Saltar al contenido principal
Español

SonicWall TZ and SonicWave Integration with Purple WiFi

This technical reference details the integration of SonicWall TZ firewalls and SonicWave APs with the Purple WiFi platform. It provides actionable configuration steps for captive portal redirection, walled garden exceptions, 802.1X authentication, and dynamic VLAN steering using Private Pre-Shared Keys (PPSK).

📖 6 min de lectura📝 1,263 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
INTEGRACIÓN DE SONICWALL TZ Y SONICWAVE CON PURPLE WIFI Serie de sesiones técnicas de Purple WiFi Intelligence Platform Duración: Aproximadamente 10 minutos Voz: Inglés del Reino Unido, tono de consultor senior: seguro de sí mismo, conversacional, con autoridad --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Le damos la bienvenida a la serie de sesiones técnicas de Purple. Hoy abordaremos una de las integraciones técnicamente más complejas en el ámbito del WiFi empresarial: los cortafuegos SonicWall TZ y los puntos de acceso SonicWave, implementados junto con Purple para la autenticación de invitados, el control de acceso del personal y el aislamiento de redes multiinquilino. Si usted es ingeniero de seguridad de TI o un MSP que gestiona recintos (hoteles, cadenas minoristas, centros de conferencias o desarrollos de uso mixto), esta sesión es para usted. Vamos a avanzar rápidamente por la arquitectura, los pasos de configuración y los puntos donde suelen fallar las implementaciones. SonicWall es una opción sólida en el sector de las pymes y el mercado medio. Los cortafuegos de la serie TZ se implementan ampliamente y los AP SonicWave se integran de forma nativa a través de SonicOS y el Wireless Network Manager. Al añadir Purple, obtiene una capa de WiFi para invitados gestionada en la nube con páginas de inicio personalizadas, autenticación basada en RADIUS y captura de datos de origen, todo ello sin tener que sustituir su infraestructura de SonicWall existente. Pasemos a analizar la arquitectura. --- SEGMENTO 2: INMERSIÓN TÉCNICA (aproximadamente 5 minutos) Aquí tenemos que cubrir cuatro casos de uso distintos, y cada uno tiene una ruta de configuración diferente. WiFi para invitados con redirección a un Captive Portal. Excepciones de Walled Garden. WiFi seguro para el personal mediante 802.1X. Y aislamiento multiinquilino mediante claves precompartidas privadas de SonicWall (PPSK) con direccionamiento dinámico de VLAN. Comencemos con el WiFi para invitados y el Captive Portal de SonicWall. SonicOS utiliza un mecanismo llamado Lightweight Hotspot Messaging (LHM) para gestionar las redirecciones a Captive Portals externos. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, SonicWall intercepta esa solicitud HTTP y la redirige a la URL de la página de inicio de Purple. El invitado se autentica en la plataforma de Purple (a través de inicio de sesión social, correo electrónico o mediante un clic de aceptación) y Purple envía una autorización LHM de vuelta a SonicWall en el puerto TCP 4043. A continuación, SonicWall abre el acceso a internet para la dirección MAC de ese dispositivo. La configuración en SonicOS 7.x funciona de la siguiente manera. En primer lugar, navegue a Object, luego a Match Objects y después a Zones. Edite la zona asignada a su WiFi de invitados (normalmente una WLAN o una zona personalizada). En Guest Services, active tanto "Enable Guest Services" como "External Guest Authentication". A continuación, vaya a Configure, Guest Services, General. Establezca el Client Redirect Protocol en HTTP. Introduzca el nombre de host del portal de Purple como dirección del servidor web: esto es, portal.purple.ai. Establezca la ruta de redirección a la URL de la página de inicio específica de su recinto, que Purple proporciona en el panel de control del recinto. El puerto es el 4043. En la pestaña Auth Pages, configure la URL de inicio de sesión con la URL del portal externo de Purple. Configure la URL de cierre de sesión si desea gestionar la finalización de la sesión. En la pestaña Advanced, habilite "Allow unauthenticated users to access HTTPS sites" solo si necesita dar soporte a dispositivos que priorizan HTTPS (tenga en cuenta que esto debilita la aplicación de la redirección). Una vez guardado, SonicOS crea automáticamente una política NAT y una regla de acceso WAN-to-WAN que permite TCP 4043. No elimine estas reglas generadas automáticamente. Son las que permiten que se complete el saludo LHM. Ahora, la configuración del Walled Garden. Antes de que un invitado se autentique, su dispositivo debe poder acceder a ciertos dominios para que la splash page funcione. La plataforma de Purple depende de su propia CDN y de sus endpoints de API. Las sondas de detección de Captive Portal del sistema operativo (captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows) deben incluirse en la lista blanca. Si ofrece inicio de sesión social, añada accounts.google.com, oauth2.googleapis.com, apis.google.com y gstatic.com para Google. Añada www.facebook.com, graph.facebook.com, connect.facebook.net y el dominio de CDN fbcdn.net si ofrece inicio de sesión con Facebook. En SonicOS, añada estos dominios como objetos de dirección FQDN en Object, Match Objects, Addresses. A continuación, cree reglas de acceso en la zona de invitados que permitan a los dispositivos no autenticados acceder a estos FQDN. Utilice la resolución DNS dinámica (SonicOS resuelve los objetos FQDN a intervalos regulares) en lugar de entradas de IP estáticas, que variarán a medida que cambien los rangos de IP de la CDN. Pasemos a la configuración de Secure Staff WiFi con 802.1X. Aquí es donde los puntos de acceso SonicWave y el servidor RADIUS de Purple trabajan juntos. El punto de acceso SonicWave actúa como autenticador en el intercambio 802.1X. El suplicante es el dispositivo del empleado. El servidor RADIUS de Purple es el servidor de autenticación. El método EAP que elija dependerá de su proveedor de identidad. Si utiliza Microsoft Entra ID u Okta, PEAP-MSCHAPv2 es la opción más común porque funciona con credenciales de usuario y contraseña. Si ha implementado certificados de dispositivo (que es el enfoque recomendado para dispositivos gestionados), utilice EAP-TLS. En Wireless Network Manager, navegue a Policies, Policy Hierarchy, seleccione su política de AP y haga clic en la pestaña 802.1X. Introduzca la dirección IP del servidor RADIUS de Purple (disponible en su panel de control de sede de Purple, en la sección de configuración de RADIUS). El secreto compartido es generado por Purple y debe coincidir exactamente en ambos lados. Configure el puerto de autenticación en 1812 y el puerto de contabilidad en 1813. Para la configuración de EAP, seleccione el método que coincida con la configuración de su proveedor de identidad. Por parte de Purple, cree una política de RADIUS para la autenticación del personal. Asocie el SSID del personal a una VLAN específica; por ejemplo, la VLAN 200 para el personal. El servidor RADIUS de Purple devuelve la asignación de VLAN utilizando tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en 802 y Tunnel-Private-Group-ID establecido en el ID de la VLAN como una cadena (por lo tanto, "200" para la VLAN 200). El cortafuegos de SonicWall y el AP de SonicWave respetan estos atributos y colocan automáticamente el dispositivo del personal autenticado en la VLAN correcta. Ahora, el caso de uso más interesante desde el punto de vista arquitectónico: PPSK y aislamiento de múltiples inquilinos. Las claves privadas precompartidas (PPSK) le permiten ejecutar un único SSID y asignar a cada inquilino, residente o grupo de usuarios una contraseña única. Cuando un dispositivo se conecta utilizando una PPSK específica, el AP de SonicWave envía esa clave al servidor RADIUS de Purple para su validación. Purple busca la clave, identifica el inquilino o grupo de usuarios asociado y devuelve la asignación de VLAN correspondiente a través del atributo Tunnel-Private-Group-ID. A continuación, el SonicWall dirige ese dispositivo a la VLAN correcta, completamente aislado de otros inquilinos en el mismo SSID. Esto es Identity-Based Networking en la práctica. No está gestionando los SSIDs por inquilino. Está gestionando las identidades por inquilino. En una promoción de uso mixto con diez locales comerciales, un único SSID se emite en todo el edificio. Cada inquilino recibe su propia PPSK. Cada PPSK se asocia a una VLAN y subred dedicadas. Los dispositivos del Inquilino A nunca ven el tráfico del Inquilino B, aunque compartan los mismos puntos de acceso físicos. La configuración de PPSK en SonicOS requiere el modo PPSK basado en RADIUS en el SSID. En el Wireless Network Manager, edite el SSID, configure el modo de seguridad en WPA2-Enterprise con PPSK y apunte el servidor RADIUS a Purple. Purple gestiona la tabla de asignación de PPSK a VLAN de forma centralizada. Cuando añade un nuevo inquilino, crea una nueva PPSK en Purple, le asigna una VLAN y el cambio se propaga a todos los AP de SonicWave en ese centro sin necesidad de tocar la configuración del cortafuegos. --- SEGMENTO 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aproximadamente 2 minutos) Permítame indicarle las tres cosas que más frecuentemente fallan en los despliegues de SonicWall y Purple. Primero: el puerto LHM. El puerto TCP 4043 debe estar abierto desde la WAN hacia la interfaz WAN del SonicWall. Si su ISP o el cortafuegos ascendente bloquean este puerto, el saludo de autorización de LHM nunca se completa y los invitados se quedan bloqueados en la página de inicio (splash page) tras autenticarse. Ven que el inicio de sesión se ha realizado correctamente en el lado de Purple, pero el SonicWall nunca recibe la señal de autorización. Pruebe esto con una comprobación mediante telnet o curl al puerto 4043 desde una IP externa antes de la puesta en marcha. Segundo: el tiempo de resolución de los objetos FQDN. SonicOS resuelve los objetos de dirección FQDN al arrancar y, posteriormente, en un intervalo configurable. Si añade un nuevo dominio de portal cautivo (walled garden) y la resolución aún no se ha actualizado, los dispositivos no autenticados no podrán acceder a él. Fuerce una actualización manual después de añadir nuevos objetos FQDN o configure el intervalo de actualización de DNS en 60 segundos en despliegues con un volumen de tráfico elevado. Tercero: configuración de la subinterfaz VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si las VLAN de destino existen como subinterfaces en el SonicWall antes de que se autentique el primer dispositivo. Si una respuesta de RADIUS devuelve un Tunnel-Private-Group-ID 110 pero la VLAN 110 no existe como subinterfaz en el SonicWall, el dispositivo se desconecta o vuelve a la VLAN predeterminada. Cree y pruebe todas las subinterfaces VLAN antes de habilitar la asignación de VLAN por RADIUS. Para los MSP que gestionan múltiples ubicaciones, el panel de control en la nube de Purple le permite gestionar de forma centralizada las políticas de RADIUS, las tablas PPSK y las configuraciones del portal cautivo. Puede aplicar cambios de configuración en todas las ubicaciones desde una única interfaz. Esa es la ventaja operativa de un enfoque de superposición en la nube: el hardware de SonicWall permanece en su lugar y Purple gestiona la capa de identidad y políticas por encima de este. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Algunas preguntas que surgen con frecuencia. "¿Puedo usar APs SonicWave en modo autónomo con Purple?" Sí, pero perderá algunas funciones. En modo autónomo, los APs SonicWave gestionan su propia configuración de RADIUS de forma local. Aún puede apuntar al servidor RADIUS de Purple para 802.1X. Sin embargo, para PPSK con asignación dinámica de VLAN, necesita el SonicWall TZ como proxy RADIUS o el Wireless Network Manager que gestione la política de AP de forma centralizada. "¿Es compatible Purple con WPA3 en SonicWave?" El soporte de WPA3 en SonicWave depende de la versión del firmware y del modelo de AP. Los AP de la serie SonicWave 600 son compatibles con WPA3. Para casos de uso de portal cautivo, WPA3 con cifrado inalámbrico oportunista es compatible con el flujo de redirección LHM de Purple, pero realice pruebas en su versión específica de firmware antes de implementarlo a gran escala. "¿Cómo gestiona Purple el GDPR para los datos de invitados recopilados a través del portal cautivo?" Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. El consentimiento se registra en el portal cautivo con casillas de verificación de aceptación configurables. Purple almacena los datos de primera parte de acuerdo con su política de retención de datos. Los invitados pueden acceder a sus datos y eliminarlos a través del portal de autoservicio de Purple. "¿Qué atributos RADIUS devuelve Purple para la asignación dinámica de VLAN?" Tres atributos: Tunnel-Type con valor VLAN, Tunnel-Medium-Type con valor 802 y Tunnel-Private-Group-ID con el ID de VLAN como una cadena. Estos son los atributos estándar RFC 2868 compatibles con SonicOS y SonicWave. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. Los firewalls SonicWall TZ y los APs SonicWave se integran con Purple a través de dos mecanismos principales: LHM para la redirección del portal cautivo de invitados y RADIUS para la autenticación de personal 802.1X e aislamiento multiinquilino basado en PPSK. Los pasos clave de configuración son: habilitar la autenticación externa de invitados en la zona de invitados, configurar la URL del portal de Purple en el puerto 4043, crear sus objetos FQDN de walled garden, configurar RADIUS en la política de AP de SonicWave en Wireless Network Manager y crear sus subinterfaces VLAN en el SonicWall antes de habilitar la asignación dinámica de VLAN. Para despliegues multi-inquilino (multi-tenant), la arquitectura ideal es PPSK con redirección de VLAN basada en RADIUS. Un SSID, un conjunto de APs y un aislamiento completo de los inquilinos mediante la asignación de VLAN basada en la identidad. Si está planificando un despliegue o revisando uno existente, el equipo técnico de Purple puede proporcionarle archivos de configuración RADIUS específicos para el establecimiento y listas de dominios para el walled garden. La plataforma Purple da soporte a 80.000 establecimientos activos y ha procesado 440 millones de inicios de sesión en 2024; los patrones de integración que hemos analizado hoy están más que contrastados a gran escala. Gracias por su atención. La guía escrita completa con las tablas de configuración paso a paso y los diagramas de arquitectura de Mermaid está disponible en el sitio web de Purple. --- FIN DEL SCRIPT

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Definiciones clave

Lightweight Hotspot Messaging (LHM)

Un protocolo utilizado por SonicWall para comunicarse con Captive Portals externos. Gestiona el direccionamiento y el saludo de autorización.

Requerido para integrar SonicOS con plataformas de WiFi para invitados gestionadas en la nube como Purple.

Walled Garden

Un conjunto específico de dominios o direcciones IP a los que se permite acceder a los dispositivos no autenticados.

Crítico para permitir que los dispositivos de los invitados carguen la página de bienvenida, accedan a las CDN y completen los flujos OAuth de inicio de sesión social antes de obtener acceso total a internet.

Private Pre-Shared Key (PPSK)

Un método de seguridad en el que múltiples contraseñas únicas son válidas en un único SSID, estando cada contraseña vinculada a un usuario o política específicos.

Utilizado en entornos multiinquilino para aislar el tráfico sin transmitir múltiples SSIDs.

Captive Network Assistant (CNA)

El mecanismo integrado del sistema operativo (en iOS, Android, Windows) que detecta un Captive Portal y abre automáticamente una ventana de navegador limitada para la autenticación.

Si los dominios de prueba del sistema operativo (por ejemplo, captive.apple.com) no están en el walled garden, el CNA no se activará y los invitados pensarán que el WiFi no funciona.

Dynamic VLAN Steering

El proceso de asignar un dispositivo a una VLAN específica en función de su identidad o credenciales, en lugar del SSID al que se conectó.

Gestionado por Purple RADIUS que devuelve el atributo Tunnel-Private-Group-ID a SonicWall.

FQDN Address Object

Un objeto de cortafuegos basado en un nombre de dominio completo (Fully Qualified Domain Name) en lugar de una dirección IP estática.

SonicOS resuelve estos objetos de forma dinámica, lo que los hace esenciales para configuraciones sólidas de walled garden.

Identity-Based Network

Una arquitectura de red donde las políticas de acceso y la segmentación se aplican en función del usuario o dispositivo autenticado, en lugar de los puertos físicos o SSIDs.

Se logra combinando Purple RADIUS con SonicWall PPSK y 802.1X.

Tunnel-Private-Group-ID

El atributo estándar RADIUS RFC 2868 utilizado para especificar el identificador de VLAN (VLAN ID) para un dispositivo que se conecta.

Debe ser devuelto por Purple como un valor de cadena (por ejemplo, '100') para indicar a SonicWall que dirija el dispositivo.

Ejemplos prácticos

A 150-room hotel (Premier Inn) needs to provide free Guest WiFi via a splash page and a secure Staff WiFi network for housekeeping devices. They have a SonicWall TZ570 and 40 SonicWave APs. How should they segment this traffic?

Deploy two SSIDs. SSID 1: 'Guest-WiFi' mapped to VLAN 100. Configure the SonicWall WLAN zone for External Guest Authentication pointing to portal.purple.ai on TCP 4043. Configure the walled garden FQDNs for Purple and social logins. SSID 2: 'Staff-WiFi' mapped to VLAN 200 using 802.1X. Point the SonicWave AP policy to Purple's RADIUS server. Configure Purple to authenticate housekeeping devices via MAC address bypass (MAB) or PEAP-MSCHAPv2, returning Tunnel-Private-Group-ID '200'.

Comentario del examinador: This approach strictly isolates untrusted guest traffic from operational systems. Using Purple for both the Captive Portal and RADIUS authentication centralises identity management. MAB is appropriate for headless devices (like cleaning carts), while 802.1X secures staff phones.

A coworking space manages 15 different companies sharing one open-plan office. They want to provide secure, isolated networks for each company without broadcasting 15 different SSIDs from their SonicWave APs.

Deploy a single SSID named 'Workspace-Secure' using WPA2-Enterprise with PPSK. Create 15 VLAN sub-interfaces on the SonicWall TZ firewall (e.g., VLANs 101-115). In the Purple dashboard, generate a unique PPSK for each company and map it to their specific VLAN ID. When a user connects using their company's PPSK, Purple RADIUS returns the corresponding Tunnel-Private-Group-ID, and the SonicWall steers the device into the isolated VLAN.

Comentario del examinador: This Identity-Based Network design scales cleanly. Broadcasting 15 SSIDs would cause severe management frame overhead and degrade WiFi performance. PPSK provides the security of unique credentials and the isolation of dedicated VLANs without the RF penalty of multiple SSIDs.

Preguntas de práctica

Q1. Has configurado la zona de invitados de SonicWall para la Autenticación de Invitados Externa y has establecido el servidor web en portal.purple.ai. Los invitados son redirigidos a la splash page y pueden iniciar sesión correctamente, pero nunca obtienen acceso a internet. ¿Cuál es la causa más probable?

Sugerencia: Piensa en cómo Purple indica al SonicWall que la autenticación se ha realizado correctamente.

Ver respuesta modelo

El paquete de autorización LHM está siendo bloqueado. El puerto TCP 4043 debe estar abierto en la interfaz WAN de SonicWall para recibir la señal de éxito de Purple. Comprueba los firewalls ascendentes o las configuraciones del ISP para verificar si hay bloqueo de puertos.

Q2. Un establecimiento desea ofrecer inicio de sesión con Facebook en su splash page. Añades www.facebook.com al grupo de direcciones FQDN del walled garden. Los invitados informan de que la página de inicio de sesión de Facebook se carga, pero el diseño está dañado y el botón de inicio de sesión no funciona.

Sugerencia: Las aplicaciones web modernas cargan recursos desde múltiples dominios.

Ver respuesta modelo

El walled garden está incompleto. También debes incluir en la lista blanca los dominios que sirven el CSS, JavaScript y las llamadas API de Facebook, específicamente graph.facebook.com, connect.facebook.net y el dominio CDN (por ejemplo, *.fbcdn.net).

Q3. Estás desplegando PPSK para una oficina multiinquilino. Configuras el SSID para WPA2-Enterprise con PPSK y apuntas el servidor RADIUS a Purple. Creas una PPSK en Purple asignada a la VLAN 50. Cuando un usuario se conecta con esa PPSK, recibe una dirección IP de la VLAN 10 en su lugar. ¿Por qué?

Sugerencia: El SonicWall necesita saber a dónde enviar el tráfico antes de que se complete la solicitud RADIUS.

Ver respuesta modelo

La VLAN 50 no se ha creado como una subinterfaz en el firewall SonicWall TZ. El direccionamiento dinámico de VLAN requiere que la VLAN de destino exista previamente en el firewall; si no existe, el dispositivo vuelve a la VLAN por defecto sin etiquetar (en este caso, la VLAN 10).

Continúe leyendo esta serie

Guía paso a paso para el acceso de invitados: Integración de Cisco WLC y Catalyst con Purple WiFi

Esta guía de referencia detalla la integración paso a paso de los Cisco Catalyst 9800 WLCs con Purple WiFi. Cubre el proceso de External Web Authentication para portales cautivos de invitados, 802.1X EAP-TLS para el acceso seguro del personal e Cisco iPSK para la segmentación dinámica de VLAN en entornos multiinquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →