Saltar al contenido principal
Español (México)

Integración de NETGEAR Insight y Access Points Enterprise con Purple WiFi

Esta guía proporciona a los gerentes de TI una hoja de ruta técnica definitiva para integrar NETGEAR Insight y los access points enterprise WAX con Purple WiFi. Cubre configuraciones esenciales que incluyen Captive Portals para invitados, redes de personal 802.1X y segmentación multi-tenant mediante PPSK y asignación dinámica de VLAN.

📖 6 min de lectura📝 1,295 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido al Informe Técnico de Purple. Hoy cubriremos un tema que surge constantemente en nuestras conversaciones con gerentes de TI y arquitectos de red en los sