Saltar al contenido principal
Español

Guía paso a paso: Configuración de controladores inalámbricos Ruijie para Captive Portals de Guest WiFi

Esta guía proporciona un recorrido técnico completo para configurar controladores y gateways Ruijie con el fin de desplegar Captive Portals de Guest WiFi de nivel empresarial. Cubre la segmentación de VLAN, la autenticación RADIUS externa a través del protocolo WISPr, la configuración de walled garden y la integración perfecta con la plataforma de redes basadas en la identidad de Purple para capturar datos de origen y generar un valor comercial medible en entornos de hostelería, retail y sector público.

📖 8 min de lectura📝 1,834 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Le damos la bienvenida a la serie de informes técnicos de Purple. Hoy abordaremos uno de los temas más buscados en el sector de las redes inalámbricas empresariales: cómo configurar los controladores inalámbricos Ruijie para portales cautivos de WiFi para invitados seguros. Soy su anfitrión, y este es un informe de diez minutos diseñado para directores de TI, arquitectos de red y directores de operaciones de establecimientos que necesitan hacer esto bien a la primera. Comencemos con el contexto. Si gestiona el departamento de TI de un hotel, una cadena de tiendas de retail, un centro de conferencias o un gran recinto público, el WiFi para invitados ya no es solo un servicio adicional. Es un requisito operativo fundamental. Los clientes lo esperan. Los organismos reguladores le exigen que gestione sus datos de forma responsable. Y su equipo de marketing quiere los datos de origen que genera. El reto consiste en desplegarlo de forma segura en un entorno distribuido, a escala, sin que suponga un dolor de cabeza en materia de conformidad. Ruijie Networks es uno de los mayores proveedores de redes empresariales del mundo, con una importante base instalada en los sectores de la hostelería, el retail y el sector público. Sus controladores inalámbricos de la serie RG-WS y las pasarelas de la serie RG-EG son plataformas muy capaces para el WiFi de invitados empresarial, pero la configuración del Captive Portal requiere una ejecución precisa. Si se equivoca, acabará teniendo una brecha de seguridad o un portal que, sencillamente, no funcionará. Pasemos ahora a la arquitectura técnica. El pilar fundamental de cualquier red de invitados segura es el aislamiento del tráfico. No puede tener dispositivos de invitados en el mismo segmento de red que sus terminales de pago, los portátiles de su personal o sus servidores de administración. El mecanismo para lograrlo es la segmentación de VLAN. En un entorno Ruijie, debe crear una VLAN de invitados dedicada en su switch principal, asignarle una subred IP independiente y conectarla a sus puntos de acceso. Un despliegue típico podría utilizar la VLAN diez para la red corporativa, la VLAN veinte para voz, la VLAN treinta para invitados y la VLAN noventa y nueve para administración. Esto es innegociable. Si se salta este paso, tendrá un WiFi cómodo, pero no un WiFi seguro. Una vez que la red está correctamente segmentada, pasamos a la autenticación. Una clave precompartida no es seguridad empresarial. No ofrece rendición de cuentas, ni seguimiento de sesiones individuales, ni forma de revocar el acceso a un solo usuario sin cambiar la contraseña de todos los demás. En su lugar, utilizamos un Captive Portal externo con autenticación RADIUS. Así es como funciona el flujo. Un invitado se conecta al SSID abierto que emite el punto de acceso Ruijie. La pasarela Ruijie intercepta su tráfico HTTP y emite una redirección a una página de bienvenida externa, en este caso alojada por Purple. El invitado ve una página de inicio de sesión personalizada con la marca. Se autentica, quizás mediante registro por correo electrónico, inicio de sesión a través de redes sociales o aceptación con un solo clic. Los servidores de Purple procesan esa autenticación y envían un mensaje RADIUS Accept de vuelta al controlador Ruijie. A continuación, el controlador concede acceso a Internet al dispositivo. Todo este flujo utiliza el protocolo WISPr, que es el marco estándar para la autenticación de Captive Portal externos en redes inalámbricas empresariales. El valor empresarial aquí es significativo. Cada evento de autenticación captura un registro de consentimiento. La plataforma de Purple almacena esos datos de conformidad con el GDPR y la CCPA, crea una base de datos de marketing de origen y envía los análisis de vuelta a su equipo. Harrods utilizó este enfoque para promocionar su programa de fidelización y logró un retorno de la inversión de cincuenta y siete veces. c2c Rail logró un retorno de la inversión del ciento veintiuno por ciento y ahorró setenta y seis mil libras en costes operativos. Ese es el argumento comercial para hacer esto correctamente. Ahora repasemos los pasos de configuración específicos en la interfaz de Ruijie Cloud o del controlador local. Paso uno: cree el SSID de invitado. Inicie sesión en Ruijie Cloud o en su controlador local. Vaya a Device Config, seleccione Wi-Fi en Wireless y cree un nuevo SSID. Asígnele un nombre claro, como Free Guest WiFi. Establezca el modo de seguridad en Open y asígnelo a su VLAN de invitados. Paso dos: defina la política del Captive Portal. Vaya a Auth and Account y luego seleccione Captive Portal en Authentication. Cree una nueva política. Establezca el Policy Mode en External. Establezca el Authentication Device en su gateway o punto de acceso Ruijie. Seleccione el SSID de invitado. En el campo Portal Server URL, introduzca la URL de su splash page de Purple. Introduzca las direcciones IP del servidor RADIUS de Purple. Paso tres: configure el Walled Garden, que Ruijie denomina Allowlist (lista de permitidos). Este es el elemento que más se configura incorrectamente en cualquier implementación de Captive Portal. El Walled Garden define qué tráfico puede pasar antes de que el usuario se autentique. Si no permite explícitamente los dominios de Purple, la splash page no se cargará. Si ofrece inicio de sesión con Facebook o Google pero no permite sus dominios OAuth, la autenticación se bloqueará en el botón de inicio de sesión social. Añada todos los dominios de infraestructura de Purple requeridos y todos los dominios de proveedores sociales que tenga previsto admitir. Paso cuatro: configure RADIUS. Añada las direcciones IP del servidor RADIUS de Purple principal y secundario. Introduzca el secreto compartido de su panel de control de Purple. Asegúrese de que la contabilidad RADIUS esté habilitada en el puerto 1813. Esto permite a Purple realizar un seguimiento preciso de la duración de la sesión y del uso de datos, lo que alimenta directamente sus informes analíticos. Paso cinco: aplique políticas de QoS. El acceso ilimitado para invitados puede saturar su enlace a Internet. Establezca límites estrictos de ancho de banda por usuario en el gateway de Ruijie, normalmente de cinco a diez megabits de bajada y de dos a cinco de subida para una implementación estándar en hostelería. Esto protege la experiencia de todos los invitados y evita que un solo dispositivo degrade la red. Ahora analicemos los errores críticos de implementación. El primero es el Walled Garden. No puedo enfatizar lo suficiente la frecuencia con la que esta es la causa raíz de una implementación fallida. Pruebe su portal desde un dispositivo limpio sin credenciales almacenadas en caché. Si la página no se carga, compruebe primero su allowlist. El segundo inconveniente es la configuración del Portal Escape. Esta función de Ruijie libera automáticamente el tráfico de los usuarios si el punto de acceso y el servidor del portal dejan de estar localizables. Suena útil, pero significa que los usuarios no autenticados obtienen acceso a internet durante una interrupción. En un entorno empresarial donde la obtención del consentimiento es un requisito legal, querrá tener esto desactivado para exigir una autenticación estricta en todo momento. El tercer inconveniente son las versiones de firmware. Algunas funciones del Captive Portal —particularmente en lo que respecta a los controles de ancho de banda y la asignación dinámica de VLAN— requieren versiones de firmware específicas en la puerta de enlace de Ruijie. Compruebe las notas de la versión de Ruijie antes de realizar el despliegue y asegúrese de que sus dispositivos ejecutan una versión de firmware compatible. Ahora, pasemos a las preguntas rápidas. ¿Debo gestionar el Captive Portal en el punto de acceso o en la puerta de enlace? En un despliegue empresarial de Ruijie, gestiónelo en la puerta de enlace. Las puertas de enlace de la serie RG-EG están diseñadas para gestionar la intercepción del portal externo y aplicar políticas de QoS. Los puntos de acceso se centran en el rendimiento de RF y en la emisión de SSID. ¿Puedo ejecutar múltiples Captive Portals en diferentes SSID? Sí. Ruijie admite múltiples políticas de Captive Portal asignadas a diferentes SSID. Puede tener un portal de invitados estándar en un SSID y un portal premium de pago en otro, cada uno con diferentes límites de ancho de banda y métodos de autenticación. ¿Cómo gestiono un despliegue multi-sitio? Utilice Ruijie Cloud para gestionar la configuración de forma centralizada. Puede aplicar políticas de portal en todos los sitios de forma simultánea, garantizando la consistencia y eliminando las desviaciones de configuración entre centros. Para resumir los puntos clave: Segmente su tráfico con VLAN antes de hacer cualquier otra cosa. Utilice la autenticación RADIUS externa para capturar datos de primera mano conformes con la normativa. Configure minuciosamente su Walled Garden y pruébelo desde un dispositivo limpio. Tome una decisión deliberada sobre el Portal Escape en función de sus requisitos de cumplimiento. Aplique QoS para proteger la experiencia del usuario. E integre su infraestructura de Ruijie con las redes basadas en identidad de Purple para convertir una conexión básica en un activo seguro, basado en datos y generador de ingresos. Purple opera en más de ochenta mil establecimientos en activo, ha procesado cuatrocientos cuarenta millones de inicios de sesión en 2024 y cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Somos agnósticos respecto al hardware, lo que significa que su inversión en Ruijie es totalmente compatible con nuestra plataforma de superposición en la nube. Gracias por su atención. Si desea explorar cómo se integra Purple con su infraestructura de Ruijie, visite purple.ai/guest-wifi. Realice el despliegue de forma segura y nos vemos en la próxima sesión formativa.

header_image.png

Resumen ejecutivo

Desplegar un WiFi de invitados en una empresa distribuida requiere más que un SSID abierto. Para los responsables de TI y arquitectos de red, el reto consiste en equilibrar un acceso fluido con una seguridad estricta, el cumplimiento del GDPR y los requisitos de captura de datos. Esta guía detalla los pasos de configuración exactos para desplegar un Captive Portal seguro y escalable utilizando controladores y gateways inalámbricos de Ruijie, y muestra cómo la integración de esa infraestructura con la plataforma de Guest WiFi de Purple transforma una conexión inalámbrica básica en un activo compatible y generador de ingresos.

Cubrimos los requisitos técnicos previos, las estrategias de segmentación de VLAN, la autenticación RADIUS externa mediante el protocolo WISPr, la configuración de walled garden y los ajustes de QoS específicos necesarios para un despliegue de nivel de producción. Tanto si gestiona un hotel de 200 habitaciones, una cadena minorista con 50 centros o un estadio con 40.000 asistentes, esta guía proporciona el plan de referencia definitivo para una configuración segura del Captive Portal de Ruijie. Purple opera en más de 80.000 sedes activas y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple), por lo que los patrones de integración descritos aquí están probados a gran escala.

architecture_overview.png

Arquitectura técnica y requisitos previos

Antes de modificar su controlador Ruijie, establezca la arquitectura de red correcta. Una red de invitados segura exige un aislamiento completo del tráfico corporativo en la Capa 2 (a nivel de switch).

Segmentación de red

La base de un WiFi de invitados seguro es el aislamiento de VLAN. Debe crear una VLAN de invitados dedicada en su gateway o switch principal de Ruijie. Esto garantiza que el tráfico de invitados nunca se cruce con los sistemas internos, los terminales de pago o los dispositivos del personal. Un esquema de VLAN empresarial estándar para un despliegue de Ruijie tiene el siguiente aspecto:

ID de VLAN Propósito Notas
10 Corporativo Dispositivos del personal, servidores internos
20 Voz Terminales VoIP
30 Invitados Captive Portal, solo Internet
40 IoT Impresoras, Smart TV, sensores
99 Gestión Controlador, gestión de switches

Para obtener más información sobre por qué los enfoques de consumo fallan en este ámbito, lea Why Consumer WiFi Gear Doesn't Belong on Your Guest Network .

Componentes requeridos

Para completar este despliegue, necesita:

  • Una cuenta de Ruijie Cloud o un controlador inalámbrico local de la serie Ruijie RG-WS (por ejemplo, RG-WS6008 o RG-WS7110).
  • Un gateway de la serie Ruijie RG-EG: necesario para la autenticación externa del portal a través de WISPr.
  • Puntos de acceso de la serie Ruijie RG-AP (por ejemplo, RG-AP820-I, RG-AP850-AR).
  • Una licencia de Purple Connect, Capture o Engage.
  • Acceso UDP de salida en los puertos 1812 (autenticación RADIUS) y 1813 (contabilidad RADIUS) desde la puerta de enlace a los servidores de Purple.

Descripción general del protocolo de autenticación

Ruijie admite varios métodos de autenticación. Las implementaciones empresariales deben utilizar la autenticación RADIUS externa. Este enfoque utiliza el protocolo WISPr (Wireless Internet Service Provider roaming) para redirigir de forma segura a los usuarios no autenticados a la splash page de Purple, procesar sus credenciales y devolver un mensaje de aceptación o rechazo de RADIUS al controlador Ruijie.

comparison_chart.png

La tabla anterior resume los cinco métodos de autenticación disponibles en las plataformas Ruijie. El registro por correo electrónico y el inicio de sesión con redes sociales son las opciones más comunes para entornos de hostelería y comercio minorista porque capturan datos de origen estructurados y conformes con la GDPR. Los códigos de cupón se adaptan a salas de conferencias y niveles de acceso de pago. RADIUS con 802.1X está reservado para redes de personal donde se requiere identidad respaldada por directorio.

