Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

📖 9 min de lectura📝 2,079 palabras🔧 2 ejemplos prácticos❓ 4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Te damos la bienvenida a la serie de informes técnicos de Purple. Soy tu anfitrión y hoy vamos a analizar un patrón de despliegue que cada vez es más común en los sectores de hostelería, retail y propiedades multiinquilino: la integración de los puntos de acceso Grandstream GWN con la plataforma de guest WiFi de Purple.

Si eres un MSP, un equipo de TI interno o un arquitecto de redes a quien se le ha asignado un despliegue de Grandstream GWN y tiene que añadir un Captive Portal de marca con analíticas, este episodio es para ti. Cubriremos todo el ecosistema: redirección a la página de bienvenida para invitados, configuración del Walled Garden (entorno cerrado), Wi-Fi seguro para el personal mediante 802.1X y segmentación multiinquilino utilizando la función Private Pre-Shared Key de Grandstream. Vamos a ello.

---

Primero, pongámonos en contexto. La serie GWN de Grandstream es una gama sólida de puntos de acceso para el mercado medio. Dispones del GWN7600 y el GWN7630 para despliegues en interiores, el GWN7660 y el GWN7664 para entornos Wi-Fi 6, y el GWN7610 como opción de montaje en techo para espacios de mayor densidad. Se gestionan a través de GWN Manager, que es un controlador local que se instala en un servidor Linux o Windows, o bien a través de GWN dot Cloud, la plataforma de gestión en la nube de Grandstream, ahora renombrada como GDMS Networking.

La buena noticia para los MSP es que ambas plataformas de gestión admiten de forma nativa la configuración del Captive Portal. Puedes crear la política del portal, personalizar la página de bienvenida y asociarla a un SSID completamente dentro de GWN Manager o GWN dot Cloud. Sin embargo, para despliegues empresariales en los que necesitas capturar datos de conformidad con el GDPR, automatizar el marketing y obtener analíticas en tiempo real, querrás sustituir ese portal nativo por una plataforma externa. Ahí es donde entra Purple.

Purple funciona como un overlay en la nube. Se sitúa por encima de tu hardware y proporciona el Captive Portal, la capa de autenticación RADIUS, el motor de analíticas y las herramientas de marketing. Purple da soporte a 80 000 ubicaciones activas y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que es una plataforma de contrastada eficacia a gran escala. La integración con Grandstream GWN sigue el mismo enfoque basado en estándares que Purple utiliza en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.

---

Pasemos a la arquitectura técnica. El flujo de guest WiFi en Grandstream GWN con Purple funciona de la siguiente manera.

Un invitado se conecta a tu SSID de invitados. Su dispositivo envía una solicitud HTTP a cualquier sitio web. El punto de acceso GWN intercepta esa solicitud y emite una redirección HTTP 302 a la URL del portal de Purple. El invitado llega a tu página de bienvenida personalizada, alojada por Purple. Se autentica, ya sea mediante correo electrónico, inicio de sesión social, verificación por SMS o un formulario personalizado. La plataforma de Purple valida esa autenticación, registra el consentimiento y los datos de conformidad con el GDPR, y luego envía un RADIUS Access-Accept de vuelta al punto de acceso GWN. El AP concede el acceso a Internet. Todo el flujo tarda entre tres y cinco segundos desde la conexión hasta el acceso a Internet.

Ahora, los componentes clave de la configuración en el lado de Grandstream son: la política del Captive Portal, los ajustes de la splash page, el walled garden y la asociación del SSID. Permítame guiarle a través de cada uno de ellos.

---

Paso uno: configure la política del Captive Portal en GWN Manager o GWN dot Cloud.

Navegue a Captive Portal, luego a Policy List, y cree una nueva política. Asígnele un nombre descriptivo, algo como "Purple-Guest-Portal". Establezca el Authentication Type en RADIUS Server. A continuación, verá los campos para RADIUS Server Address, RADIUS Server Port y RADIUS Server Secret. Introduzca la dirección IP del servidor RADIUS de Purple y el puerto 1812 para la autenticación. Su clave secreta compartida procede de la consola de administración del portal de Purple, en la sección de configuración de hardware del establecimiento. Establezca el RADIUS Authentication Method en PAP, que es el que utiliza el flujo del Captive Portal de Purple.

En Landing Page, configure esto como Redirect to External Page e introduzca la URL de redirección del portal de Purple. Esta es la URL a la que se enviará a los clientes cuando se conecten por primera vez. Una vez más, esto procede de su consola de administración de Purple.

Establezca el tiempo de Expiration para que coincida con la política de sesión de su establecimiento. Para un hotel, lo habitual son 24 horas. Para el recinto de una conferencia, puede configurarlo para la duración del evento. Para un entorno de retail, lo común es de dos a cuatro horas.

Habilite el Failsafe Mode. Esto es importante. Si el punto de acceso GWN no puede comunicarse con el servidor RADIUS de Purple, el modo de seguridad integrada concede acceso a internet de todos modos en lugar de bloquear a todos los clientes. Para la mayoría de las implantaciones en hostelería y retail, una breve interrupción de RADIUS no debería provocar que todos los clientes pierdan la conectividad.

---

Paso dos: configure el walled garden.

El walled garden es la lista de dominios y direcciones IP a los que los clientes pueden acceder antes de haberse autenticado a través del portal. Si configura esto de forma incorrecta, los clientes verán una página en blanco o un portal que no funciona, y culparán al WiFi.

In GWN Manager, el walled garden se configura bajo la política del Captive Portal como Pre-Authentication Rules. Añada los siguientes dominios como reglas de permiso: el dominio del portal de Purple, que es portal dot purple dot ai; cualquier dominio de CDN desde el que la splash page de Purple cargue recursos, incluido cloudfront dot net mediante una entrada con comodín; el endpoint de detección de Captive Portal de Apple, captive dot apple dot com; y el endpoint de comprobación de conectividad de Google, connectivitycheck dot gstatic dot com.

El portal de soporte de Purple cuenta con un generador dinámico de walled garden en support dot purple dot ai. Seleccione Grandstream en la lista de hardware, elija sus métodos de autenticación y este generará la lista exacta de dominios que necesita. Utilice esa lista. No intente crearla manualmente desde cero.

Una decisión que debe tomar: ¿incluye captive dot apple dot com en el walled garden o no? Si lo incluye, los dispositivos iOS no mostrarán el mini-navegador Captive Network Assistant de forma automática. Los invitados tendrán que abrir un navegador manualmente para acceder al portal. Si lo excluye, iOS inicia el mini-navegador automáticamente cuando el dispositivo se conecta. Para la mayoría de las implementaciones de hostelería, le interesará que aparezca el mini-navegador, por lo que debe dejar captive dot apple dot com fuera del walled garden.

---

Paso tres: configurar el SSID.

En GWN Manager, navegue hasta SSID y edite su SSID de invitados. Active Captive Portal y seleccione la política que acaba de crear. Establezca el SSID en WPA2-Personal con una contraseña abierta sencilla, o configúrelo como un SSID abierto si su establecimiento prefiere esa opción. La seguridad en este flujo proviene de la autenticación del portal, no de la contraseña de la WiFi.

Active Client Isolation (Aislamiento de clientes). Esto evita que los invitados vean los dispositivos de los demás en la red. Es un requisito básico de seguridad y una consideración de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma infraestructura.

Asigne el SSID a su VLAN de invitados. La VLAN 10 es una convención habitual para el tráfico de invitados. Asegúrese de que su switch y router ascendentes estén configurados para enrutar esa VLAN a internet con las reglas de firewall correspondientes.

---

Ahora hablemos de la Wi-Fi para el personal mediante 802.1X.

IEEE 802.1X es el estándar para el control de acceso a redes basado en puertos. Para la Wi-Fi del personal, sustituye la clave precompartida (PSK) por credenciales por usuario, validadas frente a un proveedor de identidad. Cuando un miembro del personal se conecta, el punto de acceso GWN actúa como autenticador, su dispositivo como suplicante y el servidor RADIUS de Purple como servidor de autenticación.

En GWN Manager, cree un SSID independiente para el personal. Establezca el Modo de seguridad en WPA2-Enterprise, lo que activa 802.1X. Configure los ajustes del servidor RADIUS con la IP de RADIUS de Purple, el puerto 1812 y su secreto compartido. Active RADIUS Accounting en el puerto 1813 para obtener un registro de auditoría completo de quién se conectó, cuándo y durante cuánto tiempo. Este registro de auditoría es lo que necesita para el cumplimiento del GDPR y para responder a cualquier incidente de seguridad.

Para el método EAP, tiene dos opciones principales. EAP-TLS utiliza certificados digitales tanto en el servidor como en el dispositivo del cliente. Es la opción más segura, pero requiere una plataforma de gestión de dispositivos móviles (MDM) para enviar los certificados a los dispositivos del personal. Si dispone de Microsoft Intune o Jamf, EAP-TLS es la opción correcta.

PEAP, que significa EAP protegido, utiliza un nombre de usuario y una contraseña dentro de un túnel TLS cifrado. Es más fácil de implementar, especialmente en entornos BYOD (trae tu propio dispositivo), pero debe asegurarse de que el personal esté formado para no aceptar avisos de advertencia de certificados. Un punto de acceso no autorizado puede capturar credenciales PEAP si los usuarios hacen clic para omitir los errores de certificado.

Habilite la asignación de VLAN dinámica en los ajustes del SSID. Cuando esta opción está activada, el servidor RADIUS puede devolver un ID de VLAN en el paquete Access-Accept, y el AP GWN colocará el dispositivo conectado en esa VLAN. Esto significa que puede tener un único SSID de personal pero segmentar automáticamente al personal de TI en la VLAN 20, a la dirección en la VLAN 21 y a los terminales de punto de venta en la VLAN 40, todo ello basado en la identidad del usuario en el directorio de Purple.

Los atributos RADIUS para la VLAN dinámica son: Tunnel-Type establecido en VLAN, que es el valor de atributo 13; Tunnel-Medium-Type establecido en IEEE-802, que es el valor de atributo 6; y Tunnel-Private-Group-ID establecido en el número de VLAN como una cadena. Estos tres atributos en el paquete Access-Accept son todo lo que el AP GWN necesita para redirigir el dispositivo a la VLAN correcta.

---

Pasemos ahora a la función que resulta especialmente relevante para propiedades multiinquilino: Grandstream Private Pre-Shared Keys, o PPSK.

PPSK es un mecanismo que permite que un único SSID admita varias contraseñas únicas, cada una de ellas asignada a una VLAN o política de red diferente. Piense en un bloque de apartamentos de alquiler para construir, un espacio de coworking o un edificio de oficinas con servicios incluidos. Desea que haya un SSID visible para todos, pero que cada inquilino tenga su propia contraseña que lo sitúe en su propio segmento de red aislado.

En GWN Manager, PPSK se configura en los ajustes del SSID. Establezca el Security Mode en WPA2-Personal y, a continuación, habilite PPSK. A continuación, puede crear entradas PSK individuales, cada una con una contraseña única y un ID de VLAN asociado. Cuando un dispositivo se conecta utilizando la contraseña del Inquilino A, el AP lo coloca en la VLAN 31. Cuando un dispositivo utiliza la contraseña del Inquilino B, entra en la VLAN 32. Los inquilinos comparten el mismo SSID pero están completamente aislados entre sí en la capa de red.

Para despliegues más grandes, Grandstream también es compatible con PPSK con backend RADIUS. En este modo, el AP envía la PSK como un atributo RADIUS al servidor de autenticación, que la valida y devuelve la asignación de VLAN correspondiente. Aquí es donde se integra directamente la función Identity-Based Networks de Purple. Purple puede gestionar la base de datos de PPSK, validar las claves con su directorio y devolver asignaciones de VLAN dinámicas, lo que le ofrece una gestión centralizada de cientos de credenciales de inquilinos desde una única plataforma.

