Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Bienvenidos al Informe Técnico de Purple. Soy su anfitrión, y hoy cubriremos un patrón de implementación que surge en casi todos los proyectos de WiFi empresarial a gran escala que vemos: la integración de CommScope Ruckus con la plataforma en la nube de Purple. Ya sea que administre un grupo hotelero, un complejo comercial, un estadio o un centro de convenciones, este episodio le brindará el manual de configuración que necesita. Primero, preparemos el escenario. Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone en particular es el controlador de elección para entornos de alta densidad. Hoteles como Premier Inn, grandes cadenas de tiendas de autoservicio, estadios y centros de convenciones operan con infraestructura Ruckus. Cuando implementa Guest WiFi a esa escala, necesita más que un SSID abierto. Necesita autenticación estructurada, captura de datos que cumpla con el GDPR y la capacidad de integrar esos datos de los huéspedes en su pila de marketing. Ahí es exactamente donde entra Purple. Purple opera en más de 80,000 establecimientos activos, ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. La integración con Ruckus es uno de nuestros patrones de implementación más maduros. Ahora bien, Ruckus tiene tres plataformas de controladores distintas que debe comprender antes de tocar una pantalla de configuración. SmartZone, disponible como un dispositivo físico SZ300 o virtual vSZ, es el controlador empresarial para grandes implementaciones multisitio. Administra miles de puntos de acceso en múltiples zonas, le brinda un control profundo de políticas y admite la gama completa de métodos de autenticación que cubriremos hoy. ZoneDirector es el controlador local heredado (on-premises), todavía ampliamente implementado, particularmente en el sector hotelero, y admite el mismo flujo de Captive Portal basado en WISPr, aunque con una ruta de configuración ligeramente diferente. Y Unleashed es el modelo sin controlador (controller-less), donde un AP actúa como maestro para hasta 128 puntos de acceso adicionales. Es ideal para implementaciones más pequeñas en un solo sitio: hoteles independientes, sucursales minoristas u oficinas de PyMEs. Muy bien. Entremos en los detalles técnicos. Cubriré tres casos de uso distintos: Guest WiFi con redirección a Captive Portal, WiFi seguro para el personal mediante 802.1X y aislamiento de red multi-inquilino utilizando Dynamic PSK de Ruckus. Comencemos con Guest WiFi. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr (Wireless Internet Service Provider roaming) es un estándar de la industria que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El huésped se conecta a su SSID. Su dispositivo envía una solicitud HTTP. SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo; en este caso, el Captive Portal de Purple. El huésped se autentica (a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y luego el portal se comunica de regreso con el controlador a través de la Northbound Interface, o NBI, para otorgar el acceso. En SmartZone, la configuración consta de cuatro componentes principales. Primero, el perfil del servidor de autenticación RADIUS. Vaya a Servicios y Perfiles (Services and Profiles), luego a Autenticación (Authentication). Cree un nuevo perfil de servidor AAA. Establezca el Protocolo de Servicio (Service Protocol) en RADIUS. La IP de su servidor principal y el secreto compartido se proporcionan en la consola de administración de Purple. Puerto 1812 para autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia. Luego, cree el servidor de contabilidad (accounting) en Servicios y Perfiles, Contabilidad (Accounting): puerto 1813, mismo secreto compartido. Segundo, el perfil Hotspot WISPr. Vaya a Servicios y Perfiles, Hotspots y Portales, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la URL de inicio de sesión (Login URL) en Externa (External) e ingrese la URL de redirección de su portal. Configure la Página de inicio (Start Page) para redirigir a su URL posterior a la autenticación, que suele ser una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde los ingenieros suelen cometer más errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde donde se cargue su portal y los endpoints estándar de detección de Captive Portal del sistema operativo. En SmartZone, los comodines son compatibles utilizando el formato de asterisco-punto (por ejemplo, asterisco-punto-purple-punto-ai cubre todos los subdominios). También necesita el dominio de detección de Captive Portal de Apple (captive.apple.com) y los endpoints de verificación de conectividad de Google para evitar que el mini-navegador CNA se comporte de manera incorrecta en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto. De forma predeterminada, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. Purple necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe deshabilitar esto a través de la CLI. Acceda por SSH a su SmartZone, ingrese al modo de configuración y ejecute: `no encrypt-mac-ip`. Es un solo comando, pero es un bloqueo total si lo omite. La Northbound Interface es la otra pieza esencial. Esta es la API que permite a Purple comunicarse de regreso con SmartZone para otorgar o denegar el acceso después de la autenticación. Habilítela en Administración (Administration), Servicios Externos (External Services), WISPr Northbound Interface. Establezca un nombre de usuario y contraseña, y proporcione esas credenciales a Purple. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de Purple a estos puertos. Finalmente, cree su WLAN. Establezca el Tipo de Autenticación (Authentication Type) en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en Definido por el usuario (User-defined) si Purple requiere un valor específico, configure Called Station ID como AP MAC y habilite Single Session ID. Para Unleashed, la arquitectura es fundamentalmente diferente: es un modelo distribuido y sin controlador. La configuración se encuentra en Admin y Servicios (Admin and Services), Servicios (Services), Servicios de Hotspot (Hotspot Services). Los pasos son bastante similares: cree un servicio de Hotspot, configure la URL de su portal externo, configure su servidor de autenticación AAA, agregue sus entradas de Walled Garden, pero hay dos diferencias clave. No hay un requisito de Northbound Interface en Unleashed. Y el cifrado de direcciones MAC no se aplica de forma predeterminada, por lo que no necesita el comando de la CLI. El Walled Garden de Unleashed también acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodines. Ahora pasemos al WiFi seguro para el personal mediante 802.1X. Este es un modelo de autenticación completamente diferente. En lugar de un Captive Portal, los dispositivos del personal se autentican directamente utilizando el Protocolo de Autenticación Extensible (EAP). El método más común en entornos empresariales es PEAP-MSCHAPv2, donde el usuario ingresa sus credenciales de Active Directory, o EAP-TLS, donde el dispositivo presenta un certificado. El complemento SecurePass de Purple se integra con Microsoft Entra ID, Okta y Google Workspace para actuar como el backend de RADIUS para este flujo. En SmartZone, cree una nueva WLAN y establezca el Tipo de Autenticación en 802.1X EAP. En la configuración de AAA, apunte a su servidor RADIUS: el endpoint SecurePass de Purple. La diferencia clave con el flujo de invitados es que aquí también configura la asignación dinámica de VLAN. Cuando el servidor RADIUS de Purple devuelve un Access-Accept, incluye tres atributos estándar de la IETF: Tunnel-Type establecido en VLAN, valor 13; Tunnel-Medium-Type establecido en IEEE-802, valor 6; y Tunnel-Private-Group-ID que contiene la cadena del ID de VLAN (por ejemplo, 20 para la VLAN del personal). SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del miembro del personal con la VLAN correcta, independientemente del AP al que esté conectado. Esto es el direccionamiento dinámico de VLAN, y es lo que permite que un solo SSID sirva a múltiples roles de usuario con diferentes políticas de acceso a la red. Habilite AAA Override en la configuración avanzada de la WLAN para asegurarse de que SmartZone procese los atributos de VLAN devueltos por RADIUS. Sin esa casilla seleccionada, la asignación dinámica no funcionará incluso si el servidor RADIUS está enviando los atributos correctos. El tercer caso de uso es el aislamiento multi-inquilino mediante Dynamic PSK de Ruckus, o DPSK. Esta es una tecnología patentada de Ruckus que asigna una frase de contraseña WPA2 única a cada usuario o inquilino, todo en un solo SSID. A diferencia de una PSK compartida donde todos usan la misma contraseña, DPSK significa que el Inquilino A tiene una clave única de 62 caracteres, el Inquilino B tiene una diferente, y así sucesivamente. Cada clave está vinculada a una VLAN específica, por lo que el tráfico del Inquilino A llega a la VLAN 101 y el del Inquilino B a la VLAN 102: aislamiento completo, sin riesgo de contraseña compartida y revocación instantánea sin afectar a otros inquilinos. Esto es particularmente potente en espacios de co-working, edificios residenciales de alquiler (build-to-rent), residencias estudiantiles y parques comerciales multi-inquilino. Purple se integra con DPSK de Ruckus a través de la API de SmartZone para automatizar el aprovisionamiento de claves: cuando se incorpora un nuevo inquilino en Purple, se genera un DPSK, se vincula a la VLAN correcta y se entrega al inquilino automáticamente. Para configurar DPSK en SmartZone: vaya a WLANs, agregue una nueva WLAN y, en Seguridad (Security), establezca el método en Dynamic PSK. Configure la longitud de DPSK en 62 caracteres para obtener la máxima entropía. En VLAN, habilite la asignación de VLAN por DPSK (Per-DPSK VLAN assignment). Luego, use la API de SmartZone o la interfaz de administración de DPSK para crear claves individuales por inquilino, cada una asignada a su propio ID de VLAN. En Unleashed, la misma función está disponible en Redes WiFi (WiFi Networks), Opciones Avanzadas (Advanced Options), Dynamic PSK. DPSK3 es la variante WPA3, que ofrece un cifrado más sólido basado en SAE. Si su flota de puntos de acceso admite WPA3 (lo cual hacen todos los AP actuales de la serie R de Ruckus), DPSK3 es la opción preferida para nuevas implementaciones. Permítanme guiarlos a través de dos escenarios de implementación del mundo real que ilustran cómo se unen estos tres casos de uso. Primer escenario: un hotel de 250 habitaciones. La propiedad opera Ruckus SmartZone con puntos de acceso R750 en todas sus instalaciones. Necesitan tres tipos de red: Guest WiFi para los huéspedes del hotel, WiFi seguro para el personal de atención al público (front-of-house) y de soporte (back-of-house), y una red IoT para controles inteligentes de habitaciones y CCTV. La WLAN de invitados utiliza el flujo de Captive Portal WISPr con Purple. Los huéspedes se conectan, son redirigidos a un portal personalizado con la marca de Purple, se autentican mediante correo electrónico o inicio de sesión social y acceden a la VLAN 10. El portal captura datos de primera mano (correo electrónico, consentimiento de marketing, preferencias de estadía), que se envían directamente al CRM del hotel. El panel de analíticas de Purple muestra al hotel qué pisos tienen las tasas de conexión más altas, las horas de mayor uso y las tasas de visitantes recurrentes. Premier Inn implementó este modelo en todas sus propiedades del Reino Unido y observó mejoras medibles en las puntuaciones de satisfacción de los huéspedes directamente vinculadas a la experiencia de WiFi. La WLAN del personal utiliza 802.1X con SecurePass de Purple. El personal se autentica con sus credenciales de Active Directory a través de PEAP-MSCHAPv2. El personal de recepción accede a la VLAN 20 con acceso al sistema de gestión de la propiedad (PMS). El personal de soporte accede a la VLAN 21 con acceso únicamente a los sistemas de Recursos Humanos y programación. La asignación de VLAN se basa completamente en los atributos RADIUS que devuelve Purple, sin necesidad de configuración manual de puertos. Cuando un miembro del personal se va, su cuenta se deshabilita en Microsoft Entra ID y el acceso se revoca instantáneamente en todas las propiedades. La WLAN de IoT utiliza una PSK estática, aislada en la VLAN 30, con client isolation habilitado. Los termostatos inteligentes, las cerraduras de las puertas y las cámaras de CCTV se ubican aquí, completamente separados del tráfico de huéspedes y del personal. Segundo escenario: un espacio de co-working con 15 empresas inquilinas. Aquí es donde DPSK realmente demuestra su valor. El operador ejecuta Ruckus Unleashed en tres pisos. Cada empresa inquilina obtiene un DPSK único vinculado a su propia VLAN. Los 20 miembros del personal del Inquilino A utilizan la misma frase de contraseña DPSK-A, pero esa frase de contraseña es exclusiva del Inquilino A y se asigna únicamente a la VLAN 101. El Inquilino B utiliza DPSK-B, que se asigna a la VLAN 102. Los inquilinos están completamente aislados entre sí en la capa de red. Cuando un inquilino se va, el operador revoca su DPSK en SmartZone, o a través de la interfaz de administración de Purple, y eso es todo. Ningún otro inquilino se ve afectado, no se requieren cambios de SSID ni restablecimientos de contraseñas en todo el edificio. La capa de gestión multi-inquilino de Purple se ubica por encima de esto, lo que le brinda al operador del co-working un único panel para administrar la incorporación, la revocación de accesos y las analíticas de uso de los 15 inquilinos. Ahora permítanme cubrir los modos de falla más comunes y cómo evitarlos. Número uno: mala configuración del Walled Garden. Si la página de su portal no se carga después de la redirección, lo primero que debe verificar es si todos los dominios a los que hace referencia la página de su portal están en el Walled Garden. Las páginas de portal modernas cargan recursos desde múltiples dominios de CDN, scripts de analíticas y SDKs de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes están siendo bloqueadas. Purple proporciona una lista documentada de Walled Garden para SmartZone y Unleashed; utilícela como base y agregue cualquier dominio específico de su establecimiento. Número dos: el problema de conectividad de la NBI. Si los huéspedes pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que SmartZone no puede recibir el callback de la NBI desde Purple. Verifique que los puertos 9080 y 9443 estén abiertos para conexiones entrantes a la IP de administración de SmartZone desde el rango de IP de Purple. También verifique que las credenciales de la NBI que ha configurado coincidan con las que Purple tiene registradas. Número tres: la falta del comando `no encrypt-mac-ip`. Este es el error imprevisto más común específico de SmartZone. Si Purple recibe solicitudes de redirección pero no puede asociar la sesión con una dirección MAC, casi con certeza esta es la causa. Es una solución de una sola línea en la CLI, pero es fácil de pasar por alto porque no aparece en la interfaz gráfica (GUI). Número cuatro: AAA Override no habilitado para VLAN dinámica. Si el personal se está autenticando correctamente en 802.1X pero todos acceden a la misma VLAN predeterminada en lugar de su VLAN específica por rol, verifique que AAA Override esté habilitado en la configuración avanzada de la WLAN. Este es el interruptor que le indica a SmartZone que respete los atributos de VLAN devueltos por el servidor RADIUS. Número cinco: la VLAN de DPSK no se propaga. Si los usuarios de DPSK se están autenticando pero no acceden a la VLAN correcta, verifique que la asignación de VLAN por DPSK (Per-DPSK VLAN assignment) esté habilitada en la configuración de la WLAN y que los puertos del switch conectados a sus AP estén configurados como puertos troncales (trunk) que transporten todas las VLAN de DPSK. Si el puerto del switch es un puerto de acceso, el etiquetado de VLAN se eliminará. Ahora, tres preguntas rápidas que me hacen en cada implementación de Ruckus y Purple. ¿Necesito una VLAN dedicada para Guest WiFi? Sí, siempre. Aísle el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma red. Habilite client isolation en la WLAN de invitados para evitar que los dispositivos de los invitados se comuniquen entre sí. ¿Puedo usar Purple con Ruckus One, la plataforma gestionada en la nube, en lugar de SmartZone? Sí. La ruta de configuración es diferente (se encuentra en Redes WiFi [WiFi Networks], configuración de Acceso de Invitados [Guest Access] en el portal de Ruckus One), pero los principios de configuración de Walled Garden y RADIUS son idénticos. ¿Admite Purple implementaciones multizona de SmartZone? Sí. La integración de Purple maneja entornos SmartZone multizona, y puede delimitar las configuraciones del portal a zonas individuales para diferentes establecimientos o pisos dentro de una sola instancia de SmartZone. Para resumir. La integración de Ruckus y Purple cubre tres casos de uso distintos, cada uno con su propio modelo de configuración. Guest WiFi utiliza el flujo de Captive Portal WISPr: cinco puntos clave de configuración: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un Walled Garden correctamente delimitado utilizando entradas con comodines, el comando de CLI `no encrypt-mac-ip` y la Northbound Interface habilitada con las credenciales correctas. El WiFi seguro para el personal utiliza 802.1X EAP con direccionamiento dinámico de VLAN a través de atributos RADIUS; el habilitador crítico es AAA Override en la configuración avanzada de la WLAN. El aislamiento multi-inquilino utiliza DPSK de Ruckus: claves únicas por inquilino, cada una vinculada a una VLAN dedicada, con revocación instantánea y cero riesgo de contraseña compartida. Domine estos tres patrones y tendrá una arquitectura de red que escala desde un hotel independiente de 50 habitaciones en Unleashed hasta un estadio de 5,000 asientos en SmartZone, con la misma plataforma Purple supervisándolo todo para proporcionar analíticas unificadas, captura de datos que cumple con el GDPR y gestión de acceso centralizada. Si está planeando una implementación de Ruckus con Purple, el equipo técnico de incorporación puede guiarlo a través de una lista de verificación previa al lanzamiento y validar su configuración antes de la puesta en marcha. La plataforma Purple también proporciona analíticas en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión, lo que le brinda la visibilidad para detectar problemas antes de que lo hagan sus invitados. Gracias por escuchar. Hasta la próxima.