Integración de routers DrayTek Vigor y puntos de acceso con Purple WiFi

Esta guía proporciona instrucciones técnicas paso a paso para integrar los routers DrayTek Vigor y los puntos de acceso VigorAP con la plataforma en la nube de Purple. Cubre la configuración del Captive Portal de DrayTek para WiFi de invitados, la autenticación 802.1X para un WiFi de personal seguro, la configuración de Walled Garden y la configuración de PSK múltiple (PPSK) de DrayTek para la segmentación de redes multiinquilino con asignación dinámica de VLAN. Diseñado para instaladores de TI y administradores de redes de PyMEs que implementan Purple en entornos de hospitalidad, comercio minorista y complejos multiinquilino.

📖 10 min de lectura📝 2,500 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenidos al informe de integración de Purple. Hoy analizaremos los routers DrayTek Vigor y los puntos de acceso VigorAP, y específicamente cómo integrarlos con Purple WiFi. Este informe está dirigido a gerentes de TI y arquitectos de redes que implementan redes de invitados, personal y multiinquilino en establecimientos de PyMEs y del mercado medio.

Comencemos con el contexto. El hardware de DrayTek es increíblemente popular en el comercio minorista, la hospitalidad y las unidades multihabitacionales porque ofrece sólidas capacidades de enrutamiento, VPN e inalámbricas a un precio competitivo. Al emparejar un router DrayTek Vigor con Purple, transforma una conexión a Internet estándar en una red basada en la identidad (Identity-Based Network). Purple cuenta con más de 80,000 establecimientos activos y procesa 440 millones de inicios de sesión al año. Nosotros aportamos el Captive Portal, las analíticas y la capa de seguridad. DrayTek proporciona la infraestructura perimetral confiable.

Entremos de lleno en los detalles técnicos. ¿Cómo hacemos que esto funcione realmente? El núcleo de la integración se basa en la autenticación RADIUS y la redirección externa del Captive Portal.

Primero, la configuración de WiFi de invitados. Configurará el router DrayTek Vigor como una puerta de enlace de Hotspot Web Portal. En la interfaz de DrayOS, en Applications y RADIUS, agregará la IP del servidor RADIUS de Purple y el secreto compartido. Luego, en Hotspot Web Portal, establecerá el Portal Method en External Server y pegará su URL de acceso específica de Purple. El router DrayTek intercepta el tráfico de invitados, lo redirige a la capa en la nube de Purple para su autenticación y luego utiliza RADIUS para otorgar el acceso.

Un paso crítico aquí es el Walled Garden. Los invitados deben poder llegar a los servidores de Purple antes de autenticarse. Debe configurar la pestaña Destination Domain en el perfil de Hotspot de DrayTek para permitir el tráfico hacia los dominios de autenticación de Purple. Si omite esto, la página de inicio simplemente no se cargará. Este es uno de los errores más comunes durante la implementación inicial.

Ahora, ¿qué pasa con el WiFi de personal? Para un acceso seguro del personal, no se utiliza un Captive Portal. Se utiliza la autenticación 802.1X, que es el estándar IEEE para el control de acceso a la red basado en puertos. En la configuración de seguridad de la LAN inalámbrica de DrayTek, seleccionará WPA2 barra diagonal 802.1X y la apuntará al servidor RADIUS de Purple. Los dispositivos del personal se autentican sin problemas utilizando PEAP y MS-CHAPv2. Esto elimina por completo las contraseñas compartidas y le permite revocar el acceso de forma instantánea cuando un empleado se va. No es necesario cambiar la contraseña en todo el establecimiento.

Hablemos de los entornos multiinquilino. Piense en alojamientos para estudiantes, espacios de coworking o concesiones minoristas. Necesita segmentación de red. DrayTek maneja esto con VLAN y Multiple PSK, también conocido como PPSK o Private Pre-Shared Key. Configurará las VLAN en el router DrayTek. Por ejemplo, la VLAN 10 para invitados, la VLAN 20 para el personal y la VLAN 30 para los inquilinos. Utilizando la función WPA2-PPSK de DrayTek en los VigorAP, cada inquilino obtiene una frase de contraseña única. Cuando se conectan, el punto de acceso vincula esa frase de contraseña a su dirección MAC y los ubica en su VLAN aislada. Esto significa que un inquilino de una cafetería en la planta baja de un hotel no puede ver la red interna del hotel, a pesar de que comparten el mismo punto de acceso físico.

La asignación dinámica de VLAN lleva esto más allá. El servidor RADIUS de Purple puede devolver atributos RADIUS específicos cuando un usuario se autentica. Estos son los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek lee estos valores y asigna dinámicamente al cliente autenticado a la VLAN correcta. Esto es la red basada en la identidad en la práctica: la red se adapta a la identidad del usuario, no al revés.

Pasemos a las recomendaciones de implementación y los errores comunes.

Recomendación uno: Utilice siempre un backhaul cableado para sus VigorAP. Los sistemas de distribución inalámbrica, o repetidores universales, no pueden transmitir las etiquetas VLAN 802.1Q requeridas para una segmentación de red adecuada. Si desea una red de invitados aislada de su LAN interna, necesita que esas etiquetas VLAN estén intactas, y eso significa un cable Ethernet físico desde cada punto de acceso de regreso al router DrayTek o a un switch administrado.

Recomendación dos: Habilite AP-Assisted Mobility en los VigorAP. Esta función desasocia de manera inteligente a los clientes con baja intensidad de señal, obligándolos a realizar roaming a un punto de acceso más cercano. Resuelve el problema de los clientes persistentes (sticky clients) que afecta a muchas implementaciones de PyMEs. En un entorno minorista, un comprador que camina desde el frente de la tienda hacia la parte trasera debe realizar la transición entre puntos de acceso sin problemas. Sin AP-Assisted Mobility, su dispositivo podría aferrarse al punto de acceso frontal incluso cuando la señal sea débil.

Recomendación tres: Planifique su esquema de numeración de VLAN antes de comenzar. Cambiar los ID de VLAN después de la implementación requiere volver a configurar el router, todos los puntos de acceso y, potencialmente, cualquier switch administrado en la ruta. Documente su esquema claramente.

¿El mayor error común? Olvidar reiniciar el router DrayTek después de aplicar las configuraciones de RADIUS y Hotspot. DrayOS requiere un reinicio para aplicar estos cambios específicos. Si omite esto, pasará horas solucionando problemas de una configuración que en realidad es correcta pero que simplemente aún no está activa. Esto está documentado en la guía de soporte oficial de Purple para el hardware de DrayTek.

Hagamos una sesión de preguntas y respuestas rápidas.

Pregunta: ¿Puedo utilizar el servidor RADIUS interno del router Vigor?
Respuesta: Puede hacerlo para la autenticación 802.1X local, pero para la integración con Purple, debe utilizar los servidores RADIUS externos de Purple. Esto es lo que permite la gestión centralizada de políticas y las analíticas que proporciona Purple.

Pregunta: ¿Admite DrayTek el direccionamiento dinámico de VLAN a través de RADIUS?
Respuesta: Sí. El servidor RADIUS de Purple devuelve los atributos Tunnel-Type y Tunnel-Private-Group-ID al autenticarse. El router DrayTek lee estos atributos y asigna dinámicamente al cliente a la VLAN correcta.

Pregunta: ¿Qué sucede si el dispositivo iOS de un usuario utiliza una dirección MAC privada con PPSK?
Respuesta: Fallará la autenticación. El perfil PPSK se vincula a una dirección MAC específica. Debe indicar a los usuarios que deshabiliten la Dirección WiFi privada para su red específica en la configuración de su iOS para garantizar una conectividad estable.

Pregunta: ¿Qué modelos de DrayTek son compatibles con Purple?
Respuesta: Los modelos compatibles actualmente incluyen las series 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 y 3910. Consulte la documentación de soporte de Purple para obtener la lista más reciente.

Para resumir. DrayTek y Purple juntos le brindan un control de red de nivel empresarial a precios de PyMEs. Utiliza el Hotspot Web Portal para invitados, 802.1X para el personal y PPSK con VLAN para los inquilinos. Planifique sus VLAN con cuidado, configure sus Walled Gardens y reinicie siempre después de aplicar la configuración de RADIUS. Utilice un backhaul cableado para sus puntos de acceso, habilite AP-Assisted Mobility y planifique la aleatorización de MAC en dispositivos iOS.

Gracias por escuchar este informe técnico. Configure su hardware y nos vemos en la plataforma de Purple.

Puntos clave

✓Los routers DrayTek Vigor utilizan la función Hotspot Web Portal con el modo External Server para redirigir el tráfico de invitados a la página de inicio alojada en la nube de Purple para la captura de datos conforme a GDPR.
✓El Walled Garden (pestaña Dest Domain) debe incluir todos los dominios de autenticación de Purple antes de la implementación; la falta de entradas es la causa más común de fallas en la página de inicio.
✓El WiFi de personal debe utilizar la seguridad WPA2/802.1X Enterprise, autenticándose contra el servidor RADIUS de Purple, para eliminar las contraseñas compartidas y permitir la revocación instantánea del acceso por usuario.
✓Los entornos multiinquilino utilizan DrayTek WPA2-PPSK en los VigorAP para asignar frases de contraseña únicas por inquilino, etiquetando dinámicamente el tráfico en VLAN aisladas en el router Vigor.
✓Todos los VigorAP deben conectarse al router a través de Ethernet cableado; los modos de repetidor inalámbrico eliminan las etiquetas VLAN 802.1Q y rompen la segmentación de la red.
✓DrayOS requiere reiniciar el router para aplicar cualquier cambio en las configuraciones de RADIUS o del Hotspot Web Portal; este es un paso obligatorio, no opcional.
✓Habilite AP-Assisted Mobility en los VigorAP para evitar el comportamiento de cliente persistente (sticky client) y garantizar sesiones estables del Captive Portal a medida que los usuarios se desplazan por el establecimiento.

執行摘要

DrayTek Vigor 路由器與 VigorAP 基地台已廣泛部署於英國與歐洲成千上萬的中小型企業、零售及餐旅場所。當與 Purple 的雲端重疊網路整合時，這些硬體將成為「基於身分的網路」之基石 — 從單一平台即可收集第一方數據、保護內部資源並區隔多租戶流量。

本指南涵蓋四種部署情境：採用品牌專屬引導頁面與 RADIUS 驗證的 Guest WiFi 、使用 IEEE 802.1X 企業級安全驗證的員工 WiFi、允許驗證前流量的 Walled Garden 配置，以及利用 DrayTek 的 WPA2-PPSK 功能搭配動態 VLAN 分配的多租戶 WiFi。Purple 已在超過 80,000 個實際營運場地運行，且達到 99.999% 的可用性，並獲得 ISO 27001、GDPR 及 Cyber Essentials 認證 — 因此您場地面臨的安全與合規要求均已融入平台之中。

支援的 DrayTek 型號包括 Vigor 2862、2865、2866、2926、2927、2952、2962、3220 與 3910 系列。所有透過中央基地台管理 (APM) 進行管理的 VigorAP 基地台皆與此整合相容。

技術深入剖析

整合運作原理

DrayTek 與 Purple 的整合依賴兩種機制協同運作：外部 Captive Portal 重新導向與 RADIUS（遠端驗證撥入使用者服務）驗證。Purple 扮演集中化的身分提供者和原則引擎。DrayTek Vigor 路由器則作為網路存取伺服器 (NAS)，執行 Purple RADIUS 伺服器傳回的存取決策。

當訪客連線到 WiFi SSID 時，DrayTek 路由器會將裝置置於驗證前的狀態。它會攔截該裝置的 HTTP 流量，並透過 DrayOS 中的 Hotspot Web Portal 功能將其重新導向至 Purple 的雲端託管 splash page。使用者在 Purple 的平台上完成登入流程 — 可使用社群登入、電子郵件、簡訊，或受管理的授權提供者（如 Microsoft Entra ID、Okta 或 Google Workspace）。Purple 的 RADIUS 伺服器隨後會向 DrayTek 路由器回傳 Access-Accept 訊息，進而授予網際網路存取權限並在連接埠 1813 上啟動 RADIUS 計費。

Guest WiFi 與 DrayTek Captive Portal

DrayTek Hotspot Web Portal 是訪客驗證的核心機制。在 DrayOS 中，您可以設定 Hotspot Profile，其中定義了 portal 方法、驗證伺服器、工作階段限制和登陸頁面。將 Portal Method 設定為 External Server 會指示 DrayOS 將未驗證的用戶端重新導向至外部 URL — 在此處即為您的 Purple 存取 URL — 而非提供本機託管的頁面。 Hotspot Profile 中的 RADIUS 設定指向 Purple 的 RADIUS 伺服器 IP（連接埠 1812 用於驗證，連接埠 1813 用於計費）。共用金鑰必須與您的 Purple 場域儀表板中顯示的完全一致。此處不匹配是導致驗證失敗最常見的原因。

工作階段管理由 Expired Time After Activation 設定控制。對於大多數餐旅和零售部署，六個小時是實用的預設值。您可以將此設定與您的 Purple 工作階段逾時時間保持一致，以確保兩個系統之間的行為一致。

Walled Garden 設定

在訪客進行驗證之前，其裝置無法存取網際網路。然而，裝置必須能夠連線至 Purple 的伺服器以載入歡迎頁面（splash page）。Walled Garden（透過 DrayTek Hotspot Profile 中的 Dest Domain 索引標籤進行設定）定義了驗證前可存取的網域。

您必須將 Purple 的驗證網域新增至此清單中，每個索引一個。如果您使用的是社群登入提供商（例如 Google 或 Facebook）或受管理的識別資訊提供商（如 Microsoft Entra ID），則也必須包含其網域。未能正確設定 Walled Garden 是 DrayTek Captive Portal 無法顯示歡迎頁面最常見的單一原因。Purple 的支援文件提供了每種登入方式目前所需的網域清單。

使用 802.1X 安全保護員工 WiFi

對於內部員工而言，Captive Portal 並非合適的工具。共用的 WPA2 密碼存在安全性隱患：當員工離職時，您必須更新每台裝置上的密碼。IEEE 802.1X 企業級驗證完全解決了這個問題。

在 DrayOS 中，導覽至 Wireless LAN > Security，並為您的員工 SSID 選取 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠和共用金鑰。員工裝置會使用 PEAP（受保護的擴充驗證協定）並以 MS-CHAPv2 作為內部方法進行驗證。這是 Windows、macOS、iOS 和 Android 裝置連線至企業無線網路所需的設定。

Purple 會在識別資訊層級撤銷存取權限。當員工離職時，您只需在您的識別資訊提供商（Microsoft Entra ID、Okta 或 Google Workspace）中停用其帳戶即可。Purple 的 RADIUS 伺服器會立即停止接受該帳戶的驗證請求。無需在整個場域中變更密碼。

如欲了解更多關於企業無線網路安全性架構的資訊，請參閱我們的企業級 WiFi 安全性：2026 年完整指南。

使用 DrayTek 多重 PSK 進行多租戶網路分割

多租戶環境（例如設有外包餐廳或零售空間的飯店、共同工作空間、學生宿舍以及建屋出租專案）需要租戶之間實施嚴格的網路隔離。專櫃中的顧客絕不能存取飯店的內部網路，且兩個零售租戶之間必須無法看到彼此的流量。

DrayTek 透過兩項互補的功能來解決此問題：VLAN 標記和 WPA2-PPSK (Private Pre-Shared Key)。

Vigor 路由器上的 VLAN 設定會將每個租戶分配到獨立的邏輯網路。前往 LAN > VLAN，啟用 VLAN 設定，並為每個租戶區段分配一個唯一的 VLAN ID。所有連接到 VigorAP 的 LAN 連接埠必須是所有相關 VLAN 的成員，實際上是以 802.1Q 幹線 (trunk) 連接埠運作。LAN > General Setup 中的 Inter-LAN Routing Table 可控制流量是否可以跨 VLAN 傳輸——為了實現租戶隔離，必須停用此功能。

VigorAP 上的 WPA2-PPSK 會為每個租戶分配一個唯一的密碼。無線基地台會將此密碼與裝置的 MAC 位址綁定。當裝置連接時，AP 會識別所使用的密碼，並用對應的 VLAN ID 標記流量。這使得單一 SSID 能夠同時為多個隔離的租戶網路提供服務，從而減少無線開銷並簡化終端使用者體驗。

透過 RADIUS 進行動態 VLAN 分配

對於需要根據使用者身分而非靜態密碼來驅動 VLAN 分配的部署，Purple 的 RADIUS 伺服器支援動態 VLAN 引導。當使用者進行驗證時，Purple 會在 Access-Accept 訊息中傳回三個 RADIUS 屬性：

RADIUS 屬性	值
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	VLAN ID (例如 "20")

DrayTek 路由器會讀取這些屬性，並將已驗證的用戶端分配到指定的 VLAN，無論他們連接到哪一個 SSID。這就是「基於身分的網路 (Identity-Based Networking)」：網路區段是由使用者的身分決定，而不是由他們輸入的密碼決定。

實作指南

部署前檢查清單

在開始之前，請確認以下事項：

項目	需求
DrayTek 韌體	最新穩定的 DrayOS 版本
Purple 場域	已在 Purple 控制面板中建立並啟用
RADIUS 憑證	從 Purple 取得的存取 URL、RADIUS 伺服器 IP、共用金鑰、NAS 識別碼
VLAN 計劃	已記錄 Guest、Staff 和每個租戶的 VLAN ID
VigorAP 回傳網路	已確認所有無線基地台皆使用實線乙太網路

步驟 1：在 DrayTek 路由器上設定 RADIUS

導覽至 DrayOS 網頁介面中的 Applications > RADIUS/TACACS+。在 External RADIUS 索引標籤上，啟用設定檔並輸入 Purple 的 RADIUS 伺服器 IP 位址、連接埠 (1812) 和共用金鑰。按一下 OK 儲存。路由器需要重新啟動才能套用此變更——請勿跳過此步驟。

步驟 2：建立 Captive Portal 設定檔

導覽至 Hotspot Web Portal > Profile Setup 並選擇一個可用的索引。依下列方式設定設定檔：

設定	值
啟用此設定檔	是
Portal Method	External Server
Captive Portal URL	您的 Purple 存取 URL
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	Purple RADIUS 伺服器 IP
Destination Port	1812
Shared Secret	您的 Purple 共用金鑰
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

點擊 OK 儲存。

步驟 3：設定 Walled Garden

點擊 Save and Next 進入 Dest Domain 頁籤。新增每個必要的 Purple 網域，每個索引一個。目前的網域列表請參閱支援文件中的 Purple Walled Garden 網域白名單。點擊 Save and Next 繼續。

步驟 4：設定工作階段與到達網頁設定

在最後的設定畫面上，設定：

設定	值
Expired Time After Activation	0 天, 6 小時, 0 分 (或您偏好的時長)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	您的 Purple 重新導向 URL
Applied Interfaces	選擇訪客 WiFi SSID

點擊 Finish 儲存。測試前請重新啟動路由器。

步驟 5：設定 VLAN 進行網路區隔

導覽至 LAN > VLAN 並啟用 VLAN Configuration。為每個網路區隔建立一個 VLAN 項目。將所有連接到 VigorAPs 的 LAN 連接埠指派為所有相關 VLAN 的成員 (trunk 設定)。導覽至 LAN > General Setup，並使用 Inter-LAN Routing Table 在需要時封鎖跨 VLAN 的存取。

步驟 6：為員工 WiFi 設定 802.1X

導覽至 Wireless LAN > Security 並選擇員工 SSID。將安全模式設定為 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠 1812 以及共用金鑰。儲存設定。

步驟 7：設定 PPSK 進行多租戶隔離

在每個 VigorAP 上，導覽至 Wireless LAN > Security Settings 並選擇 WPA2PPSK。點擊 PPSK 按鈕以新增項目。為每個租戶建立一個包含該租戶裝置 MAC 位址與唯一密碼的 PPSK 項目。請確保該密碼與您路由器設定中正確的 VLAN 相關聯。請注意，2.4GHz 和 5GHz 的 PPSK 設定檔在 VigorAPs 上是分開管理的。

最佳實踐

以下建議反映了 Purple 在 80,000 多個場所的部署經驗，其中包括餐旅、零售、醫療保健以及交通運輸環境。

所有 VigorAPs 請使用有線回傳。 無線分佈系統 (WDS) 和通用中繼模式無法傳遞 802.1Q VLAN 標籤。如果您需要進行網路區隔 - 在任何多租戶或混合用途的場所中這都是必須的 - 每個無線基地台都必須透過乙太網路連接到路由器或網管型交換器。

啟用 AP 輔助漫遊 (AP-Assisted Mobility)。DrayTek VigorAP 支援預先驗證 (Pre-Authentication) 和 PMK 快取 (PMK Caching)，以在用戶端在存取點之間漫遊時加速 802.1X 重新驗證。啟用 AP 輔助漫遊以主動斷開訊號強度弱的用戶端，強迫其連接至最近的 AP。這在顧客持續移動的零售環境中尤為重要。

在部署前規劃您的 VLAN 方案。部署後變更 VLAN ID 需要重新設定路由器、所有存取點以及路徑中的任何網管型交換器。在接觸硬體之前，請先記錄您的方案（例如：訪客使用 VLAN 10、員工使用 VLAN 20、租戶使用 VLAN 30+）。

同步 DrayTek 與 Purple 之間的工作階段逾時時間。如果 DrayTek 熱點設定檔在 6 小時後結束工作階段，而 Purple 的工作階段設定為 24 小時，使用者將在工作階段中途被重新導向至 Splash Page。請將兩者設為相同的值。

針對 PPSK 部署停用 MAC 隨機化。iOS 和 macOS 裝置預設會使用專用 Wi-Fi 位址（隨機化 MAC）。由於 DrayTek PPSK 會將密碼綁定到特定的 MAC 位址，隨機化將導致驗證失敗。請指示使用者針對您的網路停用此設定，或在您的上線流程中清楚記錄此步驟。

在 VigorAP 上使用頻段導引 (Band Steering)。啟用頻段導引以引導支援雙頻的裝置使用 5GHz 頻段。這可以減少 2.4GHz 頻段的擁塞，並提高所有已連線裝置的吞吐量。

如需深入瞭解企業無線安全架構，請參閱我們的指南 Enterprise WiFi Security: A Complete Guide for 2026 。如果您是在包含不同硬體廠商的多個站點進行部署，我們的 SonicWall TZ and SonicWave Integration with Purple WiFi 指南涵蓋了類似的整合模式。

疑難排解與風險緩釋

Splash Page 無法載入。最常見的原因是 Walled Garden 設定不完整。請驗證 Dest Domain 索引標籤中是否列出了所有必要的 Purple 網域。同時確認訪客 DHCP 整合池已啟用，且預先驗證的用戶端能正常進行 DNS 解析。請透過連接裝置並嘗試瀏覽已知的 HTTP URL 來進行測試。

RADIUS 驗證失敗。請檢查共用密鑰 (Shared Secret) 是否拼寫錯誤（區分大小寫）。確認 DrayTek 路由器已連接至網際網路，且未阻擋連接埠 1812 和 1813 上的輸出 UDP 流量。確認套用 RADIUS 設定後已重新啟動路由器。檢查 Purple 控制面板中的驗證記錄，以確認請求是否已到達 Purple 的伺服器。 客戶端被分配到錯誤的 VLAN。 請驗證 DrayTek 路由器與 VigorAP 之間的中繼埠（trunk port）設定。交換器連接埠必須允許特定的 VLAN 標籤。如果您使用的是無管理功能交換器，請確認它能傳遞 802.1Q 標記框架且未剝離標籤。檢查 PPSK 設定檔以確認密碼與 VLAN 的對應關係是否正確。

黏性用戶端未漫遊。 如果裝置未如預期在 VigorAP 之間漫遊，請驗證是否已啟用 AP 輔助行動功能（AP-Assisted Mobility），且 RSSI 閾值已針對您的場域進行適當設定。同時請確認所有 VigorAP 皆運行相同的韌體版本，因為版本不一致可能會影響漫遊行為。

iOS 裝置 PPSK 驗證失敗。 請確認使用者已在 設定 > WiFi > [網路名稱] > 專用 WiFi 位址 中針對您的特定網路停用了「專用 WiFi 位址」。PPSK 設定檔必須包含裝置的真實硬體 MAC 位址。

投資報酬率（ROI）與商業影響

將 DrayTek 硬體與 Purple 結合部署，可在營運效率、數據擷取和合規性三個方面帶來可衡量的回報。

營運效率。 802.1X 驗證消除了管理共用 WiFi 密碼的開銷。當員工離職時，您只需在 Microsoft Entra ID、Okta 或 Google Workspace 中停用其帳戶，Purple 的 RADIUS 伺服器便會立即停止接受其憑證，無需在整個場域中輪換密碼。對於擁有 50 家分店的零售連鎖店而言，單是這一項每年就能減少數百小時的 IT 額外開銷。

數據擷取與行銷投資報酬率。 每一位透過 Purple Captive Portal 連線的訪客都會提供經驗證的身份資訊——電子郵件地址、電話號碼或社群個人檔案。這些第一方數據會直接匯入 Purple 的 WiFi Analytics 平台，您可以在該平台追蹤停留時間、重複造訪率和行銷活動參與度。Purple 已在其網路中收集了 290 億個數據點。使用 Purple Engage 方案的場域報告指出，透過針對性的造訪後溝通，重複造訪率有了顯著增長。

合規性。 Purple 已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，並獲得 Cyber Essentials 認證。Captive Portal 強制執行自願選擇加入（conscious-choice opt-ins），確保數據收集符合 GDPR 要求。VLAN 區段將付款卡環境與訪客流量隔離，以支援 PCI DSS 合規性。對於醫療保健機構，患者與訪客的網路隔離符合 NHS 和 ICO 的數據處理指南。

如欲詳細了解 Purple 如何在場域環境中推動以數據分析為導向的決策，請參閱我們的 WiFi Analytics platform overview 。

Definiciones clave

Captive portal

Una página web que intercepta el tráfico HTTP de un usuario y requiere interacción (inicio de sesión, aceptación de términos o envío de datos) antes de otorgar acceso a la red.

El mecanismo que utiliza Purple para capturar datos de invitados de primera fuente en el Hotspot Web Portal de DrayTek. Se configura a través del método de portal External Server en DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red.

El router DrayTek envía solicitudes de autenticación al servidor RADIUS de Purple en el puerto UDP 1812 y datos de contabilidad en el puerto 1813. El secreto compartido debe coincidir en ambos lados.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos. Requiere que los dispositivos se autentiquen con un servidor RADIUS antes de que se les otorgue acceso a la red.

Se utiliza para el WiFi de personal en hardware DrayTek. Elimina las contraseñas compartidas y permite la revocación de acceso por usuario a través del proveedor de identidad.

VLAN

Virtual Local Area Network. Un segmento de red lógico que aísla el tráfico en la Capa 2, incluso cuando los dispositivos comparten la misma infraestructura física.

Se utiliza en los routers DrayTek Vigor para separar el tráfico de invitados, personal e inquilinos. Requiere puertos troncales 802.1Q entre el router y los VigorAP.

Walled Garden

Un conjunto de dominios o rangos de IP a los que los usuarios no autenticados pueden acceder antes de completar el flujo del Captive Portal.

Se configura en la pestaña Dest Domain del perfil de Hotspot de DrayTek. Debe incluir los servidores de autenticación de Purple y cualquier dominio de proveedor de identidad utilizado para iniciar sesión.

PPSK

Private Pre-Shared Key. Un método de seguridad en el que a cada usuario o dispositivo se le asigna una frase de contraseña única, en lugar de compartir una única contraseña de red.

Se utiliza en los VigorAP de DrayTek para asignar dispositivos multiinquilino a VLAN específicas. La frase de contraseña está vinculada a la dirección MAC del dispositivo.

AP-Assisted Mobility

Una función de DrayTek VigorAP que monitorea la intensidad de la señal del cliente y desasocia activamente a los clientes por debajo de un umbral de RSSI definido, indicándoles que realicen roaming a un punto de acceso más cercano.

Crítico para implementaciones de comercio minorista y hospitalidad donde los usuarios se desplazan por el establecimiento. Evita el comportamiento de cliente persistente (sticky client) que provoca caídas de sesión del Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Un método EAP de 802.1X que encapsula el intercambio de autenticación en un túnel TLS, protegiendo las credenciales en tránsito.

El método EAP utilizado para el WiFi de personal en hardware DrayTek. Se combina con MS-CHAPv2 como método de autenticación interno para dispositivos Windows, macOS, iOS y Android.

Dynamic VLAN assignment

Un mecanismo en el que el servidor RADIUS devuelve atributos de VLAN en el mensaje Access-Accept, y el dispositivo de red asigna automáticamente al cliente autenticado a la VLAN especificada.

El servidor RADIUS de Purple devuelve los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek aplica la asignación de VLAN según la identidad del usuario.

Ejemplos resueltos

Un hotel boutique de 150 habitaciones está implementando un router DrayTek Vigor 2865 con seis puntos de acceso VigorAP 903. Necesitan proporcionar un WiFi de invitados personalizado con captura de datos, un WiFi de personal seguro para 40 empleados y una red aislada para un restaurante arrendado en la planta baja. El gerente de TI del hotel nunca antes ha configurado 802.1X.

El gerente de TI crea tres VLAN en el Vigor 2865: VLAN 10 para invitados (192.168.10.0/24), VLAN 20 para el personal (192.168.20.0/24) y VLAN 30 para el restaurante (192.168.30.0/24). El enrutamiento inter-LAN está deshabilitado entre los tres segmentos. Las seis unidades VigorAP 903 están conectadas a través de Ethernet y se administran mediante la gestión centralizada de AP (Central AP Management) en el router. Se transmiten tres SSID: 'Hotel Guest' (VLAN 10, Hotspot Web Portal apuntando a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X apuntando a Purple RADIUS) y 'Restaurant' (VLAN 30, WPA2-PPSK con una frase de contraseña específica para los dispositivos POS del restaurante). La entrada PPSK del restaurante vincula las direcciones MAC de los POS a la VLAN 30. El gerente de TI registra el inquilino de Microsoft Entra ID del hotel con Purple, lo que permite al personal autenticarse con sus credenciales de empresa existentes. El Walled Garden se configura con todos los dominios de Purple requeridos. Después de reiniciar el router, el gerente de TI prueba cada SSID y confirma la asignación correcta de VLAN a través de la tabla de concesiones DHCP del router.

Comentario del examinador: Esta configuración separa correctamente tres poblaciones de usuarios distintas utilizando el método de autenticación adecuado para cada una. Los invitados utilizan un Captive Portal para la captura de datos y el consentimiento conforme a GDPR. El personal utiliza 802.1X para el acceso basado en credenciales vinculado a su proveedor de identidad existente, lo que elimina la necesidad de una contraseña independiente. El restaurante utiliza PPSK para aislar los dispositivos POS sin requerir la configuración del cliente 802.1X en hardware sin pantalla (headless). El backhaul cableado garantiza que las etiquetas VLAN se preserven en todo momento.

Una cadena de tiendas minoristas con 80 sucursales está experimentando bajas tasas de finalización del Captive Portal. Las analíticas muestran que el 40% de los compradores que se conectan al SSID de WiFi de invitados nunca llegan a la página de inicio (splash page). La cadena utiliza routers DrayTek Vigor 2865 y puntos de acceso VigorAP 912C. El diseño de las tiendas es amplio, con puntos de acceso en ambos extremos del piso de venta.

El administrador de la red investiga dos causas raíz. Primero, audita la configuración de Walled Garden en los 80 sitios utilizando VigorACS 3, la plataforma de gestión centralizada de DrayTek. Descubre que a 23 sitios les faltan dos de los dominios de autenticación de Purple requeridos, lo que provoca que la página de inicio expire para los compradores en esas redes. Actualiza los perfiles de Hotspot de forma centralizada a través de VigorACS 3. Segundo, habilita AP-Assisted Mobility en todos los VigorAP con un umbral de RSSI de -75 dBm. Esto obliga a los dispositivos de los compradores a realizar roaming al AP más cercano a medida que se desplazan por la tienda, evitando el problema de los clientes persistentes (sticky clients) que causaba que las sesiones del Captive Portal se cayeran a mitad de la autenticación. Después de ambos cambios, la tasa de finalización del portal aumenta del 60% al 89% en todas las sucursales.

Comentario del examinador: Este ejemplo ilustra dos modos de falla distintos que se presentan como bajas tasas de finalización del portal. La mala configuración de Walled Garden evita que la página de inicio se cargue por completo. El comportamiento de cliente persistente (sticky client) provoca caídas de sesión a mitad del flujo. La gestión centralizada a través de VigorACS 3 es el enfoque correcto para una red de múltiples sitios; auditar manualmente 80 routers de forma individual sería poco práctico. AP-Assisted Mobility es el mecanismo específico de DrayTek que resuelve el problema de roaming; depender de las decisiones de roaming del lado del cliente no es confiable en entornos minoristas.

Preguntas de práctica

Q1. Ha configurado el Hotspot Web Portal de DrayTek y lo ha apuntado a la URL de acceso de Purple. La configuración de RADIUS es correcta. Sin embargo, cuando los clientes se conectan al SSID de WiFi de invitados, sus navegadores informan un tiempo de espera de conexión agotado y la página de inicio nunca se carga. ¿Cuál es la causa más probable y cuál es el primer paso para diagnosticarla?

Sugerencia: Los clientes en un estado de preautenticación tienen un acceso a la red muy restringido. Considere qué tráfico permite el router antes de que se complete la autenticación.

Ver respuesta modelo

La causa más probable es una configuración de Walled Garden incompleta o faltante. El router DrayTek bloquea todo el tráfico de clientes no autenticados, excepto hacia los dominios enumerados explícitamente en la pestaña Dest Domain. Si los dominios de autenticación de Purple no están en la lista, el navegador del cliente no puede llegar al servidor de la página de inicio. El primer paso de diagnóstico es navegar al perfil de Hotspot, ir a la pestaña Dest Domain y verificar que todos los dominios de Purple requeridos estén presentes. Compare esto con la lista blanca de dominios de Walled Garden de Purple en la documentación de soporte. Una comprobación secundaria es confirmar que el DNS se esté resolviendo correctamente para los clientes preautenticados.

Q2. Un espacio de coworking tiene 12 empresas miembro que comparten un único DrayTek Vigor 2865 y cuatro puntos de acceso VigorAP 912C. Cada empresa debe estar aislada de las demás, pero el administrador del lugar desea transmitir un solo SSID para evitar saturar la lista de WiFi en los dispositivos de los miembros. ¿Cómo diseña esta arquitectura?

Sugerencia: Considere cómo maneja DrayTek las frases de contraseña únicas en un solo SSID y qué configuración adicional se necesita para aplicar el aislamiento entre empresas.

Ver respuesta modelo

Configure WPA2-PPSK en los VigorAP con un único SSID. Cree 12 VLAN en el Vigor 2865, una por empresa. Para cada empresa, cree una entrada PPSK que vincule una frase de contraseña única a las direcciones MAC de los dispositivos de esa empresa y las asigne a su VLAN dedicada. Deshabilite el enrutamiento inter-VLAN en la tabla de enrutamiento Inter-LAN para evitar el tráfico entre empresas. Los dispositivos de cada empresa se conectan al mismo SSID utilizando su frase de contraseña única, y el VigorAP los ubica automáticamente en su VLAN aislada. Para empresas con múltiples dispositivos, cada dispositivo necesita su propia entrada PPSK con su dirección MAC específica y la frase de contraseña compartida de la empresa.

Q3. Después de una actualización de firmware de rutina en un DrayTek Vigor 2865, los miembros del personal informan que sus computadoras portátiles ya no pueden conectarse al SSID de WiFi de personal. El SSID es visible, pero la autenticación falla. El WiFi de invitados sigue funcionando normalmente. ¿Cuáles son las tres causas más probables y en qué orden debería investigarlas?

Sugerencia: El WiFi de invitados utiliza un mecanismo de autenticación diferente al del WiFi de personal. Aísle qué capa de la pila 802.1X ha fallado.

Ver respuesta modelo

Las tres causas más probables son: (1) La actualización de firmware restableció la configuración del servidor RADIUS para el SSID WPA2/802.1X: navegue a Wireless LAN > Security, confirme que la IP del servidor RADIUS y el secreto compartido sigan siendo correctos y reinicie si realiza algún cambio. (2) La actualización de firmware cambió el método EAP o la configuración del puerto RADIUS: verifique que el puerto 1812 siga configurado y que el router pueda comunicarse con el servidor RADIUS de Purple en ese puerto. (3) La actualización de firmware introdujo un cambio de certificado que está provocando que falle la validación EAP-TLS en los dispositivos de los clientes: revise el panel de control de Purple para ver las entradas del registro de autenticación y verificar si las solicitudes están llegando al servidor. Investigue en este orden: primero la configuración de RADIUS (lo más común después de una actualización de firmware), luego la conectividad de red al servidor RADIUS y, por último, los problemas de certificados o del método EAP.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.