Saltar al contenido principal
Español

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

📖 5 min de lectura📝 1,067 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Usted es un consultor de redes sénior que habla con el director de TI de un cliente en una sesión informativa privada. Hable en español de España con un tono seguro, autoritario y conversacional. Ritmo pausado, dicción clara. Sin muletillas. Pausas naturales ocasionales para dar énfasis: Bienvenido a esta sesión informativa técnica sobre la integración de los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Le guiaré a través de todo el panorama de despliegue, desde la redirección del Captive Portal de invitados hasta el aislamiento PPSK multiinquilino. Al final de esta sesión, dispondrá de una hoja de ruta de implementación clara. [pausa media] Comencemos con el contexto. Allied Telesis fabrica la serie TQ, que incluye los puntos de acceso Wi-Fi 6 TQ5403 y TQ6702 GEN2. Se trata de AP de calidad empresarial que ejecutan el firmware AlliedWare Plus y se despliegan ampliamente en entornos de hostelería, comercio minorista y sector público. Purple es una plataforma de superposición en la nube independiente del hardware que opera en 80 000 recintos y gestionó 440 millones de inicios de sesión en 2024. La integración entre estas dos plataformas es limpia, basada en estándares y lista para producción. [pausa media] Ahora, lo primero que la mayoría de los equipos de TI deben configurar es la redirección del Captive Portal de invitados. El AP de Allied Telesis admite tres modos de Captive Portal: de un solo clic (click-through), autenticación RADIUS y redirección a página externa. Para la integración con Purple, utilizará el modo External Page Redirect. Así es como funciona en la práctica. Inicie sesión en la interfaz gráfica de usuario (GUI) del AP, vaya a Wireless, seleccione el VAP correspondiente, vaya a Advanced Settings y luego a la pestaña Security. Establezca Captive Portal en External Page Redirect. En el campo External Page URL, introduzca la URL de la página de bienvenida de Purple proporcionada en su panel de control de Purple. Esa es la URL a la que llegarán sus invitados cuando se conecten por primera vez. [pausa corta] Ahora, el AP intercepta el primer paquete HTTP o HTTPS de cada nuevo cliente y redirige ese tráfico a su página de bienvenida de Purple. El invitado se autentica a través de Purple y el servidor RADIUS de Purple envía un Access-Accept de vuelta al AP. A continuación, el AP concede acceso a la red. [pausa media] Para la configuración de RADIUS, Purple le proporciona una dirección IP del servidor RADIUS, un secreto compartido y el puerto de autenticación, que es UDP 1812. El registro de actividad (accounting) se ejecuta en el puerto UDP 1813. Configure estos parámetros en Network Services y luego en RADIUS en la GUI del AP. El identificador NAS debe establecerse en la IP de gestión del AP o en un nombre de host descriptivo. Purple RADIUS as a Service se encarga del backend de autenticación, por lo que no necesita mantener su propia infraestructura RADIUS. [pausa corta] Un aspecto importante que debe configurar correctamente es el Walled Garden. Antes de que un invitado se autentique, el AP bloquea todo el tráfico excepto el dirigido a destinos incluidos en la lista blanca. Debe añadir los dominios de la plataforma de Purple al Walled Garden para que la página de bienvenida se cargue correctamente. Como mínimo, incluya en la lista blanca el dominio de la página de bienvenida de Purple, cualquier endpoint de CDN que Purple utilice para los recursos y los proveedores de inicio de sesión social que haya habilitado, como Google o Facebook. Esto se configura en el mismo panel de Advanced Settings del VAP, en la sección Walled Garden. [pausa media] Pasemos al WiFi para el personal mediante 802.1X. Aquí es donde se configura WPA Enterprise en un VAP independiente. En la GUI del AP, seleccione WPA Enterprise en el menú desplegable Security y, a continuación, apunte el RADIUS Authentication Group a su servidor RADIUS externo, que en este caso es el servicio SecurePass de Purple o su propio RADIUS respaldado por Microsoft Entra ID u Okta. Los dispositivos del personal se autentican mediante EAP-PEAP con MSCHAPv2, o EAP-TLS con certificados para entornos de mayor seguridad. El AP actúa como el autenticador 802.1X, reenviando las credenciales al servidor RADIUS y aplicando la respuesta. [pausa corta] Para la asignación dinámica de VLAN en la red del personal, debe habilitar Dynamic VLAN en la configuración de seguridad avanzada del VAP. Cuando el servidor RADIUS devuelve un Access-Accept, incluye tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en IEEE 802 y Tunnel-Private-Group-Id establecido en el ID de VLAN. El AP lee estos atributos y coloca automáticamente el dispositivo autenticado en la VLAN correcta. Este es el mecanismo definido en RFC 3580 y funciona de manera uniforme en todo el hardware de Allied Telesis. [pausa media] Hablemos ahora de la capacidad más interesante para despliegues multiinquilino: PPSK de Allied Telesis, o Private Pre-Shared Key. A veces se denomina iPSK en otras plataformas. El concepto es sencillo. Dispone de un único SSID, pero cada inquilino o grupo de usuarios obtiene una contraseña única. Cuando un dispositivo se conecta, el AP envía esa contraseña al servidor RADIUS como el campo de contraseña en una solicitud RADIUS Access-Request. El servidor RADIUS asocia la contraseña con un registro de usuario y devuelve un Access-Accept con un atributo Tunnel-Private-Group-Id que especifica la VLAN para ese inquilino. [pausa corta] Así, en un edificio de uso mixto, el Inquilino A del local comercial se conecta con su contraseña y accede a la VLAN 100. El restaurante de la planta baja utiliza una contraseña diferente y accede a la VLAN 300. El WiFi de invitados del edificio utiliza una tercera contraseña y accede a la VLAN 400, donde está activo el Captive Portal de Purple. Todo esto se ejecuta en un único SSID. Sin proliferación de SSIDs. Limpio, escalable y fácil de gestionar. [pausa media] Por parte de Purple, usted configura los registros de usuario de PPSK en el panel de control de Purple o a través de la interfaz de RADIUS as a Service. Cada inquilino obtiene una contraseña única asociada a un ID de VLAN. El servidor RADIUS de Purple se encarga de la asociación y devuelve el Tunnel-Private-Group-Id correcto. Cuando necesite revocar el acceso de un inquilino, simplemente elimine o deshabilite su registro PPSK en Purple. El AP aplicará el cambio en el siguiente intento de autenticación. [pausa media] Permítame presentarle dos escenarios del mundo real donde esto resulta fundamental. En primer lugar, un hotel de conferencias de 250 habitaciones. El hotel gestiona tres redes: WiFi de invitados con página de bienvenida de Purple e inicio de sesión social, WiFi para el personal en 802.1X vinculado a Active Directory a través de Microsoft Entra ID, y una red para delegados de conferencias para eventos. Los AP Allied Telesis TQ6702 GEN2 gestionan las tres redes en VAP independientes con VLAN separadas. Purple gestiona la página de bienvenida de invitados, recopila datos de origen para el CRM del hotel y proporciona análisis sobre los periodos de uso pico. El equipo de TI del hotel gestiona la red del personal a través de SecurePass de Purple sin necesidad de mantener un servidor RADIUS independiente en las instalaciones. [pausa corta] Segundo escenario: un parque comercial con 12 inquilinos independientes. El propietario desea ofrecer WiFi como servicio a cada inquilino sin darles acceso al tráfico de los demás. Despliegan AP de Allied Telesis en todo el recinto con un único SSID. Cada inquilino recibe una PPSK única. El servidor