Saltar al contenido principal
Español

Captive Portal para Ruckus

Esta guía de referencia técnica proporciona un manual de integración de referencia para desplegar Captive Portals externos en arquitecturas CommScope Ruckus SmartZone y Unleashed. Guía a los ingenieros de redes a través de configuraciones paso a paso para WLAN de invitados, redirección WISPr, configuración de servidores RADIUS AAA y excepciones de Walled Garden para ofrecer una solución de WiFi para invitados segura y de alta densidad.

📖 14 min de lectura📝 3,327 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy vamos a cubrir algo que surge en casi todas las implementaciones de WiFi para empresas que vemos: la configuración de un Captive Portal en los controladores Ruckus SmartZone y Ruckus Unleashed. Tanto si es un MSP que despliega WiFi para invitados en una cadena hotelera, un responsable de TI de hostelería que estrena una nueva propiedad, o un ingeniero de redes inalámbricas que integra la plataforma de Purple con una infraestructura Ruckus, este episodio es para usted. Comencemos. --- En primer lugar, ¿por qué es importante la integración del Captive Portal de Ruckus? Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi para empresas dominantes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad: estadios, centros de convenciones, grandes hoteles y cadenas de tiendas. Cuando se despliega WiFi para invitados a esa escala, se necesita algo más que un SSID abierto. Se necesita un flujo de autenticación estructurado, captura de datos que cumpla con el GDPR y la capacidad de enviar esos datos de invitados a su pila de marketing. Ahí es exactamente donde entra una plataforma externa de Captive Portal como Purple. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr significa Wireless Internet Service Provider roaming (itinerancia de proveedor de servicios de Internet inalámbrico); es un estándar del sector que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID, su dispositivo envía una solicitud HTTP, el controlador SmartZone la intercepta y emite un redireccionamiento HTTP 302 a la URL de su portal externo. El invitado se autentica (ya sea a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y, a continuación, el portal se comunica con el controlador a través de la interfaz Northbound, o NBI, para conceder el acceso. Limpio, basado en estándares y altamente fiable cuando se configura correctamente. --- Pasemos ahora a la configuración técnica. Analizaré primero SmartZone y luego cubriré las diferencias para Unleashed. En SmartZone —y esto se aplica tanto a las implementaciones físicas de SZ300 como a las virtuales de vSZ— la configuración consta de cuatro componentes principales: el perfil del servidor de autenticación RADIUS, el perfil del servidor de contabilidad (accounting) RADIUS, el perfil del portal Hotspot WISPr y la propia WLAN. Comience con sus servidores RADIUS. Vaya a Servicios y perfiles, luego a Autenticación. Cree un nuevo perfil de servidor AAA. Establezca el protocolo de servicio en RADIUS. El proveedor de su portal le facilitará la IP del servidor principal y el secreto compartido; en el caso de Purple, estos están documentados en la consola de administración del portal de Purple. Puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia (puerto 1812 también en el secundario). Luego haga lo mismo para la contabilidad en Servicios y perfiles, Contabilidad: puerto 1813, mismo secreto compartido. A continuación, el perfil Hotspot WISPr. Vaya a Administration, External Services, WISPr Northbound Interface, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL en External e introduzca la URL de redirección de su portal; esta es la URL a la que se enviará a sus invitados antes de que se autentiquen. Configure la Start Page para redirigir a una URL posterior a la autenticación, normalmente una página de éxito o la página web de su establecimiento. Ahora, el Walled Garden. Aquí es donde muchos ingenieros suelen cometer errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal y los endpoints estándar de detección de Captive Portal del sistema operativo. En SmartZone, se admiten comodines mediante el formato asterisco-punto (por ejemplo, asterisco-punto-purple-punto-ai). Esa única entrada cubre todos los subdominios. También debe incluir los dominios de detección de Captive Portal de Apple (captive.apple.com) y los endpoints de comprobación de conectividad de Google para evitar que el mini-navegador CNA funcione incorrectamente en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto: por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. El proveedor de su portal necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Eso es todo: un solo comando, pero es un elemento bloqueante si lo omite. La interfaz Northbound Interface es la otra pieza. Esta es la API que permite a la plataforma de su portal comunicarse de vuelta con SmartZone para conceder o denegar el acceso tras la autenticación. Actévela en Administration, External Services, WISPr Northbound Interface. Establezca un nombre de usuario y una contraseña, y proporcione esas credenciales al proveedor de su portal. La NBI funciona en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su cortafuegos permita conexiones entrantes desde el rango de IP de la plataforma de su portal a estos puertos. Finalmente, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione el perfil de su portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en User-defined si el proveedor de su portal requiere un valor específico, configure Called Station ID como AP MAC y active Single Session ID. Este último ajuste garantiza que la sesión de un invitado esté vinculada a un único registro de sesión del controlador, lo cual es importante para una contabilidad precisa. --- Ahora pasemos a Unleashed. La arquitectura es fundamentalmente diferente: Unleashed es un modelo distribuido y sin controlador en el que un AP actúa como maestro. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son muy similares (crear un servicio Hotspot, configurar la URL del portal externo, configurar su servidor de autenticación AAA, añadir sus entradas de Walled Garden), pero existen diferencias clave. En primer lugar, no hay ningún requisito de interfaz Northbound en Unleashed. El modelo de comunicación de Captive Portal es más sencillo. En segundo lugar, el cifrado de direcciones MAC no se aplica por defecto en Unleashed, por lo que no necesita el comando CLI. En tercer lugar, el walled garden de Unleashed acepta entradas a nivel de dominio en lugar de la sintaxis comodín completa; por lo tanto, introduciría purple.ai en lugar de star-dot-purple.ai. Consulte la documentación de su proveedor para conocer el formato exacto que requieren. Unleashed escala a unos 50 puntos de acceso, lo que lo hace adecuado para hoteles de tamaño medio, sucursales minoristas y despliegues de pymes. Para cualquier proyecto de mayor envergadura (grupos hoteleros multipropiedad, estadios, grandes complejos comerciales), SmartZone es la plataforma adecuada. --- Permítame analizar los dos modos de fallo más comunes que veo sobre el terreno. El primero es la configuración incorrecta del walled garden. Si la página de su Captive Portal no se carga después de la redirección, lo primero que debe comprobar es si todos los dominios a los que hace referencia la página de su Captive Portal están en el walled garden. Las páginas de Captive Portal modernas cargan recursos de múltiples dominios CDN, scripts de análisis y SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. El segundo es el problema de conectividad NBI. Si los invitados pueden ver el Captive Portal y autenticarse, pero nunca obtienen acceso a internet, la causa más probable es que SmartZone no pueda recibir la devolución de llamada NBI desde su plataforma de Captive Portal. Compruebe que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de gestión de SmartZone desde el rango de IP de su proveedor de Captive Portal. Verifique también que las credenciales NBI que ha configurado coincidan con las que tiene registradas su proveedor de Captive Portal. Un tercero que merece la pena mencionar: Apple CNA, el Captive Network Assistant. En iOS, cuando un dispositivo se conecta a una red, envía una consulta a captive.apple.com. Si esa consulta recibe una respuesta distinta de 200, iOS abre el mini-navegador. Si captive.apple.com está en su walled garden, la consulta se realiza correctamente, iOS asume que hay internet y el CNA no aparece. Esto parece algo positivo, pero significa que sus invitados no verán el Captive Portal automáticamente. Debe decidir: ¿desea que aparezca el CNA o prefiere que los invitados abran un navegador manualmente? La mayoría de los despliegues de hostelería mantienen captive.apple.com fuera del walled garden para activar el CNA. --- Preguntas rápidas. Tres preguntas que me hacen constantemente. ¿Necesito una VLAN para mi WLAN de invitados? Sí. Aísle siempre el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma red. ¿Puedo utilizar Purple con Ruckus Cloud en lugar de SmartZone? Sí, pero la ruta de configuración es diferente: se encuentra en Configuración de WiFi Networks, Guest Access. Los principios de configuración del walled garden y de RADIUS son los mismos. ¿Soporta Purple los despliegues multizona de SmartZone? Sí. La integración de Purple gestiona entornos SmartZone multizona, y puede acotar las configuraciones del portal a zonas individuales para diferentes recintos o plantas. --- Para concluir. La integración del Captive Portal de Ruckus SmartZone con Purple es un patrón de despliegue maduro y bien documentado que ofrece una autenticación de invitados fiable a escala. Los puntos clave de configuración son: RADIUS en los puertos 1812 and 1813 con un servidor de respaldo, el perfil WISPr de Hotspot con una URL de inicio de sesión externa, un walled garden correctamente acotado mediante entradas con comodines, el comando de CLI no encrypt-mac-ip y la Northbound Interface habilitada con las credenciales correctas. Asegure estos cinco elementos y tendrá una base sólida. Para los despliegues de Unleashed, se aplican los mismos principios con un modelo de configuración más sencillo y sin el requisito de NBI. Si está desplegando Purple en Ruckus y desea validar su configuración antes de la puesta en marcha, el equipo de incorporación técnica de Purple puede guiarle a través de una lista de verificación previa al lanzamiento. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de las sesiones, lo que le ofrece la visibilidad necesaria para detectar problemas antes de que lo hagan sus invitados. Gracias por escucharnos. En el próximo episodio cubriremos la autenticación 802.1X con Cloud RADIUS, otra integración que combina a la perfección con Ruckus SmartZone para el acceso de invitados corporativos. Hasta entonces.

📚 Part of our core series: WiFi multi-tenant

header_image.png

Resumen Ejecutivo

Desplegar una red inalámbrica para invitados de alto rendimiento en entornos empresariales requiere un delicado equilibrio entre una experiencia de usuario fluida y una seguridad técnica robusta. Para las organizaciones que utilizan arquitecturas CommScope Ruckus (que van desde estadios y centros de convenciones de alta densidad hasta amplias superficies comerciales y grupos de hostelería), el Captive Portal actúa como la puerta de enlace principal para la incorporación de usuarios, el cumplimiento normativo y la captura de datos de origen.

Esta guía ofrece un manual técnico detallado paso a paso para integrar Captive Portals externos con controladores Ruckus SmartZone y Ruckus Unleashed. Al aprovechar los protocolos de itinerancia estándar del sector para proveedores de servicios de internet inalámbrico (WISPr), los ingenieros de red pueden implementar redireccionamientos fiables, autenticación segura mediante el servicio de usuario de marcación de autenticación remota (RADIUS) y configuraciones precisas de Walled Garden.

Cuando se combina con la plataforma Guest WiFi de Purple y WiFi Analytics , esta integración permite a los operadores de los establecimientos capturar datos demográficos clave de los visitantes, cumplir con las normativas internacionales de datos (como el GDPR y PCI DSS) y activar potentes automatizaciones de marketing. Ya sea desplegando arquitecturas Virtual SmartZone (vSZ) centralizadas en centros de Hostelería y Transporte , o redes Unleashed distribuidas basadas en puntos de acceso en entornos de Retail , esta referencia técnica garantiza un despliegue resiliente y de alto rendimiento.

Análisis Técnico Detallado

Para desplegar una red de invitados altamente escalable, los ingenieros deben comprender los estándares de comunicación subyacentes que rigen el flujo del Captive Portal. Las arquitecturas Ruckus utilizan el estándar WISPr 2.0 para negociar la redirección y autenticación de los clientes. WISPr define cómo un punto de acceso (AP) o controlador inalámbrico intercepta el tráfico HTTP/HTTPS no autenticado y redirige el navegador del cliente a un servidor web de portal externo.

El flujo de autenticación WISPr

El proceso de redirección del Captive Portal externo sigue una secuencia estricta de transacciones de red. Comprender este flujo es esencial para la resolución de problemas y la configuración de las políticas de firewall ascendentes:

  1. Asociación: El cliente invitado se asocia con el SSID de invitados abierto y sin cifrar. El AP asigna una dirección IP al cliente a través de DHCP.
  2. Prueba HTTP: El sistema operativo del cliente inicia una prueba HTTP (por ejemplo, la prueba del Captive Network Assistant de Apple a captive.apple.com o la comprobación de conectividad de Android a connectivitycheck.gstatic.com) para verificar el acceso a internet.
  3. Redirección HTTP 302: El AP Ruckus o el controlador SmartZone intercepta esta solicitud HTTP no autenticada. Responde con una redirección HTTP 302, reenviando el navegador del cliente a la URL del portal externo (por ejemplo, la página de inicio de sesión de Purple). Esta URL de redirección se completa con parámetros de consulta críticos, incluidos la dirección MAC del cliente (client_mac), la dirección IP (client_ip), la dirección MAC del AP (ap_mac) y la IP de la interfaz Northbound (nbiIP) del controlador.
  4. Renderizado del Portal: El navegador del cliente carga la página del portal externo. El tráfico no autenticado hacia el dominio del portal y sus recursos asociados está permitido por la política de Walled Garden del controlador.
  5. Autenticación de Usuario: El usuario completa los requisitos de inicio de sesión (por ejemplo, inicio de sesión con redes sociales, registro por SMS, envío de formularios) en el portal.
  6. RADIUS Access-Request: La plataforma del portal externo, actuando como cliente RADIUS, envía un Access-Request al servidor de autenticación RADIUS configurado (como la infraestructura Cloud RADIUS de Purple).
  7. RADIUS Access-Accept: El servidor RADIUS valida las credenciales y devuelve un paquete Access-Accept que contiene los parámetros de sesión (por ejemplo, tiempo de espera de la sesión, límites de ancho de banda) al controlador Ruckus.
  8. Callback NBI: El portal externo realiza una llamada de API a la interfaz Northbound (NBI) del controlador Ruckus utilizando credenciales WISPr, indicando al controlador que autorice la dirección MAC del cliente.
  9. Acceso a Internet: El controlador cambia el estado del cliente a "Autenticado", permitiendo el acceso total a internet sujeto a las políticas de sesión configuradas.

architecture_overview.png

Comparación de la Arquitectura Principal

Dependiendo de la escala del recinto, las organizaciones implementan arquitecturas CommScope Ruckus SmartZone (a escala empresarial, basada en controlador) o Ruckus Unleashed (distribuida, sin controlador). Aunque ambas admiten Captive Portals externos basados en WISPr, sus rutas de configuración subyacentes y sus capacidades difieren significativamente:

Característica Técnica Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (AP Distribuido)
Arquitectura de Controlador Dispositivo físico o virtual centralizado que gestiona hasta 10.000 APs. Arquitectura de AP maestro-miembro distribuida que gestiona hasta 50 APs.
Ruta de Configuración Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
Método de Callback de API Interfaz Northbound (NBI) a través de los puertos TCP 9080/9443. Autenticación directa RADIUS/Local sin callbacks de API externos.
Cifrado de Dirección MAC Habilitado por defecto; debe deshabilitarse mediante CLI (no encrypt-mac-ip). Deshabilitado por defecto; las direcciones MAC se transmiten en texto plano.
Comodines de Walled Garden Soporta formato de comodín completo (por ejemplo, *.purple.ai). Soporta entradas a nivel de dominio (por ejemplo, purple.ai).
Soporte de Proxy RADIUS Soportado a través de "Proxy (SZ Authenticator)" o AAA directo. Soportado a través de la configuración directa del Servidor AAA.
Implementaciones Objetivo Estadios, grandes hoteles, centros de Transporte , campus de Salud . Hoteles de mercado medio, tiendas de Retail , Escuelas .

Guía de Implementación

Esta guía de implementación paso a paso orienta a los ingenieros de red en la configuración de un Captive Portal externo en los controladores Ruckus SmartZone y Ruckus Unleashed.

Parte A: Configuración de Ruckus SmartZone

Paso 1: Configurar los Servidores AAA RADIUS

Para autenticar a los usuarios invitados contra una base de datos externa, primero debe definir los servidores de Autenticación y Contabilidad de RADIUS.

  1. Navegue a Servicios y Perfiles > Autenticación y seleccione la pestaña Proxy (SZ Authenticator).
  2. Seleccione su Zona objetivo y haga clic en Crear.
  3. Configure los siguientes parámetros:
    • Nombre: Purple_RADIUS_Auth
    • Protocolo de Servicio: RADIUS
    • IP del Servidor Principal: Introduzca la dirección IP proporcionada en su Consola de Administración de Purple.
    • Puerto: 1812
    • Secreto Compartido: Introduzca su Secreto Compartido de RADIUS de Purple.
    • RADIUS de Respaldo: Habilitado (Configure la IP secundaria, el Puerto 1812 y el mismo secreto compartido para alta disponibilidad).
  4. Haga clic en Aceptar para guardar.
  5. Navegue a Servicios y Perfiles > Contabilidad y haga clic en Crear bajo la pestaña Proxy (SZ Authenticator).
  6. Configure los siguientes parámetros:
    • Nombre: Purple_RADIUS_Acct
    • Protocolo de Servicio: Contabilidad de RADIUS
    • IP del Servidor Principal: Introduzca la dirección IP proporcionada en su Consola de Administración de Purple.
    • Puerto: 1813
    • Secreto Compartido: Introduzca su Secreto Compartido de RADIUS de Purple.
    • RADIUS de Respaldo: Habilitado (Configure la IP secundaria, el Puerto 1813 y el mismo secreto compartido).
  7. Haga clic en Aceptar para guardar.

Paso 2: Configurar el Perfil de Portal WISPr Hotspot

El perfil de Hotspot WISPr define el comportamiento de redirección y las reglas de Walled Garden.

  1. Navegue a Servicios y Perfiles > Hotspots y Portales > Hotspot (WISPr).
  2. Seleccione su Zona objetivo y haga clic en Crear.
  3. In la sección Opciones Generales, configure:
    • Nombre del Portal: Purple_WISPr_Portal
    • Soporte de Cliente Inteligente WISPr: Ninguno
    • URL de Inicio de Sesión: Seleccione Externo e introduzca la URL de redirección principal proporcionada por Purple (por ejemplo, https://login.purple.ai/start).
    • Formato MAC de Redirección: AA:BB:CC:DD:EE:FF (Este formato es fundamental para el procesamiento de la base de datos de Purple).
  4. En la sección Página de Inicio, configure:
    • Seleccione Redirigir a la siguiente URL e introduzca: https://login.purple.ai/success.php
  5. En la sección Opciones de Sesión, configure:
    • Tiempo de Espera de la Sesión: 1440 minutos (24 horas, o adáptelo a la política de su empresa).
    • Grace Period: 60 minutos (permite a los usuarios reconectarse en un plazo de 1 hora sin tener que volver a autenticarse).
  6. Haga clic en OK para guardar el perfil.

Paso 3: Definir las excepciones de Walled Garden

El Walled Garden permite a los clientes no autenticados resolver DNS y descargar recursos de dominios específicos necesarios para cargar la splash page y autenticarse.

  1. Edite su perfil Purple_WISPr_Portal recién creado.
  2. Desplácese hacia abajo y haga clic en el signo + para expandir la sección Walled Garden.
  3. Añada los siguientes dominios obligatorios. Tenga en cuenta que Ruckus SmartZone requiere el formato de comodín *.domain.com:
    • *.purple.ai (Portal principal y dominio de redirección)
    • *.cloudfront.net (CDN para cargar hojas de estilo y recursos JavaScript)
    • *.apple.com y captive.apple.com (Para gestionar el comportamiento de Apple Captive Network Assistant)
    • *.googleapis.com y *.gstatic.com (Para las API de Google y la entrega de recursos)
  4. Añada los dominios de redes sociales si activa el inicio de sesión social (por ejemplo, *.facebook.com, *.facebook.net para el inicio de sesión con Facebook).
  5. Haga clic en OK para guardar.

Paso 4: Configurar la red LAN inalámbrica de invitados (WLAN)

Ahora, vincule los servidores RADIUS y el perfil de Hotspot a un nuevo SSID.

  1. Navegue a Wireless LANs y seleccione su Zona de destino.
  2. Haga clic en Create para crear una nueva WLAN.
  3. Configure las General Options:
    • Name: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Configure las Security Options:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Expanda la sección Hotspot Portal:
    • Hotspot (WISPr) Portal: Seleccione Purple_WISPr_Portal.
    • Authentication Service: Seleccione Purple_RADIUS_Auth.
    • Accounting Service: Seleccione Purple_RADIUS_Acct.
    • Send Interim Update: Establézcalo en 5 minutos (esencial para el seguimiento de sesiones en tiempo real).
  6. Expanda las RADIUS Options:
    • NAS ID: Establézcalo en User-defined e introduzca el ID de establecimiento asignado por Purple.
    • Called Station ID: Seleccione AP MAC.
    • Single Session ID: ON (Evita la duplicación de sesiones entre AP).
  7. Haga clic en OK para implementar la WLAN.

Paso 5: Habilitar la interfaz WISPr Northbound (NBI)

La NBI permite que Purple se comunique con SmartZone para autorizar clientes.

  1. Navegue a Administration > External Services > WISPr Northbound Interface.
  2. Marque la casilla Enable Northbound Interface support.
  3. Defina un Username y una Password (por ejemplo, purple_nbi / SecureNbiPassword123!).
  4. Introduzca estas credenciales en la consola de administración de Purple en Integrations > Ruckus SmartZone.

Paso 6: Deshabilitar el cifrado de MAC/IP (PASO CRÍTICO DE CLI)

Por defecto, SmartZone cifra las direcciones MAC en la URL de redirección. Debe deshabilitar esto para que Purple pueda leer las MAC de los clientes.

  1. Abra una sesión SSH a la IP de administración de su controlador SmartZone.
  2. Inicie sesión con sus credenciales de administrador.
  3. Ejecute los siguientes comandos:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

Parte B: Configuración de Ruckus Unleashed

Para recintos más pequeños que utilicen una arquitectura Unleashed sin controlador, configure el Captive Portal a través de la interfaz web del AP maestro.

Paso 1: Definir servidores AAA

  1. Vaya a Admin & Services > Services > AAA Servers.
  2. Haga clic en Create New para añadir el servidor de autenticación RADIUS:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Introduzca la IP de RADIUS de Purple.
    • Port: 1812
    • Shared Secret: Introduzca su secreto compartido de RADIUS de Purple.
  3. Haga clic en OK.
  4. Haga clic en Create New para añadir el servidor de contabilidad (Accounting) RADIUS:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Introduzca la IP de RADIUS de Purple.
    • Port: 1813
    • Shared Secret: Introduzca su secreto compartido de RADIUS de Purple.
  5. Haga clic en OK.

Paso 2: Configurar el servicio Hotspot

  1. Vaya a Admin & Services > Services > Hotspot Services.
  2. Haga clic en Create New.
  3. En la pestaña General:
    • Name: Purple_Hotspot
    • Login URL: Introduzca su URL de redirección de Purple.
    • Start Page: Seleccione Redirect to the following URL e introduzca https://login.purple.ai/success.php.
  4. En la pestaña Authentication:
    • Authentication Server: Seleccione Purple_Auth.
    • Accounting Server: Seleccione Purple_Acct.
    • Interim Update: Establézcalo en 5 minutos.
  5. En la pestaña Walled Garden:
    • Añada entradas a nivel de dominio (por ejemplo, purple.ai, cloudfront.net, gstatic.com). Tenga en cuenta que Unleashed no requiere el prefijo de comodín de asterisco; la coincidencia estándar a nivel de dominio se aplica automáticamente.
  6. Haga clic en OK para guardar.

Paso 3: Asignar el servicio Hotspot a la WLAN

  1. Vaya a Wi-Fi Networks y haga clic en Create.
  2. Establezca Name y SSID con el nombre de su red de invitados.
  3. Establezca Usage Type en Hotspot Service.
  4. Seleccione Purple_Hotspot de la lista de servicios.
  5. Haga clic en OK para publicar el SSID en todos los AP Unleashed.

comparison_chart.png

Buenas prácticas

Para garantizar el máximo rendimiento, la seguridad y el cumplimiento normativo, los arquitectos de red deben implementar las siguientes buenas prácticas estándar del sector:

1. Segmentación granular de VLAN de invitados

Nunca asocie el tráfico de invitados a la VLAN nativa o de gestión. Aísle siempre a los clientes invitados en una VLAN dedicada no enrutable (por ejemplo, VLAN 100). Implemente listas de control de acceso (ACL) estrictas en el switch o firewall ascendente para evitar que el tráfico de invitados acceda a las subredes corporativas, sistemas de punto de venta (POS) e infraestructura de IoT. Esta segmentación es un requisito fundamental para el cumplimiento de PCI DSS.

2. Optimización de RF de alta densidad

En entornos de alta densidad como estadios, centros de conferencias y grandes centros comerciales, el ajuste de RF es crítico. Desactive las tasas de datos heredadas más bajas (por ejemplo, desactive las tasas 802.11b inferiores a 12 Mbps) para obligar a los clientes a usar tasas más rápidas, reduciendo la saturación de tiempo en el aire. Active Band Steering para dirigir los dispositivos cliente de doble banda al espectro de 5 GHz y 6 GHz, preservando la banda de 2,4 GHz, altamente congestionada, para los dispositivos heredados.

3. Gestión dinámica del Walled Garden

Mantenga su Walled Garden lo más optimizado posible. Los Walled Gardens demasiado permisivos (como añadir subredes IP grandes como 172.217.0.0/16) pueden permitir que los usuarios no autenticados eludan el Captive Portal y accedan a servicios externos (como la Búsqueda de Google o YouTube) sin iniciar sesión. Realice auditorías periódicas de los dominios de su Walled Garden, especialmente tras habilitar nuevos proveedores de inicio de sesión social.

4. Gestión de sesiones segura

Establezca tiempos de espera de sesión razonables (por ejemplo, 1440 minutos / 24 horas) y periodos de gracia (por ejemplo, 60 minutos). Un periodo de gracia bien configurado evita la "fatiga del portal" al permitir que los usuarios que pierden temporalmente la cobertura WiFi (por ejemplo, al salir del vestíbulo de un hotel) se vuelvan a conectar sin problemas sin tener que volver a autenticarse.

5. Cumplimiento normativo y seguridad

El despliegue de redes WiFi públicas para invitados expone a los establecimientos a riesgos legales. Asegúrese de que la integración de su Captive Portal cumpla con las normativas locales:

  • GDPR / CCPA: Asegúrese de que la página de bienvenida muestre condiciones de servicio y políticas de privacidad claras, requiriendo un consentimiento de aceptación activo para las comunicaciones de marketing.
  • Modo de transición WPA3: Aunque las redes de invitados suelen ser abiertas, considere la posibilidad de activar el modo de transición WPA3 con Opportunistic Wireless Encryption (OWE) para cifrar el tráfico inalámbrico entre el cliente y el AP sin necesidad de una clave precompartida, protegiendo a los invitados de la escucha pasiva.
  • Filtrado de contenido web: Los servidores DNS ascendentes (como Cisco Umbrella o Cloudflare Families) deben configurarse para bloquear dominios maliciosos, contenido para adultos y tráfico de intercambio de archivos ilegal en la VLAN de invitados.

Resolución de problemas y mitigación de riesgos

Al desplegar Captive Portals externos en hardware Ruckus, los ingenieros suelen encontrarse con un conjunto predecible de problemas de configuración y de ruta de red. Utilice este marco estructurado de resolución de problemas para resolver los cuellos de botella en el despliegue.

Modos de fallo comunes y vías de resolución

Problema 1: Los dispositivos de los invitados no son redirigidos a la página del Captive Portal.

  • Causa raíz A: Fallo en la resolución DNS. Los clientes no autenticados deben poder resolver las consultas DNS antes de la redirección. Si el cliente no puede resolver login.purple.ai, la redirección fallará.
    • Resolución: Verifique que el rango DHCP asignado a la VLAN de invitados proporcione servidores DNS públicos válidos (por ejemplo, 1.1.1.1 o 8.8.8.8). Asegúrese de que el cortafuegos ascendente permita el tráfico del puerto UDP 53 desde la subred de invitados a internet antes de la autenticación.
  • Causa raíz B: El cortafuegos bloquea el puerto 9080/9443. SmartZone requiere que haya puertos específicos abiertos para cargar la página de bienvenida.
    • Resolución: Asegúrese de que el puerto TCP 9080 (HTTP) o 9443 (HTTPS) esté permitido a través de los firewalls locales.
  • Causa raíz C: Configuración incorrecta del Walled Garden. Es posible que la propia URL de redirección esté bloqueada.
    • Resolución: Asegúrese de que *.purple.ai esté definido explícitamente en el Walled Garden de Hotspot WISPr.

Problema 2: Los invitados pueden ver y completar la página de inicio de sesión, pero no pueden acceder a Internet después de hacer clic en "Conectar".

  • Causa raíz A: Fallo de comunicación de NBI. El portal externo no puede enviar la llamada de la API de autorización de vuelta al controlador SmartZone.
    • Resolución: Verifique que la interfaz Northbound (NBI) de SmartZone esté habilitada y que las credenciales introducidas en la consola de administración de Purple coincidan con la configuración del controlador. Asegúrese de que su firewall perimetral permita el tráfico entrante del puerto TCP 9080 (o 9443) desde el rango de IP públicas de Purple hacia la IP de gestión de SmartZone.
  • Causa raíz B: Fallo de autenticación RADIUS. El controlador está rechazando el RADIUS Access-Accept o no lo ha recibido.
    • Resolución: Vaya a Servicios y perfiles > Autenticación en SmartZone, seleccione su servidor RADIUS y haga clic en Probar AAA. Introduzca las credenciales de prueba para verificar la conectividad. Si la prueba falla, verifique la IP de RADIUS, el puerto 1812 y el Secreto compartido. Asegúrese de que los puertos UDP 1812 y 1813 estén permitidos de salida en su firewall perimetral.

Problema 3: Los dispositivos Apple iOS no muestran automáticamente el mini-navegador Captive Network Assistant (CNA).

  • Causa raíz: Omisión de CNA de Apple habilitada o Walled Garden demasiado permisivo. Si se permite el dominio de prueba de Apple en el Walled Garden, iOS asume que tiene acceso directo a Internet y suprime el CNA.
    • Resolución: Asegúrese de que captive.apple.com NO esté completamente omitido en su Walled Garden si desea forzar la aparición del CNA. Por el contrario, si su política es omitir el CNA y obligar a los usuarios a abrir un navegador estándar, asegúrese de que Omitir CNA esté activado en la configuración de la WLAN.

Requisitos de puertos y protocolos de red

Para garantizar una comunicación fluida entre el controlador Ruckus, los dispositivos cliente y el portal externo, verifique que los siguientes puertos estén permitidos en los firewalls de su red:

Origen Destino Protocolo Puerto Propósito
Subred de invitados DNS público UDP 53 Resolución DNS previa a la autenticación.
Subred de invitados Controlador SmartZone TCP 9080 / 9443 Redirección de Captive Portal y autenticación web WISPr.
Controlador SmartZone Servidores RADIUS de Purple UDP 1812 Tráfico de autenticación RADIUS.
Controlador SmartZone Servidores RADIUS de Purple UDP 1813 Contabilidad RADIUS / Seguimiento de sesiones.
Nube del portal de Purple Controlador SmartZone TCP 9080 / 9443 Llamadas entrantes de la API de la interfaz Northbound (NBI).

ROI e impacto empresarial

Mientras que los ingenieros de red se centran en los flujos de paquetes y las configuraciones de puertos, los directores de TI y los CTO deben justificar la inversión en WiFi para invitados empresarial. La integración del hardware de alta densidad de Ruckus con la plataforma Purple's WiFi Analytics transforma una red que genera costes en un activo empresarial de gran valor, ofreciendo un retorno de la inversión (ROI) medible.

1. Captura de datos de origen (First-Party Data) a escala

En sectores como el Retail y la Hostelería , comprender los datos demográficos de los clientes es un motor fundamental para el crecimiento del negocio. Un SSID abierto estándar no recopila ningún dato de los visitantes. Al implementar el Captive Portal de Purple, los establecimientos logran tasas medias de finalización de inicio de sesión del 25 % al 40 %. Esto permite a los operadores capturar de forma legal direcciones de correo electrónico verificadas, números de teléfono y perfiles de redes sociales.

2. Marketing e interacción hiperlocalizados

Al combinar los servicios de ubicación precisos de Ruckus con el motor de marketing de Purple, los establecimientos pueden activar campañas automatizadas en tiempo real basadas en la presencia física. Por ejemplo, una marca de retail puede enviar un cupón por SMS dirigido a un cliente que lleva más de 15 minutos curioseando en un departamento específico, o un hotel puede enviar un correo electrónico de bienvenida con un enlace para reservar servicios de spa inmediatamente después de que el huésped se conecte al WiFi del vestíbulo.

3. Eficiencia operativa e información sobre el establecimiento

La integración de los captive portals con el análisis de ubicación ofrece una potente inteligencia operativa. Los directores de los establecimientos pueden monitorizar:

  • Afluencia y tiempo de permanencia: mida el número exacto de visitantes, cuánto tiempo se quedan y su recorrido por el espacio físico.
  • Tasas de fidelidad y retorno: identifique a los visitantes nuevos frente a los recurrentes para evaluar el impacto de las campañas de marketing y los cambios operativos.
  • Optimización del personal: adapte los niveles de personal con mapas de densidad de visitantes en tiempo real, reduciendo los costes fijos durante las horas de menor actividad y mejorando el servicio al cliente durante las horas punta.

Matriz de impacto empresarial

La siguiente tabla resume los resultados empresariales habituales en sectores verticales clave tras el despliegue de una red WiFi para invitados integrada de Ruckus y Purple:

Sector del establecimiento Principal desafío empresarial Solución Ruckus + Purple Impacto empresarial medible
Hostelería (Hoteles, Resorts) Alta fricción en el registro de huéspedes; bajas tasas de reserva directa; bajo volumen de opiniones. Registro de usuarios WISPr fluido; correos electrónicos automatizados tras la estancia vinculados a TripAdvisor. Incremento del 20 % en reservas directas; incremento del 35 % en el volumen de opiniones online positivas.
Retail (Centros comerciales, Tiendas insignia) Incapacidad para realizar un seguimiento de los recorridos físicos de los visitantes; baja tasa de inscripción en programas de fidelización. Captura de datos demográficos mediante una página de bienvenida (splash page); seguimiento del recorrido físico y de los tiempos de permanencia. Crecimiento del 15 % en la base de datos de fidelización; incremento del 10 % en el tamaño medio de la cesta mediante SMS dirigidos.
Transporte (Aeropuertos, estaciones de tren) Alta congestión; incorporación compleja de pasajeros en varios idiomas. Rendimiento de AP Ruckus de alta densidad; captive portal multiidioma con seguimiento de vuelos. Reducción del 40 % en tickets de soporte relacionados con la conexión; incremento del 25 % en el gasto en concesiones comerciales.
Sector sanitario (Hospitales, clínicas) Cumplimiento estricto de seguridad; alta carga administrativa para el acceso de invitados. VLAN de invitados aislada; portal de autorregistro seguro; integración con soluciones NAC . 100 % de cumplimiento con HIPAA y PCI DSS; reducción del 30 % en el volumen de tickets de soporte técnico de TI.

Al alinear la excelencia técnica en ingeniería inalámbrica con los objetivos comerciales estratégicos, la integración de Ruckus y Purple ofrece una infraestructura de red empresarial segura, conforme a las normativas y altamente rentable.

Referencias

Definiciones clave

WISPr (Wireless Internet Service Provider roaming)

Un borrador de protocolo desarrollado por la Wi-Fi Alliance que permite a los clientes inteligentes y a los navegadores web autenticarse automáticamente en un punto de acceso inalámbrico mediante redireccionamiento XML estandarizado o HTTP 302.

Se utiliza como protocolo de redireccionamiento principal en las controladoras Ruckus para redirigir dispositivos de invitados no autenticados a plataformas externas de Captive Portal.

Northbound Interface (NBI)

Una API expuesta por la controladora Ruckus SmartZone que permite a los portales web externos enviar devoluciones de llamada de autorización, indicando a la controladora que conceda acceso a Internet a una dirección MAC de cliente específica.

Debe habilitarse en el puerto TCP 9080 (HTTP) o 9443 (HTTPS) para permitir que Purple autorice las sesiones de invitados después de un inicio de sesión correcto.

Walled Garden

Una lista de direcciones IP, subredes o nombres de dominio a los que los clientes invitados no autenticados pueden acceder antes de la autenticación.

Debe configurarse con el dominio del portal, las CDN y los endpoints de detección de Captive Portal del sistema operativo para garantizar que la página de bienvenida se cargue correctamente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que funciona en los puertos UDP 1812 (Autenticación) y 1813 (Contabilidad) que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios.

Las controladoras Ruckus reenvían los datos de la sesión del cliente a los servidores RADIUS de Purple para validar las credenciales y realizar el seguimiento de la duración de las sesiones.

CNA (Captive Network Assistant)

Un navegador ligero y limitado integrado en los sistemas operativos (como Apple iOS/macOS y Android) que se ejecuta automáticamente cuando se detecta una red abierta con un Captive Portal activo.

Se puede omitir en la configuración de la WLAN si los ingenieros desean forzar a los invitados a abrir un navegador completo manualmente para completar la autenticación.

Interim Accounting Update

Un mensaje RADIUS periódico enviado por la controladora inalámbrica al servidor RADIUS para actualizar el estado de la sesión activa, el consumo de ancho de banda y el tiempo de conexión.

Debe establecerse en 5 minutos en la configuración de la WLAN de Ruckus para garantizar que el panel de Purple muestre análisis precisos en tiempo real.

Client Isolation

Una función de seguridad configurada en la controladora inalámbrica que impide que los clientes inalámbricos conectados al mismo AP o SSID se comuniquen directamente entre sí.

Esencial para las redes WiFi de invitados para proteger a los usuarios de la suplantación de ARP local, ataques de tipo man-in-the-middle y escaneo no autorizado de dispositivos.

WPA3-Transition Mode

Una configuración de seguridad que permite que los dispositivos más antiguos compatibles con WPA2 y los dispositivos más nuevos compatibles con WPA3 se conecten al mismo SSID simultáneamente.

Se puede implementar en redes de invitados con Opportunistic Wireless Encryption (OWE) para proporcionar cifrado por aire para SSID abiertos sin necesidad de una contraseña.

Ejemplos prácticos

Un centro de conferencias de alta densidad que tiene implementado Ruckus SmartZone (vSZ) necesita habilitar una red WiFi de invitados utilizando el Captive Portal de Purple. La red debe soportar hasta 5.000 sesiones concurrentes, aislar el tráfico de invitados de las subredes corporativas y admitir la autenticación mediante inicio de sesión social.

  1. Configure una VLAN de invitados 200 dedicada en los switches troncales y asóciela a la zona de AP de Ruckus. Defina un rango de DHCP con servidores DNS públicos (por ejemplo, 1.1.1.1, 8.8.8.8) y un tiempo de concesión corto (2 horas) para adaptarse a la alta rotación.
  2. En SmartZone, vaya a Services & Profiles > Authentication > Proxy (SZ Authenticator) y cree servidores RADIUS principales y de respaldo que apunten a las IP de Cloud RADIUS de Purple en el puerto 1812 con el secreto compartido proporcionado.
  3. Cree servidores de RADIUS Accounting que apunten a las IP de Accounting de Purple en el puerto 1813. Establezca el intervalo de actualización provisional en 5 minutos para realizar un seguimiento preciso de las sesiones activas.
  4. Cree un perfil de Hotspot WISPr Portal. Establezca la URL de inicio de sesión en 'External' con la URL de redirección de Purple. Añada excepciones de comodín en el walled garden para '.purple.ai', '.cloudfront.net' y dominios de redes sociales (por ejemplo, '*.facebook.com').
  5. Cree el WLAN de invitados. Establezca el tipo de autenticación en Hotspot (WISPr), seleccione el perfil de Hotspot recién creado y vincule los servicios de autenticación y contabilidad RADIUS. Establezca el Called Station ID como 'AP MAC' y habilite 'Single Session ID'.
  6. Acceda a la CLI de SmartZone a través de SSH y ejecute 'no encrypt-mac-ip' para enviar las direcciones MAC en formato de texto plano al portal. Habilite la interfaz WISPr Northbound Interface (NBI) en el controlador e introduzca las credenciales en la consola de administración del portal de Purple para permitir las devoluciones de llamada de autorización de NBI.
Comentario del examinador: Esta arquitectura es muy resiliente y cumple con las normativas. El uso de una VLAN 200 dedicada satisface los requisitos de segmentación de PCI DSS. El breve tiempo de concesión de DHCP de 2 horas evita el agotamiento de direcciones IP en escenarios de alta densidad. Habilitar el registro de RADIUS con una actualización provisional de 5 minutos garantiza que el establecimiento disponga de un seguimiento de sesión en tiempo real, lo que permite a Purple supervisar con precisión el uso del ancho de banda. Desactivar el cifrado de direcciones MAC mediante la CLI es un paso crítico; sin él, el portal recibiría MAC hash y no podría correlacionar las sesiones. La configuración de devolución de llamada de NBI es la única forma segura de autorizar clientes en Ruckus SmartZone sin generar bucles de autenticación local.

Un hotel boutique de tamaño medio con 45 habitaciones desea implementar WiFi de invitados con una página de bienvenida externa utilizando AP Ruckus Unleashed. Necesitan una configuración ligera y sin controlador que no requiera administración por CLI ni un puerto de API NBI expuesto al público.

  1. Inicie sesión en la interfaz web del AP maestro de Unleashed. Vaya a Admin & Services > Services > AAA Servers y cree entradas de servidor RADIUS Authentication (puerto 1812) y Accounting (puerto 1813) que apunten a la infraestructura Cloud RADIUS de Purple.
  2. Vaya a Admin & Services > Services > Hotspot Services y haga clic en Create New. Nombre al servicio 'Purple_Hotel_Hotspot'.
  3. En la pestaña General, configure la URL de inicio de sesión con la URL de redirección del portal de Purple. Establezca la página de inicio para redirigir a ' https://login.purple.ai/success.php '.
  4. En la pestaña Authentication, seleccione los servidores RADIUS recién creados. Establezca el intervalo de actualización de contabilidad provisional en 5 minutos.
  5. En la pestaña Walled Garden, añada los dominios requeridos como entradas a nivel de dominio (por ejemplo, 'purple.ai', 'cloudfront.net', 'gstatic.com'). Tenga en cuenta que Unleashed no requiere ni admite el prefijo comodín de asterisco (*.dominio.com).
  6. Vaya a Wi-Fi Networks, haga clic en Create y establezca el nombre del SSID (por ejemplo, 'Hotel_Guest_WiFi'). Establezca el tipo de uso en 'Hotspot Service' y seleccione 'Purple_Hotel_Hotspot' en la lista desplegable. Guarde la configuración para sincronizar automáticamente el SSID en los 45 AP Unleashed.
Comentario del examinador: Para implementaciones en pymes y medianas empresas de menos de 50 AP, Ruckus Unleashed ofrece una arquitectura distribuida muy rentable. Dado que Unleashed no aplica el cifrado de direcciones MAC por defecto, se evita el paso de CLI requerido en SmartZone. Además, Unleashed no requiere una devolución de llamada de la Northbound Interface (NBI) para la autorización; en su lugar, la autorización del cliente se negocia directamente a través de transacciones RADIUS estándar entre el AP maestro y el servidor RADIUS. Esto simplifica la configuración del firewall, ya que no es necesario abrir puertos entrantes (como 9080/9443) al controlador desde Internet.

Preguntas de práctica

Q1. Un ingeniero ha configurado una integración de Captive Portal con Ruckus SmartZone. Cuando los usuarios se conectan al WiFi de invitados, se les redirige a la página de inicio de sesión. Sin embargo, tras introducir sus credenciales y hacer clic en "Conectar", se les redirige inmediatamente de nuevo a la página de inicio de sesión en un bucle infinito. ¿Cuál es la causa más probable de este problema y cómo debería resolverse?

Sugerencia: Enfóquese en la comunicación entre el portal cloud y el controlador SmartZone una vez completada la autenticación.

Ver respuesta modelo

La causa más probable es un fallo en la llamada de retorno (callback) de la interfaz WISPr Northbound Interface (NBI) o un desajuste en la autenticación RADIUS. Cuando el usuario hace clic en "Conectar", el portal autentica al usuario e intenta enviar una llamada de retorno NBI al controlador SmartZone en el puerto TCP 9080 o 9443 para autorizar la dirección MAC del cliente. Si el firewall perimetral bloquea este puerto de entrada, o si las credenciales NBI introducidas en la consola del portal no coinciden con la configuración del controlador, el controlador nunca autoriza al cliente. En consecuencia, cuando el cliente intenta acceder de nuevo a Internet, el controlador intercepta el tráfico y lo redirige de vuelta al portal. Para resolver esto: 1) Verifique que el puerto TCP 9443 (o 9080) esté abierto para el tráfico entrante en el firewall perimetral desde el rango de IP del portal hacia la IP de gestión de SmartZone. 2) Compruebe la configuración NBI de SmartZone en Administration > WISPr Northbound Interface y confirme que el nombre de usuario y la contraseña coinciden con los configurados en la consola de administración del portal. 3) Pruebe la conectividad RADIUS en SmartZone en Services & Profiles > Authentication > Test AAA para asegurarse de que el secreto compartido es correcto.

Q2. Durante el despliegue de una red WiFi de invitados en un clúster Ruckus Unleashed, varios invitados informan de que la página de bienvenida (splash page) se carga con imágenes y estilos rotos, y las opciones de inicio de sesión social no funcionan. Otros invitados con dispositivos diferentes no pueden cargar la página de bienvenida en absoluto. ¿Cuál es el error de configuración más probable?

Sugerencia: Analice la diferencia entre los dominios que se cargan correctamente y los que fallan antes de la autenticación.

Ver respuesta modelo

La causa más probable es un Walled Garden mal configurado o incompleto. Los clientes no autenticados tienen bloqueado el acceso a cualquier destino de Internet, excepto a los definidos explícitamente en el Walled Garden. Si la página de bienvenida se carga con estilos e imágenes rotos, significa que el navegador tiene bloqueada la descarga de esos recursos desde CDN externas. Si las opciones de inicio de sesión social fallan, significa que los puntos de acceso de autenticación del proveedor social (por ejemplo, las URL de OAuth de Facebook o Google) están bloqueados. Para resolver esto: 1) Audite las entradas del Walled Garden en la configuración del servicio Hotspot de Unleashed. 2) Asegúrese de que se añadan todos los dominios CDN utilizados por el portal (como ".cloudfront.net") y los dominios principales del portal (como "purple.ai"). 3) Si el inicio de sesión social está habilitado, añada los dominios específicos del proveedor social (por ejemplo, ".facebook.com", ".facebook.net", ".google.com"). 4) Tenga en cuenta que Unleashed utiliza coincidencias a nivel de dominio, por lo que no debe incluir el prefijo comodín de asterisco (por ejemplo, use "purple.ai" en lugar de "*.purple.ai").

Q3. Un ingeniero de redes inalámbricas está migrando una red WiFi de invitados de Ruckus Unleashed a un controlador centralizado Virtual SmartZone (vSZ). Copia la lista de Walled Garden exactamente como estaba configurada en Unleashed: "purple.ai", "cloudfront.net", "apple.com". Sin embargo, tras la migración, los clientes de la red vSZ no pueden cargar la página de bienvenida (splash page). ¿Cuál es la diferencia de sintaxis que causó este fallo?

Sugerencia: Revise las reglas específicas de formato de comodines para Ruckus SmartZone en comparación con Ruckus Unleashed.

Ver respuesta modelo

El fallo se debe a una diferencia de sintaxis en la forma en que ambas plataformas analizan las entradas del Walled Garden. Ruckus Unleashed aplica una coincidencia automática a nivel de dominio, lo que significa que al introducir "purple.ai" se cubren automáticamente todos los subdominios (como "login.purple.ai" o "assets.purple.ai"). Sin embargo, Ruckus SmartZone no aplica la coincidencia automática de subdominios; requiere un formato de comodín explícito utilizando el prefijo de asterisco (por ejemplo, ".purple.ai"). Si el ingeniero introdujo "purple.ai" en SmartZone, el controlador permitiría el tráfico únicamente hacia el dominio raíz, impidiendo que el cliente cargue la página de inicio de sesión real en "login.purple.ai". Para resolver esto, el ingeniero debe editar el perfil Hotspot WISPr en SmartZone y actualizar las entradas del Walled Garden para utilizar el formato correcto: ".purple.ai", ".cloudfront.net" y ".apple.com".

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →