Ruckus Unleashed y WiFi de invitados: configuración de Captive Portal con Purple

Bienvenido al Purple Technical Briefing. Soy su anfitrión y hoy analizaremos un patrón de despliegue muy habitual en prácticamente todos los proyectos de WiFi empresarial a gran escala que gestionamos: la integración de CommScope Ruckus con la plataforma en la nube de Purple. Tanto si dirige un grupo hotelero como una red de tiendas, un estadio o un palacio de congresos, este episodio le proporcionará el manual de configuración que necesita. Pongámonos en situación. Ruckus -ahora bajo el paraguas de CommScope- es una de las plataformas de WiFi empresarial líderes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad. Hoteles como Premier Inn, grandes cadenas de distribución, estadios y centros de convenciones utilizan la infraestructura de Ruckus. Al desplegar WiFi de invitados a esa escala, se necesita algo más que un SSID abierto. Se requiere una autenticación estructurada, una captura de datos conforme al GDPR y la capacidad de integrar esa información de los invitados en su stack de marketing. Ahí es exactamente donde interviene Purple. Purple opera en más de 80.000 recintos activos, ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. La integración con Ruckus es uno de nuestros patrones de despliegue más maduros. Ahora bien, Ruckus cuenta con tres plataformas de controlador distintas que debe conocer antes de tocar cualquier pantalla de configuración. SmartZone -disponible como un dispositivo físico SZ300 o virtual vSZ- es el controlador empresarial para despliegues multisitio de gran envergadura. Administra miles de puntos de acceso en múltiples zonas, ofrece un control exhaustivo de políticas y es compatible con toda la variedad de métodos de autenticación que analizaremos hoy. ZoneDirector es el controlador local heredado -aún muy implantado, sobre todo en el sector de la hostelería- y admite el mismo flujo de Captive Portal basado en WISPr, aunque con una ruta de configuración ligeramente diferente. Y Unleashed es el modelo sin controlador, en el que un AP actúa como maestro para un máximo de 128 equipos. Es idóneo para despliegues más pequeños en un solo centro: hoteles independientes, tiendas minoristas, oficinas de pymes. Muy bien. Entremos en los detalles técnicos. Analizaré tres casos de uso distintos: WiFi de invitados con redirección de Captive Portal, WiFi seguro para el personal mediante 802.1X y aislamiento de red multi-tenant mediante PSK dinámicas de Ruckus. Comencemos con el WiFi de invitados. La arquitectura aquí consiste en un flujo de hotspot basado en WISPr. WISPr -Wireless Internet Service Provider roaming- es un estándar del sector que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID. Su dispositivo envía una solicitud HTTP. SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo, en este caso, el Captive Portal de Purple. El invitado se autentica -a través de redes sociales, correo electrónico, SMS o un formulario personalizado- y, a continuación, el portal se comunica de vuelta con el controlador a través de la interfaz Northbound, o NBI, para conceder el acceso. En SmartZone, la configuración consta de cuatro componentes principales. En primer lugar, el perfil del servidor de autenticación RADIUS. Diríjase a Services and Profiles, luego a Authentication. Cree un nuevo perfil de servidor AAA. Establezca el Service Protocol en RADIUS. El IP del servidor primario y el secreto compartido se proporcionan en la consola de administración de Purple. Utilice el puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de respaldo para mayor redundancia. A continuación, cree el servidor de contabilidad en Services and Profiles, Accounting - puerto 1813, con el mismo secreto compartido. En segundo lugar, el perfil Hotspot WISPr. Vaya a Services and Profiles, Hotspots and Portals, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL en External e introduzca la URL de redirección de su portal. Configure la Start Page para redirigir a su URL posterior a la autenticación - normalmente una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde los ingenieros suelen cometer más errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un usuario invitado antes de haberse autenticado. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal, y los endpoints estándar de detección de Captive Portal de los sistemas operativos. En SmartZone, los comodines se admiten utilizando el formato asterisco punto - de modo que *.purple.ai cubre todos los subdominios. También necesita el dominio de detección de Captive Portal de Apple - captive.apple.com - y los endpoints de comprobación de conectividad de Google para evitar que el mini-navegador CNA funcione incorrectamente en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto: por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. Purple necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Es un solo comando, pero es un obstáculo insalvable si lo omite. La interfaz Northbound (NBI) es la otra pieza esencial. Esta es la API que permite a Purple comunicarse de vuelta con SmartZone para conceder o denegar el acceso después de la autenticación. Actívela en Administration, External Services, WISPr Northbound Interface. Configure un nombre de usuario y una contraseña, y proporcione esas credenciales a Purple. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS - asegúrese de que su cortafuegos permita conexiones entrantes desde el rango de IP de Purple a estos puertos. Finalmente, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de contabilidad y autenticación RADIUS. Establezca el NAS ID en User-defined si Purple requiere un valor específico, configure Called Station ID como AP MAC y habilite Single Session ID. Para Unleashed, la arquitectura es fundamentalmente diferente: es un modelo distribuido y sin controlador. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son a grandes rasgos similares: crear un servicio de Hotspot, configurar la URL del portal externo, configurar el servidor de autenticación AAA y añadir las entradas de Walled Garden; pero existen dos diferencias clave. No hay ningún requisito de Northbound Interface en Unleashed. Además, el cifrado de direcciones MAC no se aplica por defecto, por lo que no es necesario el comando de la CLI. El Walled Garden de Unleashed también acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodines. Pasemos ahora a Secure Staff WiFi utilizando 802.1X. Este es un modelo de autenticación completamente diferente. En lugar de un Captive Portal, los dispositivos del personal se autentican directamente utilizando el Protocolo de Autenticación Extensible (EAP). El método más común en entornos empresariales es PEAP-MSCHAPv2, donde el usuario introduce sus credenciales de Active Directory, o EAP-TLS, donde el dispositivo presenta un certificado. El complemento SecurePass de Purple se integra con Microsoft Entra ID, Okta y Google Workspace para actuar como backend RADIUS para este flujo. En SmartZone, cree una nueva WLAN y establezca el Authentication Type en 802.1X EAP. En la configuración de AAA, apunte a su servidor RADIUS: el endpoint de SecurePass de Purple. La diferencia clave con respecto al flujo de invitados es que aquí también se configura la asignación dinámica de VLAN. Cuando el servidor RADIUS de Purple devuelve un Access-Accept, incluye tres atributos estándar de la IETF: Tunnel-Type configurado en VLAN, valor 13; Tunnel-Medium-Type configurado en IEEE-802, valor 6; y Tunnel-Private-Group-ID que contiene la cadena del ID de la VLAN (por ejemplo, veinte para la VLAN de personal). SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del miembro del personal con la VLAN correcta, independientemente del AP al que esté conectado. Esto es el direccionamiento dinámico de VLAN, y es lo que permite que un único SSID sirva a múltiples roles de usuario con diferentes políticas de acceso a la red. Habilite AAA Override en la configuración avanzada de la WLAN para asegurarse de que SmartZone procese los atributos de VLAN devueltos por RADIUS. Sin esa casilla de verificación, la asignación dinámica no funcionará aunque el servidor RADIUS esté enviando los atributos correctos. El tercer caso de uso es el aislamiento multiinquilino mediante Ruckus Dynamic PSK (o DPSK). Se trata de una tecnología patentada por Ruckus que asigna una contraseña WPA2 única a cada usuario o inquilino, todo en un único SSID. A diferencia de una PSK compartida donde todos usan la misma contraseña, DPSK significa que el inquilino A tiene una clave única de 62 caracteres, el inquilino B tiene una diferente, y así sucesivamente. Cada clave está vinculada a una VLAN específica, por lo que el tráfico del inquilino A termina en la VLAN 101 y el del inquilino B en la VLAN 102: aislamiento completo, sin riesgo de contraseña compartida y revocación instantánea sin afectar a otros inquilinos. Esto es especialmente útil en espacios de coworking, edificios residenciales de alquiler, residencias de estudiantes y parques comerciales multiinquilino. Purple se integra con Ruckus DPSK a través de la API de SmartZone para automatizar la provisión de claves: cuando se incorpora un nuevo inquilino en Purple, se genera una DPSK, se vincula a la VLAN correcta y se entrega al inquilino automáticamente. Para configurar DPSK en SmartZone: vaya a WLANs, añada una nueva WLAN y, en Security, establezca el método como Dynamic PSK. Establezca la longitud de DPSK en 62 caracteres para lograr la máxima entropía. En VLAN, habilite Per-DPSK VLAN assignment. A continuación, utilice la API de SmartZone o la interfaz de gestión de DPSK para crear claves individuales por inquilino, cada una de ellas asignada a su propio ID de VLAN. En Unleashed, la misma función está disponible en WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 es la variante WPA3, que ofrece un cifrado más sólido basado en SAE. Si su flota de AP admite WPA3 - algo que hacen todos los AP Ruckus de la serie R actuales - DPSK3 es la opción preferida para nuevas implementaciones. Permítame guiarle a través de dos escenarios de implementación del mundo real que ilustran cómo se combinan estos tres casos de uso. Primer escenario: un hotel de 250 habitaciones. El establecimiento dispone de Ruckus SmartZone con puntos de acceso R750 en todas sus instalaciones. Necesitan tres tipos de red: WiFi para huéspedes, WiFi seguro para el personal (tanto para atención al público como para administración) y una red IoT para los controles inteligentes de las habitaciones y la videovigilancia. La WLAN de invitados utiliza el flujo WISPr Captive Portal con Purple. Los huéspedes se conectan, son redirigidos a un portal de Purple personalizado con la marca, se autentican mediante correo electrónico o inicio de sesión social y acceden a la VLAN 10. El portal recopila datos de origen (correo electrónico, consentimiento de marketing, preferencias de estancia) que se envían directamente al CRM del hotel. El panel de analítica de Purple muestra al hotel qué plantas tienen las tasas de conexión más altas, las horas de mayor uso y las tasas de visitantes recurrentes. Premier Inn implantó este modelo en todas sus instalaciones del Reino Unido y observó mejoras cuantificables en las puntuaciones de satisfacción de los huéspedes directamente relacionadas con la experiencia WiFi. La WLAN de personal utiliza 802.1X con SecurePass de Purple. El personal se autentica con sus credenciales de Active Directory mediante PEAP-MSCHAPv2. El personal de recepción accede a la VLAN 20 con acceso al sistema de gestión hotelera. El personal de administración accede a la VLAN 21 con acceso exclusivo a los sistemas de recursos humanos y planificación. La asignación de VLAN se realiza íntegramente mediante los atributos RADIUS que devuelve Purple, sin necesidad de configurar los puertos manualmente. Cuando un miembro del personal deja la empresa, su cuenta se deshabilita en Microsoft Entra ID y el acceso se revoca al instante en todas las propiedades. La WLAN IoT utiliza una PSK estática, aislada en la VLAN 30, con el aislamiento de clientes habilitado. Los termostatos inteligentes, las cerraduras de las puertas y las cámaras de videovigilancia se encuentran aquí, completamente separados del tráfico de huéspedes y de personal. Segundo escenario: un espacio de co-working con 15 empresas inquilinas. Aquí es donde DPSK realmente se gana su lugar. El operador ejecuta Ruckus Unleashed en tres plantas. Cada empresa inquilina obtiene un DPSK único vinculado a su propia VLAN. Los 20 empleados del Inquilino A utilizan la misma frase de paso DPSK-A, pero esa frase de paso es única para el Inquilino A y se asigna únicamente a la VLAN 101. El Inquilino B utiliza DPSK-B, asignándose a la VLAN 102. Los inquilinos están completamente aislados entre sí a nivel de red. Cuando un inquilino se va, el operador revoca su DPSK en SmartZone - o a través de la interfaz de gestión de Purple - y eso es todo. Ningún otro inquilino se ve afectado, no se requieren cambios de SSID ni restablecimientos de contraseñas en todo el edificio. La capa de gestión multi-inquilino de Purple se sitúa por encima de esto, ofreciendo al operador del co-working un único panel de control para gestionar el registro, la revocación de accesos y las analíticas de uso de los 15 inquilinos. Ahora permítame cubrir los fallos más comunes y cómo evitarlos. Número uno: desconfiguración de Walled Garden. Si su página del portal no se carga tras la redirección, lo primero que debe comprobar es si todos los dominios a los que hace referencia su página del portal están en el walled garden. Las páginas de portal modernas cargan recursos de múltiples dominios CDN, scripts de analítica y SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. Purple proporciona una lista documentada de walled garden para SmartZone y Unleashed - utilícela como base y añada encima cualquier dominio específico del establecimiento. Número dos: el problema de conectividad NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa más probable es que SmartZone no pueda recibir la llamada de retorno (callback) NBI de Purple. Compruebe que los puertos 9080 y 9443 estén abiertos para tráfico entrante hacia la IP de gestión de SmartZone desde el rango de IPs de Purple. Compruebe también que las credenciales NBI que ha configurado coinciden con las que Purple tiene registradas. Número tres: la falta del comando no encrypt-mac-ip. Este es el error específico de SmartZone más común. Si Purple recibe solicitudes de redirección pero no puede asociar la sesión a una dirección MAC, esta es casi seguro la causa. Se soluciona con una sola línea en la CLI, pero es fácil de pasar por alto porque no aparece en la GUI. Número cuatro: AAA Override no habilitado para VLAN dinámica. Si el personal se autentica correctamente en 802.1X pero todos acaban en la misma VLAN por defecto en lugar de su VLAN específica por rol, compruebe que AAA Override esté habilitado en la configuración avanzada de la WLAN. Este es el interruptor que le indica a SmartZone que respete los atributos de VLAN devueltos por el servidor RADIUS.Número cinco: la VLAN de DPSK no se propaga. Si los usuarios de DPSK se están autenticando pero no acceden a la VLAN correcta, verifique que la asignación de VLAN por DPSK esté habilitada en la configuración de la WLAN y que los puertos del switch conectados a sus AP estén configurados como puertos troncales que transporten todas las VLAN de DPSK. Si el puerto del switch es un puerto de acceso, se eliminará el etiquetado de VLAN. Ahora, tres preguntas rápidas que me hacen en cada implementación de Ruckus y Purple. ¿Necesito una VLAN dedicada para el WiFi de invitados? Sí, siempre. Aísle el tráfico de invitados en una VLAN dedicada. Este es un requisito de seguridad y un factor a tener en cuenta para el cumplimiento de PCI-DSS si su establecimiento procesa pagos con tarjeta en la misma red. Habilite el aislamiento de clientes en la WLAN de invitados para evitar que los dispositivos de los invitados se comuniquen entre sí. ¿Puedo usar Purple con Ruckus One - la plataforma gestionada en la nube - en lugar de SmartZone? Sí. La ruta de configuración es diferente - se encuentra en Redes WiFi, configuración de Acceso de invitados en el portal de Ruckus One -, pero los principios de configuración del walled garden y de RADIUS son idénticos. ¿Admite Purple las implementaciones multizona de SmartZone? Sí. La integración de Purple gestiona entornos SmartZone multizona, y puede delimitar las configuraciones del portal a zonas individuales para diferentes establecimientos o plantas dentro de una única instancia de SmartZone. Para terminar. La integración de Ruckus y Purple cubre tres casos de uso distintos, cada uno con su propio modelo de configuración. El WiFi de invitados utiliza el flujo de Captive Portal WISPr - cinco puntos de configuración clave: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un walled garden delimitado correctamente mediante entradas con comodines, el comando de CLI no encrypt-mac-ip y la Northbound Interface habilitada con las credenciales correctas. El WiFi seguro para el personal utiliza 802.1X EAP con direccionamiento dinámico de VLAN mediante atributos RADIUS - el habilitador crítico es AAA Override en la configuración avanzada de WLAN. El aislamiento multi-tenant utiliza Ruckus DPSK - claves únicas por tenant, cada una vinculada a una VLAN dedicada, con revocación instantánea y cero riesgos de contraseñas compartidas. Si define correctamente estos tres patrones, tendrá una arquitectura de red que escala desde un hotel independiente de 50 habitaciones con Unleashed hasta un estadio de 5000 asientos con SmartZone, con la misma plataforma Purple por encima de todo ofreciendo análisis unificados, captura de datos que cumple con el GDPR y gestión de acceso centralizada. Si está planeando una implementación de Ruckus con Purple, el equipo de incorporación técnica puede guiarle a través de una lista de verificación previa al lanzamiento y validar su configuración antes de la puesta en marcha. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión - lo que le brinda la visibilidad necesaria para detectar problemas antes que sus invitados. Gracias por su atención. Hasta la próxima.