Saltar al contenido principal
Español

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

📖 5 min de lectura📝 1,067 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Usted es un consultor de redes sénior que habla con el director de TI de un cliente en una sesión informativa privada. Hable en español de España con un tono seguro, autoritario y conversacional. Ritmo pausado, dicción clara. Sin muletillas. Pausas naturales ocasionales para dar énfasis: Bienvenido a esta sesión informativa técnica sobre la integración de los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Le guiaré a través de todo el panorama de despliegue, desde la redirección del Captive Portal de invitados hasta el aislamiento PPSK multiinquilino. Al final de esta sesión, dispondrá de una hoja de ruta de implementación clara. [pausa media] Comencemos con el contexto. Allied Telesis fabrica la serie TQ, que incluye los puntos de acceso Wi-Fi 6 TQ5403 y TQ6702 GEN2. Se trata de AP de calidad empresarial que ejecutan el firmware AlliedWare Plus y se despliegan ampliamente en entornos de hostelería, comercio minorista y sector público. Purple es una plataforma de superposición en la nube independiente del hardware que opera en 80 000 recintos y gestionó 440 millones de inicios de sesión en 2024. La integración entre estas dos plataformas es limpia, basada en estándares y lista para producción. [pausa media] Ahora, lo primero que la mayoría de los equipos de TI deben configurar es la redirección del Captive Portal de invitados. El AP de Allied Telesis admite tres modos de Captive Portal: de un solo clic (click-through), autenticación RADIUS y redirección a página externa. Para la integración con Purple, utilizará el modo External Page Redirect. Así es como funciona en la práctica. Inicie sesión en la interfaz gráfica de usuario (GUI) del AP, vaya a Wireless, seleccione el VAP correspondiente, vaya a Advanced Settings y luego a la pestaña Security. Establezca Captive Portal en External Page Redirect. En el campo External Page URL, introduzca la URL de la página de bienvenida de Purple proporcionada en su panel de control de Purple. Esa es la URL a la que llegarán sus invitados cuando se conecten por primera vez. [pausa corta] Ahora, el AP intercepta el primer paquete HTTP o HTTPS de cada nuevo cliente y redirige ese tráfico a su página de bienvenida de Purple. El invitado se autentica a través de Purple y el servidor RADIUS de Purple envía un Access-Accept de vuelta al AP. A continuación, el AP concede acceso a la red. [pausa media] Para la configuración de RADIUS, Purple le proporciona una dirección IP del servidor RADIUS, un secreto compartido y el puerto de autenticación, que es UDP 1812. El registro de actividad (accounting) se ejecuta en el puerto UDP 1813. Configure estos parámetros en Network Services y luego en RADIUS en la GUI del AP. El identificador NAS debe establecerse en la IP de gestión del AP o en un nombre de host descriptivo. Purple RADIUS as a Service se encarga del backend de autenticación, por lo que no necesita mantener su propia infraestructura RADIUS. [pausa corta] Un aspecto importante que debe configurar correctamente es el Walled Garden. Antes de que un invitado se autentique, el AP bloquea todo el tráfico excepto el dirigido a destinos incluidos en la lista blanca. Debe añadir los dominios de la plataforma de Purple al Walled Garden para que la página de bienvenida se cargue correctamente. Como mínimo, incluya en la lista blanca el dominio de la página de bienvenida de Purple, cualquier endpoint de CDN que Purple utilice para los recursos y los proveedores de inicio de sesión social que haya habilitado, como Google o Facebook. Esto se configura en el mismo panel de Advanced Settings del VAP, en la sección Walled Garden. [pausa media] Pasemos al WiFi para el personal mediante 802.1X. Aquí es donde se configura WPA Enterprise