Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Bienvenidos al Purple Technical Briefing. Soy su anfitrión, y hoy cubriremos un patrón de implementación que surge en casi todos los proyectos de WiFi empresarial a gran escala que vemos: la integración de CommScope Ruckus con la plataforma en la nube de Purple. Tanto si gestiona un grupo hotelero, una red de tiendas, un estadio o un centro de conferencias, este episodio le proporcionará el manual de configuración que necesita. Pongámonos en situación primero. Ruckus, ahora bajo el paraguas de CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad. Hoteles como Premier Inn, grandes cadenas de tiendas, estadios y centros de convenciones utilizan la infraestructura de Ruckus. Cuando se implementa Guest WiFi a esa escala, se necesita algo más que un SSID abierto. Se necesita una autenticación estructurada, una captura de datos que cumpla con el GDPR y la capacidad de integrar esos datos de los invitados en su pila de marketing. Ahí es exactamente donde entra Purple. Purple opera en más de 80.000 establecimientos activos, ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. La integración con Ruckus es uno de nuestros patrones de implementación más maduros. Ahora bien, Ruckus tiene tres plataformas de controladores distintas que debe comprender antes de tocar una pantalla de configuración. SmartZone, disponible como un dispositivo físico SZ300 o virtual vSZ, es el controlador empresarial para grandes implementaciones multisitio. Gestiona miles de puntos de acceso en múltiples zonas, le ofrece un control profundo de las políticas y admite toda la gama de métodos de autenticación que cubriremos hoy. ZoneDirector es el controlador local heredado, todavía muy extendido, sobre todo en el sector de la hostelería, y admite el mismo flujo de captive portal basado en WISPr, aunque con una ruta de configuración ligeramente diferente. Y Unleashed es el modelo sin controlador, donde un AP actúa como maestro para hasta otros 128. Es ideal para implementaciones más pequeñas en un solo sitio: hoteles independientes, sucursales de tiendas, oficinas de pymes. Muy bien. Entremos en los detalles técnicos. Cubriré tres casos de uso distintos: Guest WiFi con redirección a captive portal, WiFi seguro para el personal mediante 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK. Comencemos con Guest WiFi. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr (Wireless Internet Service Provider roaming) es un estándar del sector que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID. Su dispositivo envía una solicitud HTTP. SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo; en este caso, el captive portal de Purple. El invitado se autentica (a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y luego el portal se comunica de vuelta con el controlador a través de la interfaz Northbound Interface, o NBI, para conceder el acceso. En SmartZone, la configuración consta de cuatro componentes principales. Primero, el perfil del servidor de autenticación RADIUS. Vaya a Services and Profiles y luego a Authentication. Cree un nuevo perfil de servidor AAA. Establezca el Service Protocol en RADIUS. La IP del servidor principal y el secreto compartido se proporcionan en la consola de administración de Purple. Puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia. Luego, cree el servidor de contabilidad (accounting) en Services and Profiles, Accounting: puerto 1813, mismo secreto compartido. Segundo, el perfil Hotspot WISPr. Vaya a Services and Profiles, Hotspots and Portals, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL en External e introduzca la URL de redirección de su portal. Configure la Start Page para redirigir a su URL posterior a la autenticación, normalmente una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde los ingenieros suelen cometer más errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal y los endpoints estándar de detección de captive portal del sistema operativo. En SmartZone, se admiten comodines utilizando el formato de asterisco-punto (por ejemplo, *.purple.ai cubre todos los subdominios). También necesita el dominio de detección de captive portal de Apple (captive.apple.com) y los endpoints de comprobación de conectividad de Google para evitar que el mininavegador CNA funcione incorrectamente en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto. Por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. Purple necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Es un solo comando, pero es un bloqueo total si lo omite. La interfaz Northbound Interface es la otra pieza esencial. Esta es la API que permite a Purple comunicarse de vuelta con SmartZone para conceder o denegar el acceso después de la autenticación. Habilítela en Administration, External Services, WISPr Northbound Interface. Establezca un nombre de usuario y una contraseña, y proporcione esas credenciales a Purple. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de Purple a estos puertos. Por último, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en User-defined si Purple requiere un valor específico, configure Called Station ID en AP MAC y habilite Single Session ID. Para Unleashed, la arquitectura es fundamentalmente diferente: es un modelo distribuido y sin controlador. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son muy similares (crear un servicio Hotspot, configurar la URL de su portal externo, configurar su servidor de autenticación AAA, añadir las entradas del Walled Garden), pero hay dos diferencias clave. No hay ningún requisito de Northbound Interface en Unleashed. Y el cifrado de direcciones MAC no se aplica por defecto, por lo que no necesita el comando de la CLI. El Walled Garden de Unleashed también acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodines. Pasemos ahora al WiFi seguro para el personal mediante 802.1X. Este es un modelo de autenticación completamente diferente. En lugar de un captive portal, los dispositivos del personal se autentican directamente utilizando el protocolo de autenticación extensible (EAP). El método más común en entornos empresariales es PEAP-MSCHAPv2, donde el usuario introduce sus credenciales de Active Directory, o EAP-TLS, donde el dispositivo presenta un certificado. El complemento SecurePass de Purple se integra con Microsoft Entra ID, Okta y Google Workspace para actuar como el backend de RADIUS para este flujo. En SmartZone, cree una nueva WLAN y establezca el Authentication Type en 802.1X EAP. En la configuración de AAA, apunte a su servidor RADIUS: el endpoint SecurePass de Purple. La diferencia clave con respecto al flujo de invitados es que aquí también se configura la asignación dinámica de VLAN. Cuando el servidor RADIUS de Purple devuelve un Access-Accept, incluye tres atributos estándar de la IETF: Tunnel-Type establecido en VLAN, valor 13; Tunnel-Medium-Type establecido en IEEE-802, valor 6; y Tunnel-Private-Group-ID que contiene la cadena del ID de VLAN (por ejemplo, 20 para la VLAN del personal). SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del miembro del personal con la VLAN correcta, independientemente del AP al que esté conectado. Esto es el direccionamiento dinámico de VLAN, y es lo que permite que un único SSID sirva para múltiples roles de usuario con diferentes políticas de acceso a la red. Habilite AAA Override en la configuración avanzada de la WLAN para asegurarse de que SmartZone procese los atributos de VLAN devueltos por RADIUS. Sin esa casilla de verificación, la asignación dinámica no funcionará incluso si el servidor RADIUS está enviando los atributos correctos. El tercer caso de uso es el aislamiento multiinquilino mediante Ruckus Dynamic PSK, o DPSK. Esta es una tecnología propietaria de Ruckus que asigna una contraseña WPA2 única a cada usuario o inquilino, todo en un único SSID. A diferencia de una PSK compartida donde todos usan la misma contraseña, DPSK significa que el Inquilino A tiene una clave única de 62 caracteres, el Inquilino B tiene una diferente, y así sucesivamente. Cada clave está vinculada a una VLAN específica, por lo que el tráfico del Inquilino A va a la VLAN 101 y el del Inquilino B a la VLAN 102: aislamiento completo, sin riesgo de contraseña compartida y revocación instantánea sin afectar a otros inquilinos. Esto es especialmente potente en espacios de coworking, edificios residenciales de alquiler (build-to-rent), residencias de estudiantes y parques comerciales multiinquilino. Purple se integra con Ruckus DPSK a través de la API de SmartZone para automatizar el aprovisionamiento de claves: cuando se incorpora un nuevo inquilino en Purple, se genera un DPSK, se vincula a la VLAN correcta y se entrega al inquilino automáticamente. Para configurar DPSK en SmartZone: vaya a WLANs, añada una nueva WLAN y, en Security, establezca el método en Dynamic PSK. Establezca la longitud de DPSK en 62 caracteres para obtener la máxima entropía. En VLAN, habilite Per-DPSK VLAN assignment. A continuación, utilice la API de SmartZone o la interfaz de gestión de DPSK para crear claves individuales por inquilino, cada una asignada a su propio ID de VLAN. En Unleashed, la misma función está disponible en WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 es la variante WPA3, que ofrece un cifrado más sólido basado en SAE. Si su flota de AP admite WPA3 (lo que hacen todos los AP actuales de la serie R de Ruckus), DPSK3 es la opción preferida para nuevas implementaciones. Permítanme repasar dos escenarios de implementación del mundo real que ilustran cómo se combinan estos tres casos de uso. Primer escenario: un hotel de 250 habitaciones. El establecimiento cuenta con Ruckus SmartZone con puntos de acceso R750 en todas las instalaciones. Necesitan tres tipos de red: Guest WiFi para los huéspedes del hotel, WiFi seguro para el personal de recepción y de administración, y una red IoT para controles inteligentes de habitaciones y CCTV. La WLAN de invitados utiliza el flujo de captive portal WISPr con Purple. Los huéspedes se conectan, son redirigidos a un portal personalizado de Purple, se autentican mediante correo electrónico o inicio de sesión social y acceden a la VLAN 10. El portal captura datos de primera mano (correo electrónico, consentimiento de marketing, preferencias de estancia) que se envían directamente al CRM del hotel. El panel de análisis de Purple muestra al hotel qué plantas tienen las tasas de conexión más altas, las horas de mayor uso y las tasas de visitantes recurrentes. Premier Inn implementó este modelo en todas sus instalaciones del Reino Unido y observó mejoras medibles en las puntuaciones de satisfacción de los huéspedes directamente vinculadas a la experiencia WiFi. La WLAN del personal utiliza 802.1X con SecurePass de Purple. El personal se autentica con sus credenciales de Active Directory a través de PEAP-MSCHAPv2. El personal de recepción accede a la VLAN 20 con acceso al sistema de gestión hotelera (PMS). El personal de administración accede a la VLAN 21 con acceso únicamente a los sistemas de RR. HH. y de planificación. La asignación de VLAN se realiza en su totalidad mediante los atributos RADIUS que devuelve Purple, sin necesidad de configurar puertos manualmente. Cuando un miembro del personal se marcha, su cuenta se deshabilita en Microsoft Entra ID y el acceso se revoca instantáneamente en todas las propiedades. La IoT WLAN utiliza una PSK estática, aislada en la VLAN 30, con el aislamiento de clientes habilitado. Los termostatos inteligentes, las cerraduras de las puertas y las cámaras de CCTV se ubican aquí, completamente separados del tráfico de invitados y del personal. Segundo escenario: un espacio de coworking con 15 empresas inquilinas. Aquí es donde DPSK realmente demuestra su valor. El operador ejecuta Ruckus Unleashed en tres plantas. Cada empresa inquilina obtiene un DPSK único vinculado a su propia VLAN. Los 20 miembros del personal del Inquilino A utilizan la misma contraseña DPSK-A, pero esa contraseña es exclusiva del Inquilino A y se asigna únicamente a la VLAN 101. El Inquilino B utiliza DPSK-B, asignada a la VLAN 102. Los inquilinos están completamente aislados entre sí en la capa de red. Cuando un inquilino se marcha, el operador revoca su DPSK en SmartZone (o a través de la interfaz de gestión de Purple) y eso es todo. Ningún otro inquilino se ve afectado, no se requieren cambios de SSID ni restablecimientos de contraseñas en todo el edificio. La capa de gestión multiinquilino de Purple se sitúa por encima de esto, ofreciendo al operador del coworking un único panel de control para gestionar la incorporación, la revocación de accesos y los análisis de uso de los 15 inquilinos. Permítanme cubrir ahora los fallos más comunes y cómo evitarlos. Número uno: mala configuración del Walled Garden. Si la página de su portal no se carga después de la redirección, lo primero que debe comprobar es si todos los dominios a los que hace referencia la página de su portal están en el Walled Garden. Las páginas de portal modernas cargan recursos de múltiples dominios de CDN, scripts de análisis y SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. Purple proporciona una lista documentada de Walled Garden para SmartZone y Unleashed: utilícela como base y añada los dominios específicos de su establecimiento. Número dos: el problema de conectividad de la NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que SmartZone no pueda recibir la llamada de retorno (callback) de la NBI desde Purple. Compruebe que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de gestión de SmartZone desde el rango de IP de Purple. Verifique también que las credenciales de la NBI que ha configurado coincidan con las que Purple tiene registradas. Número tres: la falta del comando no encrypt-mac-ip. Este es el error imprevisto más común específico de SmartZone. Si Purple recibe solicitudes de redirección pero no puede asociar la sesión a una dirección MAC, esta es casi con seguridad la causa. Es una solución de una sola línea en la CLI, pero es fácil de pasar por alto porque no se muestra en la interfaz gráfica de usuario (GUI). Número cuatro: AAA Override no habilitado para VLAN dinámica. Si el personal se autentica correctamente en 802.1X pero todos acceden a la misma VLAN predeterminada en lugar de a su VLAN específica de rol, compruebe que AAA Override esté habilitado en la configuración avanzada de la WLAN. Este es el interruptor que indica a SmartZone que respete los atributos de VLAN devueltos por el servidor RADIUS. Número cinco: la VLAN de DPSK no se propaga. Si los usuarios de DPSK se autentican pero no acceden a la VLAN correcta, verifique que la asignación de VLAN por DPSK esté habilitada en la configuración de la WLAN y que los puertos del switch conectados a sus AP estén configurados como puertos troncales (trunk) que transporten todas las VLAN de DPSK. Si el puerto del switch es un puerto de acceso, el etiquetado de VLAN se eliminará. Ahora, tres preguntas rápidas que me hacen en cada implementación de Ruckus y Purple. ¿Necesito una VLAN dedicada para Guest WiFi? Sí, siempre. Aísle el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma red. Habilite el aislamiento de clientes en la WLAN de invitados para evitar que los dispositivos de los invitados se comuniquen entre sí. ¿Puedo utilizar Purple con Ruckus One (la plataforma gestionada en la nube) en lugar de SmartZone? Sí. La ruta de configuración es diferente (se encuentra en WiFi Networks, configuración de Guest Access en el portal de Ruckus One), pero los principios de configuración del Walled Garden y de RADIUS son idénticos. ¿Admite Purple implementaciones multizona de SmartZone? Sí. La integración de Purple gestiona entornos SmartZone multizona, y puede delimitar las configuraciones del portal a zonas individuales para diferentes establecimientos o plantas dentro de una única instancia de SmartZone. Para resumir. La integración de Ruckus y Purple cubre tres casos de uso distintos, cada uno con su propio modelo de configuración. Guest WiFi utiliza el flujo de captive portal WISPr: cinco puntos clave de configuración: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un Walled Garden correctamente delimitado utilizando entradas con comodines, el comando de CLI no encrypt-mac-ip y la interfaz Northbound Interface habilitada con las credenciales correctas. El WiFi seguro para el personal utiliza 802.1X EAP con direccionamiento dinámico de VLAN a través de atributos RADIUS; el habilitador crítico es AAA Override en la configuración avanzada de la WLAN. El aislamiento multiinquilino utiliza Ruckus DPSK: claves únicas por inquilino, cada una vinculada a una VLAN dedicada, con revocación instantánea y cero riesgos de contraseña compartida. Si domina estos tres patrones, tendrá una arquitectura de red que se escala desde un hotel independiente de 50 habitaciones con Unleashed hasta un estadio de 5.000 asientos con SmartZone, con la misma plataforma Purple por encima de todo proporcionando análisis unificados, captura de datos que cumple con el GDPR y gestión de acceso centralizada. Si está planeando una implementación de Ruckus con Purple, el equipo técnico de incorporación puede guiarle a través de una lista de comprobación previa al lanzamiento y validar su configuración antes de la puesta en marcha. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión, lo que le brinda la visibilidad necesaria para detectar problemas antes de que lo hagan sus invitados. Gracias por escucharnos. Hasta la próxima.