Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Esta guía detalla la integración paso a paso de Cisco WLC y Catalyst 9800 Wireless con Purple, abarcando la redirección del Captive Portal de Guest WiFi a través de Central Web Authentication, Secure Staff WiFi usando 802.1X EAP-TLS, y la segmentación Multi-Tenant utilizando Cisco Identity Pre-Shared Keys (iPSK) con asignación dinámica de VLAN. Está escrita para arquitectos de redes empresariales y directores de seguridad de TI que implementan infraestructura de Cisco en hotelería, retail y grandes recintos públicos.

📖 9 min de lectura📝 2,116 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al Technical Briefing de Purple. Soy su anfitrión, y hoy cubriremos un escenario de implementación definitivo para arquitectos de redes empresariales: la integración de los controladores de LAN inalámbricos de Cisco y el hardware Catalyst 9800 con la plataforma Purple WiFi. Si administra el departamento de TI de una cadena hotelera, una red de retail o un gran recinto público, sabe que depender de claves precompartidas básicas es un riesgo de seguridad inaceptable. Hoy, describiremos la arquitectura paso a paso para segmentar su red, proteger a su personal y convertir su WiFi de invitados en un activo impulsado por datos.

Establezcamos el contexto. Un entorno inalámbrico empresarial debe gestionar tres perfiles distintos: Invitados, Personal y dispositivos sin interfaz (Headless) o de inquilinos. No puede tratarlos de la misma manera, y no puede transmitir veinte SSIDs diferentes para adaptarlos. La solución es una infraestructura de hardware unificada que aprovecha diferentes mecanismos de autenticación en un solo controlador de LAN inalámbrico Cisco Catalyst 9800.

Ahora profundicemos en la arquitectura técnica. El primer nivel es el WiFi de invitados. El objetivo aquí es un acceso sin fricciones combinado con la captura de datos. Logramos esto utilizando un SSID abierto y Autenticación Web Central, o CWA. Cuando un invitado se conecta, el WLC de Cisco aplica una lista de control de acceso de preautenticación. Este es su jardín amurallado (walled garden). Bloquea el acceso general a Internet pero permite el tráfico a los dominios de Purple y servicios esenciales. Cuando el invitado intenta navegar, el WLC intercepta la solicitud HTTP y lo redirige a la página de inicio del Captive Portal de Purple. Una vez que se autentica, tal vez a través de un formulario de registro, un inicio de sesión social o un código de un solo uso, Purple actúa como el servidor RADIUS. Envía un mensaje de Cambio de Autorización, conocido como CoA, al WLC. Esto mueve al cliente a una VLAN de invitados aislada y le otorga acceso a Internet. Todo el flujo está automatizado y cada inicio de sesión se registra en la plataforma de analítica de Purple.

El segundo nivel es el WiFi del personal. Para los dispositivos corporativos, exigimos la autenticación 802.1X. Específicamente, EAP-TLS, que significa Seguridad de la Capa de Transporte del Protocolo de Autenticación Extensible. Este método utiliza certificados digitales instalados en los dispositivos corporativos a través de su plataforma de gestión de dispositivos móviles (MDM), ya sea Microsoft Intune, Jamf u otra solución. El WLC actúa como el autenticador, pasando los mensajes EAP al servidor RADIUS. Debido a que utilizamos certificados, no hay contraseñas que robar. Si se pierde un dispositivo o un empleado se va, se revoca el certificado. El acceso se cancela instantáneamente, sin cambiar una contraseña global ni interrumpir a nadie más. EAP-TLS es el estándar de oro para la seguridad empresarial.

El tercer nivel es Multi-Tenant o IoT WiFi. Piense en los inquilinos de un centro comercial, miembros de un espacio de coworking o sensores de edificios inteligentes que no son compatibles con 802.1X. Para esto, implementamos Cisco Identity PSK, o iPSK. Todos se conectan al mismo SSID, pero el servidor RADIUS asigna una contraseña única y una VLAN única a cada inquilino según su dirección MAC. Cuando el dispositivo de un inquilino se conecta, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor devuelve la PSK específica para ese inquilino como un atributo Cisco AV-Pair, junto con tres atributos RADIUS IETF estándar para asignar dinámicamente al cliente a la VLAN correcta. Esos atributos son: Tunnel-Type, establecido en VLAN; Tunnel-Medium-Type, establecido en 802; y Tunnel-Private-Group-ID, establecido en el ID de la VLAN de destino. El WLC procesa estos atributos y coloca al dispositivo en el segmento de red aislado correcto. iPSK ofrece segmentación empresarial con la simplicidad del consumidor.

Ahora hablemos de las recomendaciones de implementación y de los errores que vemos con más frecuencia en las implementaciones de producción.

El punto de falla más común en las implementaciones de invitados es la ACL del walled garden. Si los invitados se conectan pero la página de bienvenida no aparece, verifique primero su configuración de DNS. Si su ACL de preautenticación bloquea el puerto UDP 53, el cliente no podrá resolver los nombres de dominio. El sistema operativo no activará el mini-navegador del Captive Portal y el invitado verá un error de Sin Internet. Permita siempre explícitamente el tráfico DNS en su ACL de walled garden. Este es el problema de soporte más común que encontramos.

El segundo error ocurre en las implementaciones del personal. Si decide implementar PEAP-MSCHAPv2 en lugar de EAP-TLS, debido a que aún no tiene una solución MDM para distribuir certificados, debe configurar sus dispositivos cliente para que validen explícitamente el certificado del servidor RADIUS. Esto significa especificar la Autoridad de Certificación exacta en la que confiar y el nombre de servidor esperado en el perfil de WiFi. Si deja que el usuario final configure esto manualmente, un atacante puede levantar un punto de acceso no autorizado, presentar un certificado fraudulento y capturar las credenciales corporativas. Este no es un ataque teórico. Es una amenaza del mundo real bien documentada. Aplique la validación de certificados a través de la Directiva de Grupo para dispositivos Windows y a través de perfiles MDM para macOS y dispositivos móviles.

