Saltar al contenido principal
Español

Integración de NETGEAR Insight y Enterprise Access Points con Purple WiFi

Esta guía proporciona a los directores de TI una hoja de ruta técnica definitiva para integrar NETGEAR Insight y los puntos de acceso empresariales WAX con Purple WiFi. Cubre configuraciones esenciales, incluidos Captive Portals para invitados, redes de personal 802.1X y segmentación multi-inquilino mediante PPSK y asignación dinámica de VLAN.

📖 6 min de lectura📝 1,295 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido al Informe Técnico de Purple. Hoy trataremos un tema que surge constantemente en nuestras conversaciones con gestores de TI y arquitectos de red en los sectores de hostelería, retail y espacios multiinquilino: cómo integrar los puntos de acceso NETGEAR Insight y la serie WAX con Purple WiFi. Si gestiona un hotel, un parque comercial, un centro de conferencias o un desarrollo de uso mixto, este informe es directamente relevante para su próxima decisión de despliegue. Pongámonos en situación. La serie WAX de NETGEAR —los modelos WAX610, WAX620 y WAX630— consta de puntos de acceso WiFi 6 gestionados a través de la plataforma en la nube Insight. Admiten hasta ocho SSID independientes por radio, cifrado WPA3 y hasta seis gigabits de rendimiento en el WAX630. Se alimentan por PoE, se pueden montar en el techo y se gestionan desde un panel único a través del Insight Cloud Portal. Para un instalador de TI o un administrador de redes de pymes, se trata de una plataforma realmente capaz a un precio muy inferior al de la gama de Cisco Meraki o HPE Aruba. Purple es un software superpuesto en la nube (SaaS) independiente del hardware. Nos situamos por encima de su infraestructura existente y añadimos la capa de experiencia del invitado, la capa de captura de datos y la capa de analítica. Hemos procesado 440 millones de inicios de sesión en 2024 en 80.000 espacios activos. La integración con NETGEAR Insight es limpia, está bien documentada y cubre cuatro casos de uso distintos que analizaremos hoy. Entremos ahora en el análisis técnico detallado. Los cuatro casos de uso son: Guest WiFi con un Captive Portal de Purple, Staff WiFi seguro mediante 802.1X, segmentación multiinquilino mediante la función PPSK de NETGEAR y asignación dinámica de VLAN a través de RADIUS para redes basadas en la identidad. Primer caso de uso: Guest WiFi con un Captive Portal de Purple. Este es el punto de partida más habitual. Usted crea un SSID Guest dedicado en NETGEAR Insight y lo configura como una red abierta. La configuración clave se encuentra en la sección Captive Portal de los ajustes del SSID. Selecciona External Captive Portal y pega la URL de la página de inicio (Splash Page) que le proporciona Purple. A continuación, configura el tipo de autenticación. Para la mayoría de los despliegues de Purple, seleccionará la autenticación RADIUS. Purple le proporciona una dirección IP de servidor RADIUS principal, el puerto 1812 para la autenticación y el puerto 1813 para la contabilidad, además de un secreto compartido. Copie estos datos en la configuración del External Captive Portal de NETGEAR Insight. También debe definir un identificador NAS (NAS Identifier): se trata de una cadena de caracteres que identifica este punto de acceso o ubicación específicos ante el servidor RADIUS. Utilice un nombre descriptivo, como el nombre de su establecimiento y el código de ubicación. El walled garden (entorno cerrado) es el paso que suele complicar a la mayoría de los instaladores. Antes de que un invitado se autentique, su dispositivo debe poder acceder a la página de inicio (splash page) de Purple, a los servidores de autenticación y a cualquier proveedor de inicio de sesión social que se haya habilitado. NETGEAR Insight dispone de una sección dedicada al Walled Garden en la configuración del Captive Portal externo, donde se añaden estas URL. La documentación de soporte de Purple proporciona la lista exacta de dominios que se deben incluir en la lista blanca. Si esto se configura de forma incorrecta, los invitados verán una página en blanco en lugar de su portal personalizado. Una vez configurado, el flujo funciona de la siguiente manera: un invitado se conecta al SSID de invitados del hotel. El punto de acceso intercepta su primera solicitud HTTP y lo redirige a la página de inicio de Purple. El invitado ve su portal personalizado, acepta los términos y, de forma opcional, proporciona su dirección de correo electrónico o inicia sesión a través de redes sociales. El servidor RADIUS de Purple devuelve un mensaje Access-Accept al punto de acceso y se le concede al invitado acceso a internet. Purple captura los datos de consentimiento, registra la sesión y esos datos se envían a su panel de análisis de Purple. Segundo caso de uso: WiFi seguro para el personal mediante 802.1X. Aquí es donde se deja de lado por completo el uso de contraseñas compartidas. En las redes del personal, una clave precompartida representa un riesgo de seguridad: cuando un empleado se va, hay que cambiar la contraseña para todo el mundo. El estándar 802.1X, definido en la norma IEEE 802.1X, proporciona a cada usuario una credencial individual. Cuando se marchan, se deshabilita su cuenta en el directorio y su acceso se revoca al instante. En NETGEAR Insight, se configura un SSID de personal independiente con seguridad WPA2 Enterprise. Esto indica al punto de acceso que utilice la autenticación 802.1X en lugar de una clave precompartida. A continuación, se configuran los parámetros del servidor RADIUS a nivel de ubicación de red. Vaya a la configuración de ubicación de red, seleccione RADIUS, habilite la autenticación de acceso 802.1X e introduzca la IP del servidor RADIUS, el puerto y el secreto compartido. El intervalo de reautenticación predeterminado es de 3600 segundos (una hora), lo cual es un punto de partida razonable para la mayoría de los establecimientos. El método EAP más común en las implementaciones de pymes es PEAP-MSCHAPv2, que utiliza un certificado del lado del servidor para crear un túnel cifrado en cuyo interior el usuario se autentica con su nombre de usuario y contraseña de Active Directory. EAP-TLS es más seguro (utiliza certificados en ambos lados), pero requiere una infraestructura PKI y un MDM para enviar los certificados a los dispositivos. Un punto fundamental: aplique la validación de certificados en cada dispositivo cliente. Configure sus dispositivos Windows a través de objetos de directiva de grupo (GPO) y sus dispositivos móviles a través de perfiles MDM para validar el certificado del servidor RADIUS. Si omite este paso, los dispositivos quedarán expuestos a ataques de puntos de acceso no autorizados, en los que un atacante presenta un certificado falso y captura las credenciales. Caso de uso tres: PPSK de NETGEAR para espacios multiinquilino. La clave precompartida privada (PPSK) resuelve un problema específico en parques comerciales, urbanizaciones de uso mixto y espacios de co-working. Tienes varios inquilinos que comparten la misma infraestructura de WiFi física. No quieres ejecutar SSIDs independientes para cada inquilino, ya que eso genera congestión de radiofrecuencia y complejidad de gestión. Pero tampoco puedes dar a todos la misma contraseña, porque entonces el inquilino A podría ver el tráfico del inquilino B. PPSK resuelve esto de forma elegante. Creas un único SSID y creas múltiples claves precompartidas en NETGEAR Insight, dentro de Wireless, Settings, Advanced, Multi PSK Settings. Cada clave se asocia a una VLAN específica. El inquilino A recibe una contraseña exclusiva de 16 caracteres que se asigna a la VLAN 30. El inquilino B recibe una contraseña diferente que se asigna a la VLAN 40. El equipo de gestión del espacio recibe una tercera contraseña que se asigna a la VLAN 20, que tiene acceso a los sistemas de gestión. Cuando los dispositivos del inquilino A se conectan con su contraseña, el punto de acceso los coloca automáticamente en la VLAN 30. No pueden ver ningún tráfico de la VLAN 40 ni de la VLAN 20. Desde la perspectiva de un inquilino, solo tienen una contraseña de WiFi. Desde tu perspectiva como administrador de la red, tienes un aislamiento de tráfico completo entre inquilinos sin necesidad de hardware adicional. Hay dos limitaciones importantes que debes conocer. En primer lugar, PPSK en NETGEAR Insight requiere cifrado WPA2 Personal o WPA2 Personal Mixed. No funciona en la banda de 6 GHz. En segundo lugar, PPSK no se puede combinar con un Captive Portal en el mismo SSID. Si necesitas ambos, necesitas dos SSIDs independientes, lo cual no es un problema, ya que los puntos de acceso de la serie WAX admiten hasta ocho. Caso de uso cuatro: asignación dinámica de VLAN a través de RADIUS. Esta es la configuración más sofisticada y la que sirve de base para la capacidad de redes basadas en la identidad de Purple. En lugar de asignar estáticamente una VLAN a una contraseña o a un SSID, dejas que el servidor RADIUS decida qué VLAN asignar en función de quién se esté autenticando. El mecanismo utiliza tres atributos RADIUS estándar: Tunnel-Type, que debe establecerse en el valor 13 para VLAN; Tunnel-Medium-Type, que debe establecerse en el valor 6 para IEEE 802; y Tunnel-Private-Group-ID, que contiene el ID de la VLAN como una cadena. Cuando un usuario se autentica correctamente, el servidor RADIUS devuelve estos tres atributos en el mensaje Access-Accept. El punto de acceso los lee y coloca al cliente en la VLAN especificada. En la práctica, esto significa que puedes tener un único SSID WPA2 Enterprise donde un director de hotel se autentica y accede a la VLAN 20 con acceso a los sistemas de gestión del establecimiento, un recepcionista se autentica y accede a la VLAN 21 con acceso únicamente al sistema de registro, y un contratista se autentica y accede a la VLAN 50 con acceso solo a internet. Todo desde el mismo SSID, todo aplicado automáticamente por el servidor RADIUS en función de la pertenencia a grupos de Active Directory. Hablemos ahora de las recomendaciones de implementación y de los problemas más habituales. El primer obstáculo es el walled garden (entorno cerrado). Toda implementación de un Captive Portal externo falla en el walled garden al menos una vez. El síntoma es que los invitados se conectan al SSID pero ven un error del navegador en lugar de la página de bienvenida (splash page). La solución es metódica: abra la documentación de soporte de Purple, copie cada dominio de la lista del walled garden y péguelos en la sección Walled Garden de NETGEAR Insight. Realice la prueba con un dispositivo que no tenga credenciales almacenadas en caché. El segundo obstáculo es la accesibilidad de RADIUS. El punto de acceso NETGEAR necesita comunicarse con su servidor RADIUS. RADIUS utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad (accounting). Abra esos puertos desde la IP de gestión del punto de acceso hacia la IP del servidor RADIUS. Realice una prueba con una herramienta de prueba de RADIUS antes de la puesta en marcha. El tercer obstáculo es el conflicto entre PPSK y el Captive Portal. NETGEAR Insight no permite tener PPSK y Captive Portal en el mismo SSID. Si necesita ambos, cree dos SSID. Nómbrelos claramente: uno para los inquilinos de PPSK y otro para los invitados del Captive Portal. El cuarto obstáculo es la validación de certificados en clientes 802.1X. Cada dispositivo Windows necesita un Objeto de Directiva de Grupo (GPO) que especifique la Entidad de Certificación de confianza y el nombre del servidor RADIUS esperado. Cada dispositivo móvil necesita un perfil MDM con la misma configuración. Sin esto, un usuario podría autenticarse sin saberlo en un punto de acceso no autorizado y entregar sus credenciales de Active Directory. Pasemos ahora a una sesión rápida de preguntas y respuestas. Primera pregunta: ¿Puedo usar Purple con NETGEAR Insight sin un servidor RADIUS? Sí, para implementaciones de Captive Portal de invitados, puede utilizar el modo de autenticación web de Purple en lugar de RADIUS. El punto de acceso redirige a la página de bienvenida a través de HTTP, y Purple gestiona la autenticación mediante una sesión web. RADIUS ofrece un mayor control y mejores datos de contabilidad, pero no es obligatorio para implementaciones básicas de portal de invitados. Segunda pregunta: ¿Cuántas claves PPSK puedo crear en NETGEAR Insight? NETGEAR Insight admite hasta 64 claves PPSK por SSID en los puntos de acceso de la serie WAX. Para la mayoría de los entornos multi-inquilino, esto es más que suficiente. Si tiene más de 64 inquilinos, deberá pasar a una solución de VLAN dinámica basada en RADIUS. Tercera pregunta: ¿Admite NETGEAR Insight WPA3 Enterprise para 802.1X? Sí, los puntos de acceso de la serie WAX admiten WPA3 Enterprise. Para la mayoría de las implementaciones de pymes, WPA2 Enterprise es suficiente y ofrece una compatibilidad de dispositivos cliente más amplia. Vale la pena considerar WPA3 Enterprise para entornos que manejan datos confidenciales, como el sector sanitario o los servicios financieros. Cuarta pregunta: ¿Qué ocurre si el servidor RADIUS de Purple no está accesible? NETGEAR Insight admite una opción de seguridad ante fallos (failsafe) en la configuración del Captive Portal externo. Si activa esta opción, se concede acceso a internet a los invitados durante un breve período, incluso si los servidores del Captive Portal no están accesibles. Purple mantiene un tiempo de actividad del 99,999 % en toda nuestra infraestructura, pero activar la seguridad ante fallos es una buena práctica para cualquier implementación en producción. Para resumir los puntos clave de la sesión de hoy. Los puntos de acceso de la serie NETGEAR WAX se integran con Purple a través del mecanismo de Captive Portal externo en NETGEAR Insight. Configure la URL de la página de inicio (splash page), las credenciales del servidor RADIUS y los dominios de walled garden en el portal de Insight Cloud. Para las redes de empleados, utilice WPA2 Enterprise con 802.1X y exija la validación de certificados en cada dispositivo cliente. Para entornos multiinquilino, la función PPSK de NETGEAR le proporciona aislamiento de VLAN por inquilino desde un único SSID con hasta 64 claves únicas. Para los despliegues más sofisticados, la asignación dinámica de VLAN mediante atributos RADIUS le ofrece una segmentación de red basada en la identidad que se adapta a quién se está conectando, no solo desde dónde se está conectando. Si está planificando un despliegue de NETGEAR con Purple, el siguiente paso es solicitar sus credenciales de RADIUS de Purple y la lista de dominios de walled garden al equipo de soporte de Purple, y probar la redirección del Captive Portal en un SSID de pruebas antes de lanzarlo a producción. La configuración se realiza en menos de 30 minutos una vez que dispone de dichas credenciales. Gracias por escuchar el Informe Técnico de Purple. Para consultar la guía escrita completa, que incluye los detalles de configuración paso a paso y ejemplos prácticos, visite purple.ai.

header_image.png

Resumen Ejecutivo

Depender de claves precompartidas para el acceso a la WiFi empresarial representa un riesgo de seguridad significativo. Una sola credencial comprometida expone toda la red, y revocar el acceso requiere cambiar la contraseña en cada dispositivo. Esta guía proporciona a los responsables de TI y arquitectos de red una hoja de ruta definitiva para integrar NETGEAR Insight y los puntos de acceso empresariales de la serie WAX con Purple.

Detallamos cuatro arquitecturas de despliegue principales: Guest WiFi con Captive Portal, WiFi seguro para el personal mediante 802.1X, segmentación multiinquilino a través de claves precompartidas privadas (PPSK) de NETGEAR y redes basadas en la identidad utilizando asignación dinámica de VLAN. Ya sea que opere en entornos de Hostelería , espacios de Retail o entornos del sector público, estas configuraciones eliminan las contraseñas compartidas, imponen una segmentación de red estricta y capturan datos útiles de WiFi Analytics .

Escuche nuestro pódcast de sesión técnica informativa a continuación para obtener una descripción general completa de la arquitectura y los errores de despliegue más comunes.

Análisis Técnico Detallado

Los puntos de acceso de la serie NETGEAR WAX (WAX610, WAX620, WAX630) son dispositivos Wi-Fi 6 gestionados en la nube diseñados para entornos de alta densidad. Gestionados a través del portal NETGEAR Insight, admiten hasta ocho SSID independientes por radio, cifrado WPA3 y rendimiento multi-gigabit. Purple actúa como una plataforma en la nube agnóstica respecto al hardware, integrándose con NETGEAR Insight para ofrecer un control de acceso y una captura de datos de nivel empresarial.

1. Guest WiFi con Captive Portal

Para entornos abiertos al público, debe desplegar un Captive Portal externo. Esta configuración intercepta las solicitudes HTTP de los invitados y las redirige a una página de inicio alojada en Purple.

Arquitectura:

  1. Punto de acceso: El punto de acceso NETGEAR WAX emite un SSID Guest de tipo abierto o WPA2 Personal.
  2. Walled Garden (Entorno cerrado): NETGEAR Insight permite el tráfico de autenticación previa a los servidores de Purple y a los proveedores de inicio de sesión social.
  3. Autenticación: Purple gestiona la sesión del usuario a través de RADIUS o autenticación web HTTP.

Cuando un invitado se conecta, se le presenta un portal personalizado con la marca. Al aceptar las condiciones y proporcionar sus datos, el servidor RADIUS de Purple devuelve un mensaje Access-Accept, concediendo el acceso a Internet. Este enfoque garantiza el cumplimiento de normativas de privacidad de datos como el GDPR a la vez que captura valiosos datos de origen (first-party data).

2. WiFi seguro para el personal (802.1X)

Las claves precompartidas no son admisibles en las redes del personal. Debe implementar la autenticación IEEE 802.1X. En este modelo, cada usuario dispone de una credencial individual. Cuando un empleado se marcha, se inhabilita su cuenta de directorio y su acceso se revoca al instante.

En NETGEAR Insight, configure un SSID para el personal con seguridad WPA2 Enterprise o WPA3 Enterprise. El punto de acceso actúa como autenticador, retransmitiendo los mensajes del Protocolo de autenticación extensible (EAP) al servidor RADIUS. El servidor RADIUS valida las credenciales en su directorio (por ejemplo, Microsoft Entra ID u Okta) y devuelve la decisión de autorización.

3. Segmentación multiinquilino (PPSK)

Las urbanizaciones de uso mixto y los parques comerciales se enfrentan a un reto específico: varios inquilinos que comparten la infraestructura física de WiFi. Desplegar un SSID independiente para cada inquilino genera congestión de radiofrecuencia. Proporcionar una única contraseña compartida pone en peligro la seguridad.

La clave precompartida privada (PPSK) de NETGEAR soluciona esto. Emita un único SSID. En NETGEAR Insight, genere contraseñas exclusivas para cada inquilino. Lo más importante es que cada contraseña se asocia a una VLAN específica.

ppsk_vlan_infographic.png

Cuando un dispositivo se conecta con la contraseña de la tienda minorista, el punto de acceso lo sitúa en la VLAN aislada de dicha tienda. Cuando el personal de gestión del centro se conecta con su contraseña, accede a la VLAN de gestión. Así se consigue un aislamiento total del tráfico sin necesidad de hardware adicional. Tenga en cuenta que PPSK requiere WPA2 Personal y no se puede combinar con un Captive Portal en el mismo SSID.

4. Asignación dinámica de VLAN mediante RADIUS

Para redes sofisticadas basadas en la identidad, debe utilizar la asignación dinámica de VLAN. En lugar de asignar estáticamente una VLAN a un SSID o a una contraseña, el servidor RADIUS determina la VLAN en función del perfil de directorio del usuario.

El servidor RADIUS devuelve tres atributos estándar en el mensaje Access-Accept:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

Un único SSID WPA2 Enterprise puede dar servicio a toda la organización. Un director de hotel se autentica y accede a la VLAN 20. Un recepcionista accede a la VLAN 21. Un contratista accede a la VLAN 50. La red se adapta a la identidad del usuario. Para obtener una visión más amplia sobre cómo proteger su entorno, consulte nuestra Guía completa de seguridad WiFi empresarial para 2026 .

architecture_overview.png

Guía de implementación

Siga estos pasos para implementar NETGEAR Insight con Purple Guest WiFi .

Paso 1: Configurar el SSID de invitados

  1. Inicie sesión en el portal en la nube de NETGEAR Insight.
  2. Seleccione la ubicación de su red y vaya a Wireless > Settings.
  3. Cree un nuevo SSID (por ejemplo, "Venue Guest WiFi").
  4. Seleccione Captive Portal y elija External Captive Portal.

Paso 2: Configurar el Captive Portal

  1. En el campo Splash Page URL, introduzca la URL proporcionada por Purple.
  2. Seleccione el botón de opción Radius.
  3. Introduzca la IP del Servidor de Autenticación Primario, el puerto (1812) y el secreto compartido proporcionado por Purple.
  4. Introduzca la IP del Servidor de Contabilidad Primario, el puerto (1813) y el secreto compartido.
  5. Defina un NAS-Identifier descriptivo (por ejemplo, "London-Retail-01").

Paso 3: Configurar el Walled Garden

Este es el paso más crítico. Si el walled garden es incorrecto, los invitados verán una pantalla en blanco.

  1. Desplácese hasta la sección Walled Garden en la configuración del Captive Portal.
  2. Añada todos los dominios proporcionados en la documentación de integración de Purple. Esto incluye los dominios CDN de Purple, los servidores de autenticación y cualquier proveedor de inicio de sesión social habilitado (por ejemplo, Facebook, Google).
  3. Haga clic en Guardar.

Paso 4: Verificar la accesibilidad de RADIUS

Asegúrese de que su cortafuegos permite los puertos UDP 1812 y 1813 de salida desde las direcciones IP de gestión de los puntos de acceso hacia los servidores RADIUS de Purple.

Buenas prácticas

  • Forzar la validación de certificados: Para despliegues 802.1X, debe forzar una validación estricta de certificados en todos los dispositivos clientes a través de Objetos de Directiva de Grupo (GPO) o la gestión de dispositivos móviles (MDM). Si los clientes no validan el certificado del servidor RADIUS, quedan expuestos a ataques de puntos de acceso no autorizados.
  • Aislar el tráfico de gestión: Coloque siempre las direcciones IP de gestión de los puntos de acceso en una VLAN de gestión dedicada, aislada del tráfico de invitados y del personal.
  • Habilitar el sistema de seguridad (Failsafe): En la configuración del Captive Portal de NETGEAR Insight, habilite la opción FailSafe. Si los servidores RADIUS dejan de estar accesibles, se concede a los invitados acceso temporal a internet, evitando una interrupción total del servicio WiFi.
  • SSID independientes para PPSK: Dado que NETGEAR Insight no admite PPSK y Captive Portal en el mismo SSID, debe crear SSID dedicados (por ejemplo, "Venue-Guest" y "Venue-Tenant").

Resolución de problemas y mitigación de riesgos

Síntoma: Los invitados se conectan al SSID pero la página de bienvenida no se carga.

  • Causa: Configuración incompleta del Walled Garden.
  • Resolución: Verifique que todos los dominios de Purple y los dominios de inicio de sesión social estén introducidos correctamente en la configuración del Walled Garden de NETGEAR Insight. Realice la prueba con un dispositivo que no tenga credenciales almacenadas en caché.

Síntoma: Los dispositivos del personal no logran autenticarse mediante 802.1X.

  • Causa: Tiempo de espera de RADIUS agotado o secreto compartido incorrecto.
  • Resolución: Verifique que los puertos UDP 1812 y 1813 estén abiertos de salida. Confirme que el secreto compartido coincida exactamente entre el portal de NETGEAR Insight y el servidor RADIUS. Revise los registros del servidor RADIUS en busca de mensajes Access-Reject.

Síntoma: Los clientes PPSK se asignan a una VLAN incorrecta.

  • Causa: Mapeo de VLAN incorrecto o falta de configuración de VLAN en el switch.
  • Resolución: Asegúrese de que la VLAN esté creada en NETGEAR Insight dentro de los ajustes de Red Cableada (Wired). Verifique que los ajustes de Multi PSK asocien la contraseña correcta al ID de VLAN correspondiente. Asegúrese de que el puerto del switch que conecta el punto de acceso esté configurado como un puerto trunk que permita la VLAN de destino.

Impacto Empresarial y ROI

La implementación de NETGEAR Insight con Purple transforma su infraestructura inalámbrica de un centro de costes a un activo generador de ingresos. Al implementar Redes Basadas en la Identidad y un Captive Portal, conseguirá:

  • Reducción de Gastos Operativos de TI: PPSK y 802.1X eliminan la necesidad de gestionar manualmente contraseñas compartidas o de enviar ingenieros para realizar cambios rutinarios de acceso.
  • Analítica de Datos Accionable: Capture datos demográficos, tiempos de permanencia y tasas de retorno para optimizar las operaciones del espacio y la combinación de inquilinos.
  • ROI de Marketing: Construya una base de datos CRM de alta intención que cumpla con el GDPR. Los establecimientos suelen experimentar una reducción significativa en los costes de adquisición de clientes al aprovechar los datos de origen (first-party data) recopilados a través de WiFi.
  • Seguridad Mejorada: La asignación dinámica de VLAN aísla los dispositivos IoT, los sistemas de punto de venta y el tráfico de invitados, lo que reduce significativamente la superficie de ataque y garantiza el cumplimiento de PCI DSS.

Definiciones clave

802.1X

Un estándar de la IEEE para el Control de Acceso a Redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

Esencial para la seguridad empresarial; sustituye las contraseñas compartidas por credenciales de usuario individuales.

Captive Portal

Una página web que un usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda acceso.

Utilizado por Purple para capturar datos de primera fuente y garantizar la aceptación de las condiciones de servicio.

PPSK (Private Pre-Shared Key)

Una función que permite múltiples contraseñas únicas en un único SSID, donde cada contraseña asigna al usuario a una VLAN específica.

Ideal para edificios multiinquilino o para aislar dispositivos IoT sin tener que crear múltiples SSID.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El servidor central que valida las credenciales e indica al AP de NETGEAR si debe conceder el acceso.

Walled Garden

Un entorno limitado que controla el acceso del usuario a los contenidos y servicios web antes de la autenticación completa.

Debe configurarse en NETGEAR Insight para permitir que los dispositivos accedan a la splash page de Purple y a los proveedores de inicio de sesión social.

Asignación Dinámica de VLAN

El proceso mediante el cual un servidor RADIUS indica a un punto de acceso que sitúe a un usuario autenticado en una VLAN específica en función de su identidad.

Permite Redes Basadas en la Identidad, lo que posibilita que un único SSID preste servicio a múltiples departamentos de forma segura.

NAS-Identifier

Network Access Server Identifier; una cadena utilizada para identificar el origen de una solicitud de acceso RADIUS.

Se configura en NETGEAR Insight para que Purple sepa desde qué establecimiento o punto de acceso se está conectando el usuario.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un método de autenticación que requiere certificados digitales tanto en el cliente como en el servidor.

El método 802.1X más seguro, que elimina por completo las contraseñas, aunque requiere un MDM para desplegar los certificados.

Ejemplos prácticos

Un parque comercial de 40 locales necesita proporcionar un servicio de WiFi seguro y aislado para los sistemas de punto de venta de cada inquilino, además de una red WiFi pública con la marca del parque para los compradores. Han desplegado puntos de acceso NETGEAR WAX630. ¿Cómo se debe configurar la red?

Cree dos SSIDs en NETGEAR Insight. SSID 1: 'RetailPark-Guest'. Configúrelo con un Captive Portal externo que apunte a la página de bienvenida de Purple, con autenticación RADIUS y un walled garden completo. Asócielo a la VLAN 10 (solo Internet). SSID 2: 'RetailPark-Tenants'. Configúrelo con WPA2 Personal y active Multi PSK (PPSK). Cree 40 contraseñas únicas. Asocie la contraseña del inquilino A a la VLAN 101, la del inquilino B a la VLAN 102, etc. Asegúrese de que el switch troncalice todas las VLAN hacia los puntos de acceso.

Comentario del examinador: Este enfoque equilibra perfectamente la seguridad y la experiencia del usuario. Al separar los SSIDs, evitamos la limitación de NETGEAR de no mezclar PPSK y Captive Portals. La configuración PPSK garantiza una visibilidad nula entre inquilinos para el cumplimiento de PCI, mientras que el portal de Purple captura los datos de los compradores.

Una sede corporativa desea dejar de utilizar una contraseña WPA2 compartida. Necesitan que el personal se autentique con sus credenciales de Microsoft Entra ID y quieren que el equipo de finanzas esté en la VLAN 50 y el de marketing en la VLAN 60.

Despliegue un único SSID 'Corporate-Secure' configurado para WPA2 Enterprise. Apunte la configuración RADIUS de NETGEAR Insight a un servidor RADIUS integrado con Entra ID. Configure el servidor RADIUS para que devuelva los atributos de túnel estándar (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 o 60) en función de la pertenencia al grupo de directorio del usuario. Aplique la validación de certificados en todos los portátiles corporativos a través de MDM.

Comentario del examinador: Esto demuestra una verdadera red basada en la identidad (Identity-Based Networking). El punto de acceso asigna dinámicamente la VLAN en función de la respuesta de RADIUS. Fundamentalmente, obligar a la validación de certificados evita los ataques de AP falsos, lo cual es obligatorio para la seguridad empresarial.

Preguntas de práctica

Q1. Ha desplegado un Captive Portal de Purple en un NETGEAR WAX620. Los invitados pueden conectarse al WiFi, pero sus navegadores muestran un error de 'No se puede acceder al destino' en lugar de la splash page. ¿Cuál es el error de configuración más probable?

Sugerencia: Piense en lo que debe ocurrir antes de que el invitado esté totalmente autenticado para poder acceder a servidores externos.

Ver respuesta modelo

El Walled Garden está mal configurado o incompleto. El punto de acceso de NETGEAR está bloqueando el tráfico inicial hacia los servidores de Purple. Debe asegurarse de que todos los dominios CDN de Purple requeridos, las URL de autenticación y los dominios de inicio de sesión social se añadan a la lista del Walled Garden en el portal de Insight.

Q2. Un establecimiento requiere un Captive Portal para invitados y un WiFi seguro y aislado para 10 inquilinos comerciales diferentes. Quieren minimizar las interferencias de RF. ¿Cómo se configuran los puntos de acceso de NETGEAR?

Sugerencia: NETGEAR Insight tiene limitaciones específicas en cuanto a la combinación de portales cautivos y PPSK.

Ver respuesta modelo

Debe crear exactamente dos SSID. NETGEAR no admite PPSK y Captive Portal en el mismo SSID. Cree 'Venue-Guest' con un Captive Portal externo que apunte a Purple. Cree 'Venue-Retail' con WPA2 Personal y configure Multi PSK (PPSK) con 10 contraseñas únicas, cada una asignada a una VLAN diferente.

Q3. Al configurar la asignación dinámica de VLAN para el personal mediante 802.1X, ¿qué tres atributos RADIUS debe devolver el servidor en el mensaje Access-Accept?

Sugerencia: Piense en los atributos estándar del RFC 2868 para la configuración de túneles.

Ver respuesta modelo

El servidor RADIUS debe devolver: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802), y [81] Tunnel-Private-Group-ID = [La cadena de ID de VLAN específica].

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →