Integración de Alta Labs con Purple WiFi: Configuración y Ajustes del Captive Portal

Esta guía de referencia técnica cubre la integración de extremo a extremo de los puntos de acceso Alta Labs AP6 y AP6 Pro con el Captive Portal alojado en la nube de Purple. Detalla la configuración de redirección externa, la autenticación RADIUS, los requisitos de walled garden y la segmentación multiinquilino mediante claves precompartidas privadas AltaPass. Los operadores de recintos y los equipos de TI dispondrán de un manual de despliegue repetible para entornos de hostelería, comercio minorista y oficinas inteligentes.

📖 8 min de lectura📝 1,844 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

GUION DE PODCAST: Integración de Alta Labs con Purple WiFi: Configuración y Portal Cautivo
Plataforma de Inteligencia Purple WiFi - Serie de Sesiones Técnicas Informativas
Duración: Aproximadamente 10 minutos
Voz: Inglés británico, tono de consultor sénior: seguro, conversacional, autoritario

---

[INTRODUCCIÓN - 1 MINUTO]

Bienvenido a la Serie de Sesiones Técnicas Informativas de Purple. Soy su anfitrión, y hoy vamos a desglosar la integración entre los puntos de acceso de Alta Labs y la plataforma de inteligencia Purple WiFi.

Si es un administrador de TI, arquitecto de redes o director de operaciones de recintos que busca implementar una solución de WiFi para invitados robusta y escalable, esta sesión informativa es para usted. Vamos a cubrir la configuración específica para los AP6 y AP6 Pro de Alta Labs, cómo configurar la redirección del Captive Portal externo y los ajustes críticos de walled garden necesarios para que los inicios de sesión con redes sociales funcionen realmente en el mundo real. También profundizaremos en AltaPass (la implementación de claves precompartidas privadas, o PPSK, de Alta Labs) y cómo puede utilizarlo para segmentar entornos multiinquilino sin destruir el rendimiento de su RF con un exceso de SSID.

Comencemos.

---

[INMERSIÓN TÉCNICA PROFUNDA - 5 MINUTOS]

La integración entre Alta Labs y Purple se basa en dos conceptos de red fundamentales: la redirección HTTP para el Captive Portal y RADIUS para la autenticación y la contabilidad.

Cuando un invitado entra en su recinto (por ejemplo, una tienda minorista o el vestíbulo de un hotel) y se conecta a su red de invitados abierta o WPA3-OWE, el AP de Alta Labs actúa como guardián. Intercepta las solicitudes HTTP iniciales del cliente y las redirige a su página de inicio de sesión personalizada de Purple.

Para configurar esto en la plataforma de gestión en la nube de Alta Labs, navegue a la configuración de su WiFi, seleccione su SSID de invitados y, en Configuración avanzada, establezca el tipo de red en Invitado. Esto es crucial porque aplica automáticamente el aislamiento de clientes, evitando que los dispositivos se comuniquen lateralmente a través de la red. A continuación, en la sección Hotspot, seleccione Externo e introduzca la URL de redirección de Purple proporcionada en la configuración de su recinto, junto con su Secreto de autorización.

Pero aquí es donde la mayoría de las implementaciones encuentran un obstáculo: el walled garden.

El walled garden es la lista de dominios y direcciones IP a los que un dispositivo tiene permitido acceder antes de haberse autenticado. Si desea que los invitados inicien sesión con Google, Facebook o Apple, sus dispositivos deben poder comunicarse con esos servidores OAuth mientras aún se encuentran en el estado previo a la autenticación.

Debe incluir explícitamente en la lista de permitidos los dominios de la infraestructura de Purple, como region1.purpleportal.net y cloudfront.net. Luego, debe agregar las sondas de Captive Portal del sistema operativo: captive.apple.com para iOS y connectivitycheck.gstatic.com para Android. Si bloquea estas, el teléfono no sabrá que está detrás de un Captive Portal y la página de inicio de sesión nunca aparecerá.

Finalmente, se añaden los dominios de inicio de sesión social. Para Google, son accounts.google.com, oauth2.googleapis.com y gstatic.com. Para Facebook, son facebook.com, graph.facebook.com y los dominios de fbcdn.net. Una lista blanca de IP estáticas no funcionará en este caso porque estos proveedores utilizan redes de distribución de contenido dinámicas. Debe utilizar nombres de dominio y asegurarse de que su controlador realice la resolución DNS dinámica.

Una vez que el usuario completa el inicio de sesión en la página de bienvenida de Purple, el servidor RADIUS de Purple envía un mensaje Access-Accept de vuelta al AP de Alta Labs. A continuación, el AP elimina la restricción del walled garden y concede al dispositivo acceso completo a internet. Es un flujo limpio y seguro que captura datos de origen (first-party data) al tiempo que mantiene la integridad de la red.

Ahora, hablemos de la segmentación multi-tenant.

En entornos como oficinas inteligentes, residencias de estudiantes o edificios de viviendas múltiples, a menudo es necesario proporcionar redes seguras y aisladas para diferentes grupos. Históricamente, los equipos de TI emitían un SSID independiente para cada inquilino. Esa es una práctica pésima. Provoca una sobrecarga de gestión enorme y destruye el rendimiento inalámbrico debido a la sobrecarga de las tramas de baliza (beacon frames).

Alta Labs soluciona esto con AltaPass, su versión de claves precompartidas privadas (Private Pre-Shared Keys). Con AltaPass, se emite un único SSID (llamémoslo BuildingWiFi), pero se generan contraseñas únicas para diferentes usuarios o dispositivos.

Cuando el Inquilino A introduce su contraseña específica, el AP lo asigna dinámicamente a la VLAN 101 con un límite de ancho de banda de 100 Megabits. Cuando el equipo de gestión introduce su contraseña en el mismo SSID, se les asigna a la VLAN 200 con ancho de banda ilimitado. Incluso se puede crear una contraseña para dispositivos IoT, como termostatos inteligentes, que los asigne a una VLAN aislada y evite por completo el Captive Portal.

Un SSID. Contraseñas ilimitadas. Aislamiento completo. Esto es Identity-Based Networking en el extremo, y es una solución genuinamente elegante a un problema que ha afectado a los despliegues multi-tenant durante años.

Permítame darle un ejemplo concreto de cómo funciona esto en la práctica. Piense en un complejo de apartamentos de 72 viviendas, un tipo de despliegue real para el que se ha utilizado ampliamente Alta Labs. En lugar de emitir 72 SSIDs independientes, el administrador de la red crea un único SSID y genera una contraseña única para cada vivienda. Cada contraseña se asocia a una VLAN y subred dedicadas. Los residentes del plan básico obtienen 100 Megabits. Los residentes que han pagado por el plan premium obtienen 300 Megabits. El equipo de gestión del edificio obtiene acceso sin restricciones. El sistema de automatización del edificio (cerraduras de puertas, climatización, ascensores) obtiene su propia VLAN aislada con la inspección profunda de paquetes (DPI) habilitada. Todo desde un único SSID. El entorno de RF está más limpio, el rendimiento es mayor y la gestión es drásticamente más sencilla.

Ahora, pasemos a la configuración de 802.1X para el WiFi seguro del personal.

Para la red de su personal, no debería utilizar en absoluto una clave precompartida. Debería utilizar WPA2 o WPA3 Enterprise con autenticación 802.1X. En la plataforma de Alta Labs, esto se configura seleccionando el SSID de su personal, estableciendo el modo de seguridad en WPA2-Enterprise o WPA3-Enterprise y apuntando el AP a su servidor RADIUS.

Si se está integrando con el producto SecurePass de Purple, Purple actúa como intermediario RADIUS, conectándose a su proveedor de identidad (ya sea Microsoft Entra ID, Okta o Google Workspace) y devolviendo la asignación de VLAN correspondiente en el mensaje Access-Accept. El AP de Alta Labs lee el atributo Tunnel-Private-Group-Id de la respuesta RADIUS y coloca el dispositivo en la VLAN correcta de forma automática.

Una nota importante sobre la asignación dinámica de VLAN con Alta Labs: al configurar VLAN asignadas por RADIUS, establezca la VLAN predeterminada en el SSID como VLAN 1 o déjela sin etiquetar. Existe un comportamiento conocido por el cual, si la VLAN predeterminada se establece en un valor específico, el AP puede anular la VLAN asignada por RADIUS con la predeterminada configurada. Establecer la opción predeterminada en VLAN 1 garantiza que la asignación de RADIUS tenga prioridad.

---

[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS]

Al implementar esto, hay algunas recomendaciones clave que quiero destacar.

En primer lugar, pruebe siempre el flujo de su Captive Portal con un dispositivo nuevo. No utilice su propio teléfono si ya se ha conectado a la red durante las pruebas. Su dispositivo recuerda la autorización de la dirección MAC o tiene entradas DNS en caché, lo que ocultará los fallos del walled garden. Coja una tableta que nunca haya detectado la red, conéctela y verifique que el asistente de Captive Portal del sistema operativo se inicia automáticamente.

En segundo lugar, tenga cuidado con el exceso de elementos en la lista blanca. Veo a ingenieros frustrarse con los errores de inicio de sesión social y simplemente incluir en la lista blanca dominios con comodines completos o bloques de IP masivos. Esto crea una vulnerabilidad de seguridad en la que los usuarios expertos pueden eludir su Captive Portal por completo. Limítese a los dominios específicos requeridos para el flujo de OAuth.

En tercer lugar, al implementar AltaPass PPSK con VLAN dinámicas, asegúrese de que toda su infraestructura de conmutación esté configurada correctamente. Los puertos del switch que se conectan a sus AP de Alta Labs deben configurarse como trunks, permitiendo que todas las VLAN etiquetadas pasen a la puerta de enlace. Si el AP etiqueta el tráfico para la VLAN 101, pero el puerto del switch está configurado en modo de acceso en la VLAN 1, el tráfico se interrumpe y el cliente no obtiene ninguna dirección IP.

En cuarto lugar, implemente una revisión trimestral de la configuración de su walled garden. Los proveedores de OAuth y las redes de distribución de contenido cambian sus estructuras de dominio. Apple actualizó sus dominios de inicio de sesión dos veces en 2023. Un walled garden que era correcto en el momento de la implementación perderá la alineación sin un mantenimiento activo.

---

[PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO]

Repasemos un par de preguntas rápidas que nos llegan desde el terreno.

Pregunta uno: ¿Puedo usar WPA3 con el Captive Portal de Purple en el hardware de Alta Labs?

Sí. Debería utilizar WPA3-OWE, que significa Opportunistic Wireless Encryption (Cifrado Inalámbrico Oportunista). Esto cifra los datos en el aire, protegiendo la privacidad de los invitados, mientras sigue funcionando como una red abierta que activa la redirección al Captive Portal. Es la elección correcta para cualquier nuevo despliegue de WiFi de invitados en 2026.

Segunda pregunta: ¿Qué puertos necesito abrir en mi firewall para el tráfico RADIUS?

Los servidores RADIUS de Purple se comunican a través del puerto UDP 1812 para la autenticación y del puerto UDP 1813 para la contabilidad. Asegúrese de que su firewall perimetral permita el tráfico saliente en estos puertos desde los AP de Alta Labs hacia la infraestructura de Purple.

Tercera pregunta: ¿Puedo utilizar AltaPass PPSK junto con el Captive Portal de Purple en el mismo SSID?

Sí, y de hecho esta es una configuración muy útil. Puede crear una contraseña de AltaPass que omita el Captive Portal para dispositivos conocidos (como sus terminales de punto de venta o cartelería digital), mientras que las conexiones estándar al mismo SSID siguen pasando por la página de bienvenida de Purple. Esto le proporciona un único SSID limpio que gestiona tanto los dispositivos autenticados como los usuarios invitados.

---

[RESUMEN Y PRÓXIMOS PASOS - 1 MINUTO]

Para terminar: la integración de Alta Labs con Purple WiFi le ofrece una plataforma segura y escalable para capturar datos de origen (first-party data) y ofrecer una experiencia de invitado de marca.

Recuerde los tres pilares de un despliegue exitoso. En primer lugar, configure con precisión la redirección del punto de acceso externo y los ajustes de RADIUS en la plataforma Alta Labs Cloud Management. En segundo lugar, defina meticulosamente sus dominios de walled garden para garantizar que las comprobaciones del sistema operativo y los inicios de sesión sociales funcionen correctamente. Y en tercer lugar, aproveche AltaPass PPSK para implementar redes basadas en la identidad, segmentando su tráfico sin saturar su espacio radioeléctrico con SSIDs innecesarios.

Purple opera en 80.000 establecimientos activos y ha procesado 440 millones de inicios de sesión en 2024. La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y está diseñada para escalar desde un único hotel boutique hasta una cadena minorista nacional. Al combinar eso con el rendimiento y la flexibilidad del hardware de Alta Labs, obtiene una pila de WiFi empresarial excepcional.

Si sigue este manual, ofrecerá una experiencia de WiFi fluida y conforme a la normativa con la que tanto su equipo de marketing como su equipo de seguridad estarán encantados.

Gracias por escuchar la serie de informes técnicos de Purple. Hasta la próxima, mantenga sus redes seguras y sus datos listos para la acción.

Conclusiones clave

✓Los AP6 y AP6 Pro de Alta Labs se integran con Purple mediante la redirección estándar de un Captive Portal externo y autenticación RADIUS, sin necesidad de API propietarias.
✓Un walled garden correctamente configurado es el elemento más crítico y el que más se configura de forma errónea: añada a la lista blanca los dominios de Purple, todas las sondas de Captive Portal de los sistemas operativos y cada proveedor de inicio de sesión social que habilite.
✓La resolución DNS dinámica es esencial para las entradas del walled garden; las listas blancas de IP estáticas para proveedores de OAuth se degradarán a medida que roten las direcciones IP de las CDN.
✓AltaPass PPSK permite que un único SSID sirva a múltiples inquilinos, grupos de personal y dispositivos IoT con VLAN aisladas y políticas de ancho de banda por contraseña.
✓Al utilizar VLAN asignadas por RADIUS en el hardware de Alta Labs, establezca la VLAN predeterminada del SSID en 1 para evitar que el AP anule la asignación de RADIUS.
✓Pruebe siempre los despliegues de Captive Portal con dispositivos nuevos y no autenticados; los dispositivos conectados previamente ocultan los fallos de redirección y del walled garden.
✓La pila de Purple y Alta Labs cumple con los requisitos de segmentación de red de PCI DSS y las obligaciones de tratamiento de datos de GDPR, lo que la hace adecuada para entornos de retail y hostelería que procesan pagos con tarjeta.

Resumen ejecutivo

Los puntos de acceso Alta Labs AP6 y AP6 Pro se integran con el Captive Portal en la nube de Purple mediante autenticación RADIUS estándar y redirección HTTP. El AP intercepta el tráfico de invitados no autenticados, lo redirige a su página de bienvenida de Purple y concede acceso una vez que el servidor RADIUS de Purple devuelve un Access-Accept. Para entornos multiinquilino, la tecnología AltaPass de Alta Labs asigna cada dispositivo conectado a una VLAN y política de ancho de banda únicas en función de la contraseña utilizada, sin necesidad de SSIDs adicionales. Esta guía le proporciona los pasos de configuración exactos, las listas de dominios de walled garden y los parámetros RADIUS para implementar la integración desde cero. Purple opera en más de 80.000 recintos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). El hardware de Alta Labs es una opción excelente para MSPs e instaladores de oficinas inteligentes que necesitan segmentación de nivel empresarial a un precio competitivo.

Arquitectura técnica

La integración se estructura en tres capas: la plataforma de gestión en la nube de Alta Labs, el hardware AP6 o AP6 Pro en el extremo (edge) y la infraestructura en la nube de Purple que gestiona la autenticación y la analítica.

Cuando un invitado se conecta al SSID abierto o WPA3-OWE, el AP coloca el dispositivo en un estado restringido de preautenticación. Todo el tráfico HTTP saliente se intercepta y se redirige a la URL de la página de bienvenida de Purple. El dispositivo solo puede acceder a los dominios explícitamente incluidos en la lista de walled garden hasta que se complete la autenticación. Una vez que el invitado envía sus credenciales en la página de bienvenida de Purple, el servidor RADIUS de Purple envía un Access-Accept al AP, que elimina la restricción y concede acceso completo a internet. Purple registra los datos de la sesión (tipo de dispositivo, tiempo de permanencia, método de inicio de sesión) y los pone a disposición en el panel de WiFi Analytics .

Para las redes del personal y de administración interna, el mismo hardware de AP gestiona la autenticación WPA2/WPA3-Enterprise (IEEE 802.1X). El AP actúa como cliente RADIUS, reenviando las solicitudes de autenticación a la infraestructura SecurePass de Purple, que a su vez valida las credenciales contra Microsoft Entra ID, Okta o Google Workspace. La respuesta RADIUS Access-Accept incluye el atributo Tunnel-Private-Group-Id, que el AP utiliza para asignar dinámicamente el dispositivo a la VLAN correcta.

Guía de implementación

Paso 1: Añadir el recinto y el hardware en Purple

Antes de configurar el controlador de Alta Labs, registre la implementación en Purple.

Inicie sesión en el portal de gestión de Purple y navegue a Management > Locations.
Seleccione Venues and Groups > Add venue y complete el asistente para añadir el recinto.
Desde su punto de encuentro, seleccione Hardware > Añadir hardware > Añadir nuevo hardware.
Establezca el tipo de hardware en WiFi AP y seleccione el tipo de AP adecuado.
Introduzca la dirección MAC de cada unidad Alta Labs AP6 o AP6 Pro.
Haga clic en Ver manual en línea para obtener las direcciones IP del servidor RADIUS, los puertos y el secreto compartido para este punto de encuentro. Anote estos valores; los necesitará en el Paso 3.

Paso 2: Configurar el SSID de invitados en Alta Labs

Inicie sesión en la plataforma Alta Labs Cloud Management en manage.alta.inc.

Vaya a Ajustes > WiFi y seleccione el SSID destinado al acceso de invitados.
En Ajustes avanzados, establezca el tipo de red en Invitado. Esto aplica el aislamiento de clientes de forma automática.
Desplácese hasta la sección Hotspot y seleccione Externo.
En el campo URL de redirección, pegue la URL de la página de inicio de Purple proporcionada en los ajustes de hardware de su punto de encuentro (por ejemplo, https://region1.purpleportal.net/access/).
Introduzca el Secreto de autorización (secreto compartido de RADIUS) de los ajustes de su punto de encuentro de Purple.
Haga clic en Guardar.

Paso 3: Configurar la autenticación RADIUS

Con la redirección externa configurada, configure los ajustes de RADIUS para que el AP pueda comunicarse con la infraestructura de autenticación de Purple.

Parámetro	Valor
IP del servidor de autenticación principal	Proporcionada por los ajustes del punto de encuentro de Purple
Puerto de autenticación	UDP 1812
IP del servidor de contabilidad principal	Proporcionada por los ajustes del punto de encuentro de Purple
Puerto de contabilidad	UDP 1813
Secreto compartido	Proporcionado por los ajustes del punto de encuentro de Purple

Para despliegues de alta disponibilidad, configure el servidor RADIUS secundario utilizando la dirección IP de respaldo proporcionada por Purple.

Paso 4: Definir el walled garden

El walled garden permite dominios específicos antes de que se complete la autenticación. Si faltan entradas, se interrumpirá el flujo del Captive Portal o no se cargarán los inicios de sesión con redes sociales. Introduzca los siguientes dominios en el campo Hosts / IPs autorizados adicionales en la configuración del Hotspot de Alta Labs.

Infraestructura de Purple (obligatorio)

Dominio	Propósito
`region1.purpleportal.net`	Alojamiento de la página de inicio
`venuewifi.com`	Infraestructura de redirección de Purple
`cloudfront.net`	CDN para recursos del portal

Sondeos de Captive Portal del SO (obligatorio)

Dominio	SO
`captive.apple.com`	iOS / macOS
`connectivitycheck.gstatic.com`	Android
`msftconnecttest.com`	Windows

Inicio de sesión social (añadir según el proveedor habilitado)

Proveedor	Dominios
Google	`accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com`, `gstatic.com`
Facebook	`facebook.com`, `graph.facebook.com`, `connect.facebook.net`, `*.fbcdn.net`
Apple	`appleid.apple.com`, `idmsa.apple.com`, `*.apple.com`

AltaPass PPSK y segmentación multiinquilino

AltaPass es la implementación pendiente de patente de Alta Labs de claves precompartidas privadas (PPSK). Permite que un único SSID admita múltiples contraseñas únicas, donde cada contraseña se asocia a una VLAN, límite de ancho de banda, programación y regla de omisión de hotspot independientes. Esto elimina la necesidad de transmitir SSIDs independientes para cada inquilino, grupo de personal o categoría de dispositivo.

Configuración de AltaPass en el panel de control de Alta Labs

Seleccione su SSID y diríjase a la sección de gestión de contraseñas.
Haga clic en el botón morado de tipo de red situado a la izquierda de cada entrada de contraseña.
Asigne un ID de VLAN a la contraseña. Los clientes que se conecten con esta contraseña se ubicarán en la subred VLAN especificada.
Establezca los límites de ancho de banda (subida y bajada) por contraseña según sea necesario.
Active o desactive la omisión de hotspot por contraseña. Los dispositivos IoT y los terminales de punto de venta (POS) suelen omitir el Captive Portal.
Aplique restricciones de programación si es necesario (por ejemplo, restringir el acceso a Internet para ciertos dispositivos fuera del horario comercial).

Para un edificio residencial de 72 viviendas, esto se traduce en un único SSID y más de 72 contraseñas únicas: una por vivienda, una para la administración y otra para el sistema de automatización del edificio. Cada contraseña se asocia a una VLAN y subred aisladas. Los residentes con tarifa estándar reciben 100 Mbps. Los residentes con tarifa premium reciben 300 Mbps. El equipo de administración del edificio no tiene restricciones. Los dispositivos IoT se aíslan en una VLAN dedicada con inspección profunda de paquetes activada. Este es el modelo de despliegue que reduce el número de SSIDs de 72 a uno.

Asignación dinámica de VLAN mediante RADIUS

Para redes de personal 802.1X, la asignación de VLAN funciona a través de atributos RADIUS en lugar de PPSK. La respuesta RADIUS Access-Accept debe incluir:

Atributo	Valor
`Tunnel-Type`	13 (VLAN)
`Tunnel-Medium-Type`	6 (IEEE-802)
`Tunnel-Private-Group-Id`	ID de VLAN de destino (por ejemplo, "20")

Importante: configure la VLAN predeterminada en el SSID como VLAN 1 (o déjela sin etiquetar) cuando utilice VLANs asignadas por RADIUS. Si la VLAN predeterminada se establece en un valor específico, el punto de acceso puede anular la asignación de RADIUS con la predeterminada configurada. Este es un comportamiento conocido en el firmware actual de Alta Labs.

Buenas prácticas

Las siguientes recomendaciones se aplican a cualquier despliegue de Alta Labs con Purple, independientemente del tipo de establecimiento.

Utilice la resolución DNS dinámica para las entradas del walled garden. Los proveedores de OAuth y las CDNs rotan las direcciones IP con frecuencia. Una lista blanca de IP estáticas perderá eficacia con el tiempo. Configure el controlador de Alta Labs para resolver los dominios del walled garden de forma dinámica y establezca un TTL de DNS no inferior a 30 segundos para evitar una carga excesiva de consultas.

Defina el alcance del walled garden con precisión. Incluya en la lista blanca únicamente los dominios necesarios para el flujo de autenticación. Un exceso de elementos en la lista blanca (especialmente al añadir entradas con comodines para dominios grandes) crea una vía de omisión que desvirtúa el propósito del Captive Portal. Realice pruebas con dispositivos no autenticados antes del lanzamiento. Utilice un dispositivo que nunca se haya conectado a la red. Los dispositivos autenticados previamente pueden tener autorizaciones MAC o entradas DNS almacenadas en caché que enmascaren fallos en el walled garden. Pruebe todos los métodos de inicio de sesión que tenga previsto ofrecer.

Revise los dominios del walled garden trimestralmente. Apple, Google y Meta actualizan sus estructuras de dominios OAuth periódicamente. Programe una revisión trimestral en su calendario operativo para detectar cambios antes de que afecten a los usuarios.

Segmente los dispositivos IoT desde el principio. Utilice AltaPass para asignar los dispositivos IoT a una VLAN dedicada con el bypass de hotspot habilitado. Mezclar el tráfico de IoT con el de invitados o empleados genera riesgos innecesarios y complica la respuesta ante incidentes.

Para obtener una perspectiva más amplia sobre la arquitectura de seguridad WiFi empresarial, consulte nuestra guía sobre Enterprise WiFi Security: A Complete Guide for 2026 .

Resolución de problemas y mitigación de riesgos

La página de bienvenida no aparece en iOS. La causa más común es la falta de la entrada captive.apple.com en el walled garden. iOS utiliza este dominio para detectar portales cautivos. Si la comprobación se bloquea, el Captive Network Assistant nunca se inicia y el usuario ve un error de conectividad genérico.

El inicio de sesión social muestra una pantalla en blanco o un error CORS. Compruebe si faltan subdominios de CDN o API en el walled garden. *.fbcdn.net de Facebook y gstatic.com de Google son las entradas que se omiten con más frecuencia. Utilice las herramientas de desarrollo del navegador en una sesión no autenticada para identificar qué solicitudes de dominio están fallando.

Fallo en la asignación de VLAN con AltaPass. Verifique que el puerto del switch ascendente que se conecta al AP esté configurado como puerto troncal (trunk) y permita las VLAN etiquetadas. Un puerto de switch en modo de acceso descartará las tramas etiquetadas de forma silenciosa, dejando al cliente sin dirección IP.

Tiempo de espera agotado en la autenticación RADIUS. Confirme que los puertos UDP 1812 y 1813 estén abiertos para el tráfico saliente en el firewall perimetral. Compruebe que el secreto compartido en la configuración de Alta Labs coincida exactamente con el valor en los ajustes del establecimiento de Purple: un solo carácter de diferencia hará que fallen todas las solicitudes de autenticación.

La asignación dinámica de VLAN ubica a los usuarios en la VLAN incorrecta. Establezca la VLAN predeterminada en el SSID 802.1X como VLAN 1. Si la VLAN predeterminada se establece en un valor específico, el AP puede anular la VLAN asignada por RADIUS. Este es un comportamiento a nivel de firmware confirmado en el foro de la comunidad de Alta Labs.

ROI e impacto empresarial

La implementación del hardware de Alta Labs con Purple Guest WiFi ofrece un retorno medible en tres dimensiones: eficiencia operativa, captura de datos y nivel de seguridad.

En el aspecto operativo, consolidar múltiples SSID en una única red gestionada con AltaPass reduce los costes de gestión y mejora el rendimiento inalámbrico. Menos SSID significan menos sobrecarga de tramas de baliza (beacon frames), lo que se traduce directamente en un mayor rendimiento para todos los dispositivos conectados.

En lo que respecta a los datos, el Captive Portal de Purple captura datos de origen (first-party) verificados en cada inicio de sesión. Los establecimientos que utilizan los planes Capture y Engage de Purple reportan un aumento del 40 % en las suscripciones a la base de datos de marketing en comparación con el WiFi para invitados no gestionado (datos internos de Purple). Esos datos se integran directamente en WiFi Analytics , lo que ofrece a los equipos de marketing visibilidad sobre los patrones de afluencia, el tiempo de permanencia y las tasas de visitas recurrentes.

En el ámbito de la seguridad, la asignación dinámica de VLAN aísla el tráfico de invitados, del personal y de IoT en el extremo de la red. Combinada con la infraestructura con certificación ISO 27001 de Purple y el tratamiento de datos conforme al GDPR, esta arquitectura cumple con los requisitos de segmentación de red de PCI DSS para los establecimientos que procesan pagos con tarjeta.

Para despliegues en el sector de la hostelería específicamente, la combinación de páginas de inicio de sesión personalizadas con la marca, integraciones con programas de fidelización y controles de ancho de banda por dispositivo crea una experiencia de invitado diferenciada sin añadir complejidad al equipo de operaciones de red.

Para entornos de retail , la capacidad de segmentar los terminales de punto de venta (TPV) del WiFi para invitados en la misma infraestructura física —utilizando reglas de omisión de AltaPass— elimina la necesidad de cableado o hardware independientes, reduciendo tanto los gastos de capital como los operativos.

Guías relacionadas: Arista Cognitive Wi-Fi Integration with Purple WiFi | Walled Garden Configuration for Guest WiFi

Definiciones clave

Captive Portal

Una página web que intercepta el tráfico de red no autenticado y requiere que el usuario interactúe (iniciando sesión, aceptando términos o pagando) antes de concederle acceso a internet. Purple aloja la página de bienvenida en la nube; el AP de Alta Labs gestiona la redirección.

El mecanismo principal para la captura de datos de invitados en despliegues de WiFi en hostelería, comercio minorista y sector público.

Walled garden

Una lista definida de dominios y direcciones IP a los que un dispositivo cliente puede acceder antes de completar la autenticación del Captive Portal. Todo lo que esté fuera de la lista se bloquea hasta que el usuario inicia sesión.

Crítico para permitir que las API de inicio de sesión social, las sondas de detección de sistemas operativos y los recursos de CDN del portal funcionen antes de que se complete la autenticación.

PPSK (Clave precompartida privada)

Un método de seguridad en el que se pueden utilizar múltiples contraseñas únicas en un solo SSID, donde cada contraseña asigna el dispositivo de conexión a una VLAN, política de ancho de banda y horario de acceso específicos.

Alta Labs implementa esto como AltaPass. Se utiliza en edificios residenciales multifamiliares (MDU), oficinas inteligentes y estadios para proporcionar acceso aislado sin proliferación de SSID.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA). Purple actúa como el servidor RADIUS; el AP de Alta Labs actúa como el cliente RADIUS.

El mecanismo que indica al AP que un invitado se ha autenticado correctamente y se le debe conceder acceso a internet.

Redes basadas en la identidad

Una arquitectura de red donde los derechos de acceso, las VLAN y los límites de ancho de banda se aplican en función de la identidad autenticada del usuario o dispositivo, en lugar del puerto físico o SSID al que se conectan.

El término de Purple para la combinación de RADIUS, PPSK y asignación de VLAN que permite políticas coherentes en un entorno distribuido.

Asignación dinámica de VLAN

El proceso de colocar un dispositivo cliente en una Red de Área Local Virtual específica en función de las credenciales de autenticación devueltas por un servidor RADIUS, en lugar de un mapeo estático de SSID a VLAN.

Esencial para aislar el tráfico de personal, invitados e IoT en una infraestructura inalámbrica compartida. Requiere los atributos RADIUS correctos: Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-Id.

Asistente de red cautiva (CNA)

El mecanismo integrado del sistema operativo en iOS, Android y Windows que detecta un Captive Portal mediante el sondeo de una URL conocida. Si el sondeo se redirige, el sistema operativo inicia un pseudonavegador para que el usuario inicie sesión.

Si los dominios de sondeo del CNA están bloqueados en el walled garden, el usuario nunca verá la página de bienvenida. Este es el modo de fallo más común del Captive Portal.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Un estándar que cifra los datos en tránsito en redes abiertas sin necesidad de contraseña, protegiendo la privacidad de los invitados y permitiendo al mismo tiempo la redirección del Captive Portal.

El modo de seguridad recomendado para los SSID de invitados en 2026. Proporciona cifrado sin la fricción de una clave precompartida.

AltaPass

La implementación con patente en trámite de Alta Labs de la tecnología SSID con múltiples contraseñas. Permite que un único SSID admita contraseñas únicas ilimitadas, cada una con su propia VLAN, límite de ancho de banda, horario y configuración de omisión de punto de acceso.

La herramienta principal para la segmentación multiinquilino en el hardware de Alta Labs. Reemplaza la necesidad de múltiples SSID en despliegues residenciales, de hostelería y de oficinas inteligentes.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita ofrecer acceso WiFi por niveles: un nivel básico gratuito (10 Mbps) para huéspedes estándar, un nivel de pago premium (50 Mbps) para miembros del programa de fidelización y una red segura para el personal de limpieza. Quieren evitar la emisión de múltiples SSID para mantener el rendimiento de RF en 40 unidades Alta Labs AP6 Pro.

Despliegue un único SSID llamado 'Hotel Guest WiFi' con AltaPass habilitado. Cree tres perfiles de contraseña en el panel de control de Alta Labs: (1) una contraseña de huésped estándar asignada a la VLAN 10 con un límite de descarga de 10 Mbps y redirección de hotspot externa a la página de inicio de Purple; (2) una contraseña de miembro de fidelización asignada a la VLAN 20 con un límite de 50 Mbps (Purple puede distribuir esta contraseña tras la autenticación a través de su automatización de marketing); (3) una contraseña para el personal de limpieza asignada a la VLAN 30 sin límite de ancho de banda, con la omisión de hotspot habilitada y el aislamiento de clientes deshabilitado para que los dispositivos del personal puedan comunicarse con los sistemas internos. Configure los enlaces ascendentes del switch como trunks que permitan las VLAN 10, 20 y 30. Las VLAN de huéspedes y fidelización se enrutan a Internet mediante NAT. La VLAN del personal se enruta a la subred del sistema de gestión de la propiedad.

Comentario del examinador: Este enfoque utiliza AltaPass para lograr una red basada en la identidad sin la proliferación de SSID. La clave es que la omisión de hotspot es una configuración por contraseña, no por SSID. Esto permite que el mismo SSID sirva simultáneamente a los huéspedes del Captive Portal y al personal con la omisión habilitada. La distribución del nivel de fidelización a través del flujo posterior a la autenticación de Purple es un patrón común en hostelería: el huésped inicia sesión en el nivel estándar y el motor de marketing de Purple le envía un código de acceso premium si cumple con los criterios de fidelización.

Una cadena de tiendas minoristas está desplegando Purple Guest WiFi en 50 tiendas utilizando hardware de Alta Labs. Durante las pruebas, la página de inicio se carga correctamente en dispositivos Android, pero los dispositivos Apple iOS muestran un error genérico de 'Sin conexión a Internet' y no muestran la pantalla de inicio de sesión. El walled garden incluye el dominio del portal de Purple y las entradas de Google OAuth.

Añada captive.apple.com al walled garden en la configuración de Hotspot de Alta Labs. iOS utiliza este dominio como su sonda de Captive Network Assistant. Cuando el dispositivo se conecta a una nueva red, iOS envía una solicitud HTTP a captive.apple.com. Si recibe la respuesta esperada, asume que la red está abierta. Si recibe una redirección, inicia el pseudonavegador. Si el dominio está completamente bloqueado, iOS no puede detectar el Captive Portal y muestra un error de conectividad. Una vez que el dominio esté en la lista blanca, los dispositivos iOS detectarán la redirección e iniciarán la pantalla de inicio de sesión automáticamente.

Comentario del examinador: Este es el fallo de Captive Portal más común en el sector. Android utiliza connectivitycheck.gstatic.com y Windows utiliza msftconnecttest.com para el mismo propósito. Los tres deben estar en el walled garden para un despliegue multiplataforma. El fallo es especialmente confuso porque se presenta como un error de conectividad de red en lugar de un error del portal, lo que lleva a los ingenieros a investigar el DHCP y el DNS antes de comprobar el walled garden.

Preguntas de práctica

Q1. Está desplegando puntos de acceso Alta Labs AP6 Pro en un centro de conferencias. El cliente requiere un Captive Portal para los asistentes, pero también necesita que los terminales de punto de venta se conecten de forma segura a los mismos puntos de acceso sin ver la página de bienvenida. Ambos tipos de dispositivos deben usar el mismo SSID para simplificar la señalización. ¿Cómo configuraría esto?

Sugerencia: AltaPass permite configurar excepciones de hotspot por contraseña en el mismo SSID.

Ver respuesta modelo

Habilite AltaPass en el único SSID. Cree una contraseña para los terminales de punto de venta que los asigne a una VLAN segura (por ejemplo, VLAN 50) con la excepción de hotspot habilitada; estos dispositivos se conectarán directamente a la red sin ver el Captive Portal. Cree una contraseña diferente (o use una conexión abierta) para los asistentes que active la redirección externa a la página de bienvenida de Purple en la VLAN 10. Ambos tipos de dispositivos se conectan al mismo SSID pero reciben diferentes políticas de red según su contraseña.

Q2. Después de configurar el Captive Portal de Purple en una red de Alta Labs, los dispositivos Android muestran correctamente la página de bienvenida, pero los dispositivos Apple iOS muestran un error genérico de "Sin conexión a Internet" y no abren la pantalla de inicio de sesión. El walled garden incluye el dominio del portal de Purple y las entradas de Google OAuth. ¿Cuál es la causa más probable y la solución?

Sugerencia: iOS utiliza un dominio específico para detectar portales cautivos. Si no puede acceder a ese dominio, asume que la red no tiene acceso a Internet.

Ver respuesta modelo

Al walled garden le falta captive.apple.com. iOS envía una sonda HTTP a este dominio al conectarse a una nueva red. Si la sonda está bloqueada, iOS no puede detectar el Captive Portal y muestra un error de conectividad en lugar de iniciar el Captive Network Assistant. Añada captive.apple.com al walled garden en la configuración de Hotspot de Alta Labs. Añada también connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows para garantizar la compatibilidad multiplataforma.

Q3. Un director de TI de un estadio ha configurado VLAN asignadas por RADIUS en una red de personal Alta Labs 802.1X. El servidor RADIUS envía el atributo Tunnel-Private-Group-Id correcto (VLAN 20), pero todos los dispositivos del personal acaban en la VLAN 5, que es la VLAN predeterminada configurada en el SSID. ¿Qué está causando esto y cómo lo resuelve?

Sugerencia: Existe un comportamiento conocido en el firmware de Alta Labs relacionado con la interacción entre la VLAN predeterminada del SSID y las VLAN asignadas por RADIUS.

Ver respuesta modelo

El AP de Alta Labs está sobrescribiendo la VLAN asignada por RADIUS con el valor de la VLAN predeterminada del SSID. Este es un comportamiento conocido del firmware: cuando la VLAN predeterminada en el SSID se establece en un valor específico (VLAN 5 en este caso), el AP utiliza ese valor en lugar de la VLAN devuelta por RADIUS. La solución es establecer la VLAN predeterminada en el SSID 802.1X en VLAN 1 (o dejarla sin etiquetar). Con la opción predeterminada establecida en VLAN 1, el AP respeta correctamente la VLAN asignada por RADIUS para cada usuario autenticado.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.