Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.

📖 9 min de lectura📝 2,079 palabras🔧 2 ejemplos resueltos❓ 4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Te damos la bienvenida a la serie de Sesiones Técnicas de Purple. Soy tu anfitrión y hoy cubriremos un patrón de implementación que es cada vez más común en los sectores de hospitalidad, retail y propiedades multi-inquilino: la integración de los puntos de acceso Grandstream GWN con la plataforma de guest WiFi de Purple.

Si eres un MSP, un equipo de TI interno o un arquitecto de redes a quien se le ha asignado una implementación de Grandstream GWN y se le ha pedido añadir un Captive Portal de marca con analíticas, este episodio es para ti. Cubriremos todo el stack: redirección de páginas de inicio de sesión para invitados, configuración de walled garden, WiFi seguro para el personal mediante 802.1X y segmentación de multi-inquilinos utilizando la función Private Pre-Shared Key de Grandstream. Comencemos.

---

Primero, un poco de contexto. La serie GWN de Grandstream es una sólida gama de puntos de acceso para el mercado medio. Tienes el GWN7600 y el GWN7630 para implementaciones en interiores, el GWN7660 y el GWN7664 para entornos Wi-Fi 6, y el GWN7610 como una opción de montaje en techo para espacios de mayor densidad. Se gestionan ya sea a través de GWN Manager, que es un controlador local que instalas en un servidor Linux o Windows, o a través de GWN dot Cloud, que es la plataforma de gestión alojada en la nube de Grandstream, ahora renombrada como GDMS Networking.

La buena noticia para los MSP es que ambas plataformas de gestión admiten la configuración de Captive Portal de forma nativa. Puedes crear la política del portal, personalizar la página de inicio de sesión y asociarla con un SSID completamente dentro de GWN Manager o GWN dot Cloud. Pero para implementaciones empresariales donde necesitas captura de datos que cumpla con el GDPR, automatización de marketing y analíticas en tiempo real, vas a reemplazar ese portal nativo con una plataforma externa. Ahí es donde entra Purple.

Purple funciona como una capa de red en la nube (cloud overlay). Se sitúa por encima de tu hardware y proporciona el Captive Portal, la capa de autenticación RADIUS, el motor de analíticas y las herramientas de marketing. Purple da soporte a 80,000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está más que probada a gran escala. La integración con Grandstream GWN sigue el mismo enfoque basado en estándares que Purple utiliza en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.

---

Pasemos a la arquitectura técnica. El flujo de guest WiFi en Grandstream GWN con Purple funciona de la siguiente manera.

Un invitado se conecta a tu SSID de invitados. Su dispositivo envía una solicitud HTTP a cualquier sitio web. El punto de acceso GWN intercepta esa solicitud y emite un redireccionamiento HTTP 302 a la URL del portal de Purple. El invitado llega a tu página de inicio de sesión personalizada, alojada por Purple. Se autentica, ya sea mediante correo electrónico, inicio de sesión con redes sociales, verificación por SMS o un formulario personalizado. La plataforma de Purple valida esa autenticación, registra el consentimiento y los datos de conformidad con el GDPR, y luego envía un RADIUS Access-Accept de vuelta al punto de acceso GWN. El AP otorga acceso a Internet. Todo el flujo tarda entre tres y cinco segundos desde la conexión hasta el acceso a Internet.

Ahora, los componentes clave de configuración del lado de Grandstream son: la política del Captive Portal, la configuración de la splash page, el walled garden y la asociación de SSID. Permítame guiarle a través de cada uno.

---

Paso uno: configure la política de Captive Portal en GWN Manager o GWN dot Cloud.

Navegue a Captive Portal, luego a Policy List, y cree una nueva política. Asígnele un nombre descriptivo, algo como "Purple-Guest-Portal". Establezca el Authentication Type en RADIUS Server. Luego verá los campos para RADIUS Server Address, RADIUS Server Port y RADIUS Server Secret. Ingrese la dirección IP del servidor RADIUS de Purple y el puerto 1812 para la autenticación. Su secreto compartido proviene de la consola de administración del portal de Purple, en la sección de configuración de hardware de la sucursal. Establezca el RADIUS Authentication Method en PAP, que es el que utiliza el flujo de Captive Portal de Purple.

En Landing Page, configure esto como Redirect to External Page e ingrese la URL de redireccionamiento de su portal de Purple. Esta es la URL a la que se enviará a los clientes cuando se conecten por primera vez. Nuevamente, esto proviene de su consola de administración de Purple.

Establezca el Expiration time para que coincida con la política de sesión de su sucursal. Para un hotel, lo típico son 24 horas. Para el recinto de una conferencia, puede configurarlo para la duración del evento. Para un entorno de retail, lo común es de dos a cuatro horas.

Habilite el Failsafe Mode. Esto es importante. Si el punto de acceso GWN no puede comunicarse con el servidor RADIUS de Purple, el modo failsafe otorga acceso a internet de todos modos en lugar de bloquear a todos los clientes. Para la mayoría de las implementaciones de hotelería y retail, una breve interrupción de RADIUS no debería provocar que todos los clientes pierdan la conectividad.

---

Paso dos: configure el walled garden.

El walled garden es la lista de dominios y direcciones IP a los que los clientes pueden acceder antes de haberse autenticado a través del portal. Si configura esto de forma incorrecta, los clientes verán una página en blanco o un portal roto, y culparán al WiFi.

In GWN Manager, el walled garden se configura bajo la política de Captive Portal como Pre-Authentication Rules. Agregue los siguientes dominios como reglas de permiso: el dominio del portal de Purple, que es portal dot purple dot ai; cualquier dominio CDN desde el cual la splash page de Purple cargue recursos, incluyendo cloudfront dot net usando una entrada comodín; el endpoint de detección de Captive Portal de Apple, captive dot apple dot com; y el endpoint de verificación de conectividad de Google, connectivitycheck dot gstatic dot com.

El portal de soporte de Purple tiene un generador dinámico de walled garden en support dot purple dot ai. Seleccione Grandstream en la lista de hardware, elija sus métodos de autenticación y este generará la lista exacta de dominios que necesita. Utilice esa lista. No intente crearla manualmente desde cero.

Una decisión que debe tomar: ¿incluye captive dot apple dot com en el walled garden o no? Si lo incluye, los dispositivos iOS no mostrarán el mini-navegador Captive Network Assistant de forma automática. Los invitados deberán abrir un navegador manualmente para acceder al portal. Si lo excluye, iOS abre el mini-navegador automáticamente cuando el dispositivo se conecta. Para la mayoría de los despliegues de hospitalidad, se busca que aparezca el mini-navegador, por lo que debe dejar captive dot apple dot com fuera del walled garden.

---

Paso tres: configure el SSID.

En GWN Manager, navegue a SSID y edite su SSID de invitados. Habilite el Captive Portal y seleccione la política que acaba de crear. Configure el SSID como WPA2-Personal con una contraseña abierta sencilla, o configúrelo como un SSID abierto si su establecimiento prefiere esa opción. La seguridad en este flujo proviene de la autenticación del portal, no de la contraseña de WiFi.

Habilite Client Isolation (Aislamiento de Clientes). Esto evita que los invitados vean los dispositivos de los demás en la red. Es un requisito básico de seguridad y una consideración de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma infraestructura.

Asigne el SSID a su VLAN de invitados. La VLAN 10 es una convención común para el tráfico de invitados. Asegúrese de que su switch y router de subida estén configurados para enrutar esa VLAN a internet con las reglas de firewall correspondientes.

---

Ahora hablemos sobre el WiFi para el personal utilizando 802.1X.

IEEE 802.1X es el estándar para el control de acceso a la red basado en puertos. Para el WiFi del personal, este reemplaza la clave compartida por credenciales de usuario individuales, validadas contra un proveedor de identidad. Cuando un miembro del personal se conecta, el punto de acceso GWN actúa como autenticador, su dispositivo es el suplicante y el servidor RADIUS de Purple es el servidor de autenticación.

En GWN Manager, cree un SSID independiente para el personal. Establezca el Modo de Seguridad en WPA2-Enterprise, lo que habilita 802.1X. Configure los parámetros del servidor RADIUS con la IP de RADIUS de Purple, el puerto 1812 y su secreto compartido. Habilite RADIUS Accounting en el puerto 1813 para obtener un registro de auditoría completo de quién se conectó, cuándo y por cuánto tiempo. Este registro de auditoría es lo que necesita para el cumplimiento de GDPR y para responder a cualquier incidente de seguridad.

Para el método EAP, tiene dos opciones principales. EAP-TLS utiliza certificados digitales tanto en el servidor como en el dispositivo del cliente. Es la opción más segura, pero requiere una plataforma de Gestión de Dispositivos Móviles (MDM) para enviar los certificados a los dispositivos del personal. Si cuenta con Microsoft Intune o Jamf, EAP-TLS es la elección correcta.

PEAP, que significa EAP Protegido, utiliza un usuario y contraseña dentro de un túnel TLS cifrado. Es más fácil de implementar, particularmente para entornos BYOD, pero debe asegurarse de capacitar al personal para que no acepte advertencias de certificados. Un punto de acceso no autorizado puede recopilar credenciales PEAP si los usuarios aceptan errores de certificado sin prestar atención.

Habilite la asignación dinámica de VLAN en la configuración del SSID. Cuando esta opción está activada, el servidor RADIUS puede devolver un ID de VLAN en el paquete Access-Accept, y el AP de GWN colocará al dispositivo que se conecta en esa VLAN. Esto significa que puede tener un solo SSID para el personal, pero segmentar automáticamente al personal de TI en la VLAN 20, a la administración en la VLAN 21 y a los dispositivos de punto de venta en la VLAN 40, todo esto basado en la identidad del usuario en el directorio de Purple.

Los atributos RADIUS para la VLAN dinámica son: Tunnel-Type configurado en VLAN, que es el valor de atributo 13; Tunnel-Medium-Type configurado en IEEE-802, que es el valor de atributo 6; y Tunnel-Private-Group-ID configurado con el número de VLAN como una cadena. Estos tres atributos en el paquete Access-Accept son todo lo que el AP de GWN necesita para dirigir el dispositivo a la VLAN correcta.

---

Ahora hablemos de la función que es particularmente relevante para propiedades multi-inquilino: Grandstream Private Pre-Shared Keys, o PPSK.

PPSK es un mecanismo que permite a un único SSID admitir múltiples contraseñas únicas, cada una asignada a una VLAN o política de red diferente. Piense en un edificio de departamentos para alquiler, un espacio de coworking o un edificio de oficinas con servicios integrados. Usted desea que un solo SSID sea visible para todos, pero que cada inquilino tenga su propia contraseña que lo coloque en su propio segmento de red aislado.

En GWN Manager, PPSK se configura en los ajustes de SSID. Establezca el modo de seguridad en WPA2-Personal, luego habilite PPSK. Después puede crear entradas PSK individuales, cada una con una contraseña única y un ID de VLAN asociado. Cuando un dispositivo se conecta usando la contraseña del Inquilino A, el AP lo coloca en la VLAN 31. Cuando un dispositivo usa la contraseña del Inquilino B, cae en la VLAN 32. Los inquilinos comparten el mismo SSID pero están completamente aislados entre sí en la capa de red.

Para implementaciones más grandes, Grandstream también es compatible con PPSK con backend RADIUS. En este modo, el AP envía la PSK como un atributo RADIUS al servidor de autenticación, el cual la valida y devuelve la asignación de VLAN correspondiente. Aquí es donde la función de Redes Basadas en la Identidad de Purple se integra directamente. Purple puede administrar la base de datos PPSK, validar claves en su directorio y devolver asignaciones dinámicas de VLAN, lo que le brinda una gestión centralizada de cientos de credenciales de inquilinos desde una sola plataforma.

El atributo RADIUS utilizado para la validación de PPSK suele ser el atributo Tunnel-Password, o un atributo específico del proveedor según la versión de firmware. Consulte las notas de la versión de Grandstream para su firmware específico, ya que el mapeo de atributos ha evolucionado a lo largo de las versiones de GWN Manager.

---

Permítame cubrir los dos modos de falla más comunes que veo en las implementaciones de Grandstream con portales externos (Captive Portal).

El primero es que la redirección no se active. Un usuario se conecta al SSID, abre un navegador y recibe un error de "no se puede acceder al sitio" en lugar de la página del portal. La causa más probable es una configuración incorrecta del walled garden. La propia página del portal está siendo bloqueada antes de la autenticación. Abre las herramientas de desarrollo del navegador en un dispositivo de prueba conectado al SSID de invitados, ve a la pestaña de red e identifica qué solicitudes están fallando. Agrega esos dominios a tus reglas de preautenticación.

El segundo modo de falla es el tiempo de espera de RADIUS (RADIUS timeout). El AP envía un Access-Request al servidor RADIUS de Purple y no recibe respuesta. Esto generalmente significa que un firewall está bloqueando el puerto UDP 1812 de salida desde la VLAN de administración del AP hacia el rango de IP de RADIUS de Purple. Verifica las reglas de tu firewall. Las direcciones IP de RADIUS de Purple están documentadas en la consola de administración de Purple, en la configuración del establecimiento. Asegúrate de que tanto la IP de RADIUS primaria como la secundaria estén permitidas.

Un tercero que vale la pena mencionar: la VLAN dinámica no funciona. El personal se conecta y termina en la VLAN incorrecta. La causa más común es que la opción "Enable Dynamic VLAN" no está seleccionada en la configuración del SSID en GWN Manager. Es una sola casilla de verificación que es fácil de pasar por alto. La segunda causa es una discrepancia en el shared secret. Si el shared secret en el AP no coincide con el configurado en Purple, el AP descarta silenciosamente la respuesta de RADIUS y recurre a la VLAN predeterminada.

---

Permíteme presentarte dos escenarios del mundo real para hacerlo más concreto.

Escenario uno: un hotel de 120 habitaciones. El hotel opera puntos de acceso GWN7660 administrados a través de GWN dot Cloud. Necesitan un Captive Portal personalizado con su marca para los huéspedes, una red segura para el personal de recepción y limpieza, y una VLAN de administración independiente para el sistema de gestión de la propiedad (PMS).

La configuración utiliza tres SSIDs: Guest WiFi en la VLAN 10 con la política de Captive Portal de Purple; Staff WiFi en la VLAN 20 con autenticación WPA2-Enterprise y PEAP contra el RADIUS de Purple; y un SSID de administración oculto en la VLAN 30 para las terminales de PMS. La asignación dinámica de VLAN en el SSID del personal significa que los dispositivos de limpieza terminan en la VLAN 21 con acceso restringido a Internet, mientras que los de recepción terminan en la VLAN 20 con acceso total. El panel de analíticas de Purple muestra al operador del hotel el recuento diario de huéspedes, la duración de las sesiones y las tasas de aceptación para marketing, lo que brinda al equipo de marketing los datos que necesitan para ejecutar campañas dirigidas.

Escenario dos: un bloque de departamentos para rentar de 40 unidades. El operador gestiona puntos de acceso GWN7630 con GWN Manager local. Cada departamento necesita su propia red aislada. El operador utiliza PPSK con backend RADIUS. Purple gestiona 40 credenciales de inquilino únicas, cada una asignada a una VLAN dedicada. Los residentes se conectan a la única SSID "BuildingConnect" utilizando la contraseña de su unidad. El Captive Portal de Purple maneja el flujo de incorporación inicial, captura el consentimiento del residente y proporciona al operador análisis de ocupación y datos de interacción. Cuando un residente se muda, el operador revoca su credencial PPSK en la consola de administración de Purple, y el acceso se termina de inmediato. No es necesario cambiar la contraseña de la SSID ni volver a configurar los puntos de acceso.

---

Preguntas rápidas. Tres preguntas que me hacen constantemente sobre las implementaciones de Grandstream.

Pregunta uno: ¿Puedo usar GWN dot Cloud en lugar de GWN Manager para la integración con Purple? Sí. La configuración del Captive Portal en GWN dot Cloud es funcionalmente idéntica a la de GWN Manager. Las rutas del menú son las mismas. Las configuraciones de RADIUS y del walled garden están en las mismas ubicaciones. GWN dot Cloud es la mejor opción para los MSP que gestionan múltiples sitios, ya que obtienen una consola única para todas las implementaciones.

Pregunta dos: ¿Soporta Purple los análisis nativos de Grandstream junto con los suyos? Purple reemplaza los análisis nativos del Captive Portal con su propio conjunto de datos más detallado. Obtiene recuentos de sesiones, tiempos de permanencia, tasas de suscripción, datos demográficos de los campos de formulario e integración con plataformas de marketing. Los análisis nativos de GWN para el rendimiento de RF, el estado de los puntos de acceso y el recuento de clientes siguen estando disponibles en GWN Manager o GWN dot Cloud junto con los análisis de portal de Purple.

Pregunta tres: ¿Qué versión de firmware necesito en los puntos de acceso GWN para PPSK con RADIUS? PPSK con backend RADIUS requiere el firmware GWN 1.0.19 o superior en la serie GWN76xx. Verifique las notas de la versión de Grandstream antes de la implementación. Ejecutar un firmware desactualizado es la causa más común de comportamientos inesperados en las implementaciones de PPSK.

---

Para resumir. Integrar los puntos de acceso Grandstream GWN con Purple es una implementación sencilla cuando se sigue la secuencia correcta. Primero, configure los ajustes de su servidor RADIUS en la política del Captive Portal. Cree su walled garden utilizando la herramienta generadora de dominios de Purple. Asocie la política con su SSID de invitados y habilite el aislamiento de clientes. Para el WiFi del personal, habilite WPA2-Enterprise con asignación dinámica de VLAN. Para propiedades multi-inquilino, use PPSK con backend RADIUS y gestione las credenciales de forma centralizada a través de Purple.

Las cinco cosas que debe hacer bien: RADIUS en UDP 1812 con un secreto compartido coincidente; el walled garden que cubra todos los dominios de activos del portal; el aislamiento de clientes habilitado en la SSID de invitados; VLAN dinámica habilitada en la configuración de SSID; y el firmware PPSK en la versión 1.0.19 o superior.

Haz bien esos cinco puntos y tendrás una implementación sólida y escalable que servirá a tu establecimiento durante años. El equipo de incorporación de Purple puede validar tu configuración antes del lanzamiento, y el tiempo de actividad del 99.999% de la plataforma significa que no tendrás que explicar caídas del Captive Portal a los huéspedes del hotel a las dos de la mañana.

Gracias por escucharnos. Para obtener más guías técnicas sobre integraciones de WiFi empresariales, visita purple punto ai. En el próximo episodio, cubriremos la asignación dinámica de VLAN con Microsoft Entra ID y la función SecurePass de Purple. Hasta entonces.

Puntos clave

✓Los puntos de acceso Grandstream GWN se integran con Purple a través de RADIUS (UDP 1812/1813) y redirección HTTP 302 para ofrecer un Captive Portal seguro y personalizado para WiFi de invitados.
✓El walled garden (reglas de preautenticación) debe incluir todos los dominios del portal de Purple y los recursos de CDN; utilice la herramienta generadora dinámica de Purple en support.purple.ai en lugar de crear la lista manualmente.
✓Siempre copie y pegue la clave secreta compartida de RADIUS directamente desde la consola de administración de Purple; un solo carácter que no coincida provocará caídas silenciosas de paquetes que se presentarán como tiempos de espera agotados, no como errores de autenticación.
✓Habilite la VLAN dinámica en la configuración de SSID para permitir que el servidor RADIUS de Purple dirija al personal autenticado al segmento de red correcto utilizando los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID.
✓PPSK de Grandstream con backend RADIUS permite el aislamiento multiinquilino desde un solo SSID; requiere el firmware GWN 1.0.19 o superior y la gestión centralizada de credenciales a través de Purple.
✓Habilite siempre el aislamiento de clientes (Client Isolation) en los SSID de invitados para evitar el movimiento lateral entre dispositivos y cumplir con los requisitos de PCI DSS para establecimientos que procesan pagos con tarjeta.
✓La disponibilidad del 99.999% de Purple y sus certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials la convierten en una opción que cumple con las normativas para despliegues empresariales y del sector público en hardware Grandstream.

執行摘要

在企業級場域部署高效能無線網路，需要在無縫的使用者體驗與強大的技術安全之間取得平衡。對於使用 Grandstream GWN 架構的組織（涵蓋飯店、零售業到多租戶物業）而言，Grandstream Captive Portal 是使用者互動與存取控制的主要閘道。本指南提供逐步操作手冊，協助您將 Grandstream GWN 存取點與 Purple 的 Guest WiFi 和 WiFi Analytics 平台進行整合。

透過從基本的預共用金鑰升級為基於 RADIUS 的驗證與身分識別網路（Identity-Based Networks），您可以為訪客、員工和租戶提供安全且區隔的存取權限。本指南涵蓋關鍵的設定元件：RADIUS AAA 設定、HTTP 302 重新導向、圍牆花園（walled garden）例外規則、動態 VLAN 導向，以及 Private Pre-Shared Key (PPSK) 多租戶隔離。Purple 在全球超過 80,000 個實體場域運作，並在 2024 年處理了 4.4 億次登入（Purple 內部數據），證實該平台具備成熟的大規模運作能力。

技術深度解析

整合架構

Grandstream GWN 硬體與 Purple 之間的整合仰賴業界標準的 RADIUS 和 HTTP 重新導向協定。當使用者連線至訪客 SSID 時，GWN 存取點會攔截其初始 HTTP 請求，並向 Purple 託管的 Captive Portal URL 發送 HTTP 302 重新導向。使用者透過電子郵件、社群媒體登入、簡訊或自訂表單完成驗證後，Purple 會驗證該工作階段，並透過 UDP 連接埠 1812 將 RADIUS Access-Accept 封包傳回存取點，進而授予網路存取權限。RADIUS Accounting 則在 UDP 連接埠 1813 上執行，為 GDPR 和 PCI DSS 合規性提供完整的工作階段稽核軌跡。

Grandstream GWN 存取點可透過兩種平台之一進行管理。GWN Manager 是安裝在 Linux 或 Windows 伺服器上的地端控制器，適用於單一場域部署以及有數據主權需求的組織。GDMS Networking（前身為 GWN.Cloud）是 Grandstream 的雲端託管管理平台，深受需要從單一介面管理多個場域的 MSP 喜愛。這兩個平台提供完全相同的 Captive Portal 和 SSID 設定選項。

針對員工和租戶網路，架構則轉向 IEEE 802.1X 和 PPSK。在 802.1X 部署中，存取點充當驗證器，在連線裝置與 Purple 的 RADIUS 伺服器之間代理可延伸驗證協定（EAP）訊息。Purple 會比對其目錄驗證憑證，並可傳回廠商特定屬性（VSA）以動態將裝置導向至特定的 VLAN。這就是實務中的身分識別網路：單一 SSID、多個網路區段，完全由使用者身分決定。

針對多租戶環境，Grandstream 的 PPSK 功能允許單一 SSID 支援多個不重複的密碼。與 RADIUS 後端整合時，存取點會將輸入的 PSK 傳送至 Purple 進行驗證，從而實現集中式憑證管理和動態網路區隔，而無需廣播數十個 SSID。搭配 RADIUS 後端的 PPSK 功能需要在 GWN76xx 系列上使用 GWN 韌體版本 1.0.19 或更高版本。

用於動態 VLAN 導向的 RADIUS 屬性

動態 VLAN 指派是由 Access-Accept 封包中傳回的三個標準 IETF RADIUS 屬性所控制。這些屬性必須在 Purple 的 RADIUS 使用者設定檔中針對每個角色或租戶進行設定：

屬性	值	說明
Tunnel-Type (64)	13 (VLAN)	將通道類型指定為 VLAN
Tunnel-Medium-Type (65)	6 (IEEE-802)	將介質指定為 IEEE 802
Tunnel-Private-Group-ID (81)	例如 "20"	目標 VLAN ID（字串格式）

Access-Accept 回應中必須同時存在這三個屬性。若缺少任何一個，GWN 存取點將忽略 VLAN 導向指令，並將裝置置於預設 VLAN 中。

實作指南

步驟 1：設定 Captive Portal 策略

無論您使用 GWN Manager 還是 GDMS Networking，請導覽至 Captive Portal > Policy List 並建立新策略。下表彙整了 Purple 整合所需的設定：

欄位	值	備註
Policy Name	Purple-Guest-Portal	使用具描述性的名稱
Authentication Type	RADIUS Server	啟用 RADIUS 驗證流程
RADIUS Server Address	[來自 Purple 管理主控台]	主要 RADIUS IP
RADIUS Server Port	1812	標準 RADIUS 驗證連接埠
RADIUS Server Secret	[來自 Purple 管理主控台]	完整複製並貼上
RADIUS Auth Method	PAP	Purple Captive Portal 所需
Landing Page	Redirect to External Page	啟用外部入口網站重新導向
Redirect URL	[來自 Purple 管理主控台]	您專屬的入口網站 URL
Expiration	24h（飯店）/ 4h（零售）	配合您的工作階段策略
Failsafe Mode	Enabled	若無法連線至 RADIUS 則授予存取權限

啟用 Failsafe Mode。如果 GWN 存取點無法連線至 Purple 的 RADIUS 伺服器，容錯安全模式將授予網際網路存取權限，而非阻擋所有訪客。對於飯店和零售業部署，短暫的 RADIUS 中斷應不應導致所有訪客失去連線。

步驟 2：設定 Walled Garden

Walled Garden 定義了裝置在進行驗證前可以存取的網域。未設定完整的 Walled Garden 是導致 Portal 頁面載入失敗最常見的原因。在 GWN Manager 中，Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中進行設定。

您至少必須包含：Purple Portal 網域 (portal.purple.ai)、CDN 資源網域 (*.cloudfront.net) 以及 Google 的連線檢查端點 (connectivitycheck.gstatic.com)。若要使用社群媒體登入，請新增相關社群平台的網域。

針對 captive.apple.com 的處理是刻意設計的。排除它可以讓裝置連線時自動觸發 iOS Captive Network Assistant (CNA) 迷你瀏覽器。如果您希望訪客手動開啟瀏覽器，則將其納入。對於大多數旅宿業部署，將其排除能提供更好的訪客體驗。

請使用位於 support.purple.ai 的 Purple 動態 Walled Garden 產生器。從硬體清單中選擇 Grandstream，選擇您的驗證方式，該工具就會產生您所需的確切網域清單。請勿手動建立此清單。

步驟 3：將 Captive Portal 與訪客 SSID 關聯

導覽至 SSID 設定並編輯您的訪客網路。啟用 Captive Portal 功能並選擇您建立的策略。將 SSID 指派給您指定的訪客 VLAN（通常慣用 VLAN 10）。啟用 Client Isolation（用戶端隔離）以防止訪客裝置互相通訊 — 這是任何處理刷卡交易的場所的基本安全要求，也是 PCI DSS 的考量因素。

步驟 4：使用 802.1X 設定安全的員工 WiFi

為員工建立一個獨立的 SSID。將安全模式設定為 WPA2-Enterprise 以啟用 IEEE 802.1X。將 RADIUS 伺服器設定指向 Port 1812 上的 Purple，並在 Port 1813 上啟用 RADIUS Accounting。此記帳數據提供了 GDPR 合規性和安全性事件回應所需的稽核軌跡。

針對 EAP 方法，請根據您的裝置管理能力進行選擇。EAP-TLS 使用雙向憑證驗證 — 這是最安全的選項，能完全消除憑證被盜的風險，但需要行動裝置管理平台（Microsoft Intune 或 Jamf）將憑證推送到裝置。PEAP 在加密的 TLS 通道內使用使用者名稱和密碼，對於 BYOD 環境較易部署，但需要對員工進行憑證警告相關的培訓。

在 SSID 設定中啟用 Dynamic VLAN。Purple 的 RADIUS 伺服器將回傳三個通道屬性，以將每個通過驗證的裝置引導至其指定的 VLAN。IT 員工進入 VLAN 20，管理階層進入 VLAN 21，POS 終端機進入 VLAN 40 — 全部來自同一個 SSID，完全由身分驅動。

如需有關員工網路策略的進一步指引，請參閱員工 WiFi 條款與細則：法律與合規要點。

步驟 5：設定多租戶 PPSK

針對多租戶環境，建立一個使用 WPA2-Personal 安全性的 SSID 並啟用 PPSK。若要使用 Purple 作為 PPSK 驗證的 RADIUS 後端，請在 SSID 的 PPSK 區段中設定 RADIUS 伺服器設定。Purple 會管理 PSK 資料庫、驗證每個金鑰並回傳適當的 VLAN 指派。

每個租戶都會收到一個專屬密碼。當他們連線時，AP 會將 PSK 傳送給 Purple，Purple 則回傳正確的 VLAN ID。租戶 A 進入 VLAN 31，租戶 B 進入 VLAN 32。他們共用相同的 SSID，但在網路層完全隔離。當租戶搬離時，直接在 Purple 的管理主控台中撤銷其憑證。存取權限會立即終止，無需重新設定 AP。

如需深入瞭解企業級 WiFi 安全架構，請參閱企業級 WiFi 安全性：2026 年完整指南。

最佳實踐

務必設定 RADIUS Accounting。 在訪客和員工 SSID 的 Port 1813 上啟用記帳。記帳數據能為 Purple 的分析儀表板提供工作階段持續時間和造訪頻率，並提供 GDPR 要求的稽核軌跡。若沒有記帳，您只有驗證記錄，而沒有工作階段記錄。

複製並貼上共用金鑰。 RADIUS 共用金鑰不相符會導致無線基地台靜默丟棄封包。AP 會判定為逾時，而非驗證失敗。這是新部署中最常見的設定錯誤。請直接從 Purple 管理主控台複製金鑰。

使用 Purple 的 Walled Garden 產生器。 現代 Portal 頁面會從多個 CDN 網域、社群媒體登入 SDK 和分析指令碼載入資源。手動建立 Walled Garden 並不可靠。support.purple.ai 上的產生器會根據您的驗證方式納入所有必要的網域。

在無線基地台端隔離訪客流量。 用戶端隔離（Client Isolation）是任何訪客 SSID 不可妥協的基本要求。它能防止訪客裝置之間的橫向移動，且對於在相同網路基礎架構上處理刷卡交易的場所而言，是 PCI DSS 的合規要求。

在部署結合 RADIUS 的 PPSK 之前驗證韌體。 結合 RADIUS 後端的 PPSK 需要 GWN 韌體 1.0.19 或更高版本。執行過時的韌體是 PPSK 部署中出現非預期行為最常見的原因。請在部署前檢查韌體版本，而非部署後。

對於零售業部署，請確保您的訪客 SSID VLAN 與任何付款網路區段設有防火牆隔離。對於醫療保健環境，請確保患者或訪客 WiFi 與臨床系統隔離。對於交通運輸樞紐，請考慮與平均停留時間相符的工作階段過期策略。

疑難排解與風險緩釋

症狀：Splash Page 無法載入，回傳「無法連線至網站」錯誤。 Walled Garden 封鎖了 Portal 頁面的資源。請連線測試裝置，開啟瀏覽器開發者工具，檢查網路（Network）分頁，並找出被封鎖的要求。新增將失敗的網域新增至 Captive Portal 策略中的預先驗證規則（Pre-Authentication Rules）。

症狀：訪客已通過驗證，但存取點（AP）逾時並拒絕網際網路存取。 可能是防火牆阻擋了從 AP 的管理 VLAN 到 Purple 的 RADIUS IP 範圍的外網 UDP 1812 流量，或者是共享金鑰（shared secret）不相符。請先檢查防火牆規則。接著確認雙方的共享金鑰完全一致。

症狀：員工裝置進入了預設 VLAN，而非其獲分配的 VLAN。 SSID 設定中的「啟用動態 VLAN（Enable Dynamic VLAN）」核取方塊未勾選。這是一個很容易被忽略的單一核取方塊。第二個原因則是共享金鑰不相符，導致 AP 默默忽略了 RADIUS 回應。

症狀：iOS 裝置未顯示 Captive Portal 迷你瀏覽器。 captive.apple.com 網域被包含在圍牆花園（walled garden）中。iOS 裝置在連線時會探測此網域。如果收到 200 回應，它會判定網際網路已可存取，因而不會觸發 CNA。請將其從圍牆花園中移除，以恢復自動 CNA 行為。

症狀：PPSK 租戶進入了錯誤的 VLAN。 請確認 GWN 韌體版本為 1.0.19 或更高版本。確認 PPSK RADIUS 後端已啟用且共享金鑰相符。檢查 Purple 的 PSK RADIUS 使用者設定檔是否傳回正確的 Tunnel-Private-Group-ID 屬性。

投資報酬率（ROI）與業務影響

將 Grandstream GWN 硬體與 Purple 整合，能將 WiFi 從沉沒成本轉化為可衡量的企業資產。透過將一般開放式網路替換為經身分驗證的 Captive Portal，場域得以收集第一方數據並推動會員計畫成長。Purple 已在其網路中收集了 290 億個數據點（Purple 內部數據），為營運商提供了衡量自身表現的基準。

在旅宿業環境中，Purple 的分析功能可讓訪客造訪頻率、停留時間和同意訂閱率（opt-in rates）一目了然。使用 Purple Engage 方案的飯店營運商可以針對回訪訪客進行細分，以開展精準行銷活動，進而提高直接訂房率並減少對 OTA（線上旅行社）的依賴。在零售業環境中，來自 WiFi 數據的人流量分析能讓店長將客流模式與銷售業績進行關聯分析。

802.1X 和 PPSK 的實施透過自動化網路存取控制，降低了 IT 服務台的維運開銷。免除共享密碼消除了定期更換密碼的營運成本，也降低了憑證共享的安全風險。對於多租戶營運商而言，PPSK 搭配 Purple 的集中式管理，意味著啟用新租戶只需幾分鐘，而非數小時。

Purple 的 99.999% 可用性（Purple 內部數據）以及 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證，意味著該平台符合最嚴苛的企業與公共部門營運商的合規要求。如需完整了解訪客 WiFi 分析功能，請參閱 WiFi Analytics 。

Definiciones clave

Captive Portal

Una página web que intercepta el tráfico HTTP no autenticado de un dispositivo conectado, obligando al usuario a interactuar o autenticarse antes de otorgarle acceso a internet. El Captive Portal de Grandstream utiliza la redirección HTTP 302 para enviar a los usuarios a la URL de un portal externo.

El mecanismo principal para la captura de datos de invitados, la aceptación de los términos de servicio y el control de acceso en sitios públicos.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que opera sobre UDP y proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA). La autenticación se ejecuta en el puerto 1812 y la contabilidad en el puerto 1813.

El motor de backend que valida las credenciales tanto para los Captive Portals como para las redes empresariales 802.1X. Purple opera los servidores RADIUS con los que se comunican directamente los puntos de acceso GWN.

Walled garden

Una lista predefinida de direcciones IP y dominios a los que un dispositivo puede acceder antes de completar el proceso de autenticación del Captive Portal. Se configura como Reglas de Preautenticación en GWN Manager.

Esencial para permitir que los dispositivos carguen los recursos de la página del portal, los recursos de CDN, los puntos de conexión de inicio de sesión social y las sondas de detección de Captive Portals del sistema operativo.

IEEE 802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN. Utiliza EAP para intercambiar credenciales entre el dispositivo (suplicante) y el servidor RADIUS (servidor de autenticación) a través del punto de acceso (autenticador).

Reemplaza las contraseñas compartidas con credenciales por usuario para un acceso seguro del personal y de la red WiFi corporativa. Obligatorio para redes de personal que cumplan con GDPR y PCI DSS.

PPSK

Clave precompartida privada (Private Pre-Shared Key); una función que permite que un solo SSID admita múltiples contraseñas únicas, cada una vinculada a políticas de red o VLANs específicas. Grandstream GWN es compatible con PPSK mediante almacenamiento local o validación de backend RADIUS.

Se utiliza en entornos multiinquilino como departamentos, espacios de coworking y oficinas de servicios gestionados para aislar a los usuarios sin transmitir múltiples SSIDs.

Asignación dinámica de VLAN

El proceso mediante el cual un servidor RADIUS devuelve tres atributos específicos en el paquete Access-Accept (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para dirigir un dispositivo autenticado a una VLAN designada. Debe habilitarse explícitamente en la configuración de SSID de GWN.

Permite a los equipos de TI consolidar SSIDs mientras mantienen una segmentación de red estricta para diferentes grupos de usuarios, departamentos o inquilinos.

Aislamiento de clientes

Una función de seguridad inalámbrica que evita que los dispositivos conectados al mismo punto de acceso se comuniquen directamente entre sí en la Capa 2.

Una configuración obligatoria para las redes de invitados con el fin de proteger a los usuarios de ataques de igual a igual (peer-to-peer) y cumplir con los requisitos de PCI DSS para los establecimientos que procesan pagos con tarjeta.

EAP-PEAP

Protocolo de autenticación extensible protegido (Protected Extensible Authentication Protocol); un método EAP de 802.1X que encapsula el intercambio de autenticación dentro de un túnel TLS cifrado utilizando un nombre de usuario y contraseña. El túnel TLS externo protege las credenciales internas contra la interceptación.

Comúnmente utilizado para redes de personal bajo el modelo BYOD, donde la implementación de certificados de cliente (EAP-TLS) no es viable operativamente. Requiere capacitación del personal sobre la validación de certificados para evitar ataques de puntos de acceso no autorizados.

Modo a prueba de fallas

Una configuración de Captive Portal de GWN que otorga acceso a internet a los dispositivos conectados si el punto de acceso no puede comunicarse con el servidor RADIUS configurado. Evita que una interrupción de RADIUS bloquee todo el acceso de los invitados.

Recomendado para implementaciones en el sector de hotelería y comercio minorista, donde la conectividad de los invitados es fundamental para el negocio y una breve interrupción de RADIUS no debería provocar una caída total del servicio.

GWN Manager

La plataforma de gestión local de nivel empresarial de Grandstream para los puntos de acceso de la serie GWN. Instalada en un servidor local Linux o Windows, proporciona una configuración completa de Captive Portal, SSID, RADIUS y PPSK.

Preferido para implementaciones en un solo sitio y organizaciones con requisitos de soberanía de datos. GDMS Networking es el equivalente alojado en la nube para implementaciones de MSP en múltiples sitios.

Ejemplos resueltos

Un hotel de 120 habitaciones necesita desplegar un portal para invitados personalizado con su marca, una red segura para el personal con segmentación de VLAN a nivel de departamento para limpieza y recepción, y una VLAN de gestión independiente para el sistema de gestión de la propiedad (PMS). El hotel utiliza puntos de acceso Grandstream GWN7660 administrados a través de GDMS Networking.

Configure tres SSIDs en GDMS Networking. Primero, cree 'Guest WiFi' asignado a la VLAN 10. Cree una política de Captive Portal con el Tipo de Autenticación configurado en Servidor RADIUS, apuntando a la IP de RADIUS de Purple en el puerto 1812 con el secreto compartido de la consola de administración de Purple. Establezca la Página de Destino para Redirigir a Página Externa con la URL del portal de Purple. Habilite el Modo Failsafe y el Aislamiento de Clientes. Segundo, cree 'Staff WiFi' con seguridad WPA2-Enterprise (802.1X). Configure RADIUS en el puerto 1812 y Accounting en el puerto 1813. Habilite VLAN Dinámica. En el directorio de Purple, configure las cuentas de limpieza para que devuelvan Tunnel-Private-Group-ID = 21 y las cuentas de recepción para que devuelvan la VLAN 20. Tercero, cree un SSID 'Management' oculto en la VLAN 30 con WPA2-Personal para las terminales de PMS. Construya el walled garden utilizando la herramienta generadora de Purple, excluyendo captive.apple.com para activar el CNA de iOS.

Comentario del examinador: Esta arquitectura segmenta de manera efectiva tres grupos de usuarios distintos al mismo tiempo que minimiza la sobrecarga de SSIDs. El uso del direccionamiento dinámico de VLAN para el personal elimina la necesidad de transmitir SSIDs separados para cada departamento, reduciendo la interferencia de RF y simplificando el entorno inalámbrico. El panel de análisis de Purple proporciona al operador del hotel el recuento diario de invitados, la duración de las sesiones y las tasas de suscripción de marketing, entregando al equipo de marketing datos listos para la acción sin necesidad de infraestructura adicional.

Un bloque de departamentos en renta de 40 unidades requiere acceso a la red aislado para cada inquilino, con la capacidad de revocar el acceso de forma instantánea cuando un inquilino se mude. El operador utiliza puntos de acceso GWN7630 con GWN Manager local y desea minimizar el número de SSIDs visibles en el edificio.

Despliegue un único SSID llamado 'BuildingConnect' con seguridad WPA2-Personal y habilite PPSK con backend RADIUS. Asegúrese de que el firmware del GWN esté en la versión 1.0.19 o superior. Configure los ajustes del servidor RADIUS en la sección PPSK para apuntar a Purple. En la consola de administración de Purple, cree 40 credenciales PSK únicas, cada una asignada a una VLAN (por ejemplo, VLAN 101 para la Unidad 101, VLAN 102 para la Unidad 102). Cuando un residente se conecta utilizando la contraseña de su unidad, el AP GWN envía la PSK a Purple, que la valida y devuelve Tunnel-Private-Group-ID = 101. El residente aterriza en su VLAN aislada. Cuando un residente se mude, revoque la credencial en la consola de administración de Purple. El acceso se terminará de inmediato sin necesidad de volver a configurar el AP.

Comentario del examinador: PPSK con un backend RADIUS es la solución óptima para entornos multi-tenant. Ofrece a los residentes la sencillez de una contraseña de WiFi estándar al tiempo que proporciona un aislamiento de nivel empresarial. La gestión centralizada de credenciales en Purple significa que el operador puede escalar a cientos de unidades sin tener que administrar configuraciones de SSID individuales. La capacidad de revocación instantánea es una ventaja operativa significativa en comparación con los despliegues de PSK tradicionales, donde cambiar una contraseña compartida interrumpiría a todos los residentes conectados.

Preguntas de práctica

Q1. Has configurado la política del Captive Portal en GWN Manager con la IP de Purple RADIUS y el secreto compartido correctos, pero los invitados reportan un error de "no se puede acceder al sitio" cuando su navegador se abre después de conectarse al SSID. ¿Cuál es la causa más probable y cómo la diagnosticas?

Sugerencia: Considera qué es lo que controla a qué dominios puede acceder un dispositivo antes de haberse autenticado a través del portal.

Ver respuesta modelo

El walled garden (Reglas de Preautenticación) está incompleto o mal configurado. El punto de acceso está bloqueando al dispositivo para que no alcance el dominio del portal de Purple o los recursos del CDN que carga la página del portal. Para diagnosticar: conecta un dispositivo de prueba al SSID de invitados, abre las herramientas de desarrollo del navegador, ve a la pestaña de red e intenta cargar la URL del portal. Identifica qué solicitudes devuelven errores de conexión. Agrega esos dominios a las Reglas de Preautenticación. Utiliza el generador de walled garden de Purple en support.purple.ai para generar la lista completa de dominios para el hardware de Grandstream.

Q2. Tu hotel desea que los huéspedes con iOS vean automáticamente el mini-navegador del Captive Portal tan pronto como se conecten al WiFi de invitados, sin necesidad de abrir un navegador manualmente. ¿Cómo configuras el walled garden para lograr esto?

Sugerencia: Considera cómo determina iOS si una red tiene acceso a internet cuando se conecta por primera vez.

Ver respuesta modelo

Debes excluir captive.apple.com del walled garden. Cuando un dispositivo iOS se conecta a una red, realiza una prueba de sondeo a captive.apple.com. Si el sondeo recibe una respuesta 200 OK (lo que significa que el dominio es accesible), iOS asume que la red tiene acceso a internet y no activa el mini-navegador del Captive Network Assistant. Si el sondeo se bloquea o se redirige, iOS reconoce la red como cautiva y abre automáticamente el CNA. Al mantener captive.apple.com fuera del walled garden, el sondeo es interceptado y redirigido, activando el CNA de manera automática.

Q3. Un miembro del personal se conecta al SSID de 802.1X utilizando sus credenciales. Los logs de autenticación de Purple muestran una respuesta Access-Accept exitosa con los atributos correctos de VLAN 20. Sin embargo, el miembro del personal es asignado a la VLAN 1 (la predeterminada). ¿Qué configuración de GWN Manager se debe verificar?

Sugerencia: El servidor RADIUS está autorizando correctamente al usuario y devolviendo los atributos de VLAN. El problema está del lado del punto de acceso.

Ver respuesta modelo

La casilla "Enable Dynamic VLAN" en la configuración del SSID dentro de GWN Manager no está seleccionada. Incluso cuando Purple devuelve los atributos correctos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID en el paquete Access-Accept, el punto de acceso GWN los ignorará a menos que la VLAN dinámica esté habilitada explícitamente. Dirígete a la configuración del SSID, localiza la configuración de Dynamic VLAN, habilítala y guarda los cambios. El miembro del personal debería ser asignado a la VLAN correcta en su siguiente conexión.

Q4. Un operador de desarrollo residencial para renta (build-to-rent) desea implementar PPSK con Purple como backend de RADIUS en sus puntos de acceso Grandstream GWN7630 que ejecutan el firmware 1.0.17. Un inquilino informa que puede conectarse al SSID pero es asignado a la VLAN incorrecta. ¿Qué debes verificar primero?

Sugerencia: Hay dos causas potenciales aquí: una es un problema de versión de firmware, la otra es un problema de configuración.

Ver respuesta modelo

Lo primero que se debe verificar es la versión del firmware. PPSK con backend de RADIUS requiere el firmware GWN 1.0.19 o superior en la serie GWN76xx. Es posible que el firmware 1.0.17 no sea compatible correctamente con la asignación de VLAN de PPSK respaldada por RADIUS. Actualiza el firmware a 1.0.19 o superior antes de continuar con la resolución de problemas. Si el firmware es correcto, verifica que el backend de PPSK RADIUS esté habilitado en la configuración del SSID, que el secreto compartido coincida con la configuración de Purple y que el perfil de usuario RADIUS de Purple para la PSK específica esté devolviendo el atributo Tunnel-Private-Group-ID correcto.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.