Captive Portal para Ruckus Cloud: configúrelo con Purple guest WiFi

Bienvenido a la serie de boletines técnicos de Purple. Soy su anfitrión y hoy cubriremos algo que surge en casi todas las implementaciones de WiFi empresarial que vemos: la configuración de un Captive Portal en controladores Ruckus SmartZone y Ruckus Unleashed. Ya sea que sea un MSP que implementa WiFi para invitados en una cadena de hoteles, un líder de TI de hospitalidad que lanza una nueva propiedad o un ingeniero de redes inalámbricas que integra la plataforma de Purple con una infraestructura Ruckus, este episodio es para usted. Comencemos. --- Primero, ¿por qué es importante la integración del Captive Portal de Ruckus? Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone en particular es el controlador de elección para entornos de alta densidad: estadios, centros de convenciones, grandes hoteles y cadenas de retail. Cuando se implementa WiFi para invitados a esa escala, se necesita más que un simple SSID abierto. Se requiere un flujo de autenticación estructurado, captura de datos que cumpla con el GDPR y la capacidad de enviar esos datos de invitados a su pila de marketing. Ahí es exactamente donde entra una plataforma externa de Captive Portal como Purple. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr significa Wireless Internet Service Provider roaming - es un estándar de la industria que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID, su dispositivo envía una solicitud HTTP, el controlador SmartZone la intercepta y emite un redireccionamiento HTTP 302 a la URL de su portal externo. El invitado se autentica, ya sea a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado, y luego el portal se comunica de regreso con el controlador a través de la interfaz Northbound, o NBI, para otorgar el acceso. Limpio, basado en estándares y altamente confiable cuando se configura correctamente. --- Ahora pasemos a la configuración técnica. Primero explicaré SmartZone y luego cubriré las diferencias para Unleashed. En SmartZone - y esto se aplica tanto a las implementaciones físicas de SZ300 como a las virtuales de vSZ - la configuración consta de cuatro componentes principales: el perfil del servidor de autenticación RADIUS, el perfil del servidor de contabilidad RADIUS, el perfil del portal Hotspot WISPr y la propia WLAN. Comience con sus servidores RADIUS. Vaya a Services and Profiles, luego a Authentication. Cree un nuevo perfil de servidor AAA. Establezca el Service Protocol en RADIUS. Su IP de servidor primario y el secreto compartido serán proporcionados por su proveedor de portal; en el caso de Purple, estos están documentados en la consola de administración del portal de Purple. Puerto 1812 para autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia: puerto 1812 también en el secundario. Luego haga lo mismo para la contabilidad en Services and Profiles, Accounting: puerto 1813, mismo secreto compartido. A continuación, el perfil Hotspot WISPr. Vaya a Services and Profiles, Hotspots and Portals, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la Login URL como External e ingrese su URL de redireccionamiento del portal - esta es la URL a la que se enviará a sus invitados antes de que se autentiquen. Establezca la Start Page para redireccionar a una URL posterior a la autenticación, que por lo general es una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde muchos ingenieros se confunden. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier CDN o dominios de recursos desde los que se carga su portal y los puntos de conexión estándar de detección de Captive Portal de los sistemas operativos. En SmartZone, los comodines son compatibles utilizando el formato de asterisco y punto - por ejemplo, *.purple.ai. Esa única entrada cubre todos los subdominios. También debe incluir los dominios de detección de Captive Portal de Apple - captive.apple.com - y los puntos de conexión de comprobación de conectividad de Google para evitar que el mini-navegador CNA se comporte de forma incorrecta en dispositivos iOS y Android. Un paso crítico que es fácil de omitir: por defecto, SmartZone cifra la dirección MAC y la dirección IP que transmite al portal externo en la URL de redireccionamiento. El proveedor de su portal necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Inicie sesión por SSH en su SmartZone, entre en el modo de configuración y ejecute: no encrypt-mac-ip. Eso es todo - un solo comando, pero es un obstáculo si lo omite. La Northbound Interface es la otra pieza. Esta es la API que permite a la plataforma de su portal comunicarse de vuelta con el SmartZone para otorgar o denegar el acceso después de la autenticación. Actívela en Administration, External Services, WISPr Northbound Interface. Defina un usuario y contraseña, y proporcione esas credenciales al proveedor de su portal. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS - asegúrese de que su firewall permita conexiones entrantes desde el rango de direcciones IP de la plataforma de su portal hacia estos puertos. Finalmente, cree su WLAN. Establezca el Authentication Type en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en User-defined si el proveedor de su portal requiere un valor específico, establezca Called Station ID en AP MAC y active Single Session ID. Esta última configuración garantiza que la sesión de un invitado esté vinculada a un único registro de sesión del controlador, lo cual es importante para una contabilidad precisa. --- Ahora para Unleashed. La arquitectura es fundamentalmente diferente - Unleashed es un modelo distribuido y sin controlador donde un AP actúa como maestro. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son bastante similares - cree un servicio Hotspot, configure la URL de su portal externo, configure su servidor de autenticación AAA, agregue sus entradas de Walled Garden - pero existen diferencias clave. Primero, no hay ningún requisito de Northbound Interface en Unleashed. El modelo de comunicación del portal es más sencillo. Segundo, la encriptación de direcciones MAC no se aplica de forma predeterminada en Unleashed, por lo que no necesita el comando CLI. Tercero, el walled garden de Unleashed acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodín; por lo tanto, ingresaría purple.ai en lugar de star-dot-purple.ai. Consulte la documentación de su proveedor para conocer el formato exacto que requieren. Unleashed se escala a unos 50 puntos de acceso, lo que lo hace adecuado para hoteles de tamaño mediano, sucursales minoristas y despliegues de PyMEs. Para cualquier tamaño mayor (grupos hoteleros de múltiples propiedades, estadios, grandes propiedades comerciales) SmartZone es la plataforma adecuada. - Permítame cubrir los dos modos de falla más comunes que veo en el campo. El primero es la configuración incorrecta del walled garden. Si su página de portal no se carga después del redireccionamiento, lo primero que debe verificar es si todos los dominios a los que hace referencia su página de portal están en el walled garden. Las páginas de portal modernas cargan recursos de múltiples dominios de CDN, scripts de analítica y SDK de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de manera incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. El segundo es el problema de conectividad NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que el SmartZone no puede recibir la llamada de retorno de NBI desde su plataforma de portal. Verifique que los puertos 9080 y 9443 estén abiertos de entrada a la IP de administración de SmartZone desde el rango de IP de su proveedor de portal. También verifique que las credenciales NBI que ha configurado coincidan con las que tiene registradas su proveedor de portal. Un tercero que vale la pena mencionar: Apple CNA, el Captive Network Assistant. En iOS, cuando un dispositivo se conecta a una red, envía una sonda a captive.apple.com. Si esa sonda obtiene una respuesta que no es 200, iOS abre el mini-navegador. Si captive.apple.com está en su walled garden, la sonda tiene éxito, iOS cree que hay internet y el CNA no aparece. Eso suena como algo bueno, pero significa que sus invitados no verán automáticamente el portal. Debe decidir: ¿quiere que aparezca el CNA o quiere que los invitados abran un navegador manualmente? La mayoría de los despliegues de hotelería mantienen a captive.apple.com fuera del walled garden para activar el CNA. - Preguntas rápidas. Tres preguntas que me hacen constantemente. ¿Necesito una VLAN para mi WLAN de invitados? Sí. Siempre aísle el tráfico de invitados en una VLAN dedicada. Este es tanto un requisito de seguridad como una consideración de cumplimiento de PCI-DSS si su establecimiento procesa pagos con tarjeta en la misma red. ¿Puedo usar Purple con Ruckus Cloud en lugar de SmartZone? Sí, pero la ruta de configuración es diferente; se encuentra en Redes WiFi, Configuración de acceso de invitados. Los principios de configuración del walled garden y RADIUS son los mismos. ¿Admite Purple implementaciones de varias zonas de SmartZone? Sí. La integración de Purple maneja entornos SmartZone de varias zonas, y puede definir el alcance de las configuraciones del portal para zonas individuales para diferentes recintos o pisos. --- Para concluir. La integración del Captive Portal de Ruckus SmartZone con Purple es un patrón de implementación maduro y bien documentado que ofrece una autenticación de invitados confiable a escala. Los puntos clave de configuración son: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un walled garden con el alcance correcto utilizando entradas de comodín, el comando de CLI no encrypt-mac-ip y la Northbound Interface habilitada con las credenciales correctas. Si configura correctamente esos cinco elementos, tendrá una base sólida. Para implementaciones Unleashed, se aplican los mismos principios con un modelo de configuración más simple y sin el requisito de NBI. Si va a implementar Purple en Ruckus y desea validar su configuración antes del lanzamiento, el equipo de incorporación técnica de Purple puede guiarlo a través de una lista de verificación previa al lanzamiento. La plataforma Purple también proporciona análisis en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de las sesiones - lo que le brinda la visibilidad para detectar problemas antes de que lo hagan sus invitados. Gracias por escucharnos. En el próximo episodio cubriremos la autenticación 802.1X con Cloud RADIUS - otra integración que se complementa muy bien con Ruckus SmartZone para el acceso de invitados corporativos. Hasta la próxima.