Saltar al contenido principal
Español

Captive Portal para Ruckus

Esta guía de referencia técnica proporciona un manual de integración de referencia para desplegar Captive Portals externos en arquitecturas CommScope Ruckus SmartZone y Unleashed. Guía a los ingenieros de redes a través de configuraciones paso a paso para WLAN de invitados, redirección WISPr, configuración de servidores RADIUS AAA y excepciones de Walled Garden para ofrecer una solución de WiFi para invitados segura y de alta densidad.

📖 14 min de lectura📝 3,327 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy vamos a cubrir algo que surge en casi todas las implementaciones de WiFi para empresas que vemos: la configuración de un Captive Portal en los controladores Ruckus SmartZone y Ruckus Unleashed. Tanto si es un MSP que despliega WiFi para invitados en una cadena hotelera, un responsable de TI de hostelería que estrena una nueva propiedad, o un ingeniero de redes inalámbricas que integra la plataforma de Purple con una infraestructura Ruckus, este episodio es para usted. Comencemos. --- En primer lugar, ¿por qué es importante la integración del Captive Portal de Ruckus? Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi para empresas dominantes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad: estadios, centros de convenciones, grandes hoteles y cadenas de tiendas. Cuando se despliega WiFi para invitados a esa escala, se necesita algo más que un SSID abierto. Se necesita un flujo de autenticación estructurado, captura de datos que cumpla con el GDPR y la capacidad de enviar esos datos de invitados a su pila de marketing. Ahí es exactamente donde entra una plataforma externa de Captive Portal como Purple. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr significa Wireless Internet Service Provider roaming (itinerancia de proveedor de servicios de Internet inalámbrico); es un estándar del sector que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID, su dispositivo envía una solicitud HTTP, el controlador SmartZone la intercepta y emite un redireccionamiento HTTP 302 a la URL de su portal externo. El invitado se autentica (ya sea a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y, a continuación, el portal se comunica con el controlador a través de la interfaz Northbound, o NBI, para conceder el acceso. Limpio, basado en estándares y altamente fiable cuando se configura correctamente. --- Pasemos ahora a la configuración técnica. Analizaré primero SmartZone y luego cubriré las diferencias para Unleashed. En SmartZone —y esto se aplica tanto a las implementaciones físicas de SZ300 como a las virtuales de vSZ— la configuración consta de cuatro componentes principales: el perfil del servidor de autenticación RADIUS, el perfil del servidor de contabilidad (accounting) RADIUS, el perfil del portal Hotspot WISPr y la propia WLAN. Comience con sus servidores RADIUS. Vaya a Servicios y perfiles, luego a Autenticación. Cree un nuevo perfil de servidor AAA. Establezca el protocolo de servicio en RADIUS. El proveedor de su portal le facilitará la IP del servidor principal y el secreto compartido; en el caso de Purple, estos están documentados en la consola de administración del portal de Purple. Puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia (puerto 1812 también en el secundario). Luego haga lo mismo para la contabilidad en Servicios y perfiles, Contabilidad: puerto 1813, mismo secreto compartido. A continuación, el perfil Hotspot WISPr. Vaya a Administration, External Services, WISPr Northbound Interface, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL en External e introduzca la URL de redirección de su portal; esta es la URL a la que se enviará a sus invitados antes de que se autentiquen. Configure la Start Page para redirigir a una URL posterior a la autenticación, normalmente una página de éxito o la página web de su establecimiento. Ahora, el Walled Garden. Aquí es donde muchos ingenieros suelen cometer errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal y los endpoints estándar de detección de Captive Portal del sistema operativo. En SmartZone, se admiten comodines mediante el formato asterisco-punto (por ejemplo, asterisco-punto-purple-punto-ai). Esa única entrada cubre todos los subdominios. También debe incluir los dominios de detección de Captive Portal de Apple (captive.apple.com) y los endpoints de comprobación de conectividad de Google para evitar que el mini-navegador CNA funcione incorrectamente en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto: por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. El proveedor de su portal necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Eso es todo: un solo comando, pero es un elemento bloqueante si lo omite. La interfaz Northbound Interface es la otra pieza. Esta es la API que permite a la plataforma de su portal comunicarse de vuelta con SmartZone para conceder o denegar el acceso tras la autenticación. Actévela en Administration, External Services, WISPr Northbound Interface. Establezca un nombre de usuario y una contraseña, y proporcione esas credenciales al proveedor de su portal. La NBI funciona en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su cortafuegos permita conexiones entrantes desde el rango de IP de la plataforma de su portal a estos puertos. Finalmente, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione el perfil de su portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en User-defined si el proveedor de su portal requiere un valor específico, configure Called Station ID como AP MAC y active Single Session ID. Este último ajuste garantiza que la sesión de un invitado esté vinculada a un único registro de sesión del controlador, lo cual es importante para una contabilidad precisa. --- Ahora pasemos a Unleashed. La arquitectura es fundamentalmente diferente: Unleashed es un modelo distribuido y sin controlador en el que un AP actúa como maestro. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son muy similares (crear un servicio Hotspot, configurar la URL del portal externo, configurar su servidor de autenticación AAA, añadir sus entradas de Walled Garden), pero existen diferencias clave. En primer lugar, no hay ningún requisito de interfaz Northbound en Unleashed. El modelo de comunicación de Captive Portal es más sencillo. En segundo lugar, el cifrado de direcciones MAC no se aplica por defecto en Unleashed, por lo que no necesita el comando CLI. En tercer lugar, el walled garden de Unleashed acepta entradas a nivel de dominio en lugar de la sintaxis comodín completa; por lo tanto, introduciría purple.ai en lugar de star-dot-purple.ai. Consulte la documentación de su proveedor para conocer el formato exacto que requieren. Unleashed escala a unos 50 puntos de acceso, lo que lo hace adecuado para hoteles de tamaño medio, sucursales minoristas y despliegues de pymes. Para cualquier proyecto de mayor envergadura (grupos hoteleros multipropiedad, estadios, grandes complejos comerciales), SmartZone es la plataforma adecuada. --- Permítame analizar los dos modos de fallo más comunes que veo sobre el terreno. El primero es la configuración incorrecta del walled garden. Si la página de su Captive Portal no se carga después de la redirección, lo primero que debe comprobar es si todos los dominios a los que hace referencia la página de su Captive Portal están en el walled garden. Las páginas de Captive Portal modernas cargan recursos de múltiples dominios CDN, scripts de análisis y SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. El segundo es el problema de conectividad NBI. Si los invitados pueden ver el Captive Portal y autenticarse, pero nunca obtienen acceso a internet, la causa más probable es que SmartZone no pueda recibir la devolución de llamada NBI desde su plataforma de Captive Portal. Compruebe que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de gestión de SmartZone desde el rango de IP de su proveedor de Captive Portal. Verifique también que las credenciales NBI que ha configurado coincidan con las que tiene registradas su proveedor de Captive Portal. Un tercero que merece la pena mencionar: Apple CNA, el Captive Network Assistant. En iOS, cuando un dispositivo se conecta a una red, envía una consulta a captive.apple.com. Si esa consulta recibe una respuesta distinta de 200, iOS abre el mini-navegador. Si captive.apple.com está en su walled garden, la consulta se realiza correctamente, iOS asume que hay internet y el CNA no aparece. Esto parece algo positivo, pero significa que sus invitados no verán el Captive Portal automáticamente. Debe decidir: ¿desea que aparezca el CNA o prefiere que los invitados abran un navegador manualmente? La mayoría de los despliegues de hostelería mantienen captive.apple.com fuera del walled garden para activar el CNA. --- Preguntas rápidas. Tres preguntas que me hacen constantemente. ¿Necesito una VLAN para mi WLAN de invitados? Sí. Aísle siempre el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma red. ¿Puedo utilizar Purple con Ruckus Cloud en lugar de SmartZone? Sí, pero la ruta de configuración es diferente: se encuentra en Configuración de WiFi Networks, Guest Access. Los principios de configuración del walled garden y de RADIUS son los mismos. ¿Soporta Purple los despliegues multizona de SmartZone? Sí. La integración de Purple gestiona entornos SmartZone multizona, y puede acotar las configuraciones del portal a zonas individuales para diferentes recintos o plantas. --- Para concluir. La integración del Captive Portal de Ruckus SmartZone con Purple es un patrón de despliegue maduro y bien documentado que ofrece una autenticación de invitados fiable a escala. Los puntos clave de configuración son: RADIUS en los puertos 1812 and 1813 con un servidor de respaldo, el perfil WISPr de Hotspot con una URL de inicio de sesión externa, un walled garden correctamente acotado mediante entradas con comodines, el comando de CLI no encrypt-mac-ip y la Northbound Interface habilitada con las credenciales correctas. Asegure estos cinco elementos y tendrá una base sólida. Para los despliegues de Unleashed, se aplican los mismos principios con un modelo de configuración más sencillo y sin el requisito de NBI. Si está desplegando Purple en Ruckus y desea validar su configuración antes de la puesta en marcha, el equipo de incorporación técnica de Purple puede guiarle a través de una lista de verificación previa al lanzamiento. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de las sesiones, lo que le ofrece la visibilidad necesaria para detectar problemas antes de que lo hagan sus invitados. Gracias por escucharnos. En el próximo episodio cubriremos la autenticación 802.1X con Cloud RADIUS, otra integración que combina a la perfección con Ruckus SmartZone para el acceso de invitados corporativos. Hasta entonces.

