Saltar al contenido principal
Español

SonicWall TZ and SonicWave Integration with Purple WiFi

This technical reference details the integration of SonicWall TZ firewalls and SonicWave APs with the Purple WiFi platform. It provides actionable configuration steps for captive portal redirection, walled garden exceptions, 802.1X authentication, and dynamic VLAN steering using Private Pre-Shared Keys (PPSK).

📖 6 min de lectura📝 1,263 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
INTEGRACIÓN DE SONICWALL TZ Y SONICWAVE CON PURPLE WIFI Serie de sesiones técnicas de Purple WiFi Intelligence Platform Duración: Aproximadamente 10 minutos Voz: Inglés del Reino Unido, tono de consultor senior: seguro de sí mismo, conversacional, con autoridad --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Le damos la bienvenida a la serie de sesiones técnicas de Purple. Hoy abordaremos una de las integraciones técnicamente más complejas en el ámbito del WiFi empresarial: los cortafuegos SonicWall TZ y los puntos de acceso SonicWave, implementados junto con Purple para la autenticación de invitados, el control de acceso del personal y el aislamiento de redes multiinquilino. Si usted es ingeniero de seguridad de TI o un MSP que gestiona recintos (hoteles, cadenas minoristas, centros de conferencias o desarrollos de uso mixto), esta sesión es para usted. Vamos a avanzar rápidamente por la arquitectura, los pasos de configuración y los puntos donde suelen fallar las implementaciones. SonicWall es una opción sólida en el sector de las pymes y el mercado medio. Los cortafuegos de la serie TZ se implementan ampliamente y los AP SonicWave se integran de forma nativa a través de SonicOS y el Wireless Network Manager. Al añadir Purple, obtiene una capa de WiFi para invitados gestionada en la nube con páginas de inicio personalizadas, autenticación basada en RADIUS y captura de datos de origen, todo ello sin tener que sustituir su infraestructura de SonicWall existente. Pasemos a analizar la arquitectura. --- SEGMENTO 2: INMERSIÓN TÉCNICA (aproximadamente 5 minutos) Aquí tenemos que cubrir cuatro casos de uso distintos, y cada uno tiene una ruta de configuración diferente. WiFi para invitados con redirección a un Captive Portal. Excepciones de Walled Garden. WiFi seguro para el personal mediante 802.1X. Y aislamiento multiinquilino mediante claves precompartidas privadas de SonicWall (PPSK) con direccionamiento dinámico de VLAN. Comencemos con el WiFi para invitados y el Captive Portal de SonicWall. SonicOS utiliza un mecanismo llamado Lightweight Hotspot Messaging (LHM) para gestionar las redirecciones a Captive Portals externos. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, SonicWall intercepta esa solicitud HTTP y la redirige a la URL de la página de inicio de Purple. El invitado se autentica en la plataforma de Purple (a través de inicio de sesión social, correo electrónico o mediante un clic de aceptación) y Purple envía una autorización LHM de vuelta a SonicWall en el puerto TCP 4043. A continuación, SonicWall abre el acceso a internet para la dirección MAC de ese dispositivo. La configuración en SonicOS 7.x funciona de la siguiente manera. En primer lugar, navegue a Object, luego a Match Objects y después a Zones. Edite la zona asignada a su WiFi de invitados (normalmente una WLAN o una zona personalizada). En Guest Services, active tanto "Enable Guest Services" como "External Guest Authentication". A continuación, vaya a Configure, Guest Services, General. Establezca el Client Redirect Protocol en HTTP. Introduzca el nombre de host del portal de Purple como dirección del servidor web: esto es, portal.purple.ai. Establezca la ruta de redirección a la URL de la página de inicio específica de su recinto, que Purple proporciona en el panel de control del recinto. El puerto es el 4043. En la pestaña Auth Pages, configure la URL de inicio de sesión con la URL del portal externo de Purple. Configure la URL de cierre de sesión si desea gestionar la finalización de la sesión. En la pestaña Advanced, habilite "Allow unauthenticated users to access HTTPS sites" solo si necesita dar soporte a dispositivos que priorizan HTTPS (tenga en cuenta que esto debilita la aplicación de la redirección). Una vez guardado, SonicOS crea automáticamente una política NAT y una regla de acceso WAN-to-WAN que permite TCP 4043. No elimine estas reglas generadas automáticamente. Son las que permiten que se complete el saludo LHM. Ahora, la configuración del Walled Garden. Antes de que un invitado se autentique, su dispositivo debe poder acceder a ciertos dominios para que la splash page funcione. La plataforma de Purple depende de su propia CDN y de sus endpoints de API. Las sondas de detección de Captive Portal del sistema operativo (captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows) deben incluirse en la lista blanca. Si ofrece inicio de sesión social, añada accounts.google.com, oauth2.googleapis.com, apis.google.com y gstatic.com para Google. Añada www.facebook.com, graph.facebook.com, connect.facebook.net y el dominio de CDN fbcdn.net si ofrece inicio de sesión con Facebook. En SonicOS, añada estos dominios como objetos de dirección FQDN en Object, Match Objects, Addresses. A continuación, cree reglas de acceso en la zona de invitados que permitan a los dispositivos no autenticados acceder a estos FQDN. Utilice la resolución DNS dinámica (SonicOS resuelve los objetos FQDN a intervalos regulares) en lugar de entradas de IP estáticas, que variarán a medida que cambien los rangos de IP de la CDN. Pasemos a la configuración de Secure Staff WiFi con 802.1X. Aquí es donde los puntos de acceso SonicWave y el servidor RADIUS de Purple trabajan juntos. El punto de acceso SonicWave actúa como autenticador en el intercambio 802.1X. El suplicante es el dispositivo del empleado. El servidor RADIUS de Purple es el servidor de autenticación. El método EAP que elija dependerá de su proveedor de identidad. Si utiliza Microsoft Entra ID u Okta, PEAP-MSCHAPv2 es la opción más común porque funciona con credenciales de usuario y contraseña. Si ha implementado certificados de dispositivo (que es el enfoque recomendado para dispositivos gestionados), utilice EAP-TLS. En Wireless Network Manager, navegue a Policies, Policy Hierarchy, seleccione su política de AP y haga clic en la pestaña 802.1X. Introduzca la dirección IP del servidor RADIUS de Purple (disponible en su panel de control de sede de Purple, en la sección de configuración de RADIUS). El secreto compartido es generado por Purple y debe coincidir exactamente en ambos lados. Configure el puerto de autenticación en 1812 y el puerto de contabilidad en 1813. Para la configuración de EAP, seleccione el método que coincida con la configuración de su proveedor de identidad. Por parte de Purple, cree una política de RADIUS para la autenticación del personal. Asocie el SSID del personal a una VLAN específica; por ejemplo, la VLAN 200 para el personal. El servidor RADIUS de Purple devuelve la asignación de VLAN utilizando tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en 802 y Tunnel-Private-Group-ID establecido en el ID de la VLAN como una cadena (por lo tanto, "200" para la VLAN 200). El cortafuegos de SonicWall y el AP de SonicWave respetan estos atributos y colocan automáticamente el dispositivo del personal autenticado en la VLAN correcta. Ahora, el caso de uso más interesante desde el punto de vista arquitectónico: PPSK y aislamiento de múltiples inquilinos. Las claves privadas precompartidas (PPSK) le permiten ejecutar un único SSID y asignar a cada inquilino, residente o grupo de usuarios una contraseña única. Cuando un dispositivo se conecta utilizando una PPSK específica, el AP de SonicWave envía esa clave al servidor RADIUS de Purple para su validación. Purple busca la clave, identifica el inquilino o grupo de usuarios asociado y devuelve la asignación de VLAN correspondiente a través del atributo Tunnel-Private-Group-ID. A continuación, el SonicWall dirige ese dispositivo a la VLAN correcta, completamente aislado de otros inquilinos en el mismo SSID. Esto es Identity-Based Networking en la práctica. No está gestionando los SSIDs por inquilino. Está gestionando las identidades por inquilino. En una promoción de uso mixto con diez locales comerciales, un único SSID se emite en todo el edificio. Cada inquilino recibe su propia PPSK. Cada PPSK se asocia a una VLAN y subred dedicadas. Los dispositivos del Inquilino A nunca ven el tráfico del Inquilino B, aunque compartan los mismos puntos de acceso físicos. La configuración de PPSK en SonicOS requiere el modo PPSK basado en RADIUS en el SSID. En el Wireless Network Manager, edite el SSID, configure el modo de seguridad en WPA2-Enterprise con PPSK y apunte el servidor RADIUS a Purple. Purple gestiona la tabla de asignación de PPSK a VLAN de forma centralizada. Cuando añade un nuevo inquilino, crea una nueva PPSK en Purple, le asigna una VLAN y el cambio se propaga a todos los AP de SonicWave en ese centro sin necesidad de tocar la configuración del cortafuegos. --- SEGMENTO 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aproximadamente 2 minutos) Permítame indicarle las tres cosas que más frecuentemente fallan en los despliegues de SonicWall y Purple. Primero: el puerto LHM. El puerto TCP 4043 debe estar abierto desde la WAN hacia la interfaz WAN del SonicWall. Si su ISP o el cortafuegos ascendente bloquean este puerto, el saludo de autorización de LHM nunca se completa y los invitados se quedan bloqueados en la página de inicio (splash page) tras autenticarse. Ven que el inicio de sesión se ha realizado correctamente en el lado de Purple, pero el SonicWall nunca recibe la señal de autorización. Pruebe esto con una comprobación mediante telnet o curl al puerto 4043 desde una IP externa antes de la puesta en marcha. Segundo: el tiempo de resolución de los objetos FQDN. SonicOS resuelve los objetos de dirección FQDN al arrancar y, posteriormente, en un intervalo configurable. Si añade un nuevo dominio de portal cautivo (walled garden) y la resolución aún no se ha actualizado, los dispositivos no autenticados no podrán acceder a él. Fuerce una actualización manual después de añadir nuevos objetos FQDN o configure el intervalo de actualización de DNS en 60 segundos en despliegues con un volumen de tráfico elevado. Tercero: configuración de la subinterfaz VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si las VLAN de destino existen como subinterfaces en el SonicWall antes de que se autentique el primer dispositivo. Si una respuesta de RADIUS devuelve un Tunnel-Private-Group-ID 110 pero la VLAN 110 no existe como subinterfaz en el SonicWall, el dispositivo se desconecta o vuelve a la VLAN predeterminada. Cree y pruebe todas las subinterfaces VLAN antes de habilitar la asignación de VLAN por RADIUS. Para los MSP que gestionan múltiples ubicaciones, el panel de control en la nube de Purple le permite gestionar de forma centralizada las políticas de RADIUS, las tablas PPSK y las configuraciones del portal cautivo. Puede aplicar cambios de configuración en todas las ubicaciones desde una única interfaz. Esa es la ventaja operativa de un enfoque de superposición en la nube: el hardware de SonicWall permanece en su lugar y Purple gestiona la capa de identidad y políticas por encima de este. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Algunas preguntas que surgen con frecuencia. "¿Puedo usar APs SonicWave en modo autónomo con Purple?" Sí, pero perderá algunas funciones. En modo autónomo, los APs SonicWave gestionan su propia configuración de RADIUS de forma local. Aún puede apuntar al servidor RADIUS de Purple para 802.1X. Sin embargo, para PPSK con asignación dinámica de VLAN, necesita el SonicWall TZ como proxy RADIUS o el Wireless Network Manager que gestione la política de AP de forma centralizada. "¿Es compatible Purple con WPA3 en SonicWave?" El soporte de WPA3 en SonicWave depende de la versión del firmware y del modelo de AP. Los AP de la serie SonicWave 600 son compatibles con WPA3. Para casos de uso de portal cautivo, WPA3 con cifrado inalámbrico oportunista es compatible con el flujo de redirección LHM de Purple, pero realice pruebas en su versión específica de firmware antes de implementarlo a gran escala. "¿Cómo gestiona Purple el GDPR para los datos de invitados recopilados a través del portal cautivo?" Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. El consentimiento se registra en el portal cautivo con casillas de verificación de aceptación configurables. Purple almacena los datos de primera parte de acuerdo con su política de retención de datos. Los invitados pueden acceder a sus datos y eliminarlos a través del portal de autoservicio de Purple. "¿Qué atributos RADIUS devuelve Purple para la asignación dinámica de VLAN?" Tres atributos: Tunnel-Type con valor VLAN, Tunnel-Medium-Type con valor 802 y Tunnel-Private-Group-ID con el ID de VLAN como una cadena. Estos son los atributos estándar RFC 2868 compatibles con SonicOS y SonicWave. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. Los firewalls SonicWall TZ y los APs SonicWave se integran con Purple a través de dos mecanismos principales: LHM para la redirección del portal cautivo de invitados y RADIUS para la autenticación de personal 802.1X e aislamiento multiinquilino basado en PPSK. Los pasos clave de configuración son: habilitar la autenticación externa de invitados en la zona de invitados, configurar la URL del portal de Purple en el puerto 4043, crear sus objetos FQDN de walled garden, configurar RADIUS en la política de AP de SonicWave en Wireless Network Manager y crear sus subinterfaces VLAN en el SonicWall antes de habilitar la asignación dinámica de VLAN. Para despliegues multi-inquilino (multi-tenant), la arquitectura ideal es PPSK con redirección de VLAN basada en RADIUS. Un SSID, un conjunto de APs y un aislamiento completo de los inquilinos mediante la asignación de VLAN basada en la identidad. Si está planificando un despliegue o revisando uno existente, el equipo técnico de Purple puede proporcionarle archivos de configuración RADIUS específicos para el establecimiento y listas de dominios para el walled garden. La plataforma Purple da soporte a 80.000 establecimientos activos y ha procesado 440 millones de inicios de sesión en 2024; los patrones de integración que hemos analizado hoy están más que contrastados a gran escala. Gracias por su atención. La guía escrita completa con las tablas de configuración paso a paso y los diagramas de arquitectura de Mermaid está disponible en el sitio web de Purple. --- FIN DEL SCRIPT

header_image.png

Resumen Ejecutivo

La integración de la infraestructura de red de SonicWall con la capa en la nube de Purple proporciona un control de acceso de nivel empresarial junto con una sofisticada captura de datos de origen (first-party). Esta guía cubre la implementación técnica de cuatro casos de uso distintos: WiFi para invitados con redirección a Captive Portal, excepciones de Walled Garden, WiFi seguro para el personal mediante 802.1X y aislamiento multiinquilino (Multi-Tenant) mediante claves precompartidas privadas (PPSK) de SonicWall con direccionamiento dinámico de VLAN.

Procesamos 440 millones de inicios de sesión anualmente en más de 80.000 recintos activos. La arquitectura detallada a continuación está probada a escala en entornos de hostelería, comercio minorista y sector público. Le permite mantener su hardware de SonicWall existente mientras delega la gestión de identidades, el alojamiento de portales cautivos y la autenticación RADIUS en la nube de Purple.

Análisis Técnico Detallado

La integración se basa en dos mecanismos principales: Mensajería Ligera de Hotspot (LHM) para la redirección al Captive Portal, y RADIUS para la autenticación 802.1X y PPSK.

Redirección al Captive Portal mediante LHM

SonicOS utiliza LHM para gestionar las redirecciones a portales cautivos externos. Cuando un dispositivo de invitado no autenticado intenta acceder a Internet, el cortafuegos SonicWall TZ intercepta la solicitud HTTP y redirige al cliente a la página de bienvenida alojada por Purple. El invitado completa el flujo de autenticación (por ejemplo, inicio de sesión social o cumplimentación de un formulario). A continuación, Purple envía un paquete de autorización LHM de vuelta al SonicWall en el puerto TCP 4043. Al recibir este paquete, el SonicWall actualiza su lista de control de acceso interna, permitiendo que la dirección MAC del dispositivo acceda a Internet.

architecture_overview.png

Arquitectura de Walled Garden

Antes de la autenticación, el dispositivo del invitado se mantiene en una zona restringida. El walled garden es el conjunto específico de nombres de dominio completos (FQDN) que el dispositivo tiene permitido consultar para cargar la página de bienvenida y completar el proceso de inicio de sesión. Esto incluye la CDN de Purple (cdn.purple.ai), la API de autenticación (api.purple.ai) y los dominios requeridos por proveedores de identidad de terceros como Google Workspace, Microsoft Entra ID y Meta.

SonicOS implementa los walled gardens mediante objetos de dirección FQDN. El cortafuegos realiza una resolución DNS dinámica sobre estos objetos, actualizando los rangos de IP permitidos de forma automática. Esto es fundamental porque los proveedores de identidad y las CDN utilizan una asignación de IP dinámica; las listas blancas de IP estáticas inevitablemente fallarán.

WiFi seguro para el personal y 802.1X

Para redes de personal, los AP SonicWave actúan como el autenticador 802.1X, enviando las solicitudes de proxy al servidor RADIUS de Purple. Recomendamos EAP-TLS para dispositivos gestionados que utilicen certificados, o PEAP-MSCHAPv2 para la autenticación de usuario/contraseña contra directorios como Microsoft Entra ID. Tras una autenticación correcta, Purple devuelve los atributos RADIUS estándar (Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID) para asignar dinámicamente el dispositivo a la VLAN de personal correcta.

Aislamiento multi-tenant con PPSK

Las redes basadas en identidad eliminan la necesidad de complejas implementaciones multi-SSID. Al utilizar SonicWall PPSK, un único SSID (por ejemplo, "Multi-Tenant-WiFi") se transmite por todo el recinto. Cada tenant recibe una frase de contraseña única. Cuando un dispositivo se asocia mediante una PPSK específica, el AP SonicWave valida la clave contra el servidor RADIUS de Purple. Purple identifica al tenant y devuelve el VLAN ID asociado. A continuación, el SonicWall dirige el tráfico hacia la VLAN aislada del tenant.

ppsk_vlan_diagram.png

Guía de implementación

1. Configuración del Captive Portal de SonicWall (LHM)

Para configurar el Captive Portal externo en una serie SonicWall TZ con SonicOS 7.x:

  1. Vaya a Object > Match Objects > Zones. Edite la zona asignada a su red de invitados (por ejemplo, WLAN).
  2. En la pestaña Guest Services, active Enable Guest Services y External Guest Authentication.
  3. Vaya a Configure > Guest Services > General.
  4. Establezca el Client Redirect Protocol en HTTP.
  5. Establezca la dirección del Web Server en portal.purple.ai.
  6. Establezca el Port en 4043.
  7. En la pestaña Auth Pages, configure la Login URL con la URL específica de la página de inicio (splash page) proporcionada en su panel de control de Purple para el recinto.
  8. Guarde la configuración. SonicOS generará automáticamente una política NAT y una regla de acceso WAN-to-WAN para permitir el puerto TCP 4043. No modifique estas reglas generadas automáticamente.

2. Creación del Walled Garden

Cree objetos de dirección FQDN para los dominios requeridos y agréguelos a un grupo de direcciones. Aplique este grupo a una regla de permiso en su zona de invitados.

Dominios requeridos de Purple:

  • *.purple.ai
  • *.purpleportal.net

Sondeos de Captive Portal de SO:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Dominios comunes de inicio de sesión social (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. Configuración de RADIUS para APs SonicWave

Para integrar los AP SonicWave con Purple RADIUS a través de Wireless Network Manager:

  1. Vaya a Policies > Policy Hierarchy y seleccione su política de AP.
  2. Seleccione la pestaña 802.1X.
  3. Introduzca la dirección IP del servidor RADIUS de Purple (la encontrará en su panel de control de Purple).
  4. Introduzca el secreto compartido generado por Purple.
  5. Establezca el Authentication Port en 1812 y el Accounting Port en 1813.
  6. Seleccione el método EAP adecuado según su proveedor de identidad.

4. Configuración de la asignación dinámica de VLAN (Dynamic VLAN Steering)

Asegúrese de que las VLAN de destino existan como subinterfaces en el firewall SonicWall TZ antes de habilitar la asignación dinámica.

En el panel de control de Purple, asocie el grupo de usuarios o PPSK con el ID de VLAN de destino. Purple devolverá los siguientes atributos tras una autenticación correcta:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID] (por ejemplo, "110")

Buenas prácticas

  • Comprobar la visibilidad del puerto LHM: El puerto TCP 4043 debe estar accesible desde internet hacia la interfaz WAN de SonicWall. Pruebe esto con un escáner de puertos externo antes de la puesta en marcha. Si el ISP bloquea este puerto, el paquete de autorización se descartará y los invitados se quedarán bloqueados en el Captive Portal.
  • Preconfigurar las subinterfaces VLAN: La asignación dinámica de VLAN fallará de forma silenciosa si la subinterfaz VLAN de destino no está configurada en el SonicWall antes del evento de autenticación. El dispositivo volverá a la VLAN sin etiquetar predeterminada.
  • Forzar OAuth basado en web: Asegúrese de que la configuración de su Captive Portal fuerce los flujos de OAuth basados en web. Los enlaces profundos (deep-linking) a aplicaciones de redes sociales nativas (como la aplicación de Facebook para iOS) suelen interrumpir la secuencia del Captive Portal porque el tráfico de la aplicación nativa está bloqueado por el walled garden.
  • Optimizar los intervalos de actualización de DNS: SonicOS resuelve los objetos FQDN periódicamente. En entornos de alta rotación, como estadios o centros de transporte, establezca el intervalo de actualización de DNS para los objetos del walled garden en 60 segundos para garantizar que los cambios de IP de la CDN se registren con precisión.

Resolución de problemas y mitigación de riesgos

Síntoma: El invitado completa el inicio de sesión en el Captive Portal pero no tiene acceso a internet. Causa: El paquete de autorización LHM en el puerto TCP 4043 no llega al SonicWall. Resolución: Verifique que exista la regla de acceso WAN a WAN generada automáticamente. Compruebe si los routers del ISP de subida están bloqueando el puerto. Asegúrese de que la IP WAN de SonicWall esté correctamente registrada en el panel de control de Purple.

Síntoma: El Captive Portal no se carga o los botones de inicio de sesión social devuelven errores de CORS. Causa: Configuración incompleta del walled garden. Resolución: Conecte un dispositivo de prueba en estado no autenticado. Utilice las herramientas de desarrollo del navegador (pestaña Red) para identificar las solicitudes HTTPS bloqueadas. Añada los dominios que fallan como objetos de dirección FQDN en SonicOS.

Síntoma: Los dispositivos del personal se autentican mediante 802.1X pero reciben una dirección IP de la VLAN predeterminada en lugar de la VLAN asignada. Causa: La subinterfaz VLAN de destino no existe en el SonicWall o los atributos RADIUS están mal formados. Resolución: Verifique que la subinterfaz VLAN esté activa. Revise los registros de RADIUS de Purple para confirmar que Tunnel-Private-Group-ID se está enviando como un valor de cadena que coincide con el ID de VLAN.

ROI e impacto empresarial

La implementación de la infraestructura de SonicWall con Purple transforma lo que habitualmente es un centro de costes de red en un activo empresarial medible.

Para una cadena de tiendas con 200 ubicaciones, pasar de claves precompartidas genéricas a un Captive Portal de marca propia suele generar un aumento del 40 % en los perfiles de clientes conocidos en un plazo de seis meses. Estos datos de origen (first-party data) se integran directamente en los sistemas CRM, lo que impulsa campañas de marketing dirigidas y aumenta las visitas repetidas.

En entornos de múltiples inquilinos, como espacios de coworking o residencias de estudiantes, PPSK con direccionamiento VLAN dinámico elimina la carga operativa de gestionar hardware dedicado por inquilino. Despliega una sola red física y la segmenta lógicamente mediante identidad. Esto reduce el gasto de capital en hardware hasta en un 60 % mientras se mantiene un aislamiento de red estricto y conforme con ISO 27001.

Definiciones clave

Lightweight Hotspot Messaging (LHM)

Un protocolo utilizado por SonicWall para comunicarse con Captive Portals externos. Gestiona el direccionamiento y el saludo de autorización.

Requerido para integrar SonicOS con plataformas de WiFi para invitados gestionadas en la nube como Purple.

Walled Garden

Un conjunto específico de dominios o direcciones IP a los que se permite acceder a los dispositivos no autenticados.

Crítico para permitir que los dispositivos de los invitados carguen la página de bienvenida, accedan a las CDN y completen los flujos OAuth de inicio de sesión social antes de obtener acceso total a internet.

Private Pre-Shared Key (PPSK)

Un método de seguridad en el que múltiples contraseñas únicas son válidas en un único SSID, estando cada contraseña vinculada a un usuario o política específicos.

Utilizado en entornos multiinquilino para aislar el tráfico sin transmitir múltiples SSIDs.

Captive Network Assistant (CNA)

El mecanismo integrado del sistema operativo (en iOS, Android, Windows) que detecta un Captive Portal y abre automáticamente una ventana de navegador limitada para la autenticación.

Si los dominios de prueba del sistema operativo (por ejemplo, captive.apple.com) no están en el walled garden, el CNA no se activará y los invitados pensarán que el WiFi no funciona.

Dynamic VLAN Steering

El proceso de asignar un dispositivo a una VLAN específica en función de su identidad o credenciales, en lugar del SSID al que se conectó.

Gestionado por Purple RADIUS que devuelve el atributo Tunnel-Private-Group-ID a SonicWall.

FQDN Address Object

Un objeto de cortafuegos basado en un nombre de dominio completo (Fully Qualified Domain Name) en lugar de una dirección IP estática.

SonicOS resuelve estos objetos de forma dinámica, lo que los hace esenciales para configuraciones sólidas de walled garden.

Identity-Based Network

Una arquitectura de red donde las políticas de acceso y la segmentación se aplican en función del usuario o dispositivo autenticado, en lugar de los puertos físicos o SSIDs.

Se logra combinando Purple RADIUS con SonicWall PPSK y 802.1X.

Tunnel-Private-Group-ID

El atributo estándar RADIUS RFC 2868 utilizado para especificar el identificador de VLAN (VLAN ID) para un dispositivo que se conecta.

Debe ser devuelto por Purple como un valor de cadena (por ejemplo, '100') para indicar a SonicWall que dirija el dispositivo.

Ejemplos prácticos

A 150-room hotel (Premier Inn) needs to provide free Guest WiFi via a splash page and a secure Staff WiFi network for housekeeping devices. They have a SonicWall TZ570 and 40 SonicWave APs. How should they segment this traffic?

Deploy two SSIDs. SSID 1: 'Guest-WiFi' mapped to VLAN 100. Configure the SonicWall WLAN zone for External Guest Authentication pointing to portal.purple.ai on TCP 4043. Configure the walled garden FQDNs for Purple and social logins. SSID 2: 'Staff-WiFi' mapped to VLAN 200 using 802.1X. Point the SonicWave AP policy to Purple's RADIUS server. Configure Purple to authenticate housekeeping devices via MAC address bypass (MAB) or PEAP-MSCHAPv2, returning Tunnel-Private-Group-ID '200'.

Comentario del examinador: This approach strictly isolates untrusted guest traffic from operational systems. Using Purple for both the Captive Portal and RADIUS authentication centralises identity management. MAB is appropriate for headless devices (like cleaning carts), while 802.1X secures staff phones.

A coworking space manages 15 different companies sharing one open-plan office. They want to provide secure, isolated networks for each company without broadcasting 15 different SSIDs from their SonicWave APs.

Deploy a single SSID named 'Workspace-Secure' using WPA2-Enterprise with PPSK. Create 15 VLAN sub-interfaces on the SonicWall TZ firewall (e.g., VLANs 101-115). In the Purple dashboard, generate a unique PPSK for each company and map it to their specific VLAN ID. When a user connects using their company's PPSK, Purple RADIUS returns the corresponding Tunnel-Private-Group-ID, and the SonicWall steers the device into the isolated VLAN.

Comentario del examinador: This Identity-Based Network design scales cleanly. Broadcasting 15 SSIDs would cause severe management frame overhead and degrade WiFi performance. PPSK provides the security of unique credentials and the isolation of dedicated VLANs without the RF penalty of multiple SSIDs.

Preguntas de práctica

Q1. Has configurado la zona de invitados de SonicWall para la Autenticación de Invitados Externa y has establecido el servidor web en portal.purple.ai. Los invitados son redirigidos a la splash page y pueden iniciar sesión correctamente, pero nunca obtienen acceso a internet. ¿Cuál es la causa más probable?

Sugerencia: Piensa en cómo Purple indica al SonicWall que la autenticación se ha realizado correctamente.

Ver respuesta modelo

El paquete de autorización LHM está siendo bloqueado. El puerto TCP 4043 debe estar abierto en la interfaz WAN de SonicWall para recibir la señal de éxito de Purple. Comprueba los firewalls ascendentes o las configuraciones del ISP para verificar si hay bloqueo de puertos.

Q2. Un establecimiento desea ofrecer inicio de sesión con Facebook en su splash page. Añades www.facebook.com al grupo de direcciones FQDN del walled garden. Los invitados informan de que la página de inicio de sesión de Facebook se carga, pero el diseño está dañado y el botón de inicio de sesión no funciona.

Sugerencia: Las aplicaciones web modernas cargan recursos desde múltiples dominios.

Ver respuesta modelo

El walled garden está incompleto. También debes incluir en la lista blanca los dominios que sirven el CSS, JavaScript y las llamadas API de Facebook, específicamente graph.facebook.com, connect.facebook.net y el dominio CDN (por ejemplo, *.fbcdn.net).

Q3. Estás desplegando PPSK para una oficina multiinquilino. Configuras el SSID para WPA2-Enterprise con PPSK y apuntas el servidor RADIUS a Purple. Creas una PPSK en Purple asignada a la VLAN 50. Cuando un usuario se conecta con esa PPSK, recibe una dirección IP de la VLAN 10 en su lugar. ¿Por qué?

Sugerencia: El SonicWall necesita saber a dónde enviar el tráfico antes de que se complete la solicitud RADIUS.

Ver respuesta modelo

La VLAN 50 no se ha creado como una subinterfaz en el firewall SonicWall TZ. El direccionamiento dinámico de VLAN requiere que la VLAN de destino exista previamente en el firewall; si no existe, el dispositivo vuelve a la VLAN por defecto sin etiquetar (en este caso, la VLAN 10).

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →