Cómo configurar un Captive Portal de Ruijie para WiFi de invitados

Speak in British English with a confident, authoritative, and conversational tone - like a senior IT consultant briefing a client. Measured pace, clear diction, professional but not stiff. Occasional natural emphasis on key technical terms: Cómo configurar un Captive Portal de Ruijie para WiFi de invitados. Un informe técnico de Purple. [medium pause] INTRODUCCIÓN Y CONTEXTO. [short pause] Bienvenido. Durante los próximos diez minutos, cubriremos todo lo que necesita saber sobre la configuración de un Captive Portal de Ruijie para WiFi de invitados: desde las decisiones de arquitectura que determinan si su implementación tiene éxito o fracasa, hasta los pasos de configuración específicos que la mayoría de las guías omiten por completo. Si usted es gerente de TI, arquitecto de redes o director de operaciones de un hotel, cadena de tiendas, estadio o centro de conferencias, y cuenta con hardware de Ruijie en sus instalaciones o lo está evaluando, este informe es para usted. Ruijie Networks es uno de los proveedores de redes inalámbricas empresariales de más rápido crecimiento a nivel mundial. Según datos de IDC, Ruijie ocupa la posición número uno en el mercado de WLAN empresarial de China con una participación del 23.34%, y su presencia se está expandiendo rápidamente en Europa, Medio Oriente y Asia-Pacífico. Sus controladores inalámbricos de la serie RG-WS, los gateways de la serie Reyee EG y los puntos de acceso RG-RAP administrados en la nube ahora están implementados en miles de recintos en todo el mundo. Pero aquí está el detalle. Lograr que el WiFi de invitados funcione correctamente en el hardware de Ruijie, específicamente en la parte del Captive Portal, requiere comprender de antemano un puñado de decisiones arquitectónicas. Si toma decisiones equivocadas, terminará con un portal que falla en iOS, invitados que no pueden autenticarse y una red que es demasiado abierta o demasiado restringida. Solucionemos eso. [medium pause] ANÁLISIS TÉCNICO PROFUNDO. [short pause] Primero, la arquitectura. Ruijie ofrece tres modelos de implementación distintos para los Captive Portals de WiFi de invitados, y elegir el adecuado depende de su escala y de sus requisitos de administración. El modelo uno es el portal administrado nativo de Ruijie Cloud o JaCS. JaCS es el sistema de gestión de Ruijie enfocado en la industria hotelera. Esta es la opción integrada. Inicie sesión en Ruijie Cloud, navegue a Device Config, luego a Basic, cree o edite su SSID de invitados, habilite el interruptor de Authentication y seleccione Captive Portal como el modo. JaCS es compatible con escenarios de Hotel y de otro tipo, y le ofrece un creador de portales de arrastrar y soltar con opciones de inicio de sesión que incluyen acceso con un solo clic, códigos de cupón y acceso basado en cuentas. Esta es la opción correcta para implementaciones más pequeñas: un solo hotel, una tienda boutique o un centro de conferencias que desea una página de bienvenida rápida y personalizada sin dependencias externas. El modelo dos es el Captive Portal externo a través de WISPr y RADIUS. WISPr (Wireless Internet Service Provider roaming) es el protocolo que gestiona la redirección y el saludo de autenticación entre la puerta de enlace Ruijie y una plataforma de portal externa. Este es el enfoque de nivel empresarial. Es lo que necesita cuando desea integrar Ruijie con una plataforma de inteligencia de WiFi para invitados de terceros. Aquí, debe navegar a Auth and Account en la interfaz de Ruijie, seleccionar Captive Portal, establecer el Policy Mode en External y apuntar la URL del Portal Server a su plataforma externa. Luego, configura un grupo de servidores RADIUS con las credenciales que proporciona su plataforma. Este modelo se escala en cientos de sitios, le brinda análisis centralizados y le permite ejecutar flujos de trabajo de captura de datos que cumplen con el GDPR. El modelo tres es el modo AP independiente. Los puntos de acceso Reyee de Ruijie que ejecutan ReyeeOS versión 1.219 o posterior pueden ejecutar un Captive Portal local sin una puerta de enlace, lo cual es útil para implementaciones temporales o sitios pequeños sin un enrutador EG. Sin embargo, la funcionalidad es limitada en comparación con las implementaciones basadas en puertas de enlace, por lo que debe considerar esto como una alternativa de respaldo y no como una arquitectura primaria. [medium pause] Ahora, la pieza crítica que la mayoría de las guías omiten por completo: el aislamiento de VLAN. Cuando crea un SSID de invitado en Ruijie, tiene dos opciones de reenvío: modo NAT y modo VLAN. El modo NAT es más sencillo. La puerta de enlace asigna a los dispositivos de los invitados direcciones de un grupo dedicado, normalmente 192.168.23.0 diagonal 24 de forma predeterminada, y todo el tráfico de los invitados se somete a NAT hacia el internet. Esto funciona para una prueba de concepto, pero le brinda visibilidad y control limitados sobre el tráfico de invitados en la Capa 3. El modo VLAN es la opción correcta para cualquier implementación de producción. Asigna el SSID de invitado a una VLAN dedicada, por ejemplo, la VLAN 100, y utiliza ACL en la puerta de enlace para bloquear el tráfico de invitados para que no llegue a su VLAN corporativa. El patrón es: crear una lista de acceso extendida, denegar el tráfico IP desde la subred de invitados a la subred corporativa, permitir todo lo demás y aplicar esa lista de acceso de entrada en la interfaz BVI de invitados. Este es el mismo principio que aplicaría en Cisco Meraki, HPE Aruba o Ruckus; Ruijie simplemente tiene su propia sintaxis de CLI. Los estándares de seguridad son importantes aquí. Ruijie admite WPA3-Personal y el modo mixto WPA2 diagonal WPA3 en los SSID de invitados. Para una red de invitados donde desea un acceso sin fricciones, normalmente ejecuta un SSID abierto con autenticación de Captive Portal en lugar de una clave precompartida. El Captive Portal se convierte en su capa de autenticación. Si necesita una seguridad más sólida, por ejemplo, para un entorno de atención médica o servicios financieros, puede agregar IEEE 802.1X en la parte superior, utilizando EAP-TLS o PEAP con un servidor RADIUS para la autenticación basada en certificados o credenciales. Los controladores de la serie RG-WS de Ruijie admiten 802.1X completo con asignación dinámica de VLAN, lo que significa que puede enviar diferentes VLAN a diferentes grupos de usuarios según los atributos de RADIUS. [medium pause] El walled garden —o lista de permitidos— es otra área que suele causar problemas. Antes de que un invitado se autentique a través del Captive Portal, su dispositivo opera en un estado restringido. Solo puede acceder a los dominios que hayas incluido explícitamente en la lista de permitidos. Como mínimo, debes permitir el dominio y la dirección IP de la plataforma de tu portal, cualquier proveedor de inicio de sesión social que utilices y el endpoint de detección de Captive Portal de Apple: captive.apple.com. Si omites este último, los dispositivos iOS mostrarán una experiencia de portal con errores. Configura la lista de permitidos en Ruijie Cloud en Auth and Account, y luego en Allowlist. Agrega cada dominio y dirección IP de forma individual. [medium pause] RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES. [short pause] Permíteme presentarte las cuatro decisiones que determinan si tu despliegue de WiFi para invitados de Ruijie tiene éxito o fracasa. Decisión uno: portal nativo frente a plataforma externa. Si gestionas más de cinco sitios, o si necesitas capturar datos de primera mano para marketing, utiliza una plataforma externa. Purple, por ejemplo, funciona como una capa en la nube independiente del hardware en más de 80,000 establecimientos activos. Apuntas tu gateway Ruijie a la URL del portal de Purple, configuras las credenciales RADIUS y obtienes analíticas centralizadas, captura de datos que cumple con el GDPR e integraciones con CRM, todo sin tener que volver a tocar el hardware de Ruijie. Purple ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con la certificación ISO 27001, por lo que la parte de cumplimiento normativo está resuelta. Decisión dos: NAT frente a VLAN. Utiliza siempre el modo VLAN para despliegues de producción. El modo NAT está bien para una prueba de concepto, pero el modo VLAN te ofrece un aislamiento real de Capa 3, una gestión de políticas de firewall más sencilla y la capacidad de aplicar políticas de QoS por VLAN. Decisión tres: gestión del ancho de banda. Los gateways EG de Ruijie tienen controles de QoS integrados. Establece límites de descarga y subida por usuario en el SSID de invitados; por lo general, de dos a cinco megabits por segundo de descarga para una red de invitados estándar. Esto evita que un solo invitado que transmita video en 4K degrade la experiencia de todos los demás. Si utilizas una plataforma externa, desactiva Client Escape en el lado de Ruijie para asegurarte de que los controles de ancho de banda de la plataforma se apliquen correctamente. Decisión cuatro: tiempo de espera de la sesión y reautenticación. Establece un tiempo de espera de sesión razonable: de ocho a 24 horas para el sector hotelero y de servicios, y más corto para tiendas minoristas o eventos. Ruijie te permite configurar esto por política de portal. Combínalo con una URL de redirección posterior al inicio de sesión para que los invitados lleguen al sitio web de tu establecimiento o a una página promocional después de conectarse. [medium pause] El error más común que veo es que los equipos despliegan un Captive Portal sin probarlo en iOS y Android simultáneamente. Tanto Apple como Google tienen mecanismos de detección de Captive Portal que se comportan de manera diferente. Prueba ambos antes del lanzamiento. El segundo error más común es olvidar sincronizar la configuración del portal con el producto EG en JaCS; hay un botón explícito de Sincronizar en el que debes hacer clic después de crear o editar un portal, de lo contrario, el gateway no detectará los cambios. [medium pause] PREGUNTAS Y RESPUESTAS RÁPIDAS. [short pause] Permítame repasar las preguntas que me hacen con más frecuencia. ¿Pueden los AP de Ruijie ejecutar un Captive Portal sin un gateway? Sí, en ReyeeOS 1.219 o posterior, pero la funcionalidad es limitada en comparación con las implementaciones basadas en gateway. ¿Soporta Ruijie 802.1X para redes de invitados? Sí, los controladores de la serie RG-WS soportan 802.1X completo con asignación dinámica de VLAN a través de RADIUS. ¿Puedo integrar Ruijie con Purple? Sí. Configure el modo de Captive Portal externo, apunte la URL del portal al endpoint de Purple, configure el grupo de servidores RADIUS con las credenciales de Purple y agregue los dominios de Purple a la lista de permitidos. La arquitectura agnóstica de hardware de Purple se encarga del resto. ¿Funciona WPA3 con los Captive Portals? Sí. Se ejecuta un SSID abierto para el flujo del Captive Portal. WPA3 se aplica a los SSIDs autenticados. Para redes de invitados, el portal en sí es la capa de autenticación. ¿Qué puertos RADIUS utiliza Ruijie? El puerto 1812 para autenticación y el puerto 1813 para contabilidad; estos son los puertos estándar asignados por la IANA según RFC 2865 y RFC 2866. [medium pause] RESUMEN Y PRÓXIMOS PASOS. [short pause] En resumen. Ruijie Networks le ofrece una plataforma capaz y flexible para la implementación de WiFi de invitados y Captive Portals. Los tres modelos de implementación (portal en la nube nativo, portal externo basado en RADIUS y AP independiente) cubren desde un hotel boutique de un solo sitio hasta una cadena minorista de múltiples sitios. Las decisiones clave son: aislamiento de VLAN sobre NAT para cualquier implementación de producción. Plataforma externa para cualquier caso de uso de múltiples sitios o captura de datos. Configuración adecuada de walled garden para evitar fallas de autenticación en iOS. Y siempre realice pruebas tanto en iOS como en Android antes del lanzamiento en vivo. Sus próximos pasos: audite sus versiones actuales de firmware de Ruijie para confirmar la compatibilidad con ReyeeOS. Decida si necesita una gestión de portal nativa o externa. Si opera más de cinco sitios o necesita análisis de datos, hable con Purple sobre la integración de su plataforma con su infraestructura Ruijie. Purple opera en más de 80,000 establecimientos, procesa cientos de millones de inicios de sesión al año y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Puede encontrar la documentación de integración de Purple y solicitar una demostración en purple.ai. Gracias por escuchar. Nos vemos en la próxima sesión informativa.