El tercer error ocurre en las implementaciones de iPSK. Si un cliente se conecta pero recibe la VLAN incorrecta, o no logra conectarse en absoluto, la causa más probable es que el ID de la VLAN de destino especificado en el atributo Tunnel-Private-Group-ID no exista en el WLC. La VLAN debe estar creada y activa en el controlador antes de que el servidor RADIUS pueda dirigir a los clientes hacia ella. Utilice el comando debug radius en el WLC para verificar que los atributos se estén recibiendo correctamente desde el servidor RADIUS.

Ahora pasemos a una sesión de preguntas y respuestas rápidas sobre las dudas que escuchamos con más frecuencia.

Pregunta uno: ¿Puedo usar MAC Authentication Bypass en lugar de iPSK para dispositivos IoT?

Puede hacerlo, pero no debería. Las direcciones MAC se transmiten en texto plano y son muy fáciles de suplantar. El MAC Authentication Bypass proporciona identificación de dispositivos, no seguridad. iPSK proporciona seguridad criptográfica real para dispositivos sin pantalla. Si el dispositivo es compatible con cualquier forma de PSK, utilice iPSK.

Pregunta dos: ¿Soporta Purple los controladores Cisco Catalyst 9800 con IOS-XE?

Sí. Purple es totalmente compatible con los controladores modernos Catalyst 9800 con IOS-XE, así como con los WLC AireOS heredados. La integración de RADIUS y Change of Authorization está completamente validada para ambas plataformas.

Pregunta tres: ¿Cómo gestiono la redundancia del servidor RADIUS?

Configure siempre un servidor RADIUS primario y uno secundario en las listas de métodos AAA de su WLC. El WLC pasará automáticamente al servidor secundario si el primario no responde dentro del tiempo de espera configurado. Purple proporciona dos direcciones IP de servidor RADIUS exactamente para este propósito. Nunca implemente un único servidor RADIUS en un entorno de producción.

Pregunta cuatro: ¿Qué números de puerto RADIUS utiliza Purple?

Purple utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad. Estos son los puertos estándar registrados por la IANA para RADIUS, tal como se definen en RFC 2865 y RFC 2866.

Para resumir los puntos clave de la sesión de hoy: Audite su arquitectura inalámbrica actual. Si utiliza contraseñas compartidas para el personal, planifique una migración a 802.1X. Si transmite múltiples SSIDs para diferentes inquilinos, consolídelos utilizando Cisco iPSK. Si su WiFi de invitados es simplemente una red abierta sin captura de datos, intégrela con Purple para recopilar datos de primera mano, impulsar el retorno de inversión de marketing y garantizar el cumplimiento de los requisitos de GDPR y PCI DSS.

Al combinar la infraestructura de nivel empresarial de Cisco con la capa en la nube de Purple, usted ofrece una conectividad segura, segmentada e inteligente en todo su establecimiento. Purple opera en más de 80,000 establecimientos activos y registró 440 millones de inicios de sesión en 2024. La plataforma es independiente del hardware, cuenta con la certificación ISO 27001 y está diseñada para la escala empresarial.

Su siguiente paso es claro. Revise la guía de configuración paso a paso completa en el sitio web de Purple, obtenga sus credenciales de servidor RADIUS en el portal de Purple y comience hoy mismo la integración con su WLC de Cisco. Para obtener guías de configuración detalladas y documentación específica de hardware, visite el portal de soporte de Purple en support punto purple punto ai.

Gracias por escuchar este Informe Técnico de Purple. Hasta la próxima, manténgase seguro.

Puntos clave

✓Reemplace las claves precompartidas (PSK) inseguras con una arquitectura de tres niveles: Guest WiFi a través de un Captive Portal, Staff WiFi a través de 802.1X EAP-TLS y Tenant/IoT WiFi a través de Cisco iPSK.
✓Integre Cisco WLC con Purple utilizando Central Web Authentication (CWA) y RADIUS CoA para automatizar el registro de invitados y recopilar datos de primera mano a escala.
✓Configure ACL de preautenticación precisas (walled garden) en el WLC, permitiendo siempre DNS (UDP 53) o la redirección del Captive Portal fallará.
✓Implemente EAP-TLS para Staff WiFi para eliminar por completo las contraseñas y depender de certificados digitales distribuidos por MDM para obtener la postura de seguridad más sólida disponible.
✓Utilice Cisco iPSK con asignación dinámica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar entornos multi-tenant e IoT en un solo SSID.
✓Exija siempre la validación del certificado del servidor RADIUS en los dispositivos cliente cuando utilice PEAP-MSCHAPv2 para evitar el robo de credenciales mediante puntos de acceso no autorizados.
✓Purple opera en más de 80,000 establecimientos, cuenta con certificación ISO 27001 y GDPR, y proporciona una infraestructura RADIUS redundante; configure tanto el servidor primario como el secundario en el WLC.