El atributo RADIUS utilizado para la validación de PPSK suele ser el atributo Tunnel-Password, o un atributo específico del proveedor en función de la versión del firmware. Consulte las notas de la versión de Grandstream para su firmware específico, ya que la asignación de atributos ha evolucionado a lo largo de las versiones de GWN Manager.

---

Permítame analizar los dos fallos más comunes que suelo ver en los despliegues de Grandstream con portales externos.

El primero es que el redireccionamiento no se activa. Un usuario invitado se conecta al SSID, abre un navegador y recibe un error de "no se puede acceder al sitio" en lugar de la página del portal. La causa más probable es una configuración incorrecta de la walled garden. La propia página del portal está siendo bloqueada antes de la autenticación. Abra las herramientas de desarrollo del navegador en un dispositivo de prueba conectado al SSID de invitados, consulte la pestaña de red e identifique qué solicitudes están fallando. Agregue esos dominios a sus reglas de preautenticación.

El segundo modo de fallo es el tiempo de espera de RADIUS. El AP envía un Access-Request al servidor RADIUS de Purple y no obtiene respuesta. Esto suele significar que un firewall está bloqueando el puerto UDP 1812 de salida desde la VLAN de gestión del AP hacia el rango de IP de RADIUS de Purple. Compruebe las reglas de su firewall. Las direcciones IP de RADIUS de Purple están documentadas en la consola de administración de Purple, dentro de la configuración del centro. Asegúrese de que se permiten tanto la IP de RADIUS primaria como la secundaria.

Un tercero que vale la pena mencionar: la VLAN dinámica no funciona. El personal se conecta y aterriza en la VLAN incorrecta. La causa más común es que la opción "Habilitar VLAN dinámica" no está marcada en la configuración del SSID en GWN Manager. Es una única casilla de verificación que es fácil pasar por alto. La segunda causa es una discrepancia en el secreto compartido. Si el secreto compartido en el AP no coincide con el configurado en Purple, el AP descarta silenciosamente la respuesta de RADIUS y recurre a la VLAN predeterminada.

---

Permítame presentarle dos escenarios del mundo real para concretar esto.

Escenario uno: un hotel de 120 habitaciones. El hotel cuenta con puntos de acceso GWN7660 gestionados a través de GWN dot Cloud. Necesitan un portal de invitados personalizado para los clientes, una red de personal segura para recepción y limpieza, y una VLAN de gestión independiente para el sistema de gestión de la propiedad (PMS).

La configuración utiliza tres SSIDs: Guest WiFi en la VLAN 10 con la política de Captive Portal de Purple; Staff WiFi en la VLAN 20 con autenticación WPA2-Enterprise y PEAP contra el RADIUS de Purple; y un SSID de gestión oculto en la VLAN 30 para terminales PMS. La asignación dinámica de VLAN en el SSID del personal significa que los dispositivos del servicio de limpieza aterrizan en la VLAN 21 con acceso restringido a internet, mientras que los dispositivos de recepción aterrizan en la VLAN 20 con acceso total. El panel de analíticas de Purple muestra al operador del hotel el recuento diario de invitados, la duración de las sesiones y las tasas de aceptación para marketing, lo que proporciona al equipo de marketing los datos que necesitan para realizar campañas segmentadas.

Escenario dos: un bloque de apartamentos para alquilar de 40 unidades. El operador utiliza puntos de acceso GWN7630 con GWN Manager local. Cada apartamento necesita su propia red aislada. El operador utiliza PPSK con back-end RADIUS. Purple gestiona 40 credenciales de inquilino únicas, cada una de ellas asignada a una VLAN dedicada. Los residentes se conectan al único SSID "BuildingConnect" utilizando la contraseña de su unidad. El Captive Portal de Purple gestiona el flujo de registro inicial, registra el consentimiento del residente y proporciona al operador analíticas de ocupación y datos de interacción. Cuando un residente se muda, el operador revoca su credencial PPSK en la consola de administración de Purple y el acceso se interrumpe de inmediato. No es necesario cambiar la contraseña del SSID ni volver a configurar los puntos de acceso.

---

Preguntas rápidas. Tres preguntas que me hacen constantemente sobre los despliegues de Grandstream.

Pregunta uno: ¿Puedo utilizar GWN dot Cloud en lugar de GWN Manager para la integración con Purple? Sí. La configuración del Captive Portal en GWN dot Cloud es funcionalmente idéntica a la de GWN Manager. Las rutas de menú son las mismas. Los ajustes de RADIUS y del walled garden se encuentran en las mismas ubicaciones. GWN dot Cloud es la mejor opción para los MSP que gestionan varios sitios, ya que obtienen un panel de control único para todos los despliegues.

Pregunta dos: ¿Admite Purple las analíticas nativas de Grandstream junto con las suyas propias? Purple sustituye las analíticas nativas del Captive Portal por su propio conjunto de datos, más detallado. Obtiene recuentos de sesiones, tiempos de permanencia, tasas de suscripción, datos demográficos de los campos de formulario e integración con plataformas de marketing. Las analíticas nativas de GWN para el rendimiento de RF, el estado de los puntos de acceso y el número de clientes siguen estando disponibles en GWN Manager o GWN dot Cloud junto con las analíticas del portal de Purple.

Pregunta tres: ¿Qué versión de firmware necesito en los puntos de acceso GWN para PPSK con RADIUS? PPSK con back-end RADIUS requiere el firmware GWN 1.0.19 o superior en la serie GWN76xx. Consulte las notas de la versión de Grandstream antes de realizar el despliegue. Ejecutar un firmware desactualizado es la causa más común de comportamientos inesperados en los despliegues de PPSK.

---

Para concluir. Integrar los puntos de acceso Grandstream GWN con Purple es un proceso de despliegue sencillo si se sigue la secuencia adecuada. Configure primero los ajustes de su servidor RADIUS en la política del Captive Portal. Cree su walled garden utilizando la herramienta generadora de dominios de Purple. Asocie la política con su SSID de invitados y habilite el aislamiento de clientes. Para el WiFi del personal, habilite WPA2-Enterprise con asignación dinámica de VLAN. Para propiedades multiinquilino, utilice PPSK con back-end RADIUS y gestione las credenciales de forma centralizada a través de Purple.

Los cinco aspectos que debe configurar correctamente: RADIUS en el puerto UDP 1812 con un secreto compartido coincidente; el walled garden que cubra todos los dominios de recursos del portal; el aislamiento de clientes habilitado en el SSID de invitados; la VLAN dinámica habilitada en la configuración del SSID; y el firmware PPSK en la versión 1.0.19 o superior.

Consigue hacer bien esos cinco puntos y tendrás un despliegue sólido y escalable que servirá a tu establecimiento durante años. El equipo de incorporación de Purple puede validar tu configuración antes de la puesta en marcha, y el tiempo de actividad del 99,999 % de la plataforma significa que no tendrás que dar explicaciones sobre caídas del portal a los huéspedes del hotel a las dos de la mañana.

Gracias por escucharnos. Para obtener más guías técnicas sobre integraciones de WiFi para empresas, visita purple dot ai. En el próximo episodio, cubriremos la asignación dinámica de VLAN con Microsoft Entra ID y la función SecurePass de Purple. Hasta entonces.

Conclusiones clave

✓Los puntos de acceso Grandstream GWN se integran con Purple a través de RADIUS (UDP 1812/1813) y redirección HTTP 302 para ofrecer un Captive Portal seguro y personalizado para WiFi de invitados.
✓El walled garden (reglas de autenticación previa) debe incluir todos los dominios del portal de Purple y los recursos CDN; utilice la herramienta generadora dinámica de Purple en support.purple.ai en lugar de crear la lista manualmente.
✓Copie y pegue siempre el secreto compartido de RADIUS directamente desde la consola de administración de Purple: una sola diferencia de caracteres provoca caídas de paquetes silenciosas que se presentan como tiempos de espera agotados, no como errores de autenticación.
✓Habilite la VLAN dinámica en los ajustes del SSID para permitir que el servidor RADIUS de Purple dirija al personal autenticado al segmento de red correcto utilizando los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID.
✓La función PPSK de Grandstream con backend RADIUS permite el aislamiento multiinquilino desde un único SSID; requiere la versión de firmware GWN 1.0.19 o superior y la gestión centralizada de credenciales a través de Purple.
✓Habilite siempre el aislamiento de clientes (Client Isolation) en los SSIDs de invitados para evitar el movimiento lateral entre dispositivos y cumplir con los requisitos PCI DSS para establecimientos que procesan pagos con tarjeta.
✓El 99,999 % de tiempo de actividad de Purple y sus certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials la convierten en una opción compatible para despliegues empresariales y del sector público en hardware Grandstream.

執行摘要

在企業級場域部署高效能無線網路，需要在無縫的使用者體驗與強大的技術安全之間取得平衡。對於使用 Grandstream GWN 架構的組織（涵蓋飯店、零售業到多租戶物業）而言，Grandstream Captive Portal 是使用者互動與存取控制的主要閘道。本指南提供逐步操作手冊，協助您將 Grandstream GWN 存取點與 Purple 的 Guest WiFi 和 WiFi Analytics 平台進行整合。

透過從基本的預共用金鑰升級為基於 RADIUS 的驗證與身分識別網路（Identity-Based Networks），您可以為訪客、員工和租戶提供安全且區隔的存取權限。本指南涵蓋關鍵的設定元件：RADIUS AAA 設定、HTTP 302 重新導向、圍牆花園（walled garden）例外規則、動態 VLAN 導向，以及 Private Pre-Shared Key (PPSK) 多租戶隔離。Purple 在全球超過 80,000 個實體場域運作，並在 2024 年處理了 4.4 億次登入（Purple 內部數據），證實該平台具備成熟的大規模運作能力。

技術深度解析

整合架構

Grandstream GWN 硬體與 Purple 之間的整合仰賴業界標準的 RADIUS 和 HTTP 重新導向協定。當使用者連線至訪客 SSID 時，GWN 存取點會攔截其初始 HTTP 請求，並向 Purple 託管的 Captive Portal URL 發送 HTTP 302 重新導向。使用者透過電子郵件、社群媒體登入、簡訊或自訂表單完成驗證後，Purple 會驗證該工作階段，並透過 UDP 連接埠 1812 將 RADIUS Access-Accept 封包傳回存取點，進而授予網路存取權限。RADIUS Accounting 則在 UDP 連接埠 1813 上執行，為 GDPR 和 PCI DSS 合規性提供完整的工作階段稽核軌跡。

Grandstream GWN 存取點可透過兩種平台之一進行管理。GWN Manager 是安裝在 Linux 或 Windows 伺服器上的地端控制器，適用於單一場域部署以及有數據主權需求的組織。GDMS Networking（前身為 GWN.Cloud）是 Grandstream 的雲端託管管理平台，深受需要從單一介面管理多個場域的 MSP 喜愛。這兩個平台提供完全相同的 Captive Portal 和 SSID 設定選項。

針對員工和租戶網路，架構則轉向 IEEE 802.1X 和 PPSK。在 802.1X 部署中，存取點充當驗證器，在連線裝置與 Purple 的 RADIUS 伺服器之間代理可延伸驗證協定（EAP）訊息。Purple 會比對其目錄驗證憑證，並可傳回廠商特定屬性（VSA）以動態將裝置導向至特定的 VLAN。這就是實務中的身分識別網路：單一 SSID、多個網路區段，完全由使用者身分決定。

針對多租戶環境，Grandstream 的 PPSK 功能允許單一 SSID 支援多個不重複的密碼。與 RADIUS 後端整合時，存取點會將輸入的 PSK 傳送至 Purple 進行驗證，從而實現集中式憑證管理和動態網路區隔，而無需廣播數十個 SSID。搭配 RADIUS 後端的 PPSK 功能需要在 GWN76xx 系列上使用 GWN 韌體版本 1.0.19 或更高版本。

用於動態 VLAN 導向的 RADIUS 屬性

動態 VLAN 指派是由 Access-Accept 封包中傳回的三個標準 IETF RADIUS 屬性所控制。這些屬性必須在 Purple 的 RADIUS 使用者設定檔中針對每個角色或租戶進行設定：

屬性	值	說明
Tunnel-Type (64)	13 (VLAN)	將通道類型指定為 VLAN
Tunnel-Medium-Type (65)	6 (IEEE-802)	將介質指定為 IEEE 802
Tunnel-Private-Group-ID (81)	例如 "20"	目標 VLAN ID（字串格式）

Access-Accept 回應中必須同時存在這三個屬性。若缺少任何一個，GWN 存取點將忽略 VLAN 導向指令，並將裝置置於預設 VLAN 中。

實作指南

步驟 1：設定 Captive Portal 策略

無論您使用 GWN Manager 還是 GDMS Networking，請導覽至 Captive Portal > Policy List 並建立新策略。下表彙整了 Purple 整合所需的設定：

欄位	值	備註
Policy Name	Purple-Guest-Portal	使用具描述性的名稱
Authentication Type	RADIUS Server	啟用 RADIUS 驗證流程
RADIUS Server Address	[來自 Purple 管理主控台]	主要 RADIUS IP
RADIUS Server Port	1812	標準 RADIUS 驗證連接埠
RADIUS Server Secret	[來自 Purple 管理主控台]	完整複製並貼上
RADIUS Auth Method	PAP	Purple Captive Portal 所需
Landing Page	Redirect to External Page	啟用外部入口網站重新導向
Redirect URL	[來自 Purple 管理主控台]	您專屬的入口網站 URL
Expiration	24h（飯店）/ 4h（零售）	配合您的工作階段策略
Failsafe Mode	Enabled	若無法連線至 RADIUS 則授予存取權限

啟用 Failsafe Mode。如果 GWN 存取點無法連線至 Purple 的 RADIUS 伺服器，容錯安全模式將授予網際網路存取權限，而非阻擋所有訪客。對於飯店和零售業部署，短暫的 RADIUS 中斷應不應導致所有訪客失去連線。

步驟 2：設定 Walled Garden

Walled Garden 定義了裝置在進行驗證前可以存取的網域。未設定完整的 Walled Garden 是導致 Portal 頁面載入失敗最常見的原因。在 GWN Manager 中，Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中進行設定。

您至少必須包含：Purple Portal 網域 (portal.purple.ai)、CDN 資源網域 (*.cloudfront.net) 以及 Google 的連線檢查端點 (connectivitycheck.gstatic.com)。若要使用社群媒體登入，請新增相關社群平台的網域。

針對 captive.apple.com 的處理是刻意設計的。排除它可以讓裝置連線時自動觸發 iOS Captive Network Assistant (CNA) 迷你瀏覽器。如果您希望訪客手動開啟瀏覽器，則將其納入。對於大多數旅宿業部署，將其排除能提供更好的訪客體驗。

請使用位於 support.purple.ai 的 Purple 動態 Walled Garden 產生器。從硬體清單中選擇 Grandstream，選擇您的驗證方式，該工具就會產生您所需的確切網域清單。請勿手動建立此清單。

步驟 3：將 Captive Portal 與訪客 SSID 關聯

導覽至 SSID 設定並編輯您的訪客網路。啟用 Captive Portal 功能並選擇您建立的策略。將 SSID 指派給您指定的訪客 VLAN（通常慣用 VLAN 10）。啟用 Client Isolation（用戶端隔離）以防止訪客裝置互相通訊 — 這是任何處理刷卡交易的場所的基本安全要求，也是 PCI DSS 的考量因素。

步驟 4：使用 802.1X 設定安全的員工 WiFi

為員工建立一個獨立的 SSID。將安全模式設定為 WPA2-Enterprise 以啟用 IEEE 802.1X。將 RADIUS 伺服器設定指向 Port 1812 上的 Purple，並在 Port 1813 上啟用 RADIUS Accounting。此記帳數據提供了 GDPR 合規性和安全性事件回應所需的稽核軌跡。

針對 EAP 方法，請根據您的裝置管理能力進行選擇。EAP-TLS 使用雙向憑證驗證 — 這是最安全的選項，能完全消除憑證被盜的風險，但需要行動裝置管理平台（Microsoft Intune 或 Jamf）將憑證推送到裝置。PEAP 在加密的 TLS 通道內使用使用者名稱和密碼，對於 BYOD 環境較易部署，但需要對員工進行憑證警告相關的培訓。

在 SSID 設定中啟用 Dynamic VLAN。Purple 的 RADIUS 伺服器將回傳三個通道屬性，以將每個通過驗證的裝置引導至其指定的 VLAN。IT 員工進入 VLAN 20，管理階層進入 VLAN 21，POS 終端機進入 VLAN 40 — 全部來自同一個 SSID，完全由身分驅動。

如需有關員工網路策略的進一步指引，請參閱員工 WiFi 條款與細則：法律與合規要點。

步驟 5：設定多租戶 PPSK

針對多租戶環境，建立一個使用 WPA2-Personal 安全性的 SSID 並啟用 PPSK。若要使用 Purple 作為 PPSK 驗證的 RADIUS 後端，請在 SSID 的 PPSK 區段中設定 RADIUS 伺服器設定。Purple 會管理 PSK 資料庫、驗證每個金鑰並回傳適當的 VLAN 指派。

每個租戶都會收到一個專屬密碼。當他們連線時，AP 會將 PSK 傳送給 Purple，Purple 則回傳正確的 VLAN ID。租戶 A 進入 VLAN 31，租戶 B 進入 VLAN 32。他們共用相同的 SSID，但在網路層完全隔離。當租戶搬離時，直接在 Purple 的管理主控台中撤銷其憑證。存取權限會立即終止，無需重新設定 AP。

如需深入瞭解企業級 WiFi 安全架構，請參閱企業級 WiFi 安全性：2026 年完整指南。

最佳實踐

務必設定 RADIUS Accounting。 在訪客和員工 SSID 的 Port 1813 上啟用記帳。記帳數據能為 Purple 的分析儀表板提供工作階段持續時間和造訪頻率，並提供 GDPR 要求的稽核軌跡。若沒有記帳，您只有驗證記錄，而沒有工作階段記錄。

複製並貼上共用金鑰。 RADIUS 共用金鑰不相符會導致無線基地台靜默丟棄封包。AP 會判定為逾時，而非驗證失敗。這是新部署中最常見的設定錯誤。請直接從 Purple 管理主控台複製金鑰。

使用 Purple 的 Walled Garden 產生器。 現代 Portal 頁面會從多個 CDN 網域、社群媒體登入 SDK 和分析指令碼載入資源。手動建立 Walled Garden 並不可靠。support.purple.ai 上的產生器會根據您的驗證方式納入所有必要的網域。

在無線基地台端隔離訪客流量。 用戶端隔離（Client Isolation）是任何訪客 SSID 不可妥協的基本要求。它能防止訪客裝置之間的橫向移動，且對於在相同網路基礎架構上處理刷卡交易的場所而言，是 PCI DSS 的合規要求。

在部署結合 RADIUS 的 PPSK 之前驗證韌體。 結合 RADIUS 後端的 PPSK 需要 GWN 韌體 1.0.19 或更高版本。執行過時的韌體是 PPSK 部署中出現非預期行為最常見的原因。請在部署前檢查韌體版本，而非部署後。

對於零售業部署，請確保您的訪客 SSID VLAN 與任何付款網路區段設有防火牆隔離。對於醫療保健環境，請確保患者或訪客 WiFi 與臨床系統隔離。對於交通運輸樞紐，請考慮與平均停留時間相符的工作階段過期策略。

疑難排解與風險緩釋

症狀：Splash Page 無法載入，回傳「無法連線至網站」錯誤。 Walled Garden 封鎖了 Portal 頁面的資源。請連線測試裝置，開啟瀏覽器開發者工具，檢查網路（Network）分頁，並找出被封鎖的要求。新增將失敗的網域新增至 Captive Portal 策略中的預先驗證規則（Pre-Authentication Rules）。

症狀：訪客已通過驗證，但存取點（AP）逾時並拒絕網際網路存取。 可能是防火牆阻擋了從 AP 的管理 VLAN 到 Purple 的 RADIUS IP 範圍的外網 UDP 1812 流量，或者是共享金鑰（shared secret）不相符。請先檢查防火牆規則。接著確認雙方的共享金鑰完全一致。

症狀：員工裝置進入了預設 VLAN，而非其獲分配的 VLAN。 SSID 設定中的「啟用動態 VLAN（Enable Dynamic VLAN）」核取方塊未勾選。這是一個很容易被忽略的單一核取方塊。第二個原因則是共享金鑰不相符，導致 AP 默默忽略了 RADIUS 回應。

症狀：iOS 裝置未顯示 Captive Portal 迷你瀏覽器。 captive.apple.com 網域被包含在圍牆花園（walled garden）中。iOS 裝置在連線時會探測此網域。如果收到 200 回應，它會判定網際網路已可存取，因而不會觸發 CNA。請將其從圍牆花園中移除，以恢復自動 CNA 行為。

症狀：PPSK 租戶進入了錯誤的 VLAN。 請確認 GWN 韌體版本為 1.0.19 或更高版本。確認 PPSK RADIUS 後端已啟用且共享金鑰相符。檢查 Purple 的 PSK RADIUS 使用者設定檔是否傳回正確的 Tunnel-Private-Group-ID 屬性。

投資報酬率（ROI）與業務影響

將 Grandstream GWN 硬體與 Purple 整合，能將 WiFi 從沉沒成本轉化為可衡量的企業資產。透過將一般開放式網路替換為經身分驗證的 Captive Portal，場域得以收集第一方數據並推動會員計畫成長。Purple 已在其網路中收集了 290 億個數據點（Purple 內部數據），為營運商提供了衡量自身表現的基準。

在旅宿業環境中，Purple 的分析功能可讓訪客造訪頻率、停留時間和同意訂閱率（opt-in rates）一目了然。使用 Purple Engage 方案的飯店營運商可以針對回訪訪客進行細分，以開展精準行銷活動，進而提高直接訂房率並減少對 OTA（線上旅行社）的依賴。在零售業環境中，來自 WiFi 數據的人流量分析能讓店長將客流模式與銷售業績進行關聯分析。

802.1X 和 PPSK 的實施透過自動化網路存取控制，降低了 IT 服務台的維運開銷。免除共享密碼消除了定期更換密碼的營運成本，也降低了憑證共享的安全風險。對於多租戶營運商而言，PPSK 搭配 Purple 的集中式管理，意味著啟用新租戶只需幾分鐘，而非數小時。

Purple 的 99.999% 可用性（Purple 內部數據）以及 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證，意味著該平台符合最嚴苛的企業與公共部門營運商的合規要求。如需完整了解訪客 WiFi 分析功能，請參閱 WiFi Analytics 。

Definiciones clave

Captive Portal

Una página web que intercepta el tráfico HTTP no autenticado de un dispositivo conectado, obligando al usuario a interactuar o autenticarse antes de concederle acceso a internet. El Captive Portal de Grandstream utiliza la redirección HTTP 302 para enviar a los usuarios a la URL de un portal externo.

El mecanismo principal para la captura de datos de invitados, la aceptación de los términos de servicio y el control de acceso en espacios públicos.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que funciona sobre UDP y proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA). La autenticación se ejecuta en el puerto 1812 y la contabilidad en el puerto 1813.

El motor de backend que valida las credenciales tanto para los Captive Portals como para las redes corporativas 802.1X. Purple opera servidores RADIUS con los que los puntos de acceso GWN se comunican directamente.

Walled garden

Una lista predefinida de direcciones IP y dominios a los que un dispositivo puede acceder antes de completar el proceso de autenticación del Captive Portal. Se configura como reglas de preautenticación en GWN Manager.

Esencial para permitir que los dispositivos carguen los recursos de la página del portal, recursos de CDN, endpoints de inicio de sesión social y sondas de detección de Captive Portal de los sistemas operativos.

IEEE 802.1X

Un estándar de la IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN. Utiliza EAP para intercambiar credenciales entre el dispositivo (suplicante) y el servidor RADIUS (servidor de autenticación) a través del punto de acceso (autenticador).

Sustituye las contraseñas compartidas por credenciales individuales para un acceso WiFi seguro del personal y de la empresa. Requerido para redes de personal conformes con GDPR y PCI DSS.

PPSK

Private Pre-Shared Key; una función que permite que un único SSID admita varias contraseñas únicas, cada una de ellas vinculada a políticas de red o VLAN específicas. El GWN de Grandstream admite PPSK con almacenamiento local o validación de backend RADIUS.

Se utiliza en entornos con múltiples inquilinos, como apartamentos, espacios de coworking y oficinas de servicios, para aislar a los usuarios sin transmitir múltiples SSID.

Asignación dinámica de VLAN

El proceso mediante el cual un servidor RADIUS devuelve tres atributos específicos en el paquete Access-Accept (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para dirigir un dispositivo autenticado a una VLAN designada. Debe habilitarse explícitamente en la configuración de SSID de GWN.

Permite a los equipos de TI consolidar los SSID manteniendo una segmentación estricta de la red para diferentes grupos de usuarios, departamentos o inquilinos.

Aislamiento de clientes

Una función de seguridad inalámbrica que impide que los dispositivos conectados al mismo punto de acceso se comuniquen directamente entre sí en la Capa 2.

Una configuración obligatoria para las redes de invitados con el fin de proteger a los usuarios de ataques peer-to-peer y cumplir con los requisitos de PCI DSS para los establecimientos que procesan pagos con tarjeta.

EAP-PEAP

Protected Extensible Authentication Protocol; un método EAP 802.1X que encapsula el intercambio de autenticación dentro de un túnel TLS cifrado utilizando un nombre de usuario y una contraseña. El túnel TLS externo protege las credenciales internas de ser interceptadas.

Comúnmente utilizado para redes de personal BYOD donde el despliegue de certificados de cliente (EAP-TLS) no es viable operativamente. Requiere formación del personal sobre la validación de certificados para evitar ataques de puntos de acceso no autorizados.

Modo a prueba de fallos

Una configuración de Captive Portal de GWN que concede acceso a internet a los dispositivos que se conectan si el punto de acceso no puede comunicarse con el servidor RADIUS configurado. Evita que una caída de RADIUS bloquee todo el acceso de los invitados.

Recomendado para despliegues en el sector de la hostelería y el comercio minorista, donde la conectividad de los invitados es fundamental para el negocio y una breve interrupción de RADIUS no debería dar lugar a una interrupción total del servicio.

GWN Manager

La plataforma de gestión local de nivel empresarial de Grandstream para los puntos de acceso de la serie GWN. Instalada en un servidor local Linux o Windows, proporciona una configuración completa de Captive Portal, SSID, RADIUS y PPSK.

Preferido para despliegues en un solo sitio y organizaciones con requisitos de soberanía de datos. GDMS Networking es el equivalente alojado en la nube para despliegues MSP multisitio.

Ejemplos prácticos

Un hotel de 120 habitaciones necesita desplegar un portal de invitados de marca personalizada para sus clientes, una red segura para el personal con segmentación de VLAN a nivel de departamento para el servicio de limpieza y recepción, y una VLAN de gestión independiente para el sistema de gestión de la propiedad. El hotel utiliza puntos de acceso Grandstream GWN7660 gestionados a través de GDMS Networking.

Configure tres SSID en GDMS Networking. Primero, cree el SSID 'Guest WiFi' asignado a la VLAN 10. Cree una política de Captive Portal con el tipo de autenticación configurado en RADIUS Server, apuntando a la IP de RADIUS de Purple en el puerto 1812 con el secreto compartido de la consola de administración de Purple. Establezca la Landing Page en Redirect to External Page con la URL del portal de Purple. Active Failsafe Mode y Client Isolation. Segundo, cree el SSID 'Staff WiFi' con seguridad WPA2-Enterprise (802.1X). Configure RADIUS en el puerto 1812 y Accounting en el puerto 1813. Active Dynamic VLAN. En el directorio de Purple, configure las cuentas del servicio de limpieza para que devuelvan Tunnel-Private-Group-ID = 21 y las cuentas de recepción para que devuelvan la VLAN 20. Tercero, cree un SSID 'Management' oculto en la VLAN 30 con WPA2-Personal para los terminales del PMS. Genere el walled garden utilizando la herramienta generadora de Purple, excluyendo captive.apple.com para activar el CNA de iOS.

Comentario del examinador: Esta arquitectura segmenta eficazmente tres grupos de usuarios distintos al tiempo que minimiza la sobrecarga de SSID. El uso de direccionamiento dinámico de VLAN para el personal elimina la necesidad de transmitir SSID independientes para cada departamento, lo que reduce las interferencias de RF y simplifica el entorno inalámbrico. El panel de análisis de Purple proporciona al operador del hotel recuentos diarios de invitados, duración de las sesiones y tasas de aceptación de marketing, lo que ofrece al equipo de marketing datos listos para la acción sin necesidad de infraestructura adicional.

Un bloque de viviendas de alquiler de 40 apartamentos requiere acceso de red aislado para cada inquilino, con la capacidad de revocar el acceso de forma instantánea cuando un inquilino se muda. El operador utiliza puntos de acceso GWN7630 con GWN Manager local y desea minimizar el número de SSID visibles en el edificio.

Despliegue un único SSID llamado 'BuildingConnect' con seguridad WPA2-Personal y active PPSK con backend RADIUS. Asegúrese de que el firmware de GWN esté en la versión 1.0.19 o superior. Configure los ajustes del servidor RADIUS en la sección PPSK para que apunten a Purple. En la consola de administración de Purple, cree 40 credenciales PSK únicas, cada una asignada a una VLAN (por ejemplo, VLAN 101 para la unidad 101, VLAN 102 para la unidad 102). Cuando un residente se conecta utilizando la contraseña de su unidad, el AP GWN envía la PSK a Purple, que la valida y devuelve Tunnel-Private-Group-ID = 101. El residente accede a su VLAN aislada. Cuando un residente se muda, revoque la credencial en la consola de administración de Purple. El acceso se corta de inmediato sin necesidad de volver a configurar el punto de acceso.

Comentario del examinador: PPSK con un backend RADIUS es la solución óptima para entornos multiinquilino. Proporciona a los residentes la sencillez de una contraseña de WiFi estándar a la vez que ofrece un aislamiento de nivel empresarial. La gestión centralizada de credenciales en Purple permite al operador escalar a cientos de unidades sin tener que gestionar configuraciones de SSID individuales. La capacidad de revocación instantánea es una ventaja operativa significativa en comparación con los despliegues tradicionales de PSK, donde cambiar una contraseña compartida afectaría a todos los residentes conectados.

Preguntas de práctica

Q1. Has configurado la política del Captive Portal en GWN Manager con la IP de Purple RADIUS y el secreto compartido correctos, pero los clientes informan de un error de 'no se puede acceder al sitio' cuando se abre su navegador tras conectarse al SSID. ¿Cuál es la causa más probable y cómo la diagnosticas?

Sugerencia: Considera qué es lo que controla a qué dominios puede acceder un dispositivo antes de haberse autenticado a través del portal.

Ver respuesta modelo

El walled garden (reglas de preautenticación) está incompleto o mal configurado. El punto de acceso está bloqueando al dispositivo para que no llegue al dominio del portal de Purple o a los recursos del CDN que carga la página del portal. Para diagnosticarlo: conecta un dispositivo de prueba al SSID de invitados, abre las herramientas de desarrollador del navegador, ve a la pestaña de red e intenta cargar la URL del portal. Identifica qué peticiones devuelven errores de conexión. Añade esos dominios a las reglas de preautenticación. Utiliza el generador de walled garden de Purple en support.purple.ai para generar la lista completa de dominios para el hardware de Grandstream.

Q2. Tu hotel quiere que los huéspedes con iOS vean automáticamente el mini-navegador del Captive Portal tan pronto como se conecten al WiFi de invitados, sin necesidad de abrir un navegador manualmente. ¿Cómo se configura el walled garden para lograr esto?

Sugerencia: Considera cómo determina iOS si una red tiene acceso a Internet cuando se conecta por primera vez.

Ver respuesta modelo

Debes excluir captive.apple.com del walled garden. Cuando un dispositivo iOS se conecta a una red, realiza un sondeo a captive.apple.com. Si el sondeo recibe una respuesta 200 OK (lo que significa que el dominio es accesible), iOS asume que la red tiene acceso a Internet y no activa el mini-navegador del Captive Network Assistant (CNA). Si el sondeo se bloquea o se redirige, iOS reconoce la red como cautiva y abre automáticamente el CNA. Al mantener captive.apple.com fuera del walled garden, el sondeo se intercepta y se redirige, activando el CNA de forma automática.

Q3. Un miembro del personal se conecta al SSID 802.1X utilizando sus credenciales. Los logs de autenticación de Purple muestran una respuesta Access-Accept exitosa con los atributos correctos de la VLAN 20. Sin embargo, el miembro del personal es ubicado en la VLAN 1 (la predeterminada). ¿Qué ajuste de GWN Manager se debe verificar?

Sugerencia: El servidor RADIUS está autorizando correctamente al usuario y devolviendo los atributos de VLAN. El problema está en el lado del punto de acceso.

Ver respuesta modelo

La casilla 'Enable Dynamic VLAN' en los ajustes de SSID dentro de GWN Manager no está marcada. Aunque Purple devuelva los atributos correctos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID en el paquete Access-Accept, el punto de acceso GWN los ignorará a menos que la opción Dynamic VLAN esté habilitada explícitamente. Dirígete a la configuración del SSID, localiza el ajuste Dynamic VLAN, habilítalo y guarda los cambios. El miembro del personal debería ser ubicado en la VLAN correcta en su próxima conexión.

Q4. Un operador de build-to-rent quiere desplegar PPSK con Purple como backend de RADIUS en sus puntos de acceso Grandstream GWN7630 con la versión de firmware 1.0.17. Un inquilino informa de que puede conectarse al SSID pero se le ubica en la VLAN incorrecta. ¿Qué deberías comprobar primero?

Sugerencia: Hay dos causas potenciales aquí: una es un problema de versión de firmware, la otra es un problema de configuración.

Ver respuesta modelo

Lo primero que se debe comprobar es la versión del firmware. PPSK con backend de RADIUS requiere la versión de firmware de GWN 1.0.19 o superior en la serie GWN76xx. Es posible que el firmware 1.0.17 no admita correctamente la asignación de VLAN de PPSK basada en RADIUS. Actualiza el firmware a la versión 1.0.19 o superior antes de continuar con la resolución de problemas. Si el firmware es correcto, verifica que el backend de PPSK RADIUS esté habilitado en la configuración del SSID, que el secreto compartido coincida con la configuración de Purple y que el perfil de usuario RADIUS de Purple para esa PSK específica esté devolviendo el atributo Tunnel-Private-Group-ID correcto.

Continúe leyendo esta serie

Guía paso a paso para el acceso de invitados: Integración de Cisco WLC y Catalyst con Purple WiFi

Esta guía de referencia detalla la integración paso a paso de los Cisco Catalyst 9800 WLCs con Purple WiFi. Cubre el proceso de External Web Authentication para portales cautivos de invitados, 802.1X EAP-TLS para el acceso seguro del personal e Cisco iPSK para la segmentación dinámica de VLAN en entornos multiinquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.