Cambium cnPilot y WiFi para invitados: configuración de Captive Portal con Purple

Integración de Cambium Networks cnPilot y cnMaestro con Purple WiFi. Un informe de consultoría. Bienvenido. Si administra un entorno de Cambium Networks y le han solicitado ofrecer una experiencia de WiFi para invitados que recopile datos, impulse el marketing y mantenga el cumplimiento, este informe es exactamente lo que necesita. Le guiaré a través de cómo se integran los puntos de acceso Cambium cnPilot, el controlador en la nube cnMaestro y Purple WiFi. Cubriremos la arquitectura, el flujo de autenticación RADIUS, la configuración de walled garden, el WiFi seguro para el personal mediante 802.1X y la segmentación multi-inquilino utilizando la función ePSK de Cambium con asignación dinámica de VLAN. Ya sea que administre un complejo hotelero, un portafolio de retail, un centro de conferencias o un campus del sector público, los principios son los mismos. Comencemos. Primero, una orientación rápida sobre las dos plataformas. Cambium Networks produce la gama cnPilot de puntos de acceso WiFi empresariales: los e410, e425H, e430H y e505 para despliegues en interiores y exteriores. Estos AP se gestionan de forma centralizada a través de cnMaestro, la plataforma de gestión en la nube de Cambium. cnMaestro le ofrece visibilidad centralizada, gestión de configuración y actualizaciones de firmware en todo su inventario de AP, ya sea un grupo de dispositivos en un solo sitio o miles de AP en un territorio nacional. Purple WiFi es una plataforma empresarial de inteligencia de WiFi para invitados. Gestiona el Captive Portal - la página de bienvenida con su marca que los invitados ven al conectarse - y también funciona como servidor de autenticación RADIUS, motor de captura de datos y plataforma de automatización de marketing. Purple opera en más de 80,000 sitios activos y ha procesado 440 millones de inicios de sesión tan solo en 2024. La combinación de Cambium cnMaestro y Purple le brinda una infraestructura de WiFi para invitados de nivel de producción que es tanto técnicamente sólida como comercialmente valiosa. Ahora, hablemos de la arquitectura de integración. El mecanismo central es un redireccionamiento de Captive Portal combinado con autenticación RADIUS. Así es como funciona el flujo en la práctica. Un dispositivo de invitado se asocia con su SSID de invitado. Ese SSID se configura en cnMaestro como una red abierta - sin clave precompartida para los invitados. El AP de Cambium intercepta la primera solicitud HTTP del dispositivo y la redirecciona a la URL del Captive Portal de Purple. Este redireccionamiento se configura en cnMaestro bajo los ajustes de Acceso de Invitados de la WLAN, donde se establece la URL de la página externa hacia el endpoint del portal de Purple de su sitio. Luego, el invitado interactúa con el portal de Purple. Puede autenticarse a través de inicio de sesión social, correo electrónico, verificación por SMS o un formulario personalizado. Una vez que completan el flujo de autenticación, el backend de Purple envía un mensaje de acceso aceptado de RADIUS (Access-Accept) de vuelta al AP de Cambium en el puerto UDP 1812. El AP entonces cambia el estado del dispositivo de pre-autenticación a acceso total a la red. Permítame guiarlo a través de los pasos exactos de configuración en cnMaestro. Navegue a Configuración, luego a Perfiles de WiFi, y después a WLANs. Cree una nueva WLAN para su red de invitados. Defina el nombre del SSID - como "Hotel Guest WiFi" - y configure la seguridad en Abierta. En Acceso de Invitados, habilite la opción de Portal Externo. Esta es la configuración clave que le indica a cnMaestro que redirija a los clientes no autenticados a un portal externo. Configure la URL de la Página Externa con la URL del portal de su sucursal de Purple. Habilite la autenticación RADIUS e ingrese la dirección IP del servidor RADIUS de Purple, el secreto compartido, y configure el puerto de autenticación en UDP 1812. Habilite la contabilidad RADIUS en el UDP 1813 - esto es crítico para que las analíticas de Purple funcionen correctamente. Sin los registros de contabilidad, Purple no puede generar datos de sesión, métricas de tiempo de permanencia o analíticas de frecuencia de visitas. Ahora, el portal cautivo (walled garden). Esta es la lista de dominios y direcciones IP a las que los dispositivos de los invitados pueden acceder antes de autenticarse. Debe agregar a la lista de permitidos el dominio del portal de Purple y cualquier endpoint de CDN utilizado para servir los recursos del portal. También debe agregar a la lista de permitidos cualquier dominio de proveedor de autenticación - si utiliza inicio de sesión social a través de Google o Facebook, sus dominios de OAuth deben estar en el walled garden. Un walled garden mal configurado es la causa más común de fallas en el Captive Portal. El dispositivo del invitado necesita resolver el DNS y llegar al portal de Purple a través de HTTPS antes de poder autenticarse. En cnMaestro, el walled garden se configura bajo los ajustes de Portal Externo. Agregue entradas para el dominio del portal de Purple, cualquier dominio de proveedor de inicio de sesión social y cualquier dominio de pasarela de pago si ofrece planes de WiFi de pago. Ahora hablemos sobre WiFi seguro para el personal utilizando IEEE 802.1X. Para las redes del personal, no se requiere un Captive Portal. Se necesita una autenticación basada en certificados o credenciales que se realice de forma silenciosa a nivel de dispositivo. En cnMaestro, cree una WLAN independiente para el personal. Configure la seguridad en WPA2-Enterprise. Configure los detalles del servidor RADIUS - de nuevo, la IP del servidor RADIUS de Purple en UDP 1812. Los dispositivos del personal se autentican utilizando EAP-PEAP con credenciales de usuario y contraseña, o EAP-TLS con certificados de dispositivo para el nivel de seguridad más alto. Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Esto significa que su personal puede autenticarse al WiFi utilizando sus credenciales corporativas existentes - sin necesidad de gestionar una contraseña de WiFi independiente. Purple valida las credenciales con su proveedor de identidad y devuelve un Access-Accept al AP de Cambium. La asignación dinámica de VLAN coloca entonces al dispositivo del personal autenticado en la VLAN de personal correcta, aislándolo del tráfico de invitados. Ahora, segmentación multi-inquilino utilizando ePSK de Cambium. ePSK - enhanced pre-shared key - es la implementación de Cambium de lo que la industria llama PPSK o iPSK. El concepto es sencillo: en lugar de una contraseña compartida para todo un SSID, cada usuario o inquilino obtiene su propia frase de contraseña única. Todos se conectan al mismo SSID, pero cada clave única se asigna a una VLAN específica, lo que le brinda aislamiento de red sin la complejidad de ejecutar múltiples SSID. cnMaestro admite hasta 2,000 entradas ePSK por WLAN. Cada ePSK se puede asignar a un ID de VLAN específico, un límite de velocidad y una fecha de vencimiento. Esto lo hace ideal para entornos multi-inquilino - piense en un centro de conferencias donde cada expositor obtiene su propio segmento de red aislado, o un edificio residencial de alquiler donde cada residente obtiene su propia red de área privada. Para configurar ePSK en cnMaestro, navegue a Configuration, WiFi Profiles, WLANs. Cree una nueva WLAN. Establezca la seguridad en WPA2 Pre-Shared Key. Habilite la opción ePSK. Luego puede agregar entradas ePSK individuales manualmente o usar la API de cnMaestro para aprovisionarlas mediante programación - que es el enfoque ideal para implementaciones a gran escala. Para cada entrada ePSK, establezca la frase de contraseña, el ID de VLAN asignado y, opcionalmente, el límite de velocidad y el vencimiento. Cuando un dispositivo se conecta usando esa frase de contraseña, el AP de Cambium lo coloca automáticamente en la VLAN asignada. No se requiere RADIUS para el flujo ePSK en sí - la asignación de VLAN la maneja localmente el AP según la frase de contraseña utilizada. Purple se integra con este modelo gestionando el ciclo de vida de ePSK a través de la API de cnMaestro. Purple puede aprovisionar nuevas entradas ePSK cuando se incorpora un nuevo inquilino, actualizar la asignación de VLAN, establecer fechas de vencimiento y revocar el acceso cuando un inquilino se va. Esto elimina la carga manual de administrar cientos o miles de claves individuales. Bien, hablemos de lo que puede salir mal y cómo evitarlo. El error más común es el walled garden. Si las entradas de su walled garden están incompletas, la redirección del Captive Portal nunca se completa. Los invitados ven un tiempo de espera de conexión agotado, no una página de inicio de sesión. Pruebe siempre con un dispositivo nuevo - no con uno que se haya conectado anteriormente - y verifique que el portal de Purple se cargue antes de la autenticación. Verifique que la resolución DNS funcione para el dominio del portal de Purple desde el estado de preautenticación. Segundo: discrepancias en el secreto compartido de RADIUS. En implementaciones grandes con múltiples sitios, es fácil tener un secreto compartido configurado de manera diferente en cnMaestro en comparación con lo que Purple tiene registrado. Verifique siempre el secreto compartido en ambos lados antes de la puesta en marcha. Use un secreto seguro generado aleatoriamente - de al menos 32 caracteres - y almacénelo en un administrador de secretos, no en una hoja de cálculo. Tercero: contabilidad de RADIUS. No lo omita. Los registros de contabilidad son lo que Purple utiliza para crear análisis de sesiones - tiempo de permanencia, frecuencia de visitas, tipo de dispositivo. Configure la contabilidad de RADIUS en el puerto UDP 1813 en cnMaestro. Sin esto, perderá el valor analítico que proporciona Purple. Es un paso de configuración de cinco minutos. Cuarto: trunking de VLAN. Para que la asignación dinámica de VLAN funcione, las VLAN deben estar en modo trunk en los puertos del switch que se conectan a sus AP de Cambium. Si la VLAN 100 para invitados no está permitida en el trunk, los invitados autenticados no obtendrán una dirección IP y parecerá que no tienen acceso a internet incluso después de una autenticación exitosa. Verifique la configuración del trunk de su switch antes de realizar pruebas. Quinto: conflictos de rango de VLAN de ePSK. Asegúrese de que su rango de VLAN de ePSK no entre en conflicto con las VLAN existentes en su red - particularmente las VLAN de administración o de infraestructura. Documente su asignación de VLAN antes de comenzar. Sexto: versión de firmware. Asegúrese de que sus AP cnPilot tengan la versión de firmware 6.0 o posterior para obtener soporte completo de hotspot externo y funcionalidad ePSK. Las versiones anteriores de firmware tienen problemas conocidos con el comportamiento de redirección del Captive Portal. Ahora, algunas preguntas rápidas. ¿Puedo usar Purple con Cambium sin RADIUS - solo una redirección simple? Sí, pero perderá la asignación dinámica de VLAN y los datos de contabilidad de sesión. Para cualquier cosa más allá de una página de bienvenida básica, se recomienda encarecidamente RADIUS. ¿Soporta Purple WPA3 en los AP de Cambium? Sí. La autenticación basada en portal de Purple es compatible con WPA3-SAE en el SSID. El flujo de RADIUS es independiente del protocolo de seguridad inalámbrica. ¿Puedo ejecutar Purple en múltiples sitios de Cambium desde una sola cuenta de Purple? Absolutamente. La arquitectura multi-venue de Purple está diseñada exactamente para esto. Cada sitio se asigna a un venue en Purple, y las políticas de red de cnMaestro se escalan de manera limpia en todo un patrimonio nacional. ¿Cuántas entradas de ePSK puede soportar cnMaestro? Hasta 2,000 por WLAN. Para implementaciones que requieran más, use un enfoque basado en RADIUS para la gestión de claves. En resumen: la integración de Cambium cnMaestro y Purple WiFi es una arquitectura de eficacia probada que ofrece WiFi para invitados con captura de datos, autenticación RADIUS, segmentación dinámica de VLAN y analíticas completas - todo gestionado de forma centralizada a través de la consola en la nube de cnMaestro. Los pasos clave para poner esto en marcha: configure su WLAN de invitados en cnMaestro con el Hotspot Externo habilitado y la URL del portal de Purple configurada, agregue los detalles del servidor RADIUS de Purple para la autenticación y contabilidad, configure sus entradas de walled garden, verifique el trunking de VLAN en sus switches y realice pruebas con un dispositivo nuevo antes del lanzamiento. Para implementaciones multi-tenant, configure ePSK en una WLAN dedicada, asigne ID de VLAN por tenant y use la API de cnMaestro para la gestión del ciclo de vida a escala. El caso de ROI es sencillo. La plataforma de analíticas de Purple convierte su WiFi para invitados de un centro de costos a un activo de datos de primera mano. Harrods logró un ROI de marketing de 57 veces con su implementación de WiFi para invitados de Purple. AGS Airports generó un ROI del 842%. Combinado con la infraestructura de nivel empresarial de Cambium, obtiene una solución que se escala desde un solo venue hasta un patrimonio nacional sin cambios arquitectónicos. Para los siguientes pasos: obtenga los detalles del servidor RADIUS de Purple a través de su gerente de cuenta de Purple, abra la configuración de WLAN de cnMaestro para su SSID de invitados y revise la lista de verificación de configuración. La mayoría de las implementaciones en un solo sitio se activan en un día. Gracias por escucharnos. Si desea profundizar en el diseño de Captive Portal, la estrategia de segmentación de VLAN o la gestión del ciclo de vida de ePSK, la documentación y el equipo de soporte de Purple son el siguiente paso ideal.