Saltar al contenido principal
Español

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

📖 5 min de lectura📝 1,177 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenidos al Purple Technical Briefing. Soy su anfitrión, y hoy cubriremos un patrón de implementación que surge en casi todos los proyectos de WiFi empresarial a gran escala que vemos: la integración de CommScope Ruckus con la plataforma en la nube de Purple. Tanto si gestiona un grupo hotelero, una red de tiendas, un estadio o un centro de conferencias, este episodio le proporcionará el manual de configuración que necesita. Pongámonos en situación primero. Ruckus, ahora bajo el paraguas de CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad. Hoteles como Premier Inn, grandes cadenas de tiendas, estadios y centros de convenciones utilizan la infraestructura de Ruckus. Cuando se implementa Guest WiFi a esa escala, se necesita algo más que un SSID abierto. Se necesita una autenticación estructurada, una captura de datos que cumpla con el GDPR y la capacidad de integrar esos datos de los invitados en su pila de marketing. Ahí es exactamente donde entra Purple. Purple opera en más de 80.000 establecimientos activos, ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. La integración con Ruckus es uno de nuestros patrones de implementación más maduros. Ahora bien, Ruckus tiene tres plataformas de controladores distintas que debe comprender antes de tocar una pantalla de configuración. SmartZone, disponible como un dispositivo físico SZ300 o virtual vSZ, es el controlador empresarial para grandes implementaciones multisitio. Gestiona miles de puntos de acceso en múltiples zonas, le ofrece un control profundo de las políticas y admite toda la gama de métodos de autenticación que cubriremos hoy. ZoneDirector es el controlador local heredado, todavía muy extendido, sobre todo en el sector de la hostelería, y admite el mismo flujo de captive portal basado en WISPr, aunque con una ruta de configuración ligeramente diferente. Y Unleashed es el modelo sin controlador, donde un AP actúa como maestro para hasta otros 128. Es ideal para implementaciones más pequeñas en un solo sitio: hoteles independientes, sucursales de tiendas, oficinas de pymes. Muy bien. Entremos en los detalles técnicos. Cubriré tres casos de uso distintos: Guest WiFi con redirección a captive portal, WiFi seguro para el personal mediante 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK. Comencemos con Guest WiFi. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr (Wireless Internet Service Provider roaming) es un estándar del sector que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID. Su dispositivo envía una solicitud HTTP. SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo; en este caso, el captive portal de Purple. El invitado se autentica (a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y luego el portal se comunica de vuelta con el controlador a través de la interfaz Northbound Interface, o NBI, para conceder el acceso. En SmartZone, la configuración consta de cuatro componentes principales. Primero, el perfil del servidor de autenticación RADIUS. Vaya a Services and Profiles y luego a Authentication. Cree un nuevo perfil de servidor AAA. Establezca el Service Protocol en RADIUS. La IP del servidor principal y el secreto compartido se proporcionan en la consola de administración de Purple. Puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia. Luego, cree el servidor de contabilidad (accounting) en Services and Profiles, Accounting: puerto 1813, mismo secreto compartido. Segundo, el perfil Hotspot WISPr. Vaya a Services and Profiles, Hotspots and Portals, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL en External e introduzca la URL de redirección de su portal. Configure la Start Page para redirigir a su URL posterior a la autenticación, normalmente una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde los ingenieros suelen cometer más errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal y los endpoints estándar de detección de captive portal del sistema operativo. En SmartZone, se admiten comodines utilizando el formato de asterisco-punto (por ejemplo, *.purple.ai cubre todos los subdominios). También necesita el dominio de detección de captive portal de Apple (captive.apple.com) y los endpoints de comprobación de conectividad de Google para evitar que el mininavegador CNA funcione incorrectamente en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto. Por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. Purple necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Es un solo comando, pero es un bloqueo total si lo omite. La interfaz Northbound Interface es la otra pieza esencial. Esta es la API que permite a Purple comunicarse de vuelta con SmartZone para conceder o denegar el acceso después de la autenticación. Habilítela en Administration, External Services, WISPr Northbound Interface. Establezca un nombre de usuario y una contraseña, y proporcione esas credenciales a Purple. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de Purple a estos puertos. Por último, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en User-defined si Purple requiere un valor específico, configure Called Station ID en AP MAC y habilite Single Session ID. Para Unleashed, la arquitectura es fundamentalmente diferente: es un modelo distribuido y sin controlador. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son muy similares (crear un servicio Hotspot, configurar la URL de su portal externo, configurar su servidor de autenticación AAA, añadir las entradas del Walled Garden), pero hay dos diferencias clave. No hay ningún requisito de Northbound Interface en Unleashed. Y el cifrado de direcciones MAC no se aplica por defecto, por lo que no necesita el comando de la CLI. El Walled Garden de Unleashed también acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodines. Pasemos ahora al WiFi seguro para el personal mediante 802.1X. Este es un modelo de autenticación completamente diferente. En lugar de un captive portal, los dispositivos del personal se autentican directamente utilizando el protocolo de autenticación extensible (EAP). El método más común en entornos empresariales es PEAP-MSCHAPv2, donde el usuario introduce sus credenciales de Active Directory, o EAP-TLS, donde el dispositivo presenta un certificado. El complemento SecurePass de Purple se integra con Microsoft Entra ID, Okta y Google Workspace para actuar como el backend de RADIUS para este flujo. En SmartZone, cree una nueva WLAN y establezca el Authentication Type en 802.1X EAP. En la configuración de AAA, apunte a su servidor RADIUS: el endpoint SecurePass de Purple. La diferencia clave con respecto al flujo de invitados es que aquí también se configura la asignación dinámica de VLAN. Cuando el servidor RADIUS de Purple devuelve un Access-Accept, incluye tres atributos estándar de la IETF: Tunnel-Type establecido en VLAN, valor 13; Tunnel-Medium-Type establecido en IEEE-802, valor 6; y Tunnel-Private-Group-ID que contiene la cadena del ID de VLAN (por ejemplo, 20 para la VLAN del personal). SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del miembro del personal con la VLAN correcta, independientemente del AP al que esté conectado. Esto es el direccionamiento dinámico de VLAN, y es lo que permite que un único SSID sirva para múltiples roles de usuario con diferentes políticas de acceso a la red. Habilite AAA Override en la configuración avanzada de la WLAN para asegurarse de que SmartZone procese los atributos de VLAN devueltos por RADIUS. Sin esa casilla de verificación, la asignación dinámica no funcionará incluso si el servidor RADIUS está enviando los atributos correctos. El tercer caso de uso es el aislamiento multiinquilino mediante Ruckus Dynamic PSK, o DPSK. Esta es una tecnología propietaria de Ruckus que asigna una contraseña WPA2 única a cada usuario o inquilino, todo en un único SSID. A diferencia de una PSK compartida donde todos usan la misma contraseña, DPSK significa que el Inquilino A tiene una clave única de 62 caracteres, el Inquilino B tiene una diferente, y así sucesivamente. Cada clave está vinculada a una VLAN específica, por lo que el tráfico del Inquilino A va a la VLAN 101 y el del Inquilino B a la VLAN 102: aislamiento completo, sin riesgo de contraseña compartida y revocación instantánea sin afectar a otros inquilinos. Esto es especialmente potente en espacios de coworking, edificios residenciales de alquiler (build-to-rent), residencias de estudiantes y parques comerciales multiinquilino. Purple se integra con Ruckus DPSK a través de la API de SmartZone para automatizar el aprovisionamiento de claves: cuando se incorpora un nuevo inquilino en Purple, se genera un DPSK, se vincula a la VLAN correcta y se entrega al inquilino automáticamente. Para configurar DPSK en SmartZone: vaya a WLANs, añada una nueva WLAN y, en Security, establezca el método en Dynamic PSK. Establezca la longitud de DPSK en 62 caracteres para obtener la máxima entropía. En VLAN, habilite Per-DPSK VLAN assignment. A continuación, utilice la API de SmartZone o la interfaz de gestión de DPSK para crear claves individuales por inquilino, cada una asignada a su propio ID de VLAN. En Unleashed, la misma función está disponible en WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 es la variante WPA3, que ofrece un cifrado más sólido basado en SAE. Si su flota de AP admite WPA3 (lo que hacen todos los AP actuales de la serie R de Ruckus), DPSK3 es la opción preferida para nuevas implementaciones. Permítanme repasar dos escenarios de implementación del mundo real que ilustran cómo se combinan estos tres casos de uso. Primer escenario: un hotel de 250 habitaciones. El establecimiento cuenta con Ruckus SmartZone con puntos de acceso R750 en todas las instalaciones. Necesitan tres tipos de red: Guest WiFi para los huéspedes del hotel, WiFi seguro para el personal de recepción y de administración, y una red IoT para controles inteligentes de habitaciones y CCTV. La WLAN de invitados utiliza el flujo de captive portal WISPr con Purple. Los huéspedes se conectan, son redirigidos a un portal personalizado de Purple, se autentican mediante correo electrónico o inicio de sesión social y acceden a la VLAN 10. El portal captura datos de primera mano (correo electrónico, consentimiento de marketing, preferencias de estancia) que se envían directamente al CRM del hotel. El panel de análisis de Purple muestra al hotel qué plantas tienen las tasas de conexión más altas, las horas de mayor uso y las tasas de visitantes recurrentes. Premier Inn implementó este modelo en todas sus instalaciones del Reino Unido y observó mejoras medibles en las puntuaciones de satisfacción de los huéspedes directamente vinculadas a la experiencia WiFi. La WLAN del personal utiliza 802.1X con SecurePass de Purple. El personal se autentica con sus credenciales de Active Directory a través de PEAP-MSCHAPv2. El personal de recepción accede a la VLAN 20 con acceso al sistema de gestión hotelera (PMS). El personal de administración accede a la VLAN 21 con acceso únicamente a los sistemas de RR. HH. y de planificación. La asignación de VLAN se realiza en su totalidad mediante los atributos RADIUS que devuelve Purple, sin necesidad de configurar puertos manualmente. Cuando un miembro del personal se marcha, su cuenta se deshabilita en Microsoft Entra ID y el acceso se revoca instantáneamente en todas las propiedades. La IoT WLAN utiliza una PSK estática, aislada en la VLAN 30, con el aislamiento de clientes habilitado. Los termostatos inteligentes, las cerraduras de las puertas y las cámaras de CCTV se ubican aquí, completamente separados del tráfico de invitados y del personal. Segundo escenario: un espacio de coworking con 15 empresas inquilinas. Aquí es donde DPSK realmente demuestra su valor. El operador ejecuta Ruckus Unleashed en tres plantas. Cada empresa inquilina obtiene un DPSK único vinculado a su propia VLAN. Los 20 miembros del personal del Inquilino A utilizan la misma contraseña DPSK-A, pero esa contraseña es exclusiva del Inquilino A y se asigna únicamente a la VLAN 101. El Inquilino B utiliza DPSK-B, asignada a la VLAN 102. Los inquilinos están completamente aislados entre sí en la capa de red. Cuando un inquilino se marcha, el operador revoca su DPSK en SmartZone (o a través de la interfaz de gestión de Purple) y eso es todo. Ningún otro inquilino se ve afectado, no se requieren cambios de SSID ni restablecimientos de contraseñas en todo el edificio. La capa de gestión multiinquilino de Purple se sitúa por encima de esto, ofreciendo al operador del coworking un único panel de control para gestionar la incorporación, la revocación de accesos y los análisis de uso de los 15 inquilinos. Permítanme cubrir ahora los fallos más comunes y cómo evitarlos. Número uno: mala configuración del Walled Garden. Si la página de su portal no se carga después de la redirección, lo primero que debe comprobar es si todos los dominios a los que hace referencia la página de su portal están en el Walled Garden. Las páginas de portal modernas cargan recursos de múltiples dominios de CDN, scripts de análisis y SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. Purple proporciona una lista documentada de Walled Garden para SmartZone y Unleashed: utilícela como base y añada los dominios específicos de su establecimiento. Número dos: el problema de conectividad de la NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que SmartZone no pueda recibir la llamada de retorno (callback) de la NBI desde Purple. Compruebe que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de gestión de SmartZone desde el rango de IP de Purple. Verifique también que las credenciales de la NBI que ha configurado coincidan con las que Purple tiene registradas. Número tres: la falta del comando no encrypt-mac-ip. Este es el error imprevisto más común específico de SmartZone. Si Purple recibe solicitudes de redirección pero no puede asociar la sesión a una dirección MAC, esta es casi con seguridad la causa. Es una solución de una sola línea en la CLI, pero es fácil de pasar por alto porque no se muestra en la interfaz gráfica de usuario (GUI). Número cuatro: AAA Override no habilitado para VLAN dinámica. Si el personal se autentica correctamente en 802.1X pero todos acceden a la misma VLAN predeterminada en lugar de a su VLAN específica de rol, compruebe que AAA Override esté habilitado en la configuración avanzada de la WLAN. Este es el interruptor que indica a SmartZone que respete los atributos de VLAN devueltos por el servidor RADIUS. Número cinco: la VLAN de DPSK no se propaga. Si los usuarios de DPSK se autentican pero no acceden a la VLAN correcta, verifique que la asignación de VLAN por DPSK esté habilitada en la configuración de la WLAN y que los puertos del switch conectados a sus AP estén configurados como puertos troncales (trunk) que transporten todas las VLAN de DPSK. Si el puerto del switch es un puerto de acceso, el etiquetado de VLAN se eliminará. Ahora, tres preguntas rápidas que me hacen en cada implementación de Ruckus y Purple. ¿Necesito una VLAN dedicada para Guest WiFi? Sí, siempre. Aísle el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma red. Habilite el aislamiento de clientes en la WLAN de invitados para evitar que los dispositivos de los invitados se comuniquen entre sí. ¿Puedo utilizar Purple con Ruckus One (la plataforma gestionada en la nube) en lugar de SmartZone? Sí. La ruta de configuración es diferente (se encuentra en WiFi Networks, configuración de Guest Access en el portal de Ruckus One), pero los principios de configuración del Walled Garden y de RADIUS son idénticos. ¿Admite Purple implementaciones multizona de SmartZone? Sí. La integración de Purple gestiona entornos SmartZone multizona, y puede delimitar las configuraciones del portal a zonas individuales para diferentes establecimientos o plantas dentro de una única instancia de SmartZone. Para resumir. La integración de Ruckus y Purple cubre tres casos de uso distintos, cada uno con su propio modelo de configuración. Guest WiFi utiliza el flujo de captive portal WISPr: cinco puntos clave de configuración: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un Walled Garden correctamente delimitado utilizando entradas con comodines, el comando de CLI no encrypt-mac-ip y la interfaz Northbound Interface habilitada con las credenciales correctas. El WiFi seguro para el personal utiliza 802.1X EAP con direccionamiento dinámico de VLAN a través de atributos RADIUS; el habilitador crítico es AAA Override en la configuración avanzada de la WLAN. El aislamiento multiinquilino utiliza Ruckus DPSK: claves únicas por inquilino, cada una vinculada a una VLAN dedicada, con revocación instantánea y cero riesgos de contraseña compartida. Si domina estos tres patrones, tendrá una arquitectura de red que se escala desde un hotel independiente de 50 habitaciones con Unleashed hasta un estadio de 5.000 asientos con SmartZone, con la misma plataforma Purple por encima de todo proporcionando análisis unificados, captura de datos que cumple con el GDPR y gestión de acceso centralizada. Si está planeando una implementación de Ruckus con Purple, el equipo técnico de incorporación puede guiarle a través de una lista de comprobación previa al lanzamiento y validar su configuración antes de la puesta en marcha. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión, lo que le brinda la visibilidad necesaria para detectar problemas antes de que lo hagan sus invitados. Gracias por escucharnos. Hasta la próxima.

header_image.png

Resumen ejecutivo

Implementar una red inalámbrica de alto rendimiento en entornos empresariales requiere un delicado equilibrio entre una experiencia de usuario fluida y una seguridad técnica sólida. Para las organizaciones que ejecutan arquitecturas de CommScope Ruckus (que van desde estadios y centros de convenciones de alta densidad hasta amplias redes de tiendas y grupos hoteleros), la red sirve como la puerta de entrada principal para la interacción digital. Esta guía proporciona un manual técnico definitivo para integrar los controladores Ruckus SmartZone, ZoneDirector y Unleashed con la plataforma en la nube de Purple. Detallamos los pasos de configuración exactos necesarios para implementar Guest WiFi mediante la redirección a captive portal basada en WISPr, asegurar las redes del personal a través del direccionamiento dinámico de VLAN 802.1X y lograr el aislamiento de red multiinquilino utilizando Ruckus Dynamic Pre-Shared Keys (DPSK). Al seguir estas mejores prácticas independientes del proveedor, los equipos de TI pueden automatizar la segmentación de la red, garantizar el cumplimiento de estándares como PCI DSS y capturar datos de primera mano de forma segura.

Análisis técnico detallado

La integración entre el hardware de CommScope Ruckus y Purple se basa en protocolos de autenticación estándar del sector y comunicaciones API seguras. La arquitectura admite tres modelos de implementación distintos, cada uno de los cuales atiende a un grupo de usuarios específico dentro del establecimiento.

Arquitectura de Guest WiFi (WISPr)

Para las redes de acceso público en el sector minorista y la hostelería, Ruckus utiliza el protocolo WISPr (Wireless Internet Service Provider roaming). Cuando un invitado se conecta a un SSID abierto, el controlador Ruckus intercepta su solicitud HTTP inicial y emite una redirección HTTP 302 al captive portal externo de Purple. El invitado se autentica mediante un mecanismo de suscripción voluntaria consciente (opt-in), como el correo electrónico o un proveedor de identidad social. Tras una autenticación correcta, Purple se comunica de vuelta con el controlador Ruckus a través de la interfaz Northbound Interface (NBI) para autorizar la dirección MAC y conceder acceso a internet.

architecture_overview.png

WiFi seguro para el personal (802.1X y VLAN dinámicas)

Los dispositivos del personal requieren un enfoque fundamentalmente diferente. En lugar de depender de captive portals, los entornos empresariales utilizan la autenticación 802.1X. Los dispositivos se autentican directamente contra la infraestructura RADIUS de Purple utilizando los protocolos EAP-TLS (basado en certificados) o PEAP-MSCHAPv2 (basado en credenciales).

El componente crítico aquí es el direccionamiento dinámico de VLAN. Cuando el servidor RADIUS de Purple devuelve un mensaje Access-Accept, incluye tres atributos estándar específicos de la IETF:

  • Tunnel-Type (Atributo 64): Establecido en VLAN (valor 13)
  • Tunnel-Medium-Type (Atributo 65): Establecido en IEEE-802 (valor 6)
  • Tunnel-Private-Group-ID (Atributo 81): Contiene la cadena del ID de VLAN (por ejemplo, "20" para el personal)

El controlador Ruckus SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del usuario, ubicándolo en el segmento de red aislado correcto independientemente del punto de acceso físico al que se haya conectado.

Aislamiento multiinquilino (Ruckus DPSK)

Para entornos como espacios de coworking, residencias de estudiantes y unidades de viviendas múltiples (MDU), la difusión de docenas de SSID genera graves interferencias de canal. Ruckus Dynamic Pre-Shared Key (DPSK) soluciona esto asignando una contraseña WPA2/WPA3 única a cada inquilino en un único SSID compartido.

Cada DPSK está vinculado a una VLAN específica. Cuando un residente se conecta, el controlador utiliza su clave única para autenticar el dispositivo y ubicarlo en su VLAN privada. Purple automatiza este proceso mediante la integración de la API, generando y revocando claves a medida que los inquilinos entran y salen, lo que elimina los riesgos de seguridad asociados con las contraseñas compartidas tradicionales.

dpsk_configuration_guide.png

Guía de implementación

Esta sección describe los pasos de configuración específicos necesarios para integrar Purple con un controlador Ruckus SmartZone. Los pasos para Unleashed son muy similares, pero omiten el requisito de la interfaz Northbound Interface.

1. Configurar los servidores RADIUS AAA

  1. Vaya a Services & Profiles > Authentication.
  2. Cree un nuevo perfil de servidor AAA con el Service Protocol establecido en RADIUS.
  3. Introduzca la IP del servidor principal y el secreto compartido proporcionados en su consola de administración de Purple.
  4. Establezca el puerto de autenticación en 1812.
  5. Repita este proceso en Services & Profiles > Accounting, estableciendo el puerto en 1813.

2. Configurar el perfil Hotspot WISPr

  1. Vaya a Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Cree un nuevo perfil y establezca la Login URL en External.
  3. Introduzca la URL de redirección del captive portal de Purple.
  4. Defina su Walled Garden. Esto es crítico. Debe permitir el acceso a los dominios de Purple antes de la autenticación. SmartZone admite comodines (por ejemplo, *.purple.ai). También debe incluir captive.apple.com para gestionar el comportamiento del Captive Network Assistant (CNA) de iOS.

3. Desactivar el cifrado de direcciones MAC (Paso crítico)

Por defecto, SmartZone cifra las direcciones MAC e IP que se pasan en la URL de redirección. Purple requiere la dirección MAC sin procesar para la gestión de sesiones. Debe desactivar esto a través de la CLI:

enable
config
no encrypt-mac-ip
exit

4. Habilitar la interfaz Northbound Interface (NBI)

  1. Vaya a Administration > External Services > WISPr Northbound Interface.
  2. Habilite el servicio y configure un nombre de usuario y una contraseña.
  3. Proporcione estas credenciales a Purple. Asegúrese de que su el firewall permite el tráfico TCP entrante en los puertos 9080 (HTTP) y 9443 (HTTPS) desde los rangos de IP de Purple.

5. Crear la WLAN

  1. Cree una nueva WLAN y establezca el Tipo de autenticación en Hotspot (WISPr).
  2. Seleccione el perfil de Hotspot y los servidores AAA configurados anteriormente.
  3. Para redes de personal 802.1X, habilite AAA Override en la configuración avanzada para garantizar que se procesen los atributos de VLAN dinámicos.

Buenas prácticas

Para garantizar un despliegue robusto y seguro, siga estas recomendaciones estándar del sector:

  • Aislar el tráfico de invitados: Coloque siempre la WiFi de invitados en una VLAN dedicada y habilite el aislamiento de clientes. Este es un requisito obligatorio para el cumplimiento de PCI DSS si su establecimiento procesa pagos en la misma infraestructura física.
  • Estandarizar los ID de VLAN: Al desplegar el direccionamiento dinámico de VLAN en múltiples establecimientos, asegúrese de que su esquema de numeración de VLAN sea idéntico a nivel global (por ejemplo, la VLAN 20 siempre es para el personal). Una nomenclatura inconsistente provocará fallos de autenticación.
  • Implementar el fallback de RADIUS: Configure una VLAN crítica o un mecanismo de fallback en sus controladores. Si el servidor RADIUS principal no está accesible, los dispositivos deben derivarse a una VLAN restringida solo para internet para mantener la conectividad básica.
  • Utilizar DPSK3 para nuevos despliegues: Si su hardware Ruckus es compatible con WPA3, despliegue DPSK3 en lugar del DPSK heredado para beneficiarse del cifrado basado en SAE.

Resolución de problemas y mitigación de riesgos

Al integrar Captive Portals externos y servicios RADIUS, los ingenieros suelen encontrarse con los siguientes modos de fallo:

  • El portal no se carga: Casi siempre se debe a una configuración incorrecta del Walled Garden. Los portales modernos cargan recursos de múltiples CDN y proveedores de identidad. Utilice las herramientas de desarrollo del navegador para identificar las solicitudes bloqueadas y añada los dominios requeridos a su SmartZone Walled Garden.
  • La autenticación se realiza correctamente pero no hay acceso a internet: Esto indica un fallo de la interfaz Northbound (NBI). SmartZone no está recibiendo la devolución de llamada (callback) de autorización de Purple. Verifique sus credenciales de NBI y compruebe los registros del firewall para ver si hay tráfico descartado en los puertos TCP 9080/9443.
  • Fallo en la asignación dinámica de VLAN: Si los usuarios de 802.1X se autentican correctamente pero acaban en la VLAN predeterminada, compruebe que AAA Override esté habilitado en la configuración de la WLAN. Sin esto, SmartZone ignorará el atributo Tunnel-Private-Group-ID devuelto por Purple.

ROI e impacto empresarial

La integración de la infraestructura Ruckus con Purple transforma una red inalámbrica estándar en un activo empresarial medible.

Para establecimientos de retail y hostelería, el Captive Portal captura datos de primera mano verificados, impulsando el crecimiento de los programas de fidelización y permitiendo campañas de marketing dirigidas. Una importante cadena hotelera del Reino Unido informó de un aumento del 40 % en las puntuaciones de satisfacción de los huéspedes tras el despliegue de Ruckus y Purple.

Para las operaciones de TI, el direccionamiento dinámico de VLAN y la automatización de DPSK reducen drásticamente la sobrecarga de configuración manual. En lugar de gestionar puertos de switch estáticos o restablecer contraseñas compartidas cuando un inquilino se marcha, el control de acceso se centraliza y automatiza, mitigando los riesgos de seguridad y reduciendo los tickets de soporte.

Definiciones clave

WISPr

Wireless Internet Service Provider roaming (itinerancia de proveedores de servicios de internet inalámbricos). Un protocolo estándar del sector utilizado por los controladores inalámbricos para interceptar el tráfico HTTP y redirigir a los usuarios a un captive portal externo.

Esta es la arquitectura fundamental para todas las implementaciones públicas de Guest WiFi en hardware Ruckus.

Northbound Interface (NBI)

Una API en el controlador Ruckus SmartZone que permite a plataformas externas enviar comandos de autorización.

Requerido para que Purple conceda acceso a internet a un usuario después de que complete con éxito el inicio de sesión en el captive portal.

Walled Garden

Una lista de permitidos (whitelist) de dominios y direcciones IP a los que un dispositivo puede acceder antes de autenticarse en la red.

Esencial para permitir que se carguen la página del captive portal, sus imágenes asociadas y los proveedores de inicio de sesión social para los invitados no autenticados.

Dynamic PSK (DPSK)

Una tecnología propietaria de Ruckus que asigna una contraseña WPA2/WPA3 única a usuarios o grupos individuales en un único SSID compartido.

Muy utilizado en entornos multiinquilino (MDU, espacios de coworking) para proporcionar un aislamiento de red seguro sin saturación de SSID.

Dynamic VLAN Steering

El proceso de asignar automáticamente un dispositivo a un segmento de red específico (VLAN) en función de los atributos RADIUS devueltos durante la autenticación 802.1X.

Permite a los equipos de TI utilizar un único SSID 'Staff' mientras separan de forma segura el tráfico de RR. HH., Finanzas y Recepción en la capa de red.

AAA Override

Un ajuste de configuración en los controladores inalámbricos que obliga al punto de acceso a aplicar las políticas (como los ID de VLAN) devueltas por el servidor RADIUS.

Debe estar habilitado en las WLAN de Ruckus para que el direccionamiento dinámico de VLAN funcione correctamente.

Client Isolation

Una función de seguridad que evita que los dispositivos conectados a la misma red inalámbrica se comuniquen directamente entre sí.

Un control de seguridad obligatorio para las redes públicas de Guest WiFi para evitar ataques entre pares (peer-to-peer) y garantizar el cumplimiento normativo.

Captive Network Assistant (CNA)

El mininavegador integrado en los sistemas operativos móviles (como iOS y Android) que aparece automáticamente cuando se detecta un captive portal.

Los ingenieros deben gestionar el comportamiento del CNA a través del Walled Garden para garantizar una experiencia de inicio de sesión fluida para los usuarios móviles.

Ejemplos prácticos

Un hotel de 250 habitaciones necesita implementar tres redes independientes en su infraestructura Ruckus SmartZone: una red pública para invitados, una red segura para el personal con acceso al sistema de gestión hotelera (PMS) y una red IoT aislada para termostatos inteligentes.

El equipo de TI configura tres WLAN. La WLAN 'Guest-WiFi' utiliza autenticación Hotspot (WISPr) que redirige al captive portal de Purple, ubicando a los usuarios en la VLAN 10 con el aislamiento de clientes activado. La WLAN 'Staff-Secure' utiliza autenticación 802.1X EAP contra Purple SecurePass; el servidor RADIUS devuelve Tunnel-Private-Group-ID = 20, dirigiendo dinámicamente al personal a la VLAN interna. La WLAN 'IoT-Devices' utiliza una clave WPA2 PSK estática vinculada a la VLAN 30, restringida mediante reglas de firewall para comunicarse únicamente con el servidor de control de los termostatos.

Comentario del examinador: Esta arquitectura aplica correctamente el principio de mínimo privilegio. Al aprovechar el direccionamiento dinámico de VLAN para el personal, el hotel evita la difusión de múltiples SSID específicos de cada departamento, lo que reduce la utilización del canal y mantiene la estricta segmentación de red requerida para el cumplimiento de PCI DSS.

El operador de un espacio de coworking gestiona un edificio con 15 empresas inquilinas diferentes. Necesita proporcionar acceso inalámbrico seguro y aislado para cada empresa sin difundir 15 SSID independientes.

El operador implementa Ruckus Unleashed y configura una única WLAN 'Tenant-WiFi' utilizando seguridad Dynamic PSK (DPSK). Dentro del controlador, activa la asignación de VLAN por DPSK. A cada una de las 15 empresas inquilinas se le asigna una contraseña única de 62 caracteres. Cuando los empleados del Inquilino A se conectan utilizando su clave específica, el controlador asigna automáticamente su tráfico a la VLAN 101. Los empleados del Inquilino B utilizan una clave diferente y acceden a la VLAN 102.

Comentario del examinador: Este es el caso de uso óptimo para Ruckus DPSK. Proporciona aislamiento de nivel empresarial en la capa de red mientras mantiene limpio el entorno de radiofrecuencia al difundir un solo SSID. También elimina el riesgo de seguridad de una contraseña compartida, ya que revocar el acceso del Inquilino A solo requiere eliminar una única clave sin afectar a las otras 14 empresas.

Preguntas de práctica

Q1. Ha configurado una red Guest WiFi en un controlador Ruckus SmartZone integrado con Purple. Al conectar un dispositivo de prueba, aparece la página del captive portal de Purple, pero falta la imagen del logotipo y el botón 'Iniciar sesión con Facebook' no funciona. ¿Cuál es la causa más probable?

Sugerencia: Considere qué acceso a la red tiene el dispositivo antes de autenticarse correctamente.

Ver respuesta modelo

El Walled Garden está mal configurado. Los dominios que alojan la imagen del logotipo (por ejemplo, una CDN) y los servidores de autenticación de Facebook no se han añadido a la lista de permitidos del Walled Garden, por lo que el controlador SmartZone está bloqueando esas solicitudes antes de la autenticación.

Q2. Un ingeniero de redes está implementando 802.1X para el acceso del personal. El servidor RADIUS de Purple devuelve correctamente el atributo `Tunnel-Private-Group-ID` para la VLAN 20. Sin embargo, cuando el personal se conecta, se les asigna la VLAN predeterminada de la WLAN. ¿Cómo se resuelve esto?

Sugerencia: El controlador recibe las instrucciones RADIUS pero decide ignorarlas.

Ver respuesta modelo

Debe habilitar 'AAA Override' en la configuración avanzada de la WLAN en el controlador SmartZone. Sin esta configuración habilitada, el controlador no aplicará los atributos dinámicos de VLAN devueltos por el servidor RADIUS.

Q3. Un espacio de coworking quiere proporcionar WiFi seguro para 10 empresas diferentes. Actualmente difunden 10 SSID independientes, lo que está provocando graves interferencias de canal. No pueden utilizar 802.1X porque muchos dispositivos son impresoras compartidas o televisores inteligentes. ¿Cuál es la arquitectura de Ruckus recomendada?

Sugerencia: Busque una solución que proporcione claves de cifrado únicas sin requerir certificados o credenciales empresariales.

Ver respuesta modelo

Implementar Ruckus Dynamic PSK (DPSK) en un único SSID. Emitir un DPSK único para cada empresa inquilina y configurar el controlador para vincular cada DPSK a una VLAN específica. Esto elimina la saturación de SSID, proporciona aislamiento de red y admite dispositivos sin interfaz de usuario (headless) como impresoras.

Continúe leyendo esta serie

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a gran escala.

Leer la guía →

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía paso a paso de acceso para invitados

Esta guía detalla paso a paso la integración de Cisco WLC y Catalyst 9800 Wireless con Purple, abarcando la redirección al Captive Portal de Guest WiFi mediante Central Web Authentication, WiFi seguro para empleados mediante 802.1X EAP-TLS y segmentación Multi-Tenant mediante Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Está dirigida a arquitectos de redes empresariales y directores de seguridad de TI que despliegan infraestructura de Cisco en el sector hotelero, retail y grandes recintos públicos.

Leer la guía →