📚 Parte de nuestra serie principal: WiFi multi-tenant

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

Definiciones clave

WISPr (Wireless Internet Service Provider roaming)

Un borrador de protocolo desarrollado por la Wi-Fi Alliance que permite a los clientes inteligentes y a los navegadores web autenticarse automáticamente en un punto de acceso inalámbrico mediante redireccionamiento XML estandarizado o HTTP 302.

Se utiliza como protocolo de redireccionamiento principal en las controladoras Ruckus para redirigir dispositivos de invitados no autenticados a plataformas externas de Captive Portal.

Northbound Interface (NBI)

Una API expuesta por la controladora Ruckus SmartZone que permite a los portales web externos enviar devoluciones de llamada de autorización, indicando a la controladora que conceda acceso a Internet a una dirección MAC de cliente específica.

Debe habilitarse en el puerto TCP 9080 (HTTP) o 9443 (HTTPS) para permitir que Purple autorice las sesiones de invitados después de un inicio de sesión correcto.

Walled Garden

Una lista de direcciones IP, subredes o nombres de dominio a los que los clientes invitados no autenticados pueden acceder antes de la autenticación.

Debe configurarse con el dominio del portal, las CDN y los endpoints de detección de Captive Portal del sistema operativo para garantizar que la página de bienvenida se cargue correctamente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que funciona en los puertos UDP 1812 (Autenticación) y 1813 (Contabilidad) que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios.

Las controladoras Ruckus reenvían los datos de la sesión del cliente a los servidores RADIUS de Purple para validar las credenciales y realizar el seguimiento de la duración de las sesiones.

CNA (Captive Network Assistant)

Un navegador ligero y limitado integrado en los sistemas operativos (como Apple iOS/macOS y Android) que se ejecuta automáticamente cuando se detecta una red abierta con un Captive Portal activo.

Se puede omitir en la configuración de la WLAN si los ingenieros desean forzar a los invitados a abrir un navegador completo manualmente para completar la autenticación.

Interim Accounting Update

Un mensaje RADIUS periódico enviado por la controladora inalámbrica al servidor RADIUS para actualizar el estado de la sesión activa, el consumo de ancho de banda y el tiempo de conexión.

Debe establecerse en 5 minutos en la configuración de la WLAN de Ruckus para garantizar que el panel de Purple muestre análisis precisos en tiempo real.

Client Isolation

Una función de seguridad configurada en la controladora inalámbrica que impide que los clientes inalámbricos conectados al mismo AP o SSID se comuniquen directamente entre sí.

Esencial para las redes WiFi de invitados para proteger a los usuarios de la suplantación de ARP local, ataques de tipo man-in-the-middle y escaneo no autorizado de dispositivos.

WPA3-Transition Mode

Una configuración de seguridad que permite que los dispositivos más antiguos compatibles con WPA2 y los dispositivos más nuevos compatibles con WPA3 se conecten al mismo SSID simultáneamente.

Se puede implementar en redes de invitados con Opportunistic Wireless Encryption (OWE) para proporcionar cifrado por aire para SSID abiertos sin necesidad de una contraseña.

Ejemplos prácticos

Un centro de conferencias de alta densidad que tiene implementado Ruckus SmartZone (vSZ) necesita habilitar una red WiFi de invitados utilizando el Captive Portal de Purple. La red debe soportar hasta 5.000 sesiones concurrentes, aislar el tráfico de invitados de las subredes corporativas y admitir la autenticación mediante inicio de sesión social.

  1. Configure una VLAN de invitados 200 dedicada en los switches troncales y asóciela a la zona de AP de Ruckus. Defina un rango de DHCP con servidores DNS públicos (por ejemplo, 1.1.1.1, 8.8.8.8) y un tiempo de concesión corto (2 horas) para adaptarse a la alta rotación.
  2. En SmartZone, vaya a Services & Profiles > Authentication > Proxy (SZ Authenticator) y cree servidores RADIUS principales y de respaldo que apunten a las IP de Cloud RADIUS de Purple en el puerto 1812 con el secreto compartido proporcionado.
  3. Cree servidores de RADIUS Accounting que apunten a las IP de Accounting de Purple en el puerto 1813. Establezca el intervalo de actualización provisional en 5 minutos para realizar un seguimiento preciso de las sesiones activas.
  4. Cree un perfil de Hotspot WISPr Portal. Establezca la URL de inicio de sesión en 'External' con la URL de redirección de Purple. Añada excepciones de comodín en el walled garden para '.purple.ai', '.cloudfront.net' y dominios de redes sociales (por ejemplo, '*.facebook.com').
  5. Cree el WLAN de invitados. Establezca el tipo de autenticación en Hotspot (WISPr), seleccione el perfil de Hotspot recién creado y vincule los servicios de autenticación y contabilidad RADIUS. Establezca el Called Station ID como 'AP MAC' y habilite 'Single Session ID'.
  6. Acceda a la CLI de SmartZone a través de SSH y ejecute 'no encrypt-mac-ip' para enviar las direcciones MAC en formato de texto plano al portal. Habilite la interfaz WISPr Northbound Interface (NBI) en el controlador e introduzca las credenciales en la consola de administración del portal de Purple para permitir las devoluciones de llamada de autorización de NBI.
Comentario del examinador: Esta arquitectura es muy resiliente y cumple con las normativas. El uso de una VLAN 200 dedicada satisface los requisitos de segmentación de PCI DSS. El breve tiempo de concesión de DHCP de 2 horas evita el agotamiento de direcciones IP en escenarios de alta densidad. Habilitar el registro de RADIUS con una actualización provisional de 5 minutos garantiza que el establecimiento disponga de un seguimiento de sesión en tiempo real, lo que permite a Purple supervisar con precisión el uso del ancho de banda. Desactivar el cifrado de direcciones MAC mediante la CLI es un paso crítico; sin él, el portal recibiría MAC hash y no podría correlacionar las sesiones. La configuración de devolución de llamada de NBI es la única forma segura de autorizar clientes en Ruckus SmartZone sin generar bucles de autenticación local.

Un hotel boutique de tamaño medio con 45 habitaciones desea implementar WiFi de invitados con una página de bienvenida externa utilizando AP Ruckus Unleashed. Necesitan una configuración ligera y sin controlador que no requiera administración por CLI ni un puerto de API NBI expuesto al público.

  1. Inicie sesión en la interfaz web del AP maestro de Unleashed. Vaya a Admin & Services > Services > AAA Servers y cree entradas de servidor RADIUS Authentication (puerto 1812) y Accounting (puerto 1813) que apunten a la infraestructura Cloud RADIUS de Purple.
  2. Vaya a Admin & Services > Services > Hotspot Services y haga clic en Create New. Nombre al servicio 'Purple_Hotel_Hotspot'.
  3. En la pestaña General, configure la URL de inicio de sesión con la URL de redirección del portal de Purple. Establezca la página de inicio para redirigir a ' https://login.purple.ai/success.php '.
  4. En la pestaña Authentication, seleccione los servidores RADIUS recién creados. Establezca el intervalo de actualización de contabilidad provisional en 5 minutos.
  5. En la pestaña Walled Garden, añada los dominios requeridos como entradas a nivel de dominio (por ejemplo, 'purple.ai', 'cloudfront.net', 'gstatic.com'). Tenga en cuenta que Unleashed no requiere ni admite el prefijo comodín de asterisco (*.dominio.com).
  6. Vaya a Wi-Fi Networks, haga clic en Create y establezca el nombre del SSID (por ejemplo, 'Hotel_Guest_WiFi'). Establezca el tipo de uso en 'Hotspot Service' y seleccione 'Purple_Hotel_Hotspot' en la lista desplegable. Guarde la configuración para sincronizar automáticamente el SSID en los 45 AP Unleashed.
Comentario del examinador: Para implementaciones en pymes y medianas empresas de menos de 50 AP, Ruckus Unleashed ofrece una arquitectura distribuida muy rentable. Dado que Unleashed no aplica el cifrado de direcciones MAC por defecto, se evita el paso de CLI requerido en SmartZone. Además, Unleashed no requiere una devolución de llamada de la Northbound Interface (NBI) para la autorización; en su lugar, la autorización del cliente se negocia directamente a través de transacciones RADIUS estándar entre el AP maestro y el servidor RADIUS. Esto simplifica la configuración del firewall, ya que no es necesario abrir puertos entrantes (como 9080/9443) al controlador desde Internet.

Preguntas de práctica

Q1. Un ingeniero ha configurado una integración de Captive Portal con Ruckus SmartZone. Cuando los usuarios se conectan al WiFi de invitados, se les redirige a la página de inicio de sesión. Sin embargo, tras introducir sus credenciales y hacer clic en "Conectar", se les redirige inmediatamente de nuevo a la página de inicio de sesión en un bucle infinito. ¿Cuál es la causa más probable de este problema y cómo debería resolverse?

Sugerencia: Enfóquese en la comunicación entre el portal cloud y el controlador SmartZone una vez completada la autenticación.

Ver respuesta modelo

La causa más probable es un fallo en la llamada de retorno (callback) de la interfaz WISPr Northbound Interface (NBI) o un desajuste en la autenticación RADIUS. Cuando el usuario hace clic en "Conectar", el portal autentica al usuario e intenta enviar una llamada de retorno NBI al controlador SmartZone en el puerto TCP 9080 o 9443 para autorizar la dirección MAC del cliente. Si el firewall perimetral bloquea este puerto de entrada, o si las credenciales NBI introducidas en la consola del portal no coinciden con la configuración del controlador, el controlador nunca autoriza al cliente. En consecuencia, cuando el cliente intenta acceder de nuevo a Internet, el controlador intercepta el tráfico y lo redirige de vuelta al portal. Para resolver esto: 1) Verifique que el puerto TCP 9443 (o 9080) esté abierto para el tráfico entrante en el firewall perimetral desde el rango de IP del portal hacia la IP de gestión de SmartZone. 2) Compruebe la configuración NBI de SmartZone en Administration > WISPr Northbound Interface y confirme que el nombre de usuario y la contraseña coinciden con los configurados en la consola de administración del portal. 3) Pruebe la conectividad RADIUS en SmartZone en Services & Profiles > Authentication > Test AAA para asegurarse de que el secreto compartido es correcto.

Q2. Durante el despliegue de una red WiFi de invitados en un clúster Ruckus Unleashed, varios invitados informan de que la página de bienvenida (splash page) se carga con imágenes y estilos rotos, y las opciones de inicio de sesión social no funcionan. Otros invitados con dispositivos diferentes no pueden cargar la página de bienvenida en absoluto. ¿Cuál es el error de configuración más probable?

Sugerencia: Analice la diferencia entre los dominios que se cargan correctamente y los que fallan antes de la autenticación.

Ver respuesta modelo

La causa más probable es un Walled Garden mal configurado o incompleto. Los clientes no autenticados tienen bloqueado el acceso a cualquier destino de Internet, excepto a los definidos explícitamente en el Walled Garden. Si la página de bienvenida se carga con estilos e imágenes rotos, significa que el navegador tiene bloqueada la descarga de esos recursos desde CDN externas. Si las opciones de inicio de sesión social fallan, significa que los puntos de acceso de autenticación del proveedor social (por ejemplo, las URL de OAuth de Facebook o Google) están bloqueados. Para resolver esto: 1) Audite las entradas del Walled Garden en la configuración del servicio Hotspot de Unleashed. 2) Asegúrese de que se añadan todos los dominios CDN utilizados por el portal (como ".cloudfront.net") y los dominios principales del portal (como "purple.ai"). 3) Si el inicio de sesión social está habilitado, añada los dominios específicos del proveedor social (por ejemplo, ".facebook.com", ".facebook.net", ".google.com"). 4) Tenga en cuenta que Unleashed utiliza coincidencias a nivel de dominio, por lo que no debe incluir el prefijo comodín de asterisco (por ejemplo, use "purple.ai" en lugar de "*.purple.ai").

Q3. Un ingeniero de redes inalámbricas está migrando una red WiFi de invitados de Ruckus Unleashed a un controlador centralizado Virtual SmartZone (vSZ). Copia la lista de Walled Garden exactamente como estaba configurada en Unleashed: "purple.ai", "cloudfront.net", "apple.com". Sin embargo, tras la migración, los clientes de la red vSZ no pueden cargar la página de bienvenida (splash page). ¿Cuál es la diferencia de sintaxis que causó este fallo?

Sugerencia: Revise las reglas específicas de formato de comodines para Ruckus SmartZone en comparación con Ruckus Unleashed.

Ver respuesta modelo

El fallo se debe a una diferencia de sintaxis en la forma en que ambas plataformas analizan las entradas del Walled Garden. Ruckus Unleashed aplica una coincidencia automática a nivel de dominio, lo que significa que al introducir "purple.ai" se cubren automáticamente todos los subdominios (como "login.purple.ai" o "assets.purple.ai"). Sin embargo, Ruckus SmartZone no aplica la coincidencia automática de subdominios; requiere un formato de comodín explícito utilizando el prefijo de asterisco (por ejemplo, ".purple.ai"). Si el ingeniero introdujo "purple.ai" en SmartZone, el controlador permitiría el tráfico únicamente hacia el dominio raíz, impidiendo que el cliente cargue la página de inicio de sesión real en "login.purple.ai". Para resolver esto, el ingeniero debe editar el perfil Hotspot WISPr en SmartZone y actualizar las entradas del Walled Garden para utilizar el formato correcto: ".purple.ai", ".cloudfront.net" y ".apple.com".

Continúe leyendo esta serie

Guía paso a paso para el acceso de invitados: Integración de Cisco WLC y Catalyst con Purple WiFi

Esta guía de referencia detalla la integración paso a paso de los Cisco Catalyst 9800 WLCs con Purple WiFi. Cubre el proceso de External Web Authentication para portales cautivos de invitados, 802.1X EAP-TLS para el acceso seguro del personal e Cisco iPSK para la segmentación dinámica de VLAN en entornos multiinquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →