Arista Cognitive Wi-Fi Integration with Purple WiFi

Resumen ejecutivo

Implementar un Captive Portal de Arista para el acceso de invitados no es simplemente una tarea de conectividad. Es una intersección crítica de seguridad de red, cumplimiento normativo y estrategia de datos. Para los líderes de TI que gestionan sitios distribuidos, la integración de Arista CloudVision Cognitive Unified Edge (CV-CUE) con Purple transforma el tráfico de invitados no administrado en un activo seguro, segmentado y medible.

Esta referencia proporciona una guía definitiva para configurar Arista Cognitive Wi-Fi con Purple. Detallamos los mecanismos exactos requeridos para implementar páginas de inicio (splash pages) alojadas por terceros, construir listas de control de acceso Walled Garden precisas e implementar autenticación RADIUS. También cubrimos el aislamiento avanzado de WiFi multiinquilino utilizando claves precompartidas privadas de Arista (PPSK) y redireccionamiento dinámico de VLAN, la arquitectura que elimina la saturación de SSID en espacios de coworking, centros comerciales y edificios residenciales.

Purple opera en más de 80,000 sitios activos y ha procesado 440 millones de inicios de sesión en 2024 (datos internos de Purple). La plataforma cuenta con certificación ISO 27001, cumple con las normativas GDPR y CCPA, y cuenta con las certificaciones Cyber Essentials y B Corp. Esta guía refleja configuraciones probadas en producción y validadas en implementaciones de los sectores de hospitalidad, retail y sector público.

Análisis técnico profundo

La arquitectura de incorporación de Captive Portal de Arista

El flujo de incorporación de invitados determina cómo interactúan los dispositivos con el punto de acceso (AP) de Arista antes y después de la autenticación. Cuando un dispositivo se asocia con el SSID de invitados abierto, el AP de Arista lo asigna a una VLAN de preautenticación. En este estado, el AP restringe el tráfico DNS y HTTP a una lista de permitidos definida. El sistema operativo del dispositivo detecta el Captive Portal e intenta comunicarse con un endpoint conocido: iOS envía una solicitud HTTP a captive.apple.com, Android a connectivitycheck.gstatic.com y Windows a www.msftconnecttest.com. El AP de Arista intercepta esta solicitud y emite una redirección HTTP 302 a la URL de la splash page de Purple.

{{asset:captive_portal_flow.png}}

Para asegurar que este flujo se ejecute sin errores, el controlador Arista CV-CUE debe configurarse para apuntar a Purple como un portal alojado por terceros. Esto requiere definir los servidores RADIUS de Purple (puerto de autenticación 1812, puerto de contabilidad 1813) dentro de los perfiles de red de CV-CUE. Una vez que el invitado envía sus credenciales o acepta los términos en el portal de Purple, Purple actúa como el servidor RADIUS y envía un mensaje de Access-Accept de vuelta al AP de Arista. Este mensaje incluye los atributos RADIUS de cambio de autorización (CoA) definidos en RFC 3576, indicando al AP que realice la transición de la dirección MAC del cliente desde el estado restringido de preautenticación hacia el acceso completo a internet en la VLAN de postautenticación.

Diseño de ACL de Walled Garden en CV-CUE

El Walled Garden es una lista de permitidos (whitelist) de dominios y direcciones IP a los que los dispositivos no autenticados deben poder acceder para cargar la página de bienvenida y completar la autenticación. En Arista CV-CUE, esto se configura en los ajustes de Captive Portal como "Websites that users can access before login".

El Walled Garden es una lista de permisos explícita. Debe incluir los dominios principales de Purple para que se renderice el portal. Si ofrece inicio de sesión con redes sociales, también debe incluir en la lista de permitidos los dominios del proveedor de identidad (IdP). Si no se mantiene esta lista de forma correcta, los invitados no podrán cargar la pantalla de inicio de sesión del proveedor de autenticación, lo que provocará el abandono inmediato.

Entradas mínimas requeridas en el Walled Garden para Purple:

• region1.purpleportal.net
• venuewifi.com
• cloudfront.net
• openweathermap.org
• stripe.com (si el acceso de pago está habilitado)

Entradas adicionales para inicio de sesión social:

• Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
• Google Workspace: accounts.google.com, googleapis.com
• Twitter/X: twitter.com, twimg.com
• LinkedIn: linkedin.com, licdn.net

Configuración de Arista PPSK para el aislamiento multi-inquilino

Para entornos como espacios de coworking, edificios residenciales o centros comerciales, el estándar 802.1X suele ser demasiado complejo para dispositivos no administrados, pero las redes abiertas carecen de la seguridad necesaria. Arista Private Pre-Shared Keys (PPSK) resuelve esto al permitir múltiples contraseñas únicas en un solo SSID, cada una mapeada a una política de red distinta.

Cuando se integra con Purple RADIUS, Arista PPSK permite el direccionamiento dinámico de VLAN. Un residente o inquilino comercial se conecta al SSID unificado utilizando su PPSK específica. El AP de Arista autentica la clave contra el servidor RADIUS de Purple. Purple devuelve el Access-Accept estándar, pero añade tres atributos RADIUS que dirigen la asignación de VLAN:

El AP de Arista asigna dinámicamente el dispositivo a esa VLAN. Esto proporciona un aislamiento estricto de Capa 2 entre inquilinos sin transmitir docenas de SSIDs independientes, optimizando el uso de RF mientras se mantienen límites de seguridad absolutos.

WiFi seguro para el personal con IEEE 802.1X

Para las redes del personal, las contraseñas compartidas representan un riesgo de seguridad. IEEE 802.1X (definido en IEEE Std 802.1X-2020) proporciona control de acceso a la red basado en puertos utilizando credenciales por usuario. En CV-CUE, se configura un SSID Corporativo con seguridad WPA2-Enterprise o WPA3-Enterprise. El AP actúa como el autenticador, reenviando las credenciales al servidor RADIUS a través de EAP (Protocolo de Autenticación Extensible). Purple admite EAP-PEAP para la autenticación de usuario/contraseña y EAP-TLS para la autenticación basada en certificados.

Para implementaciones de EAP-TLS, se realiza la integración con Microsoft Entra ID, Okta o Google Workspace como la autoridad de certificación. Cuando el dispositivo de un miembro del personal presenta un certificado de cliente válido, el servidor RADIUS lo valida contra el directorio y devuelve un Access-Accept. Esto elimina por completo el robo de credenciales como vector de ataque.

Integración con Arista Cloud WIPS

El Sistema de Prevención de Intrusiones Inalámbricas (WIPS) de Arista opera continuamente en segundo plano, escaneando en busca de puntos de acceso no autorizados, APs mal configurados y clientes no autorizados. En CV-CUE, navegue a Configure > WIPS > Automatic Intrusion Prevention para configurar el nivel de prevención. Arista ofrece cuatro niveles: Degrade, Interrupt, Disrupt y Block. Para implementaciones empresariales, comience en Disrupt, que interrumpe la comunicación no autorizada sin bloquearla por completo, reduciendo el riesgo de falsos positivos durante la implementación inicial.

Habilite el monitoreo de VLAN de SSID en Configure > Device > Access Point > pestaña Security para garantizar que los APs monitoreen activamente sus VLANs asignadas en busca de actividad no autorizada. Los modelos de la serie AP-3xx de Arista admiten el monitoreo de hasta 42 VLANs simultáneamente (documentación de Arista WIPS, 2025).

Guía de implementación

Fase 1: Segmentación de red y configuración de RADIUS

1. Inicie sesión en Arista CV-CUE y navegue a Configure > Network Profiles > RADIUS.
2. Haga clic en Add RADIUS Server.
3. Ingrese los detalles del servidor RADIUS primario de Purple: dirección IP, puerto de autenticación (1812), puerto de contabilidad (1813) y el Secreto Compartido de la página de configuración de hardware del portal de Purple.
4. Repita el proceso para el servidor RADIUS secundario de Purple para garantizar la alta disponibilidad.
5. Verifique en su firewall que los puertos UDP 1812 y 1813 estén abiertos entre los APs de Arista y los servidores RADIUS de Purple.

Fase 2: Configuración del SSID de invitados y del Captive Portal

1. Navegue a Configure > WiFi > SSID y haga clic en Add New SSID.
2. Defina el nombre del SSID (por ejemplo, Guest_WiFi) y configure el tipo de SSID en Guest.
3. En la pestaña Security, configure el nivel de seguridad en Open.
4. En la pestaña Network, configure la VLAN de preautenticación (por ejemplo, VLAN 10) con un alcance DHCP dedicado.
5. En la pestaña Captive Portal, active la casilla de verificación Captive Portal.
6. Seleccione Third-Party Hosted en el menú desplegable Cloud Hosted.
7. Marque With RADIUS Authentication y seleccione el perfil Purple RADIUS.
8. Ingrese la URL de la Splash Page de Purple (por ejemplo, https://region1.purpleportal.net/access/) y la URL de redireccionamiento (por ejemplo, https://region1.purpleportal.net/access/?res=success).
9. Configure el formato del Called Station ID en %m (formato de dirección MAC requerido por Purple).
10. Configure el Accounting Interval en 2 minutos.
11. Desactive la casilla de verificación HTTPS Redirection.

Fase 3: Despliegue de Walled Garden

1. Dentro de la pestaña Captive Portal, localice la sección Websites that users can access before login.
2. Agregue todos los dominios requeridos de Purple y los dominios de los proveedores de identidad según la lista anterior.
3. Guarde la configuración del SSID y aplíquela a los grupos de AP de Arista de destino.

Fase 4: Configuración multi-tenant de PPSK

1. En el portal de Purple, navegue a la configuración de hardware del establecimiento y recupere los parámetros RADIUS de PPSK.
2. En CV-CUE, cree un nuevo SSID con seguridad WPA2-Personal y active el modo PPSK.
3. Configure el SSID para autenticarse contra el perfil Purple RADIUS.
4. En el portal de Purple, cree una frase de contraseña PPSK para cada tenant y asóciela al VLAN ID correspondiente.
5. Verifique que los puertos del switch que se conectan a los AP de Arista estén configurados en modo trunk para las VLAN de los tenants requeridas.

Fase 5: WiFi de personal seguro (802.1X)

1. Cree un nuevo SSID corporativo en CV-CUE.
2. En la pestaña de seguridad (Security), seleccione WPA2-Enterprise o WPA3-Enterprise.
3. Seleccione el perfil RADIUS que apunta a su proveedor de identidad corporativo (Microsoft Entra ID, Okta o Google Workspace).
4. Configure el tipo de EAP: PEAP para usuario/contraseña, EAP-TLS para autenticación basada en certificados.
5. Asigne el SSID de personal a una VLAN dedicada (por ejemplo, VLAN 20) aislada de la VLAN de invitados.

Mejores prácticas

Automatice las actualizaciones de Walled Garden. Los proveedores de identidad cambian sus dominios de CDN con frecuencia. Programe una revisión trimestral de la configuración de Walled Garden en Arista CV-CUE para compararla con las listas de dominios actualizadas de Purple. Un solo registro de CDN que falte interrumpirá el inicio de sesión con redes sociales para todos los invitados.

Optimice los temporizadores de sesión según el tipo de establecimiento. Configure los tiempos de espera por inactividad (idle timeouts) en Arista CV-CUE para que coincidan con el perfil de tráfico de su establecimiento. Los entornos de retail se benefician de un tiempo de espera por inactividad de 10 minutos para liberar direcciones IP de los dispositivos que han salido de la tienda. Los despliegues hoteleros deben utilizar tiempos de espera más largos (de 4 a 8 horas) para evitar que se vuelva a activar el portal durante la estancia de un huésped.

Haga cumplir el aislamiento de clientes (Client Isolation). Active siempre la función Client Isolation en el SSID de invitados dentro de Arista CV-CUE. Esto evita que los dispositivos de los invitados se comuniquen entre sí, mitigando los riesgos de movimiento lateral y cumpliendo con los requisitos de segmentación de red de PCI DSS. Habilite RADIUS Accounting. Asegúrese de que RADIUS Accounting esté habilitado con un intervalo de 2 minutos. Esto proporciona a Purple métricas precisas de duración de sesión y transferencia de datos, alimentando el panel de WiFi Analytics y permitiendo un análisis preciso del tiempo de permanencia de los visitantes.

Segmente por tipo de SSID, no por AP. Aplique SSIDs de Invitados, Personal y Multitenant a los mismos grupos de AP. Arista CV-CUE maneja el etiquetado VLAN por SSID, por lo que no necesita APs separados para cada tipo de usuario. Esto simplifica el despliegue de su hardware mientras mantiene una separación lógica estricta.

Para obtener una visión más amplia de la arquitectura de seguridad WiFi empresarial, consulte nuestra Guía completa de seguridad WiFi para empresas en 2026 .

Casos de estudio

Caso de estudio 1: Cadena hotelera de 350 habitaciones

Una cadena de hoteles de gama media con 12 propiedades desplegó APs Arista Wi-Fi 6E en todos los sitios, gestionados a través de una única instancia de CV-CUE. El requisito era proporcionar un Guest WiFi con marca personalizada y captura de correo electrónico para marketing, aislado de la red del sistema de gestión de propiedades (PMS), al mismo tiempo que se soportaba 802.1X para los dispositivos del personal.

El equipo configuró tres SSIDs por propiedad: un SSID de Invitados (VLAN 10) que apunta a Purple, un SSID de Personal (VLAN 20) que utiliza 802.1X contra Microsoft Entra ID, y un SSID de IoT (VLAN 30) para dispositivos de gestión del edificio. El Captive Portal de Purple capturó las direcciones de correo electrónico de los huéspedes y su consentimiento al momento del registro. En un plazo de 90 días, la cadena había recopilado datos de primera mano verificados del 68% de los huéspedes (datos internos de Purple), lo que permitió campañas de re-engagement segmentadas. La red del PMS se mantuvo completamente aislada, cumpliendo con los requisitos de PCI DSS para la segmentación del entorno de datos de titulares de tarjetas.

Caso de estudio 2: Espacio de coworking multitenant

Un operador de coworking que gestiona ocho ubicaciones necesitaba proporcionar WiFi aislado a 35 empresas miembros por sitio sin transmitir 35 SSIDs. El entorno de RF ya estaba congestionado y la proliferación de SSIDs estaba degradando el rendimiento para todos los miembros.

La solución fue un único SSID por sitio utilizando Arista PPSK con Purple RADIUS. Cada empresa miembro recibió una frase de contraseña PPSK única. Purple asoció cada frase de contraseña a una VLAN dedicada (desde VLAN 100 hasta VLAN 3500). Cuando un miembro se conectaba, el AP de Arista lo dirigía dinámicamente a su VLAN basándose en el Tunnel-Private-Group-ID devuelto por Purple RADIUS. El resultado fue una reducción de 35 SSIDs a uno solo por sitio, una mejora medible en la eficiencia del tiempo de uso del espectro radioeléctrico y un aislamiento completo de Capa 2 entre las empresas miembros. Cuando finalizaba el contrato de un miembro, el operador revocaba su frase de contraseña en el portal de Purple, cancelando el acceso en cuestión de segundos.

Resolución de problemas y mitigación de riesgos

Issue: Splash page fails to load on Apple devices. iOS uses a specific mechanism to detect captive portals. If the splash page fails to load automatically, verify that the Arista Walled Garden includes all Purple CDN domains. If the Walled Garden is overly restrictive, the iOS device cannot load the portal assets and aborts the connection.

Issue: MAC address randomization breaks returning guest recognition. iOS 14+ and Android 10+ devices randomize their MAC address per SSID. This prevents Purple from recognizing a returning guest based solely on their MAC address. Rely on authenticated identity (email or social login) for long-term tracking. For seamless, secure reconnection without a captive portal, migrate to Passpoint/Hotspot 2.0 architectures.

Issue: Dynamic VLAN steering fails with PPSK. If tenants are assigned the default VLAN instead of their specific VLAN, verify the RADIUS response using the Arista CV-CUE troubleshooting tools. Ensure Purple is returning the correct Tunnel-Private-Group-ID, Tunnel-Type, and Tunnel-Medium-Type attributes, and that the specified VLAN exists on the switch port connected to the Arista AP.

Issue: DHCP pool exhaustion on the Guest VLAN. Reduce the idle timeout to 5-10 minutes in high-footfall environments. Increase the DHCP scope size if the venue regularly exceeds 80% pool utilisation. Consider using a /22 or larger subnet for high-density venues such as stadiums or conference centres.

Issue: RADIUS accounting data shows zero-second sessions. Verify that UDP port 1813 is open on the firewall between the Arista APs and the Purple RADIUS servers. Confirm the Accounting Interval is set to 2 minutes in the CV-CUE SSID settings.

For related guidance on wireless display and protocol best practices in enterprise environments, see What Is Wireless Display: Protocols and Best Practices 2026 .

ROI and business impact

Deploying Arista Cognitive Wi-Fi with Purple transforms a network cost center into a measurable business asset. By enforcing a compliant captive portal, you mitigate the risk of GDPR fines, which can reach 4% of global annual turnover. More importantly, the Guest WiFi portal captures verified, first-party data. Purple has collected 29 billion data points across its network (Purple internal data), demonstrating the scale of what a properly deployed guest WiFi architecture can generate.

Para los establecimientos de Retail , estos datos se integran directamente en los sistemas CRM, lo que permite realizar campañas de marketing dirigidas según la frecuencia de las visitas y el tiempo de permanencia. Para los operadores de Hospitality , facilita una interacción personalizada y de re-engagement con los huéspedes frecuentes. Para los centros de Transport , proporciona datos precisos sobre el flujo de pasajeros que respaldan las decisiones operativas. Para las instalaciones de Healthcare , garantiza que los pacientes y visitantes reciban el acceso a la red adecuado, mientras que los sistemas clínicos permanecen completamente aislados.

La plataforma Purple opera con un tiempo de actividad del 99.999% (datos internos de Purple), lo que garantiza que el acceso de los invitados nunca se vea interrumpido por problemas de disponibilidad de la plataforma. En combinación con la infraestructura gestionada en la nube de Arista, se obtiene una arquitectura de extremo a extremo que escala desde un solo establecimiento hasta más de 80,000 ubicaciones sin necesidad de realizar cambios de arquitectura.

Para obtener contexto adicional sobre la integración, consulte nuestra guía sobre la NETGEAR Insight and Enterprise Access Points Integration with Purple WiFi . Para los operadores de establecimientos que evalúan herramientas de encuestas para complementar sus análisis de WiFi, consulte Design of a Survey: A Practical Guide for Venues .