Ver transcripción del podcast
Bienvenido a la serie técnica de Purple. Soy su anfitrión y hoy vamos a analizar una de las integraciones de WiFi para empresas más sofisticadas que vemos en el terreno: los puntos de acceso Huawei AirEngine y el controlador CloudCampus iMaster NCE-Campus, integrados con Purple para WiFi de invitados, autenticación de personal y segmentación de red multiinquilino.
Si usted es arquitecto de redes o responsable de TI y gestiona un entorno Huawei - ya sea un grupo hotelero, una cadena de tiendas, un palacio de congresos o un campus del sector público - este episodio es para usted. Cubriremos toda la pila: redirección de Captive Portal, ACL previas a la autenticación, WiFi seguro para el personal mediante 802.1X y la función Private Pre-Shared Key de Huawei para el direccionamiento dinámico de VLAN en múltiples inquilinos.
Empecemos.
Sección uno: Contexto y arquitectura.
La gama AirEngine de Huawei - que abarca las series 5700, 6700, 8700 y 9700 - funciona con WiFi 6 y WiFi 6E, y la serie de gama alta 9700 es compatible con WiFi 7. Se trata de puntos de acceso empresariales de gran nivel. La capa de gestión es iMaster NCE-Campus, el controlador de red basado en la nube de Huawei, que se encarga de todo, desde el aprovisionamiento de SSID y el relé RADIUS hasta la aplicación de políticas y el reenvío de syslog.
Purple se sitúa por encima como una plataforma en la nube superpuesta. Operamos en 80 000 establecimientos activos y hemos procesado 440 millones de inicios de sesión solo en 2024. Somos independientes del hardware, lo que significa que nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y, por supuesto, Huawei AirEngine, utilizando los mismos estándares de RADIUS y Captive Portal que admite cualquier controlador empresarial.
El modelo de integración aquí es sencillo. iMaster NCE-Campus actúa como relé RADIUS, reenviando las solicitudes de autenticación de los puntos de acceso a los servidores RADIUS de Purple. Purple se encarga de la lógica de autenticación - ya sea una página de bienvenida para invitados, una comprobación de credenciales 802.1X o una búsqueda de PPSK - y devuelve la respuesta RADIUS adecuada, incluidos los atributos de asignación dinámica de VLAN.
Sección dos: Configuración de WiFi para invitados y Captive Portal.
Comencemos con la implantación más habitual: WiFi para invitados con un Captive Portal de Purple.
En iMaster NCE-Campus, vaya a Design, luego a Network Design y después a Template Management. Cree una plantilla de RADIUS Relay Server. Los parámetros clave son: establecer el servicio de autenticación en Portal authentication, añadir las direcciones IP del servidor RADIUS de Purple en el puerto UDP 1812 para autenticación y 1813 para contabilidad, establecer el identificador NAS en Device MAC y configurar el secreto compartido. Purple proporciona estas credenciales RADIUS desde la pantalla de configuración del establecimiento en el panel de control de Purple.
A continuación, cree una ACL: este será su Walled Garden. Antes de que un usuario invitado se autentique, debe poder acceder a la página de bienvenida de Purple y a cualquier dominio de soporte. Sus reglas de ACL deben permitir DNS en UDP 53, permitir HTTPS para el dominio del portal de Purple y permitir cualquier proveedor de inicio de sesión social que haya habilitado (por ejemplo, los endpoints de la API graph de Facebook si utiliza el inicio de sesión social). Todo lo demás se deniega antes de la autenticación.
Luego configure el SSID. Establezca el tipo de red en Open, seleccione autenticación Open más Portal, establezca el tipo de autenticación en autenticación Relay por plataforma en la nube y elija RADIUS relay como modo de interconexión. Establezca el protocolo de inserción de página en HTTPS. En los parámetros de autenticación del portal de terceros, pegue la URL de redirección de Purple (esta es la URL de la página de bienvenida que copia del panel de control de la sede de Purple, modificando el sufijo para incluir los parámetros específicos de Huawei: ap-mac, uaddress, umac, ssid y redirect-url).
Finalmente, cree una plantilla de URL en iMaster NCE-Campus que asocie estos nombres de parámetros con los valores que Huawei transmite en la redirección. La asignación de parámetros es: redirect-url a redirect-url, loginurl a login-url, device-mac a ap-mac, user-ip a uaddress, user-mac a umac y ssid a ssid.
Una vez configurado esto, el usuario invitado se conecta al SSID, recibe una dirección DHCP y el controlador intercepta su tráfico HTTP para redirigirlo a la página de bienvenida de Purple. El usuario se autentica (mediante correo electrónico, inicio de sesión social o verificación por SMS) y el servidor RADIUS de Purple envía un Access-Accept de vuelta a iMaster NCE-Campus, que concede al invitado acceso completo a internet.
Desde la perspectiva de los datos, Purple captura los datos de consentimiento de origen en este punto. Cada inicio de sesión es una opción de inclusión voluntaria y consciente, conforme con GDPR y CCPA. Esos datos alimentan la plataforma de análisis de Purple, lo que le proporciona la duración de la sesión, el tipo de dispositivo, las tasas de visitantes recurrentes y el tiempo de permanencia; todo ello sin ningún tipo de seguimiento de terceros.
Sección tres: Proteger el WiFi del personal con 802.1X.
Ahora hablemos del WiFi del personal. Este es un enfoque de seguridad totalmente diferente. No quiere que el personal esté en el mismo segmento de red que los invitados, ni quiere contraseñas PSK compartidas que se revelen cuando alguien se vaya de la empresa.
La respuesta es la autenticación 802.1X, definida en IEEE 802.1X-2020, utilizando EAP-TLS o EAP-PEAP. En iMaster NCE-Campus, cree un SSID independiente para el personal (llamémoslo CorpNet). En el perfil de autenticación para este SSID, establezca el modo de autenticación en 802.1X, apúntelo al servidor RADIUS de Purple y configure el perfil de seguridad en WPA2-Enterprise o WPA3-Enterprise con cifrado AES-CCMP.
Purple actúa también aquí como servidor RADIUS, pero ahora valida las credenciales contra su proveedor de identidad. Purple se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace. Cuando un miembro del personal se conecta a CorpNet, su dispositivo envía las credenciales EAP al punto de acceso, que las retransmite a través de RADIUS a Purple, el cual las valida contra Entra ID utilizando SCIM o SAML. Si las credenciales son válidas, Purple devuelve un Access-Accept con un atributo RADIUS que especifica la VLAN del personal - por ejemplo, la VLAN 20. iMaster NCE-Campus dirige al cliente a esa VLAN automáticamente.
Los atributos RADIUS clave para la asignación dinámica de VLAN son: Tunnel-Type establecido en VLAN o el valor 13, Tunnel-Medium-Type establecido en 802 o el valor 6, y Tunnel-Private-Group-ID establecido en el ID de la VLAN. Estos tres atributos juntos indican al controlador de Huawei exactamente a qué VLAN asignar el cliente autenticado.
Específicamente para EAP-TLS - que es el estándar de oro para la autenticación del personal - se necesitan certificados de cliente. El complemento SecurePass de Purple gestiona la emisión y el ciclo de vida de los certificados, integrándose con su PKI existente o actuando como una entidad de certificación ligera. Esto elimina por completo los ataques basados en contraseñas. Sin contraseñas, no hay vector de phishing.
Sección cuatro: Segmentación multiinquilino con Huawei PPSK.
Aquí es donde la situación se vuelve verdaderamente interesante. Si gestiona un espacio de uso mixto - un centro comercial con múltiples inquilinos minoristas, un espacio de cotrabajo con múltiples empresas miembro o un centro de conferencias que alberga eventos simultáneos - necesita aislamiento de red entre los inquilinos sin tener que implementar un SSID independiente para cada uno de ellos.
La función PPSK de Huawei - Private Pre-Shared Key - resuelve esto. A veces se denomina iPSK en los ecosistemas de otros fabricantes. El concepto es: un SSID, múltiples contraseñas únicas, cada contraseña asignada a una VLAN específica. El inquilino A obtiene la contraseña Alpha, que se asigna a la VLAN 30. El inquilino B obtiene la contraseña Beta, que se asigna a la VLAN 40. Ambos inquilinos ven el mismo SSID, pero están completamente aislados en la Capa 2.
En la CLI de Huawei, esto se configura en la vista WLAN utilizando el comando ppsk-user. Para cada inquilino, se ejecuta: ppsk-user psk pass-phrase, seguido de la contraseña única, luego user-name, el identificador del inquilino, después vlan, el ID de la VLAN, y por último ssid, el nombre del SSID. También puede establecer una fecha de vencimiento, un límite máximo de dispositivos y realizar una vinculación a una dirección MAC específica si requiere un control más estricto.
En iMaster NCE-Campus, la búsqueda de PPSK se puede gestionar localmente en el controlador o - para despliegues a gran escala - a través de RADIUS. Cuando se utiliza PPSK respaldado por RADIUS, Purple se convierte en la fuente autoritativa para las asignaciones de PPSK a VLAN. El dispositivo de un inquilino se conecta con su contraseña única, el controlador envía una solicitud Access-Request de RADIUS a Purple con la contraseña como credencial, Purple busca la asignación y devuelve un Access-Accept con los tres atributos de túnel de VLAN. El controlador dirige al cliente a la VLAN correcta.
Esta arquitectura se escala a cientos de inquilinos en un único SSID. También significa que puede aprovisionar, rotar y revocar credenciales de inquilinos desde el panel de control de Purple sin tocar la configuración del controlador.
Sección cinco: Errores de implementación y cómo evitarlos.
Permítame mostrarle los tres modos de fallo que veo con más frecuencia en las implementaciones de Huawei y Purple.
Primero: el Walled Garden está incompleto. Los invitados se conectan al SSID, se les redirige al portal cautivo, pero la página no se carga porque un dominio requerido - a menudo un endpoint de CDN o una API de inicio de sesión social - está bloqueado por la ACL de preautenticación. La solución es probar el flujo del portal cautivo desde un dispositivo nuevo antes de la puesta en marcha, capturar las consultas DNS y las conexiones HTTPS que realiza, y añadir cada dominio requerido a la ACL. Purple publica una lista de dominios requeridos en la documentación de integración.
Segundo: discrepancia en la clave compartida RADIUS. La clave configurada en iMaster NCE-Campus debe coincidir exactamente con la clave del panel de control de Purple. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos - los registros del controlador muestran Access-Reject sin ningún mensaje de error útil. Copie y pegue siempre la clave, nunca la escriba manualmente.
Tercero: configuración incorrecta del trunk de VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si la VLAN ya está en el trunk del puerto de enlace ascendente entre el punto de acceso y el switch de agregación. Si la VLAN 20 no está en la lista de permitidas del trunk en la interfaz del switch, los clientes del personal autenticados experimentarán un tiempo de espera de DHCP agotado y parecerá que la autenticación ha fallado. Audite las configuraciones de sus trunks antes de probar las VLAN asignadas por RADIUS.
Sección seis: Preguntas rápidas.
Pregunta: ¿Puedo utilizar el RADIUS integrado de Purple con la implementación local de iMaster NCE-Campus de Huawei, en lugar de la versión en la nube?
Sí. Los servidores RADIUS de Purple están alojados en la nube y son accesibles a través de Internet. Su controlador iMaster NCE-Campus local necesita salida UDP 1812 y 1813 hacia los rangos de IP de RADIUS de Purple. Purple publica estos rangos de IP en el panel de control, dentro de la configuración del establecimiento.
Pregunta: ¿Admite Huawei PPSK WPA3-SAE?
A partir del firmware AirEngine V600R025, WPA3-SAE-PPSK es compatible con las series 6700 y 9700. Compruebe su versión de firmware antes de habilitar WPA3 en los SSID con PPSK.
Pregunta: ¿Cómo gestiona Purple el consentimiento de GDPR para el WiFi de invitados en hardware de Huawei?
El portal cautivo de Purple recopila el consentimiento en el momento de la autenticación. El registro de consentimiento - que incluye la marca de tiempo, la dirección IP y los términos específicos aceptados - se almacena en la plataforma de Purple y se puede exportar para auditorías de cumplimiento. Esto se aplica independientemente del proveedor de hardware subyacente.
Sección siete: Resumen y siguientes pasos.
En resumen: Huawei AirEngine e iMaster NCE-Campus se integran con Purple a través de relay de RADIUS para el Captive Portal de invitados, 802.1X para el WiFi del personal y PPSK para la segmentación de VLAN de múltiples inquilinos. La configuración se encuentra en iMaster NCE-Campus bajo Design, Network Design, Template Management para la configuración de RADIUS y ACL, y bajo Provision, Device Configuration, Site Configuration para el SSID y la vinculación del perfil de autenticación.
Sus siguientes pasos: obtenga las credenciales de RADIUS de Purple desde el panel de control de su recinto, configure la plantilla del servidor de relay de RADIUS en iMaster NCE-Campus, cree su ACL de Walled Garden, cree el SSID de invitados con autenticación Open más Portal y realice una prueba de extremo a extremo con un dispositivo nuevo antes de implementarlo en el entorno real.
Si está implementando PPSK para el aislamiento de múltiples inquilinos, planifique su esquema de VLAN primero - asegúrese de que la VLAN de cada inquilino esté troncalizada de extremo a extremo antes de configurar un solo usuario de PPSK.
Para consultar la guía de configuración completa paso a paso, incluidos los ejemplos de CLI y los diagramas de arquitectura, lea la guía escrita completa en el sitio web de Purple. Gracias por su atención.