RADIUS de Purple asocia cada PPSK a una VLAN dedicada. El propietario puede incorporar a un nuevo inquilino en menos de diez minutos creando un nuevo registro PPSK en Purple y entregándole la contraseña al inquilino. No se requiere reconfiguración del AP. [pausa media] Ahora, algunos errores comunes que se deben evitar. El problema más habitual que vemos son los Walled Gardens mal configurados. Si olvida incluir en la lista blanca un endpoint de CDN de Purple, la página de bienvenida se cargará parcialmente o fallará en ciertos dispositivos. Realice pruebas con un dispositivo nuevo que no tenga DNS en caché antes de la puesta en marcha. En segundo lugar, discrepancias en el secreto compartido de RADIUS. El secreto configurado en el AP debe coincidir exactamente con el secreto en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos. Utilice un gestor de contraseñas para generar y almacenar el secreto. En tercer lugar, no habilitar Dynamic VLAN. En los AP de Allied Telesis, Dynamic VLAN está desactivado de forma predeterminada, incluso cuando WPA Enterprise está activo. Debe habilitarlo explícitamente en la configuración de seguridad avanzada del VAP. Vemos que esto se pasa por alto con regularidad. En cuarto lugar, conflicto entre PPSK y autenticación MAC. Si tiene habilitada la autenticación MAC en el mismo VAP que PPSK, el orden de autenticación es importante. Consulte la documentación del AP para su versión de firmware para confirmar qué método tiene prioridad. [pausa media] Preguntas rápidas que suelo recibir de los equipos de TI. ¿Puedo utilizar el servidor RADIUS de Purple tanto para el Captive Portal de invitados como para el 802.1X del personal en el mismo despliegue? Sí. Purple RADIUS as a Service admite ambos flujos de autenticación. Configure grupos o políticas de RADIUS independientes en Purple para cada caso de uso. ¿Admiten los AP de Allied Telesis WPA3 con Captive Portal? El TQ6702 GEN2 con firmware 5.5.4-2.3 o posterior admite el cifrado WPA3 CCMP. Sin embargo, el Captive Portal con redirección externa normalmente se ejecuta en un SSID abierto o WPA2 Personal. El 802.1X del personal puede utilizar WPA3 Enterprise. ¿Qué ocurre si el servidor RADIUS de Purple no está accesible? El AP denegará los nuevos intentos de autenticación. Las sesiones existentes continuarán hasta que expiren. Debe configurar un servidor RADIUS secundario en el grupo RADIUS del AP para redundancia. La plataforma de Purple mantiene un tiempo de actividad del 99,999 %, pero la defensa en profundidad es una buena práctica. [pausa media] Para resumir. Los AP de la serie TQ de Allied Telesis se integran con Purple a través de tres mecanismos principales: redirección externa de Captive Portal para WiFi de invitados, WPA Enterprise con RADIUS para 802.1X del personal y PPSK con VLAN dinámica para el aislamiento multiinquilino. Los atributos RADIUS que necesita son Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 y Tunnel-Private-Group-Id con el ID de VLAN. Purple proporciona el backend de RADIUS as a Service, la plataforma de la página de bienvenida y la capa de análisis. [pausa corta] Sus próximos pasos: obtenga las credenciales de RADIUS de Purple de su panel de control, configure la redirección de página externa en su VAP de invitados, añada las entradas del Walled Garden, habilite Dynamic VLAN en su VAP de personal y realice una prueba de autenticación para cada segmento de red antes de la puesta en marcha. Si va a desplegar PPSK para multiinquilino, planifique su esquema de numeración de VLAN antes de comenzar, ya que cambiar los ID de VLAN una vez que los inquilinos están activos requiere coordinación. [pausa media] Esta es la sesión informativa. Para consultar la referencia de configuración paso a paso completa, el diagrama de arquitectura de Mermaid y la tabla de atributos RADIUS, consulte la guía escrita. Gracias por su tiempo.

header_image.png

Resumen Ejecutivo

El despliegue de puntos de acceso de la serie TQ de Allied Telesis con Purple proporciona una arquitectura de red escalable, segura y altamente configurable. Este manual de integración detalla la configuración de la redirección externa de Captive Portal para WiFi de invitados, la autenticación 802.1X para WiFi del personal y la asignación de claves precompartidas privadas (PPSK) para el aislamiento de redes multiinquilino. Al combinar el hardware de Allied Telesis con Purple RADIUS as a Service, se centraliza la gestión de identidades y se elimina la necesidad de servidores RADIUS locales. Esta guía cubre los atributos RADIUS específicos requeridos para el direccionamiento dinámico de VLAN, la configuración de Walled Garden para una entrega fluida de la página de bienvenida y las mejores prácticas para escalar redes basadas en la identidad en entornos de hostelería, comercio minorista y sector público.

Análisis Técnico Detallado

Los puntos de acceso de Allied Telesis, como el TQ6702 GEN2 y el TQ5403, ejecutan el firmware AlliedWare Plus. Admiten funciones empresariales robustas que incluyen WPA3, Passpoint (Hotspot 2.0) y una integración RADIUS completa. Cuando se integra con Purple, el punto de acceso actúa como el servidor de acceso a la red (NAS) y el autenticador 802.1X, mientras que Purple opera como el servidor RADIUS alojado en la nube y el proveedor de Captive Portal.

Redirección de Captive Portal de Invitados

Para el WiFi de invitados, el punto de acceso intercepta el tráfico de clientes no autenticados y redirige las solicitudes HTTP/HTTPS a la página de bienvenida de Purple. Esto requiere configurar el modo de Captive Portal en External Page Redirect.

Cuando un invitado se conecta, el AP consulta su configuración de Walled Garden. El Walled Garden debe incluir en la lista blanca los dominios de Purple, los endpoints de CDN y cualquier proveedor de inicio de sesión social configurado (como Google Workspace o Microsoft Entra ID). Una vez que el invitado completa el flujo de autenticación en la página de bienvenida, el servidor RADIUS de Purple envía un mensaje RADIUS Access-Accept (puerto UDP 1812) al punto de acceso, que luego concede acceso completo a la red.

Direccionamiento Dinámico de VLAN a través de RADIUS

La asignación dinámica de VLAN es fundamental para la segmentación de la red. Al configurar el WiFi del personal mediante WPA Enterprise, el punto de acceso reenvía las credenciales EAP al servicio RADIUS SecurePass de Purple.

Tras una autenticación exitosa, el servidor RADIUS de Purple devuelve un paquete Access-Accept que contiene tres atributos RADIUS estándar de la IETF definidos en RFC 3580:

  1. Tunnel-Type (Atributo 64): Establecido en VLAN (13).
  2. Tunnel-Medium-Type (Atributo 65): Establecido en IEEE-802 (6).
  3. Tunnel-Private-Group-Id (Atributo 81): Establecido en el ID de VLAN asignado (por ejemplo, 20).

El AP de Allied Telesis lee estos atributos y coloca dinámicamente el dispositivo cliente en la VLAN especificada. Nota: Dynamic VLAN debe habilitarse explícitamente en la configuración de seguridad avanzada del VAP dentro de la GUI de Allied Telesis.

architecture_overview.png

Aislamiento Multiinquilino con PPSK

La clave precompartida privada (PPSK) le permite utilizar un único SSID asignando diferentes contraseñas a diferentes usuarios o inquilinos. Esto es muy eficaz en unidades residenciales múltiples (MDU), espacios de cotrabajo (coworking) y parques comerciales.

Cuando un dispositivo se asocia utilizando una PPSK específica, el punto de acceso envía la contraseña al servidor RADIUS de Purple. Purple asocia la contraseña a un perfil de inquilino específico y devuelve el atributo Tunnel-Private-Group-Id. Esto dirige los dispositivos del inquilino a su VLAN dedicada, garantizando el aislamiento de Capa 2 sin transmitir múltiples SSIDs.

ppsk_vlan_diagram.png

Guía de Implementación

Siga estos pasos para configurar los puntos de acceso de Allied Telesis para la integración con Purple.

Paso 1: Configurar el Perfil del Servidor RADIUS

  1. Inicie sesión en la GUI del dispositivo AP de Allied Telesis.
  2. Vaya a Network Services > RADIUS.
  3. Añada un nuevo servidor RADIUS externo utilizando la dirección IP proporcionada en su panel de control de Purple.
  4. Establezca el puerto de autenticación en 1812 y el puerto de registro de actividad (accounting) en 1813.
  5. Introduzca el secreto compartido exacto proporcionado por Purple.
  6. Configure el identificador NAS para que coincida con la IP de gestión o el nombre de host del AP.

Paso 2: Configurar el WiFi de Invitados (Captive Portal)

  1. Vaya a Wireless > Radio1 (o Radio2).
  2. Haga clic en Edit para el VAP de destino (por ejemplo, VAP0).
  3. Establezca el nombre del SSID (por ejemplo, "Guest WiFi").
  4. Vaya a la pestaña Advanced Settings > Security.
  5. Establezca Captive Portal en External Page Redirect.
  6. Introduzca la URL de la página de bienvenida de Purple en el campo External Page URL.
  7. En Walled Garden, añada los dominios de Purple requeridos y las IP de inicio de sesión social.

Paso 3: Configurar el WiFi del Personal (802.1X y Dynamic VLAN)

  1. Edite un VAP independiente para el WiFi del personal.
  2. Establezca la seguridad en WPA Enterprise.
  3. Seleccione el perfil del servidor RADIUS de Purple en el menú desplegable RADIUS Authentication Group.
  4. Vaya a Advanced Settings > Security.
  5. Habilite Dynamic VLAN.
  6. Asegúrese de que los switches de red del backend estén configurados para admitir trunks de las VLAN asignadas dinámicamente a los puertos del AP.

Paso 4: Configurar PPSK para Multiinquilino

  1. Edite el VAP destinado al uso multiinquilino.
  2. Habilite PPSK (a menudo se configura junto con la autenticación MAC o configuraciones específicas de WPA según la versión del firmware).
  3. Asegúrese de que el perfil del servidor RADIUS esté seleccionado.
  4. En el panel de control de Purple, cree los registros de usuario de PPSK, asociando cada contraseña al ID de VLAN correcto.

Mejores Prácticas

  • Mantenimiento del Walled Garden: Regularmente revise y actualice las entradas de Walled Garden. Los proveedores de inicio de sesión social cambian con frecuencia sus rangos de IP y dominios CDN.
  • Redundancia: configure siempre las direcciones IP del servidor RADIUS de Purple principal y secundario en el grupo RADIUS del AP para garantizar una alta disponibilidad.
  • Actualizaciones de firmware: mantenga actualizado el firmware de AlliedWare Plus. El soporte de WPA3 CCMP y las funciones avanzadas de PPSK requieren la versión 5.5.4-2.3 o posterior.
  • Trunking de VLAN: verifique que los puertos del switch conectados a los puntos de acceso estén configurados como trunks 802.1Q y permitan todas las VLAN que el servidor RADIUS pueda asignar dinámicamente.

Resolución de problemas y mitigación de riesgos

  • Fallos de autenticación silenciosos: si los dispositivos no pueden conectarse a la red 802.1X o PPSK, verifique el secreto compartido de RADIUS. Una discrepancia hace que el AP descarte silenciosamente los paquetes Access-Reject.
  • Fallo al cargar la página de bienvenida: si el redireccionamiento del Captive Portal entra en bucle o no carga los recursos, es probable que falten dominios requeridos en el Walled Garden. Inspeccione la consola de desarrollador del navegador para identificar las solicitudes bloqueadas.
  • Clientes asignados a la VLAN incorrecta: si la dirección dinámica de VLAN falla, compruebe que la VLAN dinámica esté explícitamente habilitada en el VAP. Utilice la captura de paquetes para verificar que Purple está devolviendo el atributo Tunnel-Private-Group-Id.

ROI e impacto empresarial

La integración de Allied Telesis con Purple transforma la conectividad inalámbrica básica en una plataforma inteligente basada en datos.

Para los equipos de TI, centralizar la autenticación a través de Purple RADIUS como servicio elimina la sobrecarga de administrar servidores RADIUS locales e integraciones de Active Directory en el extremo. El uso de PPSK reduce la sobrecarga de SSID, lo que mejora el rendimiento de RF y simplifica la incorporación de inquilinos.

Para las operaciones del recinto, el Captive Portal captura datos de origen verificados, lo que impulsa el crecimiento del CRM y permite un marketing dirigido. Con más de 29 000 millones de puntos de datos recopilados en toda la plataforma Purple, los recintos obtienen información útil sobre el comportamiento de los visitantes, los tiempos de permanencia y la utilización del espacio, respaldando directamente los objetivos comerciales.

Definiciones clave

PPSK (Private Pre-Shared Key)

Un mecanismo de seguridad en el que se pueden utilizar múltiples contraseñas únicas en un único SSID, con cada contraseña asociada a políticas de red o VLAN específicas.

Se utiliza en entornos multiinquilino para proporcionar un acceso a la red seguro y aislado sin transmitir múltiples SSIDs.

Tunnel-Private-Group-Id

Atributo RADIUS 81, definido en RFC 2868, utilizado para especificar el ID de VLAN al que se debe asignar un usuario o dispositivo tras una autenticación exitosa.

Esencial para el direccionamiento dinámico de VLAN tanto en despliegues 802.1X como PPSK.

Walled Garden

Un entorno de red restringido que permite a los usuarios no autenticados acceder a una lista blanca específica de direcciones IP o dominios.

Requerido para que los captive portals permitan a los dispositivos cargar la página de bienvenida y autenticarse a través de proveedores de inicio de sesión social antes de obtener acceso completo a Internet.

RADIUS as a Service

Una infraestructura RADIUS alojada en la nube y gestionada por un tercero (como Purple), lo que elimina la necesidad de servidores de autenticación locales.

Simplifica los despliegues 802.1X para recintos distribuidos al centralizar la gestión de identidades en la nube.

Captive Portal

Una página web que los usuarios están obligados a ver y con la que deben interactuar antes de que se les conceda acceso a una red WiFi pública.

Se utiliza para capturar datos de origen (first-party data), aplicar las condiciones de servicio y mostrar la imagen de marca del recinto.

VAP (Virtual Access Point)

Una entidad lógica dentro de un punto de acceso físico que transmite su propio SSID y mantiene sus propias configuraciones de seguridad y políticas.

Permite que un único AP de Allied Telesis proporcione simultáneamente WiFi para invitados, WiFi para el personal y conectividad IoT.

EAP-PEAP

Protocolo de autenticación extensible protegido (PEAP), un método seguro para transmitir credenciales de autenticación dentro de un túnel TLS cifrado.

El protocolo de autenticación más común utilizado para WiFi de personal (802.1X) al verificar nombres de usuario y contraseñas contra un directorio.

Access-Accept

Un paquete RADIUS estándar enviado por el servidor al autenticador (AP) que indica que la autenticación se ha realizado con éxito.

A menudo incluye atributos adicionales, como asignaciones de VLAN o límites de ancho de banda, para aplicar la política de red.

Ejemplos prácticos

Un hotel de 250 habitaciones necesita desplegar una red segura para el personal y una red de invitados con imagen de marca. El equipo de TI desea gestionar el acceso del personal a través de Microsoft Entra ID sin desplegar un servidor RADIUS local, mientras que los invitados deben aceptar los términos y condiciones a través de un Captive Portal.

Despliegue AP Allied Telesis TQ6702 GEN2. Configure VAP0 como una red abierta con el Captive Portal establecido en 'External Page Redirect', apuntando a la URL de la página de bienvenida de Purple. Configure VAP1 con WPA Enterprise, apuntando el grupo de autenticación RADIUS a los servidores RADIUS SecurePass de Purple. Integre Purple SecurePass con Microsoft Entra ID en la nube. Habilite Dynamic VLAN en VAP1 para que el personal sea redirigido automáticamente a la VLAN interna tras una autenticación EAP exitosa.

Comentario del examinador: Este enfoque utiliza Purple como un gestor de identidades en la nube. Elimina la infraestructura RADIUS local al tiempo que mantiene un aislamiento estricto de Capa 2 entre el tráfico de invitados y del personal mediante el uso de 802.1X basado en estándares y asignación dinámica de VLAN.

El propietario de un parque comercial desea proporcionar WiFi a 12 locales comerciales independientes utilizando un único despliegue de hardware. Cada local requiere su propio segmento de red seguro y aislado.

Configure un único SSID (por ejemplo, 'Retail-Park-Secure') en los AP de Allied Telesis. Habilite PPSK (Private Pre-Shared Key) y apunte la autenticación al servidor RADIUS de Purple. En el panel de control de Purple, genere una contraseña única para cada local comercial y asóciela a un ID de VLAN específico (por ejemplo, Local 1 = VLAN 101, Local 2 = VLAN 102). Cuando un dispositivo se conecta, el AP envía la contraseña a Purple, que devuelve el atributo Tunnel-Private-Group-Id, redirigiendo el dispositivo a la VLAN del inquilino correcta.

Comentario del examinador: PPSK evita la proliferación de SSID, lo que degrada el rendimiento de RF. Ofrece la experiencia de usuario de una contraseña personal simple WPA2/WPA3 al tiempo que proporciona la seguridad empresarial y la segmentación de 802.1X.

Preguntas de práctica

Q1. Un recinto informa que los dispositivos Android pueden conectarse al WiFi de invitados y ver la página de bienvenida, pero los dispositivos Apple iOS muestran una pantalla en blanco. ¿Cuál es el problema de configuración más probable?

Sugerencia: Considere cómo detectan los diferentes sistemas operativos los captive portals y qué dominios necesitan alcanzar.

Ver respuesta modelo

Es probable que en el Walled Garden falten los dominios específicos que Apple utiliza para la detección de Captive Portal (por ejemplo, captive.apple.com). Si el AP bloquea estos dominios antes de la autenticación, el Captive Network Assistant de iOS no podrá activar el mini-navegador correctamente.

Q2. Ha configurado WPA Enterprise en el AP y lo ha apuntado al servidor RADIUS de Purple. Los registros de RADIUS muestran una autenticación exitosa (Access-Accept), pero el dispositivo cliente no recibe una dirección IP en la VLAN esperada. ¿Cuáles son las dos causas más probables?

Sugerencia: Compruebe tanto la configuración del AP como la del puerto del switch físico.

Ver respuesta modelo
  1. 'Dynamic VLAN' no está habilitado en la configuración de seguridad avanzada del VAP en el AP de Allied Telesis. 2. El puerto del switch que conecta el AP no está configurado como un trunk 802.1Q, o la VLAN de destino no está permitida en el trunk, lo que impide que el tráfico DHCP llegue al cliente.

Q3. Un parque comercial desea desplegar PPSK para 50 inquilinos. Preguntan si deben crear 50 VAP independientes o utilizar un único VAP. ¿Cuál es su recomendación y por qué?

Sugerencia: Considere el impacto de las tramas de gestión en el tiempo de transmisión inalámbrica (airtime).

Ver respuesta modelo

Se recomienda utilizar un único VAP con PPSK. La transmisión de 50 SSIDs independientes genera un exceso de tramas de baliza (beacon frames) y sobrecarga de gestión, lo que degrada gravemente el rendimiento de RF y el tiempo de transmisión disponible. Un único SSID con PPSK proporciona el mismo aislamiento de Capa 2 mediante la asignación dinámica de VLAN sin penalizar el rendimiento de RF.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a gran escala.

Leer la guía →

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía paso a paso de acceso para invitados

Esta guía detalla paso a paso la integración de Cisco WLC y Catalyst 9800 Wireless con Purple, abarcando la redirección al Captive Portal de Guest WiFi mediante Central Web Authentication, WiFi seguro para empleados mediante 802.1X EAP-TLS y segmentación Multi-Tenant mediante Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Está dirigida a arquitectos de redes empresariales y directores de seguridad de TI que despliegan infraestructura de Cisco en el sector hotelero, retail y grandes recintos públicos.

Leer la guía →