Saltar al contenido principal
Español (México)

Captive Portal for Ruckus

Esta guía de referencia técnica proporciona un manual de integración definitivo para implementar un Captive Portal externo en arquitecturas CommScope Ruckus SmartZone y Unleashed. Guía a los ingenieros de redes paso a paso a través de las configuraciones para WLANs de invitados, redirección WISPr, configuraciones de servidores RADIUS AAA y excepciones de Walled Garden para ofrecer una solución de WiFi para invitados segura y de alta densidad.

📖 14 min de lectura📝 3,327 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido a la Serie de Sesiones Técnicas de Purple. Soy su anfitrión, y hoy cubriremos algo que surge en casi todas las implementaciones de WiFi empresarial que vemos: la configuración de un Captive Portal en controladores Ruckus SmartZone y Ruckus Unleashed. Ya sea que sea un MSP que implementa WiFi para invitados en una cadena de hoteles, un líder de TI de hospitalidad que lanza una nueva propiedad o un ingeniero de redes inalámbricas que integra la plataforma de Purple con una infraestructura Ruckus, este episodio es para usted. Comencemos. --- Primero, ¿por qué es importante la integración del Captive Portal de Ruckus? Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone en particular es el controlador de elección para entornos de alta densidad: estadios, centros de convenciones, grandes hoteles y cadenas de retail. Cuando implementa WiFi para invitados a esa escala, necesita más que solo un SSID abierto. Necesita un flujo de autenticación estructurado, captura de datos que cumpla con el GDPR y la capacidad de enviar esos datos de invitados a su pila de marketing. Ahí es exactamente donde entra una plataforma externa de Captive Portal como Purple. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr significa Wireless Internet Service Provider roaming (itinerancia de proveedor de servicios de internet inalámbrico); es un estándar de la industria que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID, su dispositivo envía una solicitud HTTP, el controlador SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo. El invitado se autentica, ya sea a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado, y luego el portal se comunica de regreso con el controlador a través de la interfaz Northbound, o NBI, para otorgar el acceso. Limpio, basado en estándares y altamente confiable cuando se configura correctamente. --- Ahora pasemos a la configuración técnica. Primero explicaré SmartZone y luego cubriré las diferencias para Unleashed. En SmartZone, y esto se aplica tanto a las implementaciones físicas de SZ300 como a las virtuales de vSZ, la configuración tiene cuatro componentes principales: el perfil del servidor de autenticación RADIUS, el perfil del servidor de contabilidad (accounting) RADIUS, el perfil del portal Hotspot WISPr y la propia WLAN. Comience con sus servidores RADIUS. Vaya a Servicios y Perfiles, luego a Autenticación. Cree un nuevo perfil de servidor AAA. Establezca el Protocolo de Servicio en RADIUS. El IP de su servidor principal y el secreto compartido serán proporcionados por su proveedor de portal; en el caso de Purple, estos están documentados en la consola de administración del portal de Purple. Puerto 1812 para autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia; puerto 1812 en el secundario también. Luego haga lo mismo para la contabilidad en Servicios y Perfiles, Contabilidad: puerto 1813, mismo secreto compartido. A continuación, el perfil de Hotspot WISPr. Vaya a Servicios y Perfiles, Hotspots y Portales, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la URL de inicio de sesión (Login URL) en Externa e ingrese la URL de redireccionamiento de su portal; esta es la URL a la que se enviará a sus invitados antes de que se autentiquen. Establezca la Página de inicio (Start Page) para redireccionar a una URL posterior a la autenticación, que suele ser una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde muchos ingenieros se confunden. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de haberse autenticado. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal, y los puntos de conexión estándar de detección de Captive Portal del sistema operativo. En SmartZone, se admiten comodines utilizando el formato de asterisco-punto; por ejemplo, asterisco-punto-purple-punto-ai. Esa única entrada cubre todos los subdominios. También debe incluir los dominios de detección de Captive Portal de Apple (captive.apple.com) y los puntos de conexión de verificación de conectividad de Google para evitar que el mini-navegador CNA se comporte de forma incorrecta en dispositivos iOS y Android. Un paso crítico que es fácil de pasar por alto: de forma predeterminada, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redireccionamiento. El proveedor de su portal necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre al modo de configuración y ejecute: no encrypt-mac-ip. Eso es todo; un solo comando, pero es un obstáculo insalvable si lo omite. La interfaz Northbound (Northbound Interface) es la otra pieza. Esta es la API que permite a la plataforma de su portal comunicarse de vuelta con el SmartZone para otorgar o denegar el acceso después de la autenticación. Actívela en Administración, Servicios Externos, Interfaz Northbound WISPr. Establezca un nombre de usuario y contraseña, y proporcione esas credenciales al proveedor de su portal. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de la plataforma de su portal hacia estos puertos. Finalmente, cree su WLAN. Establezca el Tipo de Autenticación en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en Definido por el usuario si el proveedor de su portal requiere un valor específico, establezca el Called Station ID en AP MAC y active Single Session ID. Esta última configuración garantiza que la sesión de un invitado esté vinculada a un único registro de sesión del controlador, lo cual es importante para una contabilidad precisa. --- Ahora para Unleashed. La arquitectura es fundamentalmente diferente: Unleashed es un modelo distribuido y sin controlador donde un AP actúa como maestro. La configuración se encuentra en Administración y Servicios, Servicios, Servicios de Hotspot. Los pasos son muy similares: cree un servicio de Hotspot, configure la URL de su portal externo, configure su servidor de autenticación AAA, agregue sus entradas de Walled Garden, pero existen diferencias clave. Primero, no hay un requisito de Northbound Interface en Unleashed. El modelo de comunicación del portal es más simple. Segundo, la encriptación de direcciones MAC no se aplica por defecto en Unleashed, por lo que no necesitas el comando CLI. Tercero, el walled garden de Unleashed acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodín; por lo tanto, ingresarías purple.ai en lugar de star-dot-purple.ai. Consulta la documentación de tu proveedor para conocer el formato exacto que requieren. Unleashed se escala a alrededor de 50 puntos de acceso, lo que lo hace adecuado para hoteles de tamaño mediano, sucursales minoristas y despliegues de PyMEs. Para cualquier proyecto más grande (grupos hoteleros multipropiedad, estadios, grandes complejos comerciales), SmartZone es la plataforma adecuada. --- Permíteme cubrir los dos modos de falla más comunes que veo en el campo. El primero es la configuración incorrecta del walled garden. Si la página de tu portal no se carga después de la redirección, lo primero que debes verificar es si todos los dominios a los que hace referencia la página de tu portal están en el walled garden. Las páginas de portales modernas cargan recursos de múltiples dominios CDN, scripts de analítica y SDKs de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utiliza las herramientas de desarrollo de tu navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes están siendo bloqueadas. El segundo es el problema de conectividad NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa más probable es que SmartZone no pueda recibir la devolución de llamada (callback) NBI desde la plataforma de tu portal. Verifica que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de administración de SmartZone desde el rango de IP del proveedor de tu portal. También verifica que las credenciales NBI que has configurado coincidan con las que tiene registradas el proveedor de tu portal. Un tercero que vale la pena mencionar: Apple CNA, el Captive Network Assistant. En iOS, cuando un dispositivo se conecta a una red, envía una prueba a captive.apple.com. Si esa prueba recibe una respuesta que no es 200, iOS abre el mini-navegador. Si captive.apple.com está en tu walled garden, la prueba tiene éxito, iOS piensa que hay internet y el CNA no aparece. Eso suena como algo bueno, pero significa que tus invitados no verán el portal automáticamente. Debes decidir: ¿quieres que aparezca el CNA o prefieres que los invitados abran un navegador manualmente? La mayoría de los despliegues en el sector de hospitalidad mantienen a captive.apple.com fuera del walled garden para activar el CNA. --- Preguntas rápidas. Tres preguntas que me hacen constantemente. ¿Necesito una VLAN para mi WLAN de invitados? Sí. Aísla siempre el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si tu establecimiento procesa pagos con tarjeta en la misma red. ¿Puedo usar Purple con Ruckus Cloud en lugar de SmartZone? Sí, pero la ruta de configuración es diferente: se encuentra en Redes WiFi, configuración de Acceso de Invitados. Los principios de configuración del walled garden y RADIUS son los mismos. ¿Soporta Purple los despliegues multizona de SmartZone? Sí. La integración de Purple maneja entornos SmartZone multizona, y puedes delimitar las configuraciones del Captive Portal a zonas individuales para diferentes recintos o pisos. --- Para concluir. La integración del Captive Portal de Ruckus SmartZone con Purple es un patrón de despliegue maduro y bien documentado que ofrece una autenticación de invitados confiable a escala. Los puntos clave de configuración son: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un walled garden correctamente delimitado usando entradas comodín, el comando de CLI no encrypt-mac-ip, y la Northbound Interface habilitada con las credenciales correctas. Asegura esos cinco elementos y tendrás una base sólida. Para los despliegues de Unleashed, se aplican los mismos principios con un modelo de configuración más simple y sin el requerimiento de NBI. Si estás desplegando Purple en Ruckus y deseas validar tu configuración antes del lanzamiento, el equipo de incorporación técnica de Purple puede guiarte a través de una lista de verificación previa al lanzamiento. La plataforma Purple también proporciona analíticas en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de autenticación y los datos de sesión, brindándote la visibilidad para detectar problemas antes de que lo hagan tus invitados. Gracias por escucharnos. En el próximo episodio cubriremos la autenticación 802.1X con Cloud RADIUS, otra integración que se complementa muy bien con Ruckus SmartZone para el acceso de invitados corporativos. Hasta la próxima.

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Resumen Ejecutivo

Implementar una red inalámbrica para invitados de alto rendimiento en entornos empresariales requiere un delicado equilibrio entre una experiencia de usuario fluida y una seguridad técnica robusta. Para las organizaciones que utilizan arquitecturas CommScope Ruckus —que van desde estadios y centros de convenciones de alta densidad hasta extensas propiedades de retail y grupos hoteleros— el Captive Portal sirve como la puerta de enlace principal para la incorporación de usuarios, el cumplimiento de normativas y la captura de datos de primera mano.

Esta guía ofrece un manual paso a paso autorizado para integrar Captive Portals externos con controladores Ruckus SmartZone y Ruckus Unleashed. Al aprovechar los protocolos de itinerancia de proveedores de servicios de Internet inalámbrico (WISPr) estándar de la industria, los ingenieros de redes pueden implementar un redireccionamiento confiable, una autenticación segura de servicio de usuario de marcado de autenticación remota (RADIUS) y configuraciones detalladas de Walled Garden.

Al combinarse con la plataforma de Purple's Guest WiFi y WiFi Analytics , esta integración permite a los operadores de los establecimientos capturar datos demográficos críticos de los visitantes, cumplir con las regulaciones internacionales de datos (como GDPR y PCI DSS) y desbloquear una potente automatización de marketing. Ya sea que se implementen arquitecturas centralizadas de Virtual SmartZone (vSZ) en centros de Hospitality y Transport , o redes Unleashed distribuidas basadas en AP en entornos de Retail , esta referencia técnica garantiza una implementación resistente y de alto rendimiento.

Análisis Técnico Profundo

Para implementar una red de invitados altamente escalable, los ingenieros deben comprender los estándares de comunicación subyacentes que rigen el flujo del Captive Portal. Las arquitecturas Ruckus utilizan el estándar WISPr 2.0 para negociar el redireccionamiento y la autenticación del cliente. WISPr define cómo un punto de acceso (AP) inalámbrico o controlador intercepta el tráfico HTTP/HTTPS no autenticado y redirecciona el navegador del cliente a un servidor web de portal externo.

El Flujo de Autenticación WISPr

El proceso de redireccionamiento del Captive Portal externo sigue una secuencia estricta de transacciones de red. Comprender este flujo es esencial para la resolución de problemas y la configuración de políticas de firewall ascendentes:

  1. Asociación: El cliente invitado se asocia con el SSID de invitados abierto y sin cifrar. El AP asigna una dirección IP al cliente a través de DHCP.
  2. Sondeo HTTP: El sistema operativo del cliente lanza un sondeo HTTP (por ejemplo, el sondeo del Captive Network Assistant de Apple a captive.apple.com o la verificación de conectividad de Android a connectivitycheck.gstatic.com) para verificar el acceso a Internet.
  3. Redirección HTTP 302: El AP de Ruckus o el controlador SmartZone intercepta esta solicitud HTTP no autenticada. Responde con una redirección HTTP 302, reenviando el navegador del cliente a la URL del portal externo (por ejemplo, la página de inicio de sesión de Purple). Esta URL de redirección se complementa con parámetros de consulta críticos, que incluyen la dirección MAC del cliente (client_mac), la dirección IP (client_ip), la dirección MAC del AP (ap_mac) y la IP de la interfaz Northbound del controlador (nbiIP).
  4. Renderizado del Portal: El navegador del cliente carga la página del portal externo. El tráfico no autenticado hacia el dominio del portal y sus recursos asociados está permitido por la política de Walled Garden del controlador.
  5. Autenticación de Usuario: El usuario completa los requisitos de inicio de sesión (por ejemplo, inicio de sesión con redes sociales, registro por SMS, envío de formularios) en el portal.
  6. RADIUS Access-Request: La plataforma del portal externo, actuando como un cliente RADIUS, envía un Access-Request al servidor de autenticación RADIUS configurado (como la infraestructura Cloud RADIUS de Purple).
  7. RADIUS Access-Accept: El servidor RADIUS valida las credenciales y devuelve un paquete Access-Accept que contiene los parámetros de la sesión (por ejemplo, tiempo de espera de la sesión, límites de ancho de banda) al controlador Ruckus.
  8. Callback de NBI: El portal externo realiza una llamada de API a la interfaz Northbound (NBI) del controlador Ruckus utilizando credenciales WISPr, indicando al controlador que autorice la dirección MAC del cliente.
  9. Acceso a Internet: El controlador cambia el estado del cliente a "Autenticado", permitiendo el acceso total a internet sujeto a las políticas de sesión configuradas.

architecture_overview.png

Comparación de la Arquitectura Principal

Dependiendo de la escala del sitio, las organizaciones implementan arquitecturas CommScope Ruckus SmartZone (a escala empresarial, basada en controlador) o Ruckus Unleashed (distribuida, sin controlador). Aunque ambas son compatibles con Captive Portals externos basados en WISPr, sus rutas de configuración subyacentes y capacidades difieren significativamente:

Característica Técnica Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (AP Distribuido)
Arquitectura del Controlador Dispositivo físico o virtual centralizado que gestiona hasta 10,000 APs. Arquitectura distribuida de AP maestro-miembro que gestiona hasta 50 APs.
Ruta de Configuración Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
Método de Callback de API Interfaz Northbound (NBI) a través de los puertos TCP 9080/9443. Autenticación directa RADIUS/Local sin callbacks de API externos.
Cifrado de Dirección MAC Activado por defecto; debe desactivarse a través de CLI (no encrypt-mac-ip). Desactivado por defecto; las direcciones MAC se transmiten en texto plano.
Walled Garden Wildcards Admite formato de comodín completo (por ejemplo, *.purple.ai). Admite entradas a nivel de dominio (por ejemplo, purple.ai).
Soporte de Proxy RADIUS Admitido a través de "Proxy (SZ Authenticator)" o AAA directo. Admitido a través de la configuración directa del servidor AAA.
Implementaciones Objetivo Estadios, grandes hoteles, centros de Transporte , campus de Salud . Hoteles de mercado medio, tiendas de Retail , Escuelas .

Guía de Implementación

Esta guía de implementación paso a paso orienta a los ingenieros de red en la configuración de un Captive Portal externo en los controladores Ruckus SmartZone y Ruckus Unleashed.

Parte A: Configuración de Ruckus SmartZone

Paso 1: Configurar los Servidores AAA RADIUS

Para autenticar a los usuarios invitados contra una base de datos externa, primero debe definir los servidores de Autenticación y Contabilidad (Accounting) RADIUS.

  1. Vaya a Services & Profiles > Authentication y seleccione la pestaña Proxy (SZ Authenticator).
  2. Seleccione su Zone de destino y haga clic en Create.
  3. Configure los siguientes parámetros:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: Ingrese la dirección IP proporcionada en su Consola de Administración de Purple.
    • Port: 1812
    • Shared Secret: Ingrese su Secreto Compartido de Purple RADIUS.
    • Backup RADIUS: Enabled (Configure la IP secundaria, el puerto 1812 y el mismo secreto compartido para alta disponibilidad).
  4. Haga clic en OK para guardar.
  5. Vaya a Services & Profiles > Accounting y haga clic en Create bajo la pestaña Proxy (SZ Authenticator).
  6. Configure los siguientes parámetros:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: Ingrese la dirección IP proporcionada en su Consola de Administración de Purple.
    • Port: 1813
    • Shared Secret: Ingrese su Secreto Compartido de Purple RADIUS.
    • Backup RADIUS: Enabled (Configure la IP secundaria, el puerto 1813 y el mismo secreto compartido).
  7. Haga clic en OK para guardar.

Paso 2: Configurar el Perfil del Portal Hotspot WISPr

El perfil Hotspot WISPr define el comportamiento de redirección y las reglas de Walled Garden.

  1. Vaya a Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Seleccione su Zone de destino y haga clic en Create.
  3. En la sección General Options, configure:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: Seleccione External e ingrese la URL de redirección principal proporcionada por Purple (por ejemplo, https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (Este formato es fundamental para el análisis de la base de datos de Purple).
  4. En la sección Start Page, configure:
    • Seleccione Redirect to the following URL e ingrese: https://login.purple.ai/success.php
  5. En la sección Session Options, configure:
    • Session Timeout: 1440 minutos (24 horas, o según la política de su empresa).
    • Grace Period: 60 minutos (permite a los usuarios volver a conectarse dentro de 1 hora sin tener que volver a autenticarse).
  6. Haz clic en OK para guardar el perfil.

Paso 3: Definir las excepciones de Walled Garden

El Walled Garden permite que los clientes no autenticados resuelvan el DNS y descarguen recursos de dominios específicos necesarios para cargar la splash page y autenticarse.

  1. Edita tu perfil Purple_WISPr_Portal recién creado.
  2. Desplázate hacia abajo y haz clic en el signo + para expandir la sección Walled Garden.
  3. Agrega los siguientes dominios obligatorios. Ten en cuenta que Ruckus SmartZone requiere el formato de comodín *.domain.com:
    • *.purple.ai (Portal principal y dominio de redirección)
    • *.cloudfront.net (CDN para cargar hojas de estilo y recursos de JavaScript)
    • *.apple.com y captive.apple.com (Para administrar el comportamiento de Apple Captive Network Assistant)
    • *.googleapis.com y *.gstatic.com (Para la API de Google y entrega de recursos)
  4. Agrega cualquier dominio de redes sociales si habilitas el inicio de sesión social (por ejemplo, *.facebook.com, *.facebook.net para el inicio de sesión de Facebook).
  5. Haz clic en OK para guardar.

Paso 4: Configurar la red inalámbrica local para invitados (WLAN)

Ahora, vincula los servidores RADIUS y el perfil de Hotspot a un nuevo SSID.

  1. Navega a Wireless LANs y selecciona tu Zone de destino.
  2. Haz clic en Create para crear una nueva WLAN.
  3. Configura las General Options:
    • Name: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Configura las Security Options:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Expande la sección Hotspot Portal:
    • Hotspot (WISPr) Portal: Selecciona Purple_WISPr_Portal.
    • Authentication Service: Selecciona Purple_RADIUS_Auth.
    • Accounting Service: Selecciona Purple_RADIUS_Acct.
    • Send Interim Update: Establécelo en 5 minutos (esencial para el seguimiento de sesiones en tiempo real).
  6. Expande las RADIUS Options:
    • NAS ID: Establécelo en User-defined e ingresa el ID de tu establecimiento asignado por Purple.
    • Called Station ID: Selecciona AP MAC.
    • Single Session ID: ON (Evita la duplicación de sesiones entre APs).
  7. Haz clic en OK para implementar la WLAN.

Paso 5: Habilitar la interfaz WISPr Northbound Interface (NBI)

La NBI permite que Purple se comunique de vuelta con el SmartZone para autorizar a los clientes.

  1. Navega a Administration > External Services > WISPr Northbound Interface.
  2. Marca la casilla para Enable Northbound Interface support.
  3. Define un Username y Password (por ejemplo, purple_nbi / SecureNbiPassword123!).
  4. Ingresa estas credenciales en la consola de administración de Purple en Integrations > Ruckus SmartZone.

Paso 6: Deshabilitar el cifrado de MAC/IP (PASO CRÍTICO DE CLI)

De forma predeterminada, SmartZone cifra las direcciones MAC en la URL de redirección. Debes deshabilitar esto para que Purple pueda leer las MAC de los clientes.

  1. Abre una sesión SSH a la IP de administración de tu controlador SmartZone.
  2. Inicia sesión con tus credenciales de administrador.
  3. Ejecuta los siguientes comandos:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

Parte B: Configuración de Ruckus Unleashed

Para establecimientos más pequeños que utilizan una arquitectura Unleashed sin controlador, configure el Captive Portal a través de la interfaz web del AP maestro.

Paso 1: Definir servidores AAA

  1. Vaya a Admin & Services > Services > AAA Servers.
  2. Haga clic en Create New para agregar el servidor de autenticación RADIUS:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Ingrese la IP de RADIUS de Purple.
    • Port: 1812
    • Shared Secret: Ingrese su secreto compartido de RADIUS de Purple.
  3. Haga clic en OK.
  4. Haga clic en Create New para agregar el servidor de contabilidad (Accounting) RADIUS:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Ingrese la IP de RADIUS de Purple.
    • Port: 1813
    • Shared Secret: Ingrese su secreto compartido de RADIUS de Purple.
  5. Haga clic en OK.

Paso 2: Configurar el servicio de Hotspot

  1. Vaya a Admin & Services > Services > Hotspot Services.
  2. Haga clic en Create New.
  3. Bajo la pestaña General:
    • Name: Purple_Hotspot
    • Login URL: Ingrese su URL de redireccionamiento de Purple.
    • Start Page: Seleccione Redirect to the following URL e ingrese https://login.purple.ai/success.php.
  4. Bajo la pestaña Authentication:
    • Authentication Server: Seleccione Purple_Auth.
    • Accounting Server: Seleccione Purple_Acct.
    • Interim Update: Establézcalo en 5 minutos.
  5. Bajo la pestaña Walled Garden:
    • Agregue entradas a nivel de dominio (por ejemplo, purple.ai, cloudfront.net, gstatic.com). Tenga en cuenta que Unleashed no requiere el prefijo de comodín de asterisco; la coincidencia estándar a nivel de dominio se aplica automáticamente.
  6. Haga clic en OK para guardar.

Paso 3: Asignar el servicio de Hotspot a la WLAN

  1. Vaya a Wi-Fi Networks y haga clic en Create.
  2. Establezca Name y SSID con el nombre de su red de invitados.
  3. Establezca Usage Type en Hotspot Service.
  4. Seleccione Purple_Hotspot de la lista de servicios.
  5. Haga clic en OK para publicar el SSID en todos los AP Unleashed.

comparison_chart.png

Mejores prácticas

Para garantizar el máximo rendimiento, la seguridad y el cumplimiento normativo, los arquitectos de red deben implementar las siguientes mejores prácticas estándar de la industria:

1. Segmentación granular de VLAN de invitados

Nunca asocie el tráfico de invitados a la VLAN nativa o de administración. Aísle siempre a los clientes invitados en una VLAN dedicada y no enrutable (por ejemplo, VLAN 100). Implemente listas de control de acceso (ACL) estrictas en el switch o firewall ascendente para bloquear el tráfico de invitados y evitar que llegue a las subredes corporativas, sistemas de punto de venta (POS) e infraestructura de IoT. Esta segmentación es un requisito fundamental para el cumplimiento de PCI DSS.

2. Optimización de RF de alta densidad

In high-density environments like stadiums, conference centres, and large retail hubs, RF tuning is critical. Disable lower legacy data rates (e.g., disable 802.11b rates below 12 Mbps) to force clients onto faster rates, reducing airtime contention. Enable Band Steering to direct dual-band client devices to the 5 GHz and 6 GHz spectrum, preserving the highly congested 2.4 GHz band for legacy devices.

3. Dynamic Walled Garden Management

Keep your Walled Garden as lean as possible. Overly permissive walled gardens (such as adding large IP subnets like 172.217.0.0/16) can allow unauthenticated users to bypass the captive portal and access external services (like Google Search or YouTube) without logging in. Regularly audit your walled garden domains, especially after enabling new social login providers.

4. Secure Session Management

Set reasonable session timeouts (e.g., 1440 minutes / 24 hours) and grace periods (e.g., 60 minutes). A well-configured grace period prevents "portal fatigue" by allowing users who temporarily lose WiFi coverage (e.g., stepping outside a hotel lobby) to reconnect seamlessly without being forced to re-authenticate.

5. Regulatory Compliance and Security

Deploying public guest WiFi exposes venues to legal risks. Ensure your captive portal integration complies with local regulations:

  • GDPR / CCPA: Ensure the splash page displays clear terms of service and privacy policies, requiring active opt-in consent for marketing communications.
  • WPA3-Transition Mode: While guest networks are typically open, consider enabling WPA3-Transition mode with Opportunistic Wireless Encryption (OWE) to encrypt wireless traffic between the client and the AP without requiring a pre-shared key, protecting guests from passive eavesdropping.
  • Web Content Filtering: Upstream DNS servers (such as Cisco Umbrella or Cloudflare Families) should be configured to block malicious domains, adult content, and illegal file-sharing traffic on the guest VLAN.

Troubleshooting & Risk Mitigation

When deploying external captive portals on Ruckus hardware, engineers commonly encounter a predictable set of configuration and network path issues. Use this structured troubleshooting framework to resolve deployment bottlenecks.

Common Failure Modes and Resolution Paths

Issue 1: Guest devices are not redirected to the captive portal page.

  • Root Cause A: DNS Resolution Failure. Unauthenticated clients must be able to resolve DNS queries before redirection. If the client cannot resolve login.purple.ai, the redirect will fail.
    • Resolution: Verify that the DHCP scope assigned to the guest VLAN provides valid, public DNS servers (e.g., 1.1.1.1 or 8.8.8.8). Ensure the upstream firewall permits UDP port 53 traffic from the guest subnet to the internet pre-authentication.
  • Root Cause B: Firewall blocking Port 9080/9443. SmartZone requires specific ports open to load the splash page.
    • Resolución: Asegúrate de que el puerto TCP 9080 (HTTP) o 9443 (HTTPS) esté permitido a través de cualquier firewall local.
  • Causa raíz C: Configuración incorrecta del Walled Garden. Es posible que la URL de redirección misma esté bloqueada.
    • Resolución: Asegúrate de que *.purple.ai esté definido explícitamente en el Hotspot WISPr Walled Garden.

Problema 2: Los invitados pueden ver y completar la página de inicio de sesión, pero no pueden acceder a internet después de hacer clic en "Conectar".

  • Causa raíz A: Falla de comunicación de la NBI. El portal externo no puede enviar la llamada de la API de autorización de regreso al controlador SmartZone.
    • Resolución: Verifica que la Northbound Interface (NBI) de SmartZone esté habilitada y que las credenciales ingresadas en la consola de administración de Purple coincidan con la configuración del controlador. Asegúrate de que tu firewall perimetral permita el tráfico entrante del puerto TCP 9080 (o 9443) desde el rango de IP públicas de Purple hacia la IP de administración de SmartZone.
  • Causa raíz B: Falla de autenticación RADIUS. El controlador está rechazando el Access-Accept de RADIUS o no lo ha recibido.
    • Resolución: Ve a Servicios y perfiles > Autenticación en el SmartZone, selecciona tu servidor RADIUS y haz clic en Probar AAA. Ingresa credenciales de prueba para verificar la conectividad. Si la prueba falla, verifica la IP de RADIUS, el puerto 1812 y el Secreto compartido. Asegúrate de que los puertos UDP 1812 y 1813 estén permitidos de salida en tu firewall perimetral.

Problema 3: Los dispositivos Apple iOS no muestran el navegador mini del Captive Network Assistant (CNA) automáticamente.

  • Causa raíz: Omisión de CNA de Apple habilitada o Walled Garden demasiado permisivo. Si el dominio de prueba de Apple está permitido en el walled garden, iOS asume que tiene acceso directo a internet y suprime el CNA.
    • Resolución: Asegúrate de que captive.apple.com NO esté completamente omitido en tu walled garden si deseas forzar la aparición del CNA. Por el contrario, si tu política es omitir el CNA y obligar a los usuarios a abrir un navegador estándar, asegúrate de que Omitir CNA esté ACTIVADO en la configuración de la WLAN.

Requisitos de puertos de red y protocolos

Para garantizar una comunicación fluida entre el controlador Ruckus, los dispositivos cliente y el portal externo, verifica que los siguientes puertos estén permitidos en los firewalls de tu red:

Origen Destino Protocolo Puerto Propósito
Subred de invitados DNS público UDP 53 Resolución de DNS previa a la autenticación.
Subred de invitados Controlador SmartZone TCP 9080 / 9443 Redirección del Captive Portal y autenticación web WISPr.
Controlador SmartZone Servidores RADIUS de Purple UDP 1812 Tráfico de autenticación RADIUS.
Controlador SmartZone Servidores RADIUS de Purple UDP 1813 Contabilidad RADIUS / Seguimiento de sesión.
Purple Portal Cloud Controlador SmartZone TCP 9080 / 9443 Llamadas de retorno de la API de la Northbound Interface (NBI) entrantes.

ROI e impacto empresarial

While network engineers focus on packet flows and port configurations, IT directors and CTOs must justify the investment in enterprise guest WiFi. Integrating Ruckus high-density hardware with Purple's WiFi Analytics platform transforms a cost-centre network into a high-value business asset, delivering measurable return on investment (ROI).

1. First-Party Data Capture at Scale

In industries like Retail and Hospitality , understanding customer demographics is a primary driver of business growth. A standard open SSID captures zero visitor data. By implementing Purple's captive portal, venues achieve average login completion rates of 25% to 40%. This allows operators to legally capture verified email addresses, phone numbers, and social profiles.

2. Hyper-Localized Marketing and Engagement

By pairing Ruckus's precise location services with Purple's marketing engine, venues can trigger automated, real-time campaigns based on physical presence. For example, a retail brand can trigger a targeted SMS coupon to a guest who has been browsing a specific department for more than 15 minutes, or a hotel can send a welcome email with a link to book spa services immediately after the guest connects to the lobby WiFi.

3. Operational Efficiency and Venue Insights

Integrating captive portals with location analytics delivers powerful operational intelligence. Venue directors can monitor:

  • Footfall and Dwell Time: Measure the exact number of visitors, how long they stay, and their pathing through the physical space.
  • Loyalty and Return Rates: Identify new vs. returning visitors to evaluate the impact of marketing campaigns and operational changes.
  • Staff Optimization: Align staffing levels with real-time visitor density maps, reducing overhead during off-peak hours and improving customer service during peak times.

Business Impact Matrix

The table below outlines typical business outcomes across core verticals following the deployment of a Ruckus and Purple integrated guest WiFi network:

Venue Vertical Primary Business Challenge Ruckus + Purple Solution Measurable Business Impact
Hospitality (Hotels, Resorts) High guest onboarding friction; low direct booking rates; poor review volume. Seamless WISPr onboarding; automated post-stay email triggers linked to TripAdvisor. 20% increase in direct bookings; 35% increase in positive online review volume.
Retail (Malls, Flagship Stores) Inability to track physical visitor journeys; low loyalty program enrollment. Capture demographic data via splash page; track physical pathing and dwell times. 15% growth in loyalty database; 10% increase in average basket size via targeted SMS.
Healthcare (Hospitals, Clinics) Strict security compliance; high administrative overhead for guest access. Isolated Guest VLAN; secure self-registration portal; integration with NAC solutions . 100% compliance with HIPAA and PCI DSS; 30% reduction in IT helpdesk ticket volume.

By aligning technical excellence in wireless engineering with strategic business goals, the Ruckus and Purple integration delivers a secure, compliant, and highly profitable enterprise network infrastructure.

References

Definiciones clave

WISPr (Wireless Internet Service Provider roaming)

Un borrador de protocolo desarrollado por la Wi-Fi Alliance que permite a clientes inteligentes y navegadores web autenticarse automáticamente ante un hotspot inalámbrico utilizando XML estandarizado o redireccionamiento HTTP 302.

Se utiliza como el protocolo de redireccionamiento principal en los controladores Ruckus para redirigir dispositivos de invitados no autenticados a plataformas externas de Captive Portal.

Northbound Interface (NBI)

Una API expuesta por el controlador Ruckus SmartZone que permite a los portales web externos enviar devoluciones de llamada (callbacks) de autorización, indicando al controlador que otorgue acceso a internet a una dirección MAC de cliente específica.

Debe habilitarse en el puerto TCP 9080 (HTTP) o 9443 (HTTPS) para permitir que Purple autorice las sesiones de invitados después de un inicio de sesión exitoso.

Walled Garden

Una lista de direcciones IP, subredes o nombres de dominio a los que los clientes invitados no autenticados tienen permitido acceder antes de la autenticación.

Debe configurarse con el dominio del portal, las CDN y los puntos de conexión de detección de Captive Portal del sistema operativo para garantizar que la página de inicio se cargue correctamente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que opera en los puertos UDP 1812 (Autenticación) y 1813 (Contabilidad) que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios.

Los controladores Ruckus reenvían los datos de la sesión del cliente a los servidores RADIUS de Purple para validar las credenciales y realizar el seguimiento de la duración de las sesiones.

CNA (Captive Network Assistant)

Un navegador ligero y limitado integrado en los sistemas operativos (como Apple iOS/macOS y Android) que se inicia automáticamente cuando se detecta una red abierta con un Captive Portal activo.

Se puede omitir en la configuración de la WLAN si los ingenieros desean obligar a los invitados a abrir manualmente un navegador completo para completar la autenticación.

Interim Accounting Update

Un mensaje periódico de RADIUS enviado por el controlador inalámbrico al servidor RADIUS para actualizar el estado de la sesión activa, el consumo de ancho de banda y el tiempo de conexión.

Debe establecerse en 5 minutos en la configuración de la WLAN de Ruckus para garantizar que el panel de Purple muestre análisis precisos y en tiempo real.

Client Isolation

Una función de seguridad configurada en el controlador inalámbrico que evita que los clientes inalámbricos conectados al mismo AP o SSID se comuniquen directamente entre sí.

Esencial para las redes WiFi de invitados para proteger a los usuarios de la suplantación de ARP local, ataques de intermediario (man-in-the-middle) y el escaneo no autorizado de dispositivos.

WPA3-Transition Mode

Una configuración de seguridad que permite que los dispositivos más antiguos compatibles con WPA2 y los dispositivos más nuevos compatibles con WPA3 se conecten al mismo SSID simultáneamente.

Se puede implementar en redes de invitados con Opportunistic Wireless Encryption (OWE) para proporcionar cifrado inalámbrico para SSID abiertos sin requerir una contraseña.

Ejemplos resueltos

Un centro de conferencias de alta densidad que implementa Ruckus SmartZone (vSZ) necesita implementar una red WiFi de invitados utilizando el Captive Portal de Purple. La red debe soportar hasta 5,000 sesiones concurrentes, aislar el tráfico de invitados de las subredes corporativas y admitir la autenticación mediante inicio de sesión social.

  1. Configure una VLAN de invitados 200 dedicada en los switches principales y mapéela a la zona de AP de Ruckus. Defina un rango de DHCP con servidores DNS públicos (por ejemplo, 1.1.1.1, 8.8.8.8) y un tiempo de concesión corto (2 horas) para adaptarse a la alta rotación.
  2. En SmartZone, navegue a Services & Profiles > Authentication > Proxy (SZ Authenticator) y cree servidores RADIUS principales y de respaldo que apunten a las direcciones IP de Cloud RADIUS de Purple en el puerto 1812 con el secreto compartido proporcionado.
  3. Cree servidores de contabilidad RADIUS (Accounting) que apunten a las direcciones IP de contabilidad de Purple en el puerto 1813. Establezca el intervalo de actualización intermedio en 5 minutos para realizar un seguimiento preciso de las sesiones activas.
  4. Cree un perfil de Hotspot WISPr Portal. Establezca la URL de inicio de sesión en "External" con la URL de redirección de Purple. Agregue excepciones de comodín de walled garden para ".purple.ai", ".cloudfront.net" y dominios de redes sociales (por ejemplo, "*.facebook.com").
  5. Cree el SSID de invitados. Establezca el tipo de autenticación en Hotspot (WISPr), seleccione el perfil de Hotspot recién creado y vincule los servicios de autenticación y contabilidad RADIUS. Establezca el Called Station ID en "AP MAC" y habilite "Single Session ID".
  6. Acceda a la CLI de SmartZone a través de SSH y ejecute "no encrypt-mac-ip" para pasar las direcciones MAC sin procesar al portal. Habilite la interfaz WISPr Northbound Interface (NBI) en el controlador e ingrese las credenciales en la consola de administración del portal de Purple para habilitar las devoluciones de llamada de autorización de NBI.
Comentario del examinador: Esta arquitectura es altamente resistente y cumple con las normativas. El uso de una VLAN 200 dedicada satisface los requisitos de segmentación de PCI DSS. El corto tiempo de concesión de DHCP de 2 horas evita el agotamiento de direcciones IP en escenarios de alta densidad. Habilitar la contabilidad RADIUS con una actualización intermedia de 5 minutos garantiza que el recinto tenga un seguimiento de sesiones en tiempo real, lo que permite a Purple monitorear con precisión el uso del ancho de banda. Deshabilitar el cifrado de direcciones MAC a través de la CLI es un paso crítico; sin esto, el portal recibiría MACs con hash y no podría correlacionar las sesiones. La configuración de devolución de llamada de NBI es la única forma segura de autorizar clientes en Ruckus SmartZone sin crear bucles de autenticación local.

Un hotel boutique de tamaño mediano con 45 habitaciones desea implementar WiFi de invitados con una página de bienvenida externa utilizando APs Ruckus Unleashed. Requieren una configuración ligera y sin controlador que no requiera administración de CLI ni un puerto de API NBI expuesto al público.

  1. Inicie sesión en la interfaz web del AP maestro de Unleashed. Vaya a Admin & Services > Services > AAA Servers y cree entradas de servidor de autenticación RADIUS (puerto 1812) y de contabilidad (puerto 1813) que apunten a la infraestructura Cloud RADIUS de Purple.
  2. Navegue a Admin & Services > Services > Hotspot Services y haga clic en Create New. Nombre el servicio "Purple_Hotel_Hotspot".
  3. En la pestaña General, establezca la URL de inicio de sesión en la URL de redirección del portal de Purple. Establezca la página de inicio para redirigir a " https://login.purple.ai/success.php ".
  4. En la pestaña Authentication, seleccione los servidores RADIUS recién creados. Establezca el intervalo de actualización de contabilidad intermedio en 5 minutos.
  5. En la pestaña Walled Garden, agregue los dominios requeridos como entradas a nivel de dominio (por ejemplo, "purple.ai", "cloudfront.net", "gstatic.com"). Tenga en cuenta que Unleashed no requiere ni admite el prefijo de comodín de asterisco (*.dominio.com).
  6. Vaya a Wi-Fi Networks, haga clic en Create y establezca el nombre del SSID (por ejemplo, "Hotel_Guest_WiFi"). Establezca el tipo de uso en "Hotspot Service" y seleccione "Purple_Hotel_Hotspot" de la lista desplegable. Guarde la configuración para sincronizar automáticamente el SSID en los 45 APs Unleashed.
Comentario del examinador: Para implementaciones en PyMEs y empresas del mercado medio con menos de 50 APs, Ruckus Unleashed ofrece una arquitectura distribuida muy rentable. Debido a que Unleashed no aplica el cifrado de direcciones MAC de forma predeterminada, se omite el paso de CLI requerido en SmartZone. Además, Unleashed no requiere una devolución de llamada de Northbound Interface (NBI) para la autorización; en su lugar, la autorización del cliente se negocia directamente a través de transacciones RADIUS estándar entre el AP maestro y el servidor RADIUS. Esto simplifica la configuración del firewall, ya que no es necesario abrir puertos entrantes (como 9080/9443) al controlador desde Internet.

Preguntas de práctica

Q1. An engineer has configured a Ruckus SmartZone captive portal integration. When users connect to the guest WiFi, they are redirected to the login page. However, after entering their credentials and clicking 'Connect', they are immediately redirected back to the login page in an infinite loop. What is the most likely cause of this issue, and how should it be resolved?

Sugerencia: Focus on the communication between the portal cloud and the SmartZone controller after authentication is completed.

Ver respuesta modelo

The most likely cause is a failure in the WISPr Northbound Interface (NBI) callback or a RADIUS authentication mismatch. When the user clicks 'Connect', the portal authenticates the user and attempts to send an NBI callback to the SmartZone controller on TCP port 9080 or 9443 to authorize the client's MAC address. If the edge firewall blocks this inbound port, or if the NBI credentials entered in the portal console do not match the controller's settings, the controller never authorizes the client. Consequently, when the client attempts to access the internet again, the controller intercepts the traffic and redirects them back to the portal. To resolve this: 1) Verify that TCP port 9443 (or 9080) is open inbound on the edge firewall from the portal's IP range to the SmartZone's management IP. 2) Check the SmartZone's NBI configuration under Administration > WISPr Northbound Interface and confirm that the username and password match what is configured in the portal admin console. 3) Test RADIUS connectivity on the SmartZone under Services & Profiles > Authentication > Test AAA to ensure the shared secret is correct.

Q2. During the deployment of a guest WiFi network on a Ruckus Unleashed cluster, several guests report that the splash page loads with broken images and styling, and the social login options fail to function. Other guests on different devices cannot load the splash page at all. What is the most likely configuration error?

Sugerencia: Analyze the difference between the domains that load successfully and those that fail pre-authentication.

Ver respuesta modelo

The most likely cause is a misconfigured or incomplete Walled Garden. Unauthenticated clients are blocked from accessing any internet destinations except those explicitly defined in the Walled Garden. If the splash page loads with broken styling and images, it means the browser is blocked from downloading those assets from external CDNs. If social login options fail, it means the social provider's authentication endpoints (e.g., Facebook or Google OAuth URLs) are blocked. To resolve this: 1) Audit the Walled Garden entries in the Unleashed Hotspot Service configuration. 2) Ensure that all CDN domains used by the portal (such as '.cloudfront.net') and core portal domains (such as 'purple.ai') are added. 3) If social login is enabled, add the specific social provider domains (e.g., '.facebook.com', '.facebook.net', '.google.com'). 4) Note that Unleashed uses domain-level matching, so do not include the asterisk wildcard prefix (e.g., use 'purple.ai' instead of '*.purple.ai').

Q3. A wireless engineer is migrating a guest WiFi network from Ruckus Unleashed to a centralized Virtual SmartZone (vSZ) controller. They copy the Walled Garden list exactly as it was configured in Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. However, after the migration, clients on the vSZ network cannot load the splash page. What is the syntax difference that caused this failure?

Sugerencia: Review the specific wildcard formatting rules for Ruckus SmartZone compared to Ruckus Unleashed.

Ver respuesta modelo

The failure is caused by a syntax difference in how the two platforms parse Walled Garden entries. Ruckus Unleashed applies automatic domain-level matching, meaning that entering 'purple.ai' automatically covers all subdomains (such as 'login.purple.ai' or 'assets.purple.ai'). However, Ruckus SmartZone does not apply automatic subdomain matching; it requires explicit wildcard formatting using the asterisk prefix (e.g., '.purple.ai'). If the engineer entered 'purple.ai' in SmartZone, the controller would permit traffic only to the root domain, blocking the client from loading the actual login page at 'login.purple.ai'. To resolve this, the engineer must edit the Hotspot WISPr profile in SmartZone and update the Walled Garden entries to use the correct format: '.purple.ai', '.cloudfront.net', and '.apple.com'.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.

Leer la guía →