EnGenius Cloud Access Points Integration with Purple WiFi

Resumen ejecutivo

Depender de una clave compartida única para el WiFi empresarial expone a los establecimientos a riesgos de seguridad significativos e impide la recopilación de valiosos datos de origen (first-party data). Esta guía detalla la integración de los puntos de acceso EnGenius Cloud con la plataforma de Guest WiFi de Purple para ofrecer redes inalámbricas seguras, segmentadas y medibles en entornos de hostelería , comercio minorista y edificios multiinquilino. Al implementar la autenticación IEEE 802.1X para el personal, la asignación dinámica de VLAN a través de EnGenius MyPSK para residentes e inquilinos, y un portal cautivo alojado en la nube para los invitados, los equipos de TI pueden aplicar controles de acceso estrictos mientras convierten la infraestructura inalámbrica en un activo de inteligencia empresarial.

Purple procesa 440 millones de inicios de sesión al año en más de 80.000 establecimientos activos (datos internos de Purple, 2024). La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y es independiente del hardware, motivo por el cual se integra a la perfección con EnGenius, además de con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. Esta guía cubre las cuatro capas de configuración necesarias para implementar Purple en el hardware de EnGenius Cloud: redirección del portal cautivo de invitados, configuración del Walled Garden, WiFi seguro para el personal y aislamiento multiinquilino mediante EnGenius MyPSK.

Análisis técnico detallado

Descripción general de la arquitectura

La integración entre EnGenius Cloud y Purple se basa en protocolos RADIUS estándar y redirección HTTP. Cuando un invitado se conecta a un punto de acceso EnGenius ECW en un SSID con Captive Portal habilitado, el AP intercepta la primera solicitud HTTP y redirige el navegador a la página de bienvenida alojada en la nube de Purple. Esta redirección pasa varios parámetros al portal, incluidos client_mac, ap_mac y userurl, que Purple utiliza para rastrear la sesión y devolver una decisión de autenticación.

Para el personal y los dispositivos operativos, la arquitectura pasa de la redirección del portal cautivo al control de acceso a la red basado en puertos IEEE 802.1X. El punto de acceso de EnGenius actúa como autenticador, reenviando los mensajes del Protocolo de autenticación extensible (EAP) al servidor RADIUS de Purple a través del puerto UDP 1812. Tras una autenticación correcta, el servidor RADIUS devuelve un mensaje Access-Accept que contiene atributos de asignación de VLAN, indicando al AP que coloque el dispositivo en el segmento de red correcto.

Plataforma EnGenius Cloud

EnGenius Cloud es una plataforma de red gestionada en la nube compatible con los puntos de acceso de la serie ECW (incluidos los modelos WiFi 7 ECW220, ECW230 y ECW520) y los switches gestionados de la serie ECS. La plataforma proporciona un panel centralizado para la gestión de SSID, la configuración de RADIUS, el etiquetado de VLAN y la configuración del Captive Portal en todos los dispositivos de una organización. EnGenius Cloud admite tres tipos de autenticación de Captive Portal basados en RADIUS: EnGenius Authentication (que utiliza el Cloud RADIUS integrado), Custom RADIUS (que apunta a un servidor externo como Purple) y Voucher Service.

Para implementaciones empresariales, Custom RADIUS es el tipo de autenticación correcto al integrarse con Purple. Este modo indica al punto de acceso que actúe como proxy para las solicitudes de autenticación hacia el endpoint RADIUS de Purple, habilitando el portal de Purple, las analíticas y las capacidades de captura de datos.

EnGenius MyPSK y aislamiento multi-tenant

En entornos como propiedades de alquiler residencial (build-to-rent), alojamiento de estudiantes, oficinas de servicios o espacios de coworking, emitir un SSID independiente para cada inquilino degrada el rendimiento de la radiofrecuencia. Cada SSID adicional genera tramas de baliza (beacon frames) que consumen tiempo de transmisión y reducen la capacidad disponible para el tráfico de datos. EnGenius MyPSK (también conocido como PPSK, o Private Pre-Shared Key) resuelve esto al permitir hasta 500 PSK únicas en un solo SSID.

Cada clave está vinculada a una VLAN específica. Cuando un residente se conecta utilizando su clave única, el punto de acceso lo sitúa automáticamente en su segmento de red designado. El cifrado es por usuario: cada clave genera una Pairwise Master Key (PMK) única, por lo que un inquilino no puede descifrar el tráfico aéreo de otro inquilino aunque compartan el mismo SSID. Esta es una ventaja de seguridad fundamental frente a una única PSK compartida, donde cualquier usuario que conozca la contraseña puede descifrar todo el tráfico de la red.

Las claves MyPSK admiten fechas de caducidad, lo que las hace idóneas para escenarios de acceso por tiempo limitado: la clave de un estudiante caduca al final del año académico, la clave de un contratista caduca cuando finaliza su contrato y la clave de un asistente a una conferencia caduca a medianoche el último día del evento.

