Cisco Meraki y WiFi de invitados: configuración de Captive Portal con Purple

Integración de Cisco Meraki con Purple WiFi - Resumen para Consultores Senior Tiempo de reproducción: aproximadamente 10 minutos INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Bienvenido. Si eres responsable de una implementación de Cisco Meraki y estás intentando decidir si Purple WiFi es la capa de inteligencia de visitas adecuada para tu infraestructura, este resumen es para ti. Te guiaré exactamente a través de cómo funciona la integración, qué necesitas configurar, cuáles son los errores comunes y qué tipo de retorno deberías esperar de manera realista. Permíteme contextualizar. Cisco Meraki es, por un margen significativo, la infraestructura inalámbrica gestionada en la nube más implementada en el sector empresarial de hospitalidad, retail y sector público. Es confiable, escalable y su panel en la nube es genuinamente excelente. Pero aquí está el detalle: las capacidades nativas de WiFi para invitados de Meraki son funcionales, no estratégicas. Puedes conectar a un invitado a internet, pero no puedes capturar datos de primera fuente significativos, no puedes construir un embudo de marketing a partir de ello y, ciertamente, no puedes demostrar el ROI a tu junta directiva. Ese es precisamente el vacío que Purple llena. ANÁLISIS TÉCNICO PROFUNDO (aproximadamente 5 minutos) Hablemos de arquitectura. La integración de Purple y Meraki opera a través de dos capas técnicas distintas, y entender ambas es esencial antes de modificar una sola configuración. La primera capa es la API del panel de Meraki; esta es la capa de aprovisionamiento. Purple utiliza la API REST de Meraki para importar todo tu inventario de puntos de acceso al Purple Hub en una sola operación por lotes. Te autenticas con tu clave de API de Meraki, la cual generas desde la sección de Organización del panel de Meraki en API y Webhooks. Una vez que Purple tiene esa clave, puede extraer cada punto de acceso, cada red y cada configuración de SSID directamente desde tu nube de Meraki. Para un inventario de, por ejemplo, trescientos puntos de acceso en un grupo hotelero, esto reduce lo que sería un ejercicio de configuración manual de varios días a algo que puedes completar en menos de una hora. Ese no es un ahorro operativo insignificante. La segunda capa es la capa de autenticación y Captive Portal; aquí es donde realmente vive la experiencia del invitado. Purple opera como un proveedor externo de páginas de bienvenida (splash page), utilizando la API de Captive Portal de Meraki. Cuando un invitado se conecta a tu SSID de invitados, Meraki intercepta su tráfico HTTP y lo redirige a la página de bienvenida alojada de Purple, tu Captive Portal personalizado. El invitado se autentica a través del método que hayas configurado: inicio de sesión social, formulario de correo electrónico, verificación por SMS o una combinación. Luego, Purple se comunica de vuelta con Meraki a través de RADIUS - Remote Authentication Dial-In User Service - operando en el puerto 1812 para autenticación y en el puerto 1813 para contabilidad. Una vez que RADIUS confirma la autenticación, Meraki otorga al invitado acceso completo a la red. Ahora, permíteme guiarte a través de la configuración específica del panel de Meraki, porque los detalles importan aquí. En el panel de Cisco Meraki, navegue a Wireless y luego a Access Control. Seleccione su SSID de invitados en el menú desplegable. Establezca la seguridad en Open; sí, abierta, porque la autenticación se maneja mediante la capa de RADIUS y el captive portal, no en el nivel de asociación 802.11. Establezca el tipo de splash page en Sign-on con mi servidor RADIUS. Esta es la selección crítica: le indica a Meraki que use un servidor RADIUS externo para la autenticación en lugar de sus propias opciones integradas. En Advanced Splash Settings, establezca la intensidad del captive portal en Block all access until sign-on is complete. Habilite el walled garden; esta es la lista de dominios a los que los invitados pueden acceder antes de autenticarse, que debe incluir los dominios de la plataforma de Purple para que la propia splash page pueda cargarse. Purple proporciona una lista blanca actualizada de estos dominios en su documentación de soporte. Para la configuración del servidor RADIUS, deberá agregar dos servidores: Purple proporciona endpoints primarios y secundarios para redundancia. El puerto de autenticación es 1812 y utilizará el secreto de RADIUS provisto en su Purple Portal. Agregue las entradas correspondientes para la contabilidad de RADIUS en el puerto 1813. Establezca el intervalo intermedio de contabilidad en cuatro minutos; esto es importante para un seguimiento y análisis de sesiones precisos. Establezca el tiempo de espera del servidor en cinco segundos con un recuento de reintentos de tres. En Advanced RADIUS Settings, configure el Called-Station-ID y el NAS-ID para usar la dirección MAC del AP. Esto es crítico para los análisis de ubicación de Purple; sin esto, Purple no puede atribuir con precisión las sesiones a puntos de acceso específicos y, por lo tanto, no puede generar análisis significativos a nivel de piso. Luego navegue a Wireless, Splash Page. Ingrese la URL de splash personalizada provista por su Purple Portal; esta es la URL de su captive portal de marca. Configure la URL de redireccionamiento posterior a la autenticación, que generalmente es el sitio web de su establecimiento o una landing page específica. Ahora, hay un segundo componente que vale la pena analizar en detalle: PurpleConnex, que es la solución SecurePass de Purple. Esto crea un segundo SSID - normalmente llamado PurpleConnex - configurado como una red WPA2 Enterprise que utiliza los servidores RADIUS RadSec de Purple. RadSec es RADIUS sobre TLS, lo que proporciona transporte cifrado para el tráfico de autenticación. Este SSID, combinado con la configuración de Hotspot 2.0 - también conocida como Passpoint, el estándar IEEE 802.11u - permite que los invitados que regresan se vuelvan a conectar automáticamente sin tener que ver el captive portal nuevamente. Su dispositivo reconoce el perfil Passpoint y se conecta sin problemas. Esto es particularmente valioso en entornos donde se desea eliminar la fricción de la autenticación repetida, como un hotel donde un huésped se hospeda por tres noches o un miembro de un programa de lealtad minorista que lo visita semanalmente. La configuración de Hotspot 2.0 en Meraki requiere que establezcas el nombre del operador en PURPLE colon GB, que configures la lista de dominios en securewifi.purple.ai y que agregues los Roaming Consortium OIs que Purple especifica. El NAI Realm se configura con el método de autenticación EAP-TTLS y PAP. Todo esto está documentado en el portal de soporte de Purple, y es muy sencillo una vez que comprendes qué hace cada campo. RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aproximadamente 2 minutos) Permíteme compartirte los tres modos de falla más comunes que veo en las implementaciones de Meraki y Purple, y cómo evitarlos. Primero: configuración incorrecta de la lista de sitios permitidos (walled garden). Si tu lista de sitios permitidos está incompleta, los clientes verán una página de inicio dañada - el CSS no se cargará, las imágenes no se renderizarán y la autenticación fallará silenciosamente. Purple mantiene una lista de dominios requeridos actualizada. Considera esta lista como un documento vivo y revísala cada vez que Purple lance una actualización de la plataforma. Recomiendo probar la experiencia del Captive Portal desde un dispositivo de invitado en un segmento de red separado antes de la puesta en marcha. Segundo: configuración del tiempo de espera de RADIUS. El tiempo de espera de RADIUS por defecto de Meraki suele ser demasiado bajo para los servidores RADIUS alojados en la nube. Cinco segundos con tres reintentos es la configuración correcta. Si lo dejas en el valor predeterminado de dos segundos, verás fallas de autenticación intermitentes durante las horas pico - exactamente el peor momento para que la experiencia de tus invitados se degrade. Tercero: configuración incorrecta de NAS-ID y Called-Station-ID. Este es el punto que más confunde a los ingenieros. Si configuras estos campos de forma incorrecta - o los dejas con los valores predeterminados - el motor de analítica de Purple no podrá mapear las sesiones a puntos de acceso específicos. Obtendrás datos agregados pero no inteligencia a nivel de piso. El valor debe establecerse en la dirección MAC del AP, no en el nombre del SSID ni en ninguna otra opción. En cuanto al cumplimiento normativo: la captura de datos de Purple cumple con GDPR y CCPA por diseño. El Captive Portal presenta un mecanismo de consentimiento que cumple con los requisitos de ambas regulaciones. Si operas en un entorno dentro del alcance de PCI-DSS - por ejemplo, un hotel con una terminal de pago en el mismo segmento de red - asegúrate de que el SSID de invitados esté en una VLAN separada con las reglas de firewall correspondientes. El modo NAT de Meraki para la asignación de IP de clientes, que es la configuración recomendada, proporciona cierto grado de aislamiento, pero el equipo de seguridad debe revisar tu arquitectura de segmentación de red de forma independiente. PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Pregunta: ¿Se puede integrar Purple con los appliances de seguridad Meraki MX además de los AP inalámbricos? Respuesta: Sí. El proceso de configuración es esencialmente idéntico - el MX admite la misma configuración de página de inicio y RADIUS que los AP inalámbricos. El artículo de soporte cubre las configuraciones para AP, MX y la gateway de teletrabajador Z1. Pregunta: ¿Cuánto tiempo toma una implementación completa para un grupo hotelero de 50 sitios? Respuesta: Con el aprovisionamiento automatizado a través de la API de Meraki, la importación de puntos de acceso es una sola operación por organización. La configuración de SSID y RADIUS se puede estructurar como plantilla a través de las redes. Un despliegue de 50 sitios con un ingeniero de red competente debería ser realizable en dos o tres días de trabajo de configuración, más el tiempo de pruebas. Pregunta: ¿Soporta Purple los puntos de acceso más nuevos de Wi-Fi 6 y Wi-Fi 6E de Meraki? Respuesta: Sí. La integración opera en la capa de aplicación - redireccionamiento RADIUS y HTTP - por lo que es agnóstica a la generación de hardware. Purple funciona con cualquier AP de Meraki que soporte la página de bienvenida y la configuración de RADIUS descrita. RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) Para resumir: la integración de Cisco Meraki y Purple WiFi es un despliegue maduro y bien documentado que combina la excelente infraestructura administrada en la nube de Meraki con la inteligencia de invitados y las capacidades de captura de datos de Purple. La integración utiliza dos mecanismos principales - la API de Meraki Dashboard para el aprovisionamiento automatizado, y la API de Captive Portal con autenticación RADIUS para la capa de experiencia del invitado. Las tres cosas que se deben configurar correctamente son: la configuración de su walled garden, los ajustes de reintento y tiempo de espera de RADIUS, y su configuración de NAS-ID para un análisis de ubicación preciso. El caso de negocio es convincente. McDonald's Bélgica, Walmart Canadá y Harrods son despliegues activos de Purple y Cisco. AGS Airports logró un retorno de inversión del 842 por ciento. Harrods convirtió 600,000 inicios de sesión de WiFi en un retorno de inversión de 57 veces. Si está listo para avanzar, el siguiente paso es generar su clave de API de Meraki, iniciar sesión en el Purple Hub y utilizar el Asistente de Importación de Hardware para atraer su inventario de puntos de acceso. Desde ahí, el equipo de su cuenta de Purple puede guiarlo a través de la configuración de SSID y RADIUS en una sola sesión. Gracias por su tiempo.