Integración de Cisco WLC y Catalyst con Purple WiFi: Guía paso a paso de acceso para invitados

Esta guía detalla paso a paso la integración de Cisco WLC y Catalyst 9800 Wireless con Purple, abarcando la redirección al Captive Portal de Guest WiFi mediante Central Web Authentication, WiFi seguro para empleados mediante 802.1X EAP-TLS y segmentación Multi-Tenant mediante Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Está dirigida a arquitectos de redes empresariales y directores de seguridad de TI que despliegan infraestructura de Cisco en el sector hotelero, retail y grandes recintos públicos.

📖 9 min de lectura📝 2,116 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al Informe Técnico de Purple. Soy su anfitrión, y hoy cubriremos un escenario de despliegue definitivo para arquitectos de redes empresariales: la integración de los controladores de LAN inalámbrica (WLC) de Cisco y el hardware Catalyst 9800 con la plataforma Purple WiFi. Si gestiona la TI de una cadena hotelera, una red de retail o un gran recinto público, sabe que confiar en claves precompartidas básicas es un riesgo de seguridad inaceptable. Hoy describiremos la arquitectura paso a paso para segmentar su red, proteger a su personal y convertir su WiFi de invitados en un activo impulsado por datos.

Establezcamos el contexto. Un entorno inalámbrico empresarial debe gestionar tres perfiles distintos: invitados (Guests), personal (Staff) y dispositivos sin interfaz de usuario (headless) o de inquilinos (Tenants). No puede tratarlos de la misma manera, y no puede difundir veinte SSIDs diferentes para darles cabida. La solución es una infraestructura de hardware unificada que aproveche diferentes mecanismos de autenticación en un único controlador de LAN inalámbrica Cisco Catalyst 9800.

Ahora profundicemos en la arquitectura técnica. El primer nivel es Guest WiFi. El objetivo aquí es un acceso con la menor fricción posible combinado con la captura de datos. Lo logramos utilizando un SSID abierto y Central Web Authentication, o CWA. Cuando un invitado se conecta, el Cisco WLC aplica una lista de control de acceso (ACL) de preautenticación. Este es su walled garden. Bloquea el acceso general a Internet pero permite el tráfico a los dominios de Purple y servicios esenciales. Cuando el invitado intenta navegar, el WLC intercepta la solicitud HTTP y lo redirige a la página de bienvenida del Captive Portal de Purple. Una vez que se autentica, tal vez a través de un formulario de registro, un inicio de sesión social o un código de un solo uso, Purple actúa como el servidor RADIUS. Envía un mensaje de Change of Authorization, conocido como CoA, al WLC. Esto mueve al cliente a una VLAN de invitados aislada y le concede acceso a Internet. Todo el flujo está automatizado y cada inicio de sesión se registra en la plataforma de analítica de Purple.

El segundo nivel es Staff WiFi. Para los dispositivos corporativos, exigimos la autenticación 802.1X. Específicamente, EAP-TLS, que significa Extensible Authentication Protocol Transport Layer Security. Este método utiliza certificados digitales instalados en los dispositivos corporativos a través de su plataforma de gestión de dispositivos móviles (MDM), ya sea Microsoft Intune, Jamf u otra solución. El WLC actúa como el autenticador, pasando mensajes EAP al servidor RADIUS. Dado que utilizamos certificados, no hay contraseñas que robar. Si se pierde un dispositivo o un empleado se marcha, se revoca el certificado. El acceso se interrumpe instantáneamente, sin cambiar una contraseña global ni perturbar a nadie más. EAP-TLS es el estándar de oro para la seguridad empresarial.

El tercer nivel es el WiFi Multi-Tenant o de IoT. Piense en los inquilinos de un centro comercial, los miembros de un espacio de coworking o los sensores de un edificio inteligente que no son compatibles con 802.1X. Para esto, desplegamos Cisco Identity PSK, o iPSK. Todos se conectan al mismo SSID, pero el servidor RADIUS asigna una contraseña única y una VLAN única a cada inquilino en función de su dirección MAC. Cuando el dispositivo de un inquilino se conecta, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor devuelve la PSK específica para ese inquilino como un atributo Cisco AV-Pair, junto con tres atributos RADIUS estándar de la IETF para asignar dinámicamente el cliente a la VLAN correcta. Esos atributos son: Tunnel-Type, establecido en VLAN; Tunnel-Medium-Type, establecido en 802; y Tunnel-Private-Group-ID, establecido en el ID de la VLAN de destino. El WLC procesa estos atributos y ubica el dispositivo en el segmento de red aislado correcto. iPSK ofrece segmentación empresarial con la simplicidad del mercado de consumo.

Ahora hablemos de las recomendaciones de implementación y de los errores que vemos con más frecuencia en los despliegues de producción.

El punto de fallo más común en los despliegues de invitados es la ACL del walled garden. Si los invitados se conectan pero la página de bienvenida no aparece, compruebe primero su configuración de DNS. Si su ACL de preautenticación bloquea el puerto UDP 53, el cliente no podrá resolver nombres de dominio. El sistema operativo no activará el mininavegador del Captive Portal y el invitado verá un error de 'Sin Internet'. Permita siempre explícitamente el tráfico DNS en su ACL de walled garden. Este es el problema de soporte más común que encontramos.

El segundo error se produce en los despliegues de personal. Si decide desplegar PEAP-MSCHAPv2 en lugar de EAP-TLS porque aún no dispone de una solución MDM para distribuir certificados, debe configurar sus dispositivos cliente para que validen explícitamente el certificado del servidor RADIUS. Esto significa especificar la Entidad de Certificación exacta en la que confiar y el nombre del servidor esperado en el perfil de WiFi. Si deja esto en manos del usuario final para que lo configure manualmente, un atacante puede levantar un punto de acceso no autorizado, presentar un certificado fraudulento y capturar las credenciales corporativas. Este no es un ataque teórico. Es una amenaza real bien documentada. Aplique la validación de certificados mediante Directivas de Grupo para dispositivos Windows y mediante perfiles de MDM para macOS y dispositivos móviles.

El tercer error se produce en los despliegues de iPSK. Si un cliente se conecta pero recibe la VLAN incorrecta, o no logra conectarse en absoluto, la causa más probable es que el ID de VLAN de destino especificado en el atributo Tunnel-Private-Group-ID no exista en el WLC. La VLAN debe estar creada y activa en el controlador antes de que el servidor RADIUS pueda dirigir a los clientes hacia ella. Utilice el comando debug radius en el WLC para verificar que los atributos se están recibiendo correctamente desde el servidor RADIUS.

Ahora pasemos a una sesión de preguntas y respuestas rápidas sobre las dudas que escuchamos con más frecuencia.

Pregunta uno: ¿Puedo utilizar MAC Authentication Bypass en lugar de iPSK para dispositivos IoT?

Puede, pero no debería. Las direcciones MAC se difunden en texto plano y son muy fáciles de suplantar. MAC Authentication Bypass proporciona identificación de dispositivos, no seguridad. iPSK proporciona seguridad criptográfica real para dispositivos sin interfaz de usuario. Si el dispositivo admite cualquier forma de PSK, utilice iPSK.

Pregunta dos: ¿Es compatible Purple con los controladores Cisco Catalyst 9800 IOS-XE?

Sí. Purple es totalmente compatible con los controladores modernos Catalyst 9800 IOS-XE, así como con los WLC AireOS heredados. La integración de RADIUS y Change of Authorization está totalmente validada para ambas plataformas.

Pregunta tres: ¿Cómo gestiono la redundancia del servidor RADIUS?

Configure siempre un servidor RADIUS primario y otro secundario en las listas de métodos AAA de su WLC. El WLC pasará automáticamente al servidor secundario si el primario no responde dentro del tiempo de espera configurado. Purple proporciona dos direcciones IP de servidor RADIUS exactamente para este propósito. Nunca despliegue un único servidor RADIUS en un entorno de producción.

Pregunta cuatro: ¿Qué números de puerto RADIUS utiliza Purple?

Purple utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad. Estos son los puertos estándar registrados por la IANA para RADIUS, tal como se definen en RFC 2865 y RFC 2866.

Para resumir los puntos clave del informe de hoy. Audite su arquitectura inalámbrica actual. Si utiliza contraseñas compartidas para el personal, planifique una migración a 802.1X. Si difunde múltiples SSIDs para diferentes inquilinos, consolídelos utilizando Cisco iPSK. Si su WiFi de invitados es simplemente una red abierta sin captura de datos, intégrela con Purple para recopilar datos de primera mano, impulsar el retorno de la inversión en marketing y garantizar el cumplimiento de los requisitos de GDPR y PCI DSS.

Al combinar la infraestructura de nivel empresarial de Cisco con la capa en la nube de Purple, ofrece una conectividad segura, segmentada e inteligente en todo su recinto. Purple opera en más de 80.000 recintos activos y registró 440 millones de inicios de sesión en 2024. La plataforma es independiente del hardware, cuenta con la certificación ISO 27001 y está diseñada para la escala empresarial.

Su siguiente paso está claro. Revise la guía de configuración paso a paso completa en el sitio web de Purple, obtenga las credenciales de su servidor RADIUS en el portal de Purple y comience hoy mismo la integración con su Cisco WLC. Para obtener guías de configuración detalladas y documentación específica de hardware, visite el portal de soporte de Purple en support punto purple punto ai.

Gracias por escuchar este Informe Técnico de Purple. Hasta la próxima, manténgase seguro.

Conclusiones clave

✓Reemplace las claves precompartidas (Pre-Shared Keys) compartidas e inseguras por una arquitectura de tres niveles: Guest WiFi a través de Captive Portal, Staff WiFi a través de 802.1X EAP-TLS y WiFi para inquilinos/IoT a través de Cisco iPSK.
✓Integre Cisco WLC con Purple utilizando Central Web Authentication (CWA) y RADIUS CoA para automatizar la incorporación de invitados y capturar datos de primera mano a escala.
✓Configure ACLs de preautenticación precisas (walled garden) en el WLC, permitiendo siempre DNS (UDP 53) o la redirección al Captive Portal fallará.
✓Despliegue EAP-TLS para Staff WiFi para eliminar por completo las contraseñas y confiar en certificados digitales distribuidos por MDM para obtener la postura de seguridad más sólida disponible.
✓Utilice Cisco iPSK con asignación dinámica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar entornos Multi-Tenant e IoT a través de un único SSID.
✓Exija siempre la validación del certificado del servidor RADIUS en los dispositivos cliente cuando utilice PEAP-MSCHAPv2 para evitar el robo de credenciales mediante puntos de acceso no autorizados.
✓Purple opera en más de 80.000 recintos, cuenta con las certificaciones ISO 27001 y GDPR, y proporciona una infraestructura RADIUS redundante: configure tanto el servidor primario como el secundario en el WLC.

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলোকে অবশ্যই একই সাথে বিভিন্ন ব্যবহারকারী গ্রুপকে পরিষেবা দিতে হবে: অতিথি যাদের নিরবচ্ছিন্ন ইন্টারনেট অ্যাক্সেস প্রয়োজন, স্টাফ যাদের কর্পোরেট রিসোর্সে নিরাপদ অ্যাক্সেস প্রয়োজন, এবং হেডলেস বা টেন্যান্ট ডিভাইস যেগুলোর একে অপরের থেকে আইসোলেশন প্রয়োজন। এই গ্রুপগুলোর যেকোনো একটির জন্য একটি একক শেয়ার্ড প্রি-শেয়ার্ড কি-এর (Pre-Shared Key) ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। একটি মাত্র আপোসকৃত শংসাপত্র পুরো সেগমেন্টটিকে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় যা নেটওয়ার্কের প্রতিটি ডিভাইসকে ব্যাহত করে।

এই নির্দেশিকাটি Cisco ওয়্যারলেস ল্যান কন্ট্রোলার (WLC) এবং Catalyst 9800 সিরিজের হার্ডওয়্যারের সাথে Purple-এর ক্লাউড ওভারলে-র ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। আমরা তিনটি ভিন্ন অথেন্টিকেশন স্তরের জন্য ধাপে ধাপে কনফিগারেশন প্রদান করি: Purple দ্বারা চালিত Captive Portal রিডাইরেকশন সহ একটি ওপেন Guest WiFi নেটওয়ার্ক, 802.1X EAP-TLS সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে একটি সিকিউর স্টাফ WiFi নেটওয়ার্ক, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco আইডেন্টিটি প্রি-শেয়ার্ড কি (iPSK) ব্যবহার করে একটি মাল্টি-টেন্যান্ট WiFi পরিবেশ। এই আর্কিটেকচারটি স্থাপন করার মাধ্যমে, আপনি ভিজিটর ট্রাফিক থেকে কর্পোরেট রিসোর্সগুলোকে আইসোলেট করতে পারেন, আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন এবং Purple-এর WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন রেকর্ড করেছে (Purple-এর অভ্যন্তরীণ ডেটা), যা এটিকে স্কেলে Cisco অবকাঠামোর জন্য একটি প্রমাণিত ক্লাউড ওভারলে করে তোলে।

টেকনিক্যাল ডিপ-ডাইভ: থ্রি-টিয়ার আর্কিটেকচার

Cisco হার্ডওয়্যারে একটি আধুনিক এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টকে অবশ্যই ভিন্ন ভিন্ন নিরাপত্তা এবং অ্যাক্সেসের প্রয়োজনীয়তা সহ বিভিন্ন ব্যবহারকারীর প্রোফাইল পূরণ করতে হবে। Cisco WLC এবং Purple-এর মধ্যে ইন্টিগ্রেশন একটি একক Catalyst 9800 কন্ট্রোলার থেকে পরিচালিত বিভিন্ন অথেন্টিকেশন মেকানিজমের মাধ্যমে এই প্রোফাইলগুলোকে পরিষেবা দেওয়ার জন্য একটি ইউনিফাইড হার্ডওয়্যার ফুটপ্রিন্ট সক্ষম করে।

টিয়ার ১: Guest WiFi - সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA)

Hospitality এবং Retail পরিবেশের ভিজিটরদের জন্য, উদ্দেশ্য হলো কম-ঝামেলাপূর্ণ অনবোর্ডিংয়ের সাথে কমপ্লায়েন্ট ডেটা ক্যাপচারের সমন্বয় করা। এটি সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA) এর সাথে যুক্ত একটি ওপেন SSID ব্যবহার করে অর্জন করা হয়। যখন একজন অতিথি সংযোগ করেন, তখন Cisco WLC একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে - যা ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত। এই ACL সাধারণ ইন্টারনেট ট্রাফিক ব্লক করে এবং Purple-এর Captive Portal ডোমেন, DNS এবং সোশ্যাল লগইন এন্ডপয়েন্টগুলোতে ট্রাফিকের অনুমতি দেয়। যখন গেস্ট ব্রাউজ করার চেষ্টা করেন, তখন WLC HTTP রিকোয়েস্টটিকে ইন্টারসেপ্ট করে এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট তাদের পছন্দের পদ্ধতির মাধ্যমে (সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, বা ভাউচার কোড) অথেন্টিকেট করেন। এরপর Purple RADIUS সার্ভার হিসেবে কাজ করে, WLC-তে একটি RADIUS Change of Authorization (CoA) মেসেজ ফেরত পাঠায়। CoA মেসেজটি WLC-কে নির্দেশ দেয় ক্লায়েন্টকে প্রি-অথেন্টিকেশন স্টেট থেকে একটি আইসোলেটেড গেস্ট VLAN-এ পোস্ট-অথেন্টিকেশন স্টেটে নিয়ে যেতে, যার ফলে ইন্টারনেট অ্যাক্সেস মঞ্জুর হয়। প্রতিটি লগইন Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে রেকর্ড করা হয়, যা GDPR এবং CCPA মেনে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে।

Tier 2: Staff WiFi - 802.1X EAP-TLS

কর্পোরেট ডিভাইসগুলোর জন্য সর্বোচ্চ স্তরের নিরাপত্তার প্রয়োজন। IEEE 802.1X পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে, এবং যখন এটি EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)-এর সাথে যুক্ত হয়, তখন এটি সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। Mobile Device Management (MDM) - Microsoft Intune, Jamf, বা সমমানের মাধ্যমে কর্পোরেট ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেট স্থাপন করা হয়। Cisco WLC অথেন্টিকেটর হিসেবে কাজ করে, যা সাপ্লিক্যান্ট (ডিভাইস) এবং RADIUS সার্ভারের মধ্যে EAP মেসেজ আদান-প্রদান করে। RADIUS সার্ভার সার্টিফিকেটটি যাচাই করে এবং ঐচ্ছিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট সহ একটি Access-Accept ফেরত পাঠায়।

যেহেতু অথেন্টিকেশন পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের ওপর নির্ভর করে, তাই চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। কোনো ডিভাইস হারিয়ে গেলে বা কোনো কর্মচারী চলে গেলে, আপনি সার্টিফিকেটটি রিভোক (বাতিল) করে দিতে পারেন। অন্য কোনো ব্যবহারকারীকে ব্যাহত না করেই তাৎক্ষণিকভাবে অ্যাক্সেস বন্ধ হয়ে যায়। WPA3 এবং Zero Trust সহ এন্টারপ্রাইজ সিকিউরিটি স্ট্যান্ডার্ডের বিস্তারিত আলোচনার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 গাইডটি দেখুন।

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

স্টুডেন্ট অ্যাকোমোডেশন, কোওয়ার্কিং স্পেস বা রিটেল মলের মতো পরিবেশে, ডজন ডজন SSID ব্রডকাস্ট না করেই বিভিন্ন টেন্যান্টের জন্য প্রাইভেট, সেগমেন্টেড নেটওয়ার্কের প্রয়োজন হয়। Cisco Identity PSK (iPSK) এই সমস্যার সমাধান করে। সমস্ত টেন্যান্ট একটি একক SSID-তে সংযুক্ত হন। WLC প্রতিটি সংযোগকারী ডিভাইসের জন্য RADIUS সার্ভারে একটি MAC অথেন্টিকেশন রিকোয়েস্ট পাঠায়। RADIUS সার্ভার সেই টেন্যান্টের জন্য নির্দিষ্ট PSK-টি একটি cisco-av-pair অ্যাট্রিবিউট হিসেবে ফেরত পাঠায়, সাথে ক্লায়েন্টকে ডাইনামিকভাবে সঠিক VLAN-এ অ্যাসাইন করার জন্য স্ট্যান্ডার্ড IETF RADIUS অ্যাট্রিবিউটও পাঠায়।

ডাইনামিক VLAN অ্যাসাইনমেন্ট পরিচালনাকারী তিনটি IETF RADIUS অ্যাট্রিবিউট হলো:

RADIUS Attribute	ID	Value
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Target VLAN ID (e.g., 31)

RFC 2868-এ সংজ্ঞায়িত নিয়ম অনুযায়ী Tunnel-Private-Group-ID একটি স্ট্রিং হিসেবে এনকোড করা হয়। অ্যাসাইনমেন্ট সফল হওয়ার জন্য VLAN ID-টি অবশ্যই WLC-তে থাকতে হবে।

Implementation guide: Cisco Catalyst 9800 WLC configuration

নিচের ধাপগুলোতে Guest WiFi রিডাইরেকশনের জন্য Purple-এর সাথে ইন্টিগ্রেট করতে IOS-XE চালিত একটি Cisco Catalyst 9800 WLC কনফিগার করার বিস্তারিত বিবরণ দেওয়া হয়েছে। লিগ্যাসি AireOS WLC ডেপ্লয়মেন্টের জন্য, সমমানের সেটিংস Purple সাপোর্ট পোর্টালে পাওয়া যাবে।

ধাপ ১: RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং কনফিগার করুন

গেস্ট অথেন্টিকেশন এবং সেশন অ্যাকাউন্টিং পরিচালনা করতে আপনাকে অবশ্যই WLC-কে Purple-এর RADIUS সার্ভারগুলোর দিকে নির্দেশ করতে হবে।

১. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add-এ যান। ২. প্রাইমারি Purple RADIUS সার্ভারের IP অ্যাড্রেস লিখুন, auth-port ১৮১২, acct-port ১৮১৩ সেট করুন এবং Purple পোর্টাল থেকে প্রাপ্ত শেয়ার্ড সিক্রেটটি লিখুন। ৩. Support for CoA সক্রিয় করুন - Captive Portal রিডাইরেকশনের জন্য এটি বাধ্যতামূলক। ৪. সেকেন্ডারি Purple RADIUS সার্ভারের জন্য এই প্রক্রিয়াটি পুনরাবৃত্তি করুন। ৫. RADIUS > Server Groups > + Add-এ যান এবং উভয় সার্ভার সম্বলিত একটি গ্রুপ তৈরি করুন। ৬. AAA Method List > Authorization > + Add-এ যান, Type সেট করুন network এবং এটিকে RADIUS সার্ভার গ্রুপের দিকে নির্দেশ করুন। ৭. AAA Method List > Accounting > + Add-এ যান, Type সেট করুন identity এবং এটিকে একই গ্রুপের দিকে নির্দেশ করুন।

IOS-XE-তে সমমানের CLI কমান্ডগুলো হলো:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

ধাপ ২: প্রি-অথেন্টিকেশন ACL (walled garden) নির্ধারণ করুন

প্রি-অথেন্টিকেশন ACL ব্যবহারকারী অথেন্টিকেট করার আগে Purple-এর স্প্ল্যাশ পেজ এবং প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। এটিই হলো walled garden।

১. Configuration > Security > ACL > + Add-এ যান। ২. Purple_Guest_Walled_Garden নামে একটি IPv4 Extended ACL তৈরি করুন। ৩. WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-তে ট্রাফিক deny করার জন্য নিয়ম যোগ করুন। ৪. আপনার DNS সার্ভারগুলোতে DNS (UDP port 53) permit করার জন্য নিয়ম যোগ করুন। ৫. Purple-এর walled garden IP রেঞ্জ এবং ডোমেনগুলোতে ট্রাফিক permit করার জন্য নিয়ম যোগ করুন (আপনার নির্দিষ্ট হার্ডওয়্যার টাইপের জন্য Purple সাপোর্ট পোর্টাল থেকে বর্তমান তালিকাটি সংগ্রহ করুন)। ৬. একটি চূড়ান্ত permit ip any any নিয়ম যোগ করুন - WLC অনুমোদিত ট্রাফিককে পোর্টাল প্রসেসিংয়ের জন্য CPU-তে রিডাইরেক্ট করবে।

৩. গেস্ট WLAN কনফিগার করুন

১. Configuration > Tags & Profiles > WLANs > + Add-এ যান। ২. আপনার পছন্দসই SSID দিয়ে Guest-WiFi নামে একটি WLAN তৈরি করুন। ৩. Security > Layer 2-এর অধীনে, সিকিউরিটি None (Open) সেট করুন। ৪. Security > Layer 3-এর অধীনে, Web Policy সক্রিয় করুন এবং Web Auth টাইপ External সেট করুন। ৫. রিডাইরেক্ট ফিল্ডে আপনার Purple অ্যাক্সেস URL লিখুন। ৬. Purple_Guest_Walled_Garden ACL-টি প্রয়োগ করুন। ৭. Security > AAA Servers-এর অধীনে, Authentication এবং Accounting উভয়ের জন্যই Purple RADIUS সার্ভারগুলো অ্যাসাইন করুন।### Step 4: Policy Profile কনফিগার করুন

Configuration > Tags & Profiles > Policy > + Add-এ নেভিগেট করুন।
Access Policies-এর অধীনে, VLAN 20 (অথবা আপনার নির্ধারিত গেস্ট VLAN) অ্যাসাইন করুন।
Advanced-এর অধীনে, Allow AAA Override এবং NAC State সক্রিয় করুন।
Purple অ্যাকাউন্টিং মেথড লিস্টটি অ্যাসাইন করুন।

CLI সমতুল্য:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: মাল্টি-টেন্যান্ট বা IoT ডেপ্লয়মেন্টের জন্য iPSK কনফিগার করুন

iPSK-এর জন্য, WLAN কনফিগারেশন গেস্ট সেটআপ থেকে ভিন্ন হয়। WLAN-টি MAC ফিল্টারিং সক্রিয় সহ WPA2-PSK ব্যবহার করে, এবং RADIUS সার্ভার থেকে প্রতি-ক্লায়েন্ট PSK এবং VLAN গ্রহণ করার জন্য Policy Profile-এ AAA Override সক্রিয় থাকে।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS সার্ভার (যা Purple বা আপনার RADIUS প্ল্যাটফর্মে কনফিগার করা হয়েছে) প্রতি টেন্যান্ট গ্রুপ অনুযায়ী নিম্নলিখিত অ্যাট্রিবিউটগুলো রিটার্ন করে:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

সর্বোত্তম অনুশীলন (Best practices)

প্রতিষ্ঠিত মানদণ্ড মেনে চললে আপনার ডেপ্লয়মেন্ট জুড়ে স্থায়িত্ব, নিরাপত্তা এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত হয়।

কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন। 802.1X ডেপ্লয় করার সময়, MDM-এর মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোকে এমনভাবে কনফিগার করুন যাতে তারা আপনার RADIUS সার্ভারের সার্টিফিকেট অথরিটিকে স্পষ্টভাবে বিশ্বাস করে এবং প্রত্যাশিত সার্ভারের নাম নির্দিষ্ট করে। এটি প্রয়োগ করতে ব্যর্থ হলে ক্লায়েন্টরা রোগ অ্যাক্সেস পয়েন্ট (rogue access point) আক্রমণের ঝুঁকিতে পড়ে, যেখানে আক্রমণকারী ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য একটি প্রতারণামূলক সার্টিফিকেট প্রদর্শন করে। এটি একটি কঠোর প্রয়োজনীয়তা, কোনো সাধারণ সুপারিশ নয়।

নেটওয়ার্ক লেয়ারে গেস্ট ট্রাফিক আইসোলেট করুন। গেস্ট WiFi অবশ্যই একটি ডেডিকেটেড VLAN-এ শেষ হতে হবে যা সমস্ত কর্পোরেট রিসোর্স থেকে ফায়ারওয়াল দ্বারা সুরক্ষিত। PCI DSS 4.0 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট পাবলিক নেটওয়ার্ক থেকে আইসোলেট করা আবশ্যক। VLAN 20-এ থাকা একজন গেস্টের যেন VLAN 10-এ থাকা কর্পোরেট নেটওয়ার্কে যাওয়ার কোনো রুট না থাকে।

IoT ডিভাইসের জন্য iPSK ব্যবহার করুন, MAC Authentication Bypass নয়। MAC অ্যাড্রেসগুলো প্লেইনটেক্সটে ব্রডকাস্ট হয় এবং এগুলো স্পুফ (spoof) করা অত্যন্ত সহজ। iPSK হেডলেস ডিভাইসগুলোর জন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। ডিসপ্লে এবং IoT ডিভাইসগুলো কীভাবে ওয়্যারলেস প্রোটোকলের সাথে ইন্টারঅ্যাক্ট করে সে সম্পর্কে নির্দেশনার জন্য, What Is Wireless Display: Protocols & Best Practices 2026 দেখুন।

ব্যবহারের স্পষ্ট শর্তাবলী (Terms of Use) নির্ধারণ করুন। অ্যাক্সেস দেওয়ার আগে আপনার Captive Portal-এ অবশ্যই একটি ব্যবহারের শর্তাবলীর চুক্তি প্রদর্শন করতে হবে। ডেটা সংগ্রহের জন্য এটি একটি GDPR প্রয়োজনীয়তা এবং নেটওয়ার্ক ব্যবহারের নীতিমালার জন্য একটি আইনি বাধ্যবাধকতা। অভ্যন্তরীণ স্টাফ নেটওয়ার্কের জন্য, Staff WiFi Terms and Conditions: Legal and Compliance Essentials দেখুন।RADIUS রিডানডেন্সি স্থাপন করুন। সর্বদা একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এই উদ্দেশ্যে দুটি সার্ভার IP অ্যাড্রেস প্রদান করে। একটি একক RADIUS সার্ভার ব্যর্থ হলে সমস্ত গেস্ট লগইন বন্ধ হয়ে যাবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সতর্কতার সাথে কনফিগার করার পরেও, ইন্টিগ্রেশন সংক্রান্ত সমস্যা দেখা দিতে পারে। সমস্যা আরও বড় হওয়ার আগে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো সুশৃঙ্খলভাবে সমাধান করুন।

সমস্যা: গেস্টরা কানেক্ট করছেন কিন্তু স্প্ল্যাশ পেজটি প্রদর্শিত হচ্ছে না।

এটি সবচেয়ে সাধারণ সমস্যা। প্রি-অথেনটিকেশন ACL মূলত DNS ব্লক করছে। DNS ছাড়া, ক্লায়েন্ট প্রাথমিক HTTP রিকোয়েস্ট সমাধান করতে পারে না এবং অপারেটিং সিস্টেম Captive Portal মিনি-ব্রাউজারটি ট্রিগার করবে না। আপনার ওয়াল্ড গার্ডেন ACL-এ DNS সার্ভারগুলোর জন্য UDP পোর্ট ৫৩ অনুমোদিত কিনা তা যাচাই করুন। WLC-তে, ক্লায়েন্টটি Run স্টেটের পরিবর্তে Webauth Pending স্টেটে আছে কিনা তা নিশ্চিত করতে show wireless client summary রান করুন।

সমস্যা: iPSK ক্লায়েন্টরা কানেক্ট হতে ব্যর্থ হচ্ছে বা ভুল VLAN-এ ল্যান্ড করছে।

Tunnel-Private-Group-ID-তে নির্দিষ্ট করা VLAN-টি WLC-তে নেই, অথবা cisco-av-pair অ্যাট্রিবিউটগুলো ত্রুটিপূর্ণ। র-RADIUS রেসপন্স পরীক্ষা করতে WLC-তে debug radius all রান করুন। VLAN ID-টি Configuration > Layer 2 > VLAN > VLAN List-এর অধীনে তৈরি করা হয়েছে কিনা তা যাচাই করুন।

সমস্যা: 802.1X স্টাফ ক্লায়েন্টরা মাঝে মাঝে অথেনটিকেট হতে ব্যর্থ হচ্ছে।

এটি সাধারণত একটি RADIUS সার্ভার টাইমআউট বা ক্লায়েন্টের সার্টিফিকেট ট্রাস্ট সংক্রান্ত সমস্যা। Access-Reject মেসেজগুলোর জন্য RADIUS সার্ভার লগ পরীক্ষা করুন। Windows ক্লায়েন্টগুলোতে, WiFi প্রোফাইলটি সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়েছে কিনা এবং সঠিক ট্রাস্টেড CA নির্দিষ্ট করে কিনা তা যাচাই করুন।

সমস্যা: Purple থেকে পাঠানো CoA, WLC দ্বারা প্রসেস হচ্ছে না।

CoA শেয়ার্ড সিক্রেট অবশ্যই WLC-তে কনফিগার করা RADIUS শেয়ার্ড সিক্রেটের সাথে মিলতে হবে। IOS-XE 17.4 এবং পরবর্তী সংস্করণগুলোতে, CoA কি (key) শেয়ার্ড সিক্রেট থেকে আলাদাভাবে কনফিগার করা হয়। উভয়ই Purple পোর্টালের মানগুলোর সাথে মিলছে কিনা তা যাচাই করুন।

ROI এবং ব্যবসায়িক প্রভাব

বেসিক PSK নেটওয়ার্ক থেকে Purple-এর সাথে একটি সুগঠিত, আইডেন্টিটি-ভিত্তিক আর্কিটেকচারে রূপান্তর Hospitality , Retail , Healthcare , এবং Transport ভার্টিক্যাল জুড়ে পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে।

প্রথমত, এই আর্কিটেকচারটি শেয়ার্ড পাসওয়ার্ড পরিচালনার অপারেশনাল খরচ দূর করে। যখন কর্মীরা চলে যান, আপনি তাদের সার্টিফিকেট রিভোক বা বাতিল করে দেন। আপনাকে একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় না এবং এস্টেটের প্রতিটি ডিভাইস আপডেট করতে হয় না। দ্বিতীয়ত, Purple-এর Captive Portal-এর সাথে ইন্টিগ্রেশন একটি IT কস্ট সেন্টারকে রেভিনিউ ড্রাইভারে পরিণত করে। Purple-এর প্ল্যাটফর্ম প্রতিটি লগইনে সম্মতিপূর্ণ ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা স্বয়ংক্রিয় মার্কেটিং ক্যাম্পেইন এবং ভিজিটর অ্যানালিটিক্স সক্ষম করে। Purple নেটওয়ার্ক জুড়ে সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্টের মাধ্যমে (Purple-এর অভ্যন্তরীণ ডেটা), প্ল্যাটফর্মটি ভিজিটরদের আচরণ, ডুয়েলিং টাইম এবং রিটার্ন রেট সম্পর্কে কার্যকরী ইনসাইট প্রদান করে।

ভিজিটরদের সন্তুষ্টি বোঝার জন্য যে সমস্ত ভেন্যু অপারেটররা সমীক্ষা বা সার্ভে পরিচালনা করছেন, তাদের জন্য Purple প্ল্যাটফর্মটি সরাসরি রিসার্চ ওয়ার্কফ্লো-এর সাথে একীভূত হয়। Captive Portal-এর মাধ্যমে বিতরণ করা কার্যকর ভেন্যু সমীক্ষাগুলো সাজানোর নির্দেশনার জন্য Design of a Survey: A Practical Guide for Venues দেখুন।

Cisco-এর এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যারকে Purple-এর ক্লাউড ওভারলে-র সাথে একীভূত করার মাধ্যমে, আপনি একটি সুরক্ষিত, স্কেলযোগ্য নেটওয়ার্ক লাভ করবেন যা ভেন্যুর বাণিজ্যিক লক্ষ্য অর্জনে সক্রিয়ভাবে অবদান রাখে। Purple হলো ISO 27001 সার্টিফাইড, GDPR এবং CCPA কমপ্লায়েন্ট, Cyber Essentials সার্টিফাইড এবং B Corp সার্টিফাইড - যা এন্টারপ্রাইজ প্রকিউরমেন্ট টিমের কমপ্লায়েন্স সংক্রান্ত প্রয়োজনীয়তাগুলো পূরণ করে।

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para el acceso a la red. Definido en RFC 2865 y RFC 2866.

Los equipos de TI configuran el Cisco WLC para reenviar las credenciales del cliente al servidor RADIUS, que las comprueba con un directorio y devuelve una respuesta Access-Accept o Access-Reject junto con los atributos de política.

Captive Portal

Una página web que el usuario de una red de acceso público debe ver e interactuar con ella antes de que se le conceda acceso a Internet. Se implementa mediante redirección HTTP por parte del dispositivo de acceso a la red.

Se utiliza en despliegues de Guest WiFi para capturar datos de visitantes, presentar condiciones de uso o mostrar contenido de marca antes de permitir el acceso a Internet. Purple proporciona la infraestructura de Captive Portal alojada.

iPSK (Identity Pre-Shared Key)

Una función de Cisco que permite asignar claves precompartidas (Pre-Shared Keys) únicas a diferentes usuarios o grupos de dispositivos en el mismo SSID, entregando la PSK por cliente mediante un servidor RADIUS.

Esencial para dispositivos IoT o entornos Multi-Tenant donde 802.1X no es viable pero se requiere segmentación de red. Elimina la necesidad de difundir múltiples SSIDs.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Proporciona un mecanismo de autenticación que bloquea todo el tráfico de datos de un dispositivo hasta que el servidor RADIUS haya confirmado la autorización.

La base de la red WiFi para empleados (Staff WiFi) de la empresa, que garantiza que solo los dispositivos corporativos autorizados con credenciales o certificados válidos puedan acceder a los recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación basado en certificados que requiere certificados digitales tanto en el servidor RADIUS como en el dispositivo cliente, eliminando por completo las contraseñas.

El método más seguro para autenticar dispositivos corporativos. Los certificados se despliegan a través de MDM. El acceso se revoca invalidando el certificado, no cambiando una contraseña compartida.

Walled garden

Un entorno de red limitado que controla el acceso del usuario al contenido web antes de que se haya autenticado por completo. Se implementa como una ACL de preautenticación en el WLC.

Configurado en el Cisco WLC para permitir el acceso a la página de bienvenida de Purple, DNS y proveedores de inicio de sesión social antes de que se conceda al invitado acceso completo a Internet.

Asignación dinámica de VLAN

El proceso de ubicar automáticamente un dispositivo conectado en una LAN virtual (VLAN) específica en función de los atributos de autorización de RADIUS devueltos en el momento de la autenticación.

Garantiza que el personal, los invitados y los dispositivos IoT se ubiquen automáticamente en segmentos de red aislados al conectarse, sin necesidad de configuración manual por dispositivo.

Change of Authorization (CoA)

Una extensión de RADIUS (RFC 5176) que permite al servidor RADIUS modificar dinámicamente los atributos de autorización de sesión de un cliente que ya está conectado.

Requerido para los Captive Portals. Una vez que el invitado se autentica en la página de bienvenida de Purple, Purple envía un mensaje CoA al WLC para realizar la transición del cliente desde el estado de walled garden de preautenticación al acceso completo a Internet.

Central Web Authentication (CWA)

Un método de autenticación de Cisco en el que el servidor RADIUS (en lugar del WLC) aloja o redirige al portal de autenticación web, lo que permite soluciones de Captive Portal alojadas en la nube.

Se utiliza para integrar el Cisco WLC con el Captive Portal alojado en la nube de Purple, lo que permite a Purple gestionar la experiencia de autenticación de invitados y la captura de datos.

Ejemplos prácticos

Un gran centro comercial necesita proporcionar WiFi privado y seguro a 50 inquilinos minoristas utilizando un único Cisco Catalyst 9800 WLC y un único SSID de difusión. Cada inquilino debe estar aislado de los dispositivos de los demás inquilinos. ¿Cómo lo consiguen sin difundir 50 SSIDs independientes?

El equipo de TI despliega Cisco iPSK. Configuran un único SSID llamado 'Mall-Tenant-WiFi' con WPA2-PSK y filtrado MAC habilitado. En el servidor RADIUS, crean 50 grupos de identidad de endpoint, uno por inquilino. A cada grupo se le asigna una PSK única a través del atributo cisco-av-pair psk= y un ID de VLAN único a través del atributo IETF Tunnel-Private-Group-ID. Cuando el dispositivo de punto de venta de un inquilino se conecta utilizando su contraseña específica, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor asocia la dirección MAC con el grupo del inquilino y devuelve la asignación de PSK y VLAN. El WLC procesa los atributos, valida la PSK y ubica el dispositivo en la VLAN aislada del inquilino. El ajuste peer-blocking allow-private-group garantiza que los dispositivos que comparten la misma PSK puedan comunicarse entre sí, mientras que los dispositivos con diferentes PSKs tienen bloqueada la comunicación entre inquilinos.

Comentario del examinador: Este enfoque escala de manera eficiente. Difundir 50 SSIDs independientes causaría una grave interferencia de canal compartido en un entorno denso y degradaría el rendimiento para todos los usuarios. Cada SSID adicional consume tiempo de transmisión con tramas de gestión. iPSK ofrece la seguridad y segmentación de 50 redes independientes con la eficiencia de RF de una sola. La contrapartida es que el servidor RADIUS se convierte en una dependencia crítica; asegúrese de que sea de alta disponibilidad.

Un establecimiento Premier Inn de 300 habitaciones está migrando de cuentas de invitado locales en el WLC al Captive Portal en la nube de Purple. Tras aplicar la configuración, los huéspedes informan de que se conectan al SSID de WiFi, reciben una dirección IP, pero sus dispositivos muestran 'No Internet' y la página de bienvenida nunca aparece. ¿Cuál es el proceso de diagnóstico?

Paso 1: Verifique el estado del cliente en el WLC utilizando show wireless client detail <mac-address>. El cliente debe estar en estado 'Webauth Pending'. Si muestra 'Run', la ACL de preautenticación no se ha aplicado correctamente. Paso 2: Compruebe la ACL de preautenticación. La causa más común de este síntoma es que la ACL bloquea el DNS (puerto UDP 53). Sin DNS, el cliente no puede resolver ningún dominio y el mecanismo de detección del Captive Portal del sistema operativo falla silenciosamente. Añada una regla de permiso explícita para el puerto UDP 53 hacia las IPs del servidor DNS del recinto. Paso 3: Verifique que los dominios del walled garden de Purple estén permitidos en la ACL. El cliente debe poder acceder a la URL de la página de bienvenida de Purple antes de la autenticación. Paso 4: Confirme que la dirección IP virtual del WLC se ha cambiado de la predeterminada 1.1.1.1 a una dirección no enrutable como 192.0.2.1, ya que la dirección predeterminada puede entrar en conflicto con el tráfico legítimo de Internet.

Comentario del examinador: El síntoma de 'No Internet' sin redirección casi siempre se debe a un problema de DNS o de la ACL del walled garden. Los sistemas operativos modernos (iOS, Android, Windows, macOS) utilizan la detección de Captive Portal realizando solicitudes HTTP a URLs conocidas. Si el DNS falla, estas solicitudes no se pueden realizar y el sistema operativo nunca activa el navegador del Captive Portal. Permita siempre el DNS en la ACL de preautenticación; este es el error de despliegue más común que vemos.

Preguntas de práctica

Q1. Está desplegando Staff WiFi en 40 sucursales minoristas utilizando Cisco Catalyst 9800 WLCs. Desea utilizar 802.1X, pero la empresa aún no dispone de una solución MDM para distribuir certificados a los smartphones de los empleados. ¿Cuál es el enfoque viable más seguro y qué mitigación de riesgos debe implementar?

Sugerencia: Considere el equilibrio entre la seguridad de las credenciales y la viabilidad del despliegue cuando los certificados aún no son una opción. Concéntrese en el riesgo específico que surge del método alternativo.

Ver respuesta modelo

Despliegue PEAP-MSCHAPv2 como medida provisional. Aunque no es tan seguro como EAP-TLS, proporciona autenticación de contraseña cifrada dentro de un túnel TLS. La mitigación de riesgos crítica es exigir la validación del certificado del servidor en cada dispositivo cliente. Para portátiles Windows, despliegue un Objeto de Directiva de Grupo (GPO) que especifique la Entidad de Certificación de confianza exacta y el nombre del servidor RADIUS esperado en el perfil de WiFi. Para dispositivos iOS y Android, distribuya un perfil de configuración de WiFi por correo electrónico o mediante una herramienta ligera sin MDM que exija la validación del certificado. Sin esto, un atacante puede desplegar un punto de acceso no autorizado con un certificado fraudulento y capturar credenciales. Planifique la migración a EAP-TLS tan pronto como el MDM esté disponible.

Q2. El director de TI de un estadio necesita segmentar a los difusores de medios, los terminales de venta de entradas y los sensores IoT de climatización (HVAC) en redes aisladas independientes. Los sensores IoT no son compatibles con 802.1X. Los tres grupos deben utilizar WiFi. ¿Cómo se debe configurar el WLC?

Sugerencia: Busque una solución que proporcione credenciales únicas y asignación de VLAN por grupo de dispositivos sin requerir suplicantes empresariales en dispositivos sin interfaz de usuario (headless).

Ver respuesta modelo

Implemente Cisco iPSK con un único SSID para las operaciones del recinto. Cree tres grupos de identidad de endpoint en el servidor RADIUS: Broadcasters, Ticketing y HVAC. Asigne a cada grupo una PSK única a través de cisco-av-pair y un ID de VLAN único a través de Tunnel-Private-Group-ID. Configure la WLAN del WLC con WPA2-PSK, filtrado MAC habilitado y AAA Override activo. Los difusores (Broadcasters) reciben la PSK-A y la VLAN 31, la venta de entradas (Ticketing) recibe la PSK-B y la VLAN 32, y los sensores de HVAC reciben la PSK-C y la VLAN 33. Establezca peer-blocking en allow-private-group para que los dispositivos del mismo grupo puedan comunicarse (por ejemplo, los terminales de venta de entradas con su servidor), mientras que se bloquea la comunicación entre grupos. Esto evita el MAC Authentication Bypass, que se podría suplantar fácilmente.

Q3. Durante un despliegue de Guest WiFi en un centro de conferencias, los clientes se conectan al SSID y reciben una dirección IP, pero la redirección al Captive Portal nunca se produce. La ACL del walled garden permite el tráfico a todos los rangos de IP de Purple. ¿Cuál es el elemento de configuración que probablemente falta y cómo lo verifica?

Sugerencia: Pense en los protocolos necesarios antes de que el dispositivo cliente pueda realizar una solicitud HTTP.

Ver respuesta modelo

La causa más probable es que la ACL de preautenticación bloquee el tráfico DNS (puerto UDP 53). Antes de que un dispositivo cliente pueda realizar la solicitud HTTP que el WLC intercepta para activar la redirección, debe resolver el nombre de dominio a través de DNS. Los mecanismos modernos de detección de Captive Portal de los sistemas operativos (captive.apple.com de Apple, www.msftconnecttest.com de Microsoft, connectivitycheck.gstatic.com de Google) requieren resolución DNS. Para verificarlo: ejecute 'show wireless client detail ' en el WLC y confirme que el cliente está en estado 'Webauth Pending'. A continuación, revise los contadores de coincidencia de la ACL para ver si se está denegando el tráfico DNS. Corríjalo añadiendo una regla de permiso explícita para el puerto UDP 53 hacia las IPs del servidor DNS del recinto en la ACL del walled garden.

Continúe leyendo esta serie

Guía paso a paso para el acceso de invitados: Integración de Cisco WLC y Catalyst con Purple WiFi

Esta guía de referencia detalla la integración paso a paso de los Cisco Catalyst 9800 WLCs con Purple WiFi. Cubre el proceso de External Web Authentication para portales cautivos de invitados, 802.1X EAP-TLS para el acceso seguro del personal e Cisco iPSK para la segmentación dinámica de VLAN en entornos multiinquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.