Guía paso a paso: Configuración de controladores inalámbricos Ruijie para portales cautivos de WiFi de invitados
Esta guía proporciona un tutorial técnico completo para configurar controladores y puertas de enlace inalámbricas Ruijie con el fin de implementar portales cautivos de WiFi de invitados de nivel empresarial. Cubre la segmentación de VLAN, la autenticación RADIUS externa a través del protocolo WISPr, la configuración de walled garden y la integración fluida con la plataforma de redes basadas en identidad de Purple para capturar datos de origen y generar valor comercial medible en entornos de hostelería, comercio minorista y sector público.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Arquitectura técnica y requisitos previos
- Segmentación de red
- Componentes requeridos
- Descripción general del protocolo de autenticación
- Guía de implementación paso a paso
- Paso 1: Configurar el SSID de invitados
- Paso 2: Definir la política del Captive Portal
- Paso 3: Configurar el Walled Garden (lista de permitidos)
- Paso 4: Configurar la autenticación RADIUS
- Paso 5: Aplicar políticas de QoS
- Paso 6: Probar el despliegue
- Prácticas recomendadas para despliegues empresariales
- Seguridad y cumplimiento
- Portal Escape: Una decisión deliberada
- Consistencia multisitio
- Gestión de firmware
- Resolución de problemas y mitigación de riesgos
- La página del portal no se carga
- Tiempos de espera de autenticación agotados
- Inicios de sesión con redes sociales bloqueados
- ROI e impacto empresarial

Resumen ejecutivo
Desplegar WiFi para invitados en empresas distribuidas implica mucho más que ofrecer un SSID abierto. Para los directores de TI y arquitectos de redes, el reto consiste en equilibrar un acceso fluido con una seguridad estricta, el cumplimiento del GDPR y las necesidades de adquisición de datos. Esta guía detalla los pasos de configuración específicos necesarios para desplegar un Captive Portal seguro y escalable utilizando controladores inalámbricos y gateways Ruijie, ilustrando cómo la integración de esta infraestructura con la plataforma de Guest WiFi de Purple transforma la conectividad inalámbrica básica en un activo compatible y generador de ingresos.
Cubriremos los requisitos técnicos previos, las estrategias de aislamiento de VLAN, la autenticación RADIUS externa mediante el protocolo WISPr, la configuración de Walled Garden y los ajustes de QoS específicos necesarios para un despliegue de nivel de producción. Tanto si gestiona un hotel de 200 habitaciones, una cadena de tiendas con 50 establecimientos o un estadio con capacidad para 40 000 personas, esta guía proporciona el plano definitivo para una configuración segura de Captive Portal de Ruijie. Con operaciones en más de 80 000 sedes activas en todo el mundo y 440 millones de inicios de sesión procesados en 2024 (datos internos de Purple), los patrones de integración descritos aquí están probados a gran escala.

Arquitectura técnica y requisitos previos
Antes de modificar su controlador Ruijie, establezca la arquitectura de red correcta. Una red de invitados segura requiere un aislamiento completo del tráfico corporativo en la Capa 2 (a nivel de switch).
Segmentación de red
La base de un WiFi para invitados seguro es el aislamiento de VLAN. Debe crear una VLAN dedicada a los invitados en el gateway o switch principal de Ruijie. Esto garantiza que el tráfico de invitados nunca se cruce con los sistemas internos, los terminales de pago o los dispositivos del personal. A continuación se muestra un esquema estándar de VLAN empresarial para despliegues de Ruijie:
| VLAN ID | Propósito | Notas |
|---|---|---|
| 10 | Corporativo | Dispositivos del personal, servidores internos |
| 20 | Voz | Teléfonos VoIP |
| 30 | Invitado | Captive Portal, solo internet |
| 40 | IoT | Impresoras, Smart TVs, sensores |
| 99 | Gestión | Controlador, gestión de switches |
Para obtener más información sobre por qué fallan aquí los enfoques de consumo, lea Why consumer-grade WiFi gear is not for your guest network .
Componentes requeridos
Para completar este despliegue, necesitará:
- Una cuenta de Ruijie Cloud o un controlador inalámbrico de la serie Ruijie RG-WS local (por ejemplo, RG-WS6008 o RG-WS7110).
- Un gateway de la serie Ruijie RG-EG, esencial para la autenticación de portales externos mediante WISPr.
- Puntos de acceso de la serie Ruijie RG-AP (por ejemplo, RG-AP820-I, RG-AP850-AR).
- Una licencia de Purple Connect, Capture o Engage.
- Acceso UDP de salida permitido desde la pasarela a los servidores de Purple para el puerto 1812 (autenticación RADIUS) y el puerto 1813 (contabilidad RADIUS).
Descripción general del protocolo de autenticación
Ruijie admite múltiples métodos de autenticación. Las implementaciones de nivel empresarial deben utilizar la autenticación RADIUS externa. Este método utiliza el protocolo WISPr (Wireless Internet Service Provider Roaming) para redirigir de forma segura a los usuarios no autenticados a la Splash Page de Purple, procesar sus credenciales y devolver un mensaje RADIUS Accept o Reject al controlador Ruijie.

La tabla anterior resume los cinco métodos de autenticación que ofrece la plataforma Ruijie. Los registros por correo electrónico y los inicios de sesión a través de redes sociales son las opciones más comunes para entornos de hostelería y comercio minorista, ya que capturan datos de primera mano estructurados y conformes con el GDPR. Los códigos de cupón son adecuados para salas de reuniones y niveles de acceso de pago. RADIUS con 802.1X se reserva exclusivamente para redes de personal que requieren autenticación respaldada por un directorio.
Guía de implementación paso a paso
Ejecute los siguientes pasos en la interfaz del controlador local o de Ruijie Cloud. Las rutas de la interfaz de usuario que se muestran a continuación se aplican a la nueva interfaz de Ruijie Cloud (posterior a 2024) y a la plataforma Ruijie JaCS.
Paso 1: Configurar el SSID de invitados
Establezca la red de transmisión inalámbrica.
- Inicie sesión en la interfaz web del controlador local o de Ruijie Cloud.
- Vaya a Device Config y seleccione WiFi en la sección Wireless.
- Haga clic en + para crear un nuevo SSID o edite un SSID existente.
- Establezca el SSID Name (por ejemplo, "Free Guest WiFi").
- Establezca el Security Mode en Open (sin clave precompartida).
- Asigne el SSID a su VLAN de invitados dedicada (por ejemplo, VLAN 30).
- Guarde la configuración del SSID.
Paso 2: Definir la política del Captive Portal
Indique al controlador que intercepte el tráfico de invitados y lo redirija a Purple.
- Vaya a Auth & Account y seleccione Captive Portal en Authentication.
- Cree una nueva política. Establezca un Policy Name descriptivo (por ejemplo, "Purple-Guest-Portal").
- Establezca el Policy Mode en External.
- Establezca el Authentication Device en su pasarela Ruijie (serie RG-EG) o punto de acceso.
- Seleccione el SSID de invitados creado en el Paso 1.
- En el campo Portal Server URL, introduzca la URL única de su Splash Page de Purple (se encuentra en el panel de control de Purple en 'Hardware Configuration').
- Introduzca las direcciones IP del servidor RADIUS de Purple en los campos designados.
- Establezca la duración de Seamless Online para que coincida con su política de tiempo de espera de sesión (por ejemplo, 24 horas para hostelería, 1 hora para comercio minorista).
- Determine el comportamiento de Portal Escape (consulte la sección "Prácticas recomendadas" a continuación).
Paso 3: Configurar el Walled Garden (lista de permitidos)
Un Captive Portal intercepta todo el tráfico hasta que el usuario se autentica. Cierto tráfico debe permitirse en la etapa de preautenticación para cargar la página de inicio de sesión y procesar los inicios de sesión de redes sociales. Esta es la parte que más se configura incorrectamente en cualquier despliegue de Captive Portal.
- Diríjase a Auth & Account y seleccione Allowlist.
- Añada todos los dominios de infraestructura de Purple requeridos. Su panel de control de Purple proporciona la lista específica para su región.
- Si ofrece inicios de sesión con redes sociales, añada los dominios de OAuth para cada proveedor:
- Para Microsoft Entra ID:
*.microsoft.com,*.microsoftonline.com,login.live.com - Para Google Workspace:
*.google.com,accounts.google.com - Para Okta: su dominio de inquilino de Okta específico
- Para Microsoft Entra ID:
- Si ofrece planes de WiFi de pago, añada los dominios de las pasarelas de pago.
- Guarde y aplique la lista de permitidos (allowlist).
Paso 4: Configurar la autenticación RADIUS
Configure el canal de comunicación seguro entre Ruijie y Purple.
- Diríjase a la configuración del servidor RADIUS en su controlador o gateway Ruijie.
- Añada la dirección IP del servidor RADIUS principal de Purple y el puerto 1812 para la autenticación.
- Añada la dirección IP del servidor RADIUS secundario de Purple para la tolerancia a fallos.
- Introduzca el Shared Secret de su panel de control de Purple. Debe coincidir exactamente.
- Añada el servidor de contabilidad (accounting) en el puerto 1813 y habilite el registro RADIUS. Esto realiza un seguimiento de la duración de la sesión y el uso de datos, enviando la información directamente a los informes de WiFi Analytics de Purple.
- Establezca el NAS Identifier con una cadena descriptiva (por ejemplo, el nombre de su establecimiento) para diferenciar el tráfico en las analíticas de Purple.
Paso 5: Aplicar políticas de QoS
El acceso de invitados sin restricciones puede saturar su conexión a Internet durante las horas punta.
- Diríjase a la sección de QoS o gestión de ancho de banda de su gateway Ruijie.
- Establezca límites de descarga por usuario (por ejemplo, 10 Mbps para huéspedes de hotel, 5 Mbps para clientes de tiendas).
- Establezca límites de subida por usuario (por ejemplo, 2-5 Mbps).
- Desactive Client Escape para garantizar que los usuarios no autenticados no puedan acceder a la red si el servidor del portal no está disponible temporalmente.
- Guarde y envíe la configuración a todos los dispositivos correspondientes.
Paso 6: Probar el despliegue
Realice siempre las pruebas con un dispositivo limpio sin credenciales guardadas en caché.
- Conecte un dispositivo móvil al SSID de invitados.
- Abra un navegador y diríjase a una URL que no sea HTTPS (por ejemplo,
http://example.com). La página del portal debería redirigirle. - Verifique que la página de bienvenida de Purple se carga correctamente.
- Complete el proceso de autenticación.
- Confirme que se concede acceso a Internet tras la autenticación.
- Acceda al panel de control de Purple para confirmar que la sesión aparece en sus analíticas.
Prácticas recomendadas para despliegues empresariales
Seguridad y cumplimiento
Nunca confíe en los PSK compartidos para el acceso de invitados. Las contraseñas compartidas no ofrecen pista de auditoría y no se pueden revocar de forma individual. Al utilizar un Purple Captive Portal con autenticación individual, puede exigir el consentimiento explícito para el procesamiento de datos, cumpliendo con los requisitos del Artículo 7 del GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que garantiza que el propio mecanismo de captura de datos sea auditable.
Para profundizar en la arquitectura de seguridad, lea nuestra Guía completa de seguridad WiFi empresarial para 2026 y ¿Qué es WiFi seguro?: La guía empresarial esencial para 2026 .
Portal Escape: Una decisión deliberada
La función Portal Escape de Ruijie permite automáticamente el paso del tráfico de usuarios si el AP no puede conectarse al Portal Server. En un entorno de hostelería, puede optar por activarlo; los huéspedes que no puedan conectarse a la WiFi debido a un breve fallo del servidor generarán quejas. En entornos comerciales o sanitarios, puede optar por desactivarlo; el acceso no autenticado representa un riesgo de conformidad y seguridad. Documente su decisión y razonamiento en sus manuales de ejecución de red.
Consistencia multisitio
Utilice Ruijie Cloud para gestionar la configuración de forma centralizada en todas las ubicaciones. Aplique las políticas de portal simultáneamente para eliminar la disparidad de configuración entre sitios, la causa más común de experiencias de invitado inconsistentes en propiedades distribuidas. La capa de nube de Purple funciona bajo el mismo principio: un panel, todas las ubicaciones.
Gestión de firmware
Ciertas funciones de Ruijie Captive Portal, en particular el control de ancho de banda y la asignación dinámica de VLAN, requieren versiones de firmware específicas en sus pasarelas. Ruijie documenta estas dependencias en sus notas de versión. Asegúrese de que sus pasarelas RG-EG ejecuten la versión de firmware RGOS11.9(6)B17T1 o superior para obtener soporte completo de QoS en despliegues gestionados en la nube.
Resolución de problemas y mitigación de riesgos
La página del portal no se carga
Si el Captive Portal no aparece cuando se conecta un dispositivo, verifique primero la configuración de su Walled Garden. El dispositivo debe poder resolver el DNS y acceder a la URL de Purple Portal antes de poder autenticarse. Compruebe que su lista de permitidos de Ruijie incluya todos los dominios necesarios y que sus servidores DNS sean accesibles desde la VLAN de invitados.
Tiempos de espera de autenticación agotados
Si los usuarios ven el portal pero no pueden iniciar sesión, el problema suele residir en la configuración de RADIUS. Verifique las IP del servidor RADIUS, los puertos (1812 para autenticación, 1813 para contabilidad) y el secreto compartido. Asegúrese de que sus cortafuegos permitan el tráfico UDP entrante y saliente en estos puertos desde la IP de gestión de la pasarela Ruijie.
Inicios de sesión con redes sociales bloqueados
Si los usuarios hacen clic en un botón de inicio de sesión de redes sociales y no ocurre nada, el redireccionamiento OAuth está bloqueado. Añada los dominios del proveedor de redes sociales requeridos a su lista de permitidos de Ruijie. Pruebe esto permitiendo temporalmente todo el tráfico antes de la autenticación para confirmar si el portal funciona, y luego restrinja la lista de permitidos de manera incremental.### Fallo en la asignación dinámica de VLAN
Si utiliza RADIUS para asignar de forma dinámica a los usuarios a las VLAN, asegúrese de que la respuesta de RADIUS incluya los atributos de VLAN correctos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). El gateway RG-EG310GH-E de Ruijie y otros similares admiten la asignación dinámica de VLAN, pero esta función requiere una configuración explícita tanto en el servidor RADIUS como en el gateway.
ROI e impacto empresarial
La implementación de un Captive Portal seguro transforma el WiFi de invitados de un centro de costes a un activo estratégico. La plataforma WiFi Analytics de Purple se integra con su infraestructura Ruijie para capturar datos de primera mano, crear listas de contactos de alta intención y ofrecer información procesable sobre el comportamiento de los invitados en sus establecimientos.
Harrods utilizó el WiFi de invitados de Purple para promocionar su programa de fidelización, logrando una tasa de suscripción líder en el sector y un ROI de 57x (datos de clientes de Purple). c2c Rail utilizó Purple para fomentar las reservas directas, logrando un retorno de la inversión del 121 % y ahorrando 76 000 £ en costes operativos (datos de clientes de Purple). Pizza Express implementó Purple en más de 470 restaurantes para crear perfiles de clientes más completos.
Para operadores de hostelería , los datos capturados al iniciar sesión (correo electrónico, datos demográficos, frecuencia de visitas) se pueden enviar directamente a los sistemas CRM y programas de fidelización. Para entornos de comercio minorista , el análisis de visitas recurrentes identifica a los compradores de mayor valor. Para centros de transporte , los datos de flujo de pasajeros optimizan la asignación de personal y la planificación del espacio comercial.
Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, Fortinet y Ruijie, lo que la convierte en una capa de nube independiente del hardware que funciona con sus equipos existentes sin necesidad de reemplazarlos.
Guía relacionada: Integración de puntos de acceso Grandstream GWN y Purple WiFi
Definiciones clave
Captive portal
Una página web que un usuario de una red de acceso público debe ver e interactuar con ella antes de que se le conceda acceso a Internet. Intercepta todo el tráfico HTTP y redirige el navegador del usuario a la página del portal.
El mecanismo principal para aplicar la autenticación en redes WiFi de invitados. Se utiliza en hoteles, comercios minoristas, estadios y sedes del sector público para controlar el acceso y registrar el consentimiento.
Walled garden
Una lista de permitidos previa a la autenticación que autoriza a dominios y direcciones IP específicos a evitar la interceptación del Captive Portal. El tráfico hacia estos destinos se permite antes de que el usuario se autentique.
Esencial para permitir que los dispositivos carguen la splash page, accedan a los proveedores de inicio de sesión social y procesen los flujos de pago antes de que el usuario esté completamente autenticado. Una configuración incorrecta aquí es la causa principal de fallos en el Captive Portal.
RADIUS
Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan a un servicio de red.
El protocolo seguro que utilizan los controladores Ruijie para comunicarse con los servidores de Purple. Las solicitudes de autenticación van al puerto 1812 (UDP); los registros de contabilidad van al puerto 1813 (UDP).
WISPr
Wireless Internet Service Provider roaming. Una especificación de protocolo que define cómo un Captive Portal redirige a los usuarios no autenticados a una página de inicio de sesión y cómo el controlador de acceso recibe el resultado de la autenticación.
El marco de protocolo específico utilizado por Ruijie y Purple para gestionar la redirección externa del Captive Portal y el flujo de autenticación. Requerido para el modo de portal externo en las puertas de enlace Ruijie.
Aislamiento de VLAN
La práctica de separar el tráfico de red en redes locales virtuales distintas a nivel de switch, evitando que los dispositivos en diferentes VLAN se comuniquen directamente.
No negociable para redes de invitados. Garantiza que los dispositivos de los invitados no puedan comunicarse con los servidores corporativos, portátiles del personal o terminales de pago, incluso si están conectados a la misma infraestructura física.
Portal Escape
Una función de Ruijie que libera automáticamente el tráfico de los usuarios si el punto de acceso y el servidor del portal dejan de estar accesibles, permitiendo el acceso a internet sin autenticación durante una interrupción de servicio.
Un compromiso deliberado entre disponibilidad y seguridad. Los operadores de hostelería pueden activarlo para evitar quejas de los invitados durante las interrupciones. Los operadores del sector sanitario y de retail suelen desactivarlo para exigir una autenticación estricta en todo momento.
SSID
Service Set Identifier. El nombre público de una red inalámbrica que los dispositivos muestran en su lista de redes disponibles.
El nombre de red que los invitados seleccionan en sus dispositivos, lo que activa la redirección al Captive Portal. Cada SSID en un despliegue de Ruijie se asocia a una VLAN y a una política de autenticación específicas.
QoS
Quality of Service. Un conjunto de tecnologías que gestionan el tráfico de datos para reducir la pérdida de paquetes, la latencia y el jitter, y para garantizar un rendimiento predecible para tipos de tráfico específicos.
Se utiliza en redes de invitados para limitar el ancho de banda por usuario, evitando que un solo dispositivo sature la conexión a internet y degrade la experiencia de todos los demás usuarios conectados.
802.1X
Un estándar de IEEE para el control de acceso a redes basado en puertos, que proporciona un mecanismo de autenticación para dispositivos que se conectan a una LAN o WLAN.
Se utiliza para redes de personal que requieren identidad respaldada por un directorio (por ejemplo, a través de Microsoft Entra ID o Okta). No se suele utilizar para redes de invitados, donde el patrón adecuado es un Captive Portal con RADIUS.
Ejemplos prácticos
Un hotel de 250 habitaciones utiliza puntos de acceso Ruijie RG-AP820-I y una puerta de enlace RG-EG310GH-E. Requieren que los huéspedes se autentiquen por correo electrónico para crear una base de datos de marketing. A la dirección le preocupa que los huéspedes se salten el portal y la saturación del ancho de banda en las horas punta durante los eventos de conferencias.
El equipo de TI crea una VLAN de invitados dedicada (VLAN 40) en el switch principal y la conecta mediante un trunk a la puerta de enlace y a los puntos de acceso de Ruijie. En Ruijie Cloud, crean un SSID abierto asignado a la VLAN 40. Configuran una política de Captive Portal externo que apunta a la URL de la página de inicio de Purple, con la URL del servidor del portal y las credenciales RADIUS del panel de control de Purple. Crucialmente, configuran el Walled Garden para permitir el tráfico solo hacia los dominios de Purple y desactivan la función Portal Escape en la puerta de enlace de Ruijie, lo que impide el acceso no autenticado durante cualquier interrupción del portal. Aplican una política de QoS que limita a cada cliente a 10 Mbps de bajada y 3 Mbps de subida. Para los eventos de conferencias, crean un SSID independiente en la VLAN 50 con un portal basado en cupones y límites de ancho de banda más estrictos de 5 Mbps por dispositivo.
Una cadena minorista con 50 ubicaciones utiliza controladores Ruijie WS6008. Implementan el inicio de sesión social (Facebook y Google Workspace) para los compradores que acceden al WiFi, pero la página del portal se congela cuando los usuarios hacen clic en los botones de inicio de sesión social. El problema afecta a las 50 ubicaciones simultáneamente.
El administrador de TI identifica que en la configuración de la lista de permitidos (Walled Garden) en los controladores Ruijie faltan los dominios OAuth requeridos por Facebook y Google. Aunque la URL del portal de Purple estaba correctamente permitida, la interceptación del Captive Portal bloqueaba los dominios del proveedor social necesarios para el intercambio de OAuth. El equipo añade los dominios comodín requeridos (específicamente *.facebook.com, *.fbcdn.net, accounts.google.com y *.googleapis.com) a la lista de permitidos de Ruijie. Envían la configuración actualizada a las 50 ubicaciones simultáneamente a través de Ruijie Cloud, resolviendo el problema en todo el parque en una sola operación.
Preguntas de práctica
Q1. Has configurado un Captive Portal externo en una puerta de enlace Ruijie RG-EG. Los invitados se conectan al SSID, pero sus dispositivos indican 'Sin conexión a Internet' y la página del portal nunca se carga. ¿Cuál es el error de configuración más probable y cómo lo resuelves?
Sugerencia: Considera qué operaciones de red deben realizarse correctamente antes de que el usuario pueda ver la página de inicio de sesión.
Ver respuesta modelo
El walled garden (lista de permitidos) está mal configurado. La puerta de enlace Ruijie está bloqueando la resolución de DNS o el tráfico HTTP necesario para llegar a la URL externa de la splash page de Purple. Antes de la autenticación, el dispositivo debe ser capaz de resolver el dominio del portal y establecer una conexión HTTP con él. Añada los dominios específicos de Purple a la lista de permitidos previa a la autenticación en la sección Auth & Account de Ruijie. Verifique también que la VLAN de invitados tenga asignado un servidor DNS válido a través de DHCP.
Q2. El director de TI de un estadio quiere implementar AP de Ruijie para ofrecer WiFi a los aficionados durante los eventos. Desea recopilar datos de marketing, pero le preocupa que la autenticación RADIUS cause retrasos cuando 10 000 aficionados se conecten simultáneamente durante los primeros 30 minutos de la apertura de puertas. ¿Cómo debería diseñar el flujo de autenticación para equilibrar la captura de datos con la experiencia de usuario?
Sugerencia: Considera el equilibrio entre la riqueza de los datos y la fricción de la autenticación a gran escala.
Ver respuesta modelo
Debería utilizar el inicio de sesión con un solo clic de Purple para los aficionados que regresan y ya se han autenticado previamente, lo que evita rellenar el formulario y reduce la carga de RADIUS. Para los nuevos aficionados, es preferible un formulario mínimo de captura de correo electrónico en lugar del inicio de sesión social, que requiere recorridos OAuth adicionales. El gateway de Ruijie debe estar dimensionado para gestionar solicitudes RADIUS simultáneas; para 10 000 conexiones simultáneas, se requiere un gateway de la serie RG-EG de alta capacidad. Activar Seamless Online con una duración de sesión de 30 días significa que los aficionados que regresan se conectan automáticamente en los eventos posteriores. Los límites de QoS deben ser estrictos (5 Mbps por dispositivo) para evitar que los primeros en llegar saturen el enlace antes de que llegue la multitud principal.
Q3. Durante una auditoría de seguridad, un probador de penetración accede al servidor de archivos corporativo mientras está conectado al SSID "Guest WiFi" transmitido por un AP de Ruijie. La red de invitados utiliza un Captive Portal configurado correctamente. ¿Cómo se resuelve esta vulnerabilidad crítica?
Sugerencia: La autenticación y la segmentación de red son cuestiones independientes. Una no implica la otra.
Ver respuesta modelo
El Captive Portal funciona correctamente, pero falta el aislamiento de VLAN o está mal configurado. El SSID de invitados está enviando a los usuarios autenticados a la VLAN corporativa o a la VLAN nativa, que tiene acceso de enrutamiento a los servidores internos. Debe hacer lo siguiente: (1) crear una VLAN de invitados dedicada (por ejemplo, VLAN 50) en el switch principal; (2) asignar el SSID de invitados a la VLAN 50 en el controlador de Ruijie; (3) configurar los puertos del switch que conectan los AP como troncales 802.1Q que permitan la VLAN 50; (4) configurar el gateway de Ruijie para bloquear el enrutamiento entre la VLAN 50 y todas las subredes corporativas, permitiendo únicamente el tráfico saliente a Internet desde la VLAN de invitados. La autenticación y la segmentación de red son controles independientes; ambos deben estar configurados correctamente.
Q4. Su implementación de Ruijie tiene activado Portal Escape. Durante una ventana de mantenimiento planificada en los servidores RADIUS de Purple, observa que los invitados acceden a Internet sin autenticarse. ¿Es este el comportamiento esperado y cuáles son las implicaciones de cumplimiento?
Sugerencia: Considere el propósito de Portal Escape y sus obligaciones con el GDPR.
Ver respuesta modelo
Sí, este es el comportamiento esperado de Portal Escape. Cuando no se puede acceder al servidor del portal, Ruijie libera automáticamente el tráfico para mantener la conectividad. Sin embargo, esto genera una brecha de cumplimiento: los usuarios acceden a Internet sin proporcionar su consentimiento para el tratamiento de datos, lo que puede infringir los requisitos del GDPR si sus condiciones de servicio o la captura de datos están vinculadas al evento de autenticación. Para los establecimientos donde la captura del consentimiento es un requisito legal o comercial, Portal Escape debe desactivarse. Programe el mantenimiento del servidor RADIUS durante períodos de actividad mínima de los invitados y comunique la ventana de mantenimiento a la dirección del establecimiento. Considere la posibilidad de implementar un servidor RADIUS de Purple secundario como respaldo para eliminar por completo esta situación.
Continúe leyendo esta serie
Captive Portal para Ruijie: configúrelo con Purple guest WiFi
Cómo la solución cloud guest WiFi de Purple se integra con los puntos de acceso Ruijie RG Series mediante autenticación web y RADIUS, configurada desde la línea de comandos, y dónde encontrar los pasos exactos de configuración.
Diseño de Captive Portals B2B: Captura de nombres registrados y datos de la empresa
Esta guía proporciona a los directores de TI y operadores de recintos un marco técnico independiente del proveedor para diseñar Captive Portals B2B. Detalla cómo estructurar los campos de registro para capturar el nombre registrado y los datos de la empresa, garantizando altas tasas de finalización a la vez que se mantiene el cumplimiento del GDPR y se genera inteligencia a nivel de cuenta.
Arquitectura de Captive Portal: seguridad, redirección y mejores prácticas
Una referencia técnica definitiva sobre la arquitectura de Captive Portal empresarial. Esta guía analiza el aislamiento de red, la redirección de DNS, la autenticación RADIUS y el cumplimiento de seguridad para líderes de TI que implementan redes WiFi de invitados seguras y ricas en datos.