Ver transcripción del podcast
CAPTIVE PORTAL PARA ARUBA: INTEGRACIÓN DE PURPLE PARA GUEST WIFI EMPRESARIAL
Una sesión informativa técnica de Purple — Aproximadamente 10 minutos
[INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto]
Bienvenido a la serie de sesiones informativas técnicas de Purple. Soy su anfitrión, y hoy cubriremos algo que surge en casi todas las conversaciones de despliegue inalámbrico empresarial que tenemos: cómo configurar un Captive Portal en la infraestructura de Aruba y, específicamente, cómo conectar ese portal a la plataforma de inteligencia de guest WiFi de Purple.
Si tiene AP de Aruba Instant o administra una flota de puntos de acceso a través de Aruba Central, este episodio es para usted. Nos moveremos rápidamente — esta es una sesión para profesionales, no una conferencia — por lo que asumiré que sabe cómo manejarse en una pantalla de configuración de WLAN y que comprende los conceptos básicos de la autenticación RADIUS.
El problema principal que estamos resolviendo es este: el portal de invitados integrado de Aruba es funcional, pero es limitado. No ofrece la captura de datos de marketing, los flujos de consentimiento que cumplen con el GDPR ni los análisis en tiempo real que requieren los recintos empresariales. Reemplazarlo con el Captive Portal externo de Purple es la decisión arquitectónica correcta, y hoy le guiaré exactamente sobre cómo hacerlo.
[INMERSIÓN TÉCNICA PROFUNDA — aprox. 5 minutos]
Comencemos con la arquitectura. Cuando un invitado se conecta a su SSID de Aruba y abre un navegador, el AP intercepta esa solicitud HTTP en el puerto TCP 80 y la redirige a la URL del portal externo — en este caso, la página de bienvenida alojada en la nube de Purple. El invitado se autentica a través del portal de Purple, que luego envía una solicitud RADIUS Access-Request a los servidores RADIUS de Purple en el puerto UDP 1812. Si tiene éxito, el servidor RADIUS devuelve un mensaje Access-Accept y el AP le otorga al cliente acceso completo a Internet. Los registros de contabilidad se envían en el puerto UDP 1813 durante toda la sesión.
Ese es el flujo fundamental. Ahora entremos en la configuración.
Hay dos planos de gestión con los que podría estar trabajando: Aruba Instant, que es el modelo de controlador virtual en las instalaciones que ejecuta ArubaOS 8.x, y Aruba Central, que es la plataforma de gestión en la nube de HPE. Los pasos de configuración son similares en concepto pero difieren en dónde se encuentran los ajustes.
Comenzando con Aruba Instant en ArubaOS 8. Primero, configurará su servidor RADIUS. Vaya a Seguridad, luego a Servidor de autenticación y haga clic en Nuevo. Necesitará cuatro datos de la plataforma de Purple: la dirección IP del servidor primario, el puerto de autenticación — normalmente 1812 —, el puerto de contabilidad — normalmente 1813 — y el secreto compartido. Purple proporciona estos datos en el panel de configuración de su recinto. Agregue un servidor secundario para la resiliencia; Purple opera una infraestructura RADIUS multirregión, por lo que tendrá un respaldo geográficamente adecuado.
A continuación, cree el perfil de External Captive Portal. Vaya a Security, luego a Captive Portal, haga clic en New y configure el Type como External. Ingrese la URL de la página de bienvenida (splash page) de la configuración de su establecimiento de Purple - este será un endpoint HTTPS alojado por Purple. Configure el puerto en 443, active Use HTTPS y, de manera crucial, configure el campo WISPr como Enabled. WISPr - que significa Wireless Internet Service Provider roaming - es el protocolo que permite a los dispositivos autodectectar el Captive Portal y presentarlo correctamente, en particular en dispositivos iOS y Android que utilizan la detección en segundo plano de Captive Portal. Sin WISPr activado, algunos dispositivos no lograrán activar el portal de forma automática.
Ahora, el SSID de invitados. Cree una nueva WLAN, configure el Primary Usage como Guest y, en la pestaña Security, configure el Splash Page Type como External - RADIUS Server. Asigne el perfil de Captive Portal y el servidor RADIUS que acaba de crear. Configure el Reauth Interval en un valor sensato - 1440 minutos, que equivale a 24 horas, es una opción común para entornos de hotelería. Active la autenticación MAC si desea que los invitados que regresan omitan el portal en visitas posteriores dentro de ese periodo de tiempo.
Para Aruba Central en AOS-8, el flujo es esencialmente el mismo pero se accede a través del asistente de WLAN en Devices, Config, WLANs. Configure el Security Level como Visitors, el Type como External Captive Portal y cree un nuevo perfil de Captive Portal con la URL de splash de Purple. Agregue sus servidores RADIUS principal y secundario, active el direccionamiento de cuentas (accounting) y configure un intervalo de contabilidad de cinco minutos. Este intervalo es importante - garantiza que la plataforma de analítica de Purple reciba actualizaciones periódicas de la sesión para generar informes precisos sobre el tiempo de permanencia e interacción.
En AOS-10, que es la arquitectura nativa de la nube, hay una diferencia importante: el jardín amurallado (walled garden) ya no se configura en la pestaña de Security de la WLAN. En su lugar, se configura a través de Access Rules. Debe crear un rol de autenticación previa - llámelo Guest Logon - y agregar reglas de permiso (allow rules) para cada dominio en la lista blanca del walled garden. Luego, asigne ese rol como el Pre-Authentication Role en el SSID.
Hablando del walled garden - aquí es donde la mayoría de las implementaciones fallan. El walled garden es la lista de dominios a los que los invitados no autenticados pueden acceder antes de completar el flujo del portal. Sin estas entradas, el portal no se cargará porque el dispositivo del invitado no puede conectarse a la CDN de Purple para descargar los recursos de la página de bienvenida.
Las entradas obligatorias de Purple son: star dot purple dot ai, star dot cloudfront dot net y star dot venuewifi dot com. Si utiliza el inicio de sesión con redes sociales - Google, Facebook, Apple, Microsoft - deberá agregar los dominios OAuth correspondientes para cada proveedor. Google requiere star dot google dot com, star dot googleapis dot com y star dot gstatic dot com. Facebook requiere star dot facebook dot com, star dot fbcdn dot net y connect dot facebook dot net. El inicio de sesión de Apple requiere star dot apple dot com y appleid dot apple dot com. Microsoft Entra ID requiere star dot microsoft dot com y star dot microsoftonline dot com.
Algo que vale la pena destacar: en Aruba, puede habilitar la Lista blanca automática de URL en el perfil del Captive Portal. Esta función añade dinámicamente a la lista blanca las URL a las que hace referencia la página del portal. Es útil como alternativa de respaldo, pero recomendaría configurar explícitamente el walled garden en lugar de confiar en la lista blanca automática en producción; es más predecible y fácil de auditar.
Hablemos específicamente de los parámetros RADIUS. Los atributos clave que utiliza Purple son: NAS-IP-Address, que identifica su AP o controlador; Called-Station-Id, que transporta el BSSID y el SSID en el formato dirección-MAC:nombre-SSID (Purple utiliza esto para mapear las sesiones a lugares y puntos de acceso específicos); y Calling-Station-Id, que es la dirección MAC del cliente. En el lado de la contabilidad, Acct-Session-Id proporciona el identificador único de sesión, y Acct-Status-Type transporta los eventos Start, Interim-Update y Stop. Asegúrese de que su configuración de Aruba envíe los tres tipos de eventos de contabilidad; algunas implementaciones solo envían Start y Stop, lo que significa que el análisis de Purple se pierde los datos de sesión provisionales necesarios para calcular con precisión el tiempo de permanencia.
[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aprox. 2 minutos]
Permítame darle las recomendaciones prácticas que le daría a cualquier cliente que implemente esto.
Primero: siempre realice pruebas con un dispositivo de prueba dedicado antes de entrar en producción. Conéctese al SSID de invitados, abra un navegador en una URL HTTP (no HTTPS) y verifique que se active el redireccionamiento. Si va directamente a HTTPS, el redireccionamiento no funcionará porque el AP no puede interceptar el tráfico cifrado. Este es el problema número uno por el que recibimos llamadas de soporte.
Segundo: reglas de firewall. Su VLAN de administración de AP o controlador necesita acceso UDP saliente a las IP del servidor RADIUS de Purple en los puertos 1812 y 1813. Si tiene un firewall de inspección de estado entre sus AP e internet, asegúrese de que permita estos flujos UDP. RADIUS no requiere conexión, por lo que algunos firewalls necesitan reglas explícitas en lugar de confiar en la inspección de estado.
Tercero: confianza en los certificados. Cuando configura la URL de la página de bienvenida como HTTPS, el AP debe confiar en el certificado presentado por el servidor del portal de Purple. En Aruba Central, es posible que deba importar un certificado de CA de confianza en la configuración global antes de que el redireccionamiento del portal funcione correctamente a través de HTTPS. Purple utiliza certificados de una CA de amplia confianza, pero vale la pena verificar esto en su entorno.
Cuarto: segmentación de VLAN. Su SSID de invitados debe estar en una VLAN dedicada que esté aislada de su red corporativa. Esto es tanto un requisito de seguridad (PCI-DSS requiere segmentación de red para entornos de datos de titulares de tarjetas) como una necesidad práctica para el funcionamiento del Captive Portal. La VLAN de invitados debe tener acceso a internet pero ninguna ruta a los recursos internos.
Quinto: la configuración WISPr. Mencioné esto antes, pero vale la pena repetirlo. Habilite WISPr. Sin esto, los dispositivos iOS en particular no detectarán automáticamente el Captive Portal, y los invitados tendrán una experiencia confusa en la que parecerá que están conectados pero no tendrán acceso a internet.
[RAPID-FIRE Q&A — approx. 1 minute]
Permítame repasar las preguntas que recibo con más frecuencia.
¿Puedo usar Aruba Instant On - el producto para pequeñas empresas - con Purple? Sí, con algunas limitaciones. Instant On es compatible con captive portals externos, pero la interfaz de configuración es más limitada que la de Aruba Central completo. Purple cuenta con una guía de integración dedicada para Instant On.
¿Es compatible Purple con RadSec para RADIUS cifrado? Sí. Purple es compatible con RADIUS sobre TLS - RadSec - para implementaciones donde el tráfico RADIUS atraviesa redes no confiables. Esto es cada vez más relevante para implementaciones administradas en la nube donde el intercambio RADIUS cruza la internet pública.
¿Qué pasa si el portal de Purple no está disponible? Puede configurar el ajuste Captive Portal Failure en Deny Internet - que es la opción segura por defecto - o en Allow Internet, que proporciona un modo de acceso abierto de respaldo. Para la mayoría de los recintos empresariales, Deny Internet es la opción correcta.
¿Puedo ejecutar múltiples SSIDs con diferentes recintos de Purple en la misma infraestructura de Aruba? Absolutamente. Cada SSID tiene su propio perfil de captive portal que apunta a una URL de recinto de Purple diferente. El atributo RADIUS Called-Station-Id contiene el nombre del SSID, el cual Purple utiliza para enrutar la sesión a la configuración de recinto correcta.
[SUMMARY & NEXT STEPS — approx. 1 minute]
Permítame resumir esto. Implementar Purple como un captive portal externo en la infraestructura de Aruba es una ruta de integración muy conocida. Los pasos clave son: configurar sus servidores RADIUS con las credenciales de Purple, crear un perfil de captive portal externo que apunte a la URL de su página de inicio de Purple con WISPr habilitado, crear su SSID de invitados con el tipo de página de inicio External RADIUS Server y configurar su walled garden con los dominios principales de Purple más los dominios de los proveedores de inicio de sesión social que esté habilitando.
La diferencia de AOS-10 a recordar es que la configuración del walled garden se traslada a las Access Rules en lugar de a la pestaña WLAN Security.
Desde una perspectiva de negocio, reemplazar el portal local básico de Aruba por Purple le brinda captura de datos que cumple con el GDPR, analítica de ubicación en tiempo real, informes demográficos y automatización de marketing - todo desde la misma infraestructura WiFi que ya posee.
Para sus siguientes pasos: obtenga sus credenciales RADIUS de recinto de Purple en el panel de control de Purple, repase la lista de verificación de configuración en la guía escrita complementaria y realice pruebas con un dispositivo dedicado antes de implementarlo en producción. Si está realizando una implementación en múltiples sitios, la consola de gestión multisitio de Purple le permite administrar configuraciones de captive portals, personalización de marca y analítica en toda su propiedad desde una única interfaz.
Gracias por escuchar. La guía escrita completa, las tablas de configuración y las listas de referencia de walled garden están disponibles en purple dot ai. Hasta la próxima.
[END OF SCRIPT]
