Captive Portal for Cisco Meraki

Una guía de referencia técnica autorizada de nivel intermedio para integrar los puntos de acceso Cisco Meraki MR con el Captive Portal en la nube de Purple. Cubre configuraciones paso a paso del Meraki Dashboard, ajustes del servidor RADIUS (puertos 1812/1813), excepciones de dominio con comodines para el walled garden y parámetros de tiempo de espera de sesión para implementaciones de WiFi de invitados de alto rendimiento.

📖 8 min de lectura📝 1,892 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy cubriremos algo que surge en casi todas las implementaciones de WiFi para invitados empresariales en las que trabajamos: la configuración de un Captive Portal en los puntos de acceso Cisco Meraki MR, y específicamente cómo integrar eso con la plataforma en la nube de Purple mediante la autenticación RADIUS. Ya sea que sea un MSP que incorpora a un nuevo cliente de hotelería o un arquitecto de redes interno en una cadena de retail, este episodio le brindará los pasos de configuración precisos y el razonamiento detrás de cada uno.

Pongamos el escenario. Tiene un recinto (podría ser un hotel, un centro de conferencias, un estadio o un parque comercial) que ejecuta puntos de acceso Cisco Meraki MR administrados a través del Meraki Dashboard. El objetivo es implementar una experiencia de WiFi para invitados con marca propia que capture datos de origen, exija la aceptación de los términos de servicio y envíe análisis a una plataforma de marketing. Eso es exactamente para lo que Purple está diseñado, y Meraki es una de nuestras implementaciones de hardware más comunes a nivel mundial.

Ahora, el punto arquitectónico clave que debe comprender antes de tocar una sola configuración es este: en Cisco Meraki, la autenticación RADIUS para una página de bienvenida no es procesada localmente por el punto de acceso. El RADIUS Access-Request se origina desde la nube de Meraki (desde la infraestructura del Dashboard), no desde el AP en su LAN. Esta es una distinción crítica que confunde a muchos ingenieros en su primera implementación de Meraki. Significa que su servidor RADIUS, en este caso el endpoint RADIUS en la nube de Purple, debe ser accesible desde Internet, y las reglas de su firewall deben permitir el tráfico desde los rangos de IP del Dashboard de Meraki, no solo desde la subred de su AP local. Encontrará los rangos de IP actuales del Dashboard en la sección Help y luego en Firewall Info dentro de su Meraki Dashboard.

Bien, entremos en la configuración. Lo guiaré a través de esto en el orden en que realmente lo haría en una implementación real.

Paso uno: configuración del SSID. En el Meraki Dashboard, navegue a Wireless, luego a Configure y después a SSIDs. Seleccione la ranura de SSID que desea usar para el acceso de invitados. Asígnele un nombre claro, algo como GuestWiFi o NombreDelRecinto guion bajo Guest. En Association requirements, configure Security en Open, no encryption. Esto es correcto e intencional: la capa de seguridad para los invitados se maneja mediante el Captive Portal y la autenticación RADIUS, no mediante el cifrado WPA. Si está realizando la implementación en un entorno PCI DSS, querrá asegurarse de que el tráfico de invitados esté aislado en su propia VLAN, lo cual cubriremos en breve.

Paso dos: Splash page y autenticación. Aún en la página de Access Control para su SSID, desplácese hacia abajo hasta la sección de Splash page. Establézcalo en Sign-on with y, en el menú desplegable, seleccione my RADIUS server. Esta es la configuración crítica que le indica a Meraki que autentique a los usuarios contra un servidor RADIUS externo antes de otorgar acceso a la red. Debajo de eso, verá la opción Captive portal strength. Establézcala en Block all access until sign-on is complete. Esto es lo que aplica el walled garden; sin esto, los invitados podrían evadir el portal por completo.

Paso tres: Configuración del servidor RADIUS. En la sección RADIUS, haga clic en Add server. Necesitará tres datos de su cuenta de Purple: la dirección IP o FQDN del servidor RADIUS, el puerto de autenticación que es UDP 1812 y el shared secret. Purple proporciona estos datos en la sección de configuración del punto de venta del portal. Para contar con redundancia en implementaciones de producción, debe agregar un servidor RADIUS secundario; Purple proporciona un endpoint de failover. Establezca el puerto de contabilidad (accounting port) en UDP 1813 si desea que los datos de la sesión se envíen de vuelta al motor de analítica de Purple, lo cual recomiendo ampliamente para cualquier establecimiento donde el tiempo de permanencia y la duración de la sesión sean métricas significativas.

Una nota rápida sobre los atributos RADIUS. Meraki respeta el atributo Session-Timeout devuelto en la respuesta RADIUS Access-Accept. Purple utiliza esto para controlar cuánto dura la sesión de un invitado antes de que se requiera una nueva autenticación. Para un hotel, podría establecer esto en 86,400 segundos (es decir, 24 horas). Para una cafetería, algo como 3,600 segundos (una hora) es más adecuado. El atributo Idle-Timeout también se respeta, pero solo si la contabilidad RADIUS está habilitada. Esto desconecta las sesiones inactivas, lo cual es importante para la gestión de capacidad en establecimientos de alta densidad.

Paso cuatro: URL de la Splash page. Diríjase a Wireless, luego a Configure y después a Splash page. Seleccione su SSID de invitados en el menú desplegable. Establezca la Custom splash URL con la URL del portal de Purple para su establecimiento. Esta es la URL a la que Meraki redirigirá a los clientes no autenticados. Meraki añade parámetros de consulta a esta URL, incluido un parámetro login_url, que Purple utiliza para completar el proceso de autenticación. No modifique ni elimine estos parámetros.

Paso cinco: el walled garden. Aquí es donde la mayoría de las implementaciones tienen problemas. El walled garden es la lista de dominios y rangos de IP a los que un dispositivo invitado puede acceder antes de haberse autenticado. Sin las entradas correctas, la página del Captive Portal no se cargará, ya que el navegador no podrá comunicarse con la CDN de Purple ni con los proveedores de inicio de sesión social.

Navegue de regreso a Access Control para su SSID de invitados. Establezca Walled garden en Walled garden is enabled. En el campo Walled garden ranges, debe agregar lo siguiente. Primero, los dominios de la plataforma Purple: star punto purple punto ai y star punto venuewifi punto com. Segundo, los dominios de CDN que Purple utiliza para servir los recursos del portal: star punto cloudfront punto net y star punto akamaihd punto net. Tercero, la infraestructura de redireccionamiento de Meraki: star punto network-auth punto com. Cuarto, si ofrece opciones de inicio de sesión con redes sociales, necesita los dominios de OAuth correspondientes. Para Google: accounts punto google punto com, star punto googleapis punto com, star punto gstatic punto com. Para Facebook: star punto facebook punto com, star punto fbcdn punto net y connect punto facebook punto net. Para Twitter o X: star punto twitter punto com y star punto twimg punto com.

Una nota importante sobre cómo maneja Meraki los dominios con comodines en el walled garden. Meraki sí admite entradas con comodines utilizando el prefijo de asterisco, por ejemplo, star punto cloudfront punto net. Sin embargo, esta es una coincidencia basada en DNS: Meraki resuelve el dominio y permite las direcciones IP resultantes. Esto significa que para los proveedores de CDN como CloudFront o Akamai, donde las direcciones IP resueltas pueden cambiar con frecuencia, debe usar el comodín de dominio en lugar de rangos de IP estáticos. Las entradas de IP estáticas están bien para los endpoints RADIUS de Purple, que son estables, pero no para el tráfico de CDN.

Ahora hablemos de dos escenarios del mundo real en los que he trabajado directamente.

El primero es un hotel de 350 habitaciones en el Reino Unido. El cliente utilizaba puntos de acceso Meraki MR46 en tres edificios, con unos 400 dispositivos de invitados simultáneos en las horas pico. El despliegue inicial utilizaba una página de bienvenida de tipo click-through: sin RADIUS, solo aceptación de términos. El problema era que no tenían ninguna visibilidad de quién se conectaba, no capturaban correos electrónicos y no tenían forma de realizar campañas de marketing posteriores a la estancia. Los migramos a Purple con inicio de sesión basado en RADIUS. La configuración fue sencilla, pero el inconveniente fue que su firewall ascendente estaba bloqueando el UDP saliente en el puerto 1812 hacia cualquier dirección fuera de la subred local. Una vez que agregamos los rangos de IP del Dashboard de Meraki a la lista de permitidos del firewall, la autenticación funcionó de inmediato. Tras el despliegue, el hotel capturó las direcciones de correo electrónico de aproximadamente el 68 por ciento de los huéspedes que se conectaron en el primer mes, y su equipo de marketing ejecutó una campaña de reactivación que generó un aumento medible en las reservas directas.

El segundo escenario es una cadena de retail con 45 tiendas, cada una con puntos de acceso Meraki MR33. El desafío aquí era la escala y la consistencia. Configurar manualmente 45 SSIDs con los ajustes de RADIUS correctos y las listas de walled garden habría sido propenso a errores y habría consumido mucho tiempo. La solución fue utilizar la configuración basada en plantillas de Meraki. Creamos una única plantilla de red con los ajustes correctos de SSID, RADIUS y walled garden, y luego vinculamos las 45 redes de las tiendas a esa plantilla. Cualquier cambio —por ejemplo, agregar un nuevo proveedor de inicio de sesión social al walled garden— se realiza una sola vez en la plantilla y se propaga a todas las tiendas automáticamente. Los análisis de Purple luego agregaron los datos de afluencia y tiempo de permanencia de todas las tiendas, lo que brindó al equipo de operaciones de retail una vista de panel único del comportamiento de los clientes por tienda, por región y por hora del día.

Permítame darle tres reglas prácticas que le ahorrarán tiempo en cada implementación de Captive Portal de Meraki.

Regla uno: Siempre verifique los rangos de IP del Dashboard de Meraki antes de configurar RADIUS. Los rangos cambian ocasionalmente y, si su firewall los está bloqueando, la autenticación fallará silenciosamente desde la perspectiva del usuario; simplemente verán que la página del portal se congela. Utilice la herramienta de prueba de RADIUS integrada en el Dashboard bajo Access Control para verificar la conectividad antes de entrar en producción.

Regla dos: Utilice comodines de dominio en el walled garden, no rangos de IP, para cualquier contenido alojado en CDN. Los rangos de IP de CDN son grandes y cambian con frecuencia. Una entrada de dominio con comodín es más fácil de mantener y más confiable.

Regla tres: Habilite la contabilidad de RADIUS en el puerto 1813 incluso si cree que aún no la necesita. Los datos de sesión son valiosos para solucionar problemas de desconexión y para alimentar métricas precisas de tiempo de permanencia en su plataforma de análisis. No cuesta nada habilitarlo y es muy difícil de adaptar después del hecho.

Ahora, algunas preguntas rápidas que me hacen con regularidad.

¿Puedo usar la página de bienvenida integrada de Meraki en lugar de Purple? Sí, pero perderá la captura de datos, los análisis, la automatización de marketing y la gestión de consentimiento que cumple con el GDPR. La página de bienvenida integrada está bien para un clic básico, pero no es una plataforma de inteligencia de clientes.

¿Funciona esta configuración en los firewalls Meraki MX así como en los puntos de acceso MR? La configuración de la página de bienvenida de RADIUS es compatible con los puntos de acceso MR. Los dispositivos MX manejan la autenticación VPN del cliente de manera diferente. Específicamente para el WiFi de invitados, estará configurando los SSIDs de MR.

¿Qué pasa con WPA3? Los puntos de acceso Meraki MR son compatibles con WPA3 en SSIDs empresariales. Para implementaciones de Captive Portal de invitados, el SSID suele ser Open, por lo que WPA3 no se aplica directamente. Sin embargo, si está implementando un SSID de Passpoint o OpenRoaming junto con su SSID de Captive Portal —lo cual es compatible con Purple—, ese SSID utiliza WPA3-Enterprise con 802.1X, y ahí es donde WPA3 se vuelve relevante.

Para resumir: la integración de Cisco Meraki y Purple está bien probada y es confiable, pero requiere atención en tres aspectos: el enrutamiento de la IP de origen de RADIUS, la configuración completa del walled garden y la configuración del tiempo de espera de la sesión. Si se configuran correctamente estos tres elementos, la implementación es sencilla. El caso de negocio es claro: los establecimientos que implementan una plataforma de WiFi para invitados configurada correctamente con captura de datos obtienen de manera constante retornos medibles en el engagement de marketing y en la información operativa.

Si desea profundizar más, consulte la guía de Purple sobre cómo implementar la autenticación 802.1X con RADIUS en la nube, y nuestra guía de implementación de AP inalámbricos de Cisco en el blog de Purple. Ambos enlaces se encuentran en las notas del programa.

Gracias por escuchar. Si tiene un escenario de implementación específico que le gustaría que cubramos, póngase en contacto con el equipo técnico de Purple. Nos vemos en el próximo episodio.

Puntos clave

✓Las solicitudes RADIUS de la página de inicio (splash page) para invitados de Cisco Meraki se originan desde el Meraki Cloud Dashboard, no desde los puntos de acceso MR locales.
✓Desacoplar el WiFi de invitados en una capa agnóstica como Purple permite una captura de datos avanzada y análisis de marketing que cumplen con el GDPR.
✓Un walled garden robusto debe incluir dominios de Purple, hosts de CDN (*.cloudfront.net, *.akamaihd.net) y endpoints de OAuth social.
✓Cisco Meraki maneja dominios con comodines en el walled garden de forma dinámica a través de listas blancas basadas en DNS en tiempo real.
✓Los atributos RADIUS Session-Timeout e Idle-Timeout son esenciales para administrar los pools de concesión DHCP en recintos de alta densidad.
✓Las configuraciones basadas en plantillas en el Meraki Dashboard permiten implementaciones de WiFi de invitados consistentes y sin errores en recintos de múltiples sitios.

📚 Part of our core series: Multi-Tenant WiFi →

Resumen Ejecutivo

Esta guía de referencia autorizada proporciona un marco de configuración integral y paso a paso para integrar redes inalámbricas Cisco Meraki con el Captive Portal basado en la nube de Purple. Diseñado para gerentes de TI, arquitectos de red y proveedores de servicios gestionados (MSPs), este documento detalla las configuraciones exactas requeridas dentro del Meraki Dashboard para implementar una solución de WiFi para invitados segura y de alto rendimiento [1].

Al desacoplar la capa de inteligencia de invitados del hardware, los recintos empresariales pueden aprovechar las plataformas certificadas de WiFi para Invitados y Analíticas de WiFi de Purple para capturar datos de primera mano enriquecidos y conformes con el GDPR, al tiempo que garantizan la integridad de la red y el cumplimiento normativo [2]. Esta guía aborda parámetros de integración críticos, incluyendo la autenticación RADIUS (puertos 1812/1813), excepciones de dominio de walled garden, resolución de comodines de CDN y la mecánica de redirección de invitados en diversos recintos físicos como Retail , Sector Salud , Hospitalidad y centros de Transporte .

Análisis Técnico Profundo

Para integrar con éxito los puntos de acceso (APs) Cisco Meraki MR con un Captive Portal externo como Purple, los ingenieros de red deben comprender la arquitectura subyacente del plano de control y de datos. A diferencia de los controladores inalámbricos locales tradicionales donde las solicitudes de autenticación RADIUS se originan desde el controlador físico o los APs individuales, Cisco Meraki emplea una arquitectura gestionada en la nube [1].

Separación del Plano de Control y del Plano de Datos

Cuando un cliente invitado se asocia con un SSID abierto configurado para un Captive Portal externo, el AP Meraki MR coloca al cliente en un estado de preautenticación. En este estado, se bloquea todo el tráfico excepto las consultas DNS, DHCP y el tráfico destinado a direcciones IP o nombres de host definidos explícitamente en el Walled Garden [3].

Los mensajes RADIUS Access-Request reales no son generados por el AP Meraki MR local. En su lugar, se originan desde la Infraestructura en la Nube del Cisco Meraki Dashboard [1]. Esta es una distinción arquitectónica crucial:

> "Los mensajes de solicitud de acceso RADIUS para una página de bienvenida se originarán desde el dashboard, no desde los dispositivos Meraki locales. Por lo tanto, no se puede especificar aquí la dirección IP de LAN privada del servidor RADIUS." [1]

Consequently, the upstream firewalls protecting your RADIUS servers must permit inbound traffic from the entire block of Meraki Dashboard outbound IP ranges, which are dynamic and region-specific [1]. These ranges can be retrieved dynamically via the Meraki Dashboard under Help > Firewall info [1].

RADIUS Authentication Protocol (PAP)

Para la autenticación de la página de inicio de sesión (splash page), Meraki utiliza el Protocolo de Autenticación de Contraseñas (PAP) [1]. Aunque históricamente PAP no está cifrado, la integración de Meraki-Purple mitiga los riesgos de seguridad mediante un cifrado multicapa:

Cifrado de Cliente a la Nube: El cliente invitado establece una sesión HTTPS (SSL/TLS) segura directamente con el Captive Portal alojado de Purple. Las credenciales (por ejemplo, tokens de inicio de sesión social, formularios de correo electrónico) se cifran en tránsito desde el navegador del cliente hacia los servidores de Purple [1].
Cifrado de Secreto Compartido de RADIUS: Cuando Meraki Cloud envía la solicitud de acceso RADIUS (Access-Request) al servidor Cloud RADIUS de Purple, cifra la contraseña del usuario utilizando el RADIUS Shared Secret configurado y una función XOR estándar de acuerdo con la norma RFC 2865 [1]. Esto garantiza que las credenciales en texto plano nunca se transmitan a través de la internet pública.

Atributos RADIUS Soportados

Meraki Cloud y Purple Cloud RADIUS intercambian varios atributos clave durante el saludo de autenticación para aplicar los parámetros y políticas de la sesión:

Atributo RADIUS	Tipo	Dirección	Descripción y Contexto Práctico
User-Name	String	Solicitud	El identificador del usuario invitado (por ejemplo, dirección de correo electrónico, dirección MAC) [1].
User-Password	String	Solicitud	La contraseña de usuario cifrada o el token de sesión [1].
Called-Station-ID	String	Solicitud	Formateado como `AP_MAC:SSID_NAME` (por ejemplo, `AA-BB-CC-DD-EE-FF:GuestWiFi`). Crucial para el enrutamiento de políticas basado en la ubicación [1].
Calling-Station-ID	String	Solicitud	La dirección MAC física del cliente (por ejemplo, `11-22-33-44-55-66`). Se utiliza para el seguimiento de dispositivos y la reanudación de sesiones [1].
Session-Timeout	Integer	Aceptación	La duración máxima de la sesión en segundos. Tras la expiración, el cliente es redirigido de nuevo al Captive Portal [1].
Idle-Timeout	Integer	Aceptación	El tiempo de inactividad máximo en segundos. Si no se transfieren datos, la sesión se da por terminada. Requiere RADIUS Accounting [1].
Filter-Id	String	Aceptación	Transmite el nombre de una política de grupo de Meraki específica para aplicar al cliente (por ejemplo, limitar el ancho de banda o bloquear categorías específicas) [1].

Guía de Implementación

Esta guía de configuración paso a paso describe cómo integrar los puntos de acceso Cisco Meraki MR con el Captive Portal externo de Purple.

Paso 1: Configurar el Control de Acceso del SSID

Vaya a Wireless > Configure > Access control en el Dashboard de Meraki [1]. Seleccione su SSID de invitados de destino y configure los siguientes parámetros:

Association Requirements: Establézcalo en Open (no encryption) [1]. Esto garantiza una experiencia de incorporación sin fricciones. Si necesita un tránsito de invitados cifrado, considere implementar Passpoint / Hotspot 2.0 con Cloud RADIUS [4].
Splash Page: Seleccione Sign-on with y elija my RADIUS server en el menú desplegable [1].
RADIUS Servers: Haga clic en Add server e ingrese los endpoints primario y secundario de Cloud RADIUS de Purple [1]:
- Host IP: 116.203.120.121 (Primario) y 195.201.123.149 (Secundario)
- Port: 1812 (Autenticación) [1]
- Secret: [Su secreto compartido de Purple]
RADIUS Accounting: Establézcalo en RADIUS accounting is enabled y agregue los servidores de contabilidad:
- Host IP: 116.203.120.121 (Primario) y 195.201.123.149 (Secundario)
- Port: 1813 (Contabilidad)
- Secret: [Su secreto compartido de Purple]
Captive Portal Strength: Seleccione Block all access until sign-on is complete [1]. Esto exige estrictamente que los clientes no puedan acceder a internet sin pasar por la splash page.

Paso 2: Configurar la URL personalizada de la Splash Page

Vaya a Wireless > Configure > Splash page [1]. Seleccione su SSID de invitados y configure:

Custom Splash URL: Seleccione Or point to a custom URL e ingrese la URL de redireccionamiento de Purple:
- https://login.venuewifi.com/ip/v2/meraki
Splash Page Redirect: Establézcalo en The URL they were trying to fetch o rediríjalos a una página de destino específica (por ejemplo, la página de inicio de su establecimiento) [3].

Paso 3: Configurar las excepciones de nombres de dominio del Walled Garden

Para garantizar que los clientes invitados puedan cargar el Captive Portal, descargar recursos de las redes de entrega de contenido (CDN) y completar la autenticación social (por ejemplo, OAuth de Google o Facebook), debe habilitar y configurar el Walled Garden [3].

Vaya de nuevo a Wireless > Configure > Access control y localice la sección Walled Garden [1].

Establezca Walled Garden en Walled garden is enabled [1].
In el campo Walled garden ranges, ingrese los FQDN y dominios comodín requeridos [1].

Cómo maneja Meraki los comodines y el tráfico de CDN

Los puntos de acceso Cisco Meraki MR admiten dominios comodín en el walled garden utilizando el prefijo de asterisco (por ejemplo, *.purple.ai) [1]. Sin embargo, es fundamental comprender el funcionamiento interno:

Lista blanca basada en DNS: El AP de Meraki intercepta las solicitudes DNS del cliente. Cuando el cliente solicita un dominio que coincide con una entrada en el walled garden, el AP resuelve el dominio a su dirección IP actual y permite temporalmente que el cliente se comunique con esa IP [3].
IPs dinámicas de CDN: Las CDN como Amazon CloudFront (*.cloudfront.net) y Akamai (*.akamaihd.net) se resuelven en direcciones IP altamente dinámicas y distribuidas geográficamente que cambian con frecuencia. La lista blanca basada en DNS de Meraki maneja esto sin problemas al resolver los dominios en tiempo real. Nunca utilices direcciones IP estáticas para recursos de CDN en tu walled garden, ya que esto provocará fallas de carga intermitentes de los recursos del portal.

Mejores Prácticas

Para garantizar una alta disponibilidad, seguridad y una experiencia de usuario óptima, cumple con estas mejores prácticas de implementación estándar de la industria:

1. Segmentación de Red y Aislamiento de VLAN

Nunca conectes el tráfico de invitados directamente a tu LAN corporativa. Configura tus AP Meraki MR para etiquetar el tráfico de invitados con una VLAN de Invitados dedicada (por ejemplo, VLAN 30) [4]. Asegúrate de que esta VLAN termine en una DMZ o en una instancia de enrutamiento y reenvío virtual (VRF) independiente en tu firewall ascendente. Esto mitiga los riesgos de movimiento lateral y garantiza el cumplimiento de estándares de seguridad como PCI DSS y GDPR [2] [4].

2. Configurar Resiliencia de Sesión y Failover

Los enlaces de red pueden fallar. Para evitar que los invitados se queden sin acceso a Internet durante una interrupción del servidor de autenticación, configura la Política de Failover de RADIUS en el Dashboard de Meraki:

Política de Failover: Establécela en Denegar acceso para una seguridad máxima, o en Permitir acceso si se prioriza mantener la conectividad de los invitados sobre la captura de datos durante una interrupción.
Servidores Secundarios: Configura siempre servidores RADIUS tanto primarios como secundarios para distribuir la carga y proporcionar failover automático [1].

3. Implementar Tiempos de Espera de Sesión e Inactividad

Administra tu espectro inalámbrico y las concesiones del pool de DHCP configurando los parámetros de tiempo de espera adecuados [1]:

Tiempo de Espera de la Sesión: Establécelo en 1440 minutos (24 horas) para entornos de hotelería, lo que permite a los invitados permanecer conectados durante su estancia sin necesidad de volver a autenticarse constantemente [1]. Para el sector minorista o el transporte público, redúcelo a 120 minutos (2 horas) para fomentar una nueva interacción y liberar concesiones de DHCP.
Tiempo de Espera por Inactividad: Establécelo en 15 minutos. Si el dispositivo de un cliente entra en modo de suspensión o abandona el lugar, el AP finaliza la sesión, recuperando los recursos de la red [1].

Resolución de Problemas y Mitigación de Riesgos

Al implementar Captive Portals externos en Cisco Meraki, los ingenieros suelen encontrarse con tres modos de falla principales. Utiliza esta matriz de diagnóstico para aislar y resolver problemas rápidamente:

Síntoma	Causa Raíz	Paso de Diagnóstico	Solución
La página de bienvenida no se carga; el navegador muestra 'Se agotó el tiempo de espera de la conexión'.	El firewall ascendente está bloqueando el tráfico DNS o HTTP/HTTPS saliente hacia la CDN de Purple [1].	Intenta resolver `login.venuewifi.com` desde un dispositivo cableado en la misma VLAN.	Asegúrate de que la VLAN de invitados tenga acceso saliente a DNS público (UDP 53) y HTTP/HTTPS (TCP 80/443).
La Captive Portal se carga, pero las credenciales de usuario no se autentican.	El firewall ascendente está bloqueando el tráfico RADIUS proveniente de Meraki Cloud [1].	Utilice la herramienta de Prueba RADIUS en el Dashboard de Meraki bajo Control de Acceso [1].	Agregue los rangos de IP salientes del Dashboard de Meraki (que se encuentran en Ayuda > Información del firewall) a la lista de permitidos salientes de su firewall para los puertos UDP 1812 y 1813 [1].
El inicio de sesión social (por ejemplo, Google OAuth) falla con un error de redirección.	Faltan los dominios auxiliares de OAuth requeridos en el Walled Garden de Meraki [1].	Revise la consola del navegador en el dispositivo cliente para ver las cargas de recursos bloqueadas.	Agregue los dominios obligatorios de OAuth (por ejemplo, `.googleapis.com`, `.gstatic.com`) a la lista del Walled Garden [1].

ROI e Impacto Comercial

Integrar Cisco Meraki con Purple transforma el WiFi de invitados de un centro de costos a un activo comercial estratégico. Al aprovechar hardware de nivel empresarial junto con analíticas avanzadas, las organizaciones logran retornos medibles en múltiples dimensiones:

Monetización de Datos y Alcance de Marketing: Al capturar direcciones de correo electrónico verificadas y perfiles sociales, los establecimientos construyen una base de datos limpia y compatible de datos de clientes de primera mano [2]. Esto se alimenta directamente en los sistemas de gestión de relaciones con el cliente (CRM) y automatización de marketing, lo que permite campañas de marketing altamente segmentadas e hiperlocales.
Eficiencia Operativa: El registro automatizado a través de Purple reduce la carga de trabajo del personal de recepción y de soporte de TI. En entornos de hospitalidad, esto se traduce en menos quejas de los huéspedes sobre la conectividad WiFi y menores costos operativos.
Analíticas Avanzadas de Afluencia: Al combinar las API de ubicación de Meraki con el motor de analíticas de Purple, los operadores de los establecimientos obtienen información detallada sobre el comportamiento de los visitantes, incluyendo la afluencia, los tiempos de permanencia, las tasas de retorno y las horas pico de mayor actividad [2]. Estos datos impulsan decisiones informadas sobre la asignación de personal, el diseño de las tiendas y la valoración de los bienes raíces.

Referencias

Definiciones clave

Captive Portal

Una página web que se muestra a los usuarios recién conectados a una red Wi-Fi antes de que se les conceda un acceso más amplio a los recursos de la red.

Utilizado por los establecimientos para hacer cumplir los términos de servicio, recopilar datos de los usuarios y autenticar a los invitados a través de RADIUS antes de permitir el acceso a internet.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

Los AP de Meraki consultan los servidores Cloud RADIUS de Purple para verificar las credenciales de los invitados y autorizar el acceso a la red.

Walled Garden

Un conjunto restringido de direcciones IP o nombres de dominio a los que los clientes invitados no autenticados tienen permitido acceder antes de completar el proceso de inicio de sesión en el Captive Portal.

Crucial para permitir que los clientes accedan a la página de inicio alojada, descarguen recursos CSS/JS desde CDNs y se comuniquen con los endpoints de OAuth para el inicio de sesión con redes sociales.

Session-Timeout

Un atributo RADIUS RFC 2865 que especifica el número máximo de segundos que una sesión de usuario puede permanecer activa antes de requerir una nueva autenticación.

Devuelto por Purple RADIUS en el paquete Access-Accept para controlar cuánto tiempo permanece conectado un invitado (por ejemplo, 24 horas para huéspedes de hotel).

Idle-Timeout

Un atributo RADIUS que define el período máximo de inactividad (sin transferencia de datos) permitido antes de que se finalice la sesión del usuario.

Utilizado para desconectar dispositivos inactivos y recuperar direcciones IP en entornos de alta densidad como estadios o tiendas minoristas.

PAP (Password Authentication Protocol)

Un protocolo de autenticación simple y no cifrado utilizado por RADIUS para validar las credenciales de los usuarios.

Requerido por Cisco Meraki para la autenticación RADIUS de páginas de inicio externas. La seguridad se mantiene cifrando el tránsito del cliente al portal a través de HTTPS y cifrando el campo de contraseña del paquete RADIUS mediante el secreto compartido.

Passpoint (Hotspot 2.0)

Un estándar de la industria desarrollado por la Wi-Fi Alliance que permite un roaming automático similar al celular y una conexión segura a redes Wi-Fi.

Compatible con los puntos de acceso Meraki MR y Purple para permitir una incorporación de invitados fluida y basada en certificados sin necesidad de usar un Captive Portal.

CMX (Cisco Meraki Location APIs)

Un framework de API que permite a los puntos de acceso de Meraki exportar datos de ubicación y presencia en tiempo real (solicitudes de sonda) a plataformas de análisis de terceros.

Integrado con Purple para proporcionar análisis detallados de afluencia, tiempo de permanencia y tasa de retorno para establecimientos físicos.

Ejemplos resueltos

¿Cómo debe configurar el arquitecto de red el Meraki Dashboard y los ajustes de RADIUS para un hotel de lujo de 350 habitaciones que utiliza puntos de acceso Cisco Meraki MR46 y necesita implementar una red WiFi de invitados segura, capturar los correos electrónicos de los huéspedes, restringir el ancho de banda a 5 Mbps por usuario y garantizar que solo tengan que iniciar sesión una vez cada 7 días?

Configuración de SSID: Configure un SSID abierto llamado 'Hotel_Guest' con la página de bienvenida (splash page) establecida en 'Sign-on with' y 'my RADIUS server'.\n2. Configuración de RADIUS: Ingrese las direcciones IP de RADIUS principal (116.203.120.121) y secundaria (195.201.123.149) de Purple. Establezca el puerto de autenticación en 1812 y el puerto de contabilidad (accounting) en 1813. Configure el secreto compartido.\n3. Parámetros de tiempo de espera: En el perfil del servidor RADIUS o en el panel de Purple, establezca el atributo Session-Timeout en 604800 segundos (7 días) y el Idle-Timeout en 1800 segundos (30 minutos) para recuperar las concesiones DHCP inactivas.\n4. Modelado de tráfico: En el Meraki Dashboard, bajo Wireless > Configure > Firewall & traffic shaping, seleccione el SSID, habilite el modelado de tráfico y establezca un límite por cliente de 5 Mbps de bajada y 2 Mbps de subida.\n5. Walled Garden: Habilite el walled garden y agregue *.purple.ai, *.venuewifi.com y los comodines de CDN necesarios como *.cloudfront.net para permitir que la página de bienvenida se renderice antes de la autenticación.

Comentario del examinador: Esta solución equilibra con éxito la experiencia del usuario con el rendimiento de la red. El uso de un Session-Timeout de 7 días evita la fatiga de inicio de sesión para los huéspedes de estadías prolongadas, mientras que el Idle-Timeout de 30 minutos evita el agotamiento de direcciones IP en el pool de DHCP. Se prefiere configurar el modelado de tráfico directamente en los AP de Meraki en lugar de depender de los atributos de RADIUS (como Maximum-Data-Rate-Downstream), ya que reduce la sobrecarga de procesamiento en los AP y proporciona un mecanismo de aplicación más consistente.

Una cadena minorista nacional con 45 tiendas desea implementar WiFi de invitados en todas sus ubicaciones utilizando AP Meraki MR33. Necesitan garantizar una configuración consistente, bloquear el acceso a la red corporativa y recopilar análisis de afluencia. ¿Cómo se debe implementar esto a escala?

Plantillas de configuración: Cree una única Plantilla de Configuración de Red en el Meraki Dashboard. Configure el SSID de invitados con los ajustes de RADIUS de Purple, los dominios del walled garden y la URL de bienvenida personalizada: https://login.venuewifi.com/ip/v2/meraki. Vincule las 45 redes de las tiendas a esta plantilla.\n2. Segmentación de VLAN: En el switch local y firewall de cada tienda, configure una VLAN de invitados dedicada (por ejemplo, VLAN 50). En la configuración del SSID de Meraki, establezca la asignación de IP del cliente en 'External DHCP server' y especifique la VLAN 50. Asegúrese de que el firewall bloquee todo el enrutamiento desde la VLAN 50 hacia las subredes corporativas.\n3. Análisis de ubicación: Habilite la API de escaneo de Meraki (CMX) en el Meraki Dashboard bajo Network-wide > Configure > General. Ingrese la URL de envío (Post URL) de Purple y el validador secreto. Esto permite que los AP de Meraki transmitan datos de solicitudes de sondeo en tiempo real al motor de análisis de Purple para generar informes de afluencia y tiempo de permanencia.

Comentario del examinador: La implementación a escala requiere automatización y una gestión basada en plantillas. Al vincular todas las redes a una sola plantilla, cualquier actualización futura del walled garden (como agregar un nuevo proveedor de inicio de sesión social) se puede enviar a las 45 tiendas de forma instantánea, eliminando errores de configuración manual. Habilitar la API de escaneo de Meraki junto con la contabilidad de RADIUS garantiza que el minorista capture tanto las métricas de las sesiones activas de los invitados como las métricas pasivas de afluencia de visitantes, maximizando el valor comercial de la implementación.

Preguntas de práctica

Q1. Un ingeniero de red implementa un nuevo SSID de invitados de Meraki con un Captive Portal de Purple. Los clientes no autenticados son redirigidos con éxito a la página de inicio de sesión, pero cuando intentan usar "Iniciar sesión con Google", la página se queda cargando y finalmente falla con un error de DNS o de tiempo de espera. Otros métodos de inicio de sesión (como el formulario de correo electrónico) funcionan perfectamente. ¿Cuál es la causa más probable de este problema y cómo debe resolverse?

Sugerencia: Considere qué dominios externos debe alcanzar el navegador del cliente para completar el protocolo de enlace de Google OAuth antes de que se complete la autenticación RADIUS.

Ver respuesta modelo

La causa más probable es que los dominios auxiliares de Google OAuth no están incluidos en la configuración del Walled Garden del SSID de Meraki. Aunque los dominios principales de Purple y los dominios de la CDN están permitidos (por lo que la página de bienvenida se carga), los servidores de autenticación de Google están siendo bloqueados por las reglas de firewall de preautenticación del AP. Para resolver esto, vaya a Wireless > Configure > Access control, seleccione el SSID de invitados y agregue los siguientes dominios de Google OAuth a la lista del Walled Garden: accounts.google.com, *.googleapis.com, *.gstatic.com y *.googleusercontent.com. Una vez guardado, el AP permitirá al cliente completar el protocolo de enlace de autenticación de Google y redirigirlo de nuevo a Purple para completar el inicio de sesión RADIUS.

Q2. Durante una auditoría posterior a la implementación de una red WiFi de alta densidad en un estadio, el equipo de TI nota que el pool de DHCP para la VLAN de invitados (una subred /21 con 2048 direcciones IP) se agota por completo dentro de las primeras 2 horas de un evento, a pesar de que las conexiones activas simultáneas nunca superan las 800. El registro de RADIUS (RADIUS accounting) está habilitado. ¿Cómo puede el arquitecto de red ajustar la configuración de Meraki y RADIUS para mitigar este problema?

Sugerencia: Analice la relación entre los tiempos de espera de sesión del cliente, los tiempos de espera por inactividad y los tiempos de concesión de DHCP en entornos transitorios de alta densidad.

Ver respuesta modelo

El agotamiento del pool de DHCP es causado por clientes transitorios (usuarios que pasan caminando o entran al estadio brevemente) que se conectan, obtienen una dirección IP y luego abandonan el recinto. Debido a que el Session-Timeout predeterminado de Meraki o el tiempo de concesión de DHCP es demasiado largo, esas direcciones IP permanecen reservadas a pesar de que los dispositivos físicos ya no están presentes. Para resolver esto, el arquitecto debe implementar tres cambios coordinados: 1) Reducir el tiempo de concesión de DHCP: En el servidor DHCP (o en el dispositivo de seguridad Meraki que gestiona el DHCP), reduzca el tiempo de concesión a 10 o 15 minutos. 2) Configurar el tiempo de espera por inactividad (Idle Timeout): Asegúrese de que el registro de RADIUS esté habilitado en el puerto 1813 y configure un Idle-Timeout de 10 minutos (600 segundos) en el perfil Access-Accept de RADIUS. Esto le indica al AP de Meraki que finalice la sesión de cualquier cliente inactivo durante 10 minutos. 3) Acortar el tiempo de espera de la sesión (Session Timeout): Reduzca el Session-Timeout global para el perfil del estadio a 120 minutos (7200 segundos) para forzar la reevaluación periódica de los dispositivos activos.

Q3. Un MSP está configurando un SSID de invitados de Meraki con un Captive Portal de Purple. Han ingresado las direcciones IP y los puertos correctos del servidor RADIUS de Purple (1812/1813) en el Dashboard de Meraki, pero al realizar la prueba con la herramienta de "Prueba" de RADIUS integrada, todos los puntos de acceso fallan al comunicarse con el servidor. El MSP verifica que el secreto compartido de RADIUS es correcto y que la nube de Purple está en línea. ¿Qué configuración de enrutamiento o firewall probablemente pasó por alto el MSP?

Sugerencia: Recuerde de dónde provienen las solicitudes de autenticación RADIUS en una arquitectura gestionada en la nube de Cisco Meraki.

Ver respuesta modelo

Es probable que el MSP haya configurado los firewalls de su red local para permitir el tráfico RADIUS saliente desde las subredes locales de los AP, pero olvidó que en una implementación de página de bienvenida de Meraki, las solicitudes Access-Request de RADIUS provienen directamente de la Infraestructura en la nube del Dashboard de Cisco Meraki, no de los AP locales. Para resolver esto, el MSP debe obtener los rangos de IP salientes del Dashboard de Meraki (que se encuentran en el Dashboard de Meraki en Help > Firewall info) y configurar su firewall corporativo ascendente para permitir el tráfico UDP entrante y saliente en los puertos 1812 (Autenticación) y 1813 (Contabilidad/Accounting) entre esos rangos de IP del Dashboard de Meraki y los servidores Cloud RADIUS de Purple. Además, deben asegurarse de que las direcciones IP del Dashboard de Meraki se agreguen como clientes RADIUS válidos en la configuración del portal de Purple.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.