Aruba Central and Purple WiFi: Cloud-Managed Integration

Aruba Central y Purple WiFi: Integración gestionada en la nube. Una sesión informativa para líderes de TI. Bienvenido. Si gestionas WiFi para invitados en múltiples sedes y utilizas Aruba Central, este episodio es directamente relevante para ti. Te guiaré exactamente a través de cómo Purple se integra con Aruba Central: la arquitectura, los pasos de configuración, los patrones de implementación multisitio y los errores comunes que suelen cometer los equipos. Esta es una sesión práctica, no un discurso de ventas. Comencemos. Sección uno: Contexto y por qué es importante. Aruba Central es la plataforma de red gestionada en la nube de HPE. Es el plano de control para decenas de miles de Aruba Instant Access Points desplegados en hoteles, cadenas de retail, estadios, centros de conferencias y edificios del sector público. Si has migrado de controladores Aruba locales (los Mobility Controllers o Mobility Conductors) a Central, ya has experimentado el cambio de una configuración basada en CLI y específica de cada sitio a una gestión de políticas basada en grupos y distribuida desde la nube. Ese cambio transforma fundamentalmente la forma en que integras una plataforma de WiFi para invitados como Purple. En un controlador Aruba local tradicional, configurarías el redireccionamiento del Captive Portal y la autenticación RADIUS directamente en el propio controlador. El controlador era el punto de aplicación de políticas y se ubicaba en tu centro de datos o sala de comunicaciones. Con Aruba Central, la aplicación de políticas sigue ocurriendo en el Access Point, pero la configuración se envía desde la nube. Eso significa que tus puntos de contacto de integración son diferentes. Trabajas con plantillas de grupo, perfiles de SSID y objetos de perfil de Captive Portal externo que residen en la jerarquía de configuración de Central, no en un equipo físico en un rack. Purple se sitúa por encima de todo esto como una plataforma de inteligencia de WiFi para invitados alojada en la nube. Proporciona el Captive Portal (la página de inicio que ven los invitados), gestiona la lógica de autenticación, captura datos de primera mano con consentimiento y envía analíticas a tus equipos de marketing y operaciones. La pregunta es: ¿cómo conectas estas dos plataformas en la nube de forma limpia, a escala, a través de potencialmente cientos de sitios? Sección dos: La arquitectura técnica. Permíteme describir el flujo de datos cuando un invitado se conecta. El dispositivo de un invitado se asocia con tu SSID de invitados (llamémoslo Hotel-Guest), el cual es transmitido por un Aruba Instant AP. El AP ha sido configurado, a través de Aruba Central, con un perfil de Captive Portal externo. Ese perfil contiene dos piezas de información críticas: la URL de redireccionamiento, que apunta al servidor del Captive Portal de Purple, y los detalles del servidor RADIUS, que apuntan al endpoint de RADIUS-as-a-Service de Purple. Cuando el huésped abre un navegador, el AP intercepta la solicitud HTTP y la redirige a la splash page de Purple. El huésped se autentica — a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado, según su configuración de Purple. El backend de Purple luego envía un mensaje RADIUS Access-Accept de vuelta al AP, el cual otorga al huésped acceso a internet y lo mueve del rol de preautenticación al rol de huésped autenticado. Los paquetes de contabilidad RADIUS fluyen a lo largo de la sesión, lo que le da a Purple visibilidad sobre la duración de la sesión y el uso de datos. Ahora, la diferencia clave con Aruba local: en Aruba Central, usted configura el perfil de External Captive Portal una sola vez, a nivel de grupo, y este se propaga a cada AP en ese grupo. No tiene que tocar los AP individuales. Esto es enormemente potente para implementaciones en múltiples sitios, pero requiere que defina correctamente la estructura del grupo antes de comenzar. Aruba Central organiza los dispositivos en Grupos, y dentro de los grupos, puede tener Sitios. Un Grupo es la unidad de configuración — los SSID, los perfiles de radio y las políticas de seguridad residen a nivel de grupo. Los Sitios son la unidad de ubicación y monitoreo. Para una cadena hotelera, una estructura sensata es un grupo por tipo de propiedad — por ejemplo, Hoteles de Servicio Completo y Propiedades Económicas — con cada hotel físico como un sitio independiente dentro del grupo correspondiente. La configuración de Purple luego se mapea a los grupos: un perfil de External Captive Portal por grupo, apuntando al mismo endpoint RADIUS de Purple, pero potencialmente con diferentes temas de splash page por sitio utilizando la personalización a nivel de sucursal de Purple. El walled garden es un elemento de configuración crítico que los equipos suelen configurar de manera incorrecta. Antes de que un huésped se autentique, el AP solo permite el tráfico DNS y DHCP, además de cualquier dominio que usted agregue explícitamente a la lista de permitidos. Para que Purple funcione, debe agregar a la lista de permitidos el dominio del Captive Portal de Purple, cualquier dominio de CDN que Purple utilice para recursos y cualquier dominio de proveedor de inicio de sesión social si utiliza autenticación social — Facebook, Google, Apple. Si omite un dominio, la splash page se cargará parcialmente o la autenticación fallará silenciosamente. La documentación de soporte de Purple proporciona la lista actual de walled garden, y vale la pena tratar esa lista como un documento vivo que debe revisar cada vez que Purple actualice su plataforma. Sección tres: Superficie de la API de Aruba Central para automatización. Si está realizando un despliegue en más de veinte sitios, la configuración manual a través de la interfaz de usuario de Central se convierte en un cuello de botella. Aruba Central expone una API REST integral — la API de Central — que le permite automatizar la creación de SSID, la asignación de perfiles de Captive Portal y la configuración de walled garden. La API se autentica mediante OAuth 2.0, y necesitará generar credenciales de API desde el portal de Central. Los endpoints clave de la API para una integración con Purple son: el endpoint de configuración de WLAN, que te permite crear y actualizar perfiles de SSID; el endpoint de perfil de Captive Portal externo, que es donde defines la URL de redirección de Purple y los detalles del servidor RADIUS; y los endpoints de gestión de sitios y grupos, que te permiten asignar dispositivos a sitios y grupos de forma programática. Si estás incorporando un nuevo establecimiento, puedes escribir un script que cree el sitio en Central, asigne los AP al sitio, aplique la plantilla de grupo correcta y configure el perfil de Captive Portal específico de Purple, todo sin tocar la interfaz de usuario. Purple también expone su propia API, la cual te permite crear registros de establecimientos, configurar temas de páginas de inicio (splash pages) y extraer datos analíticos. Una integración madura utilizará ambas APIs en conjunto: la API de Central para gestionar la capa de red y la API de Purple para gestionar la capa de la experiencia del invitado. Este es el patrón que utilizan las grandes cadenas de retail y grupos hoteleros cuando incorporan docenas de sitios nuevos por trimestre. Sección cuatro: Configuración paso a paso. Permíteme guiarte a través de la secuencia de configuración para un solo sitio, la cual luego podrás automatizar a escala. Primero, en Aruba Central, navega a tu grupo objetivo y abre la configuración de WLAN. Crea un nuevo SSID (por ejemplo, Venue-Guest) y establece el nivel de seguridad en Visitantes. Esta es la terminología de Aruba para una red abierta o autenticada mediante Captive Portal. Segundo, en la pestaña de Seguridad, establece el tipo de Splash Page en External Captive Portal. Crea un nuevo perfil de External Captive Portal. Dale un nombre descriptivo; Purple-Guest-Portal funciona bien. Establece el Tipo de Autenticación en Autenticación RADIUS. Ingresa el nombre de host del servidor de Captive Portal de Purple en el campo de IP o Nombre de Host. Ingresa la URL de redirección. Habilita HTTPS. Establece el comportamiento de Falla de Captive Portal en Denegar Internet, que es la opción predeterminada más segura. Tercero, configure el servidor RADIUS. En Central, ve a la configuración del servidor de autenticación y agrega el servidor RADIUS-as-a-Service de Purple. Necesitarás la IP o el nombre de host del servidor, el secreto compartido (que generas en la plataforma de Purple) y el puerto de autenticación, que es el estándar 1812, con contabilidad (accounting) en el 1813. Agrega este servidor como el Servidor Primario para tu SSID de invitados. Cuarto, configura el walled garden. En las reglas de acceso del SSID, agrega el dominio del Captive Portal de Purple y cualquier dominio de inicio de sesión social a la lista de permitidos. Prueba esto con cuidado: la falta de un dominio es la causa más común de fallas en las páginas de inicio. Quinto, guarda y envía la configuración. Central enviará la configuración a todos los AP del grupo. Verifica en un dispositivo de prueba que la redirección se active correctamente y que la autenticación se complete. Sección cinco: Patrones de despliegue multisitio. Para un despliegue en cincuenta o más sitios, necesitas un enfoque disciplinado. El patrón que recomiendo es: pilotear, templar, automatizar y validar. Realice una prueba piloto en un solo sitio. Asegúrese de que la configuración sea exacta: el walled garden completo, RADIUS funcionando, la splash page cargando limpiamente y la contabilidad fluyendo. Documente cada valor de los parámetros. Luego, integre esa configuración en una plantilla de grupo de Central. La plantilla se convertirá en su única fuente de verdad. Para el despliegue, utilice la API de Central para enviar la plantilla a los nuevos grupos a medida que incorpore sitios. Si su implementación de Purple utiliza diferentes temas de splash page por marca o región, parametrice el perfil del Captive Portal; la URL de redireccionamiento puede incluir parámetros de consulta que Purple utiliza para servir el tema correcto. Esto significa que puede tener un único endpoint de RADIUS pero múltiples experiencias de splash page, todo gestionado de forma centralizada. Valide cada sitio después de la incorporación. Un script de validación sencillo que asocie un dispositivo de prueba, verifique el redireccionamiento, autentique y compruebe el acceso a internet detectará cualquier desviación en la configuración antes de que los clientes la experimenten. El panel de analíticas de Purple también le mostrará si se están registrando las sesiones; si un sitio deja de reportar en Purple, esa es su señal de que algo está fallando en la capa de red. Sección seis: Errores comunes de implementación. El walled garden es el punto de falla número uno. Realice pruebas con un dispositivo que no tenga DNS en caché ni sesiones de portal activas. Utilice un perfil de navegador nuevo o el modo incógnito. El segundo error común es la discrepancia en el secreto compartido de RADIUS. El secreto que configure en Central debe coincidir exactamente con el secreto en la plataforma de Purple. Una diferencia de un solo carácter provocará fallas de autenticación silenciosas: el AP no recibirá respuesta del servidor RADIUS y denegará el acceso al cliente o, si ha configurado el modo de falla del Captive Portal en Permitir Internet, otorgará acceso sin autenticación, lo que representa un riesgo de cumplimiento. El tercer error común es la mala configuración de la VLAN. El tráfico de invitados debe estar en una VLAN dedicada, aislada de su red corporativa. En Aruba Central, esto se configura en los ajustes de VLAN del perfil de SSID. Si su VLAN de invitados no está correctamente conectada en el puerto del switch de enlace ascendente, los AP se activarán pero los invitados no obtendrán direcciones DHCP. El cuarto error común es la confianza del certificado en el redireccionamiento del Captive Portal. Los navegadores y sistemas operativos modernos son cada vez más estrictos con la aplicación de HTTPS. El servidor del Captive Portal de Purple utiliza un certificado TLS válido, pero si su walled garden bloquea los endpoints OCSP o CRL que el cliente utiliza para validar el certificado, verá errores de certificado en la splash page. Agregue esos endpoints a su walled garden. Sección siete: Preguntas rápidas. ¿Funciona Purple con la arquitectura AOS-10 de Aruba Central al igual que con AOS-8? Sí. El mecanismo del Captive Portal externo es consistente en ambos flujos de firmware. La ruta de la interfaz de usuario difiere ligeramente, pero los objetos de configuración subyacentes son los mismos. ¿Puedo usar el RADIUS-as-a-Service de Purple sin ejecutar mi propia infraestructura RADIUS? Sí, ese es el punto. El RADIUS-as-a-Service de Purple es un servidor RADIUS alojado en la nube al que apuntas tus AP de Aruba. No necesitas FreeRADIUS ni Cisco ISE de forma local. ¿Esta integración es compatible con WPA3? Aruba Central es compatible con WPA3 en AP compatibles, y puedes habilitar el modo de transición WPA3 en tu SSID de invitados. El mecanismo de Captive Portal de Purple es agnóstico a la capa de cifrado; opera a nivel de redirección HTTP, no a nivel de asociación 802.11. ¿Los datos que recopila Purple cumplen con el GDPR? Purple está diseñado con el cumplimiento del GDPR como un requisito fundamental. La página de inicio presenta un mecanismo de consentimiento, y el procesamiento de datos de Purple se rige por tu acuerdo de procesamiento de datos con ellos. Para los establecimientos de la UE, asegúrate de que tu configuración de Purple incluya el lenguaje de consentimiento adecuado y que tu DPA esté implementado antes del lanzamiento. Sección ocho: Resumen y próximos pasos. En resumen: Aruba Central y Purple se integran a través del mecanismo de Captive Portal externo, con la autenticación RADIUS gestionada por el servicio RADIUS en la nube de Purple. La configuración reside a nivel de grupo en Central y se propaga a todos los AP del grupo, lo cual es la diferencia arquitectónica clave con respecto a Aruba local. Para implementaciones en múltiples sitios, utiliza la API de Central para automatizar el aprovisionamiento y trata la configuración de tu sitio piloto como la plantilla para todo lo que sigue. Tus próximos pasos inmediatos: primero, confirma que la estructura de tu grupo de Aruba Central se asocie con la jerarquía de tus establecimientos de Purple. Segundo, obtén la lista actual de dominios de walled garden de Purple y los detalles del endpoint de RADIUS desde el portal de soporte de Purple. Tercero, ejecuta un piloto en un solo sitio y valida el flujo de autenticación completo antes de escalar. Cuarto, crea tus scripts de automatización utilizando la API de Central y la API de Purple en paralelo. Si estás evaluando Purple por primera vez, las páginas de la plataforma de WiFi para invitados y analítica en purple.ai te ofrecen una imagen clara de lo que obtienes más allá del Captive Portal: la captura de datos de primera fuente, la automatización de marketing y la analítica de afluencia. Ese es el caso de negocio que consigue el financiamiento para este proyecto. Gracias por escuchar. Si tienes preguntas sobre esta integración, el equipo de soluciones de Purple puede guiarte a través de una prueba de concepto adaptada a tu entorno específico de Aruba Central.