Saltar al contenido principal
Español (México)

Cisco Catalyst WLC y WiFi de invitados: configuración de Captive Portal con Purple

Cómo funciona un controlador de LAN inalámbrica Cisco Catalyst 9800 (IOS-XE) con el WiFi de invitados de Purple: autenticación web externa, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.

📖 2 min de lectura📝 399 palabras📚 5 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido a la serie de sesiones informativas técnicas de Purple. Hoy cubriremos algo que llega al escritorio de casi todos los arquitectos de redes empresariales que trabajan en hotelería, comercio minorista o espacios a gran escala: la integración de los controladores LAN inalámbricos de Cisco y la infraestructura inalámbrica Catalyst con la plataforma Guest WiFi de Purple. Si opera controladores de la serie Cisco Catalyst 9800, o la plataforma heredada AireOS, y necesita ofrecer una red de invitados que cumpla con las normativas, esté segmentada y se base en análisis, esta sesión informativa es para usted. [medium pause] Comencemos con el contexto. Purple opera en más de 80,000 ubicaciones activas a nivel mundial, y Cisco es el proveedor de infraestructura inalámbrica dominante en entornos empresariales. Lograr que estas dos plataformas funcionen juntas de manera limpia no es complicado, pero requiere que tome las decisiones arquitectónicas correctas desde el principio. Si se equivoca, pasará semanas solucionando bucles de redireccionamiento, discrepancias de VLAN y tiempos de espera de RADIUS. Si lo hace bien, tendrá una red que segmenta a los invitados, al personal y a los dispositivos IoT de forma automática, recopila datos de origen de manera conforme a la ley y escala en cientos de sitios sin intervención manual. [medium pause] Así que entremos en la arquitectura. [short pause] Cuando un invitado se conecta a su red WiFi en una implementación de Cisco, hay tres cosas que deben suceder antes de que acceda a Internet. Primero, el WLC Cisco Catalyst 9800 debe interceptar esa solicitud HTTP inicial y redireccionar al cliente al Captive Portal de Purple. Segundo, el portal de Purple debe autenticar al usuario, ya sea a través de inicio de sesión social, correo electrónico, SMS o una simple aceptación de términos y condiciones. Tercero, el servidor RADIUS de Purple debe enviar una señal de retorno al WLC de que el usuario está autorizado y, de manera opcional, asignarlo a una VLAN específica. [medium pause] El mecanismo que maneja el paso uno se llama Autenticación Web Externa, o EWA. En el Catalyst 9800, se configura un mapa de parámetros de autenticación web que apunta a la URL de la página de inicio de Purple. El WLC intercepta todo el tráfico HTTP de los clientes no autenticados y emite un redireccionamiento 302 a esa URL. También deberá configurar una ACL de preautenticación, o usar la función de filtro de URL del 9800, para incluir en la lista de permitidos las direcciones IP del portal de Purple para que los clientes puedan llegar a la página de inicio antes de estar autorizados. Purple proporciona dos direcciones IP para su portal, y deberá permitir ambas en su ACL de preautenticación. [medium pause] Aquí está la secuencia de configuración para el Catalyst 9800. Primero, cree el mapa de parámetros. Luego configure su filtro de URL para permitir el dominio de Purple en la preautenticación. Aplique esto al perfil de política de su WLAN, configure la seguridad de Capa 2 en None, habilite la Política Web en la Capa 3 y apúntela a su mapa de parámetros. [medium pause] Ahora, RADIUS. Purple actúa como el servidor RADIUS en esta arquitectura. Configure el WLC para que apunte al endpoint RADIUS de Purple, el cual encontrará en el panel de Purple bajo la configuración de red de su establecimiento. El secreto compartido se genera por establecimiento. En el Catalyst 9800, vaya a Configuration, Security, AAA, Servers, y agregue el servidor RADIUS de Purple con la IP correcta y el secreto compartido. Luego cree un grupo de servidores, una lista de métodos de autenticación, y aplíquela a su WLAN. [medium pause] Un detalle que suele confundir a la gente: en el 9800, también debe configurar la dirección IP virtual en el mapa global de parámetros de autenticación web. Use 192.0.2.1 como la dirección IPv4 virtual. Si omite esto, a veces se redirigirá a los clientes al portal interno en lugar de al portal de Purple, y pasará una tarde frustrante preguntándose por qué. [medium pause] Pasemos al WiFi para el personal con 802.1X. [short pause] Para las redes del personal, se requiere autenticación basada en certificados utilizando EAP-TLS o, como mínimo, PEAP con MSCHAPv2 para entornos donde la implementación de certificados no sea viable. En el Catalyst 9800, cree una WLAN independiente para el personal, configure la seguridad de Capa 2 en WPA2 Enterprise y apunte la autenticación a su servidor RADIUS. Si utiliza Microsoft Entra ID u Okta como su proveedor de identidad, el complemento SecurePass de Purple actúa como el proxy RADIUS, traduciendo las solicitudes de autenticación 802.1X en consultas al proveedor de identidad. Esto significa que no necesita un servidor RADIUS local independiente para la autenticación del personal. Purple se encarga de la terminación EAP y reenvía la verificación de identidad a su proveedor de identidad. [medium pause] Específicamente para EAP-TLS, deberá implementar certificados de cliente en los dispositivos del personal, ya sea a través de Microsoft Intune, Jamf o una plataforma MDM similar. El servidor RADIUS de Purple debe confiar en la cadena de certificados, lo que significa que debe cargar su certificado CA raíz en el panel de Purple. Una vez configurado, los dispositivos del personal se autentican de forma silenciosa, sin solicitudes de contraseña ni páginas de inicio. El usuario se conecta, el certificado se valida y se incorporan a la VLAN del personal en cuestión de segundos. [medium pause] Ahora, la parte que la mayoría de los arquitectos encuentran realmente interesante: Cisco Identity PSK, o iPSK. [short pause] iPSK resuelve un problema específico que surge constantemente en entornos multi-inquilino. Imagine un hotel con 300 habitaciones, una zona comercial con 50 tiendas o un desarrollo de vivienda en renta con 200 departamentos. Desea un solo SSID, pero necesita que cada inquilino, cada habitación o cada grupo de dispositivos esté aislado en su propia VLAN. La respuesta tradicional era crear un SSID independiente por inquilino, lo cual no es escalable y genera congestión en la frecuencia de radio. iPSK le ofrece un único SSID donde cada cliente o grupo de clientes tiene una clave precompartida única, y el servidor RADIUS asigna esa clave a una VLAN específica. [medium pause] Así es como funciona técnicamente. Cuando un cliente se asocia al SSID, el Catalyst 9800 WLC envía un RADIUS Access-Request al servidor RADIUS de Purple, que incluye la dirección MAC del cliente. El servidor RADIUS de Purple busca esa dirección MAC en su base de datos iPSK, encuentra la PSK asociada y la asignación de VLAN, y devuelve un RADIUS Access-Accept que contiene el Cisco AV-pair con la PSK y los atributos de túnel IETF para la asignación de VLAN. El WLC utiliza la PSK devuelta para completar el saludo de cuatro vías de WPA2, y luego coloca al cliente en la VLAN asignada. [medium pause] Los tres atributos de RADIUS que necesita para la asignación dinámica de VLAN son: el atributo IETF 64, Tunnel-Type, establecido en VLAN con un valor de 13. El atributo IETF 65, Tunnel-Medium-Type, establecido en 802, con un valor de 6. Y el atributo IETF 81, Tunnel-Private-Group-ID, establecido en el ID de la VLAN como una cadena. Estos tres atributos, enviados juntos en el RADIUS Access-Accept, le indican al WLC exactamente qué VLAN asignar. La VLAN ya debe existir en el WLC como una interfaz dinámica, y el puerto de enlace ascendente del switch debe estar configurado como un trunk que transporte todas las VLANs relevantes. [medium pause] En el lado del WLC, habilite el filtrado MAC en la WLAN iPSK, habilite AAA Override y establezca la seguridad de Capa 2 en WPA2-PSK. La PSK global que configure en la WLAN actúa solo como una alternativa. La PSK devuelta por RADIUS tiene prioridad para cualquier cliente cuya dirección MAC esté registrada en la base de datos iPSK de Purple. Para los dispositivos no registrados, puede denegar el acceso o recurrir a la PSK global, según su política. [medium pause] Permítame presentarle dos escenarios del mundo real para concretar esto. [short pause] Primer escenario: un hotel de 200 habitaciones. El hotel desea que los huéspedes estén en la VLAN 10 con acceso exclusivo a internet, el personal en la VLAN 20 con acceso al sistema de gestión de la propiedad, y los dispositivos IoT (cerraduras de puertas, termostatos, CCTV) en la VLAN 30 sin acceso a internet. Tienen controladores Cisco Catalyst 9800 con puntos de acceso de la serie Cisco 9100. [medium pause] La arquitectura: tres perfiles de políticas en el WLC, uno por VLAN. Un único SSID para huéspedes que utiliza External Web Authentication que apunta a Purple. Un SSID independiente para el personal que utiliza WPA2 Enterprise con EAP-TLS, autenticado a través de Purple SecurePass frente a Microsoft Entra ID. E iPSK para dispositivos IoT, con la dirección MAC de cada dispositivo registrada en el portal de Purple y asignada a la VLAN 30. El sistema de gestión de la propiedad del hotel aprovisiona nuevos dispositivos IoT a través de la API de Purple, por lo que cuando se instala una nueva cerradura de puerta, su dirección MAC se registra automáticamente y se asigna a la VLAN correcta. No se requiere configuración manual de RADIUS. [medium pause] Segundo escenario: una cadena minorista con 80 tiendas. Cada tienda tiene una red WiFi para huéspedes, una red para el personal y una red para terminales de pago. El cumplimiento de PCI DSS exige que la red de terminales de pago esté completamente aislada de la red de huéspedes. El minorista utiliza controladores Cisco Catalyst 9800-L en cada sitio, gestionados de forma centralizada a través de Cisco Catalyst Centre. [medium pause] Purple se implementa como una superposición en la nube. El WLC de cada tienda se configura con los detalles del servidor RADIUS de Purple. La autenticación de invitados utiliza una página de inicio de sesión de marca con captura de correo electrónico, enviando datos de origen a la plataforma de análisis de Purple. La autenticación del personal utiliza PEAP contra Active Directory a través de Purple SecurePass. Las terminales de pago utilizan iPSK con una VLAN dedicada, y la ACL de preautenticación bloquea explícitamente cualquier tráfico entre la VLAN de pago y la VLAN de invitados, cumpliendo con el requisito 1.3 de PCI-DSS para la segmentación de red. [medium pause] Ahora hablemos de los errores comunes. [short pause] El modo de fallo más común es el bucle de redireccionamiento. Esto sucede cuando la ACL de preautenticación no incluye correctamente en la lista blanca las direcciones IP del portal de Purple, por lo que el WLC redirecciona al cliente al portal de Purple, pero el cliente no puede acceder al portal porque la ACL lo bloquea, por lo que el WLC vuelve a redireccionar de forma indefinida. Solución: verifique que su filtro de URL o la ACL de preautenticación incluya ambas direcciones IP del portal de Purple, y confirme que la resolución DNS esté permitida antes de la autenticación. [medium pause] El segundo problema común es la discrepancia de VLAN. El servidor RADIUS devuelve un ID de VLAN que no existe como interfaz dinámica en el WLC. El WLC entonces coloca al cliente en la VLAN nativa, que suele ser la VLAN de administración. Esto es un riesgo de seguridad. Solución: antes de la implementación, audite sus interfaces dinámicas del WLC contra los ID de VLAN configurados en las políticas RADIUS de Purple. Deben coincidir exactamente. [medium pause] Tercer error común: fallos de confianza en los certificados en implementaciones de EAP-TLS. Si la cadena de certificados del cliente no es de confianza para el servidor RADIUS de Purple, la autenticación falla silenciosamente desde la perspectiva del usuario. Simplemente no pueden conectarse. Solución: cargue su CA raíz y cualquier certificado de CA intermedia en la configuración de SecurePass de Purple antes de implementar los certificados de cliente. Realice pruebas con un solo dispositivo antes de implementarlo en toda la flota. [medium pause] Preguntas rápidas. [short pause] ¿Puedo usar Purple con Cisco Meraki en lugar de un WLC? Sí. Cisco Meraki tiene su propio mecanismo de integración de portal cautivo, y Purple lo admite de forma nativa. La configuración de RADIUS es similar pero utiliza el panel de control de Meraki en lugar de la línea de comandos del WLC. [short pause] ¿Admite Purple WPA3 en Cisco? Sí. WPA3-SAE es compatible con Cisco Catalyst 9800 con IOS-XE 17.3 y versiones posteriores. La integración de RADIUS de Purple funciona de manera idéntica con WPA3. [short pause] ¿Cuál es la recomendación para el tiempo de espera de RADIUS? Establezca el tiempo de espera de su servidor RADIUS primario en tres segundos con dos intentos. Configure un servidor RADIUS secundario para la conmutación por error. Purple proporciona endpoints de RADIUS redundantes para clientes empresariales. [short pause] ¿Puedo usar Cisco ISE junto con Purple? Sí. Algunas organizaciones utilizan ISE para la evaluación del estado y el perfilado de dispositivos mientras utilizan Purple para el portal de invitados y análisis. Los dos servidores RADIUS se configuran en WLAN distintas. [medium pause] Para resumir. [short pause] La infraestructura inalámbrica Cisco WLC y Catalyst se integra a la perfección con Purple mediante el uso de Autenticación Web Externa para la redirección de Captive Portal de invitados, 802.1X EAP-TLS o PEAP para la autenticación del personal a través de Purple SecurePass, y Cisco iPSK con asignación dinámica de VLAN para la segmentación de IoT y multi-tenant. Los tres atributos VLAN de RADIUS (Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID) son el mecanismo que impulsa la segmentación dinámica. Configure correctamente sus ACL de preautenticación, asegúrese de que sus ID de VLAN coincidan entre RADIUS y WLC, y pruebe las cadenas de confianza de los certificados antes de la implementación en la flota. [medium pause] Purple opera en más de 80,000 establecimientos y ha procesado 440 millones de inicios de sesión en 2024. La integración con Cisco es una de nuestras configuraciones más implementadas a nivel mundial. Si desea comenzar, el panel de Purple lo guía paso a paso a través de la configuración de RADIUS por establecimiento, y nuestro equipo de integración está disponible para implementaciones empresariales. [medium pause] Eso es todo por este reporte. Gracias por escuchar.

Los controladores de LAN inalámbrica Cisco Catalyst 9800 con IOS-XE gestionan el lado de la radio de su red. Purple añade la capa de invitados encima: el Captive Portal que ven sus visitantes, el proceso de inicio de sesión y los datos de origen que usted recopila. No sustituye a ninguno de sus equipos de Cisco.

Cómo funciona Cisco Catalyst con el WiFi de invitados de Purple

Purple es una plataforma superpuesta en la nube. Su controlador Catalyst sigue ejecutando el WiFi; Purple gestiona la experiencia del invitado a través de dos mecanismos estándar que su controlador ya admite.

  • Autenticación web externa. El controlador redirige un nuevo dispositivo a su página de inicio de Purple en lugar de concederle acceso de inmediato. El visitante inicia sesión y la página devuelve el control al controlador.
  • RADIUS. El controlador comprueba cada inicio de sesión con el servicio RADIUS de Purple en los puertos estándar, 1812 para autenticación y 1813 para contabilidad. Los datos de contabilidad son los que alimentan sus análisis de visitantes.

Un walled garden, una lista corta de direcciones permitidas que un dispositivo puede alcanzar antes de iniciar sesión, permite que se cargue la página de inicio y que se completen los pasos de pago o de inicio de sesión con redes sociales.

Ese es todo el modelo: Cisco mueve los paquetes, Purple es propietario del inicio de sesión y de los datos. Dado que se ejecuta en autenticación web estándar y RADIUS, funciona de la misma manera en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Purple es agnóstico con respecto al hardware por diseño.

Qué necesita

  • Un controlador Cisco Catalyst 9800 en IOS-XE, con acceso de administrador a la interfaz web.
  • Un punto de acceso de Purple con su página de inicio y proceso de inicio de sesión configurados.
  • Sus detalles de RADIUS de Purple y las direcciones del walled garden, desde su panel de control de Purple.

Configúrelo con Purple

Los ajustes exactos del controlador, el mapa de parámetros de Web Auth, las entradas del servidor AAA, el Change of Authorisation y el walled garden, están documentados paso a paso en la guía de soporte de Purple, con los valores precisos a introducir.

Guía de configuración de Cisco Catalyst WLC (IOS-XE)

Siga esa guía para la configuración. Esta página explica cómo encajan las piezas, para que sepa qué hace cada paso.

Lo que obtiene

Una vez que los invitados inician sesión a través de Purple, cada visita se convierte en datos de origen verificados y con consentimiento explícito: quién visitó, con qué frecuencia y cómo contactarles con su permiso. Esa es la diferencia entre un WiFi que conecta personas y un WiFi que crea una audiencia de marketing propia. Purple cumple con el GDPR y cuenta con la certificación ISO 27001, con un tiempo de actividad del 99.999 % en más de 80,000 ubicaciones activas.

Definiciones clave

Captive Portal

La página de inicio de sesión que ve un visitante antes de conectarse. Purple la aloja y la ejecuta; su controlador redirige los dispositivos a ella.

La capa de experiencia de invitado que Purple añade sobre su WiFi de Cisco.

Autenticación web externa

Una función del controlador que redirige un dispositivo no autenticado a una página de inicio de sesión alojada externamente, y luego se reanuda una vez que el visitante inicia sesión.

Cómo el controlador Catalyst entrega el invitado a la página de inicio de Purple.

RADIUS

Un protocolo estándar para verificar los inicios de sesión y registrar los datos de la sesión, en los puertos UDP 1812 (autenticación) y 1813 (contabilidad).

Cómo el controlador valida a cada invitado con Purple y alimenta los análisis.

Walled garden

Una lista corta de direcciones permitidas que un dispositivo puede alcanzar antes de haber iniciado sesión.

Permite que la página de inicio, los pagos y el inicio de sesión de redes sociales se carguen antes de la autenticación.

Change of Authorisation (CoA)

Un mensaje de RADIUS que actualiza o finaliza una sesión después de haber comenzado.

Se utiliza para cambiar el acceso de un invitado una vez que ha iniciado sesión.

Continúe leyendo esta serie

Zyxel Nebula y guest WiFi: configuración de captive portal con Purple

Cómo funcionan los puntos de acceso de Zyxel Nebula Cloud con el guest WiFi de Purple: un captive portal externo, RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.

Leer la guía →

HPE Aruba Instant y WiFi de invitados: configuración de captive portal con Purple

Cómo los puntos de acceso HPE Aruba Instant, administrados a través de Aruba Central o el Virtual Controller, funcionan con el WiFi de invitados de Purple mediante un captive portal externo, RADIUS y una lista de permitidos.

Leer la guía →

WatchGuard Wi-Fi Cloud AP y guest WiFi: configuración de Captive Portal con Purple

Cómo los puntos de acceso WatchGuard Wi-Fi Cloud, gestionados desde WatchGuard Cloud, funcionan con el guest WiFi de Purple: una página de bienvenida externa con autenticación RADIUS y un walled garden, con un enlace a la guía de configuración paso a paso de Purple para la configuración exacta.

Leer la guía →