Saltar al contenido principal
Español (México)

Captive Portal for Ruckus

Esta guía de referencia técnica proporciona un manual de integración definitivo para implementar un Captive Portal externo en arquitecturas CommScope Ruckus SmartZone y Unleashed. Guía a los ingenieros de redes paso a paso a través de las configuraciones para WLANs de invitados, redirección WISPr, configuraciones de servidores RADIUS AAA y excepciones de Walled Garden para ofrecer una solución de WiFi para invitados segura y de alta densidad.

📖 14 min de lectura📝 3,327 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido a la Serie de Sesiones Técnicas de Purple. Soy su anfitrión, y hoy cubriremos algo que surge en casi todas las implementaciones de WiFi empresarial que vemos: la configuración de un Captive Portal en controladores Ruckus SmartZone y Ruckus Unleashed. Ya sea que sea un MSP que implementa WiFi para invitados en una cadena de hoteles, un líder de TI de hospitalidad que lanza una nueva propiedad o un ingeniero de redes inalámbricas que integra la plataforma de Purple con una infraestructura Ruckus, este episodio es para usted. Comencemos. --- Primero, ¿por qué es importante la integración del Captive Portal de Ruckus? Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone en particular es el controlador de elección para entornos de alta densidad: estadios, centros de convenciones, grandes hoteles y cadenas de retail. Cuando implementa WiFi para invitados a esa escala, necesita más que solo un SSID abierto. Necesita un flujo de autenticación estructurado, captura de datos que cumpla con el GDPR y la capacidad de enviar esos datos de invitados a su pila de marketing. Ahí es exactamente donde entra una plataforma externa de Captive Portal como Purple. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr significa Wireless Internet Service Provider roaming (itinerancia de proveedor de servicios de internet inalámbrico); es un estándar de la industria que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID, su dispositivo envía una solicitud HTTP, el controlador SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo. El invitado se autentica, ya sea a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado, y luego el portal se comunica de regreso con el controlador a través de la interfaz Northbound, o NBI, para otorgar el acceso. Limpio, basado en estándares y altamente confiable cuando se configura correctamente. --- Ahora pasemos a la configuración técnica. Primero explicaré SmartZone y luego cubriré las diferencias para Unleashed. En SmartZone, y esto se aplica tanto a las implementaciones físicas de SZ300 como a las virtuales de vSZ, la configuración tiene cuatro componentes principales: el perfil del servidor de autenticación RADIUS, el perfil del servidor de contabilidad (accounting) RADIUS, el perfil del portal Hotspot WISPr y la propia WLAN. Comience con sus servidores RADIUS. Vaya a Servicios y Perfiles, luego a Autenticación. Cree un nuevo perfil de servidor AAA. Establezca el Protocolo de Servicio en RADIUS. El IP de su servidor principal y el secreto compartido serán proporcionados por su proveedor de portal; en el caso de Purple, estos están documentados en la consola de administración del portal de Purple. Puerto 1812 para autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia; puerto 1812 en el secundario también. Luego haga lo mismo para la contabilidad en Servicios y Perfiles, Contabilidad: puerto 1813, mismo secreto compartido. A continuación, el perfil de Hotspot WISPr. Vaya a Servicios y Perfiles, Hotspots y Portales, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la URL de inicio de sesión (Login URL) en Externa e ingrese la URL de redireccionamiento de su portal; esta es la URL a la que se enviará a sus invitados antes de que se autentiquen. Establezca la Página de inicio (Start Page) para redireccionar a una URL posterior a la autenticación, que suele ser una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde muchos ingenieros se confunden. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de haberse autenticado. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal, y los puntos de conexión estándar de detección de Captive Portal del sistema operativo. En SmartZone, se admiten comodines utilizando el formato de asterisco-punto; por ejemplo, asterisco-punto-purple-punto-ai. Esa única entrada cubre todos los subdominios. También debe incluir los dominios de detección de Captive Portal de Apple (captive.apple.com) y los puntos de conexión de verificación de conectividad de Google para evitar que el mini-navegador CNA se comporte de forma incorrecta en dispositivos iOS y Android. Un paso crítico que es fácil de pasar por alto: de forma predeterminada, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redireccionamiento. El proveedor de su portal necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre al modo de configuración y ejecute: no encrypt-mac-ip. Eso es todo; un solo comando, pero es un obstáculo insalvable si lo omite. La interfaz Northbound (Northbound Interface) es la otra pieza. Esta es la API que permite a la plataforma de su portal comunicarse de vuelta con el SmartZone para otorgar o denegar el acceso después de la autenticación. Actívela en Administración, Servicios Externos, Interfaz Northbound WISPr. Establezca un nombre de usuario y contraseña, y proporcione esas credenciales al proveedor de su portal. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de la plataforma de su portal hacia estos puertos. Finalmente, cree su WLAN. Establezca el Tipo de Autenticación en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en Definido por el usuario si el proveedor de su portal requiere un valor específico, establezca el Called Station ID en AP MAC y active Single Session ID. Esta última configuración garantiza que la sesión de un invitado esté vinculada a un único registro de sesión del controlador, lo cual es importante para una contabilidad precisa. --- Ahora para Unleashed. La arquitectura es fundamentalmente diferente: Unleashed es un modelo distribuido y sin controlador donde un AP actúa como maestro. La configuración se encuentra en Administración y Servicios, Servicios, Servicios de Hotspot. Los pasos son muy similares: cree un servicio de Hotspot, configure la URL de su portal externo, configure su servidor de autenticación AAA, agregue sus entradas de Walled Garden, pero existen diferencias clave. Primero, no hay un requisito de Northbound Interface en Unleashed. El modelo de comunicación del portal es más simple. Segundo, la encriptación de direcciones MAC no se aplica por defecto en Unleashed, por lo que no necesitas el comando CLI. Tercero, el walled garden de Unleashed acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodín; por lo tanto, ingresarías purple.ai en lugar de star-dot-purple.ai. Consulta la documentación de tu proveedor para conocer el formato exacto que requieren. Unleashed se escala a alrededor de 50 puntos de acceso, lo que lo hace adecuado para hoteles de tamaño mediano, sucursales minoristas y despliegues de PyMEs. Para cualquier proyecto más grande (grupos hoteleros multipropiedad, estadios, grandes complejos comerciales), SmartZone es la plataforma adecuada. --- Permíteme cubrir los dos modos de falla más comunes que veo en el campo. El primero es la configuración incorrecta del walled garden. Si la página de tu portal no se carga después de la redirección, lo primero que debes verificar es si todos los dominios a los que hace referencia la página de tu portal están en el walled garden. Las páginas de portales modernas cargan recursos de múltiples dominios CDN, scripts de analítica y SDKs de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utiliza las herramientas de desarrollo de tu navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes están siendo bloqueadas. El segundo es el problema de conectividad NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa más probable es que SmartZone no pueda recibir la devolución de llamada (callback) NBI desde la plataforma de tu portal. Verifica que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de administración de SmartZone desde el rango de IP del proveedor de tu portal. También verifica que las credenciales NBI que has configurado coincidan con las que tiene registradas el proveedor de tu portal. Un tercero que vale la pena mencionar: Apple CNA, el Captive Network Assistant. En iOS, cuando un dispositivo se conecta a una red, envía una prueba a captive.apple.com. Si esa prueba recibe una respuesta que no es 200, iOS abre el mini-navegador. Si captive.apple.com está en tu walled garden, la prueba tiene éxito, iOS piensa que hay internet y el CNA no aparece. Eso suena como algo bueno, pero significa que tus invitados no verán el portal automáticamente. Debes decidir: ¿quieres que aparezca el CNA o prefieres que los invitados abran un navegador manualmente? La mayoría de los despliegues en el sector de hospitalidad mantienen a captive.apple.com fuera del walled garden para activar el CNA. --- Preguntas rápidas. Tres preguntas que me hacen constantemente. ¿Necesito una VLAN para mi WLAN de invitados? Sí. Aísla siempre el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si tu establecimiento procesa pagos con tarjeta en la misma red. ¿Puedo usar Purple con Ruckus Cloud en lugar de SmartZone? Sí, pero la ruta de configuración es diferente: se encuentra en Redes WiFi, configuración de Acceso de Invitados. Los principios de configuración del walled garden y RADIUS son los mismos. ¿Soporta Purple los despliegues multizona de SmartZone? Sí. La integración de Purple maneja entornos SmartZone multizona, y puedes delimitar las configuraciones del Captive Portal a zonas individuales para diferentes recintos o pisos. --- Para concluir. La integración del Captive Portal de Ruckus SmartZone con Purple es un patrón de despliegue maduro y bien documentado que ofrece una autenticación de invitados confiable a escala. Los puntos clave de configuración son: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un walled garden correctamente delimitado usando entradas comodín, el comando de CLI no encrypt-mac-ip, y la Northbound Interface habilitada con las credenciales correctas. Asegura esos cinco elementos y tendrás una base sólida. Para los despliegues de Unleashed, se aplican los mismos principios con un modelo de configuración más simple y sin el requerimiento de NBI. Si estás desplegando Purple en Ruckus y deseas validar tu configuración antes del lanzamiento, el equipo de incorporación técnica de Purple puede guiarte a través de una lista de verificación previa al lanzamiento. La plataforma Purple también proporciona analíticas en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de autenticación y los datos de sesión, brindándote la visibilidad para detectar problemas antes de que lo hagan tus invitados. Gracias por escucharnos. En el próximo episodio cubriremos la autenticación 802.1X con Cloud RADIUS, otra integración que se complementa muy bien con Ruckus SmartZone para el acceso de invitados corporativos. Hasta la próxima.

📚 Parte de nuestra serie principal: Multi-Tenant WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

Definiciones clave

WISPr (Wireless Internet Service Provider roaming)

Un borrador de protocolo desarrollado por la Wi-Fi Alliance que permite a clientes inteligentes y navegadores web autenticarse automáticamente ante un hotspot inalámbrico utilizando XML estandarizado o redireccionamiento HTTP 302.

Se utiliza como el protocolo de redireccionamiento principal en los controladores Ruckus para redirigir dispositivos de invitados no autenticados a plataformas externas de Captive Portal.

Northbound Interface (NBI)

Una API expuesta por el controlador Ruckus SmartZone que permite a los portales web externos enviar devoluciones de llamada (callbacks) de autorización, indicando al controlador que otorgue acceso a internet a una dirección MAC de cliente específica.

Debe habilitarse en el puerto TCP 9080 (HTTP) o 9443 (HTTPS) para permitir que Purple autorice las sesiones de invitados después de un inicio de sesión exitoso.

Walled Garden

Una lista de direcciones IP, subredes o nombres de dominio a los que los clientes invitados no autenticados tienen permitido acceder antes de la autenticación.

Debe configurarse con el dominio del portal, las CDN y los puntos de conexión de detección de Captive Portal del sistema operativo para garantizar que la página de inicio se cargue correctamente.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que opera en los puertos UDP 1812 (Autenticación) y 1813 (Contabilidad) que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios.

Los controladores Ruckus reenvían los datos de la sesión del cliente a los servidores RADIUS de Purple para validar las credenciales y realizar el seguimiento de la duración de las sesiones.

CNA (Captive Network Assistant)

Un navegador ligero y limitado integrado en los sistemas operativos (como Apple iOS/macOS y Android) que se inicia automáticamente cuando se detecta una red abierta con un Captive Portal activo.

Se puede omitir en la configuración de la WLAN si los ingenieros desean obligar a los invitados a abrir manualmente un navegador completo para completar la autenticación.

Interim Accounting Update

Un mensaje periódico de RADIUS enviado por el controlador inalámbrico al servidor RADIUS para actualizar el estado de la sesión activa, el consumo de ancho de banda y el tiempo de conexión.

Debe establecerse en 5 minutos en la configuración de la WLAN de Ruckus para garantizar que el panel de Purple muestre análisis precisos y en tiempo real.

Client Isolation

Una función de seguridad configurada en el controlador inalámbrico que evita que los clientes inalámbricos conectados al mismo AP o SSID se comuniquen directamente entre sí.

Esencial para las redes WiFi de invitados para proteger a los usuarios de la suplantación de ARP local, ataques de intermediario (man-in-the-middle) y el escaneo no autorizado de dispositivos.

WPA3-Transition Mode

Una configuración de seguridad que permite que los dispositivos más antiguos compatibles con WPA2 y los dispositivos más nuevos compatibles con WPA3 se conecten al mismo SSID simultáneamente.

Se puede implementar en redes de invitados con Opportunistic Wireless Encryption (OWE) para proporcionar cifrado inalámbrico para SSID abiertos sin requerir una contraseña.

Ejemplos resueltos

Un centro de conferencias de alta densidad que implementa Ruckus SmartZone (vSZ) necesita implementar una red WiFi de invitados utilizando el Captive Portal de Purple. La red debe soportar hasta 5,000 sesiones concurrentes, aislar el tráfico de invitados de las subredes corporativas y admitir la autenticación mediante inicio de sesión social.

  1. Configure una VLAN de invitados 200 dedicada en los switches principales y mapéela a la zona de AP de Ruckus. Defina un rango de DHCP con servidores DNS públicos (por ejemplo, 1.1.1.1, 8.8.8.8) y un tiempo de concesión corto (2 horas) para adaptarse a la alta rotación.
  2. En SmartZone, navegue a Services & Profiles > Authentication > Proxy (SZ Authenticator) y cree servidores RADIUS principales y de respaldo que apunten a las direcciones IP de Cloud RADIUS de Purple en el puerto 1812 con el secreto compartido proporcionado.
  3. Cree servidores de contabilidad RADIUS (Accounting) que apunten a las direcciones IP de contabilidad de Purple en el puerto 1813. Establezca el intervalo de actualización intermedio en 5 minutos para realizar un seguimiento preciso de las sesiones activas.
  4. Cree un perfil de Hotspot WISPr Portal. Establezca la URL de inicio de sesión en "External" con la URL de redirección de Purple. Agregue excepciones de comodín de walled garden para ".purple.ai", ".cloudfront.net" y dominios de redes sociales (por ejemplo, "*.facebook.com").
  5. Cree el SSID de invitados. Establezca el tipo de autenticación en Hotspot (WISPr), seleccione el perfil de Hotspot recién creado y vincule los servicios de autenticación y contabilidad RADIUS. Establezca el Called Station ID en "AP MAC" y habilite "Single Session ID".
  6. Acceda a la CLI de SmartZone a través de SSH y ejecute "no encrypt-mac-ip" para pasar las direcciones MAC sin procesar al portal. Habilite la interfaz WISPr Northbound Interface (NBI) en el controlador e ingrese las credenciales en la consola de administración del portal de Purple para habilitar las devoluciones de llamada de autorización de NBI.
Comentario del examinador: Esta arquitectura es altamente resistente y cumple con las normativas. El uso de una VLAN 200 dedicada satisface los requisitos de segmentación de PCI DSS. El corto tiempo de concesión de DHCP de 2 horas evita el agotamiento de direcciones IP en escenarios de alta densidad. Habilitar la contabilidad RADIUS con una actualización intermedia de 5 minutos garantiza que el recinto tenga un seguimiento de sesiones en tiempo real, lo que permite a Purple monitorear con precisión el uso del ancho de banda. Deshabilitar el cifrado de direcciones MAC a través de la CLI es un paso crítico; sin esto, el portal recibiría MACs con hash y no podría correlacionar las sesiones. La configuración de devolución de llamada de NBI es la única forma segura de autorizar clientes en Ruckus SmartZone sin crear bucles de autenticación local.

Un hotel boutique de tamaño mediano con 45 habitaciones desea implementar WiFi de invitados con una página de bienvenida externa utilizando APs Ruckus Unleashed. Requieren una configuración ligera y sin controlador que no requiera administración de CLI ni un puerto de API NBI expuesto al público.

  1. Inicie sesión en la interfaz web del AP maestro de Unleashed. Vaya a Admin & Services > Services > AAA Servers y cree entradas de servidor de autenticación RADIUS (puerto 1812) y de contabilidad (puerto 1813) que apunten a la infraestructura Cloud RADIUS de Purple.
  2. Navegue a Admin & Services > Services > Hotspot Services y haga clic en Create New. Nombre el servicio "Purple_Hotel_Hotspot".
  3. En la pestaña General, establezca la URL de inicio de sesión en la URL de redirección del portal de Purple. Establezca la página de inicio para redirigir a " https://login.purple.ai/success.php ".
  4. En la pestaña Authentication, seleccione los servidores RADIUS recién creados. Establezca el intervalo de actualización de contabilidad intermedio en 5 minutos.
  5. En la pestaña Walled Garden, agregue los dominios requeridos como entradas a nivel de dominio (por ejemplo, "purple.ai", "cloudfront.net", "gstatic.com"). Tenga en cuenta que Unleashed no requiere ni admite el prefijo de comodín de asterisco (*.dominio.com).
  6. Vaya a Wi-Fi Networks, haga clic en Create y establezca el nombre del SSID (por ejemplo, "Hotel_Guest_WiFi"). Establezca el tipo de uso en "Hotspot Service" y seleccione "Purple_Hotel_Hotspot" de la lista desplegable. Guarde la configuración para sincronizar automáticamente el SSID en los 45 APs Unleashed.
Comentario del examinador: Para implementaciones en PyMEs y empresas del mercado medio con menos de 50 APs, Ruckus Unleashed ofrece una arquitectura distribuida muy rentable. Debido a que Unleashed no aplica el cifrado de direcciones MAC de forma predeterminada, se omite el paso de CLI requerido en SmartZone. Además, Unleashed no requiere una devolución de llamada de Northbound Interface (NBI) para la autorización; en su lugar, la autorización del cliente se negocia directamente a través de transacciones RADIUS estándar entre el AP maestro y el servidor RADIUS. Esto simplifica la configuración del firewall, ya que no es necesario abrir puertos entrantes (como 9080/9443) al controlador desde Internet.

Preguntas de práctica

Q1. An engineer has configured a Ruckus SmartZone captive portal integration. When users connect to the guest WiFi, they are redirected to the login page. However, after entering their credentials and clicking 'Connect', they are immediately redirected back to the login page in an infinite loop. What is the most likely cause of this issue, and how should it be resolved?

Sugerencia: Focus on the communication between the portal cloud and the SmartZone controller after authentication is completed.

Ver respuesta modelo

The most likely cause is a failure in the WISPr Northbound Interface (NBI) callback or a RADIUS authentication mismatch. When the user clicks 'Connect', the portal authenticates the user and attempts to send an NBI callback to the SmartZone controller on TCP port 9080 or 9443 to authorize the client's MAC address. If the edge firewall blocks this inbound port, or if the NBI credentials entered in the portal console do not match the controller's settings, the controller never authorizes the client. Consequently, when the client attempts to access the internet again, the controller intercepts the traffic and redirects them back to the portal. To resolve this: 1) Verify that TCP port 9443 (or 9080) is open inbound on the edge firewall from the portal's IP range to the SmartZone's management IP. 2) Check the SmartZone's NBI configuration under Administration > WISPr Northbound Interface and confirm that the username and password match what is configured in the portal admin console. 3) Test RADIUS connectivity on the SmartZone under Services & Profiles > Authentication > Test AAA to ensure the shared secret is correct.

Q2. During the deployment of a guest WiFi network on a Ruckus Unleashed cluster, several guests report that the splash page loads with broken images and styling, and the social login options fail to function. Other guests on different devices cannot load the splash page at all. What is the most likely configuration error?

Sugerencia: Analyze the difference between the domains that load successfully and those that fail pre-authentication.

Ver respuesta modelo

The most likely cause is a misconfigured or incomplete Walled Garden. Unauthenticated clients are blocked from accessing any internet destinations except those explicitly defined in the Walled Garden. If the splash page loads with broken styling and images, it means the browser is blocked from downloading those assets from external CDNs. If social login options fail, it means the social provider's authentication endpoints (e.g., Facebook or Google OAuth URLs) are blocked. To resolve this: 1) Audit the Walled Garden entries in the Unleashed Hotspot Service configuration. 2) Ensure that all CDN domains used by the portal (such as '.cloudfront.net') and core portal domains (such as 'purple.ai') are added. 3) If social login is enabled, add the specific social provider domains (e.g., '.facebook.com', '.facebook.net', '.google.com'). 4) Note that Unleashed uses domain-level matching, so do not include the asterisk wildcard prefix (e.g., use 'purple.ai' instead of '*.purple.ai').

Q3. A wireless engineer is migrating a guest WiFi network from Ruckus Unleashed to a centralized Virtual SmartZone (vSZ) controller. They copy the Walled Garden list exactly as it was configured in Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. However, after the migration, clients on the vSZ network cannot load the splash page. What is the syntax difference that caused this failure?

Sugerencia: Review the specific wildcard formatting rules for Ruckus SmartZone compared to Ruckus Unleashed.

Ver respuesta modelo

The failure is caused by a syntax difference in how the two platforms parse Walled Garden entries. Ruckus Unleashed applies automatic domain-level matching, meaning that entering 'purple.ai' automatically covers all subdomains (such as 'login.purple.ai' or 'assets.purple.ai'). However, Ruckus SmartZone does not apply automatic subdomain matching; it requires explicit wildcard formatting using the asterisk prefix (e.g., '.purple.ai'). If the engineer entered 'purple.ai' in SmartZone, the controller would permit traffic only to the root domain, blocking the client from loading the actual login page at 'login.purple.ai'. To resolve this, the engineer must edit the Hotspot WISPr profile in SmartZone and update the Walled Garden entries to use the correct format: '.purple.ai', '.cloudfront.net', and '.apple.com'.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →