Captive Portal para Ruijie: configúralo con Purple guest WiFi

Hable en inglés británico con un tono confiado, autoritario y conversacional, como un consultor de TI sénior que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Énfasis natural ocasional en términos técnicos clave: Cómo configurar un Captive Portal de Ruijie para WiFi de invitados. Una sesión informativa técnica de Purple. [pausa media] INTRODUCCIÓN Y CONTEXTO. [pausa corta] Bienvenido. Durante los próximos diez minutos, cubriremos todo lo que necesita saber sobre la configuración de un Captive Portal de Ruijie para WiFi de invitados, desde las decisiones de arquitectura que determinan si su implementación tiene éxito o falla, hasta los pasos de configuración específicos que la mayoría de las guías omiten por completo. Si usted es un gerente de TI, arquitecto de redes o director de operaciones de un hotel, cadena de tiendas, estadio o centro de conferencias, y cuenta con hardware Ruijie en el sitio o lo está evaluando, esta sesión informativa es para usted. Ruijie Networks es uno de los proveedores de tecnología inalámbrica empresarial de más rápido crecimiento a nivel mundial. Según datos de IDC, Ruijie ocupa la posición número uno en el mercado de WLAN empresarial de China con una participación del 23.34%, y su presencia se está expandiendo rápidamente por Europa, Medio Oriente y Asia-Pacífico. Sus controladores inalámbricos de la serie RG-WS, los gateways de la serie Reyee EG y los puntos de acceso gestionados en la nube RG-RAP ahora se implementan en miles de sedes en todo el mundo. Pero aquí está el detalle. Lograr que el WiFi de invitados funcione correctamente en el hardware de Ruijie - específicamente la parte del Captive Portal - requiere comprender un puñado de decisiones arquitectónicas de antemano. Tome esas decisiones de manera incorrecta y terminará con un portal que falla en iOS, invitados que no pueden autenticarse y una red que está demasiado abierta o demasiado bloqueada. Solucionemos eso. [pausa media] ANÁLISIS TÉCNICO PROFUNDO. [pausa corta] Primero, la arquitectura. Ruijie le ofrece tres modelos de implementación distintos para los Captive Portals de WiFi de invitados, y elegir el adecuado depende de su escala y de sus requisitos de gestión. El modelo uno es el portal administrado nativo de Ruijie Cloud o JaCS. JaCS es el sistema de gestión enfocado en la hospitalidad de Ruijie. Esta es la opción integrada. Inicie sesión en Ruijie Cloud, navegue a Device Config, luego a Basic, cree o edite su SSID de invitados, active la opción Authentication y seleccione Captive Portal como modo. JaCS admite escenarios de Hotel y Otros, y le ofrece un creador de portales de arrastrar y soltar con opciones de inicio de sesión que incluyen acceso con un solo clic, códigos de cupón e inicio de sesión basado en cuentas. Esta es la opción correcta para implementaciones más pequeñas - un solo hotel, una tienda boutique o un centro de conferencias que desea una página de bienvenida rápida y personalizada sin dependencias externas. El modelo dos es el Captive Portal externo a través de WISPr y RADIUS. WISPr - Wireless Internet Service Provider roaming - es el protocolo que gestiona la redirección y el saludo de autenticación entre el gateway de Ruijie y una plataforma de portal externa. Este es el enfoque de nivel empresarial. Es lo que necesita cuando desea integrar Ruijie con una plataforma de inteligencia de WiFi para invitados de terceros. Aquí, navega a Auth and Account en la interfaz de Ruijie, selecciona Captive Portal, establece el Policy Mode en External y apunta la URL del Portal Server a su plataforma externa. Luego, configura un grupo de servidores RADIUS con las credenciales que proporciona su plataforma. Este modelo se escala en cientos de sitios, le brinda analíticas centralizadas y le permite ejecutar flujos de trabajo de captura de datos que cumplen con el GDPR. El modelo tres es el modo AP independiente. Los puntos de acceso Reyee de Ruijie que ejecutan la versión ReyeeOS 1.219 o posterior pueden ejecutar un Captive Portal local sin un gateway, lo cual es útil para despliegues temporales o sitios pequeños sin un router EG. Sin embargo, la funcionalidad es limitada en comparación con los despliegues basados en gateways, por lo que debe considerar esto como una opción de respaldo y no como una arquitectura principal. [medium pause] Ahora, la pieza crítica que la mayoría de las guías omiten por completo: el aislamiento de VLAN. Cuando crea un SSID para invitados en Ruijie, tiene dos opciones de reenvío - el modo NAT y el modo VLAN. El modo NAT es más simple. El gateway asigna a los dispositivos de los invitados direcciones de un pool dedicado, típicamente 192.168.23.0 diagonal 24 por defecto, y todo el tráfico de invitados se traduce mediante NAT a internet. Esto funciona para una prueba de concepto, pero le brinda visibilidad y control limitados sobre el tráfico de invitados en la Capa 3. El modo VLAN es la elección correcta para cualquier despliegue de producción. Asigna el SSID de invitados a una VLAN dedicada, por ejemplo, la VLAN 100, y utiliza ACL en el gateway para bloquear el tráfico de invitados para que no llegue a su VLAN corporativa. El patrón es: crear una lista de acceso extendida, denegar el tráfico IP desde la subred de invitados hacia la subred corporativa, permitir todo lo demás y aplicar esa lista de acceso de entrada en la interfaz BVI de invitados. Este es el mismo principio que aplicaría en Cisco Meraki, HPE Aruba o Ruckus - Ruijie solo tiene su propia sintaxis de CLI. Los estándares de seguridad importan aquí. Ruijie es compatible con WPA3-Personal y el modo mixto WPA2 diagonal WPA3 en los SSID de invitados. Para una red de invitados donde desea un acceso sin fricciones, normalmente ejecuta un SSID abierto con autenticación de Captive Portal en lugar de una clave previamente compartida. El Captive Portal se convierte en su capa de autenticación. Si necesita una seguridad más sólida - por ejemplo, para un entorno de atención médica o servicios financieros - puede añadir una capa de IEEE 802.1X, utilizando EAP-TLS o PEAP con un servidor RADIUS para una autenticación basada en certificados o credenciales. Los controladores de la serie RG-WS de Ruijie admiten 802.1X completo con asignación dinámica de VLAN, lo que significa que puede enviar diferentes VLAN a diferentes grupos de usuarios según los atributos de RADIUS. [medium pause] El walled garden - o lista de permitidos - es otra área que suele causar confusión. Antes de que un invitado se autentique a través del Captive Portal, su dispositivo opera en un estado restringido. Solo puede acceder a los dominios que agregues explícitamente a la lista de permitidos. Como mínimo, debes permitir el dominio y la dirección IP de tu plataforma de portal, los proveedores de inicio de sesión social que utilices y el punto de conexión de detección de Captive Portal de Apple: captive.apple.com. Si olvidas este último, los dispositivos iOS mostrarán una experiencia de portal con errores. Configura la lista de permitidos en Ruijie Cloud en Auth and Account, y luego en Allowlist. Agrega cada dominio y dirección IP de forma individual. [medium pause] RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES. [short pause] Permíteme presentarte las cuatro decisiones que determinan si tu implementación de WiFi para invitados de Ruijie tiene éxito o fracasa. Decisión uno: portal nativo frente a plataforma externa. Si administras más de cinco sitios, o si necesitas capturar datos de primera mano para marketing, utiliza una plataforma externa. Purple, por ejemplo, opera como una capa en la nube independiente del hardware en más de 80,000 establecimientos activos. Solo tienes que apuntar tu gateway Ruijie a la URL del portal de Purple, configurar las credenciales RADIUS y obtendrás análisis centralizados, captura de datos que cumple con el GDPR e integraciones con CRM, todo sin tener que volver a tocar el hardware de Ruijie. Purple ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con la certificación ISO 27001, por lo que el tema del cumplimiento normativo está resuelto. Decisión dos: NAT frente a VLAN. Utiliza siempre el modo VLAN para implementaciones de producción. El modo NAT está bien para una prueba de concepto, pero el modo VLAN te brinda un aislamiento de Capa 3 real, una gestión de políticas de firewall más sencilla y la capacidad de aplicar políticas de QoS por VLAN. Decisión tres: administración del ancho de banda. Los gateways EG de Ruijie tienen controles de QoS integrados. Establece límites de descarga y subida por usuario en el SSID de invitados; por lo general, de dos a cinco megabits por segundo de descarga para una red de invitados estándar. Esto evita que un solo invitado que transmite video en 4K degrade la experiencia de todos los demás. Si utilizas una plataforma externa, desactiva Client Escape en el lado de Ruijie para garantizar que los controles de ancho de banda de la plataforma se apliquen correctamente. Decisión cuatro: tiempo de espera de la sesión y reautenticación. Establece un tiempo de espera de sesión razonable: de ocho a 24 horas para el sector hotelero, y más corto para el sector minorista o eventos. Ruijie te permite configurar esto por política de portal. Combínalo con una URL de redireccionamiento posterior al inicio de sesión para que los invitados lleguen al sitio web de tu establecimiento o a una página promocional después de conectarse. [medium pause] El error más común que veo es que los equipos implementan un Captive Portal sin probarlo en iOS y Android de forma simultánea. Tanto Apple como Google tienen mecanismos de detección de Captive Portal que se comportan de manera diferente. Prueba ambos antes del lanzamiento. El segundo error más común es olvidar sincronizar la configuración del portal con el producto EG en JaCS; hay un botón explícito de Sincronizar que debes presionar después de crear o editar un portal, de lo contrario, el gateway no detectará los cambios. [medium pause] PREGUNTAS Y RESPUESTAS RÁPIDAS. [short pause] Permítame repasar las preguntas que me hacen con más frecuencia. ¿Pueden los AP de Ruijie ejecutar un Captive Portal sin un gateway? Sí, en ReyeeOS 1.219 o posterior, pero la funcionalidad es limitada en comparación con las implementaciones basadas en gateway. ¿Es compatible Ruijie con 802.1X para redes de invitados? Sí, los controladores de la serie RG-WS admiten 802.1X completo con asignación dinámica de VLAN a través de RADIUS. ¿Puedo integrar Ruijie con Purple? Sí. Configure el modo de Captive Portal externo, dirija la URL del portal al endpoint de Purple, configure el grupo de servidores RADIUS con las credenciales de Purple y agregue los dominios de Purple a la lista de permitidos. La arquitectura independiente del hardware de Purple se encarga del resto. ¿Funciona WPA3 con los Captive Portals? Sí. Se ejecuta un SSID abierto para el flujo del Captive Portal. WPA3 se aplica a los SSIDs autenticados. Para redes de invitados, el portal en sí es la capa de autenticación. ¿Qué puertos RADIUS utiliza Ruijie? El puerto 1812 para autenticación y el puerto 1813 para contabilidad - estos son los puertos estándar asignados por la IANA según las normas RFC 2865 y RFC 2866. [medium pause] RESUMEN Y PRÓXIMOS PASOS. [short pause] En resumen, Ruijie Networks le ofrece una plataforma flexible y capaz para la implementación de WiFi de invitados y Captive Portals. Los tres modelos de implementación - portal en la nube nativo, portal externo basado en RADIUS y AP independiente - cubren desde un hotel boutique de un solo sitio hasta una cadena de tiendas minoristas con múltiples sucursales. Las decisiones clave son: aislamiento de VLAN sobre NAT para cualquier implementación de producción. Plataforma externa para cualquier caso de uso multisitio o de captura de datos. Configuración adecuada del walled garden para evitar fallas de autenticación en iOS. Y siempre realizar pruebas tanto en iOS como en Android antes de la puesta en marcha. Sus próximos pasos: audite sus versiones de firmware actuales de Ruijie para confirmar la compatibilidad con ReyeeOS. Decida si necesita una gestión de portal nativa o externa. Si gestiona más de cinco sitios o necesita análisis, hable con Purple sobre cómo integrar su plataforma con su infraestructura de Ruijie. Purple opera en más de 80,000 establecimientos, procesa cientos de millones de inicios de sesión al año y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Puede encontrar la documentación de integración de Purple y solicitar una demostración en purple.ai. Gracias por escuchar. Nos vemos en el próximo resumen.