Integración de Zyxel Nebula Cloud y USG con Purple WiFi

Resumen ejecutivo

Zyxel Nebula Cloud y los firewalls USG Flex están desplegados en miles de establecimientos empresariales, desde cadenas hoteleras hasta grupos de tiendas de retail. Al integrar este hardware con Purple, añade una capa de autenticación de invitados que cumple con las normativas y recopila datos, transformando una red inalámbrica estándar en un activo de datos de origen (first-party data). Esta guía cubre cuatro escenarios de despliegue: redirección del Captive Portal de invitados a través de una página de bienvenida externa, autenticación y registro basados en RADIUS, red WiFi segura para el personal mediante IEEE 802.1X y segmentación de red multiinquilino mediante claves precompartidas personales dinámicas (DPPSK) de Zyxel. Purple opera en más de 80 000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). Cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. La arquitectura de integración descrita aquí es independiente del hardware a nivel de plataforma, pero las rutas y parámetros de configuración específicos de esta guía se aplican a Zyxel Nebula Control Center (NCC) y a los firewalls USG Flex que ejecutan el firmware actual.

Para obtener una visión más amplia de la arquitectura de seguridad WiFi empresarial, consulte nuestra Seguridad WiFi empresarial: Guía completa para 2026 .

Análisis técnico detallado

Arquitectura de integración

La integración de Zyxel y Purple se basa en tres protocolos estándar que funcionan en secuencia: redirección HTTP (detección de Captive Portal), autenticación RADIUS (UDP 1812) y registro (accounting) RADIUS (UDP 1813). Cuando un dispositivo de invitado se conecta al SSID de la red WiFi de invitados, el punto de acceso Zyxel intercepta la primera solicitud HTTP y emite una redirección HTTP 302 a la URL del Captive Portal externo de Purple. El invitado se autentica en la página de bienvenida de Purple (a través de correo electrónico, inicio de sesión social o SMS) y Purple envía un mensaje RADIUS Access-Accept de vuelta al controlador Zyxel. El controlador concede acceso a internet y comienza a enviar paquetes RADIUS Accounting Start para registrar los datos de la sesión.

El firewall Zyxel USG Flex se sitúa entre los segmentos inalámbricos y la WAN. Aplica políticas de seguridad basadas en zonas que aíslan las VLANs de invitados, personal y multiinquilino entre sí y de la LAN corporativa. Nebula Control Center gestiona los puntos de acceso y las configuraciones de SSID de forma centralizada a través de HTTPS en el puerto 443 hacia la nube de Nebula.

Parámetros RADIUS

La siguiente tabla resume los parámetros de configuración de RADIUS que necesitará de su consola de administración de Purple.

Configure siempre tanto el servidor RADIUS principal como el secundario. Un único endpoint de RADIUS es un punto único de fallo que bloqueará el acceso a los invitados si el servidor no está disponible.

Configuración de Walled Garden

El Walled Garden (también llamado lista de permitidos) define los dominios y rangos de IP a los que un dispositivo puede acceder antes de completar la autenticación. En Zyxel Nebula, esto se configura en Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Debe incluir las siguientes categorías de entradas:

• El dominio del portal de Purple y todos los subdominios (utilice el formato de comodín: *.purple.ai)
• Dominios CDN que sirven los recursos CSS, JavaScript e imágenes del portal
• Dominios de proveedores de inicio de sesión social si habilita el inicio de sesión con Facebook, Google o Microsoft
• Detección de Captive Portal de Apple: captive.apple.com
• Comprobación de conectividad de Google: connectivitycheck.gstatic.com
• Microsoft NCSI: www.msftconnecttest.com

Si falta alguna de estas entradas, la página de bienvenida no se representará correctamente en determinados tipos de dispositivos. Los dispositivos iOS, en particular, mostrarán un mininavegador en blanco si el endpoint CNA de Apple no se gestiona correctamente.

Red WiFi segura para el personal mediante IEEE 802.1X

Para las redes del personal, no debe utilizar una PSK compartida. IEEE 802.1X (definido en el estándar IEEE 802.1X-2020) proporciona control de acceso a la red basado en puertos utilizando credenciales individuales por usuario. En Nebula, esto se configura estableciendo la seguridad del SSID en WPA2-Enterprise y apuntando la autenticación al servidor de autenticación en la nube de Nebula (NCAS) o a un servidor RADIUS externo como Microsoft Entra ID u Okta a través de un proxy RADIUS.

Para despliegues de WPA3-Enterprise, la ruta de configuración es idéntica pero se selecciona WPA3 en las opciones de seguridad. WPA3 exige tramas de gestión protegidas (PMF) y utiliza la autenticación simultánea de iguales (SAE) para una mayor resistencia a los ataques de diccionario fuera de línea.

PPSK y asignación dinámica de VLAN para espacios multiinquilino

Zyxel DPPSK (Dynamic Personal Pre-Shared Key) permite que un único SSID sirva a múltiples segmentos de red aislados. Cada usuario o dispositivo recibe una contraseña única. Cuando se autentican, el controlador de Nebula asigna esa contraseña a un ID de VLAN definido en la base de datos de DPPSK. Este es el enfoque correcto para espacios de coworking, residencias de estudiantes, promociones de alquiler residencial (BTR) y edificios de viviendas múltiples (MDUs) donde se necesita el aislamiento de los inquilinos sin transmitir docenas de SSIDs.

DPPSK requiere la licencia Nebula Pro Pack y la versión de firmware del punto de acceso 6.00 o posterior. La base de datos de DPPSK se configura en Configure > Cloud authentication > DPPSK en Nebula Control Center. Cada entrada incluye la contraseña, una fecha de vencimiento opcional, un correo electrónicorección para el envío y el ID de VLAN de destino.

El número máximo de entradas DPPSK autorizadas simultáneamente es de 2.048. Para despliegues con más de 2.048 usuarios concurrentes, deberá gestionar las fechas de caducidad con cuidado para garantizar que las credenciales activas se mantengan dentro de este límite.

Guía de implementación

Paso 1: Preparar la infraestructura de red

Antes de realizar cambios en el Nebula Control Center, configure sus VLAN en el USG Flex Firewall y en los switches de distribución.

1. Cree una VLAN de invitados (ejemplo: VLAN 10) con una subred dedicada (ejemplo: 192.168.10.0/24). Configure un servidor DHCP en esta interfaz.
2. Cree una VLAN de personal (ejemplo: VLAN 20) con una subred dedicada (ejemplo: 192.168.20.0/24).
3. Para despliegues multiinquilino, cree VLAN adicionales por inquilino (ejemplo: VLAN 30, 40, 50).
4. En el USG Flex, cree una Zona de invitados asignada a la VLAN 10. Cree una política de seguridad que permita el tráfico desde la Zona de invitados hacia la zona WAN. Cree una política de denegación total que bloquee el tráfico desde la Zona de invitados hacia la zona LAN.
5. Asegúrese de que los puertos del switch que conectan los AP de Zyxel estén configurados como trunks 802.1Q que transporten todas las etiquetas VLAN requeridas.

Paso 2: Configurar el SSID de invitados en Nebula Control Center

1. Inicie sesión en Nebula Control Center en ncc.nebula.zyxel.com.
2. Vaya a A nivel de sitio > Configurar > Puntos de acceso > Configuración de SSID.
3. Habilite el SSID de invitados y active el Modo avanzado.
4. Habilite la Red de invitados para activar el aislamiento de clientes de Capa 2. Esto evita que los dispositivos de los invitados se comuniquen directamente entre sí en el mismo SSID.
5. Guardar.

Paso 3: Configurar el Captive Portal externo

1. Vaya a A nivel de sitio > Configurar > Puntos de acceso > Configuración avanzada de SSID.
2. Seleccione su SSID de invitados en el menú desplegable.
3. En Método de inicio de sesión, seleccione Haga clic para continuar para el redireccionamiento inicial, o seleccione Mi servidor RADIUS si utiliza la autenticación MAC basada en RADIUS de Purple.
4. Vaya a A nivel de sitio > Configurar > Puntos de acceso > Personalización del Captive Portal.
5. En URL del Captive Portal externo, introduzca la URL de redireccionamiento de Purple desde su consola de administración de Purple. El formato es https://[su-dominio-purple]/[id-del-establecimiento].
6. En Configuración avanzada del Captive Portal, introduzca todos los dominios de Walled Garden requeridos.
7. Establezca la Política estricta en Bloquear todo el acceso hasta el inicio de sesión para evitar que los invitados omitan el portal.
8. Establezca el Tiempo de reautenticación para que coincida con la política de sesión de su establecimiento (normalmente 24 horas para hostelería, 30 días para programas de fidelización de comercios minoristas).
9. Guardar.

Paso 4: Configurar RADIUS en Nebula

1. En Configuración avanzada de SSID, en Acceso a la red, seleccione Mi servidor RADIUS.
2. Introduzca la IP del servidor RADIUS primario desde su consola de administración de Purple.
3. Establezca el Puerto de autenticación en 1812.
4. Introduzca el Secreto compartido.
5. Repita el proceso para el servidor RADIUS secundario.
6. Habilite el RADIUS accounting y establezca el puerto de registro en 1813.
7. Guardar.

Paso 5: Configurar DPPSK para la segmentación multiinquilino

1. Vaya a Configurar > Puntos de acceso > Configuración avanzada de SSID.
2. Seleccione el SSID multiinquilino y establezca el Acceso a la red en PSK personal dinámico.
3. Vaya a Configurar > Autenticación en la nube > DPPSK.
4. Haga clic en Añadir y seleccione Crear DPPSK por lotes.
5. Establezca el número de credenciales, la fecha de caducidad y el ID de VLAN de destino para cada grupo de inquilinos.
6. Introduzca la dirección de correo electrónico para recibir el lote de credenciales.
7. Guarde y distribuya las credenciales a los inquilinos.

Paso 6: Validar el despliegue

1. Conecte un dispositivo de prueba al SSID de la WiFi de invitados.
2. Confirme que el dispositivo es redirigido a la página de bienvenida de Purple.
3. Complete la autenticación y confirme que se concede acceso a internet.
4. En la consola de administración de Purple, verifique que la sesión aparece en el panel de analítica.
5. En Nebula, vaya a Punto de acceso > Monitorizar > Clientes para confirmar que el cliente está asociado y asignado a la VLAN correcta.
6. Pruebe DPPSK conectándose con una credencial de inquilino y confirmando la asignación de VLAN correcta.

Buenas prácticas

Segmente cada tipo de tráfico. El tráfico de invitados, de personal y de IoT debe ocupar una VLAN dedicada para cada uno. Esto no es opcional si su establecimiento procesa pagos con tarjeta en la misma infraestructura física: PCI DSS v4.0 exige la segmentación de la red entre los entornos de datos de los titulares de tarjetas y las redes de invitados.

Utilice redundancia RADIUS. Configure las direcciones IP de RADIUS de Purple tanto principales como secundarias en Nebula. Un único fallo en el servidor RADIUS impedirá toda autenticación de invitados hasta que se resuelva.

Audite el Walled Garden con regularidad. Los proveedores de portales actualizan sus configuraciones de CDN. Un dominio que funcionaba en el momento del despliegue puede dejar de funcionar seis meses después si el proveedor migra los recursos a una nueva CDN. Programe una revisión trimestral de sus entradas de Walled Garden.

Habilite el RADIUS accounting. Sin el registro de conexiones (accounting), Purple no puede realizar el seguimiento de la duración de las sesiones, el uso de datos ni aplicar límites de acceso basados en el tiempo. Los datos de accounting también alimentan el panel de WiFi Analytics .

Aplique WPA3 siempre que el hardware lo admita. Los puntos de acceso Zyxel lanzados a partir de 2021 son compatibles con WPA3. Para la WiFi de personal, WPA3-Enterprise con modo de seguridad de 192 bits se alinea con las recomendaciones de NIST SP 800-187 para la seguridad inalámbrica empresarial.

Pruebe el comportamiento del CNA antes del lanzamiento. En iOS, el mini-navegador Captive Network Assistant (CNA) tiene una funcionalidad limitada en comparación con un navegador completo. Pruebe su página de bienvenida de Purple en el entorno CNA (especialmente los flujos de inicio de sesión social y el JavaScript personalizado) antes de desplegarla para los invitados.

Para despliegues en el sector de la hostelería , consulte también nuestra guía sobre la segmentación de redes de invitados y de gestión interna (back-of-house). Para entornos de comercio minorista , se aplica el mismo enfoque PPSK para aislar los sistemas de punto de venta de la WiFi para compradores.

Resolución de problemas y mitigación de riesgos

La página de bienvenida no se carga

Síntoma: El invitado se conecta al SSID pero ve una página en blanco o un error de navegador en el CNA.

Causa: Uno o varios dominios requeridos por la página de bienvenida no están en el Walled Garden.

Resolución: Conecte un dispositivo de prueba al SSID de invitados. Abra un navegador (no el CNA) y navegue a cualquier URL HTTP. Cuando se le redirija al portal, abra las herramientas de desarrollo del navegador e inspeccione la pestaña Red (Network). Identifique cualquier solicitud que devuelva errores 403 o de conexión rechazada. Añada estos dominios al Nebula Walled Garden.

Los invitados se autentican pero no obtienen acceso a internet

Síntoma: El invitado completa el formulario del portal y ve una página de éxito, pero la navegación por internet falla.

Causa: El controlador Zyxel no recibe el mensaje RADIUS Access-Accept de Purple, o el cortafuegos USG Flex está bloqueando la respuesta RADIUS.

Resolución: Verifique que los puertos UDP de salida 1812 y 1813 estén permitidos desde la IP de gestión del AP de Zyxel hacia la IP del servidor RADIUS de Purple. Revise los registros de políticas de seguridad de USG Flex para ver si hay tráfico bloqueado.

Faltan los datos de contabilidad de RADIUS en el panel de Purple

Síntoma: Las sesiones aparecen en Nebula pero el panel de analítica de Purple no muestra datos de duración de las sesiones.

Causa: RADIUS Accounting no está habilitado en la configuración del SSID de Nebula, o el puerto UDP 1813 está bloqueado.

Resolución: Confirme que RADIUS Accounting esté habilitado en la configuración avanzada del SSID. Verifique que el puerto de contabilidad esté configurado en 1813 y que el secreto compartido coincida con la configuración de Purple.

Usuarios de DPPSK asignados a una VLAN incorrecta

Síntoma: Un inquilino se conecta con su PPSK pero es ubicado en el segmento de red incorrecto.

Causa: El ID de VLAN en la entrada de la base de datos DPPSK no coincide con la VLAN configurada en el trunk del switch o en la interfaz de USG Flex.

Resolución: Confronte el ID de VLAN en la base de datos DPPSK de Nebula con la configuración de VLAN en el switch ascendente (upstream) y en USG Flex. Asegúrese de que el puerto del switch del AP sea un trunk que transporte todas las VLAN de los inquilinos.

ROI e impacto empresarial

La integración de la infraestructura de Zyxel con Purple convierte una red inalámbrica que genera costes en un activo de datos que genera ingresos. Para un hotel de 200 habitaciones, capturar las direcciones de correo electrónico de los huéspedes y el consentimiento de marketing al iniciar sesión en el WiFi crea una base de datos CRM que impulsa campañas de reserva directa, reduciendo la dependencia de las comisiones de las OTA. Para una cadena de tiendas, la plataforma Guest WiFi de Purple proporciona análisis de afluencia, datos de tiempo de permanencia y tasas de visitas repetidas que fundamentan las decisiones de personal y comercialización.

Para operadores multi-inquilino (como promociones BTR, residencias de estudiantes o espacios de coworking), implementar Zyxel DPPSK con Purple elimina la sobrecarga operativa de gestionar SSIDs y credenciales independientes para cada inquilino. Un único SSID con asignación dinámica de VLAN reduce la interferencia de RF, simplifica la incorporación de usuarios y se escala a cientos de residentes sin necesidad de infraestructura adicional.

El SLA de disponibilidad del 99,999 % de Purple garantiza que la capa de autenticación no se convierta en un cuello de botella para el acceso de los invitados. Con 29 000 millones de puntos de datos recopilados en toda la plataforma (datos internos de Purple), la analítica ofrecida a través de la consola de administración de Purple proporciona a los operadores de los establecimientos información práctica que justifica la inversión en la integración dentro del primer trimestre de su implementación.

Para entornos de sanidad y transporte donde el WiFi para visitantes es un servicio regulado, la captura de datos y la gestión del consentimiento conformes con el GDPR integradas en el Captive Portal de Purple eliminan el riesgo de cumplimiento asociado con las redes abiertas no gestionadas.

Consulte también: Arista Cognitive Wi-Fi Integration with Purple WiFi para ver un patrón de integración comparable en una plataforma de hardware diferente.