Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Esta guía detalla la integración paso a paso de Cisco WLC y Catalyst 9800 Wireless con Purple, abarcando la redirección del Captive Portal de Guest WiFi a través de Central Web Authentication, Secure Staff WiFi usando 802.1X EAP-TLS, y la segmentación Multi-Tenant utilizando Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Está escrita para arquitectos de redes empresariales y directores de seguridad de TI que implementan infraestructura de Cisco en hotelería, retail y grandes recintos públicos.

📖 9 min de lectura📝 2,116 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al Technical Briefing de Purple. Soy su anfitrión, y hoy cubriremos un escenario de implementación definitivo para arquitectos de redes empresariales: la integración de los controladores de LAN inalámbricos de Cisco y el hardware Catalyst 9800 con la plataforma Purple WiFi. Si administra el departamento de TI de una cadena hotelera, una red de retail o un gran recinto público, sabe que depender de claves precompartidas básicas es un riesgo de seguridad inaceptable. Hoy, describiremos la arquitectura paso a paso para segmentar su red, proteger a su personal y convertir su WiFi de invitados en un activo impulsado por datos.

Establezcamos el contexto. Un entorno inalámbrico empresarial debe gestionar tres perfiles distintos: Invitados, Personal y dispositivos sin interfaz (Headless) o de inquilinos. No puede tratarlos de la misma manera, y no puede transmitir veinte SSIDs diferentes para adaptarlos. La solución es una infraestructura de hardware unificada que aprovecha diferentes mecanismos de autenticación en un solo controlador de LAN inalámbrico Cisco Catalyst 9800.

Ahora profundicemos en la arquitectura técnica. El primer nivel es el WiFi de invitados. El objetivo aquí es un acceso sin fricciones combinado con la captura de datos. Logramos esto utilizando un SSID abierto y Autenticación Web Central, o CWA. Cuando un invitado se conecta, el WLC de Cisco aplica una lista de control de acceso de preautenticación. Este es su jardín amurallado (walled garden). Bloquea el acceso general a Internet pero permite el tráfico a los dominios de Purple y servicios esenciales. Cuando el invitado intenta navegar, el WLC intercepta la solicitud HTTP y lo redirige a la página de inicio del Captive Portal de Purple. Una vez que se autentica, tal vez a través de un formulario de registro, un inicio de sesión social o un código de un solo uso, Purple actúa como el servidor RADIUS. Envía un mensaje de Cambio de Autorización, conocido como CoA, al WLC. Esto mueve al cliente a una VLAN de invitados aislada y le otorga acceso a Internet. Todo el flujo está automatizado y cada inicio de sesión se registra en la plataforma de analítica de Purple.

El segundo nivel es el WiFi del personal. Para los dispositivos corporativos, exigimos la autenticación 802.1X. Específicamente, EAP-TLS, que significa Seguridad de la Capa de Transporte del Protocolo de Autenticación Extensible. Este método utiliza certificados digitales instalados en los dispositivos corporativos a través de su plataforma de gestión de dispositivos móviles (MDM), ya sea Microsoft Intune, Jamf u otra solución. El WLC actúa como el autenticador, pasando los mensajes EAP al servidor RADIUS. Debido a que utilizamos certificados, no hay contraseñas que robar. Si se pierde un dispositivo o un empleado se va, se revoca el certificado. El acceso se cancela instantáneamente, sin cambiar una contraseña global ni interrumpir a nadie más. EAP-TLS es el estándar de oro para la seguridad empresarial.

El tercer nivel es Multi-Tenant o IoT WiFi. Piense en los inquilinos de un centro comercial, miembros de un espacio de coworking o sensores de edificios inteligentes que no son compatibles con 802.1X. Para esto, implementamos Cisco Identity PSK, o iPSK. Todos se conectan al mismo SSID, pero el servidor RADIUS asigna una contraseña única y una VLAN única a cada inquilino según su dirección MAC. Cuando el dispositivo de un inquilino se conecta, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor devuelve la PSK específica para ese inquilino como un atributo Cisco AV-Pair, junto con tres atributos RADIUS IETF estándar para asignar dinámicamente al cliente a la VLAN correcta. Esos atributos son: Tunnel-Type, establecido en VLAN; Tunnel-Medium-Type, establecido en 802; y Tunnel-Private-Group-ID, establecido en el ID de la VLAN de destino. El WLC procesa estos atributos y coloca al dispositivo en el segmento de red aislado correcto. iPSK ofrece segmentación empresarial con la simplicidad del consumidor.

Ahora hablemos de las recomendaciones de implementación y de los errores que vemos con más frecuencia en las implementaciones de producción.

El punto de falla más común en las implementaciones de invitados es la ACL del walled garden. Si los invitados se conectan pero la página de bienvenida no aparece, verifique primero su configuración de DNS. Si su ACL de preautenticación bloquea el puerto UDP 53, el cliente no podrá resolver los nombres de dominio. El sistema operativo no activará el mini-navegador del Captive Portal y el invitado verá un error de Sin Internet. Permita siempre explícitamente el tráfico DNS en su ACL de walled garden. Este es el problema de soporte más común que encontramos.

El segundo error ocurre en las implementaciones del personal. Si decide implementar PEAP-MSCHAPv2 en lugar de EAP-TLS, debido a que aún no tiene una solución MDM para distribuir certificados, debe configurar sus dispositivos cliente para que validen explícitamente el certificado del servidor RADIUS. Esto significa especificar la Autoridad de Certificación exacta en la que confiar y el nombre de servidor esperado en el perfil de WiFi. Si deja que el usuario final configure esto manualmente, un atacante puede levantar un punto de acceso no autorizado, presentar un certificado fraudulento y capturar las credenciales corporativas. Este no es un ataque teórico. Es una amenaza del mundo real bien documentada. Aplique la validación de certificados a través de la Directiva de Grupo para dispositivos Windows y a través de perfiles MDM para macOS y dispositivos móviles.

El tercer error ocurre en las implementaciones de iPSK. Si un cliente se conecta pero recibe la VLAN incorrecta, o no logra conectarse en absoluto, la causa más probable es que el ID de la VLAN de destino especificado en el atributo Tunnel-Private-Group-ID no exista en el WLC. La VLAN debe estar creada y activa en el controlador antes de que el servidor RADIUS pueda dirigir a los clientes hacia ella. Utilice el comando debug radius en el WLC para verificar que los atributos se estén recibiendo correctamente desde el servidor RADIUS.

Ahora pasemos a una sesión de preguntas y respuestas rápidas sobre las dudas que escuchamos con más frecuencia.

Pregunta uno: ¿Puedo usar MAC Authentication Bypass en lugar de iPSK para dispositivos IoT?

Puede hacerlo, pero no debería. Las direcciones MAC se transmiten en texto plano y son muy fáciles de suplantar. El MAC Authentication Bypass proporciona identificación de dispositivos, no seguridad. iPSK proporciona seguridad criptográfica real para dispositivos sin pantalla. Si el dispositivo es compatible con cualquier forma de PSK, utilice iPSK.

Pregunta dos: ¿Soporta Purple los controladores Cisco Catalyst 9800 con IOS-XE?

Sí. Purple es totalmente compatible con los controladores modernos Catalyst 9800 con IOS-XE, así como con los WLC AireOS heredados. La integración de RADIUS y Change of Authorization está completamente validada para ambas plataformas.

Pregunta tres: ¿Cómo gestiono la redundancia del servidor RADIUS?

Configure siempre un servidor RADIUS primario y uno secundario en las listas de métodos AAA de su WLC. El WLC pasará automáticamente al servidor secundario si el primario no responde dentro del tiempo de espera configurado. Purple proporciona dos direcciones IP de servidor RADIUS exactamente para este propósito. Nunca implemente un único servidor RADIUS en un entorno de producción.

Pregunta cuatro: ¿Qué números de puerto RADIUS utiliza Purple?

Purple utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad. Estos son los puertos estándar registrados por la IANA para RADIUS, tal como se definen en RFC 2865 y RFC 2866.

Para resumir los puntos clave de la sesión de hoy: Audite su arquitectura inalámbrica actual. Si utiliza contraseñas compartidas para el personal, planifique una migración a 802.1X. Si transmite múltiples SSIDs para diferentes inquilinos, consolídelos utilizando Cisco iPSK. Si su WiFi de invitados es simplemente una red abierta sin captura de datos, intégrela con Purple para recopilar datos de primera mano, impulsar el retorno de inversión de marketing y garantizar el cumplimiento de los requisitos de GDPR y PCI DSS.

Al combinar la infraestructura de nivel empresarial de Cisco con la capa en la nube de Purple, usted ofrece una conectividad segura, segmentada e inteligente en todo su establecimiento. Purple opera en más de 80,000 establecimientos activos y registró 440 millones de inicios de sesión en 2024. La plataforma es independiente del hardware, cuenta con la certificación ISO 27001 y está diseñada para la escala empresarial.

Su siguiente paso es claro. Revise la guía de configuración paso a paso completa en el sitio web de Purple, obtenga sus credenciales de servidor RADIUS en el portal de Purple y comience hoy mismo la integración con su WLC de Cisco. Para obtener guías de configuración detalladas y documentación específica de hardware, visite el portal de soporte de Purple en support punto purple punto ai.

Gracias por escuchar este Informe Técnico de Purple. Hasta la próxima, manténgase seguro.

Puntos clave

✓Reemplace las claves precompartidas (PSK) inseguras con una arquitectura de tres niveles: Guest WiFi a través de un Captive Portal, Staff WiFi a través de 802.1X EAP-TLS y Tenant/IoT WiFi a través de Cisco iPSK.
✓Integre Cisco WLC con Purple utilizando Central Web Authentication (CWA) y RADIUS CoA para automatizar el registro de invitados y recopilar datos de primera mano a escala.
✓Configure ACL de preautenticación precisas (walled garden) en el WLC, permitiendo siempre DNS (UDP 53) o la redirección del Captive Portal fallará.
✓Implemente EAP-TLS para Staff WiFi para eliminar por completo las contraseñas y depender de certificados digitales distribuidos por MDM para obtener la postura de seguridad más sólida disponible.
✓Utilice Cisco iPSK con asignación dinámica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar entornos multi-tenant e IoT en un solo SSID.
✓Exija siempre la validación del certificado del servidor RADIUS en los dispositivos cliente cuando utilice PEAP-MSCHAPv2 para evitar el robo de credenciales mediante puntos de acceso no autorizados.
✓Purple opera en más de 80,000 establecimientos, cuenta con certificación ISO 27001 y GDPR, y proporciona una infraestructura RADIUS redundante; configure tanto el servidor primario como el secundario en el WLC.

Resumen ejecutivo

Las redes inalámbricas empresariales deben dar servicio a distintos grupos de usuarios de forma simultánea: invitados que necesitan un acceso a internet sin fricciones, personal que requiere acceso seguro a los recursos corporativos y dispositivos sin interfaz de usuario o de inquilinos que necesitan estar aislados entre sí. Depender de una única Clave Precompartida (PSK) para cualquiera de estos grupos representa un riesgo de seguridad. Una sola credencial comprometida expone a todo el segmento, y revocar el acceso requiere cambiar una contraseña global, lo que interrumpe la conexión de todos los dispositivos de la red.

Esta guía detalla la integración de los controladores de LAN inalámbrica (WLC) de Cisco y el hardware de la serie Catalyst 9800 con la plataforma en la nube de Purple. Proporcionamos la configuración paso a paso para tres niveles de autenticación distintos: una red de Guest WiFi abierta con redirección a un Captive Portal impulsado por Purple, una red WiFi segura para el personal que utiliza autenticación de certificados 802.1X EAP-TLS y un entorno WiFi multi-inquilino que utiliza Claves Precompartidas de Identidad (iPSK) de Cisco con asignación dinámica de VLAN. Al implementar esta arquitectura, usted aísla los recursos corporativos del tráfico de visitantes, automatiza el control de acceso basado en la identidad y recopila datos de primera mano a través de la plataforma de WiFi Analytics de Purple. Purple opera en más de 80,000 establecimientos activos y registró 440 millones de inicios de sesión en 2024 (datos internos de Purple), lo que la convierte en una plataforma en la nube probada para la infraestructura de Cisco a gran escala.

Análisis técnico profundo: la arquitectura de tres niveles

Una implementación inalámbrica empresarial moderna en hardware de Cisco debe atender a distintos perfiles de usuario con diferentes requisitos de seguridad y acceso. La integración entre Cisco WLC y Purple permite que una infraestructura de hardware unificada sirva a estos perfiles a través de distintos mecanismos de autenticación, todos administrados desde un único controlador Catalyst 9800.

Nivel 1: Guest WiFi - Autenticación web centralizada (CWA)

Para los visitantes en entornos de Hospitality y Retail , el objetivo es una incorporación sin fricciones combinada con una recopilación de datos que cumpla con las normativas. Esto se logra utilizando un SSID abierto junto con la Autenticación web centralizada (CWA). Cuando un invitado se conecta, el Cisco WLC aplica una Lista de Control de Acceso (ACL) de preautenticación: el jardín amurallado (walled garden). Esta ACL bloquea el tráfico general de internet mientras permite el tráfico a los dominios del Captive Portal de Purple, DNS y endpoints de inicio de sesión social.

When the guest attempts to browse, the WLC intercepts the HTTP request and issues a redirect to the Purple splash page. The guest authenticates via their chosen method (social login, email registration, or voucher code). Purple then acts as the RADIUS server, sending a RADIUS Change of Authorization (CoA) message back to the WLC. The CoA instructs the WLC to move the client from the pre-authentication state to a post-authentication state on an isolated guest VLAN, granting internet access. Every login is recorded in Purple's analytics platform, capturing first-party data in compliance with GDPR and CCPA.

Tier 2: Staff WiFi - 802.1X EAP-TLS

Corporate devices require the highest level of security. IEEE 802.1X defines port-based Network Access Control (PNAC), and when combined with EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), it delivers certificate-based authentication that eliminates passwords entirely. Digital certificates are deployed to corporate devices via Mobile Device Management (MDM) - Microsoft Intune, Jamf, or equivalent. The Cisco WLC acts as the Authenticator, passing EAP messages between the supplicant (device) and the RADIUS server. The RADIUS server validates the certificate and returns an Access-Accept with optional VLAN assignment attributes.

Because authentication relies on certificates rather than passwords, there are no credentials to steal. If a device is lost or an employee leaves, you revoke the certificate. Access terminates instantly without disrupting any other user. For a comprehensive treatment of enterprise security standards including WPA3 and Zero Trust, see our guide on Enterprise WiFi Security: A Complete Guide for 2026 .

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

In environments like student accommodation, coworking spaces, or retail malls, you need private, segmented networks for different tenants without broadcasting dozens of SSIDs. Cisco Identity PSK (iPSK) solves this. All tenants connect to a single SSID. The WLC sends a MAC authentication request to the RADIUS server for each connecting device. The RADIUS server returns the specific PSK for that tenant as a cisco-av-pair attribute, along with standard IETF RADIUS attributes to dynamically assign the client to the correct VLAN.

The three IETF RADIUS attributes that drive dynamic VLAN assignment are:

RADIUS Attribute	ID	Value
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Target VLAN ID (e.g., 31)

The Tunnel-Private-Group-ID is encoded as a string, as defined in RFC 2868. The VLAN ID must exist on the WLC for the assignment to succeed.

Implementation guide: Cisco Catalyst 9800 WLC configuration

Los siguientes pasos detallan la configuración para un Cisco Catalyst 9800 WLC con IOS-XE para integrarse con Purple para la redirección de Guest WiFi. Para implementaciones heredadas de AireOS WLC, los ajustes equivalentes están disponibles en el portal de soporte de Purple.

Paso 1: Configurar la autenticación y contabilidad RADIUS

Debe apuntar el WLC a los servidores RADIUS de Purple para gestionar la autenticación de invitados y la contabilidad de sesiones.

Vaya a Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
Ingrese la dirección IP del servidor RADIUS primario de Purple, configure auth-port en 1812, acct-port en 1813 e ingrese el secreto compartido del portal de Purple.
Habilite Support for CoA - esto es obligatorio para la redirección del Captive Portal.
Repita el proceso para el servidor RADIUS secundario de Purple.
Vaya a RADIUS > Server Groups > + Add y cree un grupo que contenga ambos servidores.
Vaya a AAA Method List > Authorization > + Add, configure Type como network y apúntelo al grupo de servidores RADIUS.
Vaya a AAA Method List > Accounting > + Add, configure Type como identity y apúntelo al mismo grupo.

Los comandos CLI equivalentes en IOS-XE son:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Paso 2: Definir la ACL de preautenticación (walled garden)

La ACL de preautenticación permite el tráfico a la página de inicio de Purple y a los servicios esenciales antes de que el usuario se autentique. Este es el walled garden.

Vaya a Configuration > Security > ACL > + Add.
Cree una ACL extendida IPv4 llamada Purple_Guest_Walled_Garden.
Agregue reglas para denegar (deny) el tráfico a la IP de administración del WLC y a las IPs del servidor RADIUS.
Agregue reglas para permitir (permit) DNS (puerto UDP 53) a sus servidores DNS.
Agregue reglas para permitir (permit) el tráfico a los rangos de IP y dominios del walled garden de Purple (obtenga la lista actual en el portal de soporte de Purple para su tipo de hardware específico).
Agregue una regla final permit ip any any - el WLC redireccionará el tráfico permitido a la CPU para el procesamiento del portal.

Paso 3: Configurar la WLAN de invitados

Vaya a Configuration > Tags & Profiles > WLANs > + Add.
Cree una WLAN llamada Guest-WiFi con el SSID de su elección.
En Security > Layer 2, configure la seguridad como None (Abierta).
En Security > Layer 3, habilite Web Policy y configure el tipo de Web Auth como External.
Ingrese su URL de acceso de Purple en el campo de redirección.
Aplique la ACL Purple_Guest_Walled_Garden.
En Security > AAA Servers, asigne los servidores RADIUS de Purple tanto para Autenticación como para Contabilidad.

Paso 4: Configurar el Policy Profile

Navegue a Configuration > Tags & Profiles > Policy > + Add.
Bajo Access Policies, asigne la VLAN 20 (o su VLAN de invitados designada).
Bajo Advanced, habilite Allow AAA Override y NAC State.
Asigne la lista de métodos de contabilidad de Purple.

El equivalente en CLI:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Paso 5: Configurar iPSK para despliegues multi-tenant o de IoT

Para iPSK, la configuración de la WLAN difiere de la configuración de invitados. La WLAN utiliza WPA2-PSK con filtrado MAC habilitado, y el Policy Profile tiene activo AAA Override para aceptar la PSK por cliente y la VLAN desde el servidor RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

El servidor RADIUS (configurado en Purple o en su plataforma RADIUS) devuelve los siguientes atributos por grupo de inquilinos:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Mejores prácticas

El cumplimiento de los estándares establecidos garantiza la estabilidad, la seguridad y el cumplimiento normativo en todo su despliegue.

Exija una validación estricta de certificados. Al desplegar 802.1X, configure los dispositivos cliente a través de MDM para que confíen explícitamente en la autoridad de certificación de su servidor RADIUS y especifique el nombre de servidor esperado. No exigir esto deja a los clientes vulnerables a ataques de puntos de acceso no autorizados, donde un atacante presenta un certificado fraudulento para capturar credenciales. Este es un requisito estricto, no una recomendación.

Aísle el tráfico de invitados en la capa de red. El WiFi de invitados debe terminar en una VLAN dedicada que esté protegida por un firewall de todos los recursos corporativos. PCI DSS 4.0 exige que los entornos de datos de titulares de tarjetas estén aislados de las redes públicas. Un invitado en la VLAN 20 no debe tener ruta hacia la red corporativa en la VLAN 10.

Utilice iPSK para dispositivos IoT, no MAC Authentication Bypass. Las direcciones MAC se transmiten en texto plano y son fáciles de suplantar. iPSK proporciona seguridad criptográfica para dispositivos sin interfaz de usuario. Para obtener orientación sobre cómo interactúan los dispositivos de pantalla y de IoT con los protocolos inalámbricos, consulte What Is Wireless Display: Protocols & Best Practices 2026 .

Defina condiciones de uso claras. Su Captive Portal debe presentar un acuerdo de condiciones de uso antes de otorgar el acceso. Este es un requisito de GDPR para la recopilación de datos y una necesidad legal para las políticas de uso de la red. Para redes de personal interno, consulte Staff WiFi Terms and Conditions: Legal and Compliance Essentials . Implementa redundancia RADIUS. Configura siempre un servidor RADIUS primario y uno secundario. Purple proporciona dos direcciones IP de servidor para este propósito. Una sola falla en el servidor RADIUS impedirá todos los inicios de sesión de invitados.

Resolución de problemas y mitigación de riesgos

Incluso con una configuración cuidadosa, surgen problemas de integración. Aborda los modos de falla más comunes de manera sistemática antes de escalar el caso.

Problema: Los invitados se conectan pero no aparece la página de inicio (splash page).

Este es el problema más común. La ACL de preautenticación está bloqueando el DNS. Sin DNS, el cliente no puede resolver la solicitud HTTP inicial y el sistema operativo no activará el mini-navegador del Captive Portal. Verifica que el puerto UDP 53 esté permitido para tus servidores DNS en la ACL del walled garden. En el WLC, ejecuta show wireless client summary para confirmar que el cliente está en un estado Webauth Pending en lugar de Run.

Problema: Los clientes iPSK no se conectan o terminan en la VLAN incorrecta.

La VLAN especificada en Tunnel-Private-Group-ID no existe en el WLC, o los atributos cisco-av-pair están mal formados. Ejecuta debug radius all en el WLC para inspeccionar la respuesta RADIUS sin procesar. Verifica que el ID de la VLAN esté creado en Configuration > Layer 2 > VLAN > VLAN List.

Problema: Los clientes del personal con 802.1X no se autentican de forma intermitente.

Esto suele ser un tiempo de espera agotado (timeout) del servidor RADIUS o un problema de confianza del certificado en el cliente. Revisa los registros del servidor RADIUS en busca de mensajes Access-Reject. En clientes Windows, verifica que el perfil de WiFi esté configurado para validar el certificado del servidor y especifique la CA de confianza correcta.

Problema: El WLC no procesa el CoA de Purple.

El secreto compartido de CoA debe coincidir con el secreto compartido de RADIUS configurado en el WLC. En IOS-XE 17.4 y versiones posteriores, la clave CoA se configura por separado del secreto compartido. Verifica que ambos coincidan con los valores en el portal de Purple.

ROI e impacto empresarial

La transición de redes PSK básicas a una arquitectura estructurada y basada en la identidad con Purple ofrece resultados comerciales medibles en los sectores de Hospitality , Retail , Healthcare y Transport .

En primer lugar, la arquitectura elimina el costo operativo de administrar contraseñas compartidas. Cuando el personal se va, se revoca su certificado. No es necesario cambiar una contraseña global y actualizar cada dispositivo en la propiedad. En segundo lugar, la integración con el Captive Portal de Purple convierte un centro de costos de TI en un generador de ingresos. La plataforma de Purple recopila datos de primera mano que cumplen con las normativas en cada inicio de sesión, lo que permite campañas de marketing automatizadas y análisis de visitantes. Con 29 mil millones de puntos de datos recopilados en la red de Purple (datos internos de Purple), la plataforma proporciona información útil sobre el comportamiento de los visitantes, el tiempo de permanencia y las tasas de retorno.

Para los operadores de recintos que realizan encuestas para comprender la satisfacción de los visitantes, la plataforma Purple se integra directamente con los flujos de trabajo de investigación. Consulta Design of a Survey: A Practical Guide for Venues para obtener orientación sobre cómo estructurar encuestas eficaces para recintos distribuidas a través del Captive Portal.

Al integrar el hardware de nivel empresarial de Cisco con la capa en la nube de Purple, obtienes una red segura y escalable que contribuye activamente a los objetivos comerciales del recinto. Purple cuenta con la certificación ISO 27001, cumple con GDPR y CCPA, tiene la certificación Cyber Essentials y es una empresa B Corp certificada, cumpliendo con los requisitos de conformidad de los equipos de compras empresariales.

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona administración centralizada de Autenticación, Autorización y Contabilidad (AAA) para el acceso a la red. Definido en RFC 2865 y RFC 2866.

Los equipos de TI configuran el Cisco WLC para reenviar las credenciales del cliente al servidor RADIUS, el cual las verifica contra un directorio y devuelve una respuesta de Access-Accept o Access-Reject junto con los atributos de la política.

Captive Portal

Una página web que el usuario de una red de acceso público debe ver e interactuar con ella antes de que se le conceda acceso a Internet. Se implementa mediante redirección HTTP por parte del dispositivo de acceso a la red.

Se utiliza en implementaciones de WiFi para invitados para capturar datos de los visitantes, presentar los términos de uso o mostrar contenido de marca antes de permitir el acceso a Internet. Purple proporciona la infraestructura de Captive Portal alojada.

iPSK (Identity Pre-Shared Key)

Una función de Cisco que permite asignar claves precompartidas únicas a diferentes usuarios o grupos de dispositivos en el mismo SSID, con la PSK entregada por cliente mediante un servidor RADIUS.

Esencial para dispositivos IoT o entornos multiinquilino donde 802.1X no es viable pero se requiere la segmentación de la red. Elimina la necesidad de transmitir múltiples SSID.

IEEE 802.1X

Un estándar de la IEEE para el Control de Acceso a la Red basado en puertos (PNAC). Proporciona un mecanismo de autenticación que bloquea todo el tráfico de datos de un dispositivo hasta que el servidor RADIUS haya confirmado la autorización.

La base del WiFi para el personal de la empresa, que garantiza que solo los dispositivos corporativos autorizados con credenciales o certificados válidos puedan acceder a los recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación basado en certificados que requiere certificados digitales tanto en el servidor RADIUS como en el dispositivo cliente, eliminando por completo las contraseñas.

El método más seguro para autenticar dispositivos corporativos. Los certificados se implementan a través de MDM. El acceso se revoca al invalidar el certificado, no al cambiar una contraseña compartida.

Walled garden

Un entorno de red limitado que controla el acceso del usuario al contenido web antes de que se haya autenticado por completo. Se implementa como una ACL de preautenticación en el WLC.

Configurado en el Cisco WLC para permitir el acceso a la página de inicio de Purple, DNS y proveedores de inicio de sesión social antes de que se le conceda al invitado el acceso completo a Internet.

Dynamic VLAN assignment

El proceso de colocar automáticamente un dispositivo conectado en una LAN virtual específica según los atributos de autorización de RADIUS devueltos en el momento de la autenticación.

Garantiza que el personal, los invitados y los dispositivos IoT se ubiquen automáticamente en segmentos de red aislados al conectarse, sin necesidad de configuración manual por dispositivo.

Change of Authorization (CoA)

Una extensión de RADIUS (RFC 5176) que permite al servidor RADIUS modificar dinámicamente los atributos de autorización de sesión de un cliente que ya está conectado.

Requerido para los Captive Portals. Una vez que el invitado se autentica en la página de inicio de Purple, Purple envía un mensaje de CoA al WLC para realizar la transición del cliente desde el estado de preautenticación en el walled garden al acceso completo a Internet.

Central Web Authentication (CWA)

Un método de autenticación de Cisco en el que el servidor RADIUS (en lugar del WLC) aloja o redirige al portal de autenticación web, lo que permite soluciones de Captive Portal alojadas en la nube.

Se utiliza para integrar el Cisco WLC con el Captive Portal alojado en la nube de Purple, lo que permite a Purple administrar la experiencia de autenticación de invitados y la captura de datos.

Ejemplos resueltos

Un gran centro comercial necesita proporcionar WiFi seguro y privado a 50 inquilinos minoristas utilizando un único Cisco Catalyst 9800 WLC y un único SSID de transmisión. Cada inquilino debe estar aislado de los dispositivos de todos los demás inquilinos. ¿Cómo logran esto sin transmitir 50 SSIDs separados?

El equipo de TI implementa Cisco iPSK. Configuran un único SSID llamado 'Mall-Tenant-WiFi' con WPA2-PSK y filtrado MAC habilitado. En el servidor RADIUS, crean 50 grupos de identidad de endpoint, uno por inquilino. A cada grupo se le asigna una PSK única a través del atributo cisco-av-pair psk= y un VLAN ID único a través del atributo IETF Tunnel-Private-Group-ID. Cuando el dispositivo de punto de venta de un inquilino minorista se conecta utilizando su contraseña específica, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor hace coincidir la dirección MAC con el grupo del inquilino y devuelve la asignación de PSK y VLAN. El WLC procesa los atributos, valida la PSK y coloca el dispositivo en la VLAN aislada del inquilino. La configuración peer-blocking allow-private-group garantiza que los dispositivos que comparten la misma PSK puedan comunicarse entre sí, mientras que los dispositivos con diferentes PSK tienen bloqueada la comunicación entre inquilinos.

Comentario del examinador: Este enfoque escala de manera eficiente. Transmitir 50 SSIDs separados causaría una interferencia de canal compartido severa en un entorno denso y degradaría el rendimiento para todos los usuarios. Cada SSID adicional consume tiempo de aire con tramas de administración. iPSK ofrece la seguridad y segmentación de 50 redes separadas con la eficiencia de RF de una sola. La desventaja es que el servidor RADIUS se convierte en una dependencia crítica; asegúrese de que sea de alta disponibilidad.

Una propiedad de Premier Inn de 300 habitaciones está migrando de cuentas de invitados locales de WLC al Captive Portal en la nube de Purple. Después de aplicar la configuración, los huéspedes informan que se conectan al SSID de WiFi, reciben una dirección IP, pero sus dispositivos muestran 'Sin Internet' y la página de bienvenida nunca aparece. ¿Cuál es el proceso de diagnóstico?

Paso 1: Verifique el estado del cliente en el WLC usando show wireless client detail <mac-address>. El cliente debe estar en estado 'Webauth Pending'. Si muestra 'Run', la ACL de preautenticación no se está aplicando correctamente. Paso 2: Verifique la ACL de preautenticación. La causa más común de este síntoma es que la ACL bloquea el DNS (puerto UDP 53). Sin DNS, el cliente no puede resolver ningún dominio y el mecanismo de detección del Captive Portal del sistema operativo falla silenciosamente. Agregue una regla de permiso explícita para el puerto UDP 53 a las IPs del servidor DNS del recinto. Paso 3: Verifique que los dominios del walled garden de Purple estén permitidos en la ACL. El cliente debe poder llegar a la URL de la página de bienvenida de Purple antes de la autenticación. Paso 4: Confirme que la dirección IP virtual del WLC se haya cambiado de la predeterminada 1.1.1.1 a una dirección no enrutable como 192.0.2.1, ya que la dirección predeterminada puede tener conflictos con el tráfico legítimo de internet.

Comentario del examinador: El síntoma de 'Sin Internet' sin redirección casi siempre es un problema de DNS o de la ACL del walled garden. Los sistemas operativos modernos (iOS, Android, Windows, macOS) utilizan la detección de Captive Portal realizando solicitudes HTTP a URLs conocidas. Si el DNS falla, estas solicitudes no se pueden realizar y el sistema operativo nunca activa el navegador del Captive Portal. Permita siempre el DNS en la ACL de preautenticación; este es el error de implementación más común que vemos.

Preguntas de práctica

Q1. Está implementando Staff WiFi en 40 sucursales minoristas utilizando WLC Cisco Catalyst 9800. Desea utilizar 802.1X, pero la empresa aún no tiene una solución de MDM para distribuir certificados a los teléfonos inteligentes de los empleados. ¿Cuál es el enfoque viable más seguro y qué mitigación de riesgos debe implementar?

Sugerencia: Considere el equilibrio entre la seguridad de las credenciales y la viabilidad de la implementación cuando los certificados aún no son una opción. Concéntrese en el riesgo específico que surge del método alternativo.

Ver respuesta modelo

Implemente PEAP-MSCHAPv2 como medida provisional. Aunque no es tan seguro como EAP-TLS, proporciona autenticación de contraseña cifrada dentro de un túnel TLS. La mitigación de riesgos crítica es exigir la validación del certificado del servidor en cada dispositivo cliente. Para las laptops con Windows, implemente un Objeto de Directiva de Grupo que especifique la Autoridad de Certificación confiable exacta y el nombre del servidor RADIUS esperado en el perfil de WiFi. Para dispositivos iOS y Android, distribuya un perfil de configuración de WiFi por correo electrónico o mediante una herramienta ligera sin MDM que exija la validación del certificado. Sin esto, un atacante puede implementar un punto de acceso no autorizado con un certificado fraudulento y capturar credenciales. Planifique la migración a EAP-TLS tan pronto como el MDM esté disponible.

Q2. El director de TI de un estadio necesita segmentar a los difusores de medios, las terminales de venta de boletos y los sensores IoT de HVAC en redes aisladas separadas. Los sensores IoT no son compatibles con 802.1X. Los tres grupos deben usar WiFi. ¿Cómo se debe configurar el WLC?

Sugerencia: Busque una solución que proporcione credenciales únicas y asignación de VLAN por grupo de dispositivos sin requerir suplicantes empresariales en dispositivos sin pantalla.

Ver respuesta modelo

Implemente Cisco iPSK con un único SSID para las operaciones del recinto. Cree tres grupos de identidad de endpoints en el servidor RADIUS: Difusores, Venta de Boletos y HVAC. Asigne a cada grupo una PSK única a través de cisco-av-pair y un ID de VLAN único a través de Tunnel-Private-Group-ID. Configure la WLAN del WLC con WPA2-PSK, filtrado MAC habilitado y AAA Override activo. Los difusores reciben PSK-A y VLAN 31, la venta de boletos recibe PSK-B y VLAN 32, y los sensores HVAC reciben PSK-C y VLAN 33. Configure peer-blocking en allow-private-group para que los dispositivos dentro del mismo grupo puedan comunicarse (por ejemplo, las terminales de venta de boletos con su servidor), mientras que se bloquea la comunicación entre grupos. Esto evita el MAC Authentication Bypass, que sería fácilmente falsificado.

Q3. Durante la implementación de Guest WiFi en un centro de conferencias, los clientes se conectan al SSID y reciben una dirección IP, pero la redirección al Captive Portal nunca ocurre. La ACL del walled garden permite el tráfico a todos los rangos de IP de Purple. ¿Cuál es el elemento de configuración que probablemente falta y cómo lo verifica?

Sugerencia: Piense en los protocolos requeridos antes de que el dispositivo cliente pueda realizar una solicitud HTTP.

Ver respuesta modelo

La causa más probable es que la ACL de preautenticación bloquea el tráfico DNS (puerto UDP 53). Antes de que un dispositivo cliente pueda realizar la solicitud HTTP que el WLC intercepta para activar la redirección, debe resolver el nombre de dominio a través de DNS. Los mecanismos modernos de detección de Captive Portal de los sistemas operativos (captive.apple.com de Apple, www.msftconnecttest.com de Microsoft, connectivitycheck.gstatic.com de Google) requieren resolución DNS. Para verificar: ejecute 'show wireless client detail ' en el WLC y confirme que el cliente está en estado 'Webauth Pending'. Luego, revise los contadores de coincidencia de la ACL para ver si se está denegando el tráfico DNS. Corrija esto agregando una regla de permiso explícita para el puerto UDP 53 hacia las IP del servidor DNS del recinto en la ACL del walled garden.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.