EnGenius Cloud Access Points Integration with Purple WiFi

Resumen ejecutivo

Depender de una clave compartida única para el WiFi empresarial expone a los establecimientos a riesgos de seguridad significativos y evita la recopilación de valiosos datos de primera fuente. Esta guía detalla la integración de los Access Points de EnGenius Cloud con la plataforma de Guest WiFi de Purple para ofrecer redes inalámbricas seguras, segmentadas y medibles en entornos de hospitalidad , retail y multifamiliares. Al implementar la autenticación IEEE 802.1X para el personal, la asignación dinámica de VLAN mediante EnGenius MyPSK para residentes e inquilinos, y un Captive Portal alojado en la nube para invitados, los equipos de TI pueden aplicar controles de acceso estrictos mientras transforman la infraestructura inalámbrica en un activo de inteligencia de negocios.

Purple procesa 440 millones de inicios de sesión anualmente en más de 80,000 establecimientos activos (datos internos de Purple, 2024). La plataforma cuenta con certificación ISO 27001, cumple con las normativas GDPR y CCPA, y es agnóstica respecto al hardware, razón por la cual se integra de manera limpia con EnGenius, además de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. Esta guía cubre las cuatro capas de configuración requeridas para implementar Purple en el hardware de EnGenius Cloud: redirección del Captive Portal de invitados, configuración de Walled Garden, WiFi seguro para el personal y aislamiento multi-tenant mediante EnGenius MyPSK.

Análisis técnico profundo

Descripción general de la arquitectura

La integración entre EnGenius Cloud y Purple se basa en protocolos RADIUS estándar y redirección HTTP. Cuando un invitado se conecta a un access point EnGenius ECW en un SSID habilitado con Captive Portal, el AP intercepta la primera solicitud HTTP y redirecciona el navegador a la splash page de Purple alojada en la nube. Esta redirección pasa varios parámetros al portal, incluyendo client_mac, ap_mac y userurl, que Purple utiliza para rastrear la sesión y devolver una decisión de autenticación.

Para el personal y los dispositivos operativos, la arquitectura cambia de la redirección de Captive Portal al control de acceso a la red basado en puertos IEEE 802.1X. El access point de EnGenius actúa como el autenticador, reenviando mensajes de Protocolo de Autenticación Extensible (EAP) al servidor RADIUS de Purple a través del puerto UDP 1812. Tras una autenticación exitosa, el servidor RADIUS devuelve un mensaje Access-Accept que contiene atributos de asignación de VLAN, indicando al AP que coloque al dispositivo en el segmento de red correcto.

Plataforma EnGenius Cloud

EnGenius Cloud es una plataforma de gestión de red en la nube compatible con los puntos de acceso de la serie ECW (incluidos los modelos WiFi 7 ECW220, ECW230 y ECW520) y los switches gestionados de la serie ECS. La plataforma ofrece un panel centralizado para la gestión de SSID, configuración de RADIUS, etiquetado de VLAN y ajustes de Captive Portal en todos los dispositivos de una organización. EnGenius Cloud admite tres tipos de autenticación de Captive Portal basados en RADIUS: EnGenius Authentication (que utiliza el Cloud RADIUS integrado), Custom RADIUS (que apunta a un servidor externo como Purple) y Voucher Service.

Para implementaciones empresariales, Custom RADIUS es el tipo de autenticación correcto al integrarse con Purple. Este modo indica al punto de acceso que envíe las solicitudes de autenticación mediante proxy al endpoint RADIUS de Purple, lo que permite habilitar el portal, las herramientas de analítica y las capacidades de captura de datos de Purple.

EnGenius MyPSK y aislamiento multi-tenant

En entornos como propiedades de alquiler residencial para construir, residencias de estudiantes, oficinas de servicios o espacios de coworking, transmitir un SSID independiente para cada inquilino degrada el rendimiento de la radiofrecuencia. Cada SSID adicional genera tramas de baliza (beacon frames) que consumen tiempo de transmisión aérea y reducen la capacidad disponible para el tráfico de datos. EnGenius MyPSK (también conocido como PPSK o Private Pre-Shared Key) resuelve esto al permitir hasta 500 PSK únicas en un solo SSID.

Cada clave está vinculada a una VLAN específica. Cuando un residente se conecta utilizando su clave única, el punto de acceso lo coloca automáticamente en el segmento de red asignado. El cifrado es por usuario: cada clave genera una Clave Maestra Pareada (PMK) única, por lo que un inquilino no puede descifrar el tráfico de transmisión aérea de otro, aunque compartan el mismo SSID. Esta es una ventaja de seguridad fundamental en comparación con una sola PSK compartida, donde cualquier usuario que conozca la contraseña puede descifrar todo el tráfico de la red.

Las claves MyPSK admiten fechas de vencimiento, lo que las hace muy adecuadas para escenarios de acceso por tiempo limitado: la clave de un estudiante vence al final del año académico, la de un contratista vence cuando finaliza su contrato y la de un asistente a una conferencia vence a la medianoche del último día del evento.

Guía de implementación

Paso 1: Definir su arquitectura de VLAN

Antes de configurar cualquier SSID, defina la estructura de VLAN en sus switches ECS. Una implementación típica utiliza tres VLAN:

Paso 2: Configurar el portal cautivo para invitados (Configuración del portal cautivo de EnGenius)

Esta es la configuración principal para implementar la splash page de EnGenius con Purple.

1. Inicie sesión en su panel de EnGenius Cloud en cloud.engenius.ai .
2. Diríjase a Configure > SSID y seleccione su red de invitados (por ejemplo, "VenueGuest").
3. En la pestaña Wireless, configure el Security Type como Open. Esto es el estándar para WiFi de invitados; los invitados se identifican y autentican en la capa del portal, no en la capa de asociación.
4. Cambie a la pestaña Captive Portal y habilite el portal.
5. Configure el Authentication Type como Custom RADIUS.
6. Ingrese los detalles del servidor RADIUS de Purple:

1. Cambie a la pestaña Splash Page.
2. Seleccione External Splash Page URL.
3. Ingrese la URL del portal de Purple para su establecimiento (formato: https://portal.purple.ai/[venue-id]).
4. Haga clic en Apply.

Paso 3: Configurar el Walled Garden

El Walled Garden (lista blanca de WiFi de invitados de EnGenius) debe configurarse para permitir el acceso de preautenticación a los dominios requeridos para que se cargue el portal. Diríjase a Captive Portal > Advanced Settings > Walled Garden y agregue las siguientes entradas:

Infraestructura de Purple:

• *.purple.ai
• *.purpleportal.net

Pruebas de portal cautivo del OS (obligatorio):

• captive.apple.com (iOS y macOS)
• connectivitycheck.gstatic.com (Android)
• msftconnecttest.com (Windows)

Inicio de sesión social (si está habilitado):

• Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
• Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
• Microsoft Entra ID: login.microsoftonline.com, login.live.com

Utilice siempre nombres de dominio en lugar de direcciones IP estáticas. Los proveedores de inicio de sesión social utilizan rangos de IP dinámicos y enrutamiento anycast; una lista blanca de IP estáticas se degradará con el tiempo a medida que cambien las direcciones de la CDN.

Paso 4: Configurar WiFi seguro para el personal (802.1X)

La configuración RADIUS de EnGenius para el WiFi del personal utiliza WPA2 Enterprise para proporcionar autenticación sin contraseña y respaldada por certificados.

1. Cree un nuevo SSID (por ejemplo, "VenueStaff").
2. En la pestaña Wireless, configure el Security Type como WPA2 Enterprise.
3. Seleccione Custom RADIUS e ingrese la IP del servidor RADIUS, el puerto 1812 y el secreto compartido.
4. No se requiere ningún portal cautivo. Los dispositivos del personal se autentican silenciosamente a través de 802.1X.
5. Configure su servidor RADIUS para devolver los siguientes atributos en Access-Accept:

For EAP method selection: PEAP-MSCHAPv2 is the practical choice for environments using Microsoft Entra ID or Active Directory. EAP-TLS provides stronger security by eliminating passwords entirely, but requires a Public Key Infrastructure and MDM solution to deploy client certificates. Enforce strict server certificate validation on all client devices via Group Policy (Windows) or MDM profiles (macOS, iOS, Android) to prevent credential theft from rogue access points.

Step 5: Configure EnGenius MyPSK for multi-tenant isolation

EnGenius MyPSK setup for a multi-tenant environment:

1. Create a new SSID (e.g., "VenueResident").
2. Under the Wireless tab, set Security Type to WPA2 PSK or WPA3 Personal.
3. Enable MyPSK (Private PSK).
4. Click Add PSK to create individual keys, or use Auto-Generate to create batches of up to 50 at a time.
5. For each PSK, assign a VLAN ID and optionally set a Start Date and Expiration Date.
6. Distribute each unique PSK to the corresponding tenant or resident.

When a tenant's lease ends, delete or expire their PSK. Access is revoked immediately without affecting any other tenant on the network.

Best practices

Enforce strict certificate validation on 802.1X clients. PEAP-MSCHAPv2 is only secure when clients are configured to validate the RADIUS server's certificate against a trusted CA. Without this, a rogue access point can present a fraudulent certificate and harvest credentials. Deploy validation settings via Group Policy Objects for Windows and MDM configuration profiles for all other platforms. This is non-negotiable for any deployment in a regulated environment.

Use dynamic DNS resolution in the Walled Garden. Google, Apple, and Meta use dynamic IP ranges for their OAuth and CDN endpoints. Configure Walled Garden entries as domain names and ensure your EnGenius Cloud controller resolves them dynamically. A static IP whitelist will cause authentication failures as CDN IPs rotate.

Segment IoT devices with MAC Authentication Bypass. Headless devices such as printers, displays, and IoT sensors cannot authenticate via 802.1X. Use MAC Authentication Bypass (MAB) to identify them and place them on a restricted VLAN with firewall rules preventing lateral movement. MAB is not a security control - it is a device identification mechanism. Treat MAB-authenticated devices as untrusted.

Implement RADIUS accounting. Enable the accounting server in EnGenius Cloud's RADIUS configuration, pointing to Purple's accounting endpoint on UDP 1813. This feeds session duration, data volume, and device information into Purple's WiFi Analytics platform, providing the venue utilisation data that justifies the infrastructure investment.

Revise el Walled Garden trimestralmente. Los proveedores de OAuth y las CDN cambian sus estructuras de dominio. Apple actualizó sus dominios de Sign In dos veces en 2023. Integre una revisión trimestral del Walled Garden en su calendario operativo. Para obtener más orientación sobre las prácticas de seguridad de WiFi empresarial, consulte nuestra Guía de seguridad de WiFi empresarial .

Solución de problemas y mitigación de riesgos

Síntoma: El Captive Portal no se carga en dispositivos iOS. Causa: captive.apple.com no está en el Walled Garden. iOS utiliza este endpoint para detectar la presencia de un Captive Portal y activar el Captive Network Assistant. Sin él, el dispositivo reporta "Sin conexión a Internet" y nunca abre el navegador del portal. Solución: Agregue captive.apple.com al Walled Garden en EnGenius Cloud en Captive Portal > Configuración avanzada.

Síntoma: La autenticación falla de forma silenciosa; RADIUS no devuelve respuesta. Causa: Discrepancia en el secreto compartido entre EnGenius Cloud y la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter hace que se descarte cada solicitud de autenticación. Solución: Vuelva a introducir el secreto compartido en ambos sistemas. Copie y pegue desde una fuente de texto sin formato para evitar la sustitución de caracteres invisibles.

Síntoma: El cliente 802.1X se autentica pero no recibe dirección IP. Causa: El puerto de enlace ascendente del switch ECS no está configurado como trunk, o la VLAN devuelta por el servidor RADIUS no está permitida en el trunk. Solución: Verifique la configuración del puerto del switch. El puerto debe ser un trunk que transporte todas las VLAN a las que se hace referencia en las respuestas de RADIUS.

Síntoma: El cliente MyPSK se conecta pero puede acceder a los dispositivos de otros inquilinos. Causa: El aislamiento de clientes no está habilitado en el SSID, o la configuración de VLAN en el switch no está aislando correctamente los segmentos. Solución: Habilite el aislamiento de clientes en el SSID en EnGenius Cloud. Verifique que cada VLAN esté configurada con las reglas de enrutamiento inter-VLAN adecuadas en el router o firewall ascendente.

Síntoma: El botón de inicio de sesión social se carga pero la autenticación falla. Causa: Faltan uno o más subdominios del proveedor de OAuth en el Walled Garden. Google y Meta utilizan múltiples subdominios para sus flujos de autenticación. Solución: Capture la salida de la consola del navegador de un dispositivo no autenticado para identificar qué dominio está bloqueado. Agregue el dominio faltante al Walled Garden. Consulte la documentación de la lista blanca de dominios de Walled Garden de Purple para obtener la lista actualizada.

ROI e impacto empresarial

Implementar Purple con EnGenius Cloud transforma la infraestructura inalámbrica de un centro de costos a un activo de datos. Los operadores de los establecimientos capturan datos demográficos de origen totalmente compatibles con el GDPR de los invitados a través de opciones de inclusión voluntaria por elección consciente, lo que permite campañas de marketing dirigidas y una interacción medible. Para los equipos de TI, el cambio a 802.1X y MyPSK elimina la carga operativa de gestionar contraseñas compartidas, reduce los tickets de soporte relacionados con problemas de acceso y proporciona visibilidad detallada sobre la utilización de la red.

Para los operadores de hotelería , Premier Inn (un cliente destacado de Purple) utiliza los datos de WiFi de invitados para impulsar la participación en su programa de lealtad y personalizar las comunicaciones posteriores a la visita. Para los entornos de retail , la combinación de análisis de afluencia de la plataforma WiFi Analytics de Purple y los datos de tiempo de permanencia proporciona información de merchandising que justifica la inversión en infraestructura de forma independiente de los beneficios de seguridad.

En entornos de inquilinos múltiples, MyPSK elimina la necesidad de contar con una infraestructura de red física independiente para cada inquilino. Un solo punto de acceso EnGenius ECW puede dar servicio a 500 inquilinos aislados en un solo SSID, lo que reduce los costos de hardware y simplifica la gestión continua. Cuando un inquilino se muda, su PSK se elimina en segundos: sin necesidad de cambiar la contraseña y sin impacto en los demás residentes.

La plataforma de Purple es agnóstica al hardware, lo que significa que la misma configuración, analíticos y capa de captura de datos de Purple funciona en hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Si su propiedad incluye una combinación de EnGenius y otros proveedores, Purple proporciona un único panel de control para la gestión de WiFi de invitados en todos ellos. Para obtener una guía de implementación relacionada, consulte nuestra guía de integración de DrayTek Vigor .