Ver transcripción del podcast
Bienvenido a la serie técnica de Purple. Soy su anfitrión, y hoy analizaremos una de las integraciones de WiFi empresarial más detalladas que vemos en el campo: los puntos de acceso Huawei AirEngine y el controlador CloudCampus iMaster NCE-Campus, integrados con Purple para WiFi de invitados, autenticación de personal y segmentación de red multi-tenant.
Si es un arquitecto de red o administrador de TI que gestiona un entorno de Huawei - ya sea un grupo hotelero, una cadena de retail, un centro de conferencias o un campus del sector público - este episodio es para usted. Cubriremos todo el stack: redirección de Captive Portal, ACLs de preautenticación, WiFi seguro para el personal mediante 802.1X, y la función Private Pre-Shared Key de Huawei para el direccionamiento dinámico de VLAN entre múltiples inquilinos.
Comencemos.
Sección uno: Contexto y arquitectura.
La cartera de AirEngine de Huawei - que abarca las series 5700, 6700, 8700 y 9700 - funciona con WiFi 6 y WiFi 6E, y la serie de gama alta 9700 es compatible con WiFi 7. Estos son puntos de acceso empresariales de gran capacidad. La capa de gestión es iMaster NCE-Campus, el controlador de red basado en la nube de Huawei, que se encarga de todo, desde el aprovisionamiento de SSID y el relé RADIUS hasta la aplicación de políticas y el reenvío de syslog.
Purple se sitúa por encima de esto como una capa en la nube. Operamos en 80,000 ubicaciones activas y hemos procesado 440 millones de inicios de sesión solo en 2024. Somos independientes del hardware - lo que significa que nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y, por supuesto, Huawei AirEngine - utilizando los mismos estándares de RADIUS y Captive Portal que admite cualquier controlador empresarial.
El modelo de integración aquí es sencillo. iMaster NCE-Campus actúa como el relé RADIUS, reenviando las solicitudes de autenticación de los puntos de acceso a los servidores RADIUS de Purple. Purple gestiona la lógica de autenticación - ya sea una página de bienvenida para invitados, una verificación de credenciales 802.1X o una búsqueda PPSK - y devuelve la respuesta RADIUS adecuada, incluidos los atributos de asignación dinámica de VLAN.
Sección dos: Configuración de WiFi de invitados y Captive Portal.
Comencemos con la implementación más común: WiFi de invitados con un Captive Portal de Purple.
En iMaster NCE-Campus, navegue a Design, luego a Network Design y después a Template Management. Cree una plantilla de RADIUS Relay Server. Los parámetros clave son: configurar el servicio de autenticación en Portal authentication, agregar las direcciones IP del servidor RADIUS de Purple en el puerto UDP 1812 para autenticación y 1813 para contabilidad, configurar el identificador NAS como Device MAC y configurar el secreto compartido. Purple proporciona estas credenciales RADIUS desde la pantalla de configuración del sitio en el panel de control de Purple.
A continuación, cree una ACL - este es su Walled Garden. Antes de que un usuario invitado se autentique, debe llegar a la splash page de Purple y a cualquier dominio de soporte. Sus reglas de ACL deben permitir DNS en UDP 53, permitir HTTPS para el dominio del portal de Purple y permitir cualquier proveedor de inicio de sesión social que haya habilitado - por ejemplo, los endpoints de la API graph de Facebook si está utilizando el inicio de sesión social. Todo lo demás se deniega antes de la autenticación.
Luego configure el SSID. Establezca el tipo de red en Open, seleccione autenticación Open más Portal, establezca el tipo de autenticación en Relay de autenticación por plataforma en la nube y elija RADIUS relay como el modo de interconexión. Establezca el protocolo de envío de página en HTTPS. En los parámetros de autenticación del portal de terceros, pegue la URL de redireccionamiento de Purple - esta es la URL de la splash page que copia del panel de control de sede de Purple, con el sufijo modificado para incluir los parámetros específicos de Huawei: ap-mac, uaddress, umac, ssid y redirect-url.
Finalmente, cree una plantilla de URL en iMaster NCE-Campus que asocie estos nombres de parámetros con los valores que Huawei pasa en el redireccionamiento. El mapeo de parámetros es: redirect-url a redirect-url, loginurl a login-url, device-mac a ap-mac, user-ip a uaddress, user-mac a umac y ssid a ssid.
Una vez configurado esto, un invitado se conecta al SSID, obtiene una dirección DHCP y el controlador intercepta su tráfico HTTP y lo redirecciona a la splash page de Purple. Se autentican - a través de correo electrónico, inicio de sesión social o verificación por SMS - y el servidor RADIUS de Purple envía un Access-Accept de vuelta a iMaster NCE-Campus, el cual otorga al invitado acceso total a internet.
Desde la perspectiva de los datos, Purple captura los datos de consentimiento de primera mano en este punto. Cada inicio de sesión es una opción de inclusión voluntaria de elección consciente, que cumple con GDPR y CCPA. Esos datos alimentan la plataforma de analítica de Purple, brindándole la duración de la sesión, el tipo de dispositivo, las tasas de visitantes recurrentes y el tiempo de permanencia - todo sin ningún seguimiento de terceros.
Sección tres: WiFi seguro para el personal con 802.1X.
Ahora hablemos del WiFi para el personal. Esta es una postura de seguridad totalmente diferente. No desea que el personal esté en el mismo segmento de red que los invitados, y no desea contraseñas PSK compartidas que se vayan cuando alguien se marcha de la empresa.
La respuesta es la autenticación 802.1X, definida en IEEE 802.1X-2020, utilizando EAP-TLS o EAP-PEAP. En iMaster NCE-Campus, cree un SSID independiente para el personal - llamémoslo CorpNet. En el perfil de autenticación para este SSID, configure el modo de autenticación en 802.1X, apúntelo al servidor RADIUS de Purple y configure el perfil de seguridad en WPA2 o WPA3-Enterprise con cifrado AES-CCMP.Purple actúa como el servidor RADIUS aquí también, pero ahora está validando las credenciales contra su proveedor de identidad. Purple se integra de forma nativa con Microsoft Entra ID, Okta y Google Workspace. Cuando un miembro del personal se conecta a CorpNet, su dispositivo envía credenciales EAP al punto de acceso, que las retransmite a través de RADIUS a Purple, el cual las valida contra Entra ID utilizando SCIM o SAML. Si las credenciales son válidas, Purple devuelve un Access-Accept con un atributo RADIUS que especifica la VLAN del personal - por ejemplo, VLAN 20. iMaster NCE-Campus dirige al cliente a esa VLAN automáticamente.
Los atributos RADIUS clave para la asignación dinámica de VLAN son: Tunnel-Type configurado en VLAN o el valor 13, Tunnel-Medium-Type configurado en 802 o el valor 6, y Tunnel-Private-Group-ID configurado en el ID de la VLAN. Estos tres atributos juntos le dicen al controlador de Huawei exactamente a qué VLAN asignar el cliente autenticado.
Específicamente para EAP-TLS - que es el estándar de oro para la autenticación del personal - se necesitan certificados de cliente. El complemento SecurePass de Purple gestiona la emisión y el ciclo de vida de los certificados, integrándose con su PKI existente o actuando como una autoridad de certificación ligera. Esto elimina por completo los ataques basados en contraseñas. Sin contraseña, no hay vector de phishing.
Sección cuatro: Segmentación multi-inquilino con PPSK de Huawei.
Aquí es donde se pone realmente interesante. Si gestiona un espacio de uso mixto - un centro comercial con múltiples inquilinos minoristas, un espacio de co-working con múltiples empresas miembro o un centro de conferencias que alberga eventos simultáneos - necesita aislamiento de red entre los inquilinos sin tener que implementar un SSID independiente para cada uno.
La función PPSK de Huawei - Private Pre-Shared Key - resuelve esto. A veces se le llama iPSK en los ecosistemas de otros proveedores. El concepto es: un SSID, múltiples contraseñas únicas, cada contraseña asignada a una VLAN específica. El inquilino A obtiene la contraseña Alpha, que se asigna a la VLAN 30. El inquilino B obtiene la contraseña Beta, que se asigna a la VLAN 40. Ambos inquilinos ven el mismo SSID, pero están completamente aislados en la Capa 2.
En la CLI de Huawei, esto se configura en la vista WLAN utilizando el comando ppsk-user. Para cada inquilino, se ejecuta: ppsk-user psk pass-phrase, seguido de la frase de contraseña única, luego user-name, el identificador del inquilino, después vlan, el ID de la VLAN, luego ssid, el nombre del SSID. También puede establecer una fecha de vencimiento, un límite máximo de dispositivos y vincularlo a una dirección MAC específica si necesita un control más estricto.
En iMaster NCE-Campus, la búsqueda de PPSK se puede manejar localmente en el controlador o - para despliegues a gran escala - a través de RADIUS. Cuando se utiliza PPSK respaldado por RADIUS, Purple se convierte en la fuente autoritativa para las asignaciones de PPSK a VLAN. El dispositivo de un inquilino se conecta con su frase de contraseña única, el controlador envía un Access-Request de RADIUS a Purple con la frase de contraseña como credencial, Purple busca la asignación y devuelve un Access-Accept con los tres atributos de túnel de VLAN. El controlador dirige al cliente a la VLAN correcta.
Esta arquitectura se escala a cientos de inquilinos en un solo SSID. También significa que puede aprovisionar, rotar y revocar credenciales de inquilinos desde el panel de Purple sin tocar la configuración del controlador.
Sección cinco: Errores de implementación y cómo evitarlos.
Permítame presentarle los tres modos de falla que veo con más frecuencia en las implementaciones de Huawei y Purple.
Primero: el Walled Garden está incompleto. Los invitados se conectan al SSID, se les redirige a la página de bienvenida, pero la página no se carga porque un dominio requerido - a menudo un endpoint de CDN o una API de inicio de sesión social - está bloqueado por la ACL de preautenticación. La solución es probar el flujo de la página de bienvenida desde un dispositivo nuevo antes de la puesta en marcha, capturar las consultas DNS y las conexiones HTTPS que realiza, y agregar cada dominio requerido a la ACL. Purple publica una lista de dominios requeridos en la documentación de integración.
Segundo: discrepancia en el secreto compartido de RADIUS. El secreto configurado en iMaster NCE-Campus debe coincidir exactamente con el secreto en el panel de Purple. Una diferencia de un solo carácter provoca fallas de autenticación silenciosas; los registros del controlador muestran Access-Reject sin un mensaje de error útil. Siempre copie y pegue el secreto, nunca lo escriba manualmente.
Tercero: mala configuración del trunk de VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si la VLAN ya está en el trunk del puerto de enlace ascendente entre el punto de acceso y el switch de agregación. Si la VLAN 20 no está en la lista de permitidas del trunk en la interfaz del switch, los clientes del personal autenticados experimentarán un tiempo de espera de DHCP agotado y parecerá que la autenticación falló. Audite sus configuraciones de trunk antes de probar las VLAN asignadas por RADIUS.
Sección seis: Preguntas rápidas.
Pregunta: ¿Puedo usar el RADIUS integrado de Purple con la implementación local de iMaster NCE-Campus de Huawei, en lugar de la versión en la nube?
Sí. Los servidores RADIUS de Purple están alojados en la nube y son accesibles a través de Internet. Su controlador local iMaster NCE-Campus necesita salida UDP 1812 y 1813 hacia los rangos de IP de RADIUS de Purple. Purple publica estos rangos de IP en el panel de control dentro de la configuración del sitio.
Pregunta: ¿El PPSK de Huawei es compatible con WPA3-SAE?
A partir del firmware AirEngine V600R025, WPA3-SAE-PPSK es compatible con las series 6700 y 9700. Verifique su versión de firmware antes de habilitar WPA3 en los SSID con PPSK.
Pregunta: ¿Cómo maneja Purple el consentimiento de GDPR para el WiFi de invitados en el hardware de Huawei?
La página de bienvenida de Purple recopila el consentimiento en el punto de autenticación. El registro de consentimiento - que incluye la marca de tiempo, la dirección IP y los términos específicos aceptados - se almacena en la plataforma de Purple y se puede exportar para auditorías de cumplimiento. Esto se aplica independientemente del proveedor de hardware subyacente.
Sección siete: Resumen y próximos pasos.
En resumen: Huawei AirEngine e iMaster NCE-Campus se integran con Purple mediante relevo RADIUS para el Captive Portal de invitados, 802.1X para el WiFi del personal y PPSK para la segmentación de VLAN multi-tenant. La configuración se encuentra en iMaster NCE-Campus bajo Design, Network Design, Template Management para la configuración de RADIUS y ACL, y bajo Provision, Device Configuration, Site Configuration para la vinculación de SSID y perfiles de autenticación.
Sus siguientes pasos: obtenga las credenciales de RADIUS de Purple desde el panel de control de su recinto, configure la plantilla de servidor de relevo RADIUS en iMaster NCE-Campus, cree su ACL de Walled Garden, configure el SSID de invitados con autenticación Open más Portal y realice pruebas de extremo a extremo con un dispositivo nuevo antes de implementarlo en producción.
Si está implementando PPSK para el aislamiento de multi-tenant, planifique primero su esquema de VLAN - asegúrese de que cada VLAN de inquilino esté en modo troncal de extremo a extremo antes de configurar un solo usuario de PPSK.
Para obtener la guía de configuración completa paso a paso, incluyendo ejemplos de CLI y diagramas de arquitectura, lea la guía escrita completa en el sitio web de Purple. Gracias por su atención.