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলোকে অবশ্যই একই সাথে বিভিন্ন ব্যবহারকারী গ্রুপকে পরিষেবা দিতে হবে: অতিথি যাদের নিরবচ্ছিন্ন ইন্টারনেট অ্যাক্সেস প্রয়োজন, স্টাফ যাদের কর্পোরেট রিসোর্সে নিরাপদ অ্যাক্সেস প্রয়োজন, এবং হেডলেস বা টেন্যান্ট ডিভাইস যেগুলোর একে অপরের থেকে আইসোলেশন প্রয়োজন। এই গ্রুপগুলোর যেকোনো একটির জন্য একটি একক শেয়ার্ড প্রি-শেয়ার্ড কি-এর (Pre-Shared Key) ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। একটি মাত্র আপোসকৃত শংসাপত্র পুরো সেগমেন্টটিকে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় যা নেটওয়ার্কের প্রতিটি ডিভাইসকে ব্যাহত করে।

এই নির্দেশিকাটি Cisco ওয়্যারলেস ল্যান কন্ট্রোলার (WLC) এবং Catalyst 9800 সিরিজের হার্ডওয়্যারের সাথে Purple-এর ক্লাউড ওভারলে-র ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। আমরা তিনটি ভিন্ন অথেন্টিকেশন স্তরের জন্য ধাপে ধাপে কনফিগারেশন প্রদান করি: Purple দ্বারা চালিত Captive Portal রিডাইরেকশন সহ একটি ওপেন Guest WiFi নেটওয়ার্ক, 802.1X EAP-TLS সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে একটি সিকিউর স্টাফ WiFi নেটওয়ার্ক, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco আইডেন্টিটি প্রি-শেয়ার্ড কি (iPSK) ব্যবহার করে একটি মাল্টি-টেন্যান্ট WiFi পরিবেশ। এই আর্কিটেকচারটি স্থাপন করার মাধ্যমে, আপনি ভিজিটর ট্রাফিক থেকে কর্পোরেট রিসোর্সগুলোকে আইসোলেট করতে পারেন, আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন এবং Purple-এর WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন রেকর্ড করেছে (Purple-এর অভ্যন্তরীণ ডেটা), যা এটিকে স্কেলে Cisco অবকাঠামোর জন্য একটি প্রমাণিত ক্লাউড ওভারলে করে তোলে।

টেকনিক্যাল ডিপ-ডাইভ: থ্রি-টিয়ার আর্কিটেকচার

Cisco হার্ডওয়্যারে একটি আধুনিক এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টকে অবশ্যই ভিন্ন ভিন্ন নিরাপত্তা এবং অ্যাক্সেসের প্রয়োজনীয়তা সহ বিভিন্ন ব্যবহারকারীর প্রোফাইল পূরণ করতে হবে। Cisco WLC এবং Purple-এর মধ্যে ইন্টিগ্রেশন একটি একক Catalyst 9800 কন্ট্রোলার থেকে পরিচালিত বিভিন্ন অথেন্টিকেশন মেকানিজমের মাধ্যমে এই প্রোফাইলগুলোকে পরিষেবা দেওয়ার জন্য একটি ইউনিফাইড হার্ডওয়্যার ফুটপ্রিন্ট সক্ষম করে।

টিয়ার ১: Guest WiFi - সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA)

Hospitality এবং Retail পরিবেশের ভিজিটরদের জন্য, উদ্দেশ্য হলো কম-ঝামেলাপূর্ণ অনবোর্ডিংয়ের সাথে কমপ্লায়েন্ট ডেটা ক্যাপচারের সমন্বয় করা। এটি সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA) এর সাথে যুক্ত একটি ওপেন SSID ব্যবহার করে অর্জন করা হয়। যখন একজন অতিথি সংযোগ করেন, তখন Cisco WLC একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে - যা ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত। এই ACL সাধারণ ইন্টারনেট ট্রাফিক ব্লক করে এবং Purple-এর Captive Portal ডোমেন, DNS এবং সোশ্যাল লগইন এন্ডপয়েন্টগুলোতে ট্রাফিকের অনুমতি দেয়। যখন গেস্ট ব্রাউজ করার চেষ্টা করেন, তখন WLC HTTP রিকোয়েস্টটিকে ইন্টারসেপ্ট করে এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট তাদের পছন্দের পদ্ধতির মাধ্যমে (সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, বা ভাউচার কোড) অথেন্টিকেট করেন। এরপর Purple RADIUS সার্ভার হিসেবে কাজ করে, WLC-তে একটি RADIUS Change of Authorization (CoA) মেসেজ ফেরত পাঠায়। CoA মেসেজটি WLC-কে নির্দেশ দেয় ক্লায়েন্টকে প্রি-অথেন্টিকেশন স্টেট থেকে একটি আইসোলেটেড গেস্ট VLAN-এ পোস্ট-অথেন্টিকেশন স্টেটে নিয়ে যেতে, যার ফলে ইন্টারনেট অ্যাক্সেস মঞ্জুর হয়। প্রতিটি লগইন Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে রেকর্ড করা হয়, যা GDPR এবং CCPA মেনে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে।

Tier 2: Staff WiFi - 802.1X EAP-TLS

কর্পোরেট ডিভাইসগুলোর জন্য সর্বোচ্চ স্তরের নিরাপত্তার প্রয়োজন। IEEE 802.1X পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে, এবং যখন এটি EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)-এর সাথে যুক্ত হয়, তখন এটি সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। Mobile Device Management (MDM) - Microsoft Intune, Jamf, বা সমমানের মাধ্যমে কর্পোরেট ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেট স্থাপন করা হয়। Cisco WLC অথেন্টিকেটর হিসেবে কাজ করে, যা সাপ্লিক্যান্ট (ডিভাইস) এবং RADIUS সার্ভারের মধ্যে EAP মেসেজ আদান-প্রদান করে। RADIUS সার্ভার সার্টিফিকেটটি যাচাই করে এবং ঐচ্ছিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট সহ একটি Access-Accept ফেরত পাঠায়।

যেহেতু অথেন্টিকেশন পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের ওপর নির্ভর করে, তাই চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। কোনো ডিভাইস হারিয়ে গেলে বা কোনো কর্মচারী চলে গেলে, আপনি সার্টিফিকেটটি রিভোক (বাতিল) করে দিতে পারেন। অন্য কোনো ব্যবহারকারীকে ব্যাহত না করেই তাৎক্ষণিকভাবে অ্যাক্সেস বন্ধ হয়ে যায়। WPA3 এবং Zero Trust সহ এন্টারপ্রাইজ সিকিউরিটি স্ট্যান্ডার্ডের বিস্তারিত আলোচনার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 গাইডটি দেখুন।

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

স্টুডেন্ট অ্যাকোমোডেশন, কোওয়ার্কিং স্পেস বা রিটেল মলের মতো পরিবেশে, ডজন ডজন SSID ব্রডকাস্ট না করেই বিভিন্ন টেন্যান্টের জন্য প্রাইভেট, সেগমেন্টেড নেটওয়ার্কের প্রয়োজন হয়। Cisco Identity PSK (iPSK) এই সমস্যার সমাধান করে। সমস্ত টেন্যান্ট একটি একক SSID-তে সংযুক্ত হন। WLC প্রতিটি সংযোগকারী ডিভাইসের জন্য RADIUS সার্ভারে একটি MAC অথেন্টিকেশন রিকোয়েস্ট পাঠায়। RADIUS সার্ভার সেই টেন্যান্টের জন্য নির্দিষ্ট PSK-টি একটি cisco-av-pair অ্যাট্রিবিউট হিসেবে ফেরত পাঠায়, সাথে ক্লায়েন্টকে ডাইনামিকভাবে সঠিক VLAN-এ অ্যাসাইন করার জন্য স্ট্যান্ডার্ড IETF RADIUS অ্যাট্রিবিউটও পাঠায়।

ডাইনামিক VLAN অ্যাসাইনমেন্ট পরিচালনাকারী তিনটি IETF RADIUS অ্যাট্রিবিউট হলো:

RADIUS Attribute	ID	Value
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Target VLAN ID (e.g., 31)

RFC 2868-এ সংজ্ঞায়িত নিয়ম অনুযায়ী Tunnel-Private-Group-ID একটি স্ট্রিং হিসেবে এনকোড করা হয়। অ্যাসাইনমেন্ট সফল হওয়ার জন্য VLAN ID-টি অবশ্যই WLC-তে থাকতে হবে।

Implementation guide: Cisco Catalyst 9800 WLC configuration

নিচের ধাপগুলোতে Guest WiFi রিডাইরেকশনের জন্য Purple-এর সাথে ইন্টিগ্রেট করতে IOS-XE চালিত একটি Cisco Catalyst 9800 WLC কনফিগার করার বিস্তারিত বিবরণ দেওয়া হয়েছে। লিগ্যাসি AireOS WLC ডেপ্লয়মেন্টের জন্য, সমমানের সেটিংস Purple সাপোর্ট পোর্টালে পাওয়া যাবে।

ধাপ ১: RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং কনফিগার করুন

গেস্ট অথেন্টিকেশন এবং সেশন অ্যাকাউন্টিং পরিচালনা করতে আপনাকে অবশ্যই WLC-কে Purple-এর RADIUS সার্ভারগুলোর দিকে নির্দেশ করতে হবে।

১. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add-এ যান। ২. প্রাইমারি Purple RADIUS সার্ভারের IP অ্যাড্রেস লিখুন, auth-port ১৮১২, acct-port ১৮১৩ সেট করুন এবং Purple পোর্টাল থেকে প্রাপ্ত শেয়ার্ড সিক্রেটটি লিখুন। ৩. Support for CoA সক্রিয় করুন - Captive Portal রিডাইরেকশনের জন্য এটি বাধ্যতামূলক। ৪. সেকেন্ডারি Purple RADIUS সার্ভারের জন্য এই প্রক্রিয়াটি পুনরাবৃত্তি করুন। ৫. RADIUS > Server Groups > + Add-এ যান এবং উভয় সার্ভার সম্বলিত একটি গ্রুপ তৈরি করুন। ৬. AAA Method List > Authorization > + Add-এ যান, Type সেট করুন network এবং এটিকে RADIUS সার্ভার গ্রুপের দিকে নির্দেশ করুন। ৭. AAA Method List > Accounting > + Add-এ যান, Type সেট করুন identity এবং এটিকে একই গ্রুপের দিকে নির্দেশ করুন।

IOS-XE-তে সমমানের CLI কমান্ডগুলো হলো:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

ধাপ ২: প্রি-অথেন্টিকেশন ACL (walled garden) নির্ধারণ করুন

প্রি-অথেন্টিকেশন ACL ব্যবহারকারী অথেন্টিকেট করার আগে Purple-এর স্প্ল্যাশ পেজ এবং প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। এটিই হলো walled garden।

১. Configuration > Security > ACL > + Add-এ যান। ২. Purple_Guest_Walled_Garden নামে একটি IPv4 Extended ACL তৈরি করুন। ৩. WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-তে ট্রাফিক deny করার জন্য নিয়ম যোগ করুন। ৪. আপনার DNS সার্ভারগুলোতে DNS (UDP port 53) permit করার জন্য নিয়ম যোগ করুন। ৫. Purple-এর walled garden IP রেঞ্জ এবং ডোমেনগুলোতে ট্রাফিক permit করার জন্য নিয়ম যোগ করুন (আপনার নির্দিষ্ট হার্ডওয়্যার টাইপের জন্য Purple সাপোর্ট পোর্টাল থেকে বর্তমান তালিকাটি সংগ্রহ করুন)। ৬. একটি চূড়ান্ত permit ip any any নিয়ম যোগ করুন - WLC অনুমোদিত ট্রাফিককে পোর্টাল প্রসেসিংয়ের জন্য CPU-তে রিডাইরেক্ট করবে।

৩. গেস্ট WLAN কনফিগার করুন

১. Configuration > Tags & Profiles > WLANs > + Add-এ যান। ২. আপনার পছন্দসই SSID দিয়ে Guest-WiFi নামে একটি WLAN তৈরি করুন। ৩. Security > Layer 2-এর অধীনে, সিকিউরিটি None (Open) সেট করুন। ৪. Security > Layer 3-এর অধীনে, Web Policy সক্রিয় করুন এবং Web Auth টাইপ External সেট করুন। ৫. রিডাইরেক্ট ফিল্ডে আপনার Purple অ্যাক্সেস URL লিখুন। ৬. Purple_Guest_Walled_Garden ACL-টি প্রয়োগ করুন। ৭. Security > AAA Servers-এর অধীনে, Authentication এবং Accounting উভয়ের জন্যই Purple RADIUS সার্ভারগুলো অ্যাসাইন করুন।### Step 4: Policy Profile কনফিগার করুন

Configuration > Tags & Profiles > Policy > + Add-এ নেভিগেট করুন।
Access Policies-এর অধীনে, VLAN 20 (অথবা আপনার নির্ধারিত গেস্ট VLAN) অ্যাসাইন করুন।
Advanced-এর অধীনে, Allow AAA Override এবং NAC State সক্রিয় করুন।
Purple অ্যাকাউন্টিং মেথড লিস্টটি অ্যাসাইন করুন।

CLI সমতুল্য:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: মাল্টি-টেন্যান্ট বা IoT ডেপ্লয়মেন্টের জন্য iPSK কনফিগার করুন

iPSK-এর জন্য, WLAN কনফিগারেশন গেস্ট সেটআপ থেকে ভিন্ন হয়। WLAN-টি MAC ফিল্টারিং সক্রিয় সহ WPA2-PSK ব্যবহার করে, এবং RADIUS সার্ভার থেকে প্রতি-ক্লায়েন্ট PSK এবং VLAN গ্রহণ করার জন্য Policy Profile-এ AAA Override সক্রিয় থাকে।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS সার্ভার (যা Purple বা আপনার RADIUS প্ল্যাটফর্মে কনফিগার করা হয়েছে) প্রতি টেন্যান্ট গ্রুপ অনুযায়ী নিম্নলিখিত অ্যাট্রিবিউটগুলো রিটার্ন করে:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

সর্বোত্তম অনুশীলন (Best practices)

প্রতিষ্ঠিত মানদণ্ড মেনে চললে আপনার ডেপ্লয়মেন্ট জুড়ে স্থায়িত্ব, নিরাপত্তা এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত হয়।

কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন। 802.1X ডেপ্লয় করার সময়, MDM-এর মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোকে এমনভাবে কনফিগার করুন যাতে তারা আপনার RADIUS সার্ভারের সার্টিফিকেট অথরিটিকে স্পষ্টভাবে বিশ্বাস করে এবং প্রত্যাশিত সার্ভারের নাম নির্দিষ্ট করে। এটি প্রয়োগ করতে ব্যর্থ হলে ক্লায়েন্টরা রোগ অ্যাক্সেস পয়েন্ট (rogue access point) আক্রমণের ঝুঁকিতে পড়ে, যেখানে আক্রমণকারী ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য একটি প্রতারণামূলক সার্টিফিকেট প্রদর্শন করে। এটি একটি কঠোর প্রয়োজনীয়তা, কোনো সাধারণ সুপারিশ নয়।

নেটওয়ার্ক লেয়ারে গেস্ট ট্রাফিক আইসোলেট করুন। গেস্ট WiFi অবশ্যই একটি ডেডিকেটেড VLAN-এ শেষ হতে হবে যা সমস্ত কর্পোরেট রিসোর্স থেকে ফায়ারওয়াল দ্বারা সুরক্ষিত। PCI DSS 4.0 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট পাবলিক নেটওয়ার্ক থেকে আইসোলেট করা আবশ্যক। VLAN 20-এ থাকা একজন গেস্টের যেন VLAN 10-এ থাকা কর্পোরেট নেটওয়ার্কে যাওয়ার কোনো রুট না থাকে।

IoT ডিভাইসের জন্য iPSK ব্যবহার করুন, MAC Authentication Bypass নয়। MAC অ্যাড্রেসগুলো প্লেইনটেক্সটে ব্রডকাস্ট হয় এবং এগুলো স্পুফ (spoof) করা অত্যন্ত সহজ। iPSK হেডলেস ডিভাইসগুলোর জন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। ডিসপ্লে এবং IoT ডিভাইসগুলো কীভাবে ওয়্যারলেস প্রোটোকলের সাথে ইন্টারঅ্যাক্ট করে সে সম্পর্কে নির্দেশনার জন্য, What Is Wireless Display: Protocols & Best Practices 2026 দেখুন।

ব্যবহারের স্পষ্ট শর্তাবলী (Terms of Use) নির্ধারণ করুন। অ্যাক্সেস দেওয়ার আগে আপনার Captive Portal-এ অবশ্যই একটি ব্যবহারের শর্তাবলীর চুক্তি প্রদর্শন করতে হবে। ডেটা সংগ্রহের জন্য এটি একটি GDPR প্রয়োজনীয়তা এবং নেটওয়ার্ক ব্যবহারের নীতিমালার জন্য একটি আইনি বাধ্যবাধকতা। অভ্যন্তরীণ স্টাফ নেটওয়ার্কের জন্য, Staff WiFi Terms and Conditions: Legal and Compliance Essentials দেখুন।RADIUS রিডানডেন্সি স্থাপন করুন। সর্বদা একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এই উদ্দেশ্যে দুটি সার্ভার IP অ্যাড্রেস প্রদান করে। একটি একক RADIUS সার্ভার ব্যর্থ হলে সমস্ত গেস্ট লগইন বন্ধ হয়ে যাবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সতর্কতার সাথে কনফিগার করার পরেও, ইন্টিগ্রেশন সংক্রান্ত সমস্যা দেখা দিতে পারে। সমস্যা আরও বড় হওয়ার আগে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো সুশৃঙ্খলভাবে সমাধান করুন।

সমস্যা: গেস্টরা কানেক্ট করছেন কিন্তু স্প্ল্যাশ পেজটি প্রদর্শিত হচ্ছে না।

এটি সবচেয়ে সাধারণ সমস্যা। প্রি-অথেনটিকেশন ACL মূলত DNS ব্লক করছে। DNS ছাড়া, ক্লায়েন্ট প্রাথমিক HTTP রিকোয়েস্ট সমাধান করতে পারে না এবং অপারেটিং সিস্টেম Captive Portal মিনি-ব্রাউজারটি ট্রিগার করবে না। আপনার ওয়াল্ড গার্ডেন ACL-এ DNS সার্ভারগুলোর জন্য UDP পোর্ট ৫৩ অনুমোদিত কিনা তা যাচাই করুন। WLC-তে, ক্লায়েন্টটি Run স্টেটের পরিবর্তে Webauth Pending স্টেটে আছে কিনা তা নিশ্চিত করতে show wireless client summary রান করুন।

সমস্যা: iPSK ক্লায়েন্টরা কানেক্ট হতে ব্যর্থ হচ্ছে বা ভুল VLAN-এ ল্যান্ড করছে।

Tunnel-Private-Group-ID-তে নির্দিষ্ট করা VLAN-টি WLC-তে নেই, অথবা cisco-av-pair অ্যাট্রিবিউটগুলো ত্রুটিপূর্ণ। র-RADIUS রেসপন্স পরীক্ষা করতে WLC-তে debug radius all রান করুন। VLAN ID-টি Configuration > Layer 2 > VLAN > VLAN List-এর অধীনে তৈরি করা হয়েছে কিনা তা যাচাই করুন।

সমস্যা: 802.1X স্টাফ ক্লায়েন্টরা মাঝে মাঝে অথেনটিকেট হতে ব্যর্থ হচ্ছে।

এটি সাধারণত একটি RADIUS সার্ভার টাইমআউট বা ক্লায়েন্টের সার্টিফিকেট ট্রাস্ট সংক্রান্ত সমস্যা। Access-Reject মেসেজগুলোর জন্য RADIUS সার্ভার লগ পরীক্ষা করুন। Windows ক্লায়েন্টগুলোতে, WiFi প্রোফাইলটি সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়েছে কিনা এবং সঠিক ট্রাস্টেড CA নির্দিষ্ট করে কিনা তা যাচাই করুন।

সমস্যা: Purple থেকে পাঠানো CoA, WLC দ্বারা প্রসেস হচ্ছে না।

CoA শেয়ার্ড সিক্রেট অবশ্যই WLC-তে কনফিগার করা RADIUS শেয়ার্ড সিক্রেটের সাথে মিলতে হবে। IOS-XE 17.4 এবং পরবর্তী সংস্করণগুলোতে, CoA কি (key) শেয়ার্ড সিক্রেট থেকে আলাদাভাবে কনফিগার করা হয়। উভয়ই Purple পোর্টালের মানগুলোর সাথে মিলছে কিনা তা যাচাই করুন।

ROI এবং ব্যবসায়িক প্রভাব

বেসিক PSK নেটওয়ার্ক থেকে Purple-এর সাথে একটি সুগঠিত, আইডেন্টিটি-ভিত্তিক আর্কিটেকচারে রূপান্তর Hospitality , Retail , Healthcare , এবং Transport ভার্টিক্যাল জুড়ে পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে।

প্রথমত, এই আর্কিটেকচারটি শেয়ার্ড পাসওয়ার্ড পরিচালনার অপারেশনাল খরচ দূর করে। যখন কর্মীরা চলে যান, আপনি তাদের সার্টিফিকেট রিভোক বা বাতিল করে দেন। আপনাকে একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় না এবং এস্টেটের প্রতিটি ডিভাইস আপডেট করতে হয় না। দ্বিতীয়ত, Purple-এর Captive Portal-এর সাথে ইন্টিগ্রেশন একটি IT কস্ট সেন্টারকে রেভিনিউ ড্রাইভারে পরিণত করে। Purple-এর প্ল্যাটফর্ম প্রতিটি লগইনে সম্মতিপূর্ণ ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা স্বয়ংক্রিয় মার্কেটিং ক্যাম্পেইন এবং ভিজিটর অ্যানালিটিক্স সক্ষম করে। Purple নেটওয়ার্ক জুড়ে সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্টের মাধ্যমে (Purple-এর অভ্যন্তরীণ ডেটা), প্ল্যাটফর্মটি ভিজিটরদের আচরণ, ডুয়েলিং টাইম এবং রিটার্ন রেট সম্পর্কে কার্যকরী ইনসাইট প্রদান করে।

ভিজিটরদের সন্তুষ্টি বোঝার জন্য যে সমস্ত ভেন্যু অপারেটররা সমীক্ষা বা সার্ভে পরিচালনা করছেন, তাদের জন্য Purple প্ল্যাটফর্মটি সরাসরি রিসার্চ ওয়ার্কফ্লো-এর সাথে একীভূত হয়। Captive Portal-এর মাধ্যমে বিতরণ করা কার্যকর ভেন্যু সমীক্ষাগুলো সাজানোর নির্দেশনার জন্য Design of a Survey: A Practical Guide for Venues দেখুন।

Cisco-এর এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যারকে Purple-এর ক্লাউড ওভারলে-র সাথে একীভূত করার মাধ্যমে, আপনি একটি সুরক্ষিত, স্কেলযোগ্য নেটওয়ার্ক লাভ করবেন যা ভেন্যুর বাণিজ্যিক লক্ষ্য অর্জনে সক্রিয়ভাবে অবদান রাখে। Purple হলো ISO 27001 সার্টিফাইড, GDPR এবং CCPA কমপ্লায়েন্ট, Cyber Essentials সার্টিফাইড এবং B Corp সার্টিফাইড - যা এন্টারপ্রাইজ প্রকিউরমেন্ট টিমের কমপ্লায়েন্স সংক্রান্ত প্রয়োজনীয়তাগুলো পূরণ করে।

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona administración centralizada de Autenticación, Autorización y Contabilidad (AAA) para el acceso a la red. Definido en RFC 2865 y RFC 2866.

Los equipos de TI configuran el Cisco WLC para reenviar las credenciales del cliente al servidor RADIUS, el cual las verifica contra un directorio y devuelve una respuesta de Access-Accept o Access-Reject junto con los atributos de la política.

Captive Portal

Una página web que el usuario de una red de acceso público debe ver e interactuar con ella antes de que se le conceda acceso a Internet. Se implementa mediante redirección HTTP por parte del dispositivo de acceso a la red.

Se utiliza en implementaciones de WiFi para invitados para capturar datos de los visitantes, presentar los términos de uso o mostrar contenido de marca antes de permitir el acceso a Internet. Purple proporciona la infraestructura de Captive Portal alojada.

iPSK (Identity Pre-Shared Key)

Una función de Cisco que permite asignar claves precompartidas únicas a diferentes usuarios o grupos de dispositivos en el mismo SSID, con la PSK entregada por cliente mediante un servidor RADIUS.

Esencial para dispositivos IoT o entornos multiinquilino donde 802.1X no es viable pero se requiere la segmentación de la red. Elimina la necesidad de transmitir múltiples SSID.

IEEE 802.1X

Un estándar de la IEEE para el Control de Acceso a la Red basado en puertos (PNAC). Proporciona un mecanismo de autenticación que bloquea todo el tráfico de datos de un dispositivo hasta que el servidor RADIUS haya confirmado la autorización.

La base del WiFi para el personal de la empresa, que garantiza que solo los dispositivos corporativos autorizados con credenciales o certificados válidos puedan acceder a los recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación basado en certificados que requiere certificados digitales tanto en el servidor RADIUS como en el dispositivo cliente, eliminando por completo las contraseñas.

El método más seguro para autenticar dispositivos corporativos. Los certificados se implementan a través de MDM. El acceso se revoca al invalidar el certificado, no al cambiar una contraseña compartida.

Walled garden

Un entorno de red limitado que controla el acceso del usuario al contenido web antes de que se haya autenticado por completo. Se implementa como una ACL de preautenticación en el WLC.

Configurado en el Cisco WLC para permitir el acceso a la página de inicio de Purple, DNS y proveedores de inicio de sesión social antes de que se le conceda al invitado el acceso completo a Internet.

Dynamic VLAN assignment

El proceso de colocar automáticamente un dispositivo conectado en una LAN virtual específica según los atributos de autorización de RADIUS devueltos en el momento de la autenticación.

Garantiza que el personal, los invitados y los dispositivos IoT se ubiquen automáticamente en segmentos de red aislados al conectarse, sin necesidad de configuración manual por dispositivo.

Change of Authorization (CoA)

Una extensión de RADIUS (RFC 5176) que permite al servidor RADIUS modificar dinámicamente los atributos de autorización de sesión de un cliente que ya está conectado.

Requerido para los Captive Portals. Una vez que el invitado se autentica en la página de inicio de Purple, Purple envía un mensaje de CoA al WLC para realizar la transición del cliente desde el estado de preautenticación en el walled garden al acceso completo a Internet.

Central Web Authentication (CWA)

Un método de autenticación de Cisco en el que el servidor RADIUS (en lugar del WLC) aloja o redirige al portal de autenticación web, lo que permite soluciones de Captive Portal alojadas en la nube.

Se utiliza para integrar el Cisco WLC con el Captive Portal alojado en la nube de Purple, lo que permite a Purple administrar la experiencia de autenticación de invitados y la captura de datos.

Ejemplos resueltos

Un gran centro comercial necesita proporcionar WiFi seguro y privado a 50 inquilinos minoristas utilizando un único Cisco Catalyst 9800 WLC y un único SSID de transmisión. Cada inquilino debe estar aislado de los dispositivos de todos los demás inquilinos. ¿Cómo logran esto sin transmitir 50 SSIDs separados?

El equipo de TI implementa Cisco iPSK. Configuran un único SSID llamado 'Mall-Tenant-WiFi' con WPA2-PSK y filtrado MAC habilitado. En el servidor RADIUS, crean 50 grupos de identidad de endpoint, uno por inquilino. A cada grupo se le asigna una PSK única a través del atributo cisco-av-pair psk= y un VLAN ID único a través del atributo IETF Tunnel-Private-Group-ID. Cuando el dispositivo de punto de venta de un inquilino minorista se conecta utilizando su contraseña específica, el WLC envía una solicitud de autenticación MAC al servidor RADIUS. El servidor hace coincidir la dirección MAC con el grupo del inquilino y devuelve la asignación de PSK y VLAN. El WLC procesa los atributos, valida la PSK y coloca el dispositivo en la VLAN aislada del inquilino. La configuración peer-blocking allow-private-group garantiza que los dispositivos que comparten la misma PSK puedan comunicarse entre sí, mientras que los dispositivos con diferentes PSK tienen bloqueada la comunicación entre inquilinos.

Comentario del examinador: Este enfoque escala de manera eficiente. Transmitir 50 SSIDs separados causaría una interferencia de canal compartido severa en un entorno denso y degradaría el rendimiento para todos los usuarios. Cada SSID adicional consume tiempo de aire con tramas de administración. iPSK ofrece la seguridad y segmentación de 50 redes separadas con la eficiencia de RF de una sola. La desventaja es que el servidor RADIUS se convierte en una dependencia crítica; asegúrese de que sea de alta disponibilidad.

Una propiedad de Premier Inn de 300 habitaciones está migrando de cuentas de invitados locales de WLC al Captive Portal en la nube de Purple. Después de aplicar la configuración, los huéspedes informan que se conectan al SSID de WiFi, reciben una dirección IP, pero sus dispositivos muestran 'Sin Internet' y la página de bienvenida nunca aparece. ¿Cuál es el proceso de diagnóstico?

Paso 1: Verifique el estado del cliente en el WLC usando show wireless client detail <mac-address>. El cliente debe estar en estado 'Webauth Pending'. Si muestra 'Run', la ACL de preautenticación no se está aplicando correctamente. Paso 2: Verifique la ACL de preautenticación. La causa más común de este síntoma es que la ACL bloquea el DNS (puerto UDP 53). Sin DNS, el cliente no puede resolver ningún dominio y el mecanismo de detección del Captive Portal del sistema operativo falla silenciosamente. Agregue una regla de permiso explícita para el puerto UDP 53 a las IPs del servidor DNS del recinto. Paso 3: Verifique que los dominios del walled garden de Purple estén permitidos en la ACL. El cliente debe poder llegar a la URL de la página de bienvenida de Purple antes de la autenticación. Paso 4: Confirme que la dirección IP virtual del WLC se haya cambiado de la predeterminada 1.1.1.1 a una dirección no enrutable como 192.0.2.1, ya que la dirección predeterminada puede tener conflictos con el tráfico legítimo de internet.

Comentario del examinador: El síntoma de 'Sin Internet' sin redirección casi siempre es un problema de DNS o de la ACL del walled garden. Los sistemas operativos modernos (iOS, Android, Windows, macOS) utilizan la detección de Captive Portal realizando solicitudes HTTP a URLs conocidas. Si el DNS falla, estas solicitudes no se pueden realizar y el sistema operativo nunca activa el navegador del Captive Portal. Permita siempre el DNS en la ACL de preautenticación; este es el error de implementación más común que vemos.

Preguntas de práctica

Q1. Está implementando Staff WiFi en 40 sucursales minoristas utilizando WLC Cisco Catalyst 9800. Desea utilizar 802.1X, pero la empresa aún no tiene una solución de MDM para distribuir certificados a los teléfonos inteligentes de los empleados. ¿Cuál es el enfoque viable más seguro y qué mitigación de riesgos debe implementar?

Sugerencia: Considere el equilibrio entre la seguridad de las credenciales y la viabilidad de la implementación cuando los certificados aún no son una opción. Concéntrese en el riesgo específico que surge del método alternativo.

Ver respuesta modelo

Implemente PEAP-MSCHAPv2 como medida provisional. Aunque no es tan seguro como EAP-TLS, proporciona autenticación de contraseña cifrada dentro de un túnel TLS. La mitigación de riesgos crítica es exigir la validación del certificado del servidor en cada dispositivo cliente. Para las laptops con Windows, implemente un Objeto de Directiva de Grupo que especifique la Autoridad de Certificación confiable exacta y el nombre del servidor RADIUS esperado en el perfil de WiFi. Para dispositivos iOS y Android, distribuya un perfil de configuración de WiFi por correo electrónico o mediante una herramienta ligera sin MDM que exija la validación del certificado. Sin esto, un atacante puede implementar un punto de acceso no autorizado con un certificado fraudulento y capturar credenciales. Planifique la migración a EAP-TLS tan pronto como el MDM esté disponible.

Q2. El director de TI de un estadio necesita segmentar a los difusores de medios, las terminales de venta de boletos y los sensores IoT de HVAC en redes aisladas separadas. Los sensores IoT no son compatibles con 802.1X. Los tres grupos deben usar WiFi. ¿Cómo se debe configurar el WLC?

Sugerencia: Busque una solución que proporcione credenciales únicas y asignación de VLAN por grupo de dispositivos sin requerir suplicantes empresariales en dispositivos sin pantalla.

Ver respuesta modelo

Implemente Cisco iPSK con un único SSID para las operaciones del recinto. Cree tres grupos de identidad de endpoints en el servidor RADIUS: Difusores, Venta de Boletos y HVAC. Asigne a cada grupo una PSK única a través de cisco-av-pair y un ID de VLAN único a través de Tunnel-Private-Group-ID. Configure la WLAN del WLC con WPA2-PSK, filtrado MAC habilitado y AAA Override activo. Los difusores reciben PSK-A y VLAN 31, la venta de boletos recibe PSK-B y VLAN 32, y los sensores HVAC reciben PSK-C y VLAN 33. Configure peer-blocking en allow-private-group para que los dispositivos dentro del mismo grupo puedan comunicarse (por ejemplo, las terminales de venta de boletos con su servidor), mientras que se bloquea la comunicación entre grupos. Esto evita el MAC Authentication Bypass, que sería fácilmente falsificado.

Q3. Durante la implementación de Guest WiFi en un centro de conferencias, los clientes se conectan al SSID y reciben una dirección IP, pero la redirección al Captive Portal nunca ocurre. La ACL del walled garden permite el tráfico a todos los rangos de IP de Purple. ¿Cuál es el elemento de configuración que probablemente falta y cómo lo verifica?

Sugerencia: Piense en los protocolos requeridos antes de que el dispositivo cliente pueda realizar una solicitud HTTP.

Ver respuesta modelo

La causa más probable es que la ACL de preautenticación bloquea el tráfico DNS (puerto UDP 53). Antes de que un dispositivo cliente pueda realizar la solicitud HTTP que el WLC intercepta para activar la redirección, debe resolver el nombre de dominio a través de DNS. Los mecanismos modernos de detección de Captive Portal de los sistemas operativos (captive.apple.com de Apple, www.msftconnecttest.com de Microsoft, connectivitycheck.gstatic.com de Google) requieren resolución DNS. Para verificar: ejecute 'show wireless client detail ' en el WLC y confirme que el cliente está en estado 'Webauth Pending'. Luego, revise los contadores de coincidencia de la ACL para ver si se está denegando el tráfico DNS. Corrija esto agregando una regla de permiso explícita para el puerto UDP 53 hacia las IP del servidor DNS del recinto en la ACL del walled garden.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.