNS o HTTP/HTTPS saliente hacia la CDN de Purple [1].	Intente resolver `login.venuewifi.com` desde un dispositivo cableado en la misma VLAN.	Asegúrese de que la VLAN de invitados tenga acceso saliente a DNS público (UDP 53) y HTTP/HTTPS (TCP 80/443).
La página de inicio (Splash page) se carga, pero las credenciales de usuario no se autentican.	El firewall ascendente está bloqueando el tráfico RADIUS originado en Meraki Cloud [1].	Utilice la utilidad RADIUS Test en el panel de Meraki bajo Access Control [1].	Añada los rangos de IP salientes del panel de Meraki (que se encuentran en Help > Firewall info) a la lista de permitidos salientes de su firewall para los puertos UDP 1812 y 1813 [1].
El inicio de sesión social (por ejemplo, Google OAuth) falla con un error de redirección.	Faltan los dominios auxiliares de OAuth requeridos en el Walled Garden de Meraki [1].	Compruebe la consola del navegador en el dispositivo cliente para ver si hay cargas de recursos bloqueadas.	Añada los dominios obligatorios de OAuth (por ejemplo, `.googleapis.com`, `.gstatic.com`) a la lista del Walled Garden [1].

ROI e impacto empresarial

La integración de Cisco Meraki con Purple transforma el WiFi para invitados de un centro de costes en un activo empresarial estratégico. Al aprovechar el hardware de nivel empresarial junto con la analítica avanzada, las organizaciones obtienen retornos medibles en múltiples dimensiones:

Monetización de datos y alcance de marketing: Al capturar direcciones de correo electrónico verificadas y perfiles sociales, los establecimientos crean una base de datos limpia y compatible con el GDPR de datos de clientes de origen (first-party data) [2]. Esto se integra directamente en los sistemas de gestión de relaciones con los clientes (CRM) y de automatización de marketing, lo que permite realizar campañas de marketing hiperlocales y altamente segmentadas.
Eficiencia operativa: El proceso de incorporación automatizado a través de Purple reduce la carga de trabajo del personal de recepción y de soporte de TI. En entornos de hostelería, esto se traduce en menos quejas de los huéspedes sobre la conectividad WiFi y menores costes operativos.
Analítica avanzada de afluencia: Al combinar las API de ubicación de Meraki con el motor de analítica de Purple, los operadores de los establecimientos obtienen información detallada sobre el comportamiento de los visitantes, incluida la afluencia, los tiempos de permanencia, las tasas de retorno y las horas de mayor actividad [2]. Estos datos permiten tomar decisiones fundamentadas sobre la dotación de personal, la distribución de las tiendas y la valoración de los activos inmobiliarios.

Referencias

Definiciones clave

Captive Portal

Una página web que se muestra a los usuarios recién conectados a una red Wi-Fi antes de que se les conceda un acceso más amplio a los recursos de la red.

Utilizado por los establecimientos para aplicar las condiciones de servicio, recopilar datos de los usuarios y autenticar a los invitados a través de RADIUS antes de permitir el acceso a Internet.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

Los AP de Meraki consultan los servidores Cloud RADIUS de Purple para verificar las credenciales de los invitados y autorizar el acceso a la red.

Walled Garden

Un conjunto restringido de direcciones IP o nombres de dominio a los que los clientes invitados no autenticados pueden acceder antes de completar el proceso de inicio de sesión en el Captive Portal.

Crucial para permitir que los clientes accedan a la página de inicio alojada, descarguen recursos CSS/JS de las CDN y se comuniquen con los endpoints OAuth de inicio de sesión social.

Session-Timeout

Un atributo RADIUS RFC 2865 que especifica el número máximo de segundos que una sesión de usuario puede permanecer activa antes de requerir una nueva autenticación.

Devuelto por Purple RADIUS en el paquete Access-Accept para controlar cuánto tiempo permanece conectado un invitado (por ejemplo, 24 horas para los huéspedes de un hotel).

Idle-Timeout

Un atributo RADIUS que define el periodo máximo de inactividad (sin transferencia de datos) permitido antes de que se finalice la sesión del usuario.

Se utiliza para desconectar dispositivos inactivos y recuperar direcciones IP en entornos de alta densidad como estadios o tiendas minoristas.

PAP (Password Authentication Protocol)

Un protocolo de autenticación sencillo y no cifrado utilizado por RADIUS para validar las credenciales de los usuarios.

Requerido por Cisco Meraki para la autenticación RADIUS de páginas de inicio externas. La seguridad se mantiene cifrando el tránsito de cliente a portal a través de HTTPS y cifrando el campo de contraseña del paquete RADIUS mediante el secreto compartido.

Passpoint (Hotspot 2.0)

Un estándar del sector desarrollado por la Wi-Fi Alliance que permite el roaming automático similar al de la telefonía móvil y la conexión segura a redes Wi-Fi.

Compatible con los puntos de acceso Meraki MR y Purple para permitir una incorporación de invitados fluida y basada en certificados sin necesidad de utilizar un Captive Portal.

CMX (Cisco Meraki Location APIs)

Un framework de API que permite a los puntos de acceso de Meraki exportar datos de ubicación y presencia en tiempo real (solicitudes de sonda) a plataformas de análisis de terceros.

Integrado con Purple para proporcionar análisis detallados de afluencia, tiempo de permanencia y tasa de retorno para establecimientos físicos.

Ejemplos prácticos

¿Cómo debe configurar el arquitecto de red el panel de Meraki y los ajustes de RADIUS para un hotel de lujo de 350 habitaciones que utiliza puntos de acceso Cisco Meraki MR46, necesita desplegar una red WiFi de invitados segura, capturar los correos electrónicos de los huéspedes, limitar el ancho de banda a 5 Mbps por usuario y garantizar que solo tengan que iniciar sesión una vez cada 7 días?

Configuración del SSID: Configure un SSID abierto llamado 'Hotel_Guest' con la página de bienvenida (splash page) establecida en 'Iniciar sesión con' y 'mi servidor RADIUS'.\n2. Configuración de RADIUS: Introduzca las IP de RADIUS principal (116.203.120.121) y secundaria (195.201.123.149) de Purple. Establezca el puerto de autenticación en 1812 y el puerto de contabilidad (accounting) en 1813. Configure el secreto compartido.\n3. Parámetros de tiempo de espera: En el perfil del servidor RADIUS o en el panel de Purple, establezca el atributo Session-Timeout en 604800 segundos (7 días) e Idle-Timeout en 1800 segundos (30 minutos) para liberar las concesiones DHCP inactivas.\n4. Modelado de tráfico: En el panel de Meraki, en Wireless > Configure > Firewall & traffic shaping, seleccione el SSID, active el modelado de tráfico y establezca un límite por cliente de 5 Mbps de bajada y 2 Mbps de subida.\n5. Walled Garden: Active el walled garden y añada *.purple.ai, *.venuewifi.com y los comodines de CDN necesarios como *.cloudfront.net para permitir que la página de bienvenida se cargue antes de la autenticación.

Comentario del examinador: Esta solución equilibra con éxito la experiencia del usuario con el rendimiento de la red. El uso de un Session-Timeout de 7 días evita la fatiga de inicio de sesión para los huéspedes de estancias largas, mientras que el Idle-Timeout de 30 minutos evita el agotamiento de direcciones IP en el pool de DHCP. Es preferible configurar el modelado de tráfico directamente en los AP de Meraki en lugar de depender de los atributos de RADIUS (como Maximum-Data-Rate-Downstream), ya que reduce la sobrecarga de procesamiento en los AP y proporciona un mecanismo de aplicación más consistente.

Una cadena de tiendas nacional con 45 establecimientos desea desplegar WiFi de invitados en todas sus ubicaciones utilizando AP Meraki MR33. Necesitan garantizar una configuración uniforme, bloquear el acceso a la red corporativa y recopilar análisis de afluencia. ¿Cómo debe implementarse esto a escala?

Plantillas de configuración: Cree una única Plantilla de Configuración de Red en el panel de Meraki. Configure el SSID de invitados con los ajustes de RADIUS de Purple, los dominios del walled garden y la URL de bienvenida personalizada: https://login.venuewifi.com/ip/v2/meraki. Vincule las 45 redes de las tiendas a esta plantilla.\n2. Segmentación de VLAN: En el switch local y el firewall de cada tienda, configure una VLAN de invitados dedicada (por ejemplo, VLAN 50). En la configuración del SSID de Meraki, establezca la asignación de IP de cliente en 'Servidor DHCP externo' y especifique la VLAN 50. Asegúrese de que el firewall bloquee todo el enrutamiento desde la VLAN 50 hacia las subredes corporativas.\n3. Análisis de ubicación: Active la API de escaneo de Meraki (CMX) en el panel de Meraki en Network-wide > Configure > General. Introduzca la URL de envío (Post URL) de Purple y el validador secreto. Esto permite que los AP de Meraki transmitan datos de solicitudes de sondeo (probe requests) en tiempo real al motor de análisis de Purple para generar informes de afluencia y tiempo de permanencia.

Comentario del examinador: El despliegue a escala requiere automatización y una gestión basada en plantillas. Al vincular todas las redes a una única plantilla, cualquier actualización futura del walled garden (como añadir un nuevo proveedor de inicio de sesión social) se puede aplicar a las 45 tiendas de forma instantánea, eliminando los errores de configuración manual. La activación de la API de escaneo de Meraki junto con la contabilidad de RADIUS garantiza que el distribuidor capture tanto las métricas de las sesiones activas de los invitados como las de afluencia de visitantes pasivos, maximizando el valor comercial del despliegue.

Preguntas de práctica

Q1. Un ingeniero de redes despliega un nuevo SSID de invitados de Meraki con un Captive Portal de Purple. Los clientes no autenticados son redirigidos correctamente a la página de inicio de sesión, pero cuando intentan usar "Iniciar sesión con Google", la página se queda cargando y finalmente falla con un error de DNS o de tiempo de espera. Otros métodos de inicio de sesión (como el formulario de correo electrónico) funcionan perfectamente. ¿Cuál es la causa más probable de este problema y cómo debería resolverse?

Sugerencia: Considere a qué dominios externos debe acceder el navegador del cliente para completar el protocolo de enlace de Google OAuth antes de que se complete la autenticación RADIUS.

Ver respuesta modelo

La causa más probable es que los dominios auxiliares de Google OAuth no están incluidos en la configuración del Walled Garden del SSID de Meraki. Aunque los dominios principales de Purple y los dominios de la CDN están permitidos (por eso se carga la página de bienvenida), los servidores de autenticación de Google están siendo bloqueados por las reglas de firewall de preautenticación del AP. Para resolver esto, vaya a Wireless > Configure > Access control, seleccione el SSID de invitados y añada los siguientes dominios de Google OAuth a la lista del Walled Garden: accounts.google.com, *.googleapis.com, *.gstatic.com y *.googleusercontent.com. Una vez guardado, el AP permitirá al cliente completar el protocolo de enlace de autenticación de Google y redirigirlo de nuevo a Purple para completar el inicio de sesión RADIUS.

Q2. Durante una auditoría posterior al despliegue de una red WiFi en un estadio de alta densidad, el equipo de TI observa que el pool de DHCP para la VLAN de invitados (una subred /21 con 2048 direcciones IP) se agota por completo dentro de las primeras 2 horas de un evento, a pesar de que las conexiones simultáneas activas nunca superan las 800. El registro de RADIUS (RADIUS accounting) está habilitado. ¿Cómo puede el arquitecto de red ajustar la configuración de Meraki y RADIUS para mitigar este problema?

Sugerencia: Analice la relación entre los tiempos de espera de sesión de los clientes, los tiempos de espera por inactividad y los tiempos de concesión de DHCP en entornos transitorios de alta densidad.

Ver respuesta modelo

El agotamiento del pool de DHCP es causado por clientes transitorios (usuarios que pasan caminando o entran al estadio brevemente) que se conectan, obtienen una dirección IP y luego abandonan el recinto. Debido a que el Session-Timeout predeterminado de Meraki o el tiempo de concesión de DHCP es demasiado largo, esas direcciones IP permanecen reservadas aunque los dispositivos físicos ya no estén presentes. Para resolver esto, el arquitecto debe implementar tres cambios coordinados: 1) Reducir el tiempo de concesión de DHCP: En el servidor DHCP (o en el dispositivo de seguridad de Meraki que gestiona el DHCP), reduzca el tiempo de concesión a 10 o 15 minutos. 2) Configurar el tiempo de espera por inactividad (Idle Timeout): Asegúrese de que el registro de RADIUS esté habilitado en el puerto 1813 y configure un Idle-Timeout de 10 minutos (600 segundos) en el perfil Access-Accept de RADIUS. Esto le indica al AP de Meraki que finalice la sesión de cualquier cliente inactivo durante 10 minutos. 3) Acortar el tiempo de espera de la sesión (Session Timeout): Reduzca el Session-Timeout global para el perfil del estadio a 120 minutos (7200 segundos) para forzar la reevaluación periódica de los dispositivos activos.

Q3. Un MSP está configurando un SSID de invitados de Meraki con un Captive Portal de Purple. Han introducido las IP y los puertos correctos del servidor RADIUS de Purple (1812/1813) en el Dashboard de Meraki, pero al realizar la prueba con la herramienta de prueba de RADIUS integrada, todos los puntos de acceso fallan al conectarse con el servidor. El MSP verifica que el secreto compartido de RADIUS es correcto y que la nube de Purple está en línea. ¿Qué configuración de enrutamiento o firewall probablemente pasó por alto el MSP?

Sugerencia: Recuerde desde dónde se originan las solicitudes de autenticación RADIUS en una arquitectura gestionada en la nube de Cisco Meraki.

Ver respuesta modelo

Es probable que el MSP haya configurado los firewalls de su red local para permitir el tráfico RADIUS saliente desde las subredes de los AP locales, pero olvidó que en un despliegue de página de bienvenida de Meraki, las solicitudes Access-Request de RADIUS se originan directamente desde la infraestructura en la nube del Dashboard de Cisco Meraki, no desde los AP locales. Para resolver esto, el MSP debe obtener los rangos de IP salientes del Dashboard de Meraki (que se encuentran en el Dashboard de Meraki en Help > Firewall info) y configurar su firewall corporativo ascendente para permitir el tráfico UDP entrante y saliente en los puertos 1812 (Autenticación) y 1813 (Contabilidad/Accounting) entre esos rangos de IP del Dashboard de Meraki y los servidores Cloud RADIUS de Purple. Además, deben asegurarse de que las IP del Dashboard de Meraki se agreguen como clientes RADIUS válidos en la configuración del portal de Purple.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.