Saltar al contenido principal

Guía paso a paso: Configuración de controladores inalámbricos Ruijie para portales cautivos de WiFi de invitados

Esta guía proporciona un tutorial técnico completo para configurar controladores inalámbricos y gateways Ruijie para implementar portales cautivos de WiFi de invitados de nivel empresarial. Cubre la segmentación de VLAN, la autenticación RADIUS externa a través del protocolo WISPr, la configuración de walled garden y la integración fluida con la plataforma Identity-Based Networks de Purple para capturar datos de primera fuente e impulsar un valor comercial medible en entornos de hotelería, comercio minorista y sector público.

📖 8 min de lectura📝 1,834 palabras🔧 2 ejemplos resueltos4 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido a la serie de informes técnicos de Purple. Hoy cubriremos uno de los temas más buscados en redes inalámbricas empresariales: cómo configurar los controladores inalámbricos Ruijie para portales cautivos de WiFi para invitados seguros. Soy su anfitrión, y este es un informe de diez minutos diseñado para gerentes de TI, arquitectos de red y directores de operaciones de recintos que necesitan hacer esto bien a la primera. Comencemos con el contexto. Si administra la TI de un hotel, una cadena de retail, un centro de conferencias o un gran recinto público, el WiFi para invitados ya no es solo una amenidad. Es un requisito operativo fundamental. Los invitados lo esperan. Los reguladores exigen que maneje sus datos de manera responsable. Y su equipo de marketing quiere los datos de primera mano que genera. El desafío es implementarlo de forma segura en un patrimonio distribuido, a escala, sin generar problemas de cumplimiento. Ruijie Networks es uno de los proveedores de redes empresariales más grandes del mundo, con una importante base instalada en entornos de hospitalidad, retail y sector público. Sus controladores inalámbricos de la serie RG-WS y las gateways de la serie RG-EG son plataformas capaces para WiFi para invitados empresarial, pero la configuración del Captive Portal requiere una ejecución precisa. Si se equivoca, terminará con una brecha de seguridad o con un portal que simplemente no funciona. Ahora entremos en la arquitectura técnica. La base absoluta de cualquier red de invitados segura es el aislamiento del tráfico. No puede tener dispositivos de invitados en el mismo segmento de red que sus terminales de pago, las laptops del personal o sus servidores de back-office. El mecanismo para esto es la segmentación por VLAN. En un entorno Ruijie, usted crea una VLAN de invitados dedicada en su switch principal, le asigna una subred IP separada y la conecta a través de un enlace troncal a sus puntos de acceso. Una implementación típica podría usar la VLAN diez para el ámbito corporativo, la VLAN veinte para voz, la VLAN treinta para invitados y la VLAN noventa y nueve para administración. Esto no es negociable. Si se salta este paso, tendrá un WiFi conveniente, no un WiFi seguro. Una vez que la red está correctamente segmentada, pasamos a la autenticación. Una clave precompartida común no es seguridad empresarial. No ofrece rendición de cuentas, ni seguimiento de sesiones individuales, ni forma de revocar el acceso para un solo usuario sin cambiar la contraseña para todos. En su lugar, utilizamos un Captive Portal externo con autenticación RADIUS. Así es como funciona el flujo. Un invitado se conecta al SSID abierto transmitido por el punto de acceso Ruijie. La gateway Ruijie intercepta su tráfico HTTP y emite una redirección a una página de bienvenida externa, en este caso alojada por Purple. El invitado ve una página de inicio de sesión con la identidad de la marca. Se autentica, tal vez a través de registro por correo electrónico, inicio de sesión social o aceptación con un solo clic. Los servidores de Purple procesan esa autenticación y envían un mensaje de aceptación RADIUS de vuelta al controlador Ruijie. Luego, el controlador concede al dispositivo acceso a internet. Todo este flujo utiliza el protocolo WISPr, que es el marco estándar para la autenticación de portales cautivos externos en redes inalámbricas empresariales. El valor empresarial aquí es significativo. Cada evento de autenticación captura un registro de consentimiento. La plataforma de Purple almacena esos datos de manera que cumple con GDPR y CCPA, crea una base de datos de marketing de origen y envía analíticas de vuelta a su equipo. Harrods utilizó este enfoque para promover su programa de lealtad y logró un retorno de inversión cincuenta y siete veces mayor. c2c Rail logró un ciento veintiuno por ciento de retorno de inversión y ahorró setenta y seis mil libras en costos operativos. Ese es el caso comercial para hacer esto correctamente. Ahora repasemos los pasos de configuración específicos en la interfaz de Ruijie Cloud o del controlador local. Paso uno: cree el SSID para invitados. Inicie sesión en Ruijie Cloud o en su controlador local. Vaya a Device Config, seleccione Wi-Fi en Wireless y cree un nuevo SSID. Asígnele un nombre claro, como Free Guest WiFi. Establezca el modo de seguridad en Open y asígnelo a su VLAN de invitados. Paso dos: defina la política del Captive Portal. Vaya a Auth and Account, luego seleccione Captive Portal en Authentication. Cree una nueva política. Establezca el Policy Mode en External. Establezca el Authentication Device en su gateway o punto de acceso Ruijie. Seleccione el SSID para invitados. En el campo Portal Server URL, ingrese la URL de su splash page de Purple. Ingrese las direcciones IP del servidor RADIUS de Purple. Paso tres: configure el Walled Garden, que Ruijie llama Allowlist (Lista de permitidos). Este es el elemento que más comúnmente se configura de manera incorrecta en cualquier implementación de Captive Portal. El Walled Garden define qué tráfico puede pasar antes de que el usuario se autentique. Si no permite explícitamente los dominios de Purple, la splash page no se cargará. Si ofrece inicio de sesión con Facebook o Google pero no permite sus dominios de OAuth, la autenticación se detendrá en el botón de inicio de sesión social. Agregue todos los dominios de infraestructura de Purple requeridos y todos los dominios de proveedores sociales que planee admitir. Paso cuatro: configure RADIUS. Agregue las direcciones IP primaria y secundaria del servidor RADIUS de Purple. Ingrese el secreto compartido desde su panel de control de Purple. Asegúrese de que la contabilidad RADIUS esté habilitada en el puerto 1813. Esto permite a Purple rastrear la duración de la sesión y el uso de datos de manera precisa, lo que alimenta directamente sus informes de analíticas. Paso cinco: aplique políticas de QoS. El acceso de invitados sin restricciones puede saturar su enlace de internet. Establezca límites estrictos de ancho de banda por usuario en el gateway Ruijie - típicamente de cinco a diez megabits de bajada y de dos a cinco de subida para una implementación estándar de hospitalidad. Esto protege la experiencia de todos los invitados y evita que un solo dispositivo degrade la red. Ahora cubramos los errores críticos de implementación. El primero es el Walled Garden. No puedo enfatizar lo suficiente la frecuencia con la que esto es la causa raíz de una implementación fallida. Pruebe su portal desde un dispositivo limpio sin credenciales almacenadas en caché. Si la página no se carga, verifique primero su allowlist.El segundo error común es la configuración de Portal Escape. Esta función de Ruijie libera automáticamente el tráfico de los usuarios si el punto de acceso y el servidor del portal dejan de estar disponibles. Aunque suena útil, significa que los usuarios no autenticados obtienen acceso a internet durante una interrupción. En un entorno empresarial donde la captura de consentimiento es un requisito legal, se recomienda desactivar esta opción para exigir una autenticación estricta en todo momento. El tercer error común son las versiones de firmware. Algunas funciones del Captive Portal - especialmente en lo que respecta a los controles de ancho de banda y la asignación dinámica de VLAN - requieren versiones de firmware específicas en la puerta de enlace Ruijie. Revise las notas de lanzamiento de Ruijie antes de realizar la implementación y asegúrese de que sus dispositivos ejecuten una versión de firmware compatible. Ahora, pasemos a las preguntas rápidas. ¿Debo gestionar el Captive Portal en el punto de acceso o en la puerta de enlace? En una implementación empresarial de Ruijie, gestiónelo en la puerta de enlace. Las puertas de enlace de la serie RG-EG están diseñadas para administrar la intercepción del portal externo y aplicar políticas de QoS. Los puntos de acceso se enfocan en el rendimiento de RF y la transmisión de SSID. ¿Puedo ejecutar múltiples Captive Portals en diferentes SSIDs? Sí. Ruijie admite múltiples políticas de Captive Portal asignadas a diferentes SSIDs. Puede tener un portal de invitados estándar en un SSID y un portal premium de pago en otro, cada uno con diferentes límites de ancho de banda y métodos de autenticación. ¿Cómo gestiono una implementación multisitio? Utilice Ruijie Cloud para administrar la configuración de forma centralizada. Puede aplicar políticas de portal en todos los sitios de manera simultánea, lo que garantiza la coherencia y elimina las variaciones de configuración por sitio. Para resumir los puntos clave. Segmente su tráfico con VLANs antes de hacer cualquier otra cosa. Utilice la autenticación RADIUS externa para capturar datos de origen que cumplan con las normativas. Configure su Walled Garden meticulosamente y pruébelo desde un dispositivo limpio. Tome una decisión deliberada sobre Portal Escape en función de sus requisitos de cumplimiento. Aplique QoS para proteger la experiencia del usuario. E integre su infraestructura Ruijie con las redes basadas en la identidad de Purple para convertir una conexión básica en un activo seguro, impulsado por datos y generador de ingresos. Purple opera en más de ochenta mil establecimientos activos, ha procesado cuatrocientos cuarenta millones de inicios de sesión en 2024 y cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Somos independientes del hardware, lo que significa que su inversión en Ruijie es totalmente compatible con nuestra plataforma superpuesta en la nube. Gracias por escucharnos. Si desea explorar cómo se integra Purple con su infraestructura Ruijie, visite purple punto ai diagonal guest guion wifi. Realice su implementación de forma segura y nos vemos en la próxima sesión informativa.

header_image.png

Resumen Ejecutivo

El despliegue de WiFi para invitados en empresas distribuidas implica mucho más que solo proporcionar un SSID abierto. Para los administradores de TI y arquitectos de redes, el desafío radica en equilibrar el acceso sin interrupciones con una seguridad estricta, el cumplimiento de GDPR y las necesidades de adquisición de datos. Esta guía detalla los pasos de configuración específicos necesarios para implementar un Captive Portal seguro y escalable utilizando controladores inalámbricos y gateways Ruijie, ilustrando cómo la integración de esta infraestructura con la plataforma de Guest WiFi de Purple transforma la conectividad inalámbrica básica en un activo compatible y que genera ingresos.

Cubriremos los prerrequisitos técnicos, las estrategias de aislamiento de VLAN, la autenticación RADIUS externa a través del protocolo WISPr, la configuración de Walled Garden y los ajustes específicos de QoS requeridos para un despliegue de nivel de producción. Ya sea que administre un hotel de 200 habitaciones, una cadena minorista de 50 tiendas o un estadio con capacidad para 40,000 personas, esta guía proporciona el plan de acción definitivo para una configuración segura de Captive Portal de Ruijie. Con operaciones en más de 80,000 establecimientos activos en todo el mundo y 440 millones de inicios de sesión procesados en 2024 (datos internos de Purple), los patrones de integración descritos aquí están probados a escala.

architecture_overview.png

Arquitectura Técnica y Prerrequisitos

Antes de modificar su controlador Ruijie, establezca la arquitectura de red correcta. Una red de invitados segura requiere un aislamiento completo del tráfico corporativo en la Capa 2 (nivel de switch).

Segmentación de Red

La piedra angular de un WiFi de invitados seguro es el aislamiento de VLAN. Debe crear una VLAN de invitados dedicada en el gateway o switch principal de Ruijie. Esto garantiza que el tráfico de los invitados nunca se cruce con los sistemas internos, las terminales de pago o los dispositivos del personal. A continuación se muestra un esquema de VLAN empresarial estándar para despliegues de Ruijie:

ID de VLAN Propósito Notas
10 Corporativo Dispositivos del personal, servidores internos
20 Voz Teléfonos VoIP
30 Invitado Captive Portal, solo internet
40 IoT Impresoras, smart TVs, sensores
99 Administración Controlador, administración de switches

Para obtener más información sobre por qué los enfoques de nivel de consumidor fallan en este aspecto, lea Por qué los equipos de WiFi de nivel de consumidor no son para su red de invitados .

Componentes Requeridos

Para completar este despliegue, necesitará:

  • Una cuenta de Ruijie Cloud o un controlador inalámbrico local Ruijie de la serie RG-WS (por ejemplo, RG-WS6008 o RG-WS7110).
  • Un gateway Ruijie de la serie RG-EG - esencial para la autenticación de portal externo a través de WISPr.
  • Puntos de acceso Ruijie de la serie RG-AP (por ejemplo, RG-AP820-I, RG-AP850-AR).
  • Una licencia de Purple Connect, Capture o Engage.
  • Acceso UDP saliente permitido desde el gateway hacia los servidores de Purple para el puerto 1812 (autenticación RADIUS) y 1813 (contabilidad RADIUS).

Resumen del protocolo de autenticación

Ruijie es compatible con múltiples métodos de autenticación. Las implementaciones de nivel empresarial deben utilizar autenticación RADIUS externa. Este método utiliza el protocolo WISPr (Wireless Internet Service Provider Roaming) para redireccionar de forma segura a los usuarios no autenticados a la Splash Page de Purple, procesar sus credenciales y devolver un mensaje de aceptación o rechazo de RADIUS al controlador Ruijie.

comparison_chart.png

La tabla anterior resume los cinco métodos de autenticación que ofrece la plataforma Ruijie. Los registros por correo electrónico y los inicios de sesión con redes sociales son las opciones más comunes para entornos de hotelería y retail, ya que recopilan datos de primera mano estructurados y conformes con el GDPR. Los códigos de cupón son adecuados para salas de reuniones y niveles de acceso de pago. RADIUS con 802.1X está reservado exclusivamente para redes de personal que requieren autenticación respaldada por un directorio.

Guía de implementación paso a paso

Realice los siguientes pasos en la interfaz del controlador local o de Ruijie Cloud. Las rutas de la interfaz de usuario que se muestran a continuación se aplican a la nueva interfaz de Ruijie Cloud (posterior a 2024) y a la plataforma Ruijie JaCS.

Paso 1: Configurar el SSID de invitados

Establezca la red de transmisión inalámbrica.

  1. Inicie sesión en la interfaz web del controlador local o de Ruijie Cloud.
  2. Navegue a Device Config y seleccione WiFi en la sección Wireless.
  3. Haga clic en + para crear un nuevo SSID o edite un SSID existente.
  4. Establezca el SSID Name (por ejemplo, "Free Guest WiFi").
  5. Establezca el Security Mode en Open - sin clave precompartida.
  6. Asigne el SSID a su VLAN de invitados dedicada (por ejemplo, VLAN 30).
  7. Guarde la configuración del SSID.

Paso 2: Definir la política del Captive Portal

Indique al controlador que intercepte el tráfico de invitados y lo redireccione a Purple.

  1. Navegue a Auth & Account y seleccione Captive Portal en Authentication.
  2. Cree una nueva política. Establezca un Policy Name descriptivo (por ejemplo, "Purple-Guest-Portal").
  3. Establezca el Policy Mode en External.
  4. Establezca el Authentication Device en su gateway Ruijie (serie RG-EG) o punto de acceso.
  5. Seleccione el SSID de invitados creado en el Paso 1.
  6. En el campo Portal Server URL, ingrese su URL única de la Splash Page de Purple (la cual encontrará en el panel de control de Purple en "Configuración de hardware").
  7. Ingrese las direcciones IP del servidor RADIUS de Purple en los campos designados.
  8. Establezca la duración de Seamless Online para que coincida con su política de tiempo de espera de sesión (por ejemplo, 24 horas para hotelería, 1 hora para retail).
  9. Determine el comportamiento de Portal Escape - consulte la sección "Mejores prácticas" a continuación.

Paso 3: Configurar el Walled Garden (lista de permitidos)

Un Captive Portal intercepta todo el tráfico hasta que el usuario se autentica. Cierto tráfico debe permitirse en la etapa de preautenticación para cargar la página de inicio de sesión y procesar los inicios de sesión de redes sociales. Esta es la parte que más comúnmente se configura de manera incorrecta en cualquier implementación de Captive Portal.

  1. Vaya a Auth & Account y seleccione Allowlist.
  2. Agregue todos los dominios de infraestructura de Purple requeridos. Su panel de Purple le proporciona la lista específica para su región.
  3. Si ofrece inicios de sesión con redes sociales, agregue los dominios de OAuth para cada proveedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: el dominio de inquilino específico de su Okta
  4. Si ofrece planes de WiFi de pago, agregue los dominios de los procesadores de pago.
  5. Guarde y aplique la lista de permitidos.

Paso 4: Configurar la autenticación RADIUS

Configure el canal de comunicación seguro entre Ruijie y Purple.

  1. Vaya a la configuración del servidor RADIUS en su controlador o puerta de enlace Ruijie.
  2. Agregue la dirección IP del servidor RADIUS primario de Purple y el puerto 1812 para la autenticación.
  3. Agregue la dirección IP del servidor RADIUS secundario de Purple para la tolerancia a fallos.
  4. Ingrese el Shared Secret de su panel de Purple. Debe coincidir exactamente.
  5. Agregue el servidor de contabilidad (accounting) en el puerto 1813 y habilite la contabilidad RADIUS. Esto realiza el seguimiento de la duración de la sesión y el uso de datos, enviando la información directamente a los informes de WiFi Analytics de Purple.
  6. Configure el NAS Identifier con una cadena de texto descriptiva (por ejemplo, el nombre de su establecimiento) para diferenciar el tráfico en los análisis de Purple.

Paso 5: Aplicar políticas de QoS

El acceso de invitados sin restricciones puede saturar su enlace de internet durante las horas pico.

  1. Vaya a la sección de QoS o gestión de ancho de banda de su puerta de enlace Ruijie.
  2. Establezca límites de descarga por usuario (por ejemplo, 10 Mbps para huéspedes de hotel, 5 Mbps para clientes de retail).
  3. Establezca límites de carga por usuario (por ejemplo, 2 a 5 Mbps).
  4. Desactive Client Escape para garantizar que los usuarios no autenticados no puedan acceder a la red si el servidor del portal no está disponible temporalmente.
  5. Guarde y envíe la configuración a todos los dispositivos correspondientes.

Paso 6: Probar la implementación

Realice siempre las pruebas con un dispositivo limpio que no tenga credenciales guardadas en caché.

  1. Conecte un dispositivo móvil al SSID de invitados.
  2. Abra un navegador y vaya a una URL que no sea HTTPS (por ejemplo, http://example.com). La página del portal debería redireccionar.
  3. Verifique que la página de bienvenida de Purple se cargue correctamente.
  4. Complete el proceso de autenticación.
  5. Confirme que se otorgue acceso a internet después de la autenticación.
  6. Revise el panel de Purple para confirmar que la sesión aparezca en sus análisis.

Mejores prácticas para implementaciones empresariales

Seguridad y cumplimiento

Nunca confíe en las PSK compartidas para el acceso de invitados. Las contraseñas compartidas no ofrecen un historial de auditoría y no se pueden revocar de forma individual. Al utilizar un Purple Captive Portal con autenticación individual, puede exigir el consentimiento explícito para el procesamiento de datos, cumpliendo con los requisitos del Artículo 7 del GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que garantiza que el propio mecanismo de captura de datos sea auditable.

Para profundizar en la arquitectura de seguridad, lea nuestra Enterprise WiFi Security: Complete Guide for 2026 y What is Secure WiFi: The Essential Enterprise Guide for 2026 .

Portal Escape: Una decisión deliberada

La función Portal Escape de Ruijie permite automáticamente el paso del tráfico de usuarios si el AP no se puede conectar al Portal Server. En un entorno de hotelería, puede optar por habilitar esto - los huéspedes que no puedan conectarse a la WiFi debido a un breve parpadeo del servidor causarán quejas. En entornos de retail o de salud, puede optar por deshabilitarlo - el acceso no autenticado representa un riesgo de cumplimiento y seguridad. Documente su decisión y razonamiento en sus manuales de ejecución de red.

Consistencia multi-sitio

Utilice Ruijie Cloud para administrar la configuración de forma centralizada en todas las ubicaciones. Implemente políticas de portal simultáneamente para eliminar el desajuste de configuración entre sitios - la causa más común de experiencias de invitados inconsistentes en propiedades distribuidas. La plataforma en la nube de Purple funciona bajo el mismo principio: un solo panel, todas las ubicaciones.

Administración de firmware

Ciertas funciones de Ruijie Captive Portal, en particular el control de ancho de banda y la asignación dinámica de VLAN, requieren versiones de firmware específicas en sus gateways. Ruijie documenta estas dependencias en sus notas de lanzamiento. Asegúrese de que sus gateways RG-EG ejecuten la versión de firmware RGOS11.9(6)B17T1 o superior para obtener un soporte de QoS completo en implementaciones administradas desde la nube.

Solución de problemas y mitigación de riesgos

La página del portal no carga

Si el Captive Portal no aparece cuando un dispositivo se conecta, primero verifique la configuración de su Walled Garden. El dispositivo debe poder resolver el DNS y acceder a la URL del portal de Purple antes de poder autenticarse. Verifique que su lista de permitidos de Ruijie incluya todos los dominios necesarios y que sus servidores DNS sean accesibles desde la VLAN de invitados.

Tiempos de espera de autenticación agotados

Si los usuarios ven el portal pero no pueden iniciar sesión, el problema suele estar en la configuración de RADIUS. Verifique las direcciones IP del servidor RADIUS, los puertos (1812 para autenticación, 1813 para contabilidad) y el secreto compartido. Asegúrese de que sus firewalls permitan el tráfico UDP entrante y saliente en estos puertos desde la IP de administración del gateway Ruijie.

Inicios de sesión de redes sociales bloqueados

Si los usuarios hacen clic en un botón de inicio de sesión de redes sociales y no pasa nada, el redireccionamiento de OAuth está bloqueado. Agregue los dominios de los proveedores de redes sociales requeridos a su lista de permitidos de Ruijie. Pruebe esto permitiendo temporalmente todo el tráfico antes de la autenticación para confirmar si el portal funciona y luego restrinja la lista de permitidos de forma incremental.### Falla en la asignación dinámica de VLAN

Si utilizas RADIUS para asignar de forma dinámica a los usuarios a las VLANs, asegúrate de que la respuesta de RADIUS incluya los atributos de VLAN correctos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). El RG-EG310GH-E de Ruijie y gateways similares admiten la asignación dinámica de VLAN, pero esta función requiere una configuración explícita tanto en el servidor RADIUS como en el gateway.

ROI e impacto de negocio

Implementar un Captive Portal seguro transforma el WiFi para invitados de un centro de costos a un activo estratégico. La plataforma WiFi Analytics de Purple se integra con tu infraestructura Ruijie para capturar datos de primera mano, crear listas de contactos de alta intención y ofrecer información útil sobre el comportamiento de los invitados en todos tus establecimientos.

Harrods utilizó el WiFi para invitados de Purple para promover su programa de lealtad, logrando una tasa de registro líder en la industria y un ROI de 57x (datos de clientes de Purple). c2c Rail utilizó Purple para fomentar las reservaciones directas, logrando un retorno de inversión del 121% y ahorrando £76,000 en costos operativos (datos de clientes de Purple). Pizza Express implementó Purple en más de 470 restaurantes para crear perfiles de clientes más completos.

Para los operadores de la industria de la hospitalidad , los datos capturados al iniciar sesión (correo electrónico, datos demográficos, frecuencia de visitas) se pueden enviar directamente a los sistemas CRM y programas de lealtad. Para los entornos de retail , los análisis de visitas recurrentes identifican a tus compradores de mayor valor. Para las terminales de transporte , los datos de flujo de pasajeros optimizan la planificación del personal y del espacio comercial.

Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, Fortinet y Ruijie, lo que la convierte en una capa de nube independiente del hardware que funciona con tu equipamiento existente sin requerir un reemplazo total.


Guía relacionada: Integración de puntos de acceso Grandstream GWN y Purple WiFi

Definiciones clave

Captive Portal

Una página web que un usuario de una red de acceso público debe ver e interactuar con ella antes de que se le otorgue acceso a internet. Intercepta todo el tráfico HTTP y redirige el navegador del usuario a la página del portal.

El mecanismo principal para aplicar la autenticación en redes WiFi de invitados. Se utiliza en hoteles, tiendas minoristas, estadios y sedes del sector público para controlar el acceso y registrar el consentimiento.

Walled garden

Una lista de permitidos previa a la autenticación que autoriza a dominios y direcciones IP específicos a eludir la intercepción del Captive Portal. El tráfico hacia estos destinos está permitido antes de que el usuario se autentique.

Esencial para permitir que los dispositivos carguen la página de inicio, accedan a los proveedores de inicio de sesión social y procesen los flujos de pago antes de que el usuario esté completamente autenticado. Una configuración incorrecta aquí es la causa principal de fallas en el Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una administración centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan a un servicio de red.

El protocolo seguro que utilizan los controladores Ruijie para comunicarse con los servidores de Purple. Las solicitudes de autenticación van al puerto 1812 (UDP); los registros de contabilidad van al puerto 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Una especificación de protocolo que define cómo un Captive Portal redirecciona a los usuarios no autenticados a una página de inicio de sesión y cómo el controlador de acceso recibe el resultado de la autenticación.

El marco de protocolo específico utilizado por Ruijie y Purple para manejar la redirección externa del Captive Portal y el flujo de autenticación. Es requerido para el modo de portal externo en los gateways Ruijie.

VLAN isolation

La práctica de separar el tráfico de red en diferentes redes locales virtuales a nivel de switch, evitando que los dispositivos en diferentes VLAN se comuniquen directamente.

No negociable para redes de invitados. Garantiza que los dispositivos de los invitados no puedan comunicarse con los servidores corporativos, las laptops del personal o las terminales de pago, incluso si están conectados a la misma infraestructura física.

Portal Escape

Una función de Ruijie que libera automáticamente el tráfico del usuario si el punto de acceso y el servidor del portal dejan de estar disponibles, lo que permite el acceso a internet sin autenticación durante una interrupción.

Un equilibrio deliberado entre disponibilidad y seguridad. Los operadores de hotelería pueden habilitarlo para evitar quejas de los huéspedes durante las interrupciones del servicio. Los operadores de salud y comercio minorista normalmente lo deshabilitan para aplicar una autenticación estricta en todo momento.

SSID

Service Set Identifier. El nombre público de una red inalámbrica que los dispositivos muestran en su lista de redes disponibles.

El nombre de red que los invitados seleccionan en sus dispositivos, lo que activa la redirección al Captive Portal. Cada SSID en una implementación de Ruijie se asigna a una VLAN y a una política de autenticación específicas.

QoS

Quality of Service. Un conjunto de tecnologías que administran el tráfico de datos para reducir la pérdida de paquetes, la latencia y el jitter, y para garantizar un rendimiento predecible para tipos de tráfico específicos.

Se utiliza en redes de invitados para limitar el ancho de banda por usuario, evitando que un solo dispositivo sature el enlace de internet y degrade la experiencia de todos los demás usuarios conectados.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN.

Se utiliza para redes de personal que requieren identidad respaldada por un directorio (por ejemplo, a través de Microsoft Entra ID o Okta). Normalmente no se utiliza para redes de invitados, donde un Captive Portal con RADIUS es el patrón adecuado.

Ejemplos resueltos

Un hotel de 250 habitaciones utiliza puntos de acceso Ruijie RG-AP820-I y un gateway RG-EG310GH-E. Requieren que los huéspedes se autentiquen por correo electrónico para crear una base de datos de marketing. A la administración le preocupa que los huéspedes eviten el portal y la saturación del ancho de banda en las horas pico durante eventos de conferencias.

El equipo de TI crea una VLAN de invitados dedicada (VLAN 40) en el switch principal y la conecta mediante un trunk al gateway y a los AP Ruijie. En Ruijie Cloud, crean un SSID abierto mapeado a la VLAN 40. Configuran una política de Captive Portal externo que apunta a la URL de la página de inicio de Purple, con la URL del servidor del portal y las credenciales de RADIUS del panel de control de Purple. De manera crucial, configuran el Walled Garden para permitir el tráfico únicamente hacia los dominios de Purple y desactivan la función Portal Escape en el gateway Ruijie, lo que evita el acceso sin autenticación durante cualquier interrupción del portal. Aplican una política de QoS que limita a cada cliente a 10 Mbps de bajada y 3 Mbps de subida. Para los eventos de conferencias, crean un SSID separado en la VLAN 50 con un portal basado en cupones y límites de ancho de banda más estrictos de 5 Mbps por dispositivo.

Comentario del examinador: Este enfoque aísla correctamente el tráfico de invitados en la Capa 2, aplica la autenticación RADIUS externa para la captura de datos conforme a GDPR y aplica controles de ancho de banda proporcionales al caso de uso. Desactivar Portal Escape es una decisión de seguridad deliberada que evita el acceso sin autenticación durante las interrupciones de la red. El SSID de conferencia separado con autenticación por cupones es un patrón práctico para los establecimientos que albergan tanto a huéspedes transitorios como a asistentes a eventos con diferentes requisitos de acceso.

Una cadena de tiendas minoristas con 50 ubicaciones utiliza controladores Ruijie WS6008. Implementan el inicio de sesión social (Facebook y Google Workspace) para los compradores que acceden al WiFi, pero la página del portal se congela cuando los usuarios hacen clic en los botones de inicio de sesión social. El problema afecta a las 50 tiendas simultáneamente.

El gerente de TI identifica que en la configuración de la lista de permitidos (Walled Garden) en los controladores Ruijie faltan los dominios OAuth requeridos por Facebook y Google. Aunque la URL del portal de Purple estaba permitida correctamente, los dominios del proveedor social necesarios para el intercambio de OAuth estaban bloqueados por la intercepción del portal cautivo. El equipo agrega los dominios con comodines requeridos, específicamente *.facebook.com, *.fbcdn.net, accounts.google.com y *.googleapis.com, a la lista de permitidos de Ruijie. Envían la configuración actualizada a las 50 tiendas simultáneamente a través de Ruijie Cloud, resolviendo el problema en toda la propiedad en una sola operación.

Comentario del examinador: La configuración incorrecta de walled garden es la causa más común de fallas en el inicio de sesión social en las implementaciones de portales cautivos. El portal cautivo debe permitir explícitamente el tráfico de preautenticación hacia los dominios OAuth de los proveedores de identidad; de lo contrario, el proceso de redireccionamiento no puede completarse. El uso de Ruijie Cloud para el envío centralizado de la configuración es el enfoque correcto para una propiedad de múltiples tiendas - la configuración manual por tienda en 50 ubicaciones sería propensa a errores y requeriría mucho tiempo.

Preguntas de práctica

Q1. Ha configurado un Captive Portal externo en un gateway Ruijie RG-EG. Los invitados se conectan al SSID, pero sus dispositivos informan "Sin conexión a Internet" y la página del portal nunca se carga. ¿Cuál es el error de configuración más probable y cómo lo resuelve?

Sugerencia: Considere qué operaciones de red deben realizarse correctamente antes de que el usuario pueda ver la página de inicio de sesión.

Ver respuesta modelo

El walled garden (lista de permitidos) está mal configurado. El gateway Ruijie está bloqueando la resolución DNS o el tráfico HTTP requerido para llegar a la URL externa de la página de inicio de Purple. Antes de la autenticación, el dispositivo debe poder resolver el dominio del portal y establecer una conexión HTTP con él. Agregue los dominios específicos de Purple a la lista de permitidos previa a la autenticación en la sección Auth & Account de Ruijie. También verifique que la VLAN de invitados tenga un servidor DNS válido asignado a través de DHCP.

Q2. Un director de TI de un estadio desea implementar AP de Ruijie para el WiFi de los aficionados durante los eventos. Quieren recopilar datos de marketing pero les preocupa que la autenticación RADIUS cause demoras cuando 10,000 aficionados se conecten simultáneamente durante los primeros 30 minutos de la apertura de puertas. ¿Cómo deberían diseñar el flujo de autenticación para equilibrar la captura de datos con la experiencia del usuario?

Sugerencia: Considere el equilibrio entre la riqueza de los datos y la fricción de la autenticación a gran escala.

Ver respuesta modelo

Deberían usar el One-Click Login de Purple para los aficionados que regresan y que ya se han autenticado anteriormente, lo que evita tener que completar el formulario y reduce la carga de RADIUS. Para los nuevos aficionados, es preferible un formulario básico de captura de correo electrónico en lugar del inicio de sesión con redes sociales, que requiere flujos OAuth adicionales. La puerta de enlace de Ruijie debe estar dimensionada para manejar solicitudes RADIUS concurrentes; para 10,000 conexiones simultáneas, se requiere una puerta de enlace de alta capacidad de la serie RG-EG. Habilitar Seamless Online con una duración de sesión de 30 días significa que los aficionados que regresan se conectan automáticamente en los eventos siguientes. Los límites de QoS deben ser estrictos (5 Mbps por dispositivo) para evitar que los primeros en llegar saturen el enlace antes de que llegue la multitud principal.

Q3. Durante una auditoría de seguridad, un probador de penetración accede al servidor de archivos corporativo mientras está conectado al SSID "Guest WiFi" transmitido por un AP de Ruijie. La red de invitados utiliza un Captive Portal configurado correctamente. ¿Cómo se resuelve esta vulnerabilidad crítica?

Sugerencia: La autenticación y la segmentación de red son cuestiones independientes. Una no implica la otra.

Ver respuesta modelo

El Captive Portal funciona correctamente, pero falta el aislamiento de VLAN o está mal configurado. El SSID de invitados está enviando a los usuarios autenticados a la VLAN corporativa o a la VLAN nativa, que tiene acceso de enrutamiento a los servidores internos. Debe hacer lo siguiente: (1) crear una VLAN de invitados dedicada (por ejemplo, VLAN 50) en el switch principal; (2) asignar el SSID de invitados a la VLAN 50 en el controlador Ruijie; (3) configurar los puertos del switch que conectan los AP como troncales 802.1Q que permitan la VLAN 50; (4) configurar la puerta de enlace Ruijie para bloquear el enrutamiento entre la VLAN 50 y todas las subredes corporativas, permitiendo únicamente el tráfico saliente a Internet desde la VLAN de invitados. La autenticación y la segmentación de red son controles independientes; ambos deben estar configurados correctamente.

Q4. Su implementación de Ruijie tiene Portal Escape habilitado. Durante una ventana de mantenimiento planificada en los servidores RADIUS de Purple, nota que los invitados acceden a Internet sin autenticarse. ¿Es este el comportamiento esperado y cuáles son las implicaciones de cumplimiento?

Sugerencia: Considere el propósito de Portal Escape y sus obligaciones de GDPR.

Ver respuesta modelo

Sí, este es el comportamiento esperado de Portal Escape. Cuando el servidor del portal no está disponible, Ruijie libera automáticamente el tráfico para mantener la conectividad. Sin embargo, esto crea una brecha de cumplimiento: los usuarios acceden a Internet sin dar su consentimiento para el procesamiento de datos, lo que puede infringir los requisitos de GDPR si sus condiciones de servicio o la captura de datos están vinculadas al evento de autenticación. Para los lugares donde la captura del consentimiento es un requisito legal o comercial, Portal Escape debe desactivarse. Programe el mantenimiento del servidor RADIUS durante períodos de actividad mínima de invitados y comunique la ventana de mantenimiento a la administración del lugar. Considere la posibilidad de implementar un servidor RADIUS secundario de Purple como respaldo para eliminar por completo este escenario.