Saltar al contenido principal
Español

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía paso a paso de acceso para invitados

Esta guía detalla paso a paso la integración de Cisco WLC y Catalyst 9800 Wireless con Purple, abarcando la redirección al Captive Portal de Guest WiFi mediante Central Web Authentication, WiFi seguro para empleados mediante 802.1X EAP-TLS y segmentación Multi-Tenant mediante Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Está dirigida a arquitectos de redes empresariales y directores de seguridad de TI que despliegan infraestructura de Cisco en el sector hotelero, retail y grandes recintos públicos.

📖 9 min de lectura📝 2,116 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido al Informe Técnico de Purple. Soy su anfitrión, y hoy cubriremos un escenario de despliegue definitivo para arquitectos de redes empresariales: la integración de los controladores de LAN inalámbrica (WLC) de Cisco y el hardware Catalyst 9800 con la plataforma Purple WiFi. Si gestiona la TI de una cadena hotelera, una red de retail o un gran recinto público, sabe que confiar en claves precompartidas básicas es un riesgo de seguridad inaceptable. Hoy describiremos la arquitectura paso a paso para segmentar su red, proteger a su personal y convertir su WiFi de invitados en un activo impulsado por datos. Establezcamos el contexto. Un entorno inalámbrico empresarial debe gestionar tres perfiles distintos: invitados (Guests), personal (Staff) y dispositivos sin interfaz de usuario (headless) o de inquilinos (Tenants). No puede tratarlos de la misma manera, y no puede difundir veinte SSIDs diferentes para darles cabida. La solución es una infraestructura de hardware unificada que aproveche diferentes mecanismos de autenticación en un único controlador de LAN inalámbrica Cisco Catalyst 9800. Ahora profundicemos en la arquitectura técnica. El primer nivel es Guest WiFi. El objetivo aquí es un acceso con la menor fricción posible combinado con la captura de datos. Lo logramos utilizando un SSID abierto y Central Web Authentication, o CWA. Cuando un invitado se conecta, el Cisco WLC aplica una lista de control de acceso (ACL) de preautenticación. Este es su walled garden. Bloquea el acceso general a Internet pero permite el tráfico a los dominios de Purple y servicios esenciales. Cuando el invitado intenta navegar, el WLC intercepta la solicitud HTTP y lo redirige a la página de bienvenida del Captive Portal de Purple. Una vez que se autentica, tal vez a través de un formulario de registro, un inicio de sesión social o un código de un solo uso, Purple actúa como el servidor RADIUS. Envía un mensaje de Change of Authorization, conocido como CoA, al WLC. Esto mueve al cliente a una VLAN de invitados aislada y le concede acceso a Internet. Todo el flujo está automatizado y cada inicio de sesión se registra en la plataforma de analítica de Purple. El segundo nivel es Staff WiFi. Para los dispositivos corporativos, exigimos la autenticación 802.1X. Específicamente, EAP-TLS, que significa Extensible Authentication Protocol Transport Layer Security. Este método utiliza certificados digitales instalados en los dispositivos corporativos a través de su plataforma de gestión de dispositivos móviles (MDM), ya sea Microsoft Intune, Jamf u otra solución. El WLC actúa como el autenticador, pasando mensajes EAP al servidor RADIUS. Dado que utilizamos certificados, no hay contraseñas que robar. Si se pierde un dispositivo o un empleado se marcha, se revoca el certificado. El acceso se interrumpe instantáneamente, sin cambiar una contraseña global ni perturbar a nadie más. EAP-TLS es el estándar de oro para la seguridad empresarial. El tercer nivel es el WiFi Multi-Tenant o de IoT. Piense en los inquilinos de un centro comercial, los miembros de un espacio de coworking o los sensores de un edificio inteligente que no son compatibles con 802.1X. Para esto, desplegamos Cisco Identity PSK, o iPSK. Todos se conectan al mismo SSID, pero el servidor RADIUS asigna una contraseña única y una VLAN única a cada inquilino en función de su dirección MAC. Cuando el dispositivo de un inquilino se conecta, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor devuelve la PSK específica para ese inquilino como un atributo Cisco AV-Pair, junto con tres atributos RADIUS estándar de la IETF para asignar dinámicamente el cliente a la VLAN correcta. Esos atributos son: Tunnel-Type, establecido en VLAN; Tunnel-Medium-Type, establecido en 802; y Tunnel-Private-Group-ID, establecido en el ID de la VLAN de destino. El WLC procesa estos atributos y ubica el dispositivo en el segmento de red aislado correcto. iPSK ofrece segmentación empresarial con la simplicidad del mercado de consumo. Ahora hablemos de las recomendaciones de implementación y de los errores que vemos con más frecuencia en los despliegues de producción. El punto de fallo más común en los despliegues de invitados es la ACL del walled garden. Si los invitados se conectan pero la página de bienvenida no aparece, compruebe primero su configuración de DNS. Si su ACL de preautenticación bloquea el puerto UDP 53, el cliente no podrá resolver nombres de dominio. El sistema operativo no activará el mininavegador del Captive Portal y el invitado verá un error de 'Sin Internet'. Permita siempre explícitamente el tráfico DNS en su ACL de walled garden. Este es el problema de soporte más común que encontramos. El segundo error se produce en los despliegues de personal. Si decide desplegar PEAP-MSCHAPv2 en lugar de EAP-TLS porque aún no dispone de una solución MDM para distribuir certificados, debe configurar sus dispositivos cliente para que validen explícitamente el certificado del servidor RADIUS. Esto significa especificar la Entidad de Certificación exacta en la que confiar y el nombre del servidor esperado en el perfil de WiFi. Si deja esto en manos del usuario final para que lo configure manualmente, un atacante puede levantar un punto de acceso no autorizado, presentar un certificado fraudulento y capturar las credenciales corporativas. Este no es un ataque teórico. Es una amenaza real bien documentada. Aplique la validación de certificados mediante Directivas de Grupo para dispositivos Windows y mediante perfiles de MDM para macOS y dispositivos móviles. El tercer error se produce en los despliegues de iPSK. Si un cliente se conecta pero recibe la VLAN incorrecta, o no logra conectarse en absoluto, la causa más probable es que el ID de VLAN de destino especificado en el atributo Tunnel-Private-Group-ID no exista en el WLC. La VLAN debe estar creada y activa en el controlador antes de que el servidor RADIUS pueda dirigir a los clientes hacia ella. Utilice el comando debug radius en el WLC para verificar que los atributos se están recibiendo correctamente desde el servidor RADIUS. Ahora pasemos a una sesión de preguntas y respuestas rápidas sobre las dudas que escuchamos con más frecuencia. Pregunta uno: ¿Puedo utilizar MAC Authentication Bypass en lugar de iPSK para dispositivos IoT? Puede, pero no debería. Las direcciones MAC se difunden en texto plano y son muy fáciles de suplantar. MAC Authentication Bypass proporciona identificación de dispositivos, no seguridad. iPSK proporciona seguridad criptográfica real para dispositivos sin interfaz de usuario. Si el dispositivo admite cualquier forma de PSK, utilice iPSK. Pregunta dos: ¿Es compatible Purple con los controladores Cisco Catalyst 9800 IOS-XE? Sí. Purple es totalmente compatible con los controladores modernos Catalyst 9800 IOS-XE, así como con los WLC AireOS heredados. La integración de RADIUS y Change of Authorization está totalmente validada para ambas plataformas. Pregunta tres: ¿Cómo gestiono la redundancia del servidor RADIUS? Configure siempre un servidor RADIUS primario y otro secundario en las listas de métodos AAA de su WLC. El WLC pasará automáticamente al servidor secundario si el primario no responde dentro del tiempo de espera configurado. Purple proporciona dos direcciones IP de servidor RADIUS exactamente para este propósito. Nunca despliegue un único servidor RADIUS en un entorno de producción. Pregunta cuatro: ¿Qué números de puerto RADIUS utiliza Purple? Purple utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad. Estos son los puertos estándar registrados por la IANA para RADIUS, tal como se definen en RFC 2865 y RFC 2866. Para resumir los puntos clave del informe de hoy. Audite su arquitectura inalámbrica actual. Si utiliza contraseñas compartidas para el personal, planifique una migración a 802.1X. Si difunde múltiples SSIDs para diferentes inquilinos, consolídelos utilizando Cisco iPSK. Si su WiFi de invitados es simplemente una red abierta sin captura de datos, intégrela con Purple para recopilar datos de primera mano, impulsar el retorno de la inversión en marketing y garantizar el cumplimiento de los requisitos de GDPR y PCI DSS. Al combinar la infraestructura de nivel empresarial de Cisco con la capa en la nube de Purple, ofrece una conectividad segura, segmentada e inteligente en todo su recinto. Purple opera en más de 80.000 recintos activos y registró 440 millones de inicios de sesión en 2024. La plataforma es independiente del hardware, cuenta con la certificación ISO 27001 y está diseñada para la escala empresarial. Su siguiente paso está claro. Revise la guía de configuración paso a paso completa en el sitio web de Purple, obtenga las credenciales de su servidor RADIUS en el portal de Purple y comience hoy mismo la integración con su Cisco WLC. Para obtener guías de configuración detalladas y documentación específica de hardware, visite el portal de soporte de Purple en support punto purple punto ai. Gracias por escuchar este Informe Técnico de Purple. Hasta la próxima, manténgase seguro.

header_image.png

Resumen ejecutivo

Las redes inalámbricas empresariales deben dar servicio a distintos grupos de usuarios simultáneamente: invitados que necesitan un acceso a Internet sin fricciones, personal que requiere un acceso seguro a los recursos corporativos y dispositivos sin interfaz de usuario (headless) o de inquilinos que necesitan estar aislados entre sí. Confiar en una única clave precompartida (Pre-Shared Key) compartida para cualquiera de estos grupos es una vulnerabilidad de seguridad. Una sola credencial comprometida expone a todo el segmento, y revocar el acceso requiere cambiar una contraseña global, lo que interrumpe la conexión de todos los dispositivos de la red.

Esta guía detalla la integración de los controladores de LAN inalámbrica (WLC) de Cisco y el hardware de la serie Catalyst 9800 con la capa en la nube de Purple. Proporcionamos la configuración paso a paso para tres niveles de autenticación distintos: una red abierta de Guest WiFi con redirección a Captive Portal impulsada por Purple, una red WiFi segura para el personal (Staff WiFi) que utiliza autenticación mediante certificados 802.1X EAP-TLS, y un entorno WiFi Multi-Tenant que utiliza Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Al desplegar esta arquitectura, aislará los recursos corporativos del tráfico de visitantes, automatizará el control de acceso basado en la identidad y capturará datos de primera mano a través de la plataforma de WiFi Analytics de Purple. Purple opera en más de 80.000 recintos activos y registró 440 millones de inicios de sesión en 2024 (datos internos de Purple), lo que la convierte en una capa en la nube probada para la infraestructura de Cisco a escala.

Análisis técnico profundo: la arquitectura de tres niveles

Un despliegue inalámbrico empresarial moderno en hardware de Cisco debe atender a distintos perfiles de usuario con diferentes requisitos de seguridad y acceso. La integración entre Cisco WLC y Purple permite una infraestructura de hardware unificada para dar servicio a estos perfiles a través de distintos mecanismos de autenticación, todos gestionados desde un único controlador Catalyst 9800.

architecture_overview.png

Nivel 1: Guest WiFi - Central Web Authentication (CWA)

Para los visitantes en entornos de Hostelería y Retail , el objetivo es una incorporación sin fricciones combinada con una captura de datos que cumpla con las normativas. Esto se logra utilizando un SSID abierto junto con Central Web Authentication (CWA). Cuando un invitado se conecta, el Cisco WLC aplica una lista de control de acceso (ACL) de preautenticación: el walled garden. Esta ACL bloquea el tráfico general de Internet al tiempo que permite el tráfico a los dominios del Captive Portal de Purple, DNS y endpoints de inicio de sesión social.

Cuando el invitado intenta navegar, el WLC intercepta la solicitud HTTP y emite una redirección a la página de bienvenida de Purple. El invitado se autentica a través del método elegido (inicio de sesión social, registro por correo electrónico o código de cupón). A continuación, Purple actúa como el servidor RADIUS, enviando un mensaje de Change of Authorization (CoA) de RADIUS de vuelta al WLC. El CoA indica al WLC que mueva al cliente del estado de preautenticación a un estado de postautenticación en una VLAN de invitados aislada, concediendo acceso a Internet. Cada inicio de sesión se registra en la plataforma de analítica de Purple, capturando datos de primera mano de conformidad con GDPR y CCPA.

Nivel 2: Staff WiFi - 802.1X EAP-TLS

Los dispositivos corporativos requieren el más alto nivel de seguridad. IEEE 802.1X define el control de acceso a la red basado en puertos (PNAC) y, cuando se combina con EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), ofrece una autenticación basada en certificados que elimina por completo las contraseñas. Los certificados digitales se despliegan en los dispositivos corporativos a través de la gestión de dispositivos móviles (MDM): Microsoft Intune, Jamf o equivalente. El Cisco WLC actúa como el autenticador, pasando mensajes EAP entre el suplicante (dispositivo) y el servidor RADIUS. El servidor RADIUS valida el certificado y devuelve un Access-Accept con atributos opcionales de asignación de VLAN.

Dado que la autenticación se basa en certificados en lugar de contraseñas, no hay credenciales que robar. Si se pierde un dispositivo o un empleado se marcha, se revoca el certificado. El acceso termina instantáneamente sin interrumpir a ningún otro usuario. Para un análisis exhaustivo de los estándares de seguridad empresarial, incluidos WPA3 y Zero Trust, consulte nuestra guía sobre Seguridad WiFi empresarial: una guía completa para 2026 .

Nivel 3: WiFi Multi-Tenant - Cisco iPSK y asignación dinámica de VLAN

En entornos como residencias de estudiantes, espacios de coworking o centros comerciales, se necesitan redes privadas y segmentadas para diferentes inquilinos sin difundir docenas de SSIDs. Cisco Identity PSK (iPSK) resuelve esto. Todos los inquilinos se conectan a un único SSID. El WLC envía una solicitud de autenticación MAC al servidor RADIUS para cada dispositivo que se conecta. El servidor RADIUS devuelve la PSK específica para ese inquilino como un atributo cisco-av-pair, junto con atributos RADIUS estándar de la IETF para asignar dinámicamente el cliente a la VLAN correcta.

ipsk_vlan_diagram.png

Los tres atributos RADIUS de la IETF que impulsan la asignación dinámica de VLAN son:

Atributo RADIUS ID Valor
Tunnel-Type 64 VLAN
Tunnel-Medium-Type 65 802
Tunnel-Private-Group-ID 81 ID de VLAN de destino (p. ej., 31)

El Tunnel-Private-Group-ID se codifica como una cadena, tal como se define en RFC 2868. El ID de VLAN debe existir en el WLC para que la asignación se realice correctamente.

Guía de implementación: configuración de Cisco Catalyst 9800 WLC

Los siguientes pasos detallan la configuración para un Cisco Catalyst 9800 WLC con IOS-XE para integrarse con Purple para la redirección de Guest WiFi. Para despliegues heredados de AireOS WLC, los ajustes equivalentes están disponibles en el portal de soporte de Purple.

Paso 1: Configurar la autenticación y la contabilidad RADIUS

Debe apuntar el WLC a los servidores RADIUS de Purple para gestionar la autenticación de invitados y la contabilidad de sesiones.

  1. Vaya a Configuración > Seguridad > AAA > Servidores/Grupos > RADIUS > Servidores > + Añadir.
  2. Introduzca la dirección IP del servidor RADIUS principal de Purple, establezca auth-port en 1812, acct-port en 1813 e introduzca el secreto compartido del portal de Purple.
  3. Habilite Soporte para CoA; esto es obligatorio para la redirección del Captive Portal.
  4. Repita el proceso para el servidor RADIUS secundario de Purple.
  5. Vaya a RADIUS > Grupos de servidores > + Añadir y cree un grupo que contenga ambos servidores.
  6. Vaya a Lista de métodos AAA > Autorización > + Añadir, establezca el Tipo en network y apúntelo al grupo de servidores RADIUS.
  7. Vaya a Lista de métodos AAA > Contabilidad > + Añadir, establezca el Tipo en identity y apúntelo al mismo grupo.

Los comandos de CLI equivalentes en IOS-XE son:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Paso 2: Definir la ACL de preautenticación (walled garden)

La ACL de preautenticación permite el tráfico a la página de inicio de Purple y a los servicios esenciales antes de que el usuario se autentique. Esto es el walled garden.

  1. Vaya a Configuración > Seguridad > ACL > + Añadir.
  2. Cree una ACL extendida IPv4 llamada Purple_Guest_Walled_Garden.
  3. Añada reglas para denegar el tráfico a la IP de gestión del WLC y a las IP de los servidores RADIUS.
  4. Añada reglas para permitir DNS (puerto UDP 53) a sus servidores DNS.
  5. Añada reglas para permitir el tráfico a los rangos de IP y dominios del walled garden de Purple (obtenga la lista actual en el portal de soporte de Purple para su tipo de hardware específico).
  6. Añada una regla final permit ip any any: el WLC redireccionará el tráfico permitido a la CPU para el procesamiento del portal.

Paso 3: Configurar la WLAN de invitados

  1. Vaya a Configuración > Etiquetas y perfiles > WLANs > + Añadir.
  2. Cree una WLAN llamada Guest-WiFi con el SSID que elija.
  3. En Seguridad > Capa 2, establezca la seguridad en Ninguna (Abierta).
  4. En Seguridad > Capa 3, habilite Web Policy y establezca el tipo de Web Auth en External.
  5. Introduzca su URL de acceso de Purple en el campo de redirección.
  6. Aplique la ACL Purple_Guest_Walled_Garden.
  7. En Seguridad > Servidores AAA, asigne los servidores RADIUS de Purple tanto a Autenticación como a Contabilidad.

Paso 4: Configurar el perfil de política

  1. Vaya a Configuración > Etiquetas y perfiles > Política > + Añadir.
  2. En Políticas de acceso, asigne la VLAN 20 (o su VLAN de invitados designada).
  3. En Avanzado, habilite Allow AAA Override y NAC State.
  4. Asigne la lista de métodos de contabilidad de Purple.

El equivalente en CLI:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Paso 5: Configurar iPSK para despliegues multiinquilino o de IoT

Para iPSK, la configuración de la WLAN difiere de la configuración de invitados. La WLAN utiliza WPA2-PSK con el filtrado MAC habilitado, y el perfil de política tiene activo AAA Override para aceptar la PSK y la VLAN por cliente desde el servidor RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

El servidor RADIUS (configurado en Purple o en su plataforma RADIUS) devuelve los siguientes atributos por grupo de inquilinos:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Buenas prácticas

El cumplimiento de los estándares establecidos garantiza la estabilidad, la seguridad y el cumplimiento normativo en todo su despliegue.

Obligue a una validación estricta de certificados. Al desplagar 802.1X, configure los dispositivos cliente a través de MDM para que confíen explícitamente en la autoridad de certificación de su servidor RADIUS y especifique el nombre de servidor esperado. No hacerlo deja a los clientes vulnerables a ataques de puntos de acceso no autorizados (rogue access points), en los que un atacante presenta un certificado fraudulento para capturar credenciales. Este es un requisito indispensable, no una recomendación.

Aísle el tráfico de invitados en la capa de red. El WiFi de invitados debe terminar en una VLAN dedicada que esté protegida por un cortafuegos de todos los recursos corporativos. PCI DSS 4.0 exige que los entornos de datos de titulares de tarjetas estén aislados de las redes públicas. Un invitado en la VLAN 20 no debe tener ruta hacia la red corporativa en la VLAN 10.

Utilice iPSK para dispositivos IoT, no MAC Authentication Bypass. Las direcciones MAC se transmiten en texto plano y son fáciles de suplantar. iPSK proporciona seguridad criptográfica para dispositivos sin pantalla (headless). Para obtener orientación sobre cómo interactúan los dispositivos de visualización e IoT con los protocolos inalámbricos, consulte Qué es la visualización inalámbrica: protocolos y buenas prácticas para 2026 .

Defina unas condiciones de uso claras. Su Captive Portal debe presentar un acuerdo de condiciones de uso antes de permitir el acceso. Este es un requisito de GDPR para la recopilación de datos y una necesidad legal para las políticas de uso de la red. Para redes de personal interno, consulte Términos y condiciones del WiFi para el personal: aspectos legales y de cumplimiento esenciales .

Despliegue redundancia RADIUS. Configure siempre un servidor RADIUS principal y otro secundario. Purple proporciona dos direcciones IP de servidor para este fin. Un único fallo en el servidor RADIUS impedirá todos los inicios de sesión de invitados.

Resolución de problemas y mitigación de riesgos

Incluso con una configuración cuidadosa, la integracicuando surjan problemas. Aborde los modos de fallo más comunes de forma sistemática antes de escalar el caso.

Problema: Los invitados se conectan pero no aparece la página de bienvenida.

Este es el problema más común. La ACL de preautenticación está bloqueando el DNS. Sin DNS, el cliente no puede resolver la solicitud HTTP inicial y el sistema operativo no activará el mini-navegador del Captive Portal. Verifique que el puerto UDP 53 esté permitido hacia sus servidores DNS en la ACL del walled garden. En la WLC, ejecute show wireless client summary para confirmar que el cliente se encuentra en un estado Webauth Pending en lugar de Run.

Problema: Los clientes iPSK no se conectan o terminan en la VLAN incorrecta.

La VLAN especificada en Tunnel-Private-Group-ID no existe en la WLC, o los atributos cisco-av-pair están mal formados. Ejecute debug radius all en la WLC para inspeccionar la respuesta RADIUS sin procesar. Verifique que el ID de VLAN esté creado en Configuration > Layer 2 > VLAN > VLAN List.

Problema: Los clientes del personal con 802.1X no se autentican de forma intermitente.

Esto suele deberse a un tiempo de espera agotado (timeout) del servidor RADIUS o a un problema de confianza del certificado en el cliente. Revise los registros del servidor RADIUS en busca de mensajes Access-Reject. En los clientes Windows, verifique que el perfil de WiFi esté configurado para validar el certificado del servidor y que especifique la CA de confianza correcta.

Problema: La WLC no procesa el CoA de Purple.

El secreto compartido de CoA debe coincidir con el secreto compartido de RADIUS configurado en la WLC. En IOS-XE 17.4 y versiones posteriores, la clave CoA se configura por separado del secreto compartido. Verifique que ambos coincidan con los valores del portal de Purple.

ROI e impacto empresarial

La transición de redes PSK básicas a una arquitectura estructurada y basada en la identidad con Purple ofrece resultados comerciales medibles en los sectores de Hostelería , Retail , Sanidad y Transporte .

En primer lugar, esta arquitectura elimina el coste operativo de gestionar contraseñas compartidas. Cuando un empleado se marcha, se revoca su certificado. No es necesario cambiar una contraseña global y actualizar cada dispositivo de las instalaciones. En segundo lugar, la integración con el Captive Portal de Purple convierte un centro de costes de TI en un generador de ingresos. La plataforma de Purple recopila datos de origen (first-party data) conformes con la normativa en cada inicio de sesión, lo que permite realizar campañas de marketing automatizadas y análisis de visitantes. Con 29.000 millones de puntos de datos recopilados en toda la red de Purple (datos internos de Purple), la plataforma ofrece información práctica sobre el comportamiento de los visitantes, el tiempo de permanencia y las tasas de retorno.

Para los operadores de recintos que realizan encuestas para conocer la satisfacción de los visitantes, la plataforma de Purple se integra directamente con los flujos de trabajo de investigación. Consulte Diseño de una encuesta: guía práctica para recintos para obtener orientación sobre cómo estructurar encuestas eficaces en recintos distribuidas a través del Captive Portal.

Al integrar el hardware de nivel empresarial de Cisco con la capa en la nube de Purple, se obtiene una red segura y escalable que contribuye activamente a los objetivos comerciales del recinto. Purple cuenta con la certificación ISO 27001, cumple con GDPR y CCPA, y tiene las certificaciones Cyber Essentials y B Corp, satisfaciendo así los requisitos de cumplimiento de los equipos de compras de las grandes empresas.

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para el acceso a la red. Definido en RFC 2865 y RFC 2866.

Los equipos de TI configuran el Cisco WLC para reenviar las credenciales del cliente al servidor RADIUS, que las comprueba con un directorio y devuelve una respuesta Access-Accept o Access-Reject junto con los atributos de política.

Captive Portal

Una página web que el usuario de una red de acceso público debe ver e interactuar con ella antes de que se le conceda acceso a Internet. Se implementa mediante redirección HTTP por parte del dispositivo de acceso a la red.

Se utiliza en despliegues de Guest WiFi para capturar datos de visitantes, presentar condiciones de uso o mostrar contenido de marca antes de permitir el acceso a Internet. Purple proporciona la infraestructura de Captive Portal alojada.

iPSK (Identity Pre-Shared Key)

Una función de Cisco que permite asignar claves precompartidas (Pre-Shared Keys) únicas a diferentes usuarios o grupos de dispositivos en el mismo SSID, entregando la PSK por cliente mediante un servidor RADIUS.

Esencial para dispositivos IoT o entornos Multi-Tenant donde 802.1X no es viable pero se requiere segmentación de red. Elimina la necesidad de difundir múltiples SSIDs.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Proporciona un mecanismo de autenticación que bloquea todo el tráfico de datos de un dispositivo hasta que el servidor RADIUS haya confirmado la autorización.

La base de la red WiFi para empleados (Staff WiFi) de la empresa, que garantiza que solo los dispositivos corporativos autorizados con credenciales o certificados válidos puedan acceder a los recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación basado en certificados que requiere certificados digitales tanto en el servidor RADIUS como en el dispositivo cliente, eliminando por completo las contraseñas.

El método más seguro para autenticar dispositivos corporativos. Los certificados se despliegan a través de MDM. El acceso se revoca invalidando el certificado, no cambiando una contraseña compartida.

Walled garden

Un entorno de red limitado que controla el acceso del usuario al contenido web antes de que se haya autenticado por completo. Se implementa como una ACL de preautenticación en el WLC.

Configurado en el Cisco WLC para permitir el acceso a la página de bienvenida de Purple, DNS y proveedores de inicio de sesión social antes de que se conceda al invitado acceso completo a Internet.

Asignación dinámica de VLAN

El proceso de ubicar automáticamente un dispositivo conectado en una LAN virtual (VLAN) específica en función de los atributos de autorización de RADIUS devueltos en el momento de la autenticación.

Garantiza que el personal, los invitados y los dispositivos IoT se ubiquen automáticamente en segmentos de red aislados al conectarse, sin necesidad de configuración manual por dispositivo.

Change of Authorization (CoA)

Una extensión de RADIUS (RFC 5176) que permite al servidor RADIUS modificar dinámicamente los atributos de autorización de sesión de un cliente que ya está conectado.

Requerido para los Captive Portals. Una vez que el invitado se autentica en la página de bienvenida de Purple, Purple envía un mensaje CoA al WLC para realizar la transición del cliente desde el estado de walled garden de preautenticación al acceso completo a Internet.

Central Web Authentication (CWA)

Un método de autenticación de Cisco en el que el servidor RADIUS (en lugar del WLC) aloja o redirige al portal de autenticación web, lo que permite soluciones de Captive Portal alojadas en la nube.

Se utiliza para integrar el Cisco WLC con el Captive Portal alojado en la nube de Purple, lo que permite a Purple gestionar la experiencia de autenticación de invitados y la captura de datos.

Ejemplos prácticos

Un gran centro comercial necesita proporcionar WiFi privado y seguro a 50 inquilinos minoristas utilizando un único Cisco Catalyst 9800 WLC y un único SSID de difusión. Cada inquilino debe estar aislado de los dispositivos de los demás inquilinos. ¿Cómo lo consiguen sin difundir 50 SSIDs independientes?

El equipo de TI despliega Cisco iPSK. Configuran un único SSID llamado 'Mall-Tenant-WiFi' con WPA2-PSK y filtrado MAC habilitado. En el servidor RADIUS, crean 50 grupos de identidad de endpoint, uno por inquilino. A cada grupo se le asigna una PSK única a través del atributo cisco-av-pair psk= y un ID de VLAN único a través del atributo IETF Tunnel-Private-Group-ID. Cuando el dispositivo de punto de venta de un inquilino se conecta utilizando su contraseña específica, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor asocia la dirección MAC con el grupo del inquilino y devuelve la asignación de PSK y VLAN. El WLC procesa los atributos, valida la PSK y ubica el dispositivo en la VLAN aislada del inquilino. El ajuste peer-blocking allow-private-group garantiza que los dispositivos que comparten la misma PSK puedan comunicarse entre sí, mientras que los dispositivos con diferentes PSKs tienen bloqueada la comunicación entre inquilinos.

Comentario del examinador: Este enfoque escala de manera eficiente. Difundir 50 SSIDs independientes causaría una grave interferencia de canal compartido en un entorno denso y degradaría el rendimiento para todos los usuarios. Cada SSID adicional consume tiempo de transmisión con tramas de gestión. iPSK ofrece la seguridad y segmentación de 50 redes independientes con la eficiencia de RF de una sola. La contrapartida es que el servidor RADIUS se convierte en una dependencia crítica; asegúrese de que sea de alta disponibilidad.

Un establecimiento Premier Inn de 300 habitaciones está migrando de cuentas de invitado locales en el WLC al Captive Portal en la nube de Purple. Tras aplicar la configuración, los huéspedes informan de que se conectan al SSID de WiFi, reciben una dirección IP, pero sus dispositivos muestran 'No Internet' y la página de bienvenida nunca aparece. ¿Cuál es el proceso de diagnóstico?

Paso 1: Verifique el estado del cliente en el WLC utilizando show wireless client detail <mac-address>. El cliente debe estar en estado 'Webauth Pending'. Si muestra 'Run', la ACL de preautenticación no se ha aplicado correctamente. Paso 2: Compruebe la ACL de preautenticación. La causa más común de este síntoma es que la ACL bloquea el DNS (puerto UDP 53). Sin DNS, el cliente no puede resolver ningún dominio y el mecanismo de detección del Captive Portal del sistema operativo falla silenciosamente. Añada una regla de permiso explícita para el puerto UDP 53 hacia las IPs del servidor DNS del recinto. Paso 3: Verifique que los dominios del walled garden de Purple estén permitidos en la ACL. El cliente debe poder acceder a la URL de la página de bienvenida de Purple antes de la autenticación. Paso 4: Confirme que la dirección IP virtual del WLC se ha cambiado de la predeterminada 1.1.1.1 a una dirección no enrutable como 192.0.2.1, ya que la dirección predeterminada puede entrar en conflicto con el tráfico legítimo de Internet.

Comentario del examinador: El síntoma de 'No Internet' sin redirección casi siempre se debe a un problema de DNS o de la ACL del walled garden. Los sistemas operativos modernos (iOS, Android, Windows, macOS) utilizan la detección de Captive Portal realizando solicitudes HTTP a URLs conocidas. Si el DNS falla, estas solicitudes no se pueden realizar y el sistema operativo nunca activa el navegador del Captive Portal. Permita siempre el DNS en la ACL de preautenticación; este es el error de despliegue más común que vemos.

Preguntas de práctica

Q1. Está desplegando Staff WiFi en 40 sucursales minoristas utilizando Cisco Catalyst 9800 WLCs. Desea utilizar 802.1X, pero la empresa aún no dispone de una solución MDM para distribuir certificados a los smartphones de los empleados. ¿Cuál es el enfoque viable más seguro y qué mitigación de riesgos debe implementar?

Sugerencia: Considere el equilibrio entre la seguridad de las credenciales y la viabilidad del despliegue cuando los certificados aún no son una opción. Concéntrese en el riesgo específico que surge del método alternativo.

Ver respuesta modelo

Despliegue PEAP-MSCHAPv2 como medida provisional. Aunque no es tan seguro como EAP-TLS, proporciona autenticación de contraseña cifrada dentro de un túnel TLS. La mitigación de riesgos crítica es exigir la validación del certificado del servidor en cada dispositivo cliente. Para portátiles Windows, despliegue un Objeto de Directiva de Grupo (GPO) que especifique la Entidad de Certificación de confianza exacta y el nombre del servidor RADIUS esperado en el perfil de WiFi. Para dispositivos iOS y Android, distribuya un perfil de configuración de WiFi por correo electrónico o mediante una herramienta ligera sin MDM que exija la validación del certificado. Sin esto, un atacante puede desplegar un punto de acceso no autorizado con un certificado fraudulento y capturar credenciales. Planifique la migración a EAP-TLS tan pronto como el MDM esté disponible.

Q2. El director de TI de un estadio necesita segmentar a los difusores de medios, los terminales de venta de entradas y los sensores IoT de climatización (HVAC) en redes aisladas independientes. Los sensores IoT no son compatibles con 802.1X. Los tres grupos deben utilizar WiFi. ¿Cómo se debe configurar el WLC?

Sugerencia: Busque una solución que proporcione credenciales únicas y asignación de VLAN por grupo de dispositivos sin requerir suplicantes empresariales en dispositivos sin interfaz de usuario (headless).

Ver respuesta modelo

Implemente Cisco iPSK con un único SSID para las operaciones del recinto. Cree tres grupos de identidad de endpoint en el servidor RADIUS: Broadcasters, Ticketing y HVAC. Asigne a cada grupo una PSK única a través de cisco-av-pair y un ID de VLAN único a través de Tunnel-Private-Group-ID. Configure la WLAN del WLC con WPA2-PSK, filtrado MAC habilitado y AAA Override activo. Los difusores (Broadcasters) reciben la PSK-A y la VLAN 31, la venta de entradas (Ticketing) recibe la PSK-B y la VLAN 32, y los sensores de HVAC reciben la PSK-C y la VLAN 33. Establezca peer-blocking en allow-private-group para que los dispositivos del mismo grupo puedan comunicarse (por ejemplo, los terminales de venta de entradas con su servidor), mientras que se bloquea la comunicación entre grupos. Esto evita el MAC Authentication Bypass, que se podría suplantar fácilmente.

Q3. Durante un despliegue de Guest WiFi en un centro de conferencias, los clientes se conectan al SSID y reciben una dirección IP, pero la redirección al Captive Portal nunca se produce. La ACL del walled garden permite el tráfico a todos los rangos de IP de Purple. ¿Cuál es el elemento de configuración que probablemente falta y cómo lo verifica?

Sugerencia: Pense en los protocolos necesarios antes de que el dispositivo cliente pueda realizar una solicitud HTTP.

Ver respuesta modelo

La causa más probable es que la ACL de preautenticación bloquee el tráfico DNS (puerto UDP 53). Antes de que un dispositivo cliente pueda realizar la solicitud HTTP que el WLC intercepta para activar la redirección, debe resolver el nombre de dominio a través de DNS. Los mecanismos modernos de detección de Captive Portal de los sistemas operativos (captive.apple.com de Apple, www.msftconnecttest.com de Microsoft, connectivitycheck.gstatic.com de Google) requieren resolución DNS. Para verificarlo: ejecute 'show wireless client detail ' en el WLC y confirme que el cliente está en estado 'Webauth Pending'. A continuación, revise los contadores de coincidencia de la ACL para ver si se está denegando el tráfico DNS. Corríjalo añadiendo una regla de permiso explícita para el puerto UDP 53 hacia las IPs del servidor DNS del recinto en la ACL del walled garden.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a gran escala.

Leer la guía →