Guía de implementación

Paso 1: Definir la arquitectura VLAN

Antes de configurar cualquier SSID, defina la estructura de VLAN en sus switches ECS. Una implementación típica utiliza tres VLAN:

Paso 2: Configurar el Captive Portal de invitados (configuración del Captive Portal de EnGenius)

Esta es la configuración principal para implementar la splash page de EnGenius con Purple.

1. Inicie sesión en su panel de EnGenius Cloud en cloud.engenius.ai .
2. Vaya a Configure > SSID y seleccione su red de invitados (por ejemplo, "VenueGuest").
3. En la pestaña Wireless, establezca el Security Type en Open. Esto es el estándar para el WiFi de invitados; los invitados se identifican y autentican en la capa del portal, no en la capa de asociación.
4. Cambie a la pestaña Captive Portal y active el portal.
5. Establezca el Authentication Type en Custom RADIUS.
6. Introduzca los detalles del servidor RADIUS de Purple:

1. Cambie a la pestaña Splash Page.
2. Seleccione External Splash Page URL.
3. Introduzca la URL del portal de Purple para su establecimiento (formato: https://portal.purple.ai/[venue-id]).
4. Haga clic en Apply.

Paso 3: Configurar el Walled Garden

El Walled Garden (lista blanca de WiFi de invitados de EnGenius) debe configurarse para permitir el acceso previo a la autenticación a los dominios necesarios para que se cargue el portal. Vaya a Captive Portal > Advanced Settings > Walled Garden y añada las siguientes entradas:

Infraestructura de Purple:

• *.purple.ai
• *.purpleportal.net

Sondeos de Captive Portal del sistema operativo (obligatorios):

• captive.apple.com (iOS y macOS)
• connectivitycheck.gstatic.com (Android)
• msftconnecttest.com (Windows)

Inicio de sesión social (si está activado):

• Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
• Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
• Microsoft Entra ID: login.microsoftonline.com, login.live.com

Utilice siempre nombres de dominio en lugar de direcciones IP estáticas. Los proveedores de inicio de sesión social utilizan rangos de IP dinámicos y enrutamiento anycast; una lista blanca de IP estáticas se degradará con el tiempo a medida que cambien las direcciones CDN.

Paso 4: Configurar el WiFi seguro para el personal (802.1X)

La configuración RADIUS de EnGenius para el WiFi del personal utiliza WPA2 Enterprise para proporcionar una autenticación sin contraseña y respaldada por certificados.

1. Cree un nuevo SSID (por ejemplo, "VenueStaff").
2. En la pestaña Wireless, establezca el Security Type en WPA2 Enterprise.
3. Seleccione Custom RADIUS e introduzca la IP del servidor RADIUS, el puerto 1812 y el secreto compartido.
4. No se requiere Captive Portal. Los dispositivos del personal se autentican de forma silenciosa a través de 802.1X.
5. Configure su servidor RADIUS para devolver los siguientes atributos en el Access-Accept:

For EAP method selection: PEAP-MSCHAPv2 is the practical choice for environments using Microsoft Entra ID or Active Directory. EAP-TLS provides stronger security by eliminating passwords entirely, but requires a Public Key Infrastructure and MDM solution to deploy client certificates. Enforce strict server certificate validation on all client devices via Group Policy (Windows) or MDM profiles (macOS, iOS, Android) to prevent credential theft from rogue access points.

Step 5: Configure EnGenius MyPSK for multi-tenant isolation

EnGenius MyPSK setup for a multi-tenant environment:

1. Create a new SSID (e.g., "VenueResident").
2. Under the Wireless tab, set Security Type to WPA2 PSK or WPA3 Personal.
3. Enable MyPSK (Private PSK).
4. Click Add PSK to create individual keys, or use Auto-Generate to create batches of up to 50 at a time.
5. For each PSK, assign a VLAN ID and optionally set a Start Date and Expiration Date.
6. Distribute each unique PSK to the corresponding tenant or resident.

When a tenant's lease ends, delete or expire their PSK. Access is revoked immediately without affecting any other tenant on the network.

Best practices

Enforce strict certificate validation on 802.1X clients. PEAP-MSCHAPv2 is only secure when clients are configured to validate the RADIUS server's certificate against a trusted CA. Without this, a rogue access point can present a fraudulent certificate and harvest credentials. Deploy validation settings via Group Policy Objects for Windows and MDM configuration profiles for all other platforms. This is non-negotiable for any deployment in a regulated environment.

Use dynamic DNS resolution in the Walled Garden. Google, Apple, and Meta use dynamic IP ranges for their OAuth and CDN endpoints. Configure Walled Garden entries as domain names and ensure your EnGenius Cloud controller resolves them dynamically. A static IP whitelist will cause authentication failures as CDN IPs rotate.

Segment IoT devices with MAC Authentication Bypass. Headless devices such as printers, displays, and IoT sensors cannot authenticate via 802.1X. Use MAC Authentication Bypass (MAB) to identify them and place them on a restricted VLAN with firewall rules preventing lateral movement. MAB is not a security control - it is a device identification mechanism. Treat MAB-authenticated devices as untrusted.

Implement RADIUS accounting. Enable the accounting server in EnGenius Cloud's RADIUS configuration, pointing to Purple's accounting endpoint on UDP 1813. This feeds session duration, data volume, and device information into Purple's WiFi Analytics platform, providing the venue utilisation data that justifies the infrastructure investment.

Revise el Walled Garden trimestralmente. Los proveedores de OAuth y las CDN cambian sus estructuras de dominio. Apple actualizó sus dominios de Sign In dos veces en 2023. Incluya una revisión trimestral del Walled Garden en su calendario operativo. Para obtener más orientación sobre las prácticas de seguridad de WiFi empresarial, consulte nuestra guía de seguridad de WiFi empresarial .

Resolución de problemas y mitigación de riesgos

Síntoma: El Captive Portal no se carga en dispositivos iOS. Causa: captive.apple.com no está en el Walled Garden. iOS utiliza este endpoint para detectar la presencia de un Captive Portal y activar el Captive Network Assistant. Sin él, el dispositivo informa de "Sin conexión a Internet" y nunca abre el navegador del portal. Solución: Añada captive.apple.com al Walled Garden en EnGenius Cloud en Captive Portal > Configuración avanzada.

Síntoma: La autenticación falla silenciosamente: RADIUS no devuelve ninguna respuesta. Causa: Discrepancia en el secreto compartido entre EnGenius Cloud y la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter hace que se descarte cada solicitud de autenticación. Solución: Vuelva a introducir el secreto compartido en ambos sistemas. Copie y pegue desde una fuente de texto sin formato para evitar la sustitución de caracteres invisibles.

Síntoma: El cliente 802.1X se autentica pero no recibe ninguna dirección IP. Causa: El puerto de enlace ascendente del conmutador ECS no está configurado como trunk, o la VLAN devuelta por el servidor RADIUS no está permitida en el trunk. Solución: Verifique la configuración del puerto del conmutador. El puerto debe ser un trunk que transporte todas las VLAN a las que se hace referencia en las respuestas RADIUS.

Síntoma: El cliente MyPSK se conecta pero puede llegar a los dispositivos de otros inquilinos. Causa: El aislamiento de clientes no está habilitado en el SSID, o la configuración de la VLAN en el conmutador no está aislando correctamente los segmentos. Solución: Habilite el aislamiento de clientes en el SSID en EnGenius Cloud. Verifique que cada VLAN esté configurada con las reglas de enrutamiento inter-VLAN adecuadas en el router o cortafuegos ascendente.

Síntoma: El botón de inicio de sesión social se carga pero la autenticación falla. Causa: Falta uno o más subdominios del proveedor de OAuth en el Walled Garden. Google y Meta utilizan múltiples subdominios para sus flujos de autenticación. Solución: Capture la salida de la consola del navegador de un dispositivo no autenticado para identificar qué dominio está siendo bloqueado. Añada el dominio que falta al Walled Garden. Consulte la documentación de la lista blanca de dominios de Walled Garden de Purple para ver la lista actual.

ROI e impacto empresarial

La implementación de Purple con EnGenius Cloud transforma la infraestructura inalámbrica de un centro de costes en un activo de datos. Los operadores de las instalaciones capturan datos demográficos de origen totalmente compatibles con el GDPR de los invitados a través de opciones de inclusión consciente, lo que permite campañas de marketing dirigidas y una interacción mensurable. Para los equipos de TI, el cambio a 802.1X y MyPSK elimina la sobrecarga operativa de gestionar contraseñas compartidas, reduce los tickets de soporte relacionados con problemas de acceso y proporciona una visibilidad detallada de la utilización de la red.

Para los operadores de hostelería , Premier Inn —un cliente destacado de Purple— utiliza los datos de WiFi de invitados para fomentar la participación en su programa de fidelización y personalizar las comunicaciones posteriores a la visita. Para entornos de retail , la combinación de análisis de afluencia de la plataforma de WiFi Analytics de Purple y los datos de tiempo de permanencia proporciona información de merchandising que justifica la inversión en infraestructura de forma independiente de las ventajas de seguridad.

En entornos multiinquilino, MyPSK elimina la necesidad de contar con una infraestructura de red física independiente por inquilino. Un único punto de acceso EnGenius ECW puede dar servicio a 500 inquilinos aislados en un solo SSID, lo que reduce los costes de hardware y simplifica la gestión diaria. Cuando un inquilino se marcha, su PSK se elimina en segundos, sin necesidad de cambiar la contraseña y sin impacto para los demás residentes.

La plataforma de Purple es agnóstica con respecto al hardware, lo que significa que la misma configuración de Purple, analítica y capa de captura de datos funciona en hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Si su parque de equipos incluye una combinación de EnGenius y otros proveedores, Purple proporciona un único panel de control para la gestión de WiFi de invitados en todos ellos. Para obtener instrucciones de despliegue relacionadas, consulte nuestra guía de integración de DrayTek Vigor .