Ver transcripción del podcast
GUION DE PODCAST: Integración de EnGenius Cloud Access Points con Purple WiFi
Plataforma de Inteligencia Purple WiFi - Serie de Sesiones Técnicas
Duración: Aproximadamente 10 minutos
Voz: Inglés británico, tono de consultor senior: seguro, conversacional, con autoridad
[INTRO - 1 MINUTO]
Bienvenido a la Serie de Sesiones Técnicas de Purple. Hoy cubriremos algo que surge con regularidad en las implementaciones empresariales: la integración de los access points de EnGenius Cloud con la plataforma de WiFi para invitados de Purple.
Si usted administra un entorno de EnGenius, ya sean access points de la serie ECW en un hotel, una cadena de tiendas de retail o un edificio de oficinas multi-inquilino, y desea agregar un Captive Portal personalizado con su marca, recopilar datos de visitantes de primera fuente y aplicar una segmentación de red adecuada, esta sesión es para usted.
En los próximos diez minutos, quiero guiarlo a través de las cuatro áreas principales de configuración: redirección del Captive Portal de invitados, configuración de walled garden, WiFi seguro para el personal mediante 802.1X y aislamiento multi-inquilino utilizando EnGenius MyPSK con asignación dinámica de VLAN. Para el final, tendrá una idea clara de exactamente qué configurar, en qué orden y dónde están los errores comunes.
Comencemos.
[INMERSIÓN TÉCNICA PROFUNDA - 5 MINUTOS]
Empecemos con el Captive Portal de invitados, el punto de partida más común para cualquier operador de recintos.
EnGenius Cloud admite de forma nativa páginas de bienvenida externas. Esto significa que en lugar de alojar una página de inicio de sesión básica en el propio access point, se redirige a los invitados no autenticados al portal alojado en la nube de Purple. Aquí es donde residen la imagen de marca, la captura de datos, la gestión del consentimiento y las analíticas.
Esta es la secuencia de configuración en EnGenius Cloud. Inicie sesión en su panel de EnGenius Cloud y navegue a Configure, luego a SSID. Seleccione su SSID de invitados. En la pestaña Wireless, configure el tipo de seguridad en Open o WPA2 PSK, según su preferencia. Open es el estándar para la mayoría de las implementaciones de WiFi para invitados. Luego, cambie a la pestaña Captive Portal. Habilite el Captive Portal y configure el Authentication Type en Custom RADIUS. Esta es la configuración clave. Le indica al access point que reenvíe las solicitudes de autenticación a un servidor RADIUS externo, que en este caso es el extremo de RADIUS en la nube de Purple.
Ahora introduzca los detalles de RADIUS de Purple. La IP del servidor RADIUS primario se proporciona en su panel de Purple bajo Hardware Configuration. El puerto de autenticación es UDP 1812. El puerto de contabilidad (accounting) es UDP 1813. Introduzca el secreto compartido (shared secret). Purple genera esto para usted, y debe tener al menos 22 caracteres combinando mayúsculas, minúsculas, números y símbolos. Configure el identificador NAS para que coincida con el nombre de su recinto o con un identificador único que haya definido en Purple.
A continuación, cambie a la pestaña Splash Page. Seleccione External Splash Page URL e ingrese la URL del portal de Purple. Esta es la URL que Purple proporciona para su sitio específico. Cuando un invitado se conecta al SSID y abre un navegador, el punto de acceso intercepta la solicitud y lo redirige a esta URL, pasando parámetros que incluyen la dirección MAC del cliente, la dirección MAC del AP y la URL original a la que el invitado intentaba acceder.
Ahora pasemos al walled garden. Esta es la lista de dominios y direcciones IP a los que los invitados pueden acceder antes de autenticarse. Sin esto, el portal de Purple no se podrá cargar, ya que el navegador del invitado no podrá comunicarse con los servidores de Purple. En EnGenius Cloud, el walled garden se encuentra en Captive Portal, después en Advanced Settings y luego en Walled Garden. Debe agregar el dominio del portal de Purple, los endpoints CDN de Purple y los endpoints de prueba de Captive Portal del sistema operativo. Para dispositivos Apple, es captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Si omite alguno de estos, los invitados en esas plataformas no verán el portal en absoluto.
Si ofrece inicio de sesión social a través de Google o Facebook, también debe permitir los endpoints de OAuth para esos proveedores. Google requiere como mínimo accounts.google.com, oauth2.googleapis.com y apis.google.com. Facebook requiere www.facebook.com, graph.facebook.com y connect.facebook.net. La documentación de soporte de Purple proporciona una lista de walled garden actualizada para cada método de autenticación. Utilice esa lista como referencia, ya que estos dominios suelen cambiar.
Ahora pasemos al WiFi seguro para el personal utilizando 802.1X.
Este es un SSID independiente. El tipo de seguridad aquí es WPA2 Enterprise o WPA3 Enterprise. En EnGenius Cloud, en la pestaña SSID Wireless, seleccione WPA2 Enterprise y luego elija Custom RADIUS. Ingrese los mismos detalles del servidor RADIUS. El endpoint de RADIUS de Purple, el puerto 1812 y el secreto compartido. La diferencia con la configuración de invitados es que aquí no hay Captive Portal. Los dispositivos del personal se autentican de forma silenciosa mediante el protocolo 802.1X. El dispositivo presenta un certificado o un nombre de usuario y contraseña al servidor RADIUS, que los valida y devuelve un mensaje Access-Accept junto con los atributos de asignación de VLAN.
Los atributos RADIUS que impulsan la asignación dinámica de VLAN son Tunnel-Type configurado en VLAN, Tunnel-Medium-Type configurado en 802 y Tunnel-Private-Group-ID configurado con el número de VLAN. Por lo tanto, si la VLAN de su personal es la VLAN 20, el servidor RADIUS devuelve Tunnel-Private-Group-ID con un valor de 20. El punto de acceso EnGenius lee este atributo y coloca automáticamente el dispositivo autenticado en la VLAN 20. Esto significa que puede tener un único SSID que dé servicio a múltiples roles de personal (finanzas, operaciones, TI, contratistas), y cada uno terminará en una VLAN diferente según su pertenencia a un grupo de directorio, todo sin ninguna configuración manual de VLAN por dispositivo.Para el método EAP, PEAP-MSCHAPv2 es la opción más común para entornos que utilizan Active Directory o Microsoft Entra ID. Requiere un certificado del lado del servidor en el servidor RADIUS y credenciales de usuario y contraseña en el cliente. EAP-TLS es más seguro, ya que utiliza certificados en ambos lados, pero requiere una infraestructura PKI y una implementación de MDM para distribuir los certificados a los dispositivos. Para la mayoría de los operadores de establecimientos, PEAP-MSCHAPv2 con validación estricta de certificados aplicada a través de directivas de grupo o MDM es la opción más práctica.
Ahora pasemos a la parte técnicamente más interesante: EnGenius MyPSK y el aislamiento multi-tenant.
MyPSK, también conocido como PPSK o Private Pre-Shared Key, resuelve un problema específico en entornos multi-tenant. En un desarrollo para alquiler, una oficina de servicios o un bloque de alojamiento para estudiantes, se busca que cada inquilino o residente tenga su propia contraseña de WiFi única, pero sin tener que crear un SSID independiente para cada uno, lo que generaría congestión de radiofrecuencia y una gran carga de gestión.
MyPSK le permite crear hasta 500 claves precompartidas únicas por SSID. Cada clave está vinculada a una VLAN específica. Cuando un residente se conecta utilizando su clave única, el punto de acceso lo asigna automáticamente a su VLAN designada. El tráfico del inquilino A nunca toca el segmento de red del inquilino B. El cifrado también es por usuario. Cada clave genera una clave maestra por pares única (Pairwise Master Key), por lo que un inquilino no puede descifrar el tráfico de red de otro inquilino, aunque compartan el mismo SSID.
En EnGenius Cloud, configure MyPSK en los ajustes de seguridad de SSID. Seleccione WPA2 PSK o WPA3 Personal y luego habilite MyPSK. A continuación, puede crear PSK de forma individual o generar lotes de forma automática de hasta 50 a la vez. Para cada PSK, asigne un ID de VLAN y, opcionalmente, establezca una fecha de vencimiento. Cuando un contrato de arrendamiento finaliza o un estudiante se gradúa, simplemente vence o elimina su PSK. El acceso se revoca de inmediato sin afectar a ningún otro inquilino.
Para la integración con Purple en un entorno MyPSK, los inquilinos que requieran acceso para invitados aún pueden ser dirigidos a través de un Captive Portal en su VLAN. El personal y los inquilinos operativos omiten el portal por completo. La segmentación de VLAN garantiza que los datos analíticos de Purple se atribuyan correctamente por segmento de red.
[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS]
Permítame compartir la secuencia de implementación que recomiendo para una primera implementación limpia.
Comience con su arquitectura de VLAN antes de tocar la configuración de WiFi. Defina la VLAN 10 para invitados, la VLAN 20 para el personal, la VLAN 30 para los inquilinos o la numeración que mejor se adapte a su esquema existente. Configure primero estas VLAN en sus switches ECS, con las asignaciones de puertos de acceso y troncales adecuadas. Los puntos de acceso deben recibir tráfico etiquetado en el puerto de enlace ascendente para cada VLAN que planee utilizar.
Luego, configure los SSIDs en EnGenius Cloud en este orden: primero el SSID de invitados, ya que es el más directo. Valide la redirección del Captive Portal a Purple antes de continuar. Después, configure el SSID del personal con 802.1X. Realice pruebas con un dispositivo conocido antes de implementarlo en todo el entorno. Por último, configure MyPSK si requiere aislamiento multi-inquilino.
Los errores comunes. Primero, el walled garden. Esta es la causa número uno de implementaciones fallidas de Captive Portal. Si los invitados no pueden acceder al portal, verifique primero el walled garden. Segundo, el desacuerdo en la clave secreta compartida de RADIUS. La clave secreta compartida debe ser idéntica tanto en la configuración de EnGenius Cloud como en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter hace que todas las autenticaciones fallen de forma silenciosa. Tercero, la configuración de la cajuela VLAN en el switch. Si el puerto del switch ECS que se conecta al punto de acceso no está configurado como cajuela para transportar todas las VLANs requeridas, la asignación dinámica de VLAN fallará. Cuarto, la validación de certificados en los clientes 802.1X. Si los dispositivos del personal no están configurados para validar el certificado del servidor RADIUS, quedan vulnerables al robo de credenciales a través de puntos de acceso no autorizados. Obligue esta configuración mediante Directivas de Grupo para Windows y perfiles de MDM para todo lo demás.
[PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO]
Algunas preguntas que escucho con regularidad sobre las implementaciones de EnGenius y Purple.
¿Puedo usar el RADIUS de EnGenius Cloud en lugar del RADIUS de Purple? Sí, para la autenticación interna. Pero para el WiFi de invitados con las analíticas y el portal de Purple, debe apuntar al endpoint de RADIUS de Purple. Ambos pueden coexistir en diferentes SSIDs.
¿MyPSK funciona con WPA3? Sí. EnGenius es compatible con WPA3 y con el modo mixto WPA2/WPA3 con MyPSK, por lo que los dispositivos con capacidad WPA3 obtienen autenticación SAE, mientras que los dispositivos más antiguos recurren a WPA2 PSK, todo utilizando la misma clave por usuario.
¿Purple es compatible con el registro de contabilidad RADIUS para los datos de sesión? Sí. Habilite el servidor de contabilidad en la configuración RADIUS de EnGenius Cloud, apuntando al endpoint de contabilidad de Purple en el puerto UDP 1813. Esto alimenta la duración de la sesión y el volumen de datos en las analíticas de Purple.
[RESUMEN Y PRÓXIMOS PASOS - 1 MINUTO]
Para resumir. Los puntos de acceso de EnGenius Cloud se integran de manera limpia con la plataforma de WiFi de invitados de Purple a través de cuatro capas de configuración. La redirección del Captive Portal de invitados utiliza un RADIUS personalizado y una URL de página de bienvenida externa que apunta a Purple. La lista blanca del walled garden garantiza que el portal se cargue antes de la autenticación. El WiFi del personal utiliza WPA2 Enterprise con 802.1X y asignación dinámica de VLAN a través de atributos RADIUS. Y el aislamiento multi-inquilino utiliza EnGenius MyPSK para asignar claves únicas por usuario vinculadas a VLANs específicas, con fechas de vencimiento opcionales para accesos con límite de tiempo.
Purple opera en más de 80,000 establecimientos y ha procesado 440 millones de inicios de sesión tan solo en 2024. La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y es agnóstica respecto al hardware, que es exactamente la razón por la que funciona de manera limpia con EnGenius junto con Cisco Meraki, HPE Aruba, Ruckus y el resto del ecosistema de hardware empresarial.
Si está listo para realizar la implementación, comience con la guía de configuración de walled garden en la documentación de soporte de Purple, luego continúe con la configuración del SSID en EnGenius Cloud. La guía paso a paso completa está disponible en purple.ai. Gracias por escuchar.
