Saltar al contenido principal
Español (México)

Captive Portal para Aruba

Una guía de referencia técnica autorizada para configurar puntos de acceso gestionados por Aruba Instant (IAP) y Aruba Central para redirigir a los usuarios invitados al Captive Portal externo, seguro y de alta conversión de Purple. Esta guía cubre la configuración paso a paso del SSID de invitados, la redirección al Captive Portal externo, los parámetros de autenticación y contabilidad del servidor RADIUS, las listas de excepciones de walled garden y el soporte de WISPr.

📖 11 min de lectura📝 2,686 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
CAPTIVE PORTAL PARA ARUBA: INTEGRACIÓN DE PURPLE PARA GUEST WIFI EMPRESARIAL Una sesión técnica de Purple — Aproximadamente 10 minutos [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Le damos la bienvenida a la serie de sesiones técnicas de Purple. Soy su anfitrión y hoy hablaremos de un tema recurrente en casi todas las conversaciones sobre despliegues de redes inalámbricas empresariales: cómo configurar un captive portal en la infraestructura de Aruba y, específicamente, cómo conectar ese portal a la plataforma de inteligencia de guest WiFi de Purple. Si utiliza APs de Aruba Instant o administra una flota de puntos de acceso a través de Aruba Central, este episodio es para usted. Avanzaremos rápido —esta es una sesión práctica para profesionales, no una clase teórica—, por lo que asumiré que ya conoce la pantalla de configuración de WLAN y comprende los aspectos básicos de la autenticación RADIUS. El problema fundamental que resolveremos es este: el portal de invitados integrado de Aruba es funcional, pero limitado. No ofrece la captura de datos de marketing, los flujos de consentimiento conformes con GDPR ni los análisis en tiempo real que requieren los entornos empresariales. Reemplazarlo con el captive portal externo de Purple es la decisión de arquitectura correcta, y hoy le guiaré detalladamente sobre cómo hacerlo. [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Comencemos con la arquitectura. Cuando un invitado se conecta a su SSID de Aruba y abre un navegador, el AP intercepta esa solicitud HTTP en el puerto TCP 80 y la redirige a la URL del portal externo (en este caso, la página de bienvenida de Purple alojada en la nube). El invitado se autentica a través del portal de Purple, el cual envía un Access-Request de RADIUS a los servidores RADIUS de Purple en el puerto UDP 1812. Si la autenticación es exitosa, el servidor RADIUS devuelve un mensaje Access-Accept y el AP otorga al cliente acceso completo a Internet. Los registros de contabilidad se envían a través del puerto UDP 1813 durante toda la sesión. Ese es el flujo fundamental. Ahora pasemos a la configuración. Existen dos planos de gestión con los que podría trabajar: Aruba Instant, que es el modelo de controlador virtual on-premises que ejecuta ArubaOS 8.x, y Aruba Central, que es la plataforma de gestión en la nube de HPE. Los pasos de configuración son similares en concepto, pero difieren en la ubicación de los ajustes. Comencemos con Aruba Instant en ArubaOS 8. Primero, configurará su servidor RADIUS. Diríjase a Security (Seguridad), luego a Authentication Server (Servidor de autenticación) y haga clic en New (Nuevo). Necesitará cuatro datos de la plataforma de Purple: la dirección IP del servidor primario, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (normalmente 1813) y el secreto compartido. Purple proporciona estos datos en su panel de configuración del establecimiento. Agregue un servidor secundario para mayor redundancia; Purple opera una infraestructura RADIUS multirregión, por lo que dispondrá de un respaldo adecuado según su ubicación geográfica. A continuación, cree el perfil de Captive Portal externo. Vaya a Seguridad, luego a Captive Portal, haga clic en Nuevo y establezca el Tipo en Externo. Ingrese la URL de la página de inicio desde la configuración de su recinto de Purple; este será un endpoint HTTPS alojado por Purple. Establezca el puerto en 443, habilite Usar HTTPS y, fundamentalmente, establezca el campo WISPr en Habilitado. WISPr (Wireless Internet Service Provider roaming) es el protocolo que permite a los dispositivos detectar automáticamente el Captive Portal y presentarlo correctamente, en particular en dispositivos iOS y Android que utilizan la detección de Captive Portal en segundo plano. Sin WISPr habilitado, algunos dispositivos no lograrán activar el portal automáticamente. Ahora, el SSID de invitados. Cree una nueva WLAN, establezca el Uso primario en Invitado y, en la pestaña Seguridad, establezca el Tipo de página de inicio en Externo - Servidor RADIUS. Asigne el perfil de Captive Portal y el servidor RADIUS que acaba de crear. Establezca el Intervalo de autenticación en algo sensato: 1440 minutos, que son 24 horas, es una opción común para entornos de hotelería. Habilite la autenticación MAC si desea que los invitados que regresan omitan el portal en visitas posteriores dentro de ese período. Para Aruba Central en AOS-8, el flujo es esencialmente el mismo, pero se accede a través del asistente de WLAN en Dispositivos, Configuración, WLAN. Establezca el Nivel de seguridad en Visitantes, el Tipo en Captive Portal externo y cree un nuevo perfil de Captive Portal con la URL de inicio de Purple. Agregue sus servidores RADIUS principal y secundario, habilite accounting y establezca un intervalo de accounting de cinco minutos. Este intervalo es importante: garantiza que la plataforma de analítica de Purple reciba actualizaciones periódicas de la sesión para generar informes precisos de tiempo de permanencia e interacción. En AOS-10, que es la arquitectura diseñada primero para la nube, hay una diferencia importante: el walled garden ya no se configura en la pestaña de Seguridad de la WLAN. En su lugar, se configura a través de Reglas de acceso. Cree un rol de preautenticación (llámelo Guest Logon) y agregue reglas de permitidos para cada dominio en la lista blanca del walled garden. Luego, asigne ese rol como el Rol de preautenticación en el SSID. Hablando del walled garden: aquí es donde la mayoría de las implementaciones fallan. El walled garden es la lista de dominios a los que los invitados no autenticados pueden acceder antes de completar el flujo del portal. Sin estas entradas, el portal no se cargará, ya que el dispositivo del invitado no podrá comunicarse con la CDN de Purple para descargar los recursos de la página de inicio. Las entradas obligatorias de Purple son: asterisco punto purple punto ai, asterisco punto cloudfront punto net y asterisco punto venuewifi punto com. Si utiliza el inicio de sesión con redes sociales (Google, Facebook, Apple, Microsoft), deberá agregar los dominios de OAuth correspondientes para cada proveedor. Google requiere asterisco punto google punto com, asterisco punto googleapis punto com y asterisco punto gstatic punto com. Facebook requiere asterisco punto facebook punto com, asterisco punto fbcdn punto net y connect punto facebook punto net. El inicio de sesión de Apple necesita asterisco punto apple punto com y appleid punto apple punto com. Microsoft Entra ID requiere asterisco punto microsoft punto com y asterisco punto microsoftonline punto com. Un aspecto que vale la pena destacar: en Aruba, puede habilitar la lista blanca automática de URL en el perfil del Captive Portal. Esta función agrega dinámicamente a la lista blanca las URL a las que hace referencia la página del portal. Es útil como alternativa de respaldo, pero recomiendo configurar explícitamente el walled garden en lugar de depender de la lista blanca automática en producción; es más predecible y fácil de auditar. Hablemos específicamente de los parámetros de RADIUS. Los atributos clave que utiliza Purple son: NAS-IP-Address, que identifica su AP o controlador; Called-Station-Id, que transporta el BSSID y el SSID en el formato dirección-MAC:nombre-SSID (Purple utiliza esto para mapear sesiones a ubicaciones y puntos de acceso específicos); y Calling-Station-Id, que es la dirección MAC del cliente. Por el lado del direccionamiento de cuentas (accounting), Acct-Session-Id proporciona el identificador único de sesión, y Acct-Status-Type transporta los eventos Start, Interim-Update y Stop. Asegúrese de que su configuración de Aruba envíe los tres tipos de eventos de accounting; algunas implementaciones solo envían Start y Stop, lo que significa que las analíticas de Purple perderán los datos de sesión intermedios necesarios para calcular el tiempo de permanencia con precisión. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame compartirle las recomendaciones prácticas que le daría a cualquier cliente que vaya a implementar esto. Primero: siempre realice pruebas con un dispositivo de prueba dedicado antes de pasar a producción. Conéctese al SSID de invitados, abra un navegador en una URL HTTP (no HTTPS) y verifique que se active la redirección. Si va directamente a HTTPS, la redirección no funcionará porque el AP no puede interceptar el tráfico cifrado. Este es el principal motivo de llamadas de soporte que recibimos. Segundo: reglas de firewall. La VLAN de administración de su AP o controlador necesita acceso UDP saliente a las IP de los servidores RADIUS de Purple en los puertos 1812 y 1813. Si tiene un firewall con estado (stateful) entre sus AP y el internet, asegúrese de que permita estos flujos UDP. RADIUS no está orientado a la conexión, por lo que algunos firewalls requieren reglas explícitas en lugar de depender de la inspección de estado. Tercero: confianza de certificados. Al configurar la URL de la página de inicio (splash page) como HTTPS, el AP debe confiar en el certificado presentado por el servidor del portal de Purple. En Aruba Central, es posible que deba importar un certificado de CA de confianza en la configuración global antes de que la redirección del portal funcione correctamente a través de HTTPS. Purple utiliza certificados de una CA de amplia confianza, pero vale la pena verificar esto en su entorno. Cuarto: segmentación de VLAN. Su SSID de invitados debe estar en una VLAN dedicada y aislada de su red corporativa. Esto es tanto un requisito de seguridad (PCI DSS 3.2.1 requiere segmentación de red para entornos de datos de titulares de tarjetas) como una necesidad práctica para el funcionamiento del Captive Portal. La VLAN de invitados debe tener acceso a internet pero no ruta hacia los recursos internos. Quinto: la configuración de WISPr. Ya mencioné esto anteriormente, pero vale la pena repetirlo. Habilite WISPr. Sin esto, los dispositivos iOS en particular no detectarán automáticamente el Captive Portal, y los invitados experimentarán una situación confusa donde parecerá que están conectados pero no tendrán acceso a internet. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar las preguntas que recibo con más frecuencia. ¿Puedo usar Aruba Instant On —el producto para pequeñas empresas— con Purple? Sí, con algunas limitaciones. Instant On es compatible con captive portals externos, pero la interfaz de configuración es más limitada que la de Aruba Central completo. Purple cuenta con una guía de integración dedicada para Instant On. ¿Soporta Purple RadSec para RADIUS cifrado? Sí. Purple es compatible con RADIUS sobre TLS —RadSec— para implementaciones donde el tráfico RADIUS atraviesa redes no confiables. Esto es cada vez más relevante para implementaciones administradas en la nube donde el intercambio RADIUS cruza el internet público. ¿Qué pasa si el portal de Purple no está disponible? Puede configurar el parámetro de falla del Captive Portal como Deny Internet —que es la opción segura por defecto— o Allow Internet, que proporciona un modo de acceso abierto de respaldo. Para la mayoría de los recintos empresariales, Deny Internet es la opción correcta. ¿Puedo ejecutar múltiples SSIDs con diferentes recintos de Purple en la misma infraestructura de Aruba? Absolutamente. Cada SSID obtiene su propio perfil de captive portal que apunta a una URL de recinto de Purple diferente. El atributo RADIUS Called-Station-Id lleva el nombre del SSID, el cual Purple utiliza para enrutar la sesión a la configuración del recinto correcta. [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] En resumen: implementar Purple como un captive portal externo en la infraestructura de Aruba es una ruta de integración muy consolidada. Los pasos clave son: configurar sus servidores RADIUS con las credenciales de Purple, crear un perfil de captive portal externo que apunte a la URL de su página de inicio de Purple con WISPr habilitado, crear su SSID de invitados con el tipo de splash de Servidor RADIUS Externo, y configurar su walled garden con los dominios principales de Purple más los dominios de los proveedores de inicio de sesión social que vaya a habilitar. La diferencia de AOS-10 a tener en cuenta es que la configuración del walled garden se traslada a las Access Rules en lugar de a la pestaña de Seguridad WLAN. Desde una perspectiva de negocio, reemplazar el portal local básico de Aruba con Purple le brinda captura de datos que cumple con GDPR, análisis de ubicación en tiempo real, informes demográficos y automatización de marketing, todo desde la misma infraestructura WiFi que ya posee. Para sus próximos pasos: obtenga las credenciales RADIUS de su recinto de Purple desde el panel de control de Purple, revise la lista de verificación de configuración en la guía escrita adjunta y realice pruebas con un dispositivo dedicado antes de implementarlo en producción. Si está realizando la implementación en múltiples sitios, la consola de administración multi-sitio de Purple le permite gestionar las configuraciones de captive portal, la identidad de marca y los análisis de todo su patrimonio desde una sola interfaz. Gracias por escucharnos. La guía escrita completa, las tablas de configuración y las listas de referencia de walled garden están disponibles en purple.ai. Hasta la próxima. [FIN DEL GUION]

📚 Parte de nuestra serie principal: WiFi multi-tenant

header_image.png

Executive Summary

For enterprise wireless engineers, network architects, and venue operations directors, deploying a robust guest wireless infrastructure is no longer just about providing basic internet access. Modern venues require a solution that balances strict network security, regulatory compliance, and a high-converting guest experience. While HPE Aruba's native captive portal capabilities are highly reliable, they lack the sophisticated marketing data capture, global multi-site scalability, and real-time location and demographic analytics required by enterprise venues in hospitality, retail, and public sectors.

By integrating Purple directly with Aruba Instant (IAP) or Aruba Central managed access points, organisations can replace basic local splash pages with a secure, highly-scalable, global guest portal. This integration leverages standard network protocols, including Remote Authentication Dial-In User Service (RADIUS) and Wireless Internet Service Provider roaming (WISPr), to deliver seamless, secure, and brand-consistent onboarding. This technical reference guide provides the exact configuration parameters, architectural diagrams, and troubleshooting workflows required to successfully deploy Purple on Aruba infrastructure.

Technical Deep-Dive

The integration of Purple with Aruba wireless infrastructure relies on a standard external captive portal redirect and RADIUS authentication flow. This architecture ensures that user authentication and traffic accounting are handled securely in the cloud, while local access points enforce access control and quality of service (QoS) policies.

The Captive Portal Redirect Flow

When an unauthenticated client associates with the guest Service Set Identifier (SSID), the Aruba access point intercepts the client's initial HTTP request (typically TCP port 80) and performs a HTTP 302 redirect to Purple's cloud-hosted splash page.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Presents Splash Page ----------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Submits Login Form ------------------------------------>|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (with Session Timeout)   |                                |
       |<-- 8. Internet Granted ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (every 5 min) ---------------->|

architecture_overview.png

RADIUS Authentication and Accounting Parameters

Once the guest submits their credentials or completes a social login on the Purple splash page, the Purple portal backend communicates with the local Aruba access point or controller to initiate RADIUS authentication. The Aruba AP acts as the Network Access Server (NAS) and sends a RADIUS Access-Request to Purple's cloud RADIUS servers on UDP port 1812.

To ensure accurate session tracking, policy enforcement, and reporting, the following RADIUS attributes must be exchanged:

Attribute Name Attribute ID Description Practical Context
NAS-IP-Address 4 The management IP address of the Aruba virtual controller or AP. Identifies the physical hardware originating the authentication request.
Calling-Station-Id 31 The MAC address of the client device (typically formatted as XX-XX-XX-XX-XX-XX). Used by Purple to track unique devices and enforce MAC caching for returning guests.
Called-Station-Id 30 The MAC address of the AP radio (BSSID) combined with the SSID name (formatted as MAC:SSID). Crucial for Purple to identify the exact physical venue and specific SSID the user is connecting to.
Acct-Session-Id 44 A unique identifier generated by the AP for each client session. Links authentication events with subsequent accounting start, interim, and stop records.
Acct-Status-Type 40 Indicates the type of accounting record: Start (1), Stop (2), or Interim-Update (3). Enables real-time tracking of active sessions and accurate dwell-time calculations.
Acct-Interim-Interval 85 Specifies the frequency (in seconds) of interim accounting updates sent by the AP. Must be set to 300 seconds (5 minutes) to ensure Purple's analytics dashboard displays accurate real-time data.

The Walled Garden (Exception List) Architecture

Before a user is authenticated, the Aruba AP restricts all traffic except for destinations explicitly defined in the Walled Garden (or exception list). Because Purple's portal is cloud-hosted and relies on external identity providers (such as Google, Facebook, and Apple) for social authentication, the AP must allow unauthenticated clients to resolve DNS and communicate with these external domains.

If any required domain is omitted from the walled garden, the guest will experience a blank page, broken CSS, missing images, or a complete timeout during the login flow.

walled_garden_infographic.png

Implementation Guide

Deploying Purple on Aruba wireless infrastructure can be achieved via Aruba Instant (IAP) running ArubaOS 8.x (on-premises virtual-controller mode) or Aruba Central (cloud-managed AOS-8 or AOS-10).

Aruba Instant (IAP) Configuration (ArubaOS 8.x)

Step 1: Configure RADIUS Servers

  1. Log in to the Aruba Instant AP virtual controller web interface.
  2. Navigate to Security > Authentication Server and click New.
  3. Configure the Primary RADIUS Server with the following parameters:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  4. Click OK to save.
  5. Click New again to configure the Secondary RADIUS Server:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  6. Click OK to save.

Step 2: Create the Captive Portal Profile

  1. Navigate to Security > Captive Portal and click New.
  2. Configure the profile with the following settings:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Crucial for auto-triggering the portal on iOS and Android devices)
  3. Click OK to save.

Step 3: Configure the Walled Garden Whitelist

  1. In the Security > Captive Portal menu, select your newly created Purple_Portal profile.
  2. Under the Walled Garden section, click the link to open the whitelist configuration.
  3. Add the following core Purple domains:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. If social login is enabled, add the respective domains (e.g., *.google.com, *.facebook.com, *.apple.com).
  5. Click Save.

Step 4: Create and Configure the Guest SSID

  1. Navigate to Network > New to start the WLAN wizard.
  2. On the WLAN Settings tab:
    • Name (SSID): Guest-WiFi
    • Primary Usage: Guest
    • Click Next.
  3. On the VLAN tab, configure IP and VLAN assignment according to your network architecture (typically Client IP assignment: Network Assigned on a dedicated guest VLAN). Click Next.
  4. On the Security tab:
    • Splash Page Type: External
    • Captive Portal Profile: Select Purple_Portal
    • Auth Server 1: Select Purple_Primary
    • Auth Server 2: Select Purple_Secondary
    • Reauth Interval: 1440 (24 hours, or as per venue policy)
    • Accounting: Enabled
    • Accounting Interval: 5 minutes
  5. Click Next to proceed to the Access tab. Ensure the default guest rule allows DHCP and DNS pre-authentication, then click Finish.

Aruba Central Configuration (AOS-8 and AOS-10)

Aruba Central AOS-8

  1. Navigate to Devices under the Manage section of your group in Aruba Central.
  2. Click Config (gear icon) on the top right, then go to the WLANs tab and click + Add SSID.
  3. In Step 1: General, enter the SSID name (e.g., Guest-WiFi) and click Next.
  4. In Step 2: VLANs, configure your guest VLAN mapping and click Next.
  5. In Step 3: Security:
    • Set Security Level to Visitors.
    • Set Type to External Captive Portal.
    • Ensure Key Management is set to Open (do not use Enhanced Open/OWE for standard guest portals as it can cause client compatibility issues).
    • Click the + icon next to Captive Portal Profile to add a new profile:
      • Name: Purple_Central_Portal
      • IP or Hostname: portal.venuewifi.com
      • URL: /
      • Port: 443
      • Redirect URL: https://portal.venuewifi.com
      • Use HTTPS: True
      • Captive Portal Failure: Deny Internet (Recommended for security compliance)
    • Click Save.
    • Click the + icon next to Primary Server and Secondary Server to add the Purple RADIUS servers using the IPs 34.94.146.135 and 34.94.183.201 respectively, with ports 1812 (Auth) and 1813 (Acct).
    • Expand Advanced Settings, scroll to Accounting, select Use authentication servers, and set Accounting Interval to 5 minutes.
  6. Scroll down to the Walled Garden section, click + Add, and input the required Purple and social login domains.
  7. Click Save Settings.

Aruba Central AOS-10

In AOS-10, the walled garden configuration moves from the WLAN Security tab to Access Rules.

  1. Follow the same SSID and RADIUS configuration steps as AOS-8 above.
  2. In the SSID wizard, navigate to the Access tab.
  3. Click + Add Role and create a pre-authentication role named Purple_Pre_Auth.
  4. In the rules editor for this role, configure explicit Allow rules for DNS, DHCP, and the required walled garden domains (e.g., *.purple.ai, *.venuewifi.com).
  5. Scroll down to Assign Pre-Authentication Role, enable the option, and select Purple_Pre_Auth from the dropdown.
  6. The post-authorisation role (typically matching the SSID name) should remain configured with Allow any to all destinations or your specific corporate access policies.
  7. Click Save Settings.

Best Practices

To ensure maximum performance, security, and compliance, network architects must adhere to the following industry standards and vendor-neutral best practices when deploying captive portals on Aruba and Purple.

1. Secure Certificate Management

Aruba access points must present a valid, trusted SSL/TLS certificate during the captive portal redirect flow.

  • Avoid Self-Signed Certificates: If the AP presents a self-signed certificate, modern browsers will display a highly visible "Your connection is not private" warning, severely damaging guest trust and reducing conversion rates.
  • Deploy a Trusted CA Certificate: Upload a wildcard certificate from a globally recognised Certificate Authority (CA) to your Aruba Central global settings or Instant virtual controllers. Ensure that the intermediate and root certificates are combined into a single file to complete the trust chain.

2. Network Segmentation and Compliance

Guest traffic must be kept entirely separate from corporate and administrative traffic to mitigate security risks and ensure compliance with industry standards.

  • VLAN Isolation: Map the guest SSID to a dedicated, non-routable VLAN. Use Access Control Lists (ACLs) on the upstream core switch or firewall to prevent any routing between the guest VLAN and internal corporate subnets.
  • PCI DSS Compliance: If your venue processes card payments (e.g., retail point-of-sale), network segmentation is a mandatory requirement under PCI DSS Requirement 1.2 [3]. Guest WiFi must be physically or logically isolated from the Cardholder Data Environment (CDE).
  • GDPR and Data Privacy: Ensure that the Purple portal is configured to display explicit, un-ticked consent checkboxes for marketing opt-ins, meeting the strict requirements of the General Data Protection Regulation (GDPR) [4].

3. Optimising WISPr and Captive Portal Detection

Modern mobile operating systems use active probing to detect captive portals immediately upon association.

  • Enable WISPr: Always ensure that WISPr support is enabled in your Aruba captive portal profile. This protocol passes XML-formatted metadata to the client operating system, allowing iOS (Captive Network Assistant) and Android (Captive Portal Login) to gracefully launch the login screen in a dedicated browser window.
  • Prevent "Enhanced Open" (OWE) Issues: While Opportunistic Wireless Encryption (OWE) provides encryption on open networks, many legacy client devices do not support it. For public guest networks, stick to standard Open key management to maximise device compatibility.

Troubleshooting & Risk Mitigation

Even with meticulous planning, captive portal deployments can encounter common failure modes. The following troubleshooting matrix provides immediate, actionable steps for wireless engineers.

Captive Portal Troubleshooting Matrix

Symptom Probable Cause Diagnostic Steps Actionable Solution
Guest associates but the splash page does not load (Timeout/Blank Page). Missing or incomplete Walled Garden configuration. Attempt to ping portal.venuewifi.com from a wired device on the same VLAN. Check if the device is trying to load external resources (e.g., social login scripts) that are blocked. Explicitly add *.purple.ai, *.venuewifi.com, and *.cloudfront.net to the Aruba walled garden. Verify that DNS resolution is allowed in the pre-auth role.
Guest is redirected but browser displays an SSL/TLS Certificate Warning. The Aruba AP is presenting an untrusted or self-signed certificate for the local redirect page. Inspect the browser certificate details to see which certificate is being presented. Upload a valid, trusted SSL certificate signed by a public CA to the Aruba virtual controller or Central global settings.
Guest completes the login form but is not granted internet access (Redirect Loop). RADIUS communication failure between the Aruba AP and Purple servers. Check the Aruba virtual controller logs for RADIUS timeouts or access-rejects. Run show auth-survivability or check firewall logs. Verify that outbound UDP ports 1812 (Auth) and 1813 (Acct) are open on your perimeter firewall. Ensure the RADIUS shared secret matches exactly on both Purple and Aruba.
The captive portal does not auto-popup on iOS or Android devices. WISPr is disabled, or the AP is blocking the operating system's captive portal detection URLs. Verify if the device can access the internet without logging in, or if it remains connected with "No Internet" and no popup. Enable WISPr in the Aruba captive portal profile. Ensure that captive portal detection URLs (e.g., captive.apple.com, connectivitycheck.gstatic.com) are not blocked by custom pre-auth ACLs.
Real-time dwell-time analytics are inaccurate or missing in Purple. RADIUS Accounting is disabled or the accounting interval is set too high. Check the AP configuration to see if accounting is enabled and inspect the interval. Enable RADIUS Accounting on the Aruba SSID. Set the Accounting Interval to exactly 5 minutes (300 seconds) to ensure regular session updates.

ROI & Business Impact

Transitioning from a basic, local captive portal to an enterprise-grade WiFi intelligence platform like Purple delivers measurable business outcomes across operations, marketing, and network management.

Operational Efficiency and Scalability

Managing individual local captive portals across hundreds of retail stores, hotels, or public venues is an administrative bottleneck. Purple provides a centralised, cloud-managed console that allows IT teams to deploy, update, and audit captive portal configurations globally with a single click. This reduces configuration drift, ensures consistent branding, and slashes administrative overhead by up to 60%.

Data Monetisation and Marketing ROI

For industries like Retail and Hospitality, guest WiFi is a powerful channel for customer acquisition and engagement. Purple replaces anonymous connections with rich demographic profiles.

  • Direct Integration: Purple integrates with CRM and marketing automation platforms to trigger real-time, context-aware campaigns. For example, a retail venue can trigger a personalised discount SMS the moment a loyalty customer connects to the guest WiFi.
  • Measurable Footfall Analytics: By analysing RADIUS accounting data and BSSID associations, Purple provides highly accurate dwell-time, return-rate, and path-analysis reporting. This data enables venue operations directors to optimise staffing levels, evaluate window display effectiveness, and measure the direct ROI of marketing campaigns.

Cost-Benefit Analysis: Native Aruba vs. Purple Integration

Feature / Metric Native Aruba Local Portal Aruba + Purple Integration Business Impact
Centralised Multi-Site Management Limited. Requires individual configuration per virtual controller or complex Central group mapping. Fully Centralised. Manage thousands of venues and SSIDs from a single cloud dashboard. Reduces IT overhead and eliminates configuration drift across distributed estates.
Data Capture & Compliance Basic form capture. No built-in GDPR/CCPA consent validation workflows. Enterprise-grade. Automated, legally-compliant consent tracking with real-time API sync to CRMs. Mitigates legal risk and ensures compliance with global privacy regulations [4].
Social Authentication Requires custom external web development and manual API maintenance. Out-of-the-box support for Google, Facebook, Apple, Microsoft, LinkedIn, and SMS. Increases conversion rates by up to 40% through friction-free login options.
Analytics & Reporting Basic session logs (IP, MAC, connect time). No demographic or behaviour tracking. Rich analytics: age, gender, dwell-time, return rates, heatmaps, and cross-venue roaming. Drives marketing ROI and provides actionable business intelligence for operations.

Definiciones clave

Captive Portal

Una página web que se muestra a los usuarios recién conectados de una red Wi-Fi antes de que se les conceda un acceso más amplio a los recursos de la red.

Se utiliza para capturar datos de invitados, hacer cumplir los términos de servicio y presentar contenido de marketing de marca.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilización (AAA) para los usuarios que se conectan y utilizan un servicio de red.

Purple actúa como el servidor RADIUS externo, autenticando a los invitados y rastreando la duración de su sesión.

WISPr (Wireless Internet Service Provider roaming)

Un borrador de protocolo que permite a los proveedores independientes de servicios de internet inalámbrico permitir que los usuarios realicen roaming en las redes de los demás utilizando un portal de inicio de sesión común.

Habilitar WISPr en los AP de Aruba permite que los smartphones modernos detecten automáticamente el Captive Portal y muestren la splash page en una ventana nativa del sistema.

Walled Garden

Un conjunto restringido de sitios web o dominios a los que un usuario no autenticado tiene permitido acceder antes de completar el proceso de inicio de sesión del Captive Portal.

Crucial para permitir que los invitados carguen los recursos de la splash page (CSS, JS, imágenes) y accedan a proveedores de inicio de sesión social (Google, Facebook) antes de ser autenticados.

BSSID (Basic Service Set Identifier)

La dirección MAC de la interfaz de radio del punto de acceso inalámbrico para un SSID específico.

Enviado en el atributo RADIUS Called-Station-Id, lo que permite a Purple mapear la ubicación física del usuario a un AP específico.

NAS-IP-Address

La dirección IP del Servidor de Acceso a la Red (el AP o controlador de Aruba) que origina la solicitud RADIUS.

Utilizado en paquetes RADIUS para identificar qué hardware físico está solicitando la autenticación.

RadSec

Un protocolo que asegura las transacciones RADIUS utilizando Transport Layer Security (TLS) sobre TCP.

Utilizado para cifrar el tráfico de autenticación y contabilización de RADIUS al atravesar redes públicas no confiables entre el AP local y la nube de Purple.

Enhanced Open (OWE)

Una extensión de Wi-Fi Certified Easy Connect que proporciona cifrado de transmisiones inalámbricas en redes abiertas sin requerir una contraseña.

Puede causar problemas de compatibilidad con dispositivos de invitados más antiguos; se recomienda la seguridad Open estándar para los Captive Portals públicos.

Ejemplos resueltos

An enterprise wireless engineer is deploying guest WiFi across a national retail chain with 150 stores. Each store has 3-5 Aruba Instant APs managed via Aruba Central. The marketing team requires a branded captive portal with Facebook and Google social login options, and the compliance team mandates that guest traffic must be completely isolated from the store's Point-of-Sale (PoS) network. How should this be architected and configured?

  1. Segmentación de red: Asigne el SSID de invitados a la VLAN 100 en los AP de Aruba. Configure los puertos de los switches locales como puertos troncales, permitiendo la VLAN 100. En el firewall de la puerta de enlace de la tienda, configure la VLAN 100 con un alcance DHCP y una política NAT solo de salida. Aplique una ACL en el firewall para descartar todo el tráfico desde la VLAN 100 hacia la VLAN de PoS (VLAN 10).
  2. Configuración de RADIUS y del portal en Aruba Central: Cree un nuevo SSID llamado 'Store-Guest' en la VLAN 100. Establezca la seguridad en 'Visitors' y la Splash Page en 'External Captive Portal'. Agregue el servidor RADIUS principal de Purple (34.94.146.135) y el servidor secundario (34.94.183.201) con los puertos 1812/1813. Habilite el registro de RADIUS (RADIUS Accounting) con un intervalo de 5 minutos.
  3. Walled Garden: Configure el walled garden en Aruba Central para incluir: *.purple.ai, *.venuewifi.com, *.cloudfront.net (para el núcleo de Purple) y los dominios de inicio de sesión social: *.google.com, *.googleapis.com, *.gstatic.com (para Google) y *.facebook.com, *.fbcdn.net, connect.facebook.net (para Facebook).
  4. Pruebas: Conecte un dispositivo de prueba a 'Store-Guest', verifique que el DHCP asigne una IP en la VLAN 100, confirme que el navegador redirija al Captive Portal de Purple a través de HTTPS, complete el inicio de sesión de Facebook y verifique que se otorgue acceso a internet mientras que los recursos internos de PoS permanezcan completamente inaccesibles.
Comentario del examinador: Este enfoque es altamente efectivo porque aborda tanto la seguridad como la experiencia del usuario. El uso del aislamiento de VLAN en el switch físico y en el firewall de la puerta de enlace garantiza un cumplimiento sólido de PCI DSS, evitando que los dispositivos de invitados lleguen al CDE. Definir explícitamente los dominios de inicio de sesión social en el walled garden es fundamental; confiar en el 'Automatic URL Whitelisting' a veces puede causar fallas intermitentes si el proveedor de redes sociales cambia dinámicamente sus subdominios de CDN. Establecer el intervalo de registro de RADIUS en 5 minutos garantiza que el equipo de marketing obtenga análisis de tiempo de permanencia de alta fidelidad sin sobrecargar la CPU del AP.

A stadium venue with 50,000 seats is running Aruba Central on AOS-10 with high-density AP-555 access points. During peak event hours, thousands of users attempt to connect to the guest WiFi simultaneously. The IT director is concerned about the performance impact of captive portal redirects on the virtual controller and wants to ensure the authentication process is as fast and resilient as possible. What advanced configurations should be applied?

  1. Rol de preautenticación (AOS-10): En AOS-10, configure un rol de preautenticación dedicado llamado 'Stadium-Pre-Auth'. Aplique una ACL que permita DHCP (UDP 67-68), DNS (UDP 53) y tráfico de salida a los dominios del walled garden de Purple. Asigne este rol como el 'Pre-Authentication Role' en la configuración del SSID. Esto descarga el filtrado de paquetes del controlador central a los AP individuales, distribuyendo la carga.
  2. Balanceo de carga de RADIUS: En Aruba Central, habilite el balanceo de carga de RADIUS entre los servidores RADIUS principal y secundario de Purple. Esto distribuye la carga de autenticación de manera uniforme durante las ventanas de mayor ingreso de usuarios.
  3. Descarga del servidor (Server Offload): Habilite 'Server Offload' en la configuración del perfil del Captive Portal. Esto evita que las aplicaciones cliente que no son navegadores (como aplicaciones móviles en segundo plano, actualizaciones del sistema o dispositivos IoT) sean redirigidas repetidamente al Captive Portal externo, preservando los ciclos de CPU del AP y el ancho de banda de la WAN.
  4. Política de falla del Captive Portal: Establezca la 'Captive Portal Failure' en 'Deny Internet'. Aunque 'Allow Internet' parece amigable para el cliente, durante un evento de red extremo podría provocar un acceso abierto descontrolado, eludiendo los controles de seguridad y agotando los grupos de DHCP.
Comentario del examinador: Los entornos de alta densidad como los estadios requieren un modelo de procesamiento distribuido. La configuración del walled garden mediante reglas de acceso en AOS-10 garantiza que las listas de control de acceso se compilen y ejecuten localmente en la ruta de datos acelerada por hardware del AP, en lugar de enviarse por un túnel de regreso a una puerta de enlace. Habilitar Server Offload es una mejor práctica estándar de la industria para implementaciones en estadios; mitiga la 'tormenta de Captive Portal' causada por las aplicaciones en segundo plano en miles de teléfonos bloqueados que intentan conectarse a sus respectivos servidores en la nube simultáneamente.

Preguntas de práctica

Q1. A network engineer configures a new guest SSID on an Aruba Instant AP cluster. When testing, they connect to the SSID, but instead of the branded Purple splash page, they see a browser timeout error. What is the most likely cause of this issue, and what troubleshooting steps should be taken?

Sugerencia: Think about what is required for the client device to reach the cloud-hosted splash page before authentication.

Ver respuesta modelo

The most likely cause is a missing or incomplete Walled Garden configuration, or a DNS resolution issue. Before authentication, the AP blocks all traffic except for whitelisted domains. If the Purple domains (*.purple.ai, *.venuewifi.com, *.cloudfront.net) are not in the walled garden, the client cannot load the splash page. Troubleshooting steps: 1. Verify the client device has received a valid IP address and DNS server via DHCP. 2. Attempt to resolve 'portal.venuewifi.com' from a wired device on the same VLAN to confirm DNS is working. 3. Check the Aruba AP configuration to ensure the Walled Garden whitelist is active and contains all required Purple domains. 4. Verify that the pre-authentication role allows DNS traffic (UDP port 53) to the DNS server.

Q2. During a rollout of Purple guest WiFi at a large convention center, the IT team reports that guest devices connect successfully, but they are prompted to log in again every 15 minutes. The desired behavior is for guests to remain logged in for 24 hours. Which Aruba and Purple configuration parameters should be inspected to resolve this?

Sugerencia: Look at parameters controlling session lifetime and re-authentication intervals.

Ver respuesta modelo

This issue is caused by a mismatch in session timeout or re-authentication interval settings. To resolve this: 1. Inspect the 'Reauth Interval' on the Aruba SSID security tab; it should be set to 1440 minutes (24 hours) rather than 15 minutes. 2. Check the 'Session Timeout' attribute returned by the Purple RADIUS server in the Access-Accept message. If Purple is configured with a short session lifetime, it will force re-authentication. 3. Ensure that MAC Authentication is enabled on the Aruba SSID. This allows the AP to automatically authenticate returning guests via their MAC address against Purple's database without prompting them with the splash page again during the 24-hour window.

Q3. A public-sector organization is deploying guest WiFi across multiple libraries using Aruba Central on AOS-10. The security policy mandates that all guest traffic must be encrypted over the air, but the library directors want a seamless, friction-free login experience. How can the wireless architect achieve both requirements using Aruba and Purple?

Sugerencia: Consider the differences between Open, OWE (Enhanced Open), and WPA2/WPA3-Enterprise, and how they interact with captive portals.

Ver respuesta modelo

To achieve both over-the-air encryption and a seamless captive portal experience, the architect should deploy 'Enhanced Open' (Opportunistic Wireless Encryption - OWE) with a transition mode if legacy device compatibility is required. Enhanced Open encrypts the wireless connection between the client and the AP without requiring a pre-shared key, protecting guests from passive eavesdropping. 1. Configure the guest SSID in Aruba Central with Security Level set to 'Visitors' and Key Management set to 'Enhanced Open'. 2. Enable 'OWE Transition Mode' and associate it with a standard Open guest SSID to support older devices that do not support WPA3 OWE. 3. Configure the External Captive Portal profile pointing to Purple as usual. This combination ensures that modern devices get encrypted wireless transport automatically, while still redirecting to the Purple splash page for data capture and compliance.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →