Captive Portal para Aruba

Resumen ejecutivo

Para los ingenieros inalámbricos empresariales, arquitectos de red y directores de operaciones de recintos, implementar una infraestructura inalámbrica de invitados robusta ya no se trata solo de proporcionar acceso básico a internet. Los recintos modernos requieren una solución que equilibre una seguridad de red estricta, el cumplimiento normativo y una experiencia de invitado de alta conversión. Aunque las capacidades nativas de Captive Portal de HPE Aruba son altamente confiables, carecen de la captura sofisticada de datos de marketing, la escalabilidad global multisitio y los análisis demográficos y de ubicación en tiempo real que requieren los recintos empresariales en los sectores de hospitalidad, retail y público.

Al integrar Purple directamente con los puntos de acceso administrados por Aruba Instant (IAP) o Aruba Central, las organizaciones pueden reemplazar las páginas de inicio locales básicas con un portal de invitados global, seguro y altamente escalable. Esta integración aprovecha los protocolos de red estándar, incluyendo el Servicio de usuario de marcado de autenticación remota (RADIUS) y el roaming de proveedor de servicios de internet inalámbrico (WISPr), para ofrecer una incorporación fluida, segura y consistente con la marca. Esta guía de referencia técnica proporciona los parámetros de configuración exactos, los diagramas de arquitectura y los flujos de trabajo de resolución de problemas necesarios para implementar con éxito Purple en la infraestructura de Aruba.

Análisis técnico profundo

La integración de Purple con la infraestructura inalámbrica de Aruba se basa en un flujo estándar de redirección de Captive Portal externo y autenticación RADIUS. Esta arquitectura garantiza que la autenticación de usuarios y la contabilidad de tráfico se manejen de forma segura en la nube, mientras que los puntos de acceso locales aplican las políticas de control de acceso y calidad de servicio (QoS).

El flujo de redirección del Captive Portal

Cuando un cliente no autenticado se asocia con el identificador de conjunto de servicios (SSID) de invitados, el punto de acceso de Aruba intercepta la solicitud HTTP inicial del cliente (normalmente el puerto TCP 80) y realiza una redirección HTTP 302 a la página de inicio de Purple alojada en la nube.

+--------------+             +-----------------+             +------------------+             +------------------+
| Dispositivo  |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Cliente)  |             |  (Central/IAP)  |             |  Portal (Nube)   |             |  Servidor (Nube) |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Se asocia al SSID ----->|                               |                                |
       |                              |                               |                                |
       |-- 2. Solicitud HTTP (TCP 80)>|                               |                                |
       |                              |-- 3. Redirección HTTP 302 --->|                                |
       |<-- 4. Presenta página de inicio -----------------------------|                                |
       |                              |                               |                                |
       |-- 5. Envía formulario de inicio ---------------------------->|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |   (con tiempo de espera de ses.)                               |
       |<-- 8. Internet otorgado -----|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. Inicio contabilidad RADIUS ------------------------------>|
       |                              |-- 10. Intermedio contabilidad RADIUS (cada 5 min) ------------>|

Parámetros de autenticación y contabilidad RADIUS

Una vez que el invitado envía sus credenciales o completa un inicio de sesión social en la página de inicio de Purple, el backend del portal de Purple se comunica con el punto de acceso o controlador local de Aruba para iniciar la autenticación RADIUS. El AP de Aruba actúa como el Servidor de acceso a la red (NAS) y envía un Access-Request de RADIUS a los servidores RADIUS en la nube de Purple en el puerto UDP 1812.

Para garantizar un seguimiento preciso de la sesión, la aplicación de políticas y los informes, se deben intercambiar los siguientes atributos RADIUS:

La arquitectura de Walled Garden (lista de excepciones)

Antes de que un usuario se autentique, el AP de Aruba restringe todo el tráfico excepto para los destinos definidos explícitamente en el Walled Garden (o lista de excepciones). Debido a que el portal de Purple está alojado en la nube y depende de proveedores de identidad externos (como Google, Facebook y Apple) para la autenticación social, el AP debe permitir que los clientes no autenticados resuelvan el DNS y se comuniquen con estos dominios externos.

Si se omite algún dominio requerido del walled garden, el invitado experimentará una página en blanco, CSS roto, imágenes faltantes o un tiempo de espera agotado por completo durante el flujo de inicio de sesión.

Guía de implementación

La implementación de Purple en la infraestructura inalámbrica de Aruba se puede realizar a través de Aruba Instant (IAP) con ArubaOS 8.x (modo de controlador virtual local) o Aruba Central (AOS-8 o AOS-10 administrado en la nube).

Configuración de Aruba Instant (IAP) (ArubaOS 8.x)

Paso 1: Configurar los servidores RADIUS

1. Inicie sesión en la interfaz web del controlador virtual de Aruba Instant AP.
2. Vaya a Security > Authentication Server y haga clic en New.
3. Configure el Primary RADIUS Server con los siguientes parámetros:
   • Name: Purple_Primary
   • IP Address: 34.94.146.135
   • Auth Port: 1812
   • Acct Port: 1813
   • Shared Key: [Proporcionado en su panel de control de Purple Venue]
4. Haga clic en OK para guardar.
5. Haga clic en New nuevamente para configurar el Secondary RADIUS Server:
   • Name: Purple_Secondary
   • IP Address: 34.94.183.201
   • Auth Port: 1812
   • Acct Port: 1813
   • Shared Key: [Proporcionado en su panel de control de Purple Venue]
6. Haga clic en OK para guardar.

Paso 2: Crear el perfil de Captive Portal

1. Vaya a Security > Captive Portal y haga clic en New.
2. Configure el perfil con los siguientes ajustes:
   • Name: Purple_Portal
   • Type: External
   • IP or Hostname: portal.venuewifi.com
   • URL: /
   • Port: 443
   • Use HTTPS: Enabled
   • Redirect URL: https://portal.venuewifi.com
   • WISPr: Enabled (Crucial para activar automáticamente el portal en dispositivos iOS y Android)
3. Haga clic en OK para guardar.

Paso 3: Configurar la lista de permitidos (Whitelist) de Walled Garden

1. En el menú Security > Captive Portal, seleccione su perfil Purple_Portal recién creado.
2. En la sección Walled Garden, haga clic en el enlace para abrir la configuración de la lista de permitidos.
3. Agregue los siguientes dominios principales de Purple:
   • *.purple.ai
   • *.cloudfront.net
   • *.venuewifi.com
4. Si el inicio de sesión con redes sociales está habilitado, agregue los dominios respectivos (por ejemplo, *.google.com, *.facebook.com, *.apple.com).
5. Haga clic en Save.

Paso 4: Crear y configurar el SSID de invitados

1. Vaya a Network > New para iniciar el asistente de WLAN.
2. En la pestaña WLAN Settings:
   • Name (SSID): Guest-WiFi
   • Primary Usage: Guest
   • Haga clic en Next.
3. En la pestaña VLAN, configure la asignación de IP y VLAN de acuerdo con su arquitectura de red (normalmente Client IP assignment: Network Assigned en una VLAN de invitados dedicada). Haga clic en Next.
4. En la pestaña Security:
   • Splash Page Type: External
   • Captive Portal Profile: Seleccione Purple_Portal
   • Auth Server 1: Seleccione Purple_Primary
   • Auth Server 2: Seleccione Purple_Secondary
   • Reauth Interval: 1440 (24 horas, o según la política del establecimiento)
   • Accounting: Enabled
   • Accounting Interval: 5 minutos
5. Haga clic en Next para continuar a la pestaña Access. Asegúrese de que la regla de invitados predeterminada permita la preautenticación de DHCP y DNS, luego haga clic en Finish.

Configuración de Aruba Central (AOS-8 y AOS-10)

Aruba Central AOS-8

1. Vaya a Devices en la sección Manage de su grupo en Aruba Central.
2. Haga clic en Config (icono de engranaje) en la parte superior derecha, luego vaya a la pestaña WLANs y haga clic en + Add SSID.
3. En el Step 1: General, ingrese el nombre del SSID (por ejemplo, Guest-WiFi) y haga clic en Next.
4. En el Step 2: VLANs, configure el mapeo de su VLAN de invitados y haga clic en Next.
5. En el Step 3: Security:
   • Establezca Security Level en Visitors.
   • Establezca Type en External Captive Portal.
   • Asegúrese de que Key Management esté configurado en Open (no use Enhanced Open/OWE para portales de invitados estándar, ya que puede causar problemas de compatibilidad con los clientes).
   • Haga clic en el icono + junto a Captive Portal Profile para agregar un nuevo perfil:
     • Name: Purple_Central_Portal
     • IP or Hostname: portal.venuewifi.com
     • URL: /
     • Port: 443
     • Redirect URL: https://portal.venuewifi.com
     • Use HTTPS: True
     • Captive Portal Failure: Deny Internet (Recomendado para el cumplimiento de seguridad)
   • Haga clic en Save.
   • Haga clic en el icono + junto a Primary Server y Secondary Server para agregar los servidores RADIUS de Purple utilizando las direcciones IP 34.94.146.135 y 34.94.183.201 respectivamente, con los puertos 1812 (Auth) y 1813 (Acct).
   • Expanda Advanced Settings, desplácese hasta Accounting, seleccione Use authentication servers y establezca Accounting Interval en 5 minutos.
6. Desplácese hacia abajo hasta la sección Walled Garden, haga clic en + Add e ingrese los dominios requeridos de Purple y de inicio de sesión con redes sociales.
7. Haga clic en Save Settings.

Aruba Central AOS-10

En AOS-10, la configuración de walled garden se traslada de la pestaña WLAN Security a Access Rules.

1. Siga los mismos pasos de configuración de SSID y RADIUS que en AOS-8 anteriormente.
2. En el SSID asistente, navegue a la pestaña Access.
3. Haga clic en + Add Role y cree un rol de preautenticación llamado Purple_Pre_Auth.
4. En el editor de reglas para este rol, configure reglas explícitas de tipo Allow (Permitir) para DNS, DHCP y los dominios requeridos del walled garden (por ejemplo, *.purple.ai, *.venuewifi.com).
5. Desplácese hacia abajo hasta Assign Pre-Authentication Role, habilite la opción y seleccione Purple_Pre_Auth en el menú desplegable.
6. El rol de postautorización (que normalmente coincide con el nombre del SSID) debe permanecer configurado con Allow any to all destinations o con sus políticas específicas de acceso corporativo.
7. Haga clic en Save Settings.

Mejores prácticas

Para garantizar el máximo rendimiento, seguridad y cumplimiento, los arquitectos de red deben adherirse a los siguientes estándares de la industria y mejores prácticas neutrales del proveedor al implementar Captive Portals en Aruba y Purple.

1. Gestión segura de certificados

Los puntos de acceso de Aruba deben presentar un certificado SSL/TLS válido y confiable durante el flujo de redirección del Captive Portal.

• Evite certificados autofirmados: Si el AP presenta un certificado autofirmado, los navegadores modernos mostrarán una advertencia muy visible de "La conexión no es privada", lo que dañará gravemente la confianza de los invitados y reducirá las tasas de conversión.
• Implemente un certificado de CA confiable: Suba un certificado comodín (wildcard) de una Autoridad de Certificación (CA) reconocida mundialmente a la configuración global de Aruba Central o a los controladores virtuales Instant. Asegúrese de que los certificados intermedios y raíz se combinen en un solo archivo para completar la cadena de confianza.

2. Segmentación de red y cumplimiento

El tráfico de invitados debe mantenerse completamente separado del tráfico corporativo y administrativo para mitigar los riesgos de seguridad y garantizar el cumplimiento de los estándares de la industria.

• Aislamiento de VLAN: Asocie el SSID de invitados a una VLAN dedicada y no enrutable. Utilice Listas de Control de Acceso (ACL) en el switch principal (core) ascendente o en el firewall para evitar cualquier enrutamiento entre la VLAN de invitados y las subredes corporativas internas.
• Cumplimiento de PCI DSS: Si su establecimiento procesa pagos con tarjeta (por ejemplo, puntos de venta minoristas), la segmentación de red es un requisito obligatorio según el Requisito 1.2 de PCI DSS [3]. El WiFi de invitados debe estar física o lógicamente aislado del Entorno de Datos de Tarjetahabientes (CDE).
• GDPR y privacidad de datos: Asegúrese de que el portal de Purple esté configurado para mostrar casillas de verificación de consentimiento explícitas y sin marcar para la suscripción a campañas de marketing, cumpliendo con los estrictos requisitos del Reglamento General de Protección de Datos (GDPR) [4].

3. Optimización de WISPr y detección de Captive Portal

Los sistemas operativos móviles modernos utilizan sondeos activos para detectar Captive Portals inmediatamente después de la asociación.

• Habilitar WISPr: Asegúrese siempre de que el soporte de WISPr esté habilitado en su perfil de Captive Portal de Aruba. Este protocolo pasa metadatos en formato XML al sistema operativo del cliente, lo que permite que iOS (Captive Network Assistant) y Android (Captive Portal Login) abran de manera fluida la pantalla de inicio de sesión en una ventana de navegador dedicada.
• Evitar problemas de "Enhanced Open" (OWE): Aunque el Cifrado Inalámbrico Oportunista (OWE) proporciona cifrado en redes abiertas, muchos dispositivos cliente heredados no lo admiten. Para redes públicas de invitados, mantenga la gestión de claves estándar Open para maximizar la compatibilidad de los dispositivos.

Resolución de problemas y mitigación de riesgos

Incluso con una planificación meticulosa, las implementaciones de Captive Portal pueden presentar fallas comunes. La siguiente matriz de resolución de problemas proporciona pasos inmediatos y prácticos para los ingenieros de redes inalámbricas.

Matriz de resolución de problemas de Captive Portal

ROI e impacto comercial

La transición de un Captive Portal básico y local a una plataforma de inteligencia de WiFi de nivel empresarial como PPurple ofrece resultados de negocio medibles en operaciones, marketing y gestión de redes.

Eficiencia operativa y escalabilidad

Gestionar Captive Portals locales individuales en cientos de tiendas de retail, hoteles o lugares públicos es un cuello de botella administrativo. Purple proporciona una consola centralizada y gestionada en la nube que permite a los equipos de TI implementar, actualizar y auditar configuraciones de Captive Portal a nivel global con un solo clic. Esto reduce la discrepancia de configuración, garantiza una imagen de marca coherente y reduce la carga administrativa hasta en un 60%.

Monetización de datos y ROI de marketing

Para sectores como el Retail y la Hospitalidad, el WiFi de invitados es un canal potente para la adquisición y el engagement de clientes. Purple reemplaza las conexiones anónimas con perfiles demográficos enriquecidos.

• Integración directa: Purple se integra con plataformas de CRM y automatización de marketing para activar campañas en tiempo real y adaptadas al contexto. Por ejemplo, un establecimiento de retail puede activar un SMS de descuento personalizado en el momento en que un cliente de su programa de lealtad se conecta al WiFi de invitados.
• Análisis de afluencia medible: Al analizar los datos de contabilidad de RADIUS y las asociaciones de BSSID, Purple proporciona informes altamente precisos de tiempo de permanencia, tasa de retorno y análisis de trayectoria. Estos datos permiten a los directores de operaciones de los establecimientos optimizar los niveles de personal, evaluar la efectividad de los escaparates y medir el ROI directo de las campañas de marketing.

Análisis de costo-beneficio: Aruba nativo frente a la integración con Purple