Aruba ClearPass vs. Purple WiFi: Comparativa de funciones y co-implementación
Una guía técnica completa que detalla la arquitectura de co-implementación de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en análisis junto con el NAC empresarial.
Escucha esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico detallado
- Arquitectura central
- Flujo de Proxy RADIUS
- Asignación Dinámica de VLAN Basada en Roles
- Guía de Implementación
- Paso 1: Configurar los Servidores RADIUS de Purple en ClearPass
- Paso 2: Crear una Política de Enrutamiento RADIUS
- Paso 3: Definir el Servicio de Invitados
- Paso 4: Configurar el Walled Garden en el Controller
- Paso 5: Configurar la Contabilidad RADIUS
- Mejores Prácticas
- Resolución de Problemas y Mitigación de Riesgos
- Configuración Incorrecta del Walled Garden
- Errores de Tiempo de Espera de RADIUS
- Discrepancia en el Secreto Compartido
- Sensibilidad a Mayúsculas y Minúsculas en el Nombre del Rol
- ROI e Impacto Comercial
- Referencias

Resumen ejecutivo
Para los entornos empresariales con una fuerte inversión en la infraestructura de HPE Aruba, administrar políticas complejas de acceso a la red y, al mismo tiempo, ofrecer una experiencia de WiFi para invitados fluida y rica en datos presenta un desafío arquitectónico significativo. Aunque Aruba ClearPass Policy Manager destaca en el control de acceso a la red (NAC) y la seguridad 802.1X para dispositivos corporativos, su Captive Portal integrado a menudo carece de la automatización de marketing avanzada y los análisis que requieren los recintos modernos. Esta guía detalla cómo integrar Purple WiFi con ClearPass, lo que permite que cada plataforma se enfoque en sus fortalezas principales.
Al implementar ClearPass como un proxy RADIUS, usted mantiene un registro de auditoría de seguridad unificado y una asignación dinámica de VLAN para dispositivos corporativos e IoT, mientras delega la experiencia de incorporación de invitados a Purple. Este enfoque permite la captura de datos de primera mano de conformidad con el GDPR, análisis detallados de afluencia e integraciones con más de 400 conectores de marketing, todo sin reemplazar su inversión existente en el NAC de Aruba. Este documento proporciona el diseño técnico para esta implementación conjunta, que abarca la arquitectura, los flujos de trabajo de configuración y las mejores prácticas.
Análisis técnico detallado
La integración de Aruba ClearPass y Purple WiFi se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP, estructurados en torno a una arquitectura de proxy RADIUS. Este diseño garantiza que ClearPass siga siendo el punto central de decisión de políticas para todo el acceso a la red, mientras que Purple administra el Captive Portal orientado al invitado y la recopilación de datos.
Arquitectura central
En una implementación conjunta estándar, sus controladores de movilidad Aruba o sus puntos de acceso Aruba Instant transmiten múltiples SSIDs. Un patrón de diseño típico, como se detalla en Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza tres redes dedicadas:
- SSID corporativo: Utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados aprovisionados a través de ClearPass Onboard. ClearPass evalúa el estado de seguridad del dispositivo, consulta a Microsoft Entra ID o Active Directory y asigna el dispositivo a la VLAN corporativa (por ejemplo, VLAN 10). Purple no interviene en este flujo.
- SSID de IoT: Utiliza la omisión de autenticación MAC (MAB). ClearPass perfila el dispositivo mediante su identificador único de organización (OUI) y lo asigna a una VLAN de IoT aislada (por ejemplo, VLAN 30) sin acceso a internet.
- SSID de invitados: Una red abierta o con cifrado inalámbrico oportunista (OWE) que activa el Captive Portal de Purple.

Flujo de Proxy RADIUS
Cuando un visitante se conecta al SSID de invitados y abre un navegador, el controlador Aruba intercepta el tráfico HTTP y redirige la sesión a la URL del Captive Portal de Purple. El visitante se autentica a través de Purple utilizando inicio de sesión social, formularios personalizados o OpenRoaming (donde Purple actúa como un proveedor de identidad gratuito bajo el plan Connect).
Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept. Sin embargo, en lugar de que el controlador Aruba se comunique directamente con los servidores RADIUS en la nube de Purple, ClearPass se integra como un proxy RADIUS:
- El controlador Aruba envía todas las solicitudes RADIUS a ClearPass.
- ClearPass evalúa la solicitud según sus Reglas de Servicio. Si la solicitud coincide con el SSID de invitados (identificado por el
Called-Station-Ido el identificador NAS), la Política de Enrutamiento RADIUS reenvía la solicitud a los servidores RADIUS de Purple. - Purple responde con un mensaje Access-Accept.
- ClearPass recibe esta respuesta y aplica su propia Política de Aplicación (Enforcement Policy), añadiendo Atributos Específicos del Proveedor (VSAs) específicos antes de reenviar la respuesta final al controlador.
Asignación Dinámica de VLAN Basada en Roles
El VSA clave en esta arquitectura es Aruba-User-Role. Cuando ClearPass reenvía el mensaje Access-Accept al controlador, incluye este atributo para definir con precisión qué rol debe asumir el visitante en la red inalámbrica.
Por ejemplo, ClearPass puede devolver Aruba-User-Role = guest-authenticated. En el controlador Aruba, este rol se asigna a la VLAN 20, la cual está configurada con políticas de firewall que permiten el acceso a internet pero bloquean el enrutamiento hacia las subredes corporativas internas. Esta segmentación es esencial para el cumplimiento de estándares como PCI-DSS [1].

Guía de Implementación
Implementar esta arquitectura requiere una configuración precisa tanto en la infraestructura de Aruba como en ClearPass. Siga estos pasos neutros del proveedor para establecer la integración.
Paso 1: Configurar los Servidores RADIUS de Purple en ClearPass
Navegue a Configuración > Red > Dispositivos en ClearPass y agregue los servidores RADIUS primario y secundario de Purple como dispositivos de red. Necesitará las direcciones IP y el secreto compartido proporcionados en su panel de configuración de ubicaciones de Purple.
Paso 2: Crear una Política de Enrutamiento RADIUS
Cree una nueva Política de Enrutamiento RADIUS en ClearPass. Esta política determinará bajo qué condiciones se realiza el proxy de las solicitudes hacia Purple. Establezca los destinos primario y de respaldo en los servidores RADIUS de Purple que configuró en el Paso 1.
Paso 3: Definir el Servicio de Invitados
Cree un nuevo Servicio en ClearPass para la autenticación de invitados.
- Tipo: Aplicación RADIUS (Genérico)
- Reglas de Servicio: Coincidir con
Radius:IETF:Called-Station-Idque contiene el nombre de su SSID de invitados. - Política de Enrutamiento: Seleccione la política creada en el Paso 2.
- Política de Aplicación: Configure una política para devolver el VSA
Aruba-User-Rolecon el valor correspondiente a su rol de invitado en el Aruba Controller.
Paso 4: Configurar el Walled Garden en el Controller
El walled garden es una lista de dominios a los que un dispositivo puede acceder antes de la autenticación. Esto se configura en el Aruba Controller (o mediante reglas de acceso en ArubaOS 10). Debe incluir los dominios principales de Purple:
*.purple.ai*.cloudfront.net*.venuewifi.com
Si está habilitando inicios de sesión con redes sociales, también debe agregar los dominios de OAuth para cada proveedor (por ejemplo, *.facebook.com, *.google.com, *.microsoftonline.com).
Paso 5: Configurar la Contabilidad RADIUS
Asegúrese de que la contabilidad RADIUS también se envíe a través de ClearPass a Purple. Purple utiliza los datos de contabilidad (Acct-Start, Acct-Interim-Update, Acct-Stop) para rastrear la duración de la sesión y alimentar su panel de WiFi Analytics . Establezca el intervalo de contabilidad en 5 minutos en el Aruba Controller.
Mejores Prácticas
Para garantizar una implementación sólida y consistente, siga estas recomendaciones estándar de la industria.
- Segregar el Tráfico de Forma Estricta: Coloque siempre el tráfico de invitados en una VLAN dedicada sin ruta hacia los recursos corporativos. Este es un requisito fundamental para PCI-DSS y la seguridad general de la red.
- Enviar Datos de Contabilidad por Proxy: No descuide la contabilidad RADIUS. Si los paquetes de contabilidad no llegan a Purple, sus análisis de visitas y reportes de tiempo de permanencia estarán incompletos.
- Habilitar WISPr: En el perfil de captive portal del Aruba Controller, asegúrese de que WISPr (Wireless Internet Service Provider roaming) esté habilitado. Este protocolo permite que los sistemas operativos móviles detecten automáticamente el captive portal y muestren la pantalla de inicio de sesión de manera fluida.
- Utilizar el Consentimiento de Elección Activa: Para el cumplimiento de GDPR, configure su portal de Purple para utilizar casillas de verificación de consentimiento explícito para comunicaciones de marketing en lugar de casillas previamente marcadas o consentimiento implícito [2].
Resolución de Problemas y Mitigación de Riesgos
Incluso con una configuración cuidadosa, las integraciones pueden fallar. Estos son los modos de falla más comunes y cómo resolverlos.
Configuración Incorrecta del Walled Garden
Si el captive portal no se carga en el dispositivo de un visitante, la causa raíz casi siempre es el walled garden. Los proveedores de inicio de sesión social actualizan con frecuencia sus rangos de IP de CDN y nombres de dominio. Trate al walled garden como una configuración en continuo cambio. Si falla un inicio de sesión social específico, utilice una captura de paquetes para identificar a qué dominio intenta acceder el dispositivo y agréguelo a la lista de permitidos.
Errores de Tiempo de Espera de RADIUS
El tiempo de espera predeterminado de RADIUS en la mayoría de los controladores Aruba es de 3 segundos. En una arquitectura de proxy, la solicitud de autenticación debe viajar desde el AP hasta el controlador, luego a ClearPass, de ahí a través de internet a la infraestructura de nube de Purple y de vuelta. En una red congestionada, este viaje de ida y vuelta puede superar fácilmente los 3 segundos, lo que hace que el controlador descarte la solicitud. Incremente el tiempo de espera de RADIUS en el controlador Aruba a por lo menos 10 segundos y configure la lógica de reintento.
Discrepancia en el Secreto Compartido
RADIUS se basa en secretos compartidos para la seguridad. Si el secreto compartido entre el controlador Aruba y ClearPass, o entre ClearPass y Purple, no coincide exactamente, la autenticación fallará de manera silenciosa. Al visitante no se le mostrará ningún mensaje de error útil. Verifique siempre estos secretos carácter por carácter si la autenticación está fallando.
Sensibilidad a Mayúsculas y Minúsculas en el Nombre del Rol
El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluyendo las mayúsculas y minúsculas. Si ClearPass devuelve guest-authenticated pero el controlador espera Guest-Authenticated, el visitante volverá al rol de inicio de sesión predeterminado y no obtendrá acceso a internet.
ROI e Impacto Comercial
Implementar Purple WiFi en lugar de un Captive Portal local básico ofrece un valor comercial medible en múltiples departamentos.
- Impacto de Marketing: Al capturar datos de primera mano a través del portal, los establecimientos experimentan un aumento significativo en sus bases de datos de marketing. Por ejemplo, Harrods logró un ROI de marketing de 57x utilizando Purple para impulsar los registros en su programa de lealtad [3].
- Eficiencia Operativa: La arquitectura de proxy RADIUS reduce la carga operativa para el departamento de TI. Los equipos de seguridad mantienen un panel de control único en ClearPass para todos los eventos de acceso a la red, lo que simplifica los informes de cumplimiento y la resolución de problemas.
- Monetización: Para los establecimientos en los sectores de transporte o hotelería , Purple permite modelos de ancho de banda por niveles. AGS Airports generó un ROI del 842% al implementar un nivel de WiFi premium de pago junto con un nivel básico gratuito [4].
Al implementar este despliegue conjunto, transforma su red de invitados de un centro de costos a un activo generador de ingresos, al mismo tiempo que mantiene la rigurosa postura de seguridad que requiere el departamento de TI empresarial.
Referencias
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."
Definiciones clave
Proxy RADIUS
Una arquitectura en la que un servidor intermedio (ClearPass) recibe solicitudes de autenticación de un dispositivo de red (controlador Aruba) y las reenvía al servidor backend adecuado (Purple), lo que permite al proxy inspeccionar, registrar o modificar el tráfico.
Se utiliza para mantener un único registro de auditoría de seguridad en ClearPass mientras se permite que Purple gestione la autenticación de invitados.
Walled Garden
Un entorno limitado que controla el acceso de un usuario al contenido web antes de que se haya autorizado por completo en la red.
Esencial para los captive portals; el walled garden debe permitir el acceso a los dominios de alojamiento del portal y a los proveedores de inicio de sesión con redes sociales para que se pueda cargar la página de inicio de sesión.
Atributo específico del proveedor (VSA)
Campos de datos personalizados dentro del protocolo RADIUS que permiten a los proveedores de hardware admitir funciones propietarias no definidas en los RFC estándar de RADIUS.
ClearPass utiliza el VSA 'Aruba-User-Role' para indicarle al controlador Aruba exactamente qué rol de firewall y VLAN asignar a un usuario invitado.
802.1X
Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.
El protocolo principal utilizado por ClearPass para proteger los dispositivos corporativos, normalmente utilizando EAP-TLS con certificados.
Captive Portal
Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.
Purple proporciona la interfaz de captive portal para capturar datos de los visitantes, mostrar la marca y recopilar el consentimiento de marketing.
Bypass de autenticación de MAC (MAB)
Una técnica que utiliza la dirección MAC de un dispositivo para autenticarlo en la red cuando el dispositivo no admite suplicantes 802.1X.
Utilizado por ClearPass para perfilar y autenticar dispositivos IoT sin pantalla como televisiones inteligentes o termostatos, ubicándolos en una VLAN aislada.
Asignación dinámica de VLAN
El proceso de asignar automáticamente un dispositivo a una red de área local virtual específica en función de sus credenciales de autenticación o rol, en lugar del SSID al que se conectó.
Permite que una sola infraestructura de red física segmente de forma segura el tráfico corporativo, de invitados y de IoT.
WISPr
Roaming de proveedor de servicios de internet inalámbrico; un protocolo que permite a los dispositivos detectar automáticamente los portales cautivos.
Debe estar habilitado en el controlador Aruba para que los dispositivos móviles muestren automáticamente la pantalla de inicio de sesión de Purple al conectarse al WiFi de invitados.
Ejemplos resueltos
Un hotel de 500 habitaciones necesita implementar WiFi corporativo seguro para el personal y un portal de invitados de marca con captura de datos para los visitantes, utilizando los controladores Aruba y ClearPass existentes.
Implemente dos SSID: 'Hotel_Corp' y 'Hotel_Guest'. Configure 'Hotel_Corp' para la autenticación 802.1X contra Active Directory a través de ClearPass, asignando al personal a la VLAN 10. Configure 'Hotel_Guest' como una red abierta que redirija al captive portal de Purple. Configure ClearPass como un proxy RADIUS para el SSID de invitados, reenviando las solicitudes a Purple. Configure ClearPass para devolver el VSA 'Aruba-User-Role' tras una autenticación exitosa en Purple, asignando a los invitados a una VLAN 20 aislada.
Los visitantes se están conectando al SSID de invitados, pero la página del captive portal de Purple no se carga en sus dispositivos.
Revise y actualice la configuración del walled garden en el controlador Aruba. Asegúrese de que los dominios principales de Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estén explícitamente permitidos. Si el inicio de sesión con redes sociales está habilitado, verifique que todos los dominios de OAuth necesarios (por ejemplo, *.facebook.com, *.google.com) también estén incluidos en la lista de permitidos previa a la autenticación.
Preguntas de práctica
Q1. Ha configurado ClearPass para actuar como proxy de autenticación de invitados hacia Purple. El invitado se autentica con éxito en el portal de Purple, pero el controlador Aruba lo coloca en el rol 'logon' predeterminado sin acceso a internet en lugar del rol 'guest-access' previsto. ¿Cuál es el error de configuración más probable?
Sugerencia: Verifique cómo comunica ClearPass la asignación de roles de regreso al controlador.
Ver respuesta modelo
La sensibilidad a mayúsculas y minúsculas del nombre del rol no coincide. El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba. Si hay un error tipográfico o una diferencia en las mayúsculas (por ejemplo, 'Guest-Access' frente a 'guest-access'), el controlador no reconocerá el rol y colocará al usuario en el estado restringido predeterminado.
Q2. Una cadena de tiendas departamentales desea implementar Purple WiFi para la analítica de invitados, pero su equipo de seguridad insiste en que todos los eventos de autenticación de red se registren de forma centralizada en su sistema Aruba ClearPass existente para fines de cumplimiento. ¿Cómo debería diseñarse la arquitectura?
Sugerencia: Considere cómo fluye el tráfico RADIUS entre los puntos de acceso, ClearPass y Purple.
Ver respuesta modelo
Implemente una arquitectura de proxy RADIUS. Configure los controladores Aruba para enviar todas las solicitudes RADIUS a ClearPass. En ClearPass, cree una política de enrutamiento que reenvíe las solicitudes del SSID de invitados a los servidores RADIUS en la nube de Purple. Esto garantiza que Purple gestione el portal de invitados y las analíticas, mientras que ClearPass mantiene un historial de auditoría completo y centralizado de todos los eventos de autenticación.
Q3. Después de implementar la integración, el equipo de marketing informa que el tablero de analíticas de Purple muestra cero datos para el "tiempo de permanencia" de los visitantes, a pesar de que los invitados se conectan y usan internet con éxito. ¿Qué paso de configuración se omitió?
Sugerencia: Los cálculos de tiempo de permanencia requieren actualizaciones continuas sobre el estado de la sesión, no solo la autenticación inicial.
Ver respuesta modelo
El accounting de RADIUS no se está enviando mediante proxy a Purple. Aunque el proxy de autenticación permite a los usuarios acceder a la red, Purple requiere paquetes de accounting de RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular la duración de la sesión y el tiempo de permanencia. Debe asegurarse de que ClearPass esté configurado para enviar datos de accounting a Purple como proxy, y que el controlador esté configurado para enviar actualizaciones intermitentes (por ejemplo, cada 5 minutos).
Continúe leyendo esta serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.
Passpoint y OpenRoaming: Guía completa
Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.
Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior
Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.