Saltar al contenido principal
Español (México)

Integración de Huawei AirEngine y CloudCampus con Purple WiFi

Esta guía proporciona instrucciones paso a paso para integrar los puntos de acceso Huawei AirEngine e iMaster NCE-Campus con Purple WiFi. Cubre la configuración de Captive Portal, la autenticación de personal 802.1X y el direccionamiento dinámico de VLAN mediante PPSK para redes empresariales.

📖 6 min de lectura📝 1,408 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido a la serie técnica de Purple. Soy su anfitrión, y hoy analizaremos una de las integraciones de WiFi empresarial más detalladas que vemos en el campo: los puntos de acceso Huawei AirEngine y el controlador CloudCampus iMaster NCE-Campus, integrados con Purple para WiFi de invitados, autenticación de personal y segmentación de red multi-inquilino. Si es un arquitecto de redes o gerente de TI que administra un entorno Huawei, ya sea un grupo hotelero, una cadena de tiendas de retail, un centro de conferencias o un campus del sector público, este episodio es para usted. Cubriremos todo el ecosistema: redirección de Captive Portal, ACLs de preautenticación, WiFi seguro para el personal mediante 802.1X y la función de clave precompartida privada (PPSK) de Huawei para el direccionamiento dinámico de VLAN entre múltiples inquilinos. Comencemos. Sección uno: Contexto y arquitectura. El portafolio AirEngine de Huawei, que abarca las series 5700, 6700, 8700 y 9700, funciona con WiFi 6 y WiFi 6E, y la serie de gama alta 9700 es compatible con WiFi 7. Estos son puntos de acceso empresariales de alto nivel. La capa de gestión es iMaster NCE-Campus, el controlador de red basado en la nube de Huawei, que maneja todo, desde el aprovisionamiento de SSID y el relevo RADIUS hasta la aplicación de políticas y el reenvío de syslog. Purple se sitúa por encima de esto como una superposición en la nube. Operamos en más de 80,000 establecimientos activos y hemos procesado 440 millones de inicios de sesión solo en 2024. Somos independientes del hardware, lo que significa que nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y, sí, Huawei AirEngine, utilizando los mismos estándares de RADIUS y Captive Portal que admite cualquier controlador empresarial. El modelo de integración aquí es sencillo. iMaster NCE-Campus actúa como el relevo RADIUS, reenviando las solicitudes de autenticación desde los puntos de acceso a los servidores RADIUS de Purple. Purple maneja la lógica de autenticación, ya sea una página de bienvenida para invitados, una verificación de credenciales 802.1X o una búsqueda de PPSK, y devuelve la respuesta RADIUS adecuada, incluidos los atributos de asignación dinámica de VLAN. Sección dos: Configuración de WiFi de invitados y Captive Portal. Comencemos con la implementación más común: WiFi de invitados con un Captive Portal de Purple. En iMaster NCE-Campus, navegue a Design, luego a Network Design y después a Template Management. Cree una plantilla de servidor de relevo RADIUS (RADIUS Relay Server). Los parámetros clave son: establecer el servicio de autenticación en Portal authentication, agregar las direcciones IP del servidor RADIUS de Purple en el puerto UDP 1812 para autenticación y 1813 para contabilidad (accounting), establecer el identificador NAS en Device MAC y configurar el secreto compartido. Purple proporciona estas credenciales RADIUS desde la pantalla de configuración del establecimiento en el panel de Purple. A continuación, cree una ACL; este es su Walled Garden. Antes de que un invitado se autentique, debe acceder a la página de bienvenida de Purple y a cualquier dominio de soporte. Sus reglas de ACL deben permitir DNS en UDP 53, permitir HTTPS al dominio del portal de Purple y permitir cualquier proveedor de inicio de sesión social que haya habilitado; por ejemplo, los endpoints de la API Graph de Facebook si utiliza el inicio de sesión social. Todo lo demás se deniega antes de la autenticación. Luego configure el SSID. Establezca el tipo de red en Open, seleccione Open plus Portal authentication, establezca el tipo de autenticación en Relay authentication by cloud platform y elija RADIUS relay como modo de interconexión. Establezca el protocolo de inserción de página (page push protocol) en HTTPS. En los parámetros de autenticación del portal de terceros, pegue la URL de redirección de Purple; esta es la URL de la página de bienvenida que copia del panel del establecimiento de Purple, con el sufijo modificado para incluir los parámetros específicos de Huawei: ap-mac, uaddress, umac, ssid y redirect-url. Finalmente, cree una plantilla de URL en iMaster NCE-Campus que asocie estos nombres de parámetros con los valores que Huawei pasa en la redirección. El mapeo de parámetros es: redirect-url a redirect-url, loginurl a login-url, device-mac a ap-mac, user-ip a uaddress, user-mac a umac y ssid a ssid. Una vez configurado esto, un invitado se conecta al SSID, obtiene una dirección DHCP, y el controlador intercepta su tráfico HTTP y lo redirige a la página de bienvenida de Purple. Se autentican, ya sea a través de correo electrónico, inicio de sesión social o verificación por SMS, y el servidor RADIUS de Purple envía un Access-Accept de vuelta a iMaster NCE-Campus, lo que le otorga al invitado acceso completo a Internet. Desde la perspectiva de los datos, Purple captura datos de consentimiento de primera mano en este punto. Cada inicio de sesión es una opción de consentimiento consciente, que cumple con GDPR y CCPA. Esos datos alimentan la plataforma de análisis de Purple, lo que le brinda la duración de la sesión, el tipo de dispositivo, las tasas de visitantes recurrentes y el tiempo de permanencia, todo sin ningún seguimiento de terceros. Sección tres: WiFi de personal seguro con 802.1X. Ahora hablemos del WiFi del personal. Esta es una postura de seguridad completamente diferente. No querrá que el personal esté en el mismo segmento de red que los invitados, ni querrá contraseñas PSK compartidas que se vayan con ellos cuando alguien deje la empresa. La respuesta es la autenticación 802.1X, definida en IEEE 802.1X-2020, utilizando EAP-TLS o EAP-PEAP. En iMaster NCE-Campus, cree un SSID independiente para el personal; llamémoslo CorpNet. En el perfil de autenticación para este SSID, establezca el modo de autenticación en 802.1X, apúntelo al servidor RADIUS de Purple y configure el perfil de seguridad en WPA2-Enterprise o WPA3-Enterprise con cifrado AES-CCMP. Purple también actúa como el servidor RADIUS aquí, pero ahora valida las credenciales contra su proveedor de identidad. Purple se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace. Cuando un miembro del personal se conecta a CorpNet, su dispositivo envía credenciales EAP al punto de acceso, que las transmite a través de RADIUS a Purple, que a su vez las valida contra Entra ID mediante SCIM o SAML. Si las credenciales son válidas, Purple devuelve un Access-Accept con un atributo RADIUS que especifica la VLAN del personal, por ejemplo, la VLAN 20. iMaster NCE-Campus dirige al cliente a esa VLAN automáticamente. Los atributos RADIUS clave para la asignación dinámica de VLAN son: Tunnel-Type establecido en VLAN o el valor 13, Tunnel-Medium-Type establecido en 802 o el valor 6, y Tunnel-Private-Group-ID establecido en el ID de la VLAN. Estos tres atributos juntos le indican al controlador de Huawei exactamente a qué VLAN asignar el cliente autenticado. Específicamente para EAP-TLS, que es el estándar de oro para la autenticación del personal, se necesitan certificados de cliente. El complemento SecurePass de Purple maneja la emisión y el ciclo de vida de los certificados, integrándose con su PKI existente o actuando como una autoridad de certificación ligera. Esto elimina por completo los ataques basados en contraseñas. Sin contraseña, no hay vector de phishing. Sección cuatro: Segmentación multi-inquilino con Huawei PPSK. Haquí es donde se pone realmente interesante. Si administra un establecimiento de uso mixto, como un centro comercial con múltiples inquilinos minoristas, un espacio de coworking con varias empresas miembro o un centro de conferencias que alberga eventos simultáneos, necesitará aislamiento de red entre los inquilinos sin tener que implementar un SSID independiente para cada uno. La función PPSK de Huawei (Private Pre-Shared Key) resuelve esto. A veces se le llama iPSK en otros ecosistemas de proveedores. El concepto es: un SSID, múltiples contraseñas únicas, cada contraseña mapeada a una VLAN específica. El inquilino A obtiene la contraseña Alpha, que se mapea a la VLAN 30. El inquilino B obtiene la contraseña Beta, que se mapea a la VLAN 40. Ambos inquilinos ven el mismo SSID, pero están completamente aislados en la Capa 2. En la CLI de Huawei, esto se configura en la vista WLAN utilizando el comando ppsk-user. Para cada inquilino, ejecute: ppsk-user psk pass-phrase, seguido de la frase de contraseña única, luego user-name, el identificador del inquilino, luego vlan, el ID de la VLAN, luego ssid, the SSID name. También puede establecer una fecha de vencimiento, un límite máximo de dispositivos y vincularlo a una dirección MAC específica si necesita un control más estricto. En iMaster NCE-Campus, la búsqueda de PPSK se puede manejar localmente en el controlador o, para implementaciones a gran escala, a través de RADIUS. Cuando se utiliza PPSK respaldado por RADIUS, Purple se convierte en la fuente autoritativa para los mapeos de PPSK a VLAN. El dispositivo de un inquilino se conecta con su frase de contraseña única, el controlador envía un Access-Request de RADIUS a Purple con la frase de contraseña como credencial, Purple busca el mapeo y devuelve un Access-Accept con los tres atributos de túnel de VLAN. El controlador dirige al cliente a la VLAN correcta. Esta arquitectura se escala a cientos de inquilinos en un solo SSID. También significa que puede aprovisionar, rotar y revocar credenciales de inquilinos desde el panel de Purple sin tocar la configuración del controlador. Sección cinco: Errores de implementación y cómo evitarlos. Permítame compartirle los tres modos de falla que veo con más frecuencia en las implementaciones de Huawei y Purple. Primero: el Walled Garden está incompleto. Los invitados se conectan al SSID, son redirigidos a la página de bienvenida, pero la página no se carga porque un dominio requerido, a menudo un endpoint de CDN o una API de inicio de sesión social, está bloqueado por la ACL de preautenticación. La solución es probar el flujo de la página de bienvenida desde un dispositivo nuevo antes de la puesta en marcha, capturar las consultas DNS y las conexiones HTTPS que realiza, y agregar cada dominio requerido a la ACL. Purple publica una lista de dominios requeridos en la documentación de integración. Segundo: discrepancia en el secreto compartido de RADIUS. El secreto configurado en iMaster NCE-Campus debe coincidir exactamente con el secreto en el panel de Purple. Una diferencia de un solo carácter provoca fallas de autenticación silenciosas; los registros del controlador muestran Access-Reject sin ningún mensaje de error útil. Siempre copie y pegue el secreto, nunca lo escriba manualmente. Tercero: mala configuración del enlace troncal (trunk) de VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si la VLAN ya está configurada como troncal en el puerto de enlace ascendente entre el punto de acceso y el switch de agregación. Si la VLAN 20 no está en la lista de permitidos (allow-pass) del enlace troncal en la interfaz del switch, los clientes del personal autenticados experimentarán un tiempo de espera de DHCP y parecerá que la autenticación falló. Audite sus configuraciones de enlace troncal antes de probar las VLANs asignadas por RADIUS. Sección seis: Preguntas rápidas. Pregunta: ¿Puedo usar el RADIUS integrado de Purple con la implementación local (on-premises) de iMaster NCE-Campus de Huawei, en lugar de la versión en la nube? Sí. Los servidores RADIUS de Purple están alojados en la nube y son accesibles a través de Internet. Su controlador local iMaster NCE-Campus necesita salida UDP 1812 y 1813 hacia los rangos de IP de RADIUS de Purple. Purple publica estos rangos de IP en el panel, en la configuración del establecimiento. Pregunta: ¿Huawei PPSK admite WPA3-SAE? A partir del firmware de AirEngine V600R025, WPA3-SAE-PPSK es compatible con las series 6700 y 9700. Verifique su versión de firmware antes de habilitar WPA3 en los SSIDs con PPSK. Pregunta: ¿Cómo maneja Purple el consentimiento de GDPR para el WiFi de invitados en el hardware de Huawei? La página de bienvenida de Purple recopila el consentimiento en el momento de la autenticación. El registro de consentimiento, que incluye la marca de tiempo, la dirección IP y los términos específicos aceptados, se almacena en la plataforma de Purple y se puede exportar para auditorías de cumplimiento. Esto se aplica independientemente del proveedor de hardware subyacente. Sección siete: Resumen y próximos pasos. Para resumir: Huawei AirEngine e iMaster NCE-Campus se integran con Purple a través de un relevo RADIUS para el Captive Portal de invitados, 802.1X para el WiFi del personal y PPSK para la segmentación de VLAN multi-inquilino. La configuración se encuentra en iMaster NCE-Campus en Design, Network Design, Template Management para la configuración de RADIUS y ACL, y en Provision, Device Configuration, Site Configuration para la vinculación del SSID y el perfil de autenticación. Sus próximos pasos: obtenga las credenciales RADIUS de Purple desde el panel de su establecimiento, configure la plantilla del servidor de relevo RADIUS en iMaster NCE-Campus, cree su ACL de Walled Garden, cree el SSID de invitados con autenticación Open más Portal y realice una prueba de extremo a extremo con un dispositivo nuevo antes de implementarlo en producción. Si va a implementar PPSK para el aislamiento multi-inquilino, planifique primero su esquema de VLAN; asegúrese de que cada VLAN de inquilino esté configurada como troncal de extremo a extremo antes de configurar un solo usuario de PPSK. Para obtener la guía de configuración completa paso a paso, incluidos ejemplos de CLI y diagramas de arquitectura, lea la guía escrita completa en el sitio web de Purple. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

Las redes empresariales exigen un hardware confiable combinado con una gestión de identidad inteligente. Los puntos de acceso Huawei AirEngine y el controlador iMaster NCE-Campus ofrecen conectividad de alta densidad, mientras que Purple proporciona la superposición en la nube para la autenticación, el análisis y la aplicación de políticas. Esta guía detalla la arquitectura de integración requerida para implementar WiFi de invitados , WiFi de personal seguro y WiFi multi-inquilino utilizando un solo controlador Huawei.

Al integrar Huawei CloudCampus con Purple, reemplaza los silos de autenticación dispares con una Red Unificada Basada en la Identidad. Operamos en más de 80,000 establecimientos activos y procesamos 440 millones de inicios de sesión en 2024. Nuestra plataforma independiente del hardware se integra de forma nativa con Huawei a través de protocolos estándar de RADIUS y Captive Portal. Esta integración permite opciones de consentimiento consciente para los visitantes, validación de certificados 802.1X para los empleados y direccionamiento dinámico de VLAN a través de claves precompartidas privadas (PPSK) para los inquilinos.

Ya sea que administre un estadio, un campus universitario o una cadena de tiendas de retail, este documento proporciona los pasos de configuración exactos, los atributos RADIUS y las listas de control de acceso requeridos para proteger su borde inalámbrico y capturar datos de primera mano a escala.

Escuche el podcast de información técnica:

Análisis Técnico Detallado

La integración se basa en protocolos estándar: RADIUS (UDP 1812/1813) para autenticación y contabilidad, e HTTPS (TCP 443) para la redirección de Captive Portal. iMaster NCE-Campus actúa como el servidor de acceso a la red (NAS) y el relevo RADIUS, reenviando las solicitudes desde los puntos de acceso AirEngine a la infraestructura RADIUS en la nube de Purple.

Descripción General de la Arquitectura

architecture_overview.png

Purple admite tres modelos de autenticación principales en el hardware de Huawei:

  1. WiFi de invitados (Captive Portal): El tráfico no autenticado es interceptado por el controlador de Huawei y redirigido a la página de bienvenida de Purple. El acceso antes de la autenticación está restringido por una ACL de Walled Garden. Tras un inicio de sesión exitoso, Purple envía un Access-Accept de RADIUS, otorgando al cliente acceso completo a la red.
  2. WiFi de personal (802.1X): Los empleados se autentican utilizando credenciales corporativas a través de EAP-PEAP o EAP-TLS. Purple valida estas credenciales contra proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace.
  3. WiFi multi-inquilino (PPSK): Los inquilinos se conectan a un solo SSID compartido utilizando frases de contraseña únicas. Purple valida la frase de contraseña y devuelve atributos RADIUS específicos para dirigir dinámicamente al inquilino a su VLAN aislada.

Walled Garden y ACLs de Preautenticación

Un Captive Portal requiere un Walled Garden: una Lista de Control de Acceso (ACL) que permite el tráfico a servicios esenciales antes de que el usuario se autentique. Si el Walled Garden está incompleto, la página de bienvenida no se cargará, lo que resultará en una mala experiencia para el visitante.

Para Huawei iMaster NCE-Campus, la ACL de preautenticación debe permitir:

  • Resolución de DNS (UDP 53)
  • Los dominios de Captive Portal de Purple (*.purpleportal.net, *.purple.ai)
  • Redes de Distribución de Contenido (CDNs) que alojan los recursos de la página de bienvenida
  • Dominios de proveedores de identidad si el inicio de sesión social (Apple, Google, Facebook) está habilitado

Todo el demás tráfico debe ser denegado hasta que Purple devuelva el Access-Accept de RADIUS.

Direccionamiento Dinámico de VLAN y Atributos RADIUS

Para aislar el tráfico de red, Purple utiliza la asignación dinámica de VLAN. En lugar de transmitir múltiples SSIDs, transmite un solo SSID y asigna la VLAN dinámicamente según la identidad del usuario.

Cuando Purple autentica a un usuario (a través de 802.1X o PPSK), devuelve un paquete Access-Accept que contiene tres atributos RADIUS estándar de la IETF obligatorios:

  • Tunnel-Type = VLAN (o 13)
  • Tunnel-Medium-Type = 802 (o 6)
  • Tunnel-Private-Group-ID = [ID de VLAN]

El controlador de Huawei recibe estos atributos e indica al punto de acceso AirEngine que etiquete el tráfico del cliente con el ID de VLAN especificado.

ppsk_vlan_segmentation.png

Guía de Implementación

Esta sección cubre los pasos exactos para configurar iMaster NCE-Campus para la integración con Purple.

Paso 1: Configurar el Servidor de Relevo RADIUS

Primero, defina a Purple como el servidor de autenticación externo.

  1. En iMaster NCE-Campus, navegue a Design > Network Design > Template Management.
  2. Seleccione RADIUS Server y haga clic en Create.
  3. Establezca el Authentication service en Portal authentication.
  4. Ingrese las direcciones IP de RADIUS primaria y secundaria de Purple (disponibles en su panel de Purple).
  5. Establezca el puerto de autenticación en 1812 y el puerto de contabilidad en 1813.
  6. Ingrese el Secreto Compartido de RADIUS proporcionado por Purple.
  7. Establezca el NAS identifier en Device MAC.

Paso 2: Crear la ACL de Walled Garden

Cree la ACL para permitir el tráfico antes de la autenticación.

  1. Navegue a Design > Network Design > Template Management > ACL.
  2. Cree una nueva ACL llamada Purple_Walled_Garden.
  3. Establezca el ACL Type en User.
  4. Agregue reglas de permiso para DNS y los dominios requeridos de Purple (por ejemplo, *.purpleportal.net).
  5. Guarde la plantilla de ACL.

Paso 3: Configurar la Plantilla de URL de Captive Portal

Huawei requiere una plantilla de URL para mapear los parámetros de redirección estándar al formato requerido por Purple.

  1. Navegue a Design > Network Design > Template Management > URL Template.
  2. Cree una nueva plantilla llamada Purple_URL_Template.
  3. Establezca el Template Type en Cloud platform-based relay authentication.
  4. Configure la asignación de parámetros exactamente de la siguiente manera:
    • redirect-url se asigna a redirect-url
    • loginurl se asigna a login-url
    • device-mac se asigna a ap-mac
    • user-ip se asigna a uaddress
    • user-mac se asigna a umac
    • ssid se asigna a ssid

Paso 4: Aprovisionar el SSID de invitados

Asocie el servidor RADIUS, la ACL y la plantilla de URL al SSID.

  1. Navegue a Provision > Device Configuration > Site Configuration.
  2. Seleccione AP y cree un nuevo SSID.
  3. Establezca el Network Type en Open.
  4. Seleccione Open+Portal authentication.
  5. Establezca el tipo de autenticación en Relay authentication by cloud platform.
  6. Establezca el modo de interconexión en RADIUS relay.
  7. Seleccione la plantilla Purple_URL_Template creada anteriormente.
  8. En el campo de URL de autenticación de terceros, pegue su URL única de la página de bienvenida de Purple.
  9. Seleccione la plantilla de servidor RADIUS de Purple.
  10. Seleccione la ACL Purple_Walled_Garden para la regla de permiso predeterminada.
  11. Guarde y despliegue la configuración en los puntos de acceso AirEngine.

Mejores prácticas

Para garantizar un despliegue seguro y confiable, siga estas mejores prácticas independientes del proveedor:

  • Implemente 802.1X para empleados: Nunca utilice PSK compartidas para las redes del personal. Despliegue 802.1X con EAP-TLS utilizando el complemento SecurePass de Purple para emitir certificados de cliente. Esto elimina los vectores de phishing basados en contraseñas y se alinea con los requisitos de la norma ISO 27001.
  • Consolide los SSID: Transmitir demasiados SSID disminuye la eficiencia del tiempo de aire debido a la sobrecarga de las tramas de gestión. Utilice PPSK y el direccionamiento dinámico de VLAN para consolidar redes multiinquilino en un solo SSID.
  • Verifique las configuraciones de enlace troncal (trunk): La asignación dinámica de VLAN falla silenciosamente si la VLAN asignada no está permitida en el puerto troncal del switch que conecta el punto de acceso. Siempre audite las configuraciones de los puertos del switch antes de probar el direccionamiento RADIUS.
  • Monitoree la latencia de RADIUS: Los tiempos de espera de autenticación a menudo se deben a la latencia de la WAN. Asegúrese de que su controlador iMaster NCE-Campus tenga una ruta de baja latencia hacia la infraestructura regional de RADIUS de Purple.

Resolución de problemas y mitigación de riesgos

Al integrar RADIUS en la nube con controladores empresariales, los problemas suelen limitarse a tres áreas: el Walled Garden, el secreto compartido de RADIUS o el enlace troncal de VLAN.

La página de bienvenida no se carga

Síntoma: Un dispositivo se conecta a la red WiFi de invitados, pero el navegador muestra un error de tiempo de espera en lugar de la página de bienvenida de Purple. Causa raíz: La ACL del Walled Garden está incompleta, lo que bloquea el acceso a los dominios del portal de Purple o a las CDN requeridas. Mitigación: Conecte un dispositivo de prueba al SSID. Intente hacer ping a purpleportal.net. Si el ping falla, revise la configuración de la ACL de iMaster NCE-Campus y asegúrese de que se aplique al estado de preautenticación del SSID.

Fallas de autenticación silenciosas

Síntoma: Un usuario ingresa credenciales válidas, pero la conexión se cae sin mostrar un mensaje de error. Causa raíz: Existe una discrepancia en el secreto compartido de RADIUS entre iMaster NCE-Campus y Purple. Mitigación: Copie el secreto compartido directamente desde el panel de control de Purple y péguelo en la plantilla del servidor RADIUS de Huawei. Un solo espacio al final romperá el hash MD5 utilizado en los paquetes RADIUS.

Tiempo de espera de DHCP agotado después de la autenticación

Síntoma: Un miembro del personal se autentica con éxito a través de 802.1X, pero el dispositivo recibe una dirección APIPA 169.254.x.x en lugar de una IP válida. Causa raíz: Purple asignó con éxito una VLAN dinámica a través de RADIUS, pero esa VLAN no está configurada como troncal (trunk) hacia el punto de acceso AirEngine. Mitigación: Inicie sesión en el switch de acceso y verifique que el comando port trunk allow-pass vlan incluya el ID de la VLAN de destino en la interfaz conectada al AP.

ROI e impacto comercial

Desplegar Huawei AirEngine con Purple transforma una infraestructura de red estándar en un activo comercial medible.

Para los operadores de Retail , esta integración captura datos de primera mano de los compradores, lo que permite realizar campañas de marketing dirigidas que aumentan la afluencia de clientes y el valor promedio de las transacciones. El panel de control de WiFi Analytics de Purple ofrece mapas de calor y métricas de tiempo de permanencia, lo que permite a los administradores de los establecimientos optimizar el diseño de las tiendas en función del comportamiento real de los visitantes.

En entornos de Hospitalidad , la autenticación automatizada a través de OpenRoaming o Passpoint elimina la fricción de los inicios de sesión manuales, lo que aumenta las puntuaciones de satisfacción de los huéspedes. Para edificios multiinquilino, el direccionamiento dinámico de VLAN de PPSK reduce la carga de trabajo de TI al eliminar la necesidad de aprovisionar y administrar manualmente SSID independientes para cada nuevo inquilino.

Al unificar la interacción con los clientes, la seguridad del personal y el aislamiento de los inquilinos en una sola infraestructura de hardware, las organizaciones maximizan el retorno de su inversión en Huawei CloudCampus.

Definiciones clave

iMaster NCE-Campus

La plataforma de gestión y automatización de redes basada en la nube o local de Huawei.

Los equipos de TI utilizan esto como el controlador central para configurar SSIDs, enviar políticas a los APs AirEngine y configurar el relevo RADIUS hacia Purple.

PPSK (Private Pre-Shared Key)

Una función de seguridad que permite utilizar múltiples contraseñas únicas en un solo SSID, donde cada contraseña vincula al usuario a una política de red o VLAN específica.

Esencial para entornos multi-inquilino (como espacios de coworking o parques comerciales) donde los inquilinos necesitan redes aisladas sin transmitir docenas de SSIDs.

Dynamic VLAN Steering

El proceso de asignar un dispositivo a una Red de Área Local Virtual específica según su identidad autenticada, en lugar del SSID al que se conectó.

Utilizado por Purple para garantizar que un gerente, un cajero y un invitado que se conectan al mismo punto de acceso físico se ubiquen en segmentos de red completamente separados y seguros.

Walled Garden

Una Lista de Control de Acceso (ACL) aplicada a usuarios no autenticados, que permite el acceso únicamente a direcciones IP o dominios específicos requeridos para completar el proceso de inicio de sesión.

Si el Walled Garden está mal configurado, los invitados verán una pantalla en blanco o un error de tiempo de espera en lugar de la página de bienvenida de Purple.

RADIUS Relay

Una configuración en la que el controlador de red local reenvía las solicitudes de autenticación desde los puntos de acceso a un servidor RADIUS externo.

Huawei iMaster NCE-Campus actúa como el relevo, pasando de forma segura las credenciales desde el establecimiento hacia la infraestructura en la nube de Purple para su validación.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El estándar empresarial para WiFi de personal. Reemplaza las contraseñas compartidas con credenciales de usuario individuales o certificados digitales.

EAP-TLS

Protocolo de Autenticación Extensible - Seguridad de la Capa de Transporte. Un método de autenticación 802.1X que se basa en certificados de cliente y servidor en lugar de contraseñas.

El método de autenticación más seguro disponible. SecurePass de Purple emite estos certificados a los dispositivos de los empleados para eliminar los riesgos de phishing.

Captive Portal

Una página web que un usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.

El mecanismo principal que utiliza Purple para capturar datos de primera mano y el consentimiento de los visitantes del establecimiento.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita proporcionar WiFi seguro y aislado para huéspedes, personal y una cafetería externa que opera en el lobby, utilizando solo dos SSIDs para conservar el tiempo de aire.

Implemente un SSID llamado 'Hotel_Guest' configurado con una política de autenticación Open+Portal que apunte al Captive Portal de Purple. Implemente un segundo SSID llamado 'Hotel_Secure' configurado con autenticación WPA3-Enterprise y 802.1X. El personal se autentica a través de EAP-TLS y Purple devuelve un atributo RADIUS que los asigna a la VLAN 20. La cafetería utiliza PPSK en el mismo SSID 'Hotel_Secure'; ingresan una frase de contraseña única y Purple devuelve un atributo RADIUS que los asigna a la VLAN 30.

Comentario del examinador: Este enfoque optimiza el rendimiento de RF al limitar la sobrecarga de SSID. Al aprovechar a Purple como la autoridad RADIUS central, el hotel logra un aislamiento completo de Capa 2 entre el personal y el inquilino sin necesidad de implementar hardware adicional o un enrutamiento complejo en el controlador.

Una gran cadena de tiendas de retail se está migrando a Huawei AirEngine y necesita asegurarse de que su página de bienvenida existente de Purple se cargue correctamente en todas las tiendas sin activar advertencias de seguridad en los teléfonos inteligentes modernos.

Configure la plantilla de URL de iMaster NCE-Campus para mapear con precisión los parámetros requeridos (ap-mac, uaddress, umac, ssid, redirect-url). Cree una ACL de Walled Garden integral que permita el tráfico DNS (UDP 53) y HTTPS (TCP 443) hacia los dominios de Purple y cualquier API de inicio de sesión social requerida. Asegúrese de que el controlador intercepte el tráfico HTTP y lo redirija a la página de bienvenida HTTPS.

Comentario del examinador: Las implementaciones de sistemas operativos modernos (iOS, Android) utilizan mecanismos estrictos de detección de Captive Portal. Si el Walled Garden bloquea las CDNs requeridas o si la redirección depende de certificados SSL inválidos, el sistema operativo interrumpirá la conexión. La configuración precisa de la ACL es fundamental para una experiencia de usuario fluida.

Preguntas de práctica

Q1. Ha configurado el SSID de invitados y la ACL de Walled Garden en iMaster NCE-Campus. Al probar la conexión, su teléfono detecta el Captive Portal, pero la pantalla permanece en blanco. ¿Cuál es la causa más probable?

Sugerencia: Considere lo que el dispositivo necesita para cargar una página web moderna alojada en una plataforma en la nube.

Ver respuesta modelo

Es probable que a la ACL de Walled Garden le falten reglas de permiso para los dominios requeridos. Específicamente, se debe permitir el DNS (UDP 53), junto con el acceso HTTPS a los dominios del portal de Purple y a cualquier Red de Distribución de Contenido (CDN) que aloje los recursos de la página. Si el inicio de sesión social está habilitado, esos endpoints de API específicos también deben permitirse antes de la autenticación.

Q2. Un inquilino que utiliza su red PPSK se queja de que no puede acceder a Internet. Revisa los registros de iMaster NCE-Campus y ve que Purple devolvió un Access-Accept de RADIUS con Tunnel-Private-Group-ID establecido en 40. Sin embargo, el dispositivo cliente tiene una dirección IP de 169.254.x.x. ¿Cuál es el error de configuración?

Sugerencia: La autenticación fue exitosa, pero el enrutamiento de red falló en el borde.

Ver respuesta modelo

El puerto del switch que conecta el punto de acceso Huawei AirEngine a la red no está configurado para el enlace troncal (trunk) de la VLAN 40. Aunque Purple autorizó con éxito al usuario y el controlador indicó al AP que etiquetara el tráfico con la VLAN 40, el switch ascendente descartó los paquetes porque la VLAN no está permitida en el enlace troncal. Debe agregar la VLAN 40 a la lista de permitidos (allow-pass) del enlace troncal en el switch de acceso.

Q3. Se está migrando de un controlador heredado a Huawei iMaster NCE-Campus. Configura la plantilla del servidor RADIUS exactamente como estaba en el sistema anterior, pero todas las solicitudes de autenticación fallan silenciosamente. ¿Qué debería verificar primero?

Sugerencia: Las fallas silenciosas en RADIUS generalmente indican una discrepancia criptográfica.

Ver respuesta modelo

Verifique el Secreto Compartido (Shared Secret) de RADIUS. Si el secreto configurado en iMaster NCE-Campus no coincide perfectamente con el secreto en el panel de Purple, los paquetes RADIUS no se podrán descifrar, lo que provocará fallas silenciosas o mensajes de Access-Reject sin códigos de error claros. Asegúrese de que no haya espacios al final al copiar el secreto.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.

Leer la guía →