Cómo configurar un Captive Portal de Ruijie para WiFi de invitados

Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor de TI sénior que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Énfasis natural ocasional en términos técnicos clave: Cómo configurar un Captive Portal de Ruijie para WiFi de invitados. Un informe técnico de Purple. [pausa media] INTRODUCCIÓN Y CONTEXTO. [pausa corta] Bienvenido. Durante los próximos diez minutos, vamos a cubrir todo lo que necesita saber sobre la configuración de un Captive Portal de Ruijie para WiFi de invitados: desde las decisiones de arquitectura que determinan si su implementación tiene éxito o fracasa, hasta los pasos de configuración específicos que la mayoría de las guías omiten por completo. Si es un director de TI, arquitecto de redes o director de operaciones de recintos en un hotel, cadena de tiendas, estadio o centro de conferencias, y tiene hardware de Ruijie en sus instalaciones o lo está evaluando, este informe es para usted. Ruijie Networks es uno de los proveedores de soluciones inalámbricas para empresas de más rápido crecimiento a nivel mundial. Según datos de IDC, Ruijie ocupa la posición número uno en el mercado de WLAN empresarial de China con una cuota del 23,34 %, y su presencia se está expandiendo rápidamente por Europa, Oriente Medio y Asia-Pacífico. Sus controladores inalámbricos de la serie RG-WS, las puertas de enlace de la serie Reyee EG y los puntos de acceso RG-RAP gestionados en la nube se encuentran actualmente desplegados en miles de recintos de todo el mundo. Pero aquí está la cuestión. Configurar correctamente el WiFi de invitados en el hardware de Ruijie (específicamente la parte del Captive Portal) requiere comprender de antemano un puñado de decisiones arquitectónicas. Si toma esas decisiones de forma incorrecta, acabará con un portal que falla en iOS, invitados que no pueden autenticarse y una red que está demasiado abierta o demasiado bloqueada. Vamos a solucionarlo. [pausa media] ANÁLISIS TÉCNICO DETALLADO. [pausa corta] En primer lugar, la arquitectura. Ruijie ofrece tres modelos de implementación distintos para los Captive Portals de WiFi de invitados, y elegir el adecuado depende de su escala y de sus requisitos de gestión. El modelo uno es el portal gestionado nativo de Ruijie Cloud o JaCS. JaCS es el sistema de gestión de Ruijie enfocado al sector hotelero. Esta es la opción integrada. Inicie sesión en Ruijie Cloud, navegue a Device Config, luego a Basic, cree o edite su SSID de invitados, active el interruptor de Authentication y seleccione Captive Portal como modo. JaCS admite escenarios de tipo Hotel y Other, y le ofrece un creador de portales de arrastrar y soltar con opciones de inicio de sesión que incluyen acceso con un solo clic, códigos de cupón y acceso basado en cuentas. Esta es la opción correcta para implementaciones más pequeñas: un solo hotel, una tienda boutique o un centro de conferencias que desea una página de bienvenida rápida y personalizada sin dependencias externas. El modelo dos es el Captive Portal externo a través de WISPr y RADIUS. WISPr (Wireless Internet Service Provider roaming) es el protocolo que gestiona la redirección y el saludo de autenticación entre la pasarela Ruijie y una plataforma de portal externa. Este es el enfoque de nivel empresarial. Es lo que necesita cuando desea integrar Ruijie con una plataforma de inteligencia de WiFi para invitados de terceros. Aquí, debe ir a Auth and Account en la interfaz de Ruijie, seleccionar Captive Portal, establecer el Policy Mode en External y apuntar la Portal Server URL a su plataforma externa. A continuación, configure un grupo de servidores RADIUS con las credenciales que proporciona su plataforma. Este modelo se escala en cientos de sitios, le ofrece análisis centralizados y le permite ejecutar flujos de trabajo de captura de datos que cumplen con el GDPR. El modelo tres es el modo AP independiente. Los puntos de acceso Reyee de Ruijie que ejecutan ReyeeOS versión 1.219 o posterior pueden ejecutar un Captive Portal local sin necesidad de una pasarela, lo que resulta útil para despliegues temporales o sitios pequeños sin un router EG. Sin embargo, la funcionalidad es limitada en comparación con los despliegues basados en pasarela, por lo que debe considerar esto como una alternativa de respaldo y no como una arquitectura principal. [medium pause] Ahora, la pieza crítica que la mayoría de las guías omiten por completo: el aislamiento de VLAN. Cuando crea un SSID de invitado en Ruijie, tiene dos opciones de reenvío: el modo NAT y el modo VLAN. El modo NAT es más sencillo. La pasarela asigna a los dispositivos de los invitados direcciones de un grupo dedicado, normalmente 192.168.23.0 barra 24 por defecto, y todo el tráfico de los invitados se somete a NAT hacia internet. Esto funciona para una prueba de concepto, pero le ofrece una visibilidad y un control limitados sobre el tráfico de los invitados en la Capa 3. El modo VLAN es la opción correcta para cualquier despliegue de producción. Asigne el SSID de invitado a una VLAN dedicada, por ejemplo, la VLAN 100, y utilice ACL en la pasarela para bloquear el tráfico de invitados y evitar que llegue a su VLAN corporativa. El patrón es: crear una lista de acceso extendida, denegar el tráfico IP desde la subred de invitados a la subred corporativa, permitir todo lo demás y aplicar esa lista de acceso de entrada en la interfaz BVI de invitados. Este es el mismo principio que aplicaría en Cisco Meraki, HPE Aruba o Ruckus; Ruijie simplemente tiene su propia sintaxis de CLI. Los estándares de seguridad son importantes aquí. Ruijie es compatible con WPA3-Personal y el modo mixto WPA2 barra WPA3 en los SSID de invitados. Para una red de invitados en la que desea un acceso sin fricciones, normalmente se ejecuta un SSID abierto con autenticación de Captive Portal en lugar de una clave precompartida. El Captive Portal se convierte en su capa de autenticación. Si necesita una seguridad más sólida (por ejemplo, para un entorno de servicios financieros o sanitarios), puede añadir una capa de IEEE 802.1X, utilizando EAP-TLS o PEAP con un servidor RADIUS para la autenticación basada en certificados o credenciales. Los controladores de la serie RG-WS de Ruijie admiten 802.1X completo con asignación dinámica de VLAN, lo que significa que puede enviar diferentes VLAN a diferentes grupos de usuarios en función de los atributos de RADIUS. [medium pause] El walled garden —o lista de permitidos— es otro aspecto que suele causar problemas. Antes de que un invitado se autentique a través del Captive Portal, su dispositivo funciona en un estado restringido. Solo puede acceder a los dominios que hayas incluido explícitamente en la lista blanca. Como mínimo, debes permitir el dominio y la dirección IP de tu plataforma de portal, cualquier proveedor de inicio de sesión social que utilices y el endpoint de detección de Captive Portal de Apple: captive.apple.com. Si olvidas este último, los dispositivos iOS mostrarán una experiencia de portal con errores. La lista de permitidos se configura en Ruijie Cloud, en Auth and Account y, a continuación, en Allowlist. Añade cada dominio y dirección IP de forma individual. [medium pause] RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES. [short pause] Permíteme presentarte las cuatro decisiones que determinan si tu despliegue de WiFi para invitados de Ruijie será un éxito o un fracaso. Decisión uno: portal nativo frente a plataforma externa. Si gestionas más de cinco centros, o si necesitas capturar datos de origen para marketing, utiliza una plataforma externa. Purple, por ejemplo, funciona como una capa en la nube independiente del hardware en más de 80.000 espacios activos. Solo tienes que apuntar tu gateway Ruijie a la URL del portal de Purple, configurar las credenciales RADIUS y obtendrás analíticas centralizadas, captura de datos que cumple con el GDPR e integraciones con CRM, todo ello sin tener que volver a tocar el hardware de Ruijie. Purple ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con la certificación ISO 27001, por lo que la parte del cumplimiento normativo está totalmente cubierta. Decisión dos: NAT frente a VLAN. Utiliza siempre el modo VLAN para despliegues en producción. El modo NAT es adecuado para una prueba de concepto, pero el modo VLAN te ofrece un aislamiento real de Capa 3, una gestión más sencilla de las políticas de firewall y la capacidad de aplicar políticas de QoS por VLAN. Decisión tres: gestión del ancho de banda. Los gateways EG de Ruijie tienen controles de QoS integrados. Establece límites de descarga y subida por usuario en el SSID de invitados; por lo general, de dos a cinco megabits por segundo de descarga para una red de invitados estándar. Esto evita que un solo invitado que reproduzca vídeo en 4K degrade la experiencia de todos los demás. Si utilizas una plataforma externa, desactiva Client Escape en el lado de Ruijie para asegurarte de que los controles de ancho de banda de la plataforma se apliquen correctamente. Decisión cuatro: tiempo de espera de la sesión y reautenticación. Establece un tiempo de espera de sesión sensato: de ocho a 24 horas para hostelería, y menor para comercios o eventos. Ruijie te permite configurar esto por política de portal. Combínalo con una URL de redirección posterior al inicio de sesión para que los invitados lleguen al sitio web de tu establecimiento o a una página promocional después de conectarse. [medium pause] El error más común que veo es que los equipos desplieguen un Captive Portal sin probarlo en iOS y Android simultáneamente. Tanto Apple como Google tienen mecanismos de detección de Captive Portal que se comportan de forma diferente. Prueba ambos antes del lanzamiento. El segundo error más común es olvidar sincronizar la configuración del portal con el producto EG en JaCS: hay un botón explícito de Sincronizar en el que debes hacer clic después de crear o editar un portal; de lo contrario, el gateway no aplicará los cambios. [medium pause] PREGUNTAS Y RESPUESTAS RÁPIDAS. [short pause] Permítame repasar las preguntas que me hacen con más frecuencia. ¿Pueden los AP de Ruijie ejecutar un Captive Portal sin una puerta de enlace? Sí, en ReyeeOS 1.219 o posterior, pero la funcionalidad es limitada en comparación con las implementaciones basadas en puerta de enlace. ¿Admite Ruijie 802.1X para redes de invitados? Sí, los controladores de la serie RG-WS admiten 802.1X completo con asignación dinámica de VLAN a través de RADIUS. ¿Puedo integrar Ruijie con Purple? Sí. Configure el modo de Captive Portal externo, apunte la URL del portal al endpoint de Purple, configure el grupo de servidores RADIUS con las credenciales de Purple y añada los dominios de Purple a la lista de permitidos. La arquitectura agnóstica de hardware de Purple se encarga del resto. ¿Funciona WPA3 con los Captive Portals? Sí. Se ejecuta un SSID abierto para el flujo del Captive Portal. WPA3 se aplica a los SSIDs autenticados. Para redes de invitados, el propio portal es la capa de autenticación. ¿Qué puertos RADIUS utiliza Ruijie? El puerto 1812 para autenticación y el puerto 1813 para contabilidad; estos son los puertos estándar asignados por la IANA según RFC 2865 y RFC 2866. [medium pause] RESUMEN Y PRÓXIMOS PASOS. [short pause] En resumen. Ruijie Networks le ofrece una plataforma capaz y flexible para la implementación de WiFi de invitados y Captive Portals. Los tres modelos de implementación (portal en la nube nativo, portal externo basado en RADIUS y AP independiente) cubren desde un hotel boutique de un solo sitio hasta una cadena de tiendas minoristas multisitio. Las decisiones clave son: aislamiento de VLAN sobre NAT para cualquier implementación de producción. Plataforma externa para cualquier caso de uso multisitio o de captura de datos. Configuración adecuada del walled garden para evitar fallos de autenticación en iOS. Y probar siempre tanto en iOS como en Android antes de la puesta en marcha. Sus próximos pasos: audite las versiones actuales de firmware de Ruijie para confirmar la compatibilidad con ReyeeOS. Decida si necesita una gestión de portal nativa o externa. Si gestiona más de cinco sitios o necesita análisis, hable con Purple sobre la integración de su plataforma con su infraestructura Ruijie. Purple opera en más de 80.000 sedes, procesa cientos de millones de inicios de sesión al año y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Puede encontrar la documentación de integración de Purple y solicitar una demostración en purple.ai. Gracias por escucharnos. Nos vemos en la próxima sesión informativa.