Integración de Huawei AirEngine y CloudCampus con Purple WiFi

Le damos la bienvenida a la serie técnica de Purple. Soy su anfitrión, y hoy analizaremos una de las integraciones de WiFi empresarial más complejas que vemos en el sector: los puntos de acceso Huawei AirEngine y el controlador CloudCampus iMaster NCE-Campus, integrados con Purple para WiFi de invitados, autenticación de personal y segmentación de red multiinquilino. Si es arquitecto de redes o responsable de TI y gestiona una infraestructura de Huawei (ya sea un grupo hotelero, una cadena de tiendas, un centro de conferencias o un campus del sector público), este episodio es para usted. Cubriremos todo el ecosistema: redirección de Captive Portal, ACLs de preautenticación, WiFi seguro para el personal mediante 802.1X y la función Private Pre-Shared Key de Huawei para el direccionamiento dinámico de VLAN entre múltiples inquilinos. Comencemos. Sección uno: Contexto y arquitectura. La cartera AirEngine de Huawei, que abarca las series 5700, 6700, 8700 y 9700, funciona con WiFi 6 y WiFi 6E, y la serie de gama alta 9700 es compatible con WiFi 7. Se trata de puntos de acceso empresariales de alto rendimiento. La capa de gestión es iMaster NCE-Campus, el controlador de red basado en la nube de Huawei, que se encarga de todo, desde el aprovisionamiento de SSID y el relé RADIUS hasta la aplicación de políticas y el reenvío de syslog. Purple se sitúa por encima de esto como una capa en la nube. Operamos en más de 80.000 establecimientos activos y hemos procesado 440 millones de inicios de sesión solo en 2024. Somos independientes del hardware, lo que significa que nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y, por supuesto, Huawei AirEngine, utilizando los mismos estándares de RADIUS y Captive Portal que admite cualquier controlador empresarial. El modelo de integración aquí es sencillo. iMaster NCE-Campus actúa como el relé RADIUS, reenviando las solicitudes de autenticación de los puntos de acceso a los servidores RADIUS de Purple. Purple gestiona la lógica de autenticación (ya sea una página de inicio para invitados, una verificación de credenciales 802.1X o una búsqueda PPSK) y devuelve la respuesta RADIUS adecuada, incluidos los atributos de asignación dinámica de VLAN. Sección dos: Configuración de WiFi de invitados y Captive Portal. Comencemos con el despliegue más común: WiFi de invitados con un Captive Portal de Purple. En iMaster NCE-Campus, navegue a Design, luego a Network Design y después a Template Management. Cree una plantilla de servidor de relé RADIUS (RADIUS Relay Server). Los parámetros clave son: establecer el servicio de autenticación en Portal authentication, agregar las direcciones IP del servidor RADIUS de Purple en el puerto UDP 1812 para autenticación y 1813 para contabilidad (accounting), establecer el identificador NAS en Device MAC y configurar el secreto compartido. Purple proporciona estas credenciales RADIUS desde la pantalla de configuración del establecimiento en el panel de control de Purple. A continuación, cree una ACL: este es su Walled Garden. Antes de que un invitado se autentique, debe poder acceder a la página de inicio de Purple y a cualquier dominio de soporte. Sus reglas de ACL deben permitir DNS en UDP 53, permitir HTTPS al dominio del portal de Purple y permitir cualquier proveedor de inicio de sesión social que haya habilitado (por ejemplo, los endpoints de la API Graph de Facebook si utiliza el inicio de sesión social). Todo lo demás se deniega antes de la autenticación. Luego configure el SSID. Establezca el tipo de red en Open, seleccione Open plus Portal authentication, establezca el tipo de autenticación en Relay authentication by cloud platform y elija RADIUS relay como modo de interconexión. Establezca el protocolo de envío de página en HTTPS. En los parámetros de autenticación del portal de terceros, pegue la URL de redirección de Purple (esta es la URL de la página de inicio que copia del panel de control del establecimiento de Purple, con el sufijo modificado para incluir los parámetros específicos de Huawei: ap-mac, uaddress, umac, ssid y redirect-url). Por último, cree una plantilla de URL en iMaster NCE-Campus que asocie estos nombres de parámetros con los valores que Huawei transmite en la redirección. El mapeo de parámetros es: redirect-url a redirect-url, loginurl a login-url, device-mac a ap-mac, user-ip a uaddress, user-mac a umac y ssid a ssid. Once this is configured, a guest connects to the SSID, gets a DHCP address, and their HTTP traffic is intercepted by the controller and redirected to the Purple splash page. They authenticate - via email, social login, or SMS verification - and Purple's RADIUS server sends an Access-Accept back to iMaster NCE-Campus, which grants the guest full internet access. Desde la perspectiva de los datos, Purple captura datos de consentimiento de origen en este punto. Cada inicio de sesión es una opción de consentimiento explícito (conscious-choice opt-in), que cumple con GDPR y CCPA. Esos datos alimentan la plataforma de análisis de Purple, lo que le proporciona la duración de la sesión, el tipo de dispositivo, las tasas de visitantes recurrentes y el tiempo de permanencia, todo ello sin ningún seguimiento de terceros. Sección tres: WiFi seguro para el personal con 802.1X. Ahora hablemos del WiFi del personal. Se trata de un enfoque de seguridad completamente diferente. No querrá que el personal esté en el mismo segmento de red que los invitados, ni querrá contraseñas PSK compartidas que dejen de ser seguras cuando alguien se vaya de la empresa. La respuesta es la autenticación 802.1X, definida en IEEE 802.1X-2020, utilizando EAP-TLS o EAP-PEAP. En iMaster NCE-Campus, cree un SSID independiente para el personal; llamémoslo CorpNet. En el perfil de autenticación para este SSID, establezca el modo de autenticación en 802.1X, apunte al servidor RADIUS de Purple y configure el perfil de seguridad en WPA2-Enterprise o WPA3-Enterprise con cifrado AES-CCMP. Purple también actúa aquí como servidor RADIUS, pero ahora valida las credenciales frente a su proveedor de identidad. Purple se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace. Cuando un miembro del personal se conecta a CorpNet, su dispositivo envía las credenciales EAP al punto de acceso, que las transmite a través de RADIUS a Purple, que a su vez las valida frente a Entra ID mediante SCIM o SAML. Si las credenciales son válidas, Purple devuelve un Access-Accept con un atributo RADIUS que especifica la VLAN del personal (por ejemplo, la VLAN 20). iMaster NCE-Campus dirige automáticamente al cliente a esa VLAN. Los atributos RADIUS clave para la asignación dinámica de VLAN son: Tunnel-Type establecido en VLAN o el valor 13, Tunnel-Medium-Type establecido en 802 o el valor 6, y Tunnel-Private-Group-ID establecido en el ID de VLAN. Estos tres atributos juntos le indican al controlador de Huawei exactamente a qué VLAN asignar el cliente autenticado. Específicamente para EAP-TLS, que es el estándar de oro para la autenticación del personal, se necesitan certificados de cliente. El complemento SecurePass de Purple gestiona la emisión y el ciclo de vida de los certificados, integrándose con su PKI existente o actuando como una autoridad de certificación ligera. Esto elimina por completo los ataques basados en contraseñas. Sin contraseñas, no hay vector de phishing. Sección cuatro: Segmentación multiinquilino con Huawei PPSK. Aquí es donde se pone realmente interesante. Si gestiona un establecimiento de uso mixto (un centro comercial con múltiples inquilinos minoristas, un espacio de coworking con varias empresas miembro o un centro de conferencias que alberga eventos simultáneos), necesitará aislamiento de red entre los inquilinos sin tener que desplegar un SSID independiente para cada uno. Huawei's PPSK feature - Private Pre-Shared Key - solves this. It's sometimes called iPSK in other vendor ecosystems. The concept is: one SSID, multiple unique passwords, each password mapped to a specific VLAN. Tenant A gets password Alpha, which maps to VLAN 30. Tenant B gets password Beta, which maps to VLAN 40. Both tenants see the same SSID, but they're completely isolated at Layer 2. En la CLI de Huawei, esto se configura en la vista WLAN utilizando el comando ppsk-user. Para cada inquilino, ejecute: ppsk-user psk pass-phrase, seguido de la contraseña única, luego user-name, el identificador del inquilino, luego vlan, el ID de VLAN, luego ssid, el nombre del SSID. También puede establecer una fecha de vencimiento, un límite máximo de dispositivos y vincularlo a una dirección MAC específica si necesita un control más estricto. En iMaster NCE-Campus, la búsqueda de PPSK se puede gestionar localmente en el controlador o, para despliegues a gran escala, a través de RADIUS. Cuando se utiliza PPSK respaldado por RADIUS, Purple se convierte en la fuente autoritativa para los mapeos de PPSK a VLAN. El dispositivo de un inquilino se conecta con su contraseña única, el controlador envía un Access-Request de RADIUS a Purple con la contraseña como credencial, Purple busca el mapeo y devuelve un Access-Accept con los tres atributos de túnel VLAN. El controlador dirige al cliente a la VLAN correcta. Esta arquitectura se escala a cientos de inquilinos en un solo SSID. También significa que puede aprovisionar, rotar y revocar las credenciales de los inquilinos desde el panel de control de Purple sin tener que modificar la configuración del controlador. Sección cinco: Errores de implementación y cómo evitarlos. Permítame presentarle los tres modos de fallo que veo con más frecuencia en los despliegues de Huawei y Purple. Primero: el Walled Garden está incompleto. Los invitados acceden al SSID, son redirigidos a la página de inicio, pero la página no se carga porque un dominio requerido (a menudo un endpoint de CDN o una API de inicio de sesión social) está bloqueado por la ACL de preautenticación. La solución consiste en probar el flujo de la página de inicio desde un dispositivo nuevo antes de la puesta en marcha, capturar las consultas DNS y las conexiones HTTPS que realiza, y agregar cada dominio requerido a la ACL. Purple publica una lista de dominios requeridos en la documentación de integración. Segundo: discrepancia en el secreto compartido de RADIUS. El secreto configurado en iMaster NCE-Campus debe coincidir exactamente con el secreto en el panel de control de Purple. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos: los registros del controlador muestran Access-Reject sin ningún mensaje de error útil. Copie y pegue siempre el secreto, nunca lo escriba manualmente. Tercero: mala configuración del troncal de VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si la VLAN ya está configurada como troncal en el puerto de enlace ascendente (uplink) entre el punto de acceso y el switch de agregación. Si la VLAN 20 no está en la lista de permitidos (allow-pass) del troncal en la interfaz del switch, los clientes del personal autenticados experimentarán un tiempo de espera de DHCP agotado y parecerá que la autenticación ha fallado. Audite sus configuraciones de troncal antes de probar las VLAN asignadas por RADIUS. Sección seis: Preguntas rápidas. Pregunta: ¿Puedo utilizar el RADIUS integrado de Purple con el despliegue local (on-premises) de iMaster NCE-Campus de Huawei, en lugar de la versión en la nube? Sí. Los servidores RADIUS de Purple están alojados en la nube y son accesibles a través de Internet. Su controlador local iMaster NCE-Campus necesita salida UDP por los puertos 1812 y 1813 hacia los rangos de IP de RADIUS de Purple. Purple publica estos rangos de IP en el panel de control, dentro de la configuración del establecimiento. Pregunta: ¿Admite Huawei PPSK la seguridad WPA3-SAE? A partir del firmware AirEngine V600R025, WPA3-SAE-PPSK es compatible con las series 6700 y 9700. Verifique su versión de firmware antes de habilitar WPA3 en SSIDs con PPSK. Pregunta: ¿Cómo gestiona Purple el consentimiento de GDPR para el WiFi de invitados en el hardware de Huawei? La página de inicio de Purple recopila el consentimiento en el momento de la autenticación. El registro de consentimiento (que incluye la marca de tiempo, la dirección IP y los términos específicos aceptados) se almacena en la plataforma de Purple y se puede exportar para auditorías de cumplimiento. Esto se aplica independientemente del proveedor de hardware subyacente. Sección siete: Resumen y siguientes pasos. En resumen: Huawei AirEngine e iMaster NCE-Campus se integran con Purple a través de un relé RADIUS para el Captive Portal de invitados, 802.1X para el WiFi del personal y PPSK para la segmentación de VLAN multiinquilino. La configuración se encuentra en iMaster NCE-Campus en Design, Network Design, Template Management para la configuración de RADIUS y ACL, y en Provision, Device Configuration, Site Configuration para la vinculación del SSID y del perfil de autenticación. Sus siguientes pasos: obtenga las credenciales RADIUS de Purple desde el panel de control de su establecimiento, configure la plantilla del servidor de relé RADIUS en iMaster NCE-Campus, cree su ACL de Walled Garden, cree el SSID de invitados con autenticación Open plus Portal y realice una prueba de extremo a extremo con un dispositivo nuevo antes de implementarlo en producción. Si va a desplegar PPSK para el aislamiento multiinquilino, planifique primero su esquema de VLAN: asegúrese de que cada VLAN de inquilino esté configurada como troncal de extremo a extremo antes de configurar un solo usuario PPSK. Para obtener la guía de configuración completa paso a paso, incluidos ejemplos de CLI y diagramas de arquitectura, lea la guía escrita completa en el sitio web de Purple. Gracias por su atención.