Guía paso a paso: Configuración de controladores inalámbricos Ruijie para Captive Portals de WiFi de invitados

Resumen ejecutivo

Implementar WiFi de invitados en una empresa distribuida requiere algo más que un SSID abierto. Para los responsables de TI y arquitectos de red, el desafío consiste en equilibrar un acceso sin fricciones con una seguridad estricta, el cumplimiento del GDPR y los requisitos de captura de datos. Esta guía detalla los pasos de configuración exactos para implementar un Captive Portal seguro y escalable utilizando controladores inalámbricos y gateways de Ruijie, y muestra cómo la integración de esa infraestructura con la plataforma de Guest WiFi de Purple transforma una conexión inalámbrica básica en un activo de generación de ingresos que cumple con la normativa.

Cubrimos los requisitos técnicos previos, las estrategias de segmentación de VLAN, la autenticación RADIUS externa a través del protocolo WISPr, la configuración de walled garden y los ajustes específicos de QoS necesarios para una implementación en producción. Ya sea que gestione un hotel de 200 habitaciones, una cadena de retail de 50 establecimientos o un estadio con 40 000 asistentes, esta guía proporciona el plan de referencia definitivo para una configuración segura de Captive Portal de Ruijie. Purple opera en más de 80 000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple), por lo que los patrones de integración descritos aquí están probados a gran escala.

Arquitectura técnica y requisitos previos

Antes de modificar su controlador Ruijie, establezca la arquitectura de red correcta. Una red de invitados segura exige un aislamiento completo del tráfico corporativo en la Capa 2 (a nivel de switch).

Segmentación de red

La base de un WiFi de invitados seguro es el aislamiento de VLAN. Debe crear una VLAN de invitados dedicada en su gateway o switch principal de Ruijie. Esto garantiza que el tráfico de invitados nunca se cruce con los sistemas internos, los terminales de pago o los dispositivos del personal. Un esquema de VLAN empresarial estándar para una implementación de Ruijie tiene el siguiente aspecto:

Para obtener más información sobre por qué los enfoques de nivel de consumo fallan en este aspecto, lea Por qué los equipos de WiFi domésticos no deben usarse en su red de invitados .

Componentes necesarios

Para completar esta implementación, necesita:

• Una cuenta de Ruijie Cloud o un controlador inalámbrico local de la serie Ruijie RG-WS (por ejemplo, RG-WS6008 o RG-WS7110).
• Un gateway de la serie Ruijie RG-EG, necesario para la autenticación de portal externo a través de WISPr.
• Puntos de acceso de la serie Ruijie RG-AP (por ejemplo, RG-AP820-I, RG-AP850-AR).
• Una licencia de Purple Connect, Capture o Engage.
• Acceso UDP saliente en los puertos 1812 (autenticación RADIUS) y 1813 (contabilidad RADIUS) desde el gateway a los servidores de Purple.

Descripción general del protocolo de autenticación

Ruijie admite varios métodos de autenticación. Las implementaciones empresariales deben utilizar la autenticación RADIUS externa. Este enfoque utiliza el protocolo WISPr (Wireless Internet Service Provider roaming) para redirigir de forma segura a los usuarios no autenticados a la página de inicio (splash page) de Purple, procesar sus credenciales y devolver un mensaje de aceptación (Accept) o rechazo (Reject) de RADIUS al controlador Ruijie.

La tabla anterior resume los cinco métodos de autenticación disponibles en las plataformas Ruijie. El registro por correo electrónico y el inicio de sesión a través de redes sociales son las opciones más comunes para entornos de hostelería y retail, ya que capturan datos de origen (first-party data) estructurados y conformes con el GDPR. Los códigos de cupón (vouchers) son adecuados para salas de conferencias y niveles de acceso de pago. RADIUS con 802.1X se reserva para redes de personal donde se requiere una identidad respaldada por un directorio.

Guía de implementación paso a paso

Siga estos pasos dentro de la interfaz de Ruijie Cloud o del controlador local. Las rutas de la interfaz de usuario que se muestran a continuación se aplican a la nueva interfaz de Ruijie Cloud (posterior a 2024) y a la plataforma Ruijie JaCS.

Paso 1: Configurar el SSID de invitados

Establezca la red de difusión inalámbrica.

1. Inicie sesión en Ruijie Cloud o en la interfaz web del controlador local.
2. Vaya a Device Config y seleccione Wi-Fi en la sección Wireless.
3. Haga clic en + para crear un nuevo SSID o edite uno existente.
4. Establezca el SSID Name (por ejemplo, "Free Guest WiFi").
5. Establezca el Security Mode en Open (sin clave precompartida).
6. Asigne el SSID a su VLAN de invitados dedicada (por ejemplo, VLAN 30).
7. Guarde la configuración del SSID.

Paso 2: Definir la política de Captive Portal

Indique al controlador que intercepte el tráfico de invitados y lo redirija a Purple.

1. Vaya a Auth & Account y seleccione Captive Portal en la sección Authentication.
2. Cree una nueva política. Establezca un Policy Name descriptivo (por ejemplo, "Purple-Guest-Portal").
3. Establezca el Policy Mode en External.
4. Establezca el Authentication Device en su gateway Ruijie (serie RG-EG) o punto de acceso.
5. Seleccione el SSID de invitados creado en el Paso 1.
6. En el campo Portal Server URL, introduzca la URL específica de su página de inicio de Purple (disponible en su panel de Purple en Hardware Configuration).
7. Introduzca las direcciones IP del servidor RADIUS de Purple en los campos designados.
8. Establezca la duración de Seamless Online para que coincida con su política de tiempo de espera de sesión (por ejemplo, 24 horas para hostelería, una hora para retail).
9. Decida el comportamiento de Portal Escape (consulte la sección de Buenas prácticas a continuación).

Paso 3: Configurar el walled garden (lista de permitidos)

Un Captive Portal intercepta todo el tráfico hasta que el usuario se autentica. Cierto tráfico debe pasar a través de la preautenticación para permitir que se cargue la página de inicio de sesióny procesar inicios de sesión con redes sociales. Este es el elemento que se configura incorrectamente con más frecuencia en cualquier despliegue de Captive Portal.

1. Navegue a Auth & Account y seleccione Allowlist.
2. Añada todos los dominios de infraestructura de Purple requeridos. Su panel de control de Purple proporciona la lista exacta para su región.
3. Si ofrece inicio de sesión con redes sociales, añada los dominios de OAuth para cada proveedor:
   • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
   • Para Google Workspace: *.google.com, accounts.google.com
   • Para Okta: su dominio de inquilino de Okta específico
4. Añada los dominios de los procesadores de pago si ofrece niveles de WiFi de pago.
5. Guarde y aplique la allowlist.

Paso 4: Configurar la autenticación RADIUS

Configure el canal de comunicación seguro entre Ruijie y Purple.

1. Navegue a la configuración del servidor RADIUS en su controlador o puerta de enlace de Ruijie.
2. Añada la dirección IP del servidor RADIUS principal de Purple y el puerto 1812 para la autenticación.
3. Añada la dirección IP del servidor RADIUS secundario de Purple como alternativa por fallo (failover).
4. Introduzca el Shared Secret de su panel de control de Purple. Debe coincidir exactamente.
5. Añada el servidor de contabilidad (accounting) en el puerto 1813 y habilite la contabilidad RADIUS. Esto realiza un seguimiento de la duración de la sesión y el uso de datos, enviando la información directamente a los informes de WiFi Analytics de Purple.
6. Establezca el NAS Identifier con una cadena descriptiva (por ejemplo, el nombre de su establecimiento) para distinguir el tráfico en las analíticas de Purple.

Paso 5: Aplicar políticas de QoS

El acceso de invitados sin restricciones puede saturar su conexión a Internet durante los períodos de máxima actividad.

1. Navegue a la sección de QoS o gestión de ancho de banda de su puerta de enlace de Ruijie.
2. Establezca límites de descarga por usuario (por ejemplo, 10 Mbps para huéspedes de hoteles, 5 Mbps para clientes de tiendas).
3. Establezca límites de subida por usuario (por ejemplo, 2-5 Mbps).
4. Desactive Client Escape para garantizar que los usuarios no autenticados no puedan acceder a la red si el servidor del portal no está disponible temporalmente.
5. Guarde y envíe la configuración a todos los dispositivos relevantes.

Paso 6: Probar el despliegue

Realice siempre las pruebas desde un dispositivo limpio sin credenciales almacenadas en caché.

1. Conecte un dispositivo móvil al SSID de invitados.
2. Abra un navegador y navegue a una URL que no sea HTTPS (por ejemplo, http://example.com). El portal debería redirigirle.
3. Verifique que la splash page de Purple se cargue correctamente.
4. Complete el flujo de autenticación.
5. Confirme que se concede acceso a Internet tras la autenticación.
6. Compruebe el panel de control de Purple para confirmar que la sesión aparece en sus analíticas.

Buenas prácticas para el despliegue empresarial

Seguridad y cumplimiento normativo

Nunca confíe en una PSK compartida para el acceso de invitados. Las contraseñas compartidas no ofrecen trazabilidad y son imposibles de revocar para un solo usuario. Al utilizar el Captive Portal de Purple con autenticación individual, se exige el consentimiento explícito para el procesamiento de datos, cumpliendo con los requisitos del Artículo 7 del GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que garantiza que el propio mecanismo de captura de datos sea auditable.

Para analizar más a fondo la arquitectura de seguridad, lea nuestra Seguridad WiFi empresarial: guía completa para 2026 y ¿Qué es el WiFi seguro? Guía esencial para empresas en 2026 .

Portal Escape: una decisión deliberada

La función Portal Escape de Ruijie libera automáticamente el tráfico de los usuarios si el AP y el servidor del portal dejan de estar accesibles. En un entorno de hostelería, puede optar por activarla: un huésped que se quede sin WiFi debido a un fallo temporal del servidor generará quejas. En un entorno comercial o sanitario, puede optar por desactivarla: el acceso no autenticado representa un riesgo de seguridad y cumplimiento normativo. Documente su decisión y los motivos en su manual de procedimientos de red (runbook).

Consistencia multisitio

Utilice Ruijie Cloud para gestionar la configuración de forma centralizada en todos los sitios. Envíe las políticas del portal simultáneamente para eliminar la desviación de configuración entre sitios, que es la causa más común de experiencias de usuario inconsistentes en un patrimonio distribuido. La superposición en la nube de Purple funciona bajo el mismo principio: un único panel de control, todos los establecimientos.

Gestión de firmware

Algunas funciones del Captive Portal de Ruijie (en particular, los controles de ancho de banda y la asignación dinámica de VLAN) requieren versiones de firmware específicas en la puerta de enlace. Las notas de la versión de Ruijie documentan estas dependencias. Asegúrese de que sus puertas de enlace RG-EG ejecuten el firmware RGOS11.9(6)B17T1 o superior para obtener soporte completo de QoS en despliegues gestionados en la nube.

Resolución de problemas y mitigación de riesgos

La página del portal no se carga

Si el Captive Portal no aparece cuando se conecta un dispositivo, verifique primero la configuración de su walled garden. El dispositivo debe resolver el DNS y llegar a la URL del portal de Purple antes de la autenticación. Compruebe que su allowlist de Ruijie incluya todos los dominios necesarios y que su servidor DNS sea accesible desde la VLAN de invitados.

Tiempos de espera de autenticación agotados

Si los usuarios ven el portal pero no pueden iniciar sesión, el problema suele residir en la configuración de RADIUS. Verifique las direcciones IP del servidor RADIUS, los puertos (1812 para autenticación, 1813 para contabilidad) y el secreto compartido (shared secret). Asegúrese de que su cortafuegos permita el tráfico UDP saliente en estos puertos desde la IP de gestión de la puerta de enlace de Ruijie.

El inicio de sesión con redes sociales se queda colgado

Si los usuarios hacen clic en un botón de inicio de sesión con redes sociales y no ocurre nada, la redirección de OAuth se está bloqueando. Añada los dominios de los proveedores de redes sociales requeridos a su allowlist de Ruijie. Realice una prueba permitiendo temporalmente todo el tráfico antes de la autenticación para confirmar que el portal funciona y, a continuación, restrinja la allowlist de forma incremental.

Fallos en la asignación dinámica de VLAN

Si está utilizando RADIUS para asignar usuarios a VLAN de forma dinámica, asegúrese de que la respuesta de RADIUS incluya los atributos de VLAN correctos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Las puertas de enlace RG-EG310GH-E de Ruijie y similares admiten la asignación dinámica de VLAN, pero la función requiere una configuración explícita tanto en el servidor RADIUS como en la puerta de enlace.

ROI e impacto empresarial

El despliegue de un Captive Portal seguro transforma el WiFi de invitados de un centro de costes a un activo estratégico. La plataforma WiFi Analytics de Purple, integradse integra con su infraestructura Ruijie, captura datos de primera mano, crea listas de contactos con alta intención de compra y ofrece información práctica sobre el comportamiento de los visitantes en todas sus instalaciones.

Harrods utilizó el Guest WiFi de Purple para promocionar su programa de fidelización, logrando una tasa de opt-in líder en el mercado y un ROI de 57x (datos de clientes de Purple). c2c Rail utilizó Purple para fomentar las reservas directas, logrando un retorno de la inversión del 121 % y ahorrando 76.000 £ en costes operativos (datos de clientes de Purple). Pizza Express desplegó Purple en más de 470 restaurantes para crear perfiles de clientes más completos.

Para los operadores de hostelería , los datos capturados al iniciar sesión (correo electrónico, datos demográficos, frecuencia de visitas) se integran directamente en los sistemas CRM y programas de fidelización. En entornos de retail , el análisis de visitas recurrentes identifica a los compradores de mayor valor. Para los centros de transporte , los datos de flujo de pasajeros optimizan la planificación del personal y del espacio comercial.

Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet, así como con Ruijie, lo que la convierte en la capa en la nube independiente del hardware que funciona con su infraestructura existente en lugar de reemplazarla.

Guías relacionadas: Integración de los puntos de acceso Grandstream GWN con Purple WiFi