Ver transcripción del podcast
Bienvenido al informe técnico. Hoy analizaremos la integración de Arista Cognitive Wi-Fi con la plataforma Purple. Este es un informe técnico para consultores sénior, dirigido directamente a arquitectos de redes empresariales y administradores de sistemas en la nube que necesitan realizar esta implementación correctamente desde el primer momento.
Pongamos en contexto. Arista Cognitive Wi-Fi, gestionado a través de la plataforma CloudVision Cognitive Unified Edge, es una infraestructura inalámbrica gestionada en la nube que admite implementaciones de redes para invitados y personal de nivel empresarial. Purple es una solución superpuesta en la nube e independiente del hardware que proporciona el portal de invitados, la captura de identidad, la autenticación RADIUS y la capa de análisis. Al combinar ambos, se obtiene una arquitectura de WiFi para invitados completa, compatible y de gran valor comercial. Pasemos a los aspectos técnicos.
Lo primero que hay que entender es el flujo de incorporación del Captive Portal. Cuando un dispositivo de invitado se asocia con el SSID de invitado abierto en un punto de acceso de Arista, el AP coloca inmediatamente ese dispositivo en una VLAN de preautenticación. En este estado, el dispositivo tiene una dirección IP asignada por DHCP, pero su tráfico DNS y HTTP está muy restringido. El sistema operativo del dispositivo, ya sea iOS, Android o Windows, realiza una sonda de detección de Captive Portal. iOS envía una solicitud HTTP a captive.apple.com. Android sondea connectivitycheck.gstatic.com. El AP de Arista intercepta esta solicitud y devuelve una redirección 302, que apunta el dispositivo a la URL de la página de inicio de Purple.
Ahora, aquí es donde la mayoría de las implementaciones fallan. Para que esa redirección funcione y la página de inicio se procese correctamente, debe configurar el Walled Garden de forma adecuada en Arista CV-CUE. El Walled Garden es una lista de permitidos explícita. En el estado de preautenticación, todo el tráfico se descarta por defecto. Debe incluir en la lista de permitidos cada dominio necesario para cargar el portal. Como mínimo, eso significa los dominios principales de Purple: region1.purpleportal.net, venuewifi.com y cloudfront.net. Si ofrece inicio de sesión social a través de Google Workspace, debe agregar accounts.google.com y sus rangos de CDN asociados. Para Facebook, necesita facebook.com, fbcdn.net y akamaihd.net. Si omite alguno de estos, el invitado verá una pantalla en blanco o un botón de inicio de sesión que no carga. Se irán y usted perderá la oportunidad de capturar datos.
Permítame guiarlo a través de la configuración de RADIUS en CV-CUE. Vaya a Configure, luego a Network Profiles y después a RADIUS. Haga clic en Add RADIUS Server. Ingrese la dirección IP del servidor RADIUS primario de Purple, configure el puerto de autenticación (Authentication Port) en 1812, el puerto de contabilidad (Accounting Port) en 1813 e ingrese el secreto compartido proporcionado por Purple. Repita esto para el servidor secundario. Esta redundancia es crítica. Si el servidor primario no está disponible, el secundario toma el control sin interrumpir el acceso de los invitados.
Una vez guardados los perfiles RADIUS, vaya a Configure, luego a WiFi, después a SSID y haga clic en Add New SSID. Nombre su SSID, establezca el tipo en Guest y, en la pestaña Security, configure el nivel de seguridad en Open. Esto es lo correcto para un despliegue de Captive Portal. En la pestaña Captive Portal, active la casilla Captive Portal, seleccione Third-Party Hosted en el menú desplegable Cloud Hosted y marque la casilla With RADIUS Authentication. Pegue la URL de la Splash Page de Purple en el campo Splash Page URL. Esto suele tener el formato https://region1.purpleportal.net/access/. Introduzca el secreto compartido. A continuación, en la sección de sitios web a los que los usuarios pueden acceder antes de iniciar sesión, añada sus dominios de Walled Garden. Establezca el formato del Called Station ID en percent-m, lo que envía la dirección MAC en el formato que Purple espera. Establezca el Accounting Interval en 2 minutos. Desmarque la casilla HTTPS Redirection. Guarde el SSID. Se propagará a sus AP de Arista en pocos minutos.
Ahora hablemos de lo que ocurre después de que el invitado envía sus datos en el portal de Purple. Purple actúa como el servidor RADIUS. Valida la identidad, captura el consentimiento y envía un mensaje RADIUS Access-Accept de vuelta al AP de Arista. Pero aquí está la pieza clave: ese mensaje Access-Accept contiene atributos de Change of Authorisation, definidos en la norma RFC 3576. Estos atributos indican al AP de Arista que realice la transición dinámica de ese cliente específico desde el estado restringido de autenticación previa a la VLAN de autenticación posterior con acceso total a Internet. Al mismo tiempo, el AP envía un mensaje RADIUS Accounting-Start a Purple en el puerto 1813. Esto inicia el temporizador de la sesión y alimenta los datos de duración de la sesión en el panel de analíticas de Purple.
Pasemos al caso de uso más avanzado: WiFi multiinquilino utilizando claves precompartidas privadas de Arista, o PPSK. Esta es la arquitectura que desea para espacios de coworking, centros comerciales, edificios residenciales o cualquier entorno en el que tenga múltiples grupos de usuarios distintos que requieran un aislamiento estricto de la red.
El problema con los enfoques tradicionales es que transmitir un SSID independiente para cada inquilino genera una enorme sobrecarga de radiofrecuencia. Cada SSID requiere tramas de baliza. En un entorno denso con 20 inquilinos, eso significa 20 SSIDs consumiendo tiempo de transmisión. PPSK resuelve esto de forma elegante. Usted transmite un único SSID. Pero en el portal de Purple, a cada inquilino se le asigna una contraseña única. Cuando un usuario se conecta, el AP de Arista autentica esa contraseña contra el servidor RADIUS de Purple. Purple busca la contraseña, identifica al inquilino asociado y devuelve un mensaje Access-Accept. Sin embargo, y de manera crítica, añade tres atributos RADIUS: Tunnel-Type, establecido en VLAN; Tunnel-Medium-Type, establecido en 802; y Tunnel-Private-Group-ID, establecido en el ID de VLAN específico del inquilino. El AP de Arista lee estos atributos y dirige dinámicamente al cliente a la VLAN correcta. El inquilino A, utilizando su contraseña, llega a la VLAN 100. El inquilino B llega a la VLAN 200. Están completamente aislados en la Capa 2. No pueden ver los dispositivos, impresoras ni servidores de los demás.
Esto es Identity-Based Networking en la práctica. La identidad de la frase de contraseña determina el segmento de red. Se gestiona de forma centralizada a través de Purple, por lo que cuando un inquilino se va, usted revoca su frase de contraseña en el portal de Purple y el acceso se cancela de inmediato. No se requieren cambios en la infraestructura de Arista.
Ahora, hablemos de Secure Staff WiFi utilizando IEEE 802.1X. Para el SSID de su personal, no debería utilizar una frase de contraseña compartida. Debería utilizar 802.1X con EAP (Extensible Authentication Protocol). En CV-CUE, cree un nuevo SSID corporativo. En la pestaña de Seguridad, seleccione WPA2-Enterprise o WPA3-Enterprise. Seleccione su perfil de RADIUS, el cual debe apuntar a su proveedor de identidad corporativo, como Microsoft Entra ID o Okta. Cuando un miembro del personal se conecta, su dispositivo presenta las credenciales al AP de Arista, que las reenvía al servidor RADIUS a través de EAP. El proveedor de identidad valida las credenciales y devuelve un Access-Accept. Para la autenticación basada en certificados utilizando EAP-TLS, el dispositivo presenta un certificado de cliente en lugar de un nombre de usuario y contraseña, lo que elimina por completo el robo de credenciales como vector de ataque.
Permítame abordar la integración de Arista Cloud WIPS. El Wireless Intrusion Prevention System de Arista opera en segundo plano, escaneando en busca de puntos de acceso no autorizados y clientes no permitidos. En CV-CUE, navegue a Configure, luego a WIPS y después a Automatic Intrusion Prevention. Puede configurar el nivel de prevención desde Degrade hasta Block. Para implementaciones empresariales, recomendamos el nivel Disrupt como punto de partida, el cual interrumpe la comunicación no autorizada sin bloquearla por completo, reduciendo el riesgo de falsos positivos. También debe configurar el monitoreo de VLAN en Configure, luego en Device, después en Access Point, seleccionando la pestaña Security. Habilite SSID VLAN Monitoring para que los AP monitoreen activamente sus VLAN asignadas en busca de actividad no autorizada.
Ahora, algunos errores comunes de implementación que se deben evitar. Primero, el agotamiento del pool de DHCP. En entornos de alto flujo de personas, como tiendas de retail o estadios, los dispositivos se conectan brevemente y se alejan. Si el tiempo de espera por inactividad se configura demasiado alto, esas sesiones permanecen activas, reteniendo las direcciones IP. Establezca el tiempo de espera por inactividad en CV-CUE a 10 minutos para retail, y a un mínimo de 5 minutos para recintos de eventos. Esto recupera las direcciones IP de manera agresiva y evita que el pool se agote.
Segundo, la aleatorización de direcciones MAC. Desde iOS 14 y Android 10, los dispositivos aleatorizan su dirección MAC por SSID de forma predeterminada. Esto rompe cualquier arquitectura que dependa de las direcciones MAC para identificar a los invitados recurrentes. La respuesta correcta es cambiar su modelo de identidad a credenciales autenticadas, es decir, la dirección de correo electrónico o el inicio de sesión de redes sociales capturado a través del portal de Purple. Para una reconexión fluida sin necesidad de un portal, la ruta de migración a largo plazo es hacia Passpoint, también conocido como Hotspot 2.0, el cual utiliza autenticación basada en certificados y elimina por completo el Captive Portal.
Tercero, redirección HTTPS. Al configurar el Captive Portal en CV-CUE, asegúrese de que la casilla de verificación de Redirección HTTPS esté desactivada. Purple maneja la sesión HTTPS de forma independiente. Habilitar la redirección HTTPS del lado de Arista puede causar errores de discrepancia de certificados que impiden que el portal se cargue.
Hagamos una ronda rápida de preguntas y respuestas sobre escenarios comunes.
Pregunta: La página del portal de un invitado se muestra en blanco. ¿Dónde se debe revisar primero? Respuesta: El Walled Garden. La causa casi siempre es la falta de un dominio. Verifique que todos los dominios de Purple y los dominios CDN de Identity Provider relevantes estén en la lista de permitidos en CV-CUE.
Pregunta: Todos los usuarios de PPSK están llegando a la VLAN predeterminada. ¿Qué está mal? Respuesta: El servidor RADIUS de Purple no está devolviendo el atributo Tunnel-Private-Group-ID. Verifique la respuesta de RADIUS en los registros de solución de problemas de CV-CUE y compruebe el mapeo de VLAN en el portal de Purple.
Pregunta: Los datos de contabilidad de RADIUS en Purple muestran sesiones de cero segundos. ¿Cuál es el problema? Respuesta: Es probable que el puerto de contabilidad esté mal configurado o bloqueado. Verifique que el puerto 1813 esté abierto en el firewall entre los AP de Arista y los servidores RADIUS de Purple, y que el intervalo de contabilidad esté configurado en 2 minutos en los ajustes del SSID.
Para resumir los puntos clave de esta sesión. Uno: el Walled Garden es una lista de permisos explícitos. Manténgala como una tarea operativa recurrente, no como una configuración única. Dos: el mecanismo Change of Authorization de RADIUS es lo que otorga el acceso. Sin esto, el portal finaliza pero el invitado permanece bloqueado. Tres: Arista PPSK con RADIUS de Purple permite el direccionamiento dinámico de VLAN para el aislamiento multi-inquilino en un solo SSID, eliminando la sobrecarga de balizas. Cuatro: habilite siempre la Client Isolation en los SSID de invitados para evitar el movimiento lateral. Cinco: la aleatorización de direcciones MAC requiere un cambio hacia la autenticación basada en identidad para obtener analíticas precisas. Seis: una integración adecuada cumple con los requisitos de consentimiento de GDPR y recopila datos de origen que impulsan directamente el ROI de marketing.
Sus siguientes pasos: recupere las direcciones IP y los secretos compartidos del servidor RADIUS de Purple desde la página de configuración de hardware del portal de Purple. Configure los perfiles RADIUS en CV-CUE. Cree su lista de dominios de Walled Garden. Despliegue su SSID de invitados. Pruebe todo el flujo de autenticación desde un dispositivo móvil antes de lanzarlo a producción. Y si está desplegando entornos multi-inquilino, mapee los ID de VLAN de sus inquilinos en Purple antes de configurar las contraseñas de PPSK.
Con esto concluye esta sesión técnica. Gracias por su atención.
