Allied Telesis TQ Series AP y guest WiFi: configuración de captive portal con Purple

Usted es un consultor sénior de redes que habla con el director de TI de un cliente en una sesión informativa privada. Hable en un español mexicano profesional, con un tono seguro, autoritario y conversacional. Ritmo pausado, dicción clara. Sin palabras de relleno. Pausas naturales ocasionales para enfatizar: Bienvenido a esta sesión informativa técnica sobre la integración de los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Lo guiaré a través de todo el panorama de implementación, desde la redirección del Captive Portal de invitados hasta el aislamiento de PPSK multi-tenant. Al finalizar, tendrá una ruta de implementación clara. [pausa media] Comencemos con el contexto. Allied Telesis produce la serie TQ, que incluye los puntos de acceso WiFi 6 TQ5403 y TQ6702 GEN2. Estos son AP de nivel empresarial que ejecutan el firmware AlliedWare Plus y se implementan ampliamente en entornos de hotelería, comercio minorista y sector público. Purple es una plataforma de superposición en la nube independiente del hardware que opera en más de 80,000 establecimientos y gestionó 440 millones de inicios de sesión en 2024. La integración entre estas dos plataformas es limpia, basada en estándares y lista para producción. [pausa media] Ahora, lo primero que la mayoría de los equipos de TI deben configurar es la redirección del Captive Portal de invitados. El AP de Allied Telesis admite tres modos de Captive Portal: clic directo, autenticación RADIUS y redirección a página externa. Para la integración con Purple, utilizará el modo de redirección a página externa. Así es como funciona en la práctica. Inicie sesión en la interfaz gráfica de usuario del dispositivo AP, vaya a Wireless, seleccione el VAP correspondiente, vaya a Advanced Settings y luego a la pestaña Security. Establezca el Captive Portal en External Page Redirect. En el campo de URL de la página externa, ingrese la URL de la página de inicio de Purple que se proporciona en su panel de Purple. Esa es la URL a la que llegarán sus invitados cuando se conecten por primera vez. [pausa corta] Ahora, el AP intercepta el primer paquete HTTP o HTTPS de cada nuevo cliente y redirecciona ese tráfico a su página de inicio de Purple. El invitado se autentica a través de Purple, y el servidor RADIUS de Purple envía un Access-Accept de regreso al AP. El AP entonces otorga acceso a la red. [pausa media] Para la configuración de RADIUS, Purple le proporciona una dirección IP del servidor RADIUS, un secreto compartido y el puerto de autenticación, que es UDP 1812. El registro de actividad se ejecuta en el puerto UDP 1813. Estos se configuran en Network Services y luego en RADIUS en la interfaz gráfica del AP. El identificador NAS debe configurarse con la IP de administración del AP o con un nombre de host descriptivo. El RADIUS-as-a-Service de Purple maneja el backend de autenticación, por lo que no necesita ejecutar su propia infraestructura RADIUS. [pausa corta] Una de las cosas que se deben configurar correctamente es el Walled Garden. Antes de que un invitado se autentique, el AP bloquea todo el tráfico excepto a los destinos permitidos. Debe agregar los dominios de la plataforma de Purple al walled garden para que la página de bienvenida cargue correctamente. Como mínimo, agregue a la lista de permitidos el dominio de la página de bienvenida de Purple, cualquier endpoint de CDN que Purple use para recursos y cualquier proveedor de inicio de sesión social que haya habilitado, como Google o Facebook. Esto se configura en el mismo panel de Configuración Avanzada de VAP bajo Walled Garden. [medium pause] Pasemos a Staff WiFi usando 802.1X. Aquí es donde se configura WPA Enterprise en un VAP independiente. En la GUI del AP, seleccione WPA Enterprise en el menú desplegable de Seguridad, luego apunte el Grupo de Autenticación RADIUS a su servidor RADIUS externo, que en este caso es el servicio SecurePass de Purple o su propio RADIUS respaldado por Microsoft Entra ID u Okta. Los dispositivos del personal se autentican mediante EAP-PEAP con MSCHAPv2, o EAP-TLS con certificados para entornos de mayor seguridad. El AP actúa como el autenticador 802.1X, reenviando las credenciales al servidor RADIUS y aplicando la respuesta. [short pause] Para la asignación dinámica de VLAN en la red del personal, debe habilitar la VLAN Dinámica en la configuración de Seguridad Avanzada del VAP. Cuando el servidor RADIUS devuelve un Access-Accept, incluye tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en IEEE 802 y Tunnel-Private-Group-Id establecido en el ID de la VLAN. El AP lee estos atributos y coloca automáticamente el dispositivo autenticado en la VLAN correcta. Este es el mecanismo definido en RFC 3580 y funciona de manera consistente en todo el hardware de Allied Telesis. [medium pause] Ahora hablemos de la capacidad más interesante para implementaciones multi-tenant: PPSK de Allied Telesis, o Private Pre-Shared Key. A esto a veces se le llama iPSK en otras plataformas. El concepto es sencillo. Tiene un único SSID, pero cada tenant o grupo de usuarios obtiene una contraseña única. Cuando un dispositivo se conecta, el AP envía esa contraseña al servidor RADIUS como el campo de contraseña en un RADIUS Access-Request. El servidor RADIUS hace coincidir la contraseña con un registro de usuario y devuelve un Access-Accept con un atributo Tunnel-Private-Group-Id que especifica la VLAN para ese tenant. [short pause] De modo que, en un edificio de uso mixto, el Tenant A en el local comercial se conecta con su contraseña y accede a la VLAN 100. El restaurante en la planta baja usa una contraseña diferente y accede a la VLAN 300. El WiFi para invitados del edificio usa una tercera contraseña y accede a la VLAN 400, donde el Captive Portal de Purple está activo. Todo esto funciona en un solo SSID. Sin proliferación de SSID. Limpio, escalable y fácil de administrar. [medium pause] Por el lado de Purple, usted configura los registros de usuario PPSK en el panel de Purple o a través de la interfaz de RADIUS-as-a-Service. Cada inquilino obtiene una contraseña única asignada a un VLAN ID. El servidor RADIUS de Purple maneja la coincidencia y devuelve el Tunnel-Private-Group-Id correcto. Cuando necesite revocar el acceso de un inquilino, simplemente elimine o deshabilite su registro PPSK en Purple. El AP aplica el cambio en el próximo intento de autenticación. [medium pause] Permítame presentarle dos escenarios del mundo real donde esto es importante. Primero, un hotel de conferencias de 250 habitaciones. El hotel opera tres redes: WiFi para huéspedes con página de inicio de Purple y login social, WiFi para el personal en 802.1X vinculada a Active Directory a través de Microsoft Entra ID, y una red para delegados de conferencias para eventos. Los AP Allied Telesis TQ6702 GEN2 manejan las tres redes en VAP independientes con VLAN independientes. Purple administra la página de inicio para huéspedes, recopila datos de origen para el CRM del hotel y proporciona análisis sobre periodos de uso pico. El equipo de TI del hotel administra la red del personal a través de SecurePass de Purple sin mantener un servidor RADIUS independiente en el sitio. [short pause] Segundo escenario: un parque comercial con 12 inquilinos independientes. El propietario desea ofrecer WiFi como servicio a cada inquilino sin darles acceso al tráfico de los demás. Despliegan AP Allied Telesis en todo el sitio con un único SSID. Cada inquilino recibe un PPSK único. El servidor RADIUS de Purple asigna cada PPSK a una VLAN dedicada. El propietario puede incorporar a un nuevo inquilino en menos de diez minutos creando un nuevo registro PPSK en Purple y entregando la contraseña al inquilino. No se requiere reconfiguración del AP. [medium pause] Ahora, algunos errores comunes que se deben evitar. El problema más común que vemos son los walled gardens mal configurados. Si olvida agregar un endpoint CDN de Purple a la lista blanca, la página de inicio se cargará parcialmente o fallará en ciertos dispositivos. Realice pruebas con un dispositivo nuevo que no tenga DNS en caché antes de la puesta en marcha. Segundo, discrepancias en el secreto compartido de RADIUS. El secreto configurado en el AP debe coincidir exactamente con el secreto en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter provoca fallas de autenticación silenciosas. Utilice un administrador de contraseñas para generar y almacenar el secreto. Tercero, la VLAN dinámica no se habilita. En los AP Allied Telesis, la VLAN dinámica está desactivada de forma predeterminada incluso cuando WPA Enterprise está activo. Debe habilitarla explícitamente en la configuración de VAP Advanced Security. Vemos que esto se pasa por alto con frecuencia. Cuarto, conflicto entre la autenticación PPSK y MAC. Si tiene habilitada la autenticación MAC en el mismo VAP que PPSK, el orden de autenticación importa. Consulte la documentación del AP para su versión de firmware para confirmar qué método tiene prioridad. [medium pause] Preguntas rápidas que recibo de los equipos de TI. ¿Puedo usar el servidor RADIUS de Purple tanto para el Captive Portal de huéspedes como para el 802.1X del personal en el mismo despliegue? Sí. El RADIUS-as-a-Service de Purple es compatible con ambos flujos de autenticación. Usted configura grupos o políticas de RADIUS independientes en Purple para cada caso de uso. ¿Los AP de Allied Telesis son compatibles con WPA3 con Captive Portal? El TQ6702 GEN2 que ejecuta el firmware 5.5.4-2.3 o posterior es compatible con el cifrado WPA3 CCMP. Sin embargo, el Captive Portal con redireccionamiento externo generalmente se ejecuta en un SSID abierto o WPA2 Personal. El personal con 802.1X puede usar WPA3 Enterprise. ¿Qué sucede si el servidor RADIUS de Purple no está disponible? El AP rechazará los nuevos intentos de autenticación. Las sesiones existentes continuarán hasta que expiren. Debe configurar un servidor RADIUS secundario en el grupo RADIUS del AP para tener redundancia. La plataforma de Purple mantiene un tiempo de actividad del 99.999%, pero la defensa en profundidad es una buena práctica. [medium pause] En resumen. Los AP Allied Telesis de la serie TQ se integran con Purple a través de tres mecanismos principales: redireccionamiento externo de Captive Portal para WiFi de invitados, WPA Enterprise con RADIUS para 802.1X de empleados, y PPSK con VLAN dinámica para el aislamiento de múltiples inquilinos. Los atributos RADIUS que necesita son Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 y Tunnel-Private-Group-Id con el ID de VLAN. Purple proporciona el backend de RADIUS-as-a-Service, la plataforma de portal cautivo y la capa de analítica. [short pause] Sus siguientes pasos: obtenga las credenciales RADIUS de Purple desde su panel de control, configure el redireccionamiento de página externa en su VAP de invitados, agregue las entradas de walled garden, habilite la VLAN dinámica en su VAP de empleados y realice una prueba de autenticación para cada segmento de red antes de pasar a producción. Si está implementando PPSK para múltiples inquilinos, planifique su esquema de numeración de VLAN antes de comenzar, ya que cambiar los ID de VLAN después de que los inquilinos estén activos requiere coordinación. [medium pause] Esa es la sesión informativa. Para obtener la referencia completa de configuración paso a paso, el diagrama de arquitectura de Mermaid y la tabla de atributos RADIUS, consulte la guía escrita. Gracias por su tiempo.