Saltar al contenido principal
Español

Cisco Catalyst WLC y guest WiFi: configuración de Captive Portal con Purple

Cómo funciona un controlador LAN inalámbrico Cisco Catalyst 9800 (IOS-XE) con Purple guest WiFi: autenticación web externa, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.

📖 2 min de lectura📝 399 palabras📚 5 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a la serie de sesiones técnicas de Purple. Hoy vamos a tratar un tema que llega a la mesa de casi todos los arquitectos de redes empresariales que trabajan en los sectores de hostelería, retail o grandes recintos: la integración de los controladores Cisco Wireless LAN y la infraestructura inalámbrica Catalyst con la plataforma Guest WiFi de Purple. Si utiliza controladores de la serie Cisco Catalyst 9800, o la plataforma heredada AireOS, y necesita ofrecer una red de invitados conforme a las normativas, segmentada y basada en analíticas, esta sesión es para usted. [medium pause] Empecemos con el contexto. Purple opera en más de 80.000 recintos activos en todo el mundo, y Cisco es el proveedor dominante de infraestructura inalámbrica en entornos empresariales. Conseguir que estas dos plataformas funcionen juntas de forma limpia no es complicado, pero requiere tomar las decisiones arquitectónicas correctas desde el principio. Si se equivoca, pasará semanas solucionando bucles de redireccionamiento, discrepancias de VLAN y tiempos de espera de RADIUS excedidos. Si lo hace bien, dispondrá de una red que segmenta automáticamente a los invitados, al personal y a los dispositivos IoT, recopila datos de origen de forma conforme y escala en cientos de sitios sin intervención manual. [medium pause] Pasemos a la arquitectura. [short pause] Cuando un invitado se conecta a su red WiFi en un despliegue de Cisco, hay tres cosas que deben suceder antes de que acceda a internet. En primer lugar, el WLC Cisco Catalyst 9800 debe interceptar esa solicitud HTTP inicial y redirigir al cliente al Captive Portal de Purple. En segundo lugar, el portal de Purple debe autenticar al usuario, ya sea mediante inicio de sesión social, correo electrónico, SMS o una simple aceptación de términos y condiciones. En tercer lugar, el servidor RADIUS de Purple debe indicar de vuelta al WLC que el usuario está autorizado y, opcionalmente, asignarlo a una VLAN específica. [medium pause] El mecanismo que gestiona el primer paso se llama Autenticación Web Externa o EWA. En el Catalyst 9800, se configura un mapa de parámetros de autenticación web que apunta a la URL de la página de inicio de Purple. El WLC intercepta todo el tráfico HTTP de los clientes no autenticados y emite un redireccionamiento 302 a esa URL. También tendrá que configurar una ACL de preautenticación, o utilizar la función de filtro de URL del 9800, para incluir en la lista blanca las direcciones IP del portal de Purple para que los clientes puedan llegar a la página de inicio antes de estar autorizados. Purple proporciona dos direcciones IP para su portal, y deberá permitir ambas en su ACL de preautenticación. [medium pause] Este es el flujo de configuración para el Catalyst 9800. En primer lugar, cree el mapa de parámetros. A continuación, configure su filtro de URL para permitir el dominio de Purple en la preautenticación. Aplique esto a su perfil de política de WLAN, establezca la seguridad de Capa 2 en Ninguna, habilite la Política Web en la Capa 3 y apúntela a su mapa de parámetros. [medium pause] Ahora, RADIUS. Purple actúa como el servidor RADIUS en esta arquitectura. Configura el WLC para que apunte al endpoint RADIUS de Purple, que encontrarás en el panel de control de Purple, dentro de la configuración de red de tu sede. El secreto compartido se genera por sede. En el Catalyst 9800, dirígete a Configuration, Security, AAA, Servers, y añade el servidor RADIUS de Purple con la IP correcta y el secreto compartido. A continuación, crea un grupo de servidores, una lista de métodos de autenticación y aplícala a tu WLAN. [medium pause] Un detalle que suele pillar a la gente por sorpresa: en el 9800, también debes configurar la dirección IP virtual en el mapa global de parámetros de autenticación web. Utiliza 192.0.2.1 como la dirección IPv4 virtual. Si omites este paso, a veces se redirige a los clientes al portal interno en lugar de al portal de Purple, y pasarás una tarde frustrante intentando averiguar el motivo. [medium pause] Pasemos al WiFi para empleados con 802.1X. [short pause] Para las redes de empleados, lo ideal es utilizar autenticación basada en certificados mediante EAP-TLS o, como mínimo, PEAP con MSCHAPv2 para entornos en los que no sea viable el despliegue de certificados. En el Catalyst 9800, crea una WLAN independiente para el personal, establece la seguridad de capa 2 en WPA2 Enterprise y apunta la autenticación a tu servidor RADIUS. Si utilizas Microsoft Entra ID u Okta como proveedor de identidad, el complemento SecurePass de Purple actúa como proxy RADIUS, traduciendo las solicitudes de autenticación 802.1X en consultas al proveedor de identidad. Esto significa que no necesitas un servidor RADIUS local independiente para la autenticación de los empleados. Purple gestiona la terminación EAP y reenvía la comprobación de identidad a tu proveedor de identidad. [medium pause] Específicamente para EAP-TLS, necesitarás desplegar certificados de cliente en los dispositivos de los empleados, ya sea mediante Microsoft Intune, Jamf o una plataforma MDM similar. El servidor RADIUS de Purple debe confiar en la cadena de certificados, lo que significa que deberás subir tu certificado CA raíz al panel de control de Purple. Una vez implementado, los dispositivos de los empleados se autentican de forma silenciosa, sin solicitudes de contraseña ni páginas de inicio. El usuario se conecta, el certificado se valida y están en la VLAN de empleados en cuestión de segundos. [medium pause] Ahora, la parte que a la mayoría de los arquitectos les resulta realmente interesante: Cisco Identity PSK, o iPSK. [short pause] iPSK resuelve un problema específico que surge constantemente en entornos multi-inquilino. Imagina un hotel con 300 habitaciones, un complejo comercial con 50 tiendas o una promoción de viviendas de alquiler con 200 apartamentos. Quieres un único SSID, pero necesitas que cada inquilino, cada habitación o cada grupo de dispositivos esté aislado en su propia VLAN. La respuesta tradicional era crear un SSID independiente por inquilino, lo cual no es escalable y genera congestión en las frecuencias de radio. iPSK te ofrece un único SSID en el que cada cliente o grupo de clientes tiene una clave precompartida exclusiva, y el servidor RADIUS asocia esa clave a una VLAN específica. [medium pause] Así es como funciona técnicamente. Cuando un cliente se asocia al SSID, el Catalyst 9800 WLC envía un RADIUS Access-Request al servidor RADIUS de Purple, incluyendo la dirección MAC del cliente. El servidor RADIUS de Purple busca esa dirección MAC en su base de datos de iPSK, encuentra la PSK asociada y la asignación de VLAN, y devuelve un RADIUS Access-Accept que contiene el Cisco AV-pair con la PSK y los atributos de túnel IETF para la asignación de VLAN. El WLC utiliza la PSK devuelta para completar el saludo de cuatro vías de WPA2 y, a continuación, coloca al cliente en la VLAN asignada. [medium pause] Los tres atributos RADIUS que necesita para la asignación dinámica de VLAN son: el atributo IETF 64, Tunnel-Type, establecido en VLAN con un valor de 13. El atributo IETF 65, Tunnel-Medium-Type, establecido en 802, con un valor de 6. Y el atributo IETF 81, Tunnel-Private-Group-ID, establecido en el ID de la VLAN como una cadena. Estos tres atributos, enviados juntos en el RADIUS Access-Accept, indican al WLC exactamente qué VLAN asignar. La VLAN ya debe existir en el WLC como una interfaz dinámica, y el puerto del switch de enlace ascendente debe estar configurado como un trunk que transporte todas las VLAN relevantes. [medium pause] Por el lado del WLC, habilite el filtrado MAC en la WLAN iPSK, habilite AAA Override y configure la seguridad de Capa 2 en WPA2-PSK. La PSK global que configure en la WLAN actúa únicamente como un mecanismo de respaldo. La PSK devuelta por RADIUS tiene prioridad para cualquier cliente cuya dirección MAC esté registrada en la base de datos de iPSK de Purple. Para los dispositivos no registrados, puede denegar el acceso o recurrir a la PSK global, según su política. [medium pause] Permítame presentarle dos escenarios del mundo real para concretar esto. [short pause] Primer escenario: un hotel de 200 habitaciones. El hotel desea que los huéspedes estén en la VLAN 10 solo con acceso a internet, el personal en la VLAN 20 con acceso al sistema de gestión de la propiedad y los dispositivos IoT (cerraduras de puertas, termostatos, CCTV) en la VLAN 30 sin acceso a internet. Utilizan controladores Cisco Catalyst 9800 con puntos de acceso de la serie Cisco 9100. [medium pause] La arquitectura: tres perfiles de política en el WLC, uno por VLAN. Un único SSID para huéspedes que utiliza autenticación web externa dirigida a Purple. Un SSID independiente para el personal que utiliza WPA2 Enterprise con EAP-TLS, autenticado a través de Purple SecurePass contra Microsoft Entra ID. E iPSK para dispositivos IoT, con la dirección MAC de cada dispositivo registrada en el portal de Purple y asignada a la VLAN 30. El sistema de gestión de la propiedad del hotel aprovisiona nuevos dispositivos IoT a través de la API de Purple, de modo que cuando se instala una nueva cerradura de puerta, su dirección MAC se registra y se asigna automáticamente a la VLAN correcta. No se requiere ninguna configuración manual de RADIUS. [medium pause] Segundo escenario: una cadena minorista con 80 tiendas. Cada tienda tiene una red WiFi para huéspedes, una red para el personal y una red para terminales de pago. El cumplimiento de PCI DSS exige que la red de terminales de pago esté completamente aislada de la red de huéspedes. El minorista utiliza controladores Cisco Catalyst 9800-L en cada sitio, gestionados de forma centralizada a través de Cisco Catalyst Centre. [medium pause] Purple se implementa como una superposición en la nube. El WLC de cada tienda se configura con los detalles del servidor RADIUS de Purple. La autenticación de invitados utiliza una página de inicio de sesión de marca con captura de correo electrónico, que introduce datos de primera mano en la plataforma de análisis de Purple. La autenticación del personal utiliza PEAP contra Active Directory a través de Purple SecurePass. Las terminales de pago utilizan iPSK con una VLAN dedicada, y la ACL de preautenticación bloquea explícitamente cualquier tráfico entre la VLAN de pago y la VLAN de invitados, cumpliendo con el requisito 1.3 de PCI-DSS para la segmentación de red. [medium pause] Ahora hablemos de los posibles problemas. [short pause] El modo de fallo más común es el bucle de redireccionamiento. Esto ocurre cuando la ACL de preautenticación no incluye correctamente en la lista blanca las direcciones IP del portal de Purple, por lo que el WLC redirecciona al cliente al portal de Purple, pero el cliente no puede acceder al portal porque la ACL lo bloquea, de modo que el WLC lo redirecciona de nuevo de forma indefinida. Solución: verifique que su filtro de URL o su ACL de preautenticación incluya ambas direcciones IP del portal de Purple, y confirme que la resolución DNS está permitida antes de la autenticación. [medium pause] El segundo problema común es el desajuste de VLAN. El servidor RADIUS devuelve un ID de VLAN que no existe como interfaz dinámica en el WLC. A continuación, el WLC sitúa al cliente en la VLAN nativa, que suele ser la VLAN de gestión. Esto representa un riesgo de seguridad. Solución: antes de realizar la implementación, audite las interfaces dinámicas de su WLC en relación con los ID de VLAN configurados en las políticas RADIUS de Purple. Deben coincidir exactamente. [medium pause] Tercer problema: fallos de confianza en los certificados en implementaciones EAP-TLS. Si la cadena de certificados del cliente no es de confianza para el servidor RADIUS de Purple, la autenticación falla de forma silenciosa desde la perspectiva del usuario. Simplemente no pueden conectarse. Solución: cargue su CA raíz y cualquier certificado de CA intermedia en la configuración de Purple SecurePass antes de implementar los certificados de cliente. Realice una prueba con un único dispositivo antes de distribuirlo a toda la flota. [medium pause] Preguntas rápidas. [short pause] ¿Puedo utilizar Purple con Cisco Meraki en lugar de WLC? Sí. Cisco Meraki tiene su propio mecanismo de integración de Captive Portal, y Purple lo admite de forma nativa. La configuración de RADIUS es similar, pero utiliza el panel de control de Meraki en lugar de la línea de comandos del WLC. [short pause] ¿Soporta Purple WPA3 en Cisco? Sí. WPA3-SAE es compatible con Cisco Catalyst 9800 con IOS-XE 17.3 y versiones posteriores. La integración de RADIUS de Purple funciona de manera idéntica con WPA3. [short pause] ¿Cuál es la recomendación de tiempo de espera de RADIUS? Establezca el tiempo de espera de su servidor RADIUS primario en tres segundos con dos reintentos. Configure un servidor RADIUS secundario para la tolerancia a fallos. Purple proporciona endpoints de RADIUS redundantes para clientes empresariales. [short pause] ¿Puedo utilizar Cisco ISE junto con Purple? Sí. Algunas organizaciones utilizan ISE para la evaluación del estado y el perfilado de dispositivos, mientras que utilizan Purple para el portal de invitados y las herramientas de análisis. Los dos servidores RADIUS se configuran en WLANs independientes. [medium pause] Para resumir. [short pause] La infraestructura inalámbrica Cisco WLC y Catalyst se integra a la perfección con Purple utilizando External Web Authentication para la redirección del Captive Portal de invitados, 802.1X EAP-TLS o PEAP para la autenticación de empleados a través de Purple SecurePass, y Cisco iPSK con asignación dinámica de VLAN para la segmentación de IoT y entornos multi-tenant. Los tres atributos de VLAN de RADIUS (Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID) son el mecanismo que impulsa la segmentación dinámica. Configure correctamente sus ACL de preautenticación, asegúrese de que sus ID de VLAN coincidan entre RADIUS y WLC, y pruebe las cadenas de confianza de los certificados antes del despliegue en toda la flota. [medium pause] Purple opera en más de 80.000 establecimientos y ha procesado 440 millones de inicios de sesión en 2024. La integración con Cisco es una de nuestras configuraciones más implementadas a nivel global. Si desea comenzar, el panel de control de Purple le guiará paso a paso por la configuración de RADIUS para cada sede, y nuestro equipo de integración está disponible para despliegues empresariales. [medium pause] Eso es todo en este informe. Gracias por escuchar.

Los controladores LAN inalámbricos Cisco Catalyst 9800 que ejecutan IOS-XE gestionan la parte de radio de su red. Purple añade la capa de invitados en la parte superior: el Captive Portal que ven sus visitantes, el proceso de inicio de sesión y los datos de origen que usted recopila. No sustituye a ninguno de sus equipos Cisco.

Cómo funciona Cisco Catalyst con Purple guest WiFi

Purple es una solución superpuesta en la nube. Su controlador Catalyst sigue ejecutando el WiFi; Purple gestiona la experiencia de invitado a través de dos mecanismos estándar que su controlador ya admite.

  • Autenticación web externa. El controlador redirige un nuevo dispositivo a su página de inicio de Purple en lugar de conceder acceso de inmediato. El visitante inicia sesión y la página devuelve el control al controlador.
  • RADIUS. El controlador comprueba cada inicio de sesión con el servicio RADIUS de Purple en los puertos estándar, 1812 para autenticación y 1813 para contabilidad. Los datos de contabilidad son los que potencian sus análisis de visitantes.

Un walled garden, una lista corta de direcciones permitidas a las que un dispositivo puede acceder antes de iniciar sesión, permite que se cargue la página de inicio y que se completen los pasos de pago o de inicio de sesión con redes sociales.

Ese es todo el modelo: Cisco mueve los paquetes, Purple es propietario del inicio de sesión y de los datos. Dado que se ejecuta en autenticación web estándar y RADIUS, funciona de la misma manera en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. Purple es independiente del hardware por diseño.

Qué necesita

  • Un controlador Cisco Catalyst 9800 en IOS-XE, con acceso de administrador a la interfaz web.
  • Un espacio de Purple con su página de inicio y su proceso de inicio de sesión configurados.
  • Sus datos de RADIUS de Purple y las direcciones del walled garden, desde su panel de Purple.

Configúrelo con Purple

Los ajustes exactos del controlador, el mapa de parámetros de Web Auth, las entradas del servidor AAA, el Cambio de Autorización y el walled garden están documentados paso a paso en la guía de soporte de Purple, con los valores precisos que debe introducir.

Guía de configuración de Cisco Catalyst WLC (IOS-XE)

Siga esa guía para la configuración. Esta página explica cómo encajan las piezas, para que sepa qué hace cada paso.

Qué obtiene

Una vez que los invitados inician sesión a través de Purple, cada visita se convierte en datos de origen verificados y con consentimiento consciente: quién nos visitó, con qué frecuencia y cómo contactarles con su permiso. Esa es la diferencia entre un WiFi que conecta a las personas y un WiFi que crea una audiencia de marketing de su propiedad. Purple cumple con el GDPR y cuenta con la certificación ISO 27001, con un tiempo de actividad del 99,999 % en más de 80.000 establecimientos activos.

Definiciones clave

Captive Portal

La página de inicio de sesión que ve un visitante antes de conectarse. Purple la aloja y la ejecuta; su controlador redirige los dispositivos a ella.

La capa de experiencia de invitado que Purple añade sobre su WiFi de Cisco.

Autenticación web externa

Una función del controlador que redirige un dispositivo no autenticado a una página de inicio de sesión alojada externamente y luego se reanuda una vez que el visitante inicia sesión.

Cómo el controlador Catalyst entrega el invitado a la página de inicio de Purple.

RADIUS

Un protocolo estándar para comprobar los inicios de sesión y registrar los datos de la sesión, en los puertos UDP 1812 (autenticación) y 1813 (contabilidad).

Cómo el controlador valida a cada invitado con Purple y alimenta los análisis.

Walled garden

Una lista corta de direcciones permitidas a las que un dispositivo puede acceder antes de haber iniciado sesión.

Permite que la página de inicio, los pagos y el inicio de sesión con redes sociales se carguen antes de la autenticación.

Cambio de Autorización (CoA)

Un mensaje de RADIUS que actualiza o finaliza una sesión después de que esta haya comenzado.

Se utiliza para cambiar el acceso de un invitado una vez que ha iniciado sesión.

Continúe leyendo esta serie

Huawei iMaster NCE (CloudCampus) y WiFi de invitados: configuración de captive portal con Purple

Cómo el WiFi de invitados en la nube de Purple se integra sobre los puntos de acceso Huawei AirEngine gestionados en iMaster NCE, utilizando autenticación de portal y RADIUS relay, y dónde encontrar los pasos exactos de configuración.

Leer la guía →

Grandstream GWN and guest WiFi: captive portal setup with Purple

Cómo funcionan los puntos de acceso Grandstream GWN con Purple guest WiFi: una página de bienvenida externa, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para obtener la configuración exacta.

Leer la guía →

Mikrotik RouterOS y WiFi de invitados: configuración de Captive Portal con Purple

Cómo la WiFi de invitados en la nube de Purple se integra en los dispositivos MikroTik con RouterOS, utilizando el Hotspot integrado y RADIUS, y dónde encontrar los pasos exactos de configuración.

Leer la guía →