Guía paso a paso para el acceso de invitados: Integración de Cisco WLC y Catalyst con Purple WiFi

Esta guía de referencia detalla la integración paso a paso de los Cisco Catalyst 9800 WLCs con Purple WiFi. Cubre el proceso de External Web Authentication para portales cautivos de invitados, 802.1X EAP-TLS para el acceso seguro del personal e Cisco iPSK para la segmentación dinámica de VLAN en entornos multiinquilino.

📖 6 min de lectura📝 1,300 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido a la serie de sesiones técnicas de Purple. Hoy abordaremos algo que llega al escritorio de casi todos los arquitectos de redes empresariales que trabajan en hostelería, retail o grandes recintos: la integración de los controladores Cisco Wireless LAN Controllers y la infraestructura inalámbrica Catalyst con la plataforma de Guest WiFi de Purple. Si utiliza controladores de la serie Cisco Catalyst 9800, o la plataforma heredada AireOS, y necesita ofrecer una red de invitados que cumpla con las normativas, esté segmentada y se base en analíticas, esta sesión es para usted. [medium pause]

Comencemos con el contexto. Purple opera en más de 80.000 recintos activos en todo el mundo, y Cisco es el proveedor de infraestructura inalámbrica dominante en entornos empresariales. Lograr que estas dos plataformas funcionen juntas de manera limpia no es complicado, pero requiere tomar las decisiones de arquitectura correctas desde el principio. Si se equivoca, pasará semanas solucionando bucles de redirección, desajustes de VLAN y tiempos de espera de RADIUS. Si lo hace bien, dispondrá de una red que segmenta automáticamente a invitados, personal y dispositivos IoT, recopila datos de origen cumpliendo con las normativas y se escala en cientos de sitios sin intervención manual. [medium pause]

Entremos en detalle en la arquitectura. [short pause]

Cuando un invitado se conecta a su red WiFi en un despliegue de Cisco, deben ocurrir tres cosas antes de que acceda a internet. En primer lugar, el WLC Cisco Catalyst 9800 debe interceptar esa solicitud HTTP inicial y redirigir al cliente al portal cautivo de Purple. En segundo lugar, el portal de Purple debe autenticar al usuario, ya sea a través de inicio de sesión social, correo electrónico, SMS o una simple aceptación de términos y condiciones. En tercer lugar, el servidor RADIUS de Purple debe indicar de vuelta al WLC que el usuario está autorizado y, opcionalmente, asignarlo a una VLAN específica. [medium pause]

El mecanismo que gestiona el primer paso se denomina External Web Authentication, o EWA. En el Catalyst 9800, se configura un mapa de parámetros de autenticación web que apunta a la URL de la página de bienvenida de Purple. El WLC intercepta todo el tráfico HTTP de los clientes no autenticados y emite una redirección 302 a esa URL. También necesitará configurar una ACL de preautenticación, o utilizar la función de filtro de URL del 9800, para incluir en la lista blanca las direcciones IP del portal de Purple para que los clientes puedan llegar a la página de bienvenida antes de estar autenticados. Purple proporciona dos direcciones IP para su portal, y deberá permitir ambas en su ACL de preautenticación. [medium pause]

Este es el orden de configuración para el Catalyst 9800. Primero, cree el mapa de parámetros. Luego, configure su filtro de URL para permitir el dominio de Purple antes de la autenticación. Aplique esto a su perfil de política de WLAN, configure la seguridad de Capa 2 en None, habilite la Web Policy en la Capa 3 y apúntela a su mapa de parámetros. [medium pause]

Ahora hablemos de RADIUS. Purple actúa como el servidor RADIUS en esta arquitectura. Se configura el WLC para que apunte al endpoint RADIUS de Purple, que encontrará en el panel de control de Purple, dentro de la configuración de red de su establecimiento. La clave secreta compartida se genera por cada establecimiento. En el Catalyst 9800, navegue hasta Configuration, Security, AAA, Servers, y añada el servidor RADIUS de Purple con la IP y la clave secreta compartida correctas. A continuación, cree un grupo de servidores, una lista de métodos de autenticación y aplíquela a su WLAN. [medium pause]

Un detalle que suele causar confusión: en el 9800, también debe configurar la dirección IP virtual en el mapa de parámetros globales de autenticación web. Utilice 192.0.2.1 como dirección IPv4 virtual. Si omite este paso, los clientes a veces serán redirigidos al portal interno en lugar de al de Purple, y pasará una tarde de frustración intentando averiguar el motivo. [medium pause]

Pasemos ahora a la WiFi para empleados con 802.1X. [short pause]

Para las redes de empleados, lo ideal es utilizar una autenticación basada en certificados mediante EAP-TLS o, como mínimo, PEAP con MSCHAPv2 para aquellos entornos donde no sea factible implementar certificados. En el Catalyst 9800, cree una WLAN independiente para los empleados, establezca la seguridad de Capa 2 en WPA2 Enterprise y dirija la autenticación a su servidor RADIUS. Si utiliza Microsoft Entra ID u Okta como proveedor de identidad, el complemento SecurePass de Purple actúa como proxy RADIUS, traduciendo las solicitudes de autenticación 802.1X en consultas al proveedor de identidad. Esto significa que no necesita un servidor RADIUS físico independiente en sus instalaciones para autenticar a los empleados. Purple gestiona la finalización de EAP y reenvía la verificación de identidad a su proveedor de identidad. [medium pause]

Para el caso concreto de EAP-TLS, deberá distribuir certificados de cliente a los dispositivos de los empleados, ya sea a través de Microsoft Intune, Jamf o una plataforma MDM similar. El servidor RADIUS de Purple debe confiar en la cadena de certificados, lo que implica subir su certificado CA raíz al panel de control de Purple. Una vez configurado, los dispositivos de los empleados se autentican de forma silenciosa, sin solicitud de contraseñas ni páginas de bienvenida. El usuario se conecta, el certificado se valida y se le asigna la VLAN de empleados en cuestión de segundos. [medium pause]

Ahora pasemos a la parte que a la mayoría de los arquitectos les resulta verdaderamente interesante: Cisco Identity PSK, o iPSK. [short pause]

iPSK resuelve un problema concreto que surge constantemente en entornos multi-inquilino. Imagine un hotel con 300 habitaciones, una superficie comercial con 50 tiendas o un complejo residencial con 200 apartamentos. Lo ideal es tener un único SSID, pero necesita que cada inquilino, cada habitación o cada grupo de dispositivos esté aislado en su propia VLAN. La solución tradicional consistía en crear un SSID diferente para cada inquilino, algo que no es escalable y genera congestión en las frecuencias de radio. iPSK le ofrece un único SSID en el que cada cliente o grupo de clientes dispone de una clave precompartida exclusiva, y el servidor RADIUS asocia dicha clave a una VLAN específica. [medium pause]

Así es como funciona técnicamente. Cuando un cliente se asocia al SSID, el Catalyst 9800 WLC envía una solicitud de acceso (RADIUS Access-Request) al servidor RADIUS de Purple, incluyendo la dirección MAC del cliente. El servidor RADIUS de Purple busca esa dirección MAC en su base de datos de iPSK, encuentra la clave PSK asociada y la asignación de VLAN, y devuelve una respuesta de acceso aceptada (RADIUS Access-Accept) que contiene el Cisco AV-pair con la PSK y los atributos de túnel IETF para la asignación de VLAN. El WLC utiliza la PSK devuelta para completar el saludo de cuatro vías de WPA2 y, a continuación, ubica al cliente en la VLAN asignada. [medium pause]

Los tres atributos RADIUS que necesita para la asignación dinámica de VLAN son: el atributo IETF 64, Tunnel-Type, establecido en VLAN con un valor de 13; el atributo IETF 65, Tunnel-Medium-Type, establecido en 802 con un valor de 6; y el atributo IETF 81, Tunnel-Private-Group-ID, establecido con el ID de la VLAN como una cadena de texto. Estos tres atributos, enviados juntos en el RADIUS Access-Accept, indican al WLC exactamente qué VLAN asignar. La VLAN ya debe existir en el WLC como una interfaz dinámica y el puerto del switch de enlace ascendente (uplink) debe estar configurado como un trunk que transporte todas las VLAN relevantes. [medium pause]

En el lado del WLC, habilite el filtrado MAC en la WLAN iPSK, habilite la opción AAA Override y configure la seguridad de Capa 2 en WPA2-PSK. La PSK global que configure en la WLAN actúa únicamente como una alternativa de respaldo. La PSK devuelta por RADIUS tiene prioridad para cualquier cliente cuya dirección MAC esté registrada en la base de datos de iPSK de Purple. Para los dispositivos no registrados, puede denegar el acceso o recurrir a la PSK global, según su directiva. [medium pause]

Permítame presentarle dos escenarios del mundo real para concretar esto. [short pause]

Primer escenario: un hotel de 200 habitaciones. El hotel desea que los huéspedes estén en la VLAN 10 solo con acceso a Internet, el personal en la VLAN 20 con acceso al sistema de gestión de la propiedad (PMS) y los dispositivos IoT, cerraduras de puertas, termostatos y cámaras de videovigilancia en la VLAN 30 sin acceso a Internet. Utilizan controladores Cisco Catalyst 9800 con puntos de acceso de la serie Cisco 9100. [medium pause]

La arquitectura: tres perfiles de directivas en el WLC, uno por VLAN. Un único SSID para huéspedes que utiliza autenticación web externa dirigida a Purple. Un SSID independiente para el personal que utiliza WPA2 Enterprise con EAP-TLS, autenticado a través de Purple SecurePass contra Microsoft Entra ID. Y, por último, iPSK para los dispositivos IoT, con la dirección MAC de cada dispositivo registrada en el portal de Purple y asignada a la VLAN 30. El sistema de gestión del hotel aprovisiona los nuevos dispositivos IoT a través de la API de Purple, por lo que cuando se instala una nueva cerradura, su dirección MAC se registra y se asigna automáticamente a la VLAN correcta. No se requiere ninguna configuración manual de RADIUS. [medium pause]

Segundo escenario: una cadena de tiendas minoristas con 80 establecimientos. Cada tienda dispone de una red WiFi para huéspedes, una red para el personal y otra para los terminales de pago. El cumplimiento de la normativa PCI-DSS exige que la red de terminales de pago esté completamente aislada de la red de huéspedes. La empresa de comercio minorista utiliza controladores Cisco Catalyst 9800-L en cada ubicación, gestionados de forma centralizada a través de Cisco Catalyst Centre. [medium pause]

Purple se implementa como una superposición en la nube. El WLC de cada tienda se configura con los detalles del servidor RADIUS de Purple. La autenticación de invitados utiliza una página de inicio de sesión de marca con captura de correo electrónico, introduciendo datos de origen en la plataforma de análisis de Purple. La autenticación del personal utiliza PEAP contra Active Directory a través de Purple SecurePass. Los terminales de pago utilizan iPSK con una VLAN dedicada, y la ACL previa a la autenticación bloquea explícitamente cualquier tráfico entre la VLAN de pago y la VLAN de invitados, cumpliendo con el requisito 1.3 de PCI-DSS para la segmentación de red. [medium pause]

Ahora hablemos de los errores comunes. [short pause]

El modo de fallo más habitual es el bucle de redirección. Esto ocurre cuando la ACL previa a la autenticación no incluye correctamente en la lista blanca las direcciones IP del portal de Purple, por lo que el WLC redirige al cliente al portal de Purple, pero el cliente no puede acceder al portal porque la ACL lo bloquea, de modo que el WLC vuelve a redirigir indefinidamente. Solución: verifique que su filtro de URL o la ACL previa a la autenticación incluyan ambas direcciones IP del portal de Purple, y confirme que se permite la resolución DNS antes de la autenticación. [medium pause]

El segundo problema común es el desajuste de VLAN. El servidor RADIUS devuelve un ID de VLAN que no existe como interfaz dinámica en el WLC. El WLC coloca entonces al cliente en la VLAN nativa, que suele ser la VLAN de gestión. Esto supone un riesgo de seguridad. Solución: antes de realizar el despliegue, audite las interfaces dinámicas de su WLC en relación con los ID de VLAN configurados en las políticas RADIUS de Purple. Deben coincidir exactamente. [medium pause]

Tercer error común: fallos de confianza en los certificados en implementaciones EAP-TLS. Si la cadena de certificados del cliente no es de confianza para el servidor RADIUS de Purple, la autenticación falla silenciosamente desde la perspectiva del usuario. Sencillamente, no pueden conectarse. Solución: cargue su CA raíz y cualquier certificado de CA intermedia en la configuración de Purple SecurePass antes de desplegar los certificados de cliente. Realice una prueba con un solo dispositivo antes de implementarlo en toda la flota. [medium pause]

Preguntas rápidas. [short pause]

¿Puedo utilizar Purple con Cisco Meraki en lugar de un WLC? Sí. Cisco Meraki tiene su propio mecanismo de integración de Captive Portal y Purple lo admite de forma nativa. La configuración de RADIUS es similar, pero utiliza el panel de control de Meraki en lugar de la línea de comandos del WLC. [short pause]

¿Admite Purple WPA3 en Cisco? Sí. WPA3-SAE es compatible con Cisco Catalyst 9800 con IOS-XE 17.3 y versiones posteriores. La integración de RADIUS de Purple funciona de manera idéntica con WPA3. [short pause]

¿Cuál es la recomendación para el tiempo de espera de RADIUS? Establezca el tiempo de espera del servidor RADIUS principal en tres segundos con dos intentos de reintento. Configure un servidor RADIUS secundario para la conmutación por error. Purple proporciona puntos finales RADIUS redundantes para clientes empresariales. [short pause]

¿Puedo utilizar Cisco ISE junto con Purple? Sí. Algunas organizaciones utilizan ISE para la evaluación de estado y el perfilado de dispositivos, mientras que utilizan Purple para el portal de invitados y la analítica. Los dos servidores RADIUS se configuran en WLAN independientes. [medium pause]

Para resumir. [short pause]

La infraestructura inalámbrica Cisco WLC y Catalyst se integra a la perfección con Purple mediante External Web Authentication para la redirección del Captive Portal de invitados, 802.1X EAP-TLS o PEAP para la autenticación del personal a través de Purple SecurePass, y Cisco iPSK con asignación dinámica de VLAN para la segmentación de IoT y multi-tenant. Los tres atributos de VLAN de RADIUS, Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID, son el mecanismo que impulsa la segmentación dinámica. Configure correctamente sus ACL de preautenticación, sincronice sus ID de VLAN entre RADIUS y WLC, y pruebe las cadenas de confianza de certificados antes del despliegue en la flota. [medium pause]

Purple opera en más de 80.000 sedes y ha procesado 440 millones de inicios de sesión en 2024. La integración con Cisco es una de nuestras configuraciones más desplegadas a nivel mundial. Si desea empezar, el panel de control de Purple le guiará a través de la configuración de RADIUS por sede, y nuestro equipo de integración está disponible para despliegues empresariales. [medium pause]

Eso es todo en esta sesión informativa. Gracias por escuchar.

Conclusiones clave

✓Utilice External Web Authentication (EWA) en los WLC Catalyst 9800 para redirigir el tráfico de invitados no autenticados al Captive Portal personalizado de Purple.
✓Asegúrese de que las ACL de preautenticación o los filtros de URL permitan explícitamente el acceso a las direcciones IP del portal de Purple para evitar bucles de redireccionamiento.
✓Implemente Purple SecurePass como un proxy RADIUS en la nube para autenticar al personal a través de 802.1X EAP-TLS o PEAP directamente contra Entra ID o Okta.
✓Aproveche Cisco Identity PSK (iPSK) para segmentar de forma segura los dispositivos IoT y los usuarios multiinquilino en VLAN específicas utilizando un único SSID.
✓Active siempre "AAA Override" en el WLC y asegúrese de que existan interfaces dinámicas localmente para permitir la asignación dinámica de VLAN basada en RADIUS.
✓Configure servidores RADIUS secundarios con un tiempo de espera de 3 segundos y 2 reintentos para garantizar una alta disponibilidad en la autenticación.

Resumen Ejecutivo

El despliegue de una red inalámbrica segura, conforme a las normativas y escalable en entornos empresariales requiere una estrecha integración entre la infraestructura y los proveedores de identidad. Esta guía detalla las decisiones de arquitectura y los pasos de configuración necesarios para integrar los controladores de LAN inalámbrica (WLC) Cisco Catalyst 9800 con la plataforma en la nube de Purple.

Para el acceso de invitados, analizamos la autenticación web externa (EWA) para la redirección del portal cautivo, lo que permite la captura de datos de primera mano y el análisis de Guest WiFi . Para el acceso del personal, detallamos la autenticación 802.1X EAP-TLS y PEAP utilizando Purple SecurePass como proxy RADIUS hacia Microsoft Entra ID u Okta. Para entornos IoT y multiinquilino, describimos la configuración de Cisco Identity PSK (iPSK), que permite la asignación dinámica de VLAN y la segmentación de red en un único SSID sin depender de complejos despliegues de certificados.

Purple opera en más de 80.000 centros activos en todo el mundo y procesó 440 millones de inicios de sesión en 2024. Esta integración está probada en entornos de alta densidad de Hospitality , Retail y Transport donde el tiempo de actividad, el cumplimiento normativo y una experiencia de usuario fluida son innegociables.

Análisis Técnico Detallado: Arquitectura y Flujos de Autenticación

1. Guest WiFi: Autenticación Web Externa (EWA)

Para ofrecer un portal cautivo personalizado y capturar datos de usuario para el WiFi Analytics , el Cisco Catalyst 9800 WLC debe interceptar el tráfico HTTP no autenticado y redirigirlo a la página de bienvenida alojada en la nube de Purple. Este mecanismo se denomina Autenticación Web Externa (EWA).

El proceso sigue una secuencia específica:

El cliente se asocia al SSID abierto o con Opportunistic Wireless Encryption (OWE).
El WLC sitúa al cliente en un estado Webauth_reqd y aplica una lista de control de acceso (ACL) de preautenticación.
El WLC intercepta la solicitud HTTP del cliente y emite una redirección 302 a la URL de la página de bienvenida de Purple, añadiendo parámetros como la dirección MAC del AP, la dirección MAC del cliente y el SSID de la WLAN.
El cliente completa el proceso de autenticación en el portal de Purple (por ejemplo, inicio de sesión social, captura de correo electrónico o aceptación de términos).
El servidor RADIUS de Purple envía un mensaje Access-Accept al WLC.
El WLC mueve al cliente al estado Run, concediendo acceso a internet según la política de postautenticación.

2. Staff WiFi: 802.1X EAP-TLS y PEAP

Para dispositivos corporativos, WPA2/WPA3 Enterprise con 802.1X proporciona la postura de seguridad más sólida. En lugar de desplegar un servidor RADIUS local como Cisco ISE, Purple SecurePass actúa como un proxy RADIUS en la nube. Este termina el túnel de Protocolo de Autenticación Extensible (EAP) y reenvía la verificación de identidad a su Proveedor de Identidad (IdP), como Microsoft Entra ID o Google Workspace.

EAP-TLS: Recomendado para dispositivos corporativos gestionados. Requiere el despliegue de certificados de cliente a través de un MDM (por ejemplo, Microsoft Intune). La autenticación es silenciosa y altamente segura.
PEAP-MSCHAPv2: Recomendado para entornos BYOD donde el despliegue de certificados no es viable. Los usuarios se autentican con sus credenciales corporativas.

3. IoT y Multi-Tenant: Cisco Identity PSK (iPSK)

En entornos como propiedades de alquiler residencial (BTR), alojamiento para estudiantes o tiendas minoristas con numerosos dispositivos IoT, desplegar 802.1X a menudo es imposible porque los dispositivos carecen de soporte para suplicantes. Crear un SSID independiente para cada inquilino o tipo de dispositivo provoca congestión de RF.

Cisco iPSK resuelve esto al permitir múltiples claves precompartidas (PSKs) únicas en un solo SSID. Cuando un dispositivo se asocia, el WLC envía su dirección MAC al servidor RADIUS de Purple. Purple devuelve la PSK específica para ese dispositivo junto con los atributos de asignación dinámica de VLAN, segmentando el tráfico en el puerto del switch.

Guía de implementación

Configuración de la redirección del Captive Portal de invitados

Para configurar la Autenticación Web Externa en el Catalyst 9800 WLC, debe definir un mapa de parámetros y un filtro de URL para permitir el tráfico de preautenticación hacia el portal de Purple [1].

Paso 1: Crear el mapa de parámetros de autenticación web

Configure el WLC para redirigir a los clientes al portal de Purple, pasando las variables necesarias. Debe configurar la dirección IPv4 virtual (normalmente 192.0.2.1) de forma global.

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

Paso 2: Configurar el filtro de URL de preautenticación

Los clientes deben llegar al portal de Purple antes de ser autenticados. El 9800 WLC utiliza filtros de URL para abrir dinámicamente puertos en la ACL de interceptación basándose en el snooping de DNS.

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

Aplique este filtro de URL a su perfil de política de WLAN en la configuración de la ACL de preautenticación.

Configuración de la asignación dinámica de VLAN para iPSK

Para colocar a los usuarios o dispositivos en VLANs específicas de forma dinámica, el servidor RADIUS de Purple debe enviar tres atributos IETF específicos en la respuesta Access-Accept [2].

IETF 64 (Tunnel-Type): Configurado en VLAN (valor 13).
IETF 65 (Tunnel-Medium-Type): Configurado en 802 (valor 6).
IETF 81 (Tunnel-Private-Group-ID): Configurado con el ID de la VLAN como una cadena de texto (por ejemplo, "10").

En el Catalyst 9800 WLC, asegúrese de que lo siguiente esté configurado en la WLAN de iPSK:

El filtrado MAC está habilitado.
El AAA Override está habilitado (crucial para aceptar la asignación de VLAN de RADIUS).
La seguridad de Capa 2 está configurada en WPA2-PSK (la PSK configurada actúa como alternativa).

Buenas Prácticas

Verificación de VLAN: El ID de la VLAN devuelto por el servidor RADIUS en Tunnel-Private-Group-ID DEBE existir como una interfaz dinámica en el WLC. De lo contrario, el WLC asignará al cliente a la VLAN nativa, lo que genera un riesgo de seguridad grave.
Cadenas de Confianza de Certificados: Para despliegues de EAP-TLS, cargue su CA raíz y cualquier certificado de CA intermedia en el panel de control de Purple SecurePass antes de distribuir los certificados de cliente. Si el servidor RADIUS no puede validar la cadena, la autenticación fallará de forma silenciosa.
RADIUS Redundante: Configure siempre servidores RADIUS secundarios. Establezca el tiempo de espera primario en 3 segundos con 2 reintentos para garantizar una conmutación por error rápida sin frustrar al usuario.
Adopción de WPA3: Utilice WPA3-SAE para redes iPSK cuando los dispositivos cliente lo admitan. Para redes de invitados abiertas, implemente WPA3-OWE (Opportunistic Wireless Encryption) para cifrar el tráfico sin necesidad de una contraseña.

Resolución de Problemas y Mitigación de Riesgos

Modo de Fallo	Síntoma	Causa Raíz	Mitigación
Bucle de Redirección	El dispositivo cliente recarga constantemente la página del Captive Portal sin llegar a cargarla.	La ACL de preautenticación o el filtro de URL no permiten el acceso a las direcciones IP del portal de Purple. El WLC redirecciona al cliente, el cliente intenta cargar la página, el WLC la bloquea y lo vuelve a redireccionar.	Verifique que el filtro de URL `PURPLE-PREAUTH` esté aplicado al perfil de política y que el dominio del portal esté escrito correctamente. Asegúrese de que el tráfico DNS esté permitido antes de la autenticación.
Fallo de Alternativa iPSK	Un dispositivo IoT no registrado se conecta a la red pero recibe una dirección IP incorrecta.	La dirección MAC del dispositivo no está en la base de datos de RADIUS de Purple. El WLC recurre a la PSK global configurada en la WLAN y asigna la VLAN predeterminada.	Audite la dirección MAC en el panel de control de Purple. Asegúrese de que la VLAN predeterminada asignada al perfil de política de la WLAN sea una red de cuarentena restringida, no la LAN corporativa.
Tiempo de Espera de RADIUS	Los clientes experimentan largos retrasos al conectarse; los registros del WLC muestran que el servidor RADIUS no está accesible.	Los cortafuegos entre el WLC y los puntos de conexión de RADIUS en la nube de Purple están bloqueando los puertos UDP 1812 (autenticación) o 1813 (accounting).	Verifique que las reglas de salida del cortafuegos permitan UDP 1812/1813 desde la interfaz de gestión del WLC hacia las direcciones IP públicas de RADIUS de Purple.

ROI e Impacto Comercial

La implementación de una arquitectura unificada con Cisco y Purple aporta un valor empresarial medible en tres pilares:

Eficiencia operativa: La sustitución del aprovisionamiento manual de VLAN y de múltiples SSIDs por iPSK reduce el volumen de tiques de TI. La automatización de la incorporación de IoT a través de la API ahorra horas de tiempo de los técnicos por ubicación.
Cumplimiento y seguridad: La asignación dinámica de VLAN garantiza el cumplimiento de PCI DSS en entornos comerciales al aislar estrictamente los terminales de pago del tráfico de invitados (Requisito 1.3). EAP-TLS elimina el riesgo de contraseñas de personal compartidas.
Generación de ingresos: La integración de Captive Portal convierte un centro de costes (WiFi de invitados) en un activo de marketing. La captación de suscripciones por elección consciente crea una base de datos propia que impulsa las campañas de fidelización y las visitas repetidas.

Referencias

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC", mayo de 2025. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment", septiembre de 2012.

Definiciones clave

External Web Authentication (EWA)

Un mecanismo mediante el cual el Cisco WLC intercepta el tráfico HTTP no autenticado y redirige al cliente a un portal cautivo alojado externamente (como Purple) para su autenticación.

Se utiliza para ofrecer páginas de bienvenida de marca personalizada y capturar datos de origen sin depender del limitado servidor web interno del WLC.

Identity PSK (iPSK)

Una función de Cisco que permite utilizar varias claves precompartidas (Pre-Shared Keys) exclusivas en un único SSID, asignando cada clave a una dirección MAC de cliente y una VLAN específicas a través de RADIUS.

Esencial para proteger los dispositivos IoT y los entornos multiinquilino donde no se admite 802.1X, lo que reduce la necesidad de utilizar múltiples SSIDs.

AAA Override

Un ajuste de WLAN en el Cisco WLC que obliga al controlador a aceptar los parámetros de política (como IDs de VLAN o ACLs) devueltos por el servidor RADIUS, anulando la configuración de la WLAN local.

Debe estar habilitado para que la asignación dinámica de VLAN y iPSK funcionen correctamente.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación 802.1X altamente seguro que se basa en el intercambio mutuo de certificados en lugar de contraseñas.

El estándar de oro para la seguridad WiFi del personal, que requiere un MDM para desplegar certificados de cliente en los dispositivos corporativos.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol. Un método 802.1X que cifra el proceso de autenticación dentro de un túnel TLS, lo que permite a los usuarios autenticarse de forma segura con un nombre de usuario y una contraseña.

Se utiliza para redes de personal BYOD donde no es viable desplegar certificados de cliente.

ACL de preautenticación

Una lista de control de acceso (Access Control List) que se aplica a un cliente inalámbrico antes de que se haya autenticado, definiendo exactamente a qué recursos de red puede acceder.

Crucial para los portales cautivos; debe permitir el DNS y el acceso a las direcciones IP de la página de inicio de Purple, bloqueando al mismo tiempo todo el demás tráfico.

Interfaz dinámica

Una interfaz lógica creada en el WLC y asignada a un ID de VLAN y puerto físico específicos.

Cuando RADIUS devuelve un ID de VLAN para la asignación dinámica, esa VLAN ya debe existir como una interfaz dinámica en el WLC o, de lo contrario, el cliente se asignará a la VLAN nativa.

WPA3-SAE

Simultaneous Authentication of Equals. El sustituto moderno de WPA2-PSK, que proporciona confidencialidad directa perfecta y protección contra ataques de diccionario fuera de línea.

Compatible con Cisco Catalyst 9800 y Purple RADIUS para proteger redes IoT y de invitados modernas.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita segmentar el tráfico de red entre invitados, personal y dispositivos IoT (cerraduras de puertas, termostatos) utilizando un único Cisco Catalyst 9800 WLC, sin crear múltiples SSIDs que provoquen congestión de RF.

Implemente un único SSID utilizando Cisco iPSK. Registre la dirección MAC de cada dispositivo IoT en el panel de control de Purple, asignando cada uno a la VLAN 30. Configure la WLAN del WLC con filtrado MAC, AAA Override y WPA2-PSK. Cuando una cerradura de puerta se asocia, el servidor RADIUS de Purple devuelve la clave PSK única y los atributos IETF 64, 65 y 81 para dirigir dinámicamente el dispositivo a la VLAN 30. Los invitados utilizan un SSID abierto independiente con External Web Authentication que apunta al portal cautivo de Purple.

Comentario del examinador: Este enfoque minimiza la sobrecarga de SSID al tiempo que mantiene un aislamiento estricto de Capa 2. El uso de iPSK para dispositivos IoT sin interfaz de usuario evita la complejidad de desplegar certificados 802.1X en endpoints que no los admiten.

Una cadena de tiendas con 80 establecimientos debe aislar el tráfico de los terminales de pago del tráfico WiFi de invitados para mantener el cumplimiento de PCI-DSS, gestionado de forma centralizada a través de Cisco Catalyst Centre.

Configure el SSID de invitados con una ACL de preautenticación que descarte explícitamente el tráfico destinado a la subred de los terminales de pago (VLAN 40). Utilice iPSK para autenticar los terminales de pago, asignándolos dinámicamente a la VLAN 40 a través del servidor RADIUS de Purple. El tráfico de invitados se autentica a través del portal cautivo de Purple y se ubica en la VLAN 10.

Comentario del examinador: Este diseño cumple con el requisito 1.3 de PCI-DSS al aplicar la segmentación de red. La centralización de la política RADIUS en Purple garantiza una asignación de VLAN coherente en las 80 tiendas sin necesidad de configurar manualmente los puertos de los switches.

Preguntas de práctica

Q1. Está implementando un Captive Portal en un WLC Catalyst 9800. Los clientes se asocian al SSID, pero sus navegadores actualizan continuamente la URL de la página de bienvenida sin llegar a cargar el contenido. ¿Cuál es la causa arquitectónica más probable?

Sugerencia: Considere el estado del cliente antes de que se complete la autenticación y qué tráfico está permitido.

Ver respuesta modelo

La ACL de preautenticación o el filtro de URL están mal configurados. Están bloqueando el acceso a las direcciones IP del portal de Purple. El WLC intercepta el tráfico y lo redirige al portal, pero el cliente no puede acceder al portal para cargarlo, lo que provoca un bucle de redireccionamiento infinito. Debe permitir explícitamente las direcciones IP de Purple o utilizar un filtro de URL para el dominio del portal.

Q2. Un dispositivo IoT se autentica correctamente a través de iPSK y el servidor RADIUS de Purple devuelve un Access-Accept con los atributos IETF 64, 65 y 81 especificando la VLAN 50. Sin embargo, el dispositivo se coloca en la VLAN 10 (la VLAN de gestión). ¿Por qué ha ocurrido esto?

Sugerencia: Piense en los requisitos previos necesarios en el propio WLC para aceptar y aplicar una VLAN asignada por RADIUS.

Ver respuesta modelo

O bien "AAA Override" está desactivado en la configuración avanzada de la WLAN, lo que hace que el WLC ignore los atributos RADIUS, o bien la VLAN 50 no existe como interfaz dinámica configurada en el WLC. Si la VLAN asignada no existe localmente, el WLC recurre a la VLAN nativa o de gestión.

Q3. Un establecimiento desea implementar 802.1X para el WiFi del personal utilizando Microsoft Entra ID. No disponen de un servidor RADIUS local como Cisco ISE. ¿Cómo se puede lograr esto utilizando la plataforma Purple?

Sugerencia: Considere cómo maneja Purple el túnel EAP y la verificación de identidad.

Ver respuesta modelo

Configure el WLC para utilizar Purple SecurePass como servidor RADIUS. Purple actúa como un proxy RADIUS en la nube, finalizando el túnel EAP-TLS o PEAP desde el WLC y reenviando de forma segura la búsqueda de identidad a Microsoft Entra ID a través de API/SAML. No se requiere ningún servidor RADIUS local.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.