en un VAP independiente. En la GUI del AP, seleccione WPA Enterprise en el menú desplegable Security y, a continuación, apunte el RADIUS Authentication Group a su servidor RADIUS externo, que en este caso es el servicio SecurePass de Purple o su propio RADIUS respaldado por Microsoft Entra ID u Okta. Los dispositivos del personal se autentican mediante EAP-PEAP con MSCHAPv2, o EAP-TLS con certificados para entornos de mayor seguridad. El AP actúa como el autenticador 802.1X, reenviando las credenciales al servidor RADIUS y aplicando la respuesta. [pausa corta] Para la asignación dinámica de VLAN en la red del personal, debe habilitar Dynamic VLAN en la configuración de seguridad avanzada del VAP. Cuando el servidor RADIUS devuelve un Access-Accept, incluye tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en IEEE 802 y Tunnel-Private-Group-Id establecido en el ID de VLAN. El AP lee estos atributos y coloca automáticamente el dispositivo autenticado en la VLAN correcta. Este es el mecanismo definido en RFC 3580 y funciona de manera uniforme en todo el hardware de Allied Telesis. [pausa media] Hablemos ahora de la capacidad más interesante para despliegues multiinquilino: PPSK de Allied Telesis, o Private Pre-Shared Key. A veces se denomina iPSK en otras plataformas. El concepto es sencillo. Dispone de un único SSID, pero cada inquilino o grupo de usuarios obtiene una contraseña única. Cuando un dispositivo se conecta, el AP envía esa contraseña al servidor RADIUS como el campo de contraseña en una solicitud RADIUS Access-Request. El servidor RADIUS asocia la contraseña con un registro de usuario y devuelve un Access-Accept con un atributo Tunnel-Private-Group-Id que especifica la VLAN para ese inquilino. [pausa corta] Así, en un edificio de uso mixto, el Inquilino A del local comercial se conecta con su contraseña y accede a la VLAN 100. El restaurante de la planta baja utiliza una contraseña diferente y accede a la VLAN 300. El WiFi de invitados del edificio utiliza una tercera contraseña y accede a la VLAN 400, donde está activo el Captive Portal de Purple. Todo esto se ejecuta en un único SSID. Sin proliferación de SSIDs. Limpio, escalable y fácil de gestionar. [pausa media] Por parte de Purple, usted configura los registros de usuario de PPSK en el panel de control de Purple o a través de la interfaz de RADIUS as a Service. Cada inquilino obtiene una contraseña única asociada a un ID de VLAN. El servidor RADIUS de Purple se encarga de la asociación y devuelve el Tunnel-Private-Group-Id correcto. Cuando necesite revocar el acceso de un inquilino, simplemente elimine o deshabilite su registro PPSK en Purple. El AP aplicará el cambio en el siguiente intento de autenticación. [pausa media] Permítame presentarle dos escenarios del mundo real donde esto resulta fundamental. En primer lugar, un hotel de conferencias de 250 habitaciones. El hotel gestiona tres redes: WiFi de invitados con página de bienvenida de Purple e inicio de sesión social, WiFi para el personal en 802.1X vinculado a Active Directory a través de Microsoft Entra ID, y una red para delegados de conferencias para eventos. Los AP Allied Telesis TQ6702 GEN2 gestionan las tres redes en VAP independientes con VLAN separadas. Purple gestiona la página de bienvenida de invitados, recopila datos de origen para el CRM del hotel y proporciona análisis sobre los periodos de uso pico. El equipo de TI del hotel gestiona la red del personal a través de SecurePass de Purple sin necesidad de mantener un servidor RADIUS independiente en las instalaciones. [pausa corta] Segundo escenario: un parque comercial con 12 inquilinos independientes. El propietario desea ofrecer WiFi como servicio a cada inquilino sin darles acceso al tráfico de los demás. Despliegan AP de Allied Telesis en todo el recinto con un único SSID. Cada inquilino recibe una PPSK única. El servidor RADIUS de Purple asocia cada PPSK a una VLAN dedicada. El propietario puede incorporar a un nuevo inquilino en menos de diez minutos creando un nuevo registro PPSK en Purple y entregándole la contraseña al inquilino. No se requiere reconfiguración del AP. [pausa media] Ahora, algunos errores comunes que se deben evitar. El problema más habitual que vemos son los Walled Gardens mal configurados. Si olvida incluir en la lista blanca un endpoint de CDN de Purple, la página de bienvenida se cargará parcialmente o fallará en ciertos dispositivos. Realice pruebas con un dispositivo nuevo que no tenga DNS en caché antes de la puesta en marcha. En segundo lugar, discrepancias en el secreto compartido de RADIUS. El secreto configurado en el AP debe coincidir exactamente con el secreto en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos. Utilice un gestor de contraseñas para generar y almacenar el secreto. En tercer lugar, no habilitar Dynamic VLAN. En los AP de Allied Telesis, Dynamic VLAN está desactivado de forma predeterminada, incluso cuando WPA Enterprise está activo. Debe habilitarlo explícitamente en la configuración de seguridad avanzada del VAP. Vemos que esto se pasa por alto con regularidad. En cuarto lugar, conflicto entre PPSK y autenticación MAC. Si tiene habilitada la autenticación MAC en el mismo VAP que PPSK, el orden de autenticación es importante. Consulte la documentación del AP para su versión de firmware para confirmar qué método tiene prioridad. [pausa media] Preguntas rápidas que suelo recibir de los equipos de TI. ¿Puedo utilizar el servidor RADIUS de Purple tanto para el Captive Portal de invitados como para el 802.1X del personal en el mismo despliegue? Sí. Purple RADIUS as a Service admite ambos flujos de autenticación. Configure grupos o políticas de RADIUS independientes en Purple para cada caso de uso. ¿Admiten los AP de Allied Telesis WPA3 con Captive Portal? El TQ6702 GEN2 con firmware 5.5.4-2.3 o posterior admite el cifrado WPA3 CCMP. Sin embargo, el Captive Portal con redirección externa normalmente se ejecuta en un SSID abierto o WPA2 Personal. El 802.1X del personal puede utilizar WPA3 Enterprise. ¿Qué ocurre si el servidor RADIUS de Purple no está accesible? El AP denegará los nuevos intentos de autenticación. Las sesiones existentes continuarán hasta que expiren. Debe configurar un servidor RADIUS secundario en el grupo RADIUS del AP para redundancia. La plataforma de Purple mantiene un tiempo de actividad del 99,999 %, pero la defensa en profundidad es una buena práctica. [pausa media] Para resumir. Los AP de la serie TQ de Allied Telesis se integran con Purple a través de tres mecanismos principales: redirección externa de Captive Portal para WiFi de invitados, WPA Enterprise con RADIUS para 802.1X del personal y PPSK con VLAN dinámica para el aislamiento multiinquilino. Los atributos RADIUS que necesita son Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 y Tunnel-Private-Group-Id con el ID de VLAN. Purple proporciona el backend de RADIUS as a Service, la plataforma de la página de bienvenida y la capa de análisis. [pausa corta] Sus próximos pasos: obtenga las credenciales de RADIUS de Purple de su panel de control, configure la redirección de página externa en su VAP de invitados, añada las entradas del Walled Garden, habilite Dynamic VLAN en su VAP de personal y realice una prueba de autenticación para cada segmento de red antes de la puesta en marcha. Si va a desplegar PPSK para multiinquilino, planifique su esquema de numeración de VLAN antes de comenzar, ya que cambiar los ID de VLAN una vez que los inquilinos están activos requiere coordinación. [pausa media] Esta es la sesión informativa. Para consultar la referencia de configuración paso a paso completa, el diagrama de arquitectura de Mermaid y la tabla de atributos RADIUS, consulte la guía escrita. Gracias por su tiempo.

header_image.png

執行摘要

將 Allied Telesis TQ 系列無線基地台與 Purple 搭配部署,可提供具備高擴充性、安全且高度可配置的網路架構。本整合手冊詳細說明了訪客 WiFi 的外部 Captive Portal 重新導向配置、員工 WiFi 的 802.1X 驗證,以及多租戶網路隔離的私有預共用金鑰 (PPSK) 對應。透過將 Allied Telesis 硬體與 Purple 的 RADIUS 即服務(RADIUS as a Service)結合,您可以集中管理身分識別,而無需在本地部署 RADIUS 伺服器。本指南涵蓋了動態 VLAN 導向所需的特定 RADIUS 屬性、實現無縫登入頁面投遞的 Walled Garden 配置,以及在旅宿、零售和公共部門環境中擴展身分導向網路的最佳實作指南。

技術深入剖析

Allied Telesis 無線基地台(例如 TQ6702 GEN2 與 TQ5403)搭載 AlliedWare Plus 韌體。它們支援強大的企業功能,包括 WPA3、Passpoint (Hotspot 2.0) 以及完整的 RADIUS 整合。與 Purple 整合時,無線基地台充當網路存取伺服器 (NAS) 和 802.1X 驗證器,而 Purple 則作為雲端託管的 RADIUS 伺服器與 Captive Portal 提供者。

訪客 Captive Portal 重新導向

針對訪客 WiFi,無線基地台會攔截未經驗證的用戶端流量,並將 HTTP/HTTPS 請求重新導向至 Purple 登入頁面。這需要將 Captive Portal 模式配置為 External Page Redirect

當訪客連線時,無線基地台會參考其 Walled Garden 配置。Walled Garden 必須將 Purple 的網域、CDN 端點以及任何配置的社群登入提供者(例如 Google Workspace 或 Microsoft Entra ID)加入白名單。訪客在登入頁面上完成驗證流程後,Purple 的 RADIUS 伺服器會向無線基地台傳送 RADIUS Access-Accept 訊息(UDP 連接埠 1812),隨後無線基地台將授予完整的網路存取權限。

透過 RADIUS 進行動態 VLAN 導向

動態 VLAN 分配對於網路分割至關重要。使用 WPA 企業版配置員工 WiFi 時,無線基地台會將 EAP 認證資料轉發至 Purple 的 SecurePass RADIUS 服務。

驗證成功後,Purple RADIUS 伺服器會傳回一個 Access-Accept 封包,其中包含 RFC 3580 中定義的三個標準 IETF RADIUS 屬性:

  1. Tunnel-Type (Attribute 64):設定為 VLAN (13)。
  2. Tunnel-Medium-Type (Attribute 65):設定為 IEEE-802 (6)。
  3. Tunnel-Private-Group-Id (Attribute 81):設定為分配的 VLAN ID(例如 20)。

Allied Telesis AP 會讀取這些屬性,並動態將用戶端裝置分配到指定的 VLAN。**注意:**必須在 Allied Telesis GUI 內的 VAP 進階安全設定中,明確啟用動態 VLAN。

architecture_overview.png

使用 PPSK 的多租戶隔離

個人預共用金鑰 (PPSK) 允許您使用單一 SSID,同時為不同的使用者或租戶分配不同的密碼。這在多住戶單元 (MDU)、共享工作空間和零售園區中非常有效。

當裝置使用特定的 PPSK 進行關聯時,存取點會將密碼傳送到 Purple RADIUS 伺服器。Purple 會將該密碼對應到特定的租戶設定檔,並傳回 Tunnel-Private-Group-Id 屬性。這會將租戶的裝置引導至其專屬的 VLAN,在不廣播多個 SSID 的情況下確保 Layer 2 隔離。

ppsk_vlan_diagram.png

實作指南

請依照以下步驟設定 Allied Telesis 存取點以進行 Purple 整合。

步驟 1:設定 RADIUS 伺服器設定檔

  1. 登入 Allied Telesis AP 裝置 GUI。
  2. 導覽至 Network Services > RADIUS
  3. 使用 Purple 儀表板中提供的 IP 地址新增一個外部 RADIUS 伺服器。
  4. 將驗證連接埠設定為 1812,計費連接埠設定為 1813
  5. 輸入 Purple 提供的確切共用金鑰 (Shared Secret)。
  6. 設定 NAS 識別碼 (NAS Identifier) 以符合 AP 的管理 IP 或主機名稱。
  7. 將帳戶模式設定為 Start-Interim-Stop,並設定 10 分鐘的臨時更新間隔。

步驟 2:設定訪客 WiFi (Captive Portal)

  1. 導覽至 Wireless > Radio1 (或 Radio2)。
  2. 針對目標 VAP (例如 VAP0) 點擊 Edit
  3. 設定 SSID 名稱 (例如 "Guest WiFi")。
  4. 前往 Advanced Settings > Security 頁籤。
  5. 將 Captive Portal 設定為 External Page Redirect
  6. 在 External Page URL 欄位中輸入 Purple 的展示頁面 (splash page) URL。
  7. 在 Walled Garden 下,新增所需的 Purple 網域和社群登入 IP。

步驟 3:設定員工 WiFi (802.1X 和動態 VLAN)

  1. 編輯用於員工 WiFi 的獨立 VAP。
  2. 將安全性設定為 WPA Enterprise
  3. 從 RADIUS Authentication Group 下拉式選單中選擇 Purple RADIUS 伺服器設定檔。
  4. 前往 Advanced Settings > Security
  5. 啟用 Dynamic VLAN
  6. 確保後端網路交換器已設定為將動態分配的 VLAN 幹線 (trunk) 傳輸至 AP 連接埠。

步驟 4:為多租戶設定 PPSK

  1. 編輯預計用於多租戶的 VAP。
  2. 啟用 PPSK (通常與 MAC 驗證或特定的 WPA 設定結合使用,具體取決於韌體版本)。
  3. 確保已選取 RADIUS 伺服器設定檔。
  4. 在 Purple 儀表板中,建立 PPSK 使用者記錄,並將每個密碼對應到正確的 VLAN ID。## 最佳做法
  • Walled Garden 維護:定期審查並更新 Walled Garden 條目。社群登入提供商經常變更其 IP 範圍和 CDN 網域。
  • 備援:務必在 AP 的 RADIUS 群組中設定主要和次要 Purple RADIUS 伺服器 IP 位址,以確保高可用性。
  • 韌體更新:保持 AlliedWare Plus 韌體更新。WPA3 CCMP 支援和進階 PPSK 功能需要 5.5.4-2.3 或更新版本。
  • VLAN Trunking:驗證連接至存取點 (AP) 的交換器連接埠是否已設定為 802.1Q trunk,並允許所有可能由 RADIUS 伺服器動態分配的 VLAN。

疑難排解與風險緩釋

  • 無聲驗證失敗:如果裝置無法連線至 802.1X 或 PPSK 網路,請驗證 RADIUS 共用金鑰。不相符會導致 AP 無聲丟棄 Access-Reject 封包。
  • 歡迎頁面無法載入:如果 Captive Portal 重新導向陷入迴圈或無法載入資源,很可能是 Walled Garden 缺少必要的網域。請檢查瀏覽器的開發者主控台以識別被封鎖的要求。
  • 用戶端被分配到錯誤的 VLAN:如果動態 VLAN 引導失敗,請檢查 VAP 上是否已明確啟用動態 VLAN。使用封包擷取來驗證 Purple 是否有傳回 Tunnel-Private-Group-Id 屬性。

ROI 與商業影響

將 Allied Telesis 與 Purple 整合,可將基礎無線連線轉換為智慧型、數據驅動的平台。

對於 IT 團隊而言,透過 Purple RADIUS 服務進行集中驗證,可消除在邊緣端管理本地 RADIUS 伺服器和 Active Directory 整合的日常開銷。使用 PPSK 可減少 SSID 開銷,從而提高 RF 效能並簡化租戶上架流程。

對於場地營運而言,Captive Portal 可收集經驗證的第一方數據,進而推動 CRM 成長並實現精準行銷。憑藉在 Purple 平台上收集的超過 290 億個數據點,場地業者可獲得有關訪客行為、停留時間和空間利用率的具體分析,直接支援商業目標。

Definiciones clave

PPSK (Private Pre-Shared Key)

Un mecanismo de seguridad en el que se pueden utilizar múltiples contraseñas únicas en un único SSID, con cada contraseña asociada a políticas de red o VLAN específicas.

Se utiliza en entornos multiinquilino para proporcionar un acceso a la red seguro y aislado sin transmitir múltiples SSIDs.

Tunnel-Private-Group-Id

Atributo RADIUS 81, definido en RFC 2868, utilizado para especificar el ID de VLAN al que se debe asignar un usuario o dispositivo tras una autenticación exitosa.

Esencial para el direccionamiento dinámico de VLAN tanto en despliegues 802.1X como PPSK.

Walled Garden

Un entorno de red restringido que permite a los usuarios no autenticados acceder a una lista blanca específica de direcciones IP o dominios.

Requerido para que los captive portals permitan a los dispositivos cargar la página de bienvenida y autenticarse a través de proveedores de inicio de sesión social antes de obtener acceso completo a Internet.

RADIUS as a Service

Una infraestructura RADIUS alojada en la nube y gestionada por un tercero (como Purple), lo que elimina la necesidad de servidores de autenticación locales.

Simplifica los despliegues 802.1X para recintos distribuidos al centralizar la gestión de identidades en la nube.

Captive Portal

Una página web que los usuarios están obligados a ver y con la que deben interactuar antes de que se les conceda acceso a una red WiFi pública.

Se utiliza para capturar datos de origen (first-party data), aplicar las condiciones de servicio y mostrar la imagen de marca del recinto.

VAP (Virtual Access Point)

Una entidad lógica dentro de un punto de acceso físico que transmite su propio SSID y mantiene sus propias configuraciones de seguridad y políticas.

Permite que un único AP de Allied Telesis proporcione simultáneamente WiFi para invitados, WiFi para el personal y conectividad IoT.

EAP-PEAP

Protocolo de autenticación extensible protegido (PEAP), un método seguro para transmitir credenciales de autenticación dentro de un túnel TLS cifrado.

El protocolo de autenticación más común utilizado para WiFi de personal (802.1X) al verificar nombres de usuario y contraseñas contra un directorio.

Access-Accept

Un paquete RADIUS estándar enviado por el servidor al autenticador (AP) que indica que la autenticación se ha realizado con éxito.

A menudo incluye atributos adicionales, como asignaciones de VLAN o límites de ancho de banda, para aplicar la política de red.

Ejemplos prácticos

Un hotel de 250 habitaciones necesita desplegar una red segura para el personal y una red de invitados con imagen de marca. El equipo de TI desea gestionar el acceso del personal a través de Microsoft Entra ID sin desplegar un servidor RADIUS local, mientras que los invitados deben aceptar los términos y condiciones a través de un Captive Portal.

Despliegue AP Allied Telesis TQ6702 GEN2. Configure VAP0 como una red abierta con el Captive Portal establecido en 'External Page Redirect', apuntando a la URL de la página de bienvenida de Purple. Configure VAP1 con WPA Enterprise, apuntando el grupo de autenticación RADIUS a los servidores RADIUS SecurePass de Purple. Integre Purple SecurePass con Microsoft Entra ID en la nube. Habilite Dynamic VLAN en VAP1 para que el personal sea redirigido automáticamente a la VLAN interna tras una autenticación EAP exitosa.

Comentario del examinador: Este enfoque utiliza Purple como un gestor de identidades en la nube. Elimina la infraestructura RADIUS local al tiempo que mantiene un aislamiento estricto de Capa 2 entre el tráfico de invitados y del personal mediante el uso de 802.1X basado en estándares y asignación dinámica de VLAN.

El propietario de un parque comercial desea proporcionar WiFi a 12 locales comerciales independientes utilizando un único despliegue de hardware. Cada local requiere su propio segmento de red seguro y aislado.

Configure un único SSID (por ejemplo, 'Retail-Park-Secure') en los AP de Allied Telesis. Habilite PPSK (Private Pre-Shared Key) y apunte la autenticación al servidor RADIUS de Purple. En el panel de control de Purple, genere una contraseña única para cada local comercial y asóciela a un ID de VLAN específico (por ejemplo, Local 1 = VLAN 101, Local 2 = VLAN 102). Cuando un dispositivo se conecta, el AP envía la contraseña a Purple, que devuelve el atributo Tunnel-Private-Group-Id, redirigiendo el dispositivo a la VLAN del inquilino correcta.

Comentario del examinador: PPSK evita la proliferación de SSID, lo que degrada el rendimiento de RF. Ofrece la experiencia de usuario de una contraseña personal simple WPA2/WPA3 al tiempo que proporciona la seguridad empresarial y la segmentación de 802.1X.

Preguntas de práctica

Q1. Un recinto informa que los dispositivos Android pueden conectarse al WiFi de invitados y ver la página de bienvenida, pero los dispositivos Apple iOS muestran una pantalla en blanco. ¿Cuál es el problema de configuración más probable?

Sugerencia: Considere cómo detectan los diferentes sistemas operativos los captive portals y qué dominios necesitan alcanzar.

Ver respuesta modelo

Es probable que en el Walled Garden falten los dominios específicos que Apple utiliza para la detección de Captive Portal (por ejemplo, captive.apple.com). Si el AP bloquea estos dominios antes de la autenticación, el Captive Network Assistant de iOS no podrá activar el mini-navegador correctamente.

Q2. Ha configurado WPA Enterprise en el AP y lo ha apuntado al servidor RADIUS de Purple. Los registros de RADIUS muestran una autenticación exitosa (Access-Accept), pero el dispositivo cliente no recibe una dirección IP en la VLAN esperada. ¿Cuáles son las dos causas más probables?

Sugerencia: Compruebe tanto la configuración del AP como la del puerto del switch físico.

Ver respuesta modelo
  1. 'Dynamic VLAN' no está habilitado en la configuración de seguridad avanzada del VAP en el AP de Allied Telesis. 2. El puerto del switch que conecta el AP no está configurado como un trunk 802.1Q, o la VLAN de destino no está permitida en el trunk, lo que impide que el tráfico DHCP llegue al cliente.

Q3. Un parque comercial desea desplegar PPSK para 50 inquilinos. Preguntan si deben crear 50 VAP independientes o utilizar un único VAP. ¿Cuál es su recomendación y por qué?

Sugerencia: Considere el impacto de las tramas de gestión en el tiempo de transmisión inalámbrica (airtime).

Ver respuesta modelo

Se recomienda utilizar un único VAP con PPSK. La transmisión de 50 SSIDs independientes genera un exceso de tramas de baliza (beacon frames) y sobrecarga de gestión, lo que degrada gravemente el rendimiento de RF y el tiempo de transmisión disponible. Un único SSID con PPSK proporciona el mismo aislamiento de Capa 2 mediante la asignación dinámica de VLAN sin penalizar el rendimiento de RF.

Continúe leyendo esta serie

Guía paso a paso para el acceso de invitados: Integración de Cisco WLC y Catalyst con Purple WiFi

Esta guía de referencia detalla la integración paso a paso de los Cisco Catalyst 9800 WLCs con Purple WiFi. Cubre el proceso de External Web Authentication para portales cautivos de invitados, 802.1X EAP-TLS para el acceso seguro del personal e Cisco iPSK para la segmentación dinámica de VLAN en entornos multiinquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →