Ver transcripción del podcast
Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy vamos a cubrir algo que surge en casi todas las implementaciones de WiFi empresarial que vemos: la configuración de un Captive Portal en los controladores Ruckus SmartZone y Ruckus Unleashed. Tanto si es un MSP que despliega WiFi para invitados en una cadena de hoteles, un responsable de TI de hostelería que lanza un nuevo establecimiento o un ingeniero de redes inalámbricas que integra la plataforma de Purple con una infraestructura Ruckus, este episodio es para usted. Vamos a ello.
---
Primero, ¿por qué es importante la integración del Captive Portal de Ruckus? Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi empresarial más dominantes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad: estadios, centros de convenciones, grandes hoteles y cadenas de tiendas. Cuando se despliega WiFi para invitados a esa escala, se necesita algo más que un SSID abierto. Se necesita un flujo de autenticación estructurado, captura de datos que cumpla con el GDPR y la capacidad de enviar esos datos de los invitados a su pila de marketing. Ahí es exactamente donde entra en juego una plataforma de Captive Portal externa como Purple.
La arquitectura aquí es un flujo de punto de acceso basado en WISPr. WISPr significa Wireless Internet Service Provider roaming (itinerancia de proveedor de servicios de internet inalámbrico); es un estándar del sector que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID, su dispositivo envía una solicitud HTTP, el controlador SmartZone la intercepta y emite un redireccionamiento HTTP 302 a la URL de su portal externo. El invitado se autentica (ya sea a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y, a continuación, el portal se comunica de nuevo con el controlador a través de la interfaz Northbound, o NBI, para conceder el acceso. Limpio, basado en estándares y altamente fiable cuando se configura correctamente.
---
Ahora pasemos a la configuración técnica. Primero repasaré SmartZone y luego cubriré las diferencias para Unleashed.
En SmartZone (y esto se aplica tanto a los despliegues físicos SZ300 como a los virtuales vSZ) la configuración tiene cuatro componentes principales: el perfil de servidor de autenticación RADIUS, el perfil de servidor de contabilidad RADIUS, el perfil de portal Hotspot WISPr y la propia WLAN.
Comience con sus servidores RADIUS. Vaya a Services and Profiles (Servicios y perfiles) y luego a Authentication (Autenticación). Cree un nuevo perfil de servidor AAA. Establezca el Service Protocol (Protocolo de servicio) en RADIUS. Su IP de servidor principal y el secreto compartido los proporcionará su proveedor de portal (en el caso de Purple, estos están documentados en la consola de administración del portal de Purple). Puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de copia de seguridad para mayor resistencia; puerto 1812 en el secundario también. Luego haga lo mismo para la contabilidad en Services and Profiles (Servicios y perfiles), Accounting (Contabilidad); puerto 1813, mismo secreto compartido.
A continuación, el perfil Hotspot WISPr. Vaya a Services and Profiles, Hotspots and Portals, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL en External e introduzca la URL de redirección de su portal - esta es la URL a la que se enviará a sus invitados antes de que se autentiquen. Establezca la Start Page para redirigir a una URL de postautenticación, que suele ser una página de éxito o la página de inicio de su establecimiento.
Ahora, el Walled Garden. Aquí es donde se equivocan muchos ingenieros. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de haberse autenticado. Debe incluir el dominio de su portal, cualquier CDN o dominios de activos desde los que se cargue su portal, y los puntos de conexión de detección de Captive Portal estándar del sistema operativo. En SmartZone, los comodines se admiten utilizando el formato asterisco-punto - por ejemplo, asterisco-punto-purple-punto-ai. Esa única entrada cubre todos los subdominios. También debe incluir los dominios de detección de Captive Portal de Apple - captive.apple.com - y los puntos de conexión de comprobación de conectividad de Google para evitar que el mini-navegador CNA se comporte de forma incorrecta en dispositivos iOS y Android.
Un paso crítico que es fácil pasar por alto: por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. El proveedor de su portal necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Eso es todo - un solo comando, pero es un elemento bloqueador si lo omite.
La Northbound Interface es la otra pieza. Esta es la API que permite a la plataforma de su portal comunicarse de vuelta con la SmartZone para conceder o denegar el acceso después de la autenticación. Actívela en Administration, External Services, WISPr Northbound Interface. Establezca un nombre de usuario y una contraseña, y proporcione esas credenciales al proveedor de su portal. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS - asegúrese de que su cortafuegos permite conexiones entrantes desde el rango de IP de la plataforma de su portal a estos puertos.
Por último, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione el perfil de su portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en User-defined si el proveedor de su portal requiere un valor específico, establezca Called Station ID en AP MAC y active Single Session ID. Esta última configuración garantiza que la sesión de un invitado esté vinculada a un único registro de sesión del controlador, lo cual es importante para una contabilidad precisa.
---
Ahora para Unleashed. La arquitectura es fundamentalmente diferente - Unleashed es un modelo distribuido y sin controlador en el que un AP actúa como maestro. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son muy similares - cree un servicio Hotspot, configure la URL de su portal externo, configure su servidor de autenticación AAA, añada sus entradas de Walled Garden - pero existen diferencias clave.
En primer lugar, no existe el requisito de Northbound Interface en Unleashed. El modelo de comunicación del portal es más sencillo. En segundo lugar, el cifrado de direcciones MAC no se aplica por defecto en Unleashed, por lo que no necesita el comando CLI. En tercer lugar, el walled garden de Unleashed acepta entradas a nivel de dominio en lugar de la sintaxis comodín completa - por lo que introduciría purple.ai en lugar de star-dot-purple.ai. Consulte la documentación de su proveedor para conocer el formato exacto que requieren.
Unleashed se escala a unos 50 puntos de acceso, lo que lo hace adecuado para hoteles de tamaño medio, sucursales minoristas y despliegues de pymes. Para cualquier proyecto de mayor envergadura - grupos hoteleros multipropiedad, estadios, grandes fincas comerciales - SmartZone es la plataforma adecuada.
---
Permítame abordar los dos modos de fallo más comunes que veo en el terreno.
El primero es la configuración incorrecta del walled garden. Si la página de su portal no se carga después de la redirección, lo primero que debe comprobar es si todos los dominios a los que hace referencia la página de su portal están en el walled garden. Las páginas de portal modernas cargan recursos de múltiples dominios CDN, scripts de análisis, SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará mal. Utilice las herramientas de desarrollador de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando.
El segundo es el problema de conectividad NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que el SmartZone no puede recibir la llamada de retorno NBI de su plataforma de portal. Compruebe que los puertos 9080 y 9443 estén abiertos de entrada a la IP de gestión de SmartZone desde el rango de IP de su proveedor de portal. Compruebe también que las credenciales NBI que ha configurado coinciden con las que tiene registradas su proveedor de portal.
Un tercero que vale la pena mencionar - Apple CNA, el Captive Network Assistant. En iOS, cuando un dispositivo se conecta a una red, lanza un sondeo a captive.apple.com. Si ese sondeo obtiene una respuesta que no es 200, iOS abre el mini-navegador. Si captive.apple.com está en su walled garden, el sondeo tiene éxito, iOS piensa que hay internet y el CNA no aparece. Esto parece algo bueno, pero significa que sus invitados no verán el portal automáticamente. Debe decidir: ¿quiere que aparezca el CNA o prefiere que los invitados abran un navegador manualmente? La mayoría de los despliegues de hostelería mantienen captive.apple.com fuera del walled garden para activar el CNA.
---
Preguntas rápidas. Tres preguntas que me hacen constantemente.
¿Necesito una VLAN para mi WLAN de invitados? Sí. Aísle siempre el tráfico de invitados en una VLAN dedicada. Este es tanto un requisito de seguridad como una consideración de cumplimiento de PCI-DSS si su establecimiento procesa pagos con tarjeta en la misma red.
¿Puedo utilizar Purple con Ruckus Cloud en lugar de SmartZone? Sí, pero la ruta de configuración es diferente - se encuentra en WiFi Networks, configuración de Guest Access. Los principios de configuración del walled garden y de RADIUS son los mismos.
¿Admite Purple despliegues multizona de SmartZone? Sí. La integración de Purple gestiona entornos SmartZone multizona, y puede acotar las configuraciones del portal a zonas individuales para diferentes recintos o plantas.
---
Para terminar. La integración del Captive Portal de Ruckus SmartZone con Purple es un patrón de despliegue maduro y bien documentado que ofrece una autenticación de invitados fiable a escala. Los puntos clave de configuración son: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un walled garden correctamente acotado mediante entradas comodín, el comando CLI no encrypt-mac-ip, y la Northbound Interface habilitada con las credenciales correctas. Configure estos cinco elementos correctamente y tendrá una base sólida.
Para despliegues de Unleashed, se aplican los mismos principios con un modelo de configuración más sencillo y sin el requisito de NBI.
Si está desplegando Purple en Ruckus y desea validar su configuración antes de la puesta en marcha, el equipo de incorporación técnica de Purple puede guiarle a través de una lista de comprobación previa al lanzamiento. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión - ofreciéndole la visibilidad necesaria para detectar problemas antes de que lo hagan sus invitados.
Gracias por escucharnos. En el próximo episodio cubriremos la autenticación 802.1X con Cloud RADIUS - otra integración que combina perfectamente con Ruckus SmartZone para el acceso de invitados corporativos. Hasta entonces.