Guía de implementación paso a paso

Siga estos pasos dentro de la interfaz de Ruijie Cloud o del controlador local. Las rutas de la interfaz de usuario que se muestran a continuación se aplican a la nueva interfaz de Ruijie Cloud (posterior a 2024) y a la plataforma Ruijie JaCS.

Paso 1: Configurar el SSID de invitados

Establezca la red de transmisión inalámbrica.

  1. Inicie sesión en la interfaz web de Ruijie Cloud o del controlador local.
  2. Navegue a Device Config y seleccione Wi-Fi en la sección Wireless.
  3. Haga clic en + para crear un nuevo SSID o edite uno existente.
  4. Establezca el SSID Name (por ejemplo, "Free Guest WiFi").
  5. Establezca el Security Mode en Open (sin clave precompartida).
  6. Asigne el SSID a su VLAN de invitados dedicada (por ejemplo, VLAN 30).
  7. Guarde la configuración del SSID.

Paso 2: Definir la política del Captive Portal

Indique al controlador que intercepte el tráfico de invitados y lo redirija a Purple.

  1. Navegue a Auth & Account y seleccione Captive Portal en Authentication.
  2. Cree una nueva política. Establezca un Policy Name descriptivo (por ejemplo, "Purple-Guest-Portal").
  3. Establezca el Policy Mode en External.
  4. Establezca el Authentication Device en su puerta de enlace Ruijie (serie RG-EG) o punto de acceso.
  5. Seleccione el SSID de invitados creado en el Paso 1.
  6. In el campo Portal Server URL, introduzca la URL específica de su splash page de Purple (disponible en su panel de Purple en Hardware Configuration).
  7. Introduzca las direcciones IP del servidor RADIUS de Purple en los campos designados.
  8. Establezca la duración de Seamless Online para que coincida con su política de tiempo de espera de sesión (por ejemplo, 24 horas para hostelería, una hora para comercio minorista).
  9. Decida el comportamiento de Portal Escape (consulte la sección de Mejores prácticas a continuación).

Paso 3: Configurar el walled garden (lista de permitidos)

Un Captive Portal intercepta todo el tráfico hasta que el usuario se autentica. Cierto tráfico debe pasar a través de la preautenticación para permitir que la página de inicio de sesión se cargue y procese los inicios de sesión sociales. Este es el elemento que se configura incorrectamente con más frecuencia en cualquier despliegue de Captive Portal.

  1. Diríjase a Auth & Account y seleccione Allowlist.
  2. Añada todos los dominios de infraestructura de Purple requeridos. Su panel de control de Purple proporciona la lista exacta para su región.
  3. Si ofrece inicio de sesión social, añada los dominios de OAuth para cada proveedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: el dominio específico de su tenant de Okta
  4. Añada los dominios de los procesadores de pago si ofrece planes de WiFi de pago.
  5. Guarde y aplique la allowlist.

Paso 4: Configurar la autenticación RADIUS

Configure el canal de comunicación seguro entre Ruijie y Purple.

  1. Diríjase a la configuración del servidor RADIUS en su controlador o gateway de Ruijie.
  2. Añada la dirección IP del servidor RADIUS primario de Purple y el puerto 1812 para la autenticación.
  3. Añada la dirección IP del servidor RADIUS secundario de Purple como alternativa por fallo (failover).
  4. Introduzca el Shared Secret (secreto compartido) de su panel de control de Purple. Debe coincidir exactamente.
  5. Añada el servidor de contabilidad (accounting) en el puerto 1813 y active RADIUS accounting. Esto realiza el seguimiento de la duración de la sesión y el uso de datos, enviando la información directamente a los informes de WiFi Analytics de Purple.
  6. Establezca el NAS Identifier con una cadena de texto significativa (por ejemplo, el nombre de su establecimiento) para distinguir el tráfico en las analíticas de Purple.

Paso 5: Aplicar políticas de QoS

El acceso de invitados sin restricciones puede saturar su enlace a internet durante los periodos de máxima actividad.

  1. Diríjase a la sección de QoS o gestión de ancho de banda de su gateway Ruijie.
  2. Establezca límites de descarga por usuario (por ejemplo, 10 Mbps para huéspedes de hotel, 5 Mbps para compradores de tiendas).
  3. Establezca límites de subida por usuario (por ejemplo, 2-5 Mbps).
  4. Desactive Client Escape para garantizar que los usuarios no autenticados no puedan acceder a la red si el servidor del portal no está disponible temporalmente.
  5. Guarde y envíe la configuración a todos los dispositivos pertinentes.

Paso 6: Probar el despliegue

Realice siempre las pruebas desde un dispositivo limpio sin credenciales almacenadas en caché.

  1. Conecte un dispositivo móvil al SSID de invitados.
  2. Abra un navegador y diríjase a una URL que no sea HTTPS (por ejemplo, http://example.com). El portal debería redirigirle.
  3. Verifique que la página de bienvenida de Purple se cargue correctamente.
  4. Complete el flujo de autenticación.
  5. Confirme que se concede acceso a internet tras la autenticación.
  6. Compruebe el panel de control de Purple para confirmar que la sesión aparece en sus analíticas.

Buenas prácticas para el despliegue empresarial

Seguridad y cumplimiento

Nunca confíe en una PSK compartida para el acceso de invitados. Las contraseñas compartidas no ofrecen trazabilidad y son imposibles de revocar para un solo usuario. Al utilizar el Captive Portal de Purple con autenticación individual, se exige un consentimiento explícito para el tratamiento de datos, cumpliendo así con los requisitos del Artículo 7 del GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que garantiza que el propio mecanismo de captura de datos sea auditable.

Para profundizar en la arquitectura de seguridad, lea nuestra Enterprise WiFi Security: A Complete Guide for 2026 y What Is Secure WiFi: Essential Guide for Business 2026 .

Portal Escape: una decisión deliberada

La función Portal Escape de Ruijie libera automáticamente el tráfico de los usuarios si el AP y el servidor del portal dejan de estar accesibles. En un entorno de hostelería, es posible que prefiera activarla: un invitado que se queda sin WiFi debido a un fallo temporal del servidor genera quejas. En un entorno de retail o sanitario, es posible que prefiera desactivarla: el acceso no autenticado representa un riesgo de cumplimiento y seguridad. Documente su decisión y los motivos en el libro de ruta de su red.

Consistencia multisitio

Utilice Ruijie Cloud para gestionar la configuración de forma centralizada en todos los sitios. Aplique las políticas del portal de manera simultánea para eliminar las desviaciones de configuración entre sedes, que es la causa más común de una experiencia de invitado inconsistente en un entorno distribuido. La plataforma en la nube de Purple funciona bajo el mismo principio: un único panel de control para todos los establecimientos.

Gestión de firmware

Algunas funciones del Captive Portal de Ruijie, especialmente los controles de ancho de banda y la asignación dinámica de VLAN, requieren versiones de firmware específicas en la pasarela. Las notas de lanzamiento de Ruijie documentan estas dependencias. Asegúrese de que sus pasarelas RG-EG ejecuten la versión de firmware RGOS11.9(6)B17T1 o superior para disponer de soporte QoS completo en despliegues gestionados desde la nube.

Resolución de problemas y mitigación de riesgos

La página del portal no se carga

Si el Captive Portal no aparece cuando un dispositivo se conecta, verifique primero la configuración de su walled garden. El dispositivo debe poder resolver el DNS y alcanzar la URL del portal de Purple antes de la autenticación. Compruebe que su lista de permitidos de Ruijie incluya todos los dominios necesarios y que su servidor DNS sea accesible desde la VLAN de invitados.

Tiempos de espera de autenticación agotados

Si los usuarios ven el portal pero no pueden iniciar sesión, el problema suele estar en la configuración de RADIUS. Verifique las direcciones IP del servidor RADIUS, los puertos (1812 para autenticación, 1813 para contabilidad) y el secreto compartido. Asegúrese de que su cortafuegos permita el tráfico UDP saliente en estos puertos desde la IP de gestión de la pasarela de Ruijie.

El inicio de sesión social se congela

Si los usuarios hacen clic en un botón de inicio de sesión social y no ocurre nada, la redirección de OAuth está siendo bloqueada. Añada los dominios del proveedor social requeridos a su lista de permitidos de Ruijie. Realice una prueba permitiendo temporalmente todo el tráfico antes de la autenticación para confirmar que el portal funciona, y luego restrinja la lista de permitidos de forma incremental.

Fallos en la asignación dinámica de VLAN

Si utiliza RADIUS para asignar usuarios a VLAN de forma dinámica, asegúrese de que la respuesta de RADIUS incluya los atributos de VLAN correctos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). El RG-EG310GH-E de Ruijie y gateways similares admiten la asignación dinámica de VLAN, pero la función requiere una configuración explícita tanto en el servidor RADIUS como en el gateway.

ROI e impacto empresarial

La implementación de un Captive Portal seguro transforma el WiFi de invitados de un centro de costes a un activo estratégico. La plataforma de WiFi Analytics de Purple, integrada con su infraestructura Ruijie, captura datos de primera mano, crea listas de contactos de alta intención y ofrece información útil sobre el comportamiento de los visitantes en todo su patrimonio.

Harrods utilizó el Guest WiFi de Purple para promocionar su programa de fidelización, logrando una tasa de aceptación líder en el mercado y un ROI de 57 veces (datos de clientes de Purple). c2c Rail utilizó Purple para fomentar las reservas directas, logrando un retorno de la inversión del 121 % y ahorrando 76.000 £ en costes operativos (datos de clientes de Purple). Pizza Express implementó Purple en más de 470 restaurantes para crear perfiles de clientes más completos.

Para los operadores de hostelería , los datos capturados al iniciar sesión (correo electrónico, datos demográficos, frecuencia de visitas) se introducen directamente en los sistemas CRM y en los programas de fidelización. Para los entornos de comercio minorista , los análisis de visitas repetidas identifican a los compradores de mayor valor. Para los centros de transporte , los datos de flujo de pasajeros optimizan la planificación del personal y del espacio comercial.

Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet, además de Ruijie, lo que lo convierte en la superposición en la nube independiente del hardware que funciona con su infraestructura existente en lugar de reemplazarla.

Guías relacionadas: Integración de puntos de acceso Grandstream GWN con Purple WiFi

Definiciones clave

Captive Portal

Una página web que el usuario de una red de acceso público debe ver e interactuar con ella antes de que se le conceda acceso a Internet. Intercepta todo el tráfico HTTP y redirige el navegador del usuario a la página del portal.

El mecanismo principal para forzar la autenticación en redes WiFi de invitados. Se utiliza en hoteles, tiendas, estadios y recintos del sector público para controlar el acceso y registrar el consentimiento.

Walled garden

Una lista de permitidos previa a la autenticación que autoriza a dominios y direcciones IP específicos a evitar la interceptación del Captive Portal. El tráfico hacia estos destinos está permitido antes de que el usuario se autentique.

Esencial para permitir que los dispositivos carguen la página de inicio, accedan a los proveedores de inicio de sesión social y procesen los flujos de pago antes de que el usuario esté completamente autenticado. Una configuración incorrecta en este punto es la causa principal de fallos en el Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan a un servicio de red.

El protocolo seguro que utilizan los controladores Ruijie para comunicarse con los servidores de Purple. Las solicitudes de autenticación van al puerto 1812 (UDP); los registros de contabilidad van al puerto 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Una especificación de protocolo que define cómo un Captive Portal redirige a los usuarios no autenticados a una página de inicio de sesión y cómo el controlador de acceso recibe el resultado de la autenticación.

El marco de protocolo específico utilizado por Ruijie y Purple para gestionar la redirección externa del Captive Portal y el flujo de autenticación. Requerido para el modo de portal externo en las puertas de enlace Ruijie.

Aislamiento de VLAN

La práctica de separar el tráfico de red en diferentes redes de área local virtuales a nivel de conmutador (switch), lo que evita que los dispositivos en diferentes VLAN se comuniquen directamente.

No negociable para redes de invitados. Garantiza que los dispositivos de los invitados no puedan comunicarse con los servidores corporativos, los portátiles del personal o los terminales de pago, incluso si están conectados a la misma infraestructura física.

Portal Escape

Una función de Ruijie que libera automáticamente el tráfico del usuario si el punto de acceso y el servidor del portal dejan de estar accesibles, permitiendo el acceso a Internet sin autenticación durante una interrupción del servicio.

Una decisión de diseño deliberada entre disponibilidad y seguridad. Los operadores de hostelería pueden activarlo para evitar quejas de los huéspedes durante las interrupciones del servicio. Los operadores del sector sanitario y de retail suelen desactivarlo para exigir una autenticación estricta en todo momento.

SSID

Service Set Identifier. El nombre público de una red inalámbrica que los dispositivos muestran en su lista de redes disponibles.

El nombre de red que los invitados seleccionan en sus dispositivos, lo que activa la redirección del Captive Portal. Cada SSID en un despliegue de Ruijie se asigna a una VLAN y a una política de autenticación específicas.

QoS

Quality of Service (Calidad de Servicio). Un conjunto de tecnologías que gestionan el tráfico de datos para reducir la pérdida de paquetes, la latencia y el jitter, y para garantizar un rendimiento predecible para tipos de tráfico específicos.

Se utiliza en redes de invitados para limitar el ancho de banda por usuario, evitando que un solo dispositivo sature la conexión a Internet y degrade la experiencia de los demás usuarios conectados.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN.

Se utiliza para redes de personal que requieren una identidad respaldada por un directorio (por ejemplo, a través de Microsoft Entra ID o Okta). No se suele utilizar para redes de invitados, donde el patrón adecuado es un Captive Portal con RADIUS.

Ejemplos prácticos

Un hotel de 250 habitaciones utiliza puntos de acceso Ruijie RG-AP820-I y un gateway RG-EG310GH-E. Requieren que los huéspedes se autentiquen por correo electrónico para crear una base de datos de marketing. A la dirección le preocupa que los huéspedes se salten el portal y la saturación del ancho de banda en las horas punta durante los eventos de conferencias.

El equipo de TI crea una VLAN de invitados dedicada (VLAN 40) en el switch principal y la conecta mediante un trunk al gateway y a los AP Ruijie. En Ruijie Cloud, crean un SSID abierto asignado a la VLAN 40. Configuran una política de Captive Portal externo que apunta a la URL de la página de inicio de Purple, con la URL del servidor del portal y las credenciales RADIUS del panel de control de Purple. Crucialmente, configuran el Walled Garden para permitir el tráfico únicamente a los dominios de Purple y desactivan la función Portal Escape en el gateway Ruijie, lo que impide el acceso no autenticado durante cualquier interrupción del portal. Aplican una política de QoS que limita a cada cliente a 10 Mbps de bajada y 3 Mbps de subida. Para los eventos de conferencias, crean un SSID independiente en la VLAN 50 con un portal basado en cupones y límites de ancho de banda más estrictos de 5 Mbps por dispositivo.

Comentario del examinador: Este enfoque aísla correctamente el tráfico de invitados en la capa 2, aplica la autenticación RADIUS externa para la captura de datos de conformidad con el GDPR y aplica controles de ancho de banda proporcionales al caso de uso. Desactivar Portal Escape es una decisión de seguridad deliberada que impide el acceso no autenticado durante las interrupciones de la red. El SSID de conferencias independiente con autenticación por cupón es un patrón práctico para los establecimientos que albergan tanto a huéspedes transitorios como a asistentes a eventos con diferentes requisitos de acceso.

Una cadena de tiendas de retail con 50 ubicaciones utiliza controladores Ruijie WS6008. Implementan el inicio de sesión social (Facebook y Google Workspace) para los compradores que acceden al WiFi, pero la página del portal se congela cuando los usuarios hacen clic en los botones de inicio de sesión social. El problema afecta a las 50 ubicaciones simultáneamente.

El responsable de TI identifica que en la configuración de la lista de permitidos (Walled Garden) de los controladores Ruijie faltan los dominios OAuth requeridos por Facebook y Google. Aunque la URL del portal de Purple estaba correctamente permitida, los dominios del proveedor social necesarios para el intercambio de OAuth estaban bloqueados por la interceptación del Captive Portal. El equipo añade los dominios comodín necesarios (específicamente *.facebook.com, *.fbcdn.net, accounts.google.com y *.googleapis.com) a la lista de permitidos de Ruijie. Envían la configuración actualizada a las 50 ubicaciones simultáneamente a través de Ruijie Cloud, resolviendo el problema en toda la propiedad en una sola operación.

Comentario del examinador: La configuración incorrecta del walled garden es la causa más común de fallos en el inicio de sesión social en los despliegues de Captive Portals. El Captive Portal debe permitir explícitamente el tráfico de preautenticación a los dominios OAuth de los proveedores de identidad; de lo contrario, el proceso de redirección no puede completarse. El uso de Ruijie Cloud para el envío centralizado de la configuración es el enfoque correcto para una propiedad de varias ubicaciones: la configuración manual por ubicación en 50 sitios sería propensa a errores y consumiría mucho tiempo.

Preguntas de práctica

Q1. Has configurado un Captive Portal externo en una pasarela Ruijie RG-EG. Los invitados se conectan al SSID, pero sus dispositivos informan de 'Sin conexión a Internet' y la página del portal nunca se carga. ¿Cuál es el error de configuración más probable y cómo se resuelve?

Sugerencia: Considera qué operaciones de red deben completarse con éxito antes de que el usuario pueda ver la página de inicio de sesión.

Ver respuesta modelo

El walled garden (lista de permitidos) está mal configurado. La pasarela Ruijie está bloqueando la resolución de DNS o el tráfico HTTP necesario para llegar a la URL externa de la página de inicio de Purple. Antes de la autenticación, el dispositivo debe poder resolver el dominio del portal y establecer una conexión HTTP con él. Añada los dominios específicos de Purple a la lista de permitidos previa a la autenticación en la sección Auth & Account de Ruijie. Verifique también que la VLAN de invitados tenga asignado un servidor DNS válido a través de DHCP.

Q2. El director de TI de un estadio quiere implementar AP de Ruijie para el WiFi de los aficionados durante los eventos. Quieren recopilar datos de marketing, pero les preocupa que la autenticación RADIUS cause retrasos cuando 10.000 aficionados se conecten simultáneamente durante los primeros 30 minutos de la apertura de puertas. ¿Cómo deberían diseñar el flujo de autenticación para equilibrar la captura de datos con la experiencia del usuario?

Sugerencia: Considera la relación entre la riqueza de los datos y la fricción de la autenticación a gran escala.

Ver respuesta modelo

Deberían utilizar el inicio de sesión con un solo clic de Purple para los aficionados que regresen y ya se hayan autenticado anteriormente, lo que evita rellenar el formulario y reduce la carga de RADIUS. Para los nuevos aficionados, es preferible un formulario mínimo de captura de correo electrónico en lugar del inicio de sesión social, que requiere viajes de ida y vuelta de OAuth adicionales. La pasarela Ruijie debe estar dimensionada para manejar solicitudes RADIUS simultáneas; para 10.000 conexiones simultáneas, se requiere una pasarela de la serie RG-EG de alta capacidad. Habilitar la conexión continua (Seamless Online) con una duración de sesión de 30 días permite que los aficionados que regresan se conecten automáticamente en eventos posteriores. Los límites de QoS deben ser estrictos (5 Mbps por dispositivo) para evitar que los que llegan temprano saturen el enlace antes de que llegue la multitud principal.

Q3. Durante una auditoría de seguridad, un probador de penetración accede al servidor de archivos corporativo mientras está conectado al SSID 'Guest WiFi' transmitido por un AP Ruijie. La red de invitados utiliza un Captive Portal correctamente configurado. ¿Cómo se resuelve esta vulnerabilidad crítica?

Sugerencia: La autenticación y la segmentación de red son cuestiones independientes. Una no implica la otra.

Ver respuesta modelo

El Captive Portal funciona correctamente, pero la separación por VLAN falta o está mal configurada. El SSID de invitados está enviando a los usuarios autenticados a la VLAN corporativa o a la VLAN nativa, que tiene acceso de enrutamiento a los servidores internos. Debe: (1) crear una VLAN de invitados dedicada (por ejemplo, VLAN 50) en el switch principal; (2) asignar el SSID de invitados a la VLAN 50 en el controlador Ruijie; (3) configurar los puertos del switch que conectan los AP como troncales 802.1Q que permitan la VLAN 50; (4) configurar la pasarela Ruijie para bloquear el enrutamiento entre la VLAN 50 y todas las subredes corporativas, permitiendo únicamente el tráfico saliente a Internet desde la VLAN de invitados. La autenticación y la segmentación de red son controles independientes: ambos deben estar correctamente configurados.

Q4. Tu despliegue de Ruijie tiene habilitado Portal Escape. Durante una ventana de mantenimiento planificada en los servidores RADIUS de Purple, observas que los invitados acceden a Internet sin autenticarse. ¿Es este el comportamiento esperado y cuáles son las implicaciones de cumplimiento?

Sugerencia: Considera el propósito de Portal Escape y tus obligaciones con respecto al GDPR.

Ver respuesta modelo

Sí, este es el comportamiento esperado de Portal Escape. Cuando el servidor del portal no está accesible, Ruijie libera automáticamente el tráfico para mantener la conectividad. Sin embargo, esto crea una brecha de cumplimiento: los usuarios acceden a Internet sin dar su consentimiento para el procesamiento de datos, lo que puede violar los requisitos del GDPR si sus condiciones de servicio o la captura de datos están vinculadas al evento de autenticación. Para los establecimientos donde la captura del consentimiento es un requisito legal o comercial, se debe desactivar Portal Escape. Planifique el mantenimiento del servidor RADIUS durante los períodos de menor actividad de los invitados y comunique la ventana de mantenimiento a la dirección del establecimiento. Considere la posibilidad de implementar un servidor RADIUS secundario de Purple como respaldo para eliminar por completo este escenario.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: diseño para una alta conversión y cumplimiento normativo

Esta guía técnica ofrece a los responsables de TI, arquitectos de redes y directores de operaciones de establecimientos un plan completo para implementar Captive Portals que equilibren la seguridad de la red con una alta conversión de usuarios. Abarca toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento en conformidad con el GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80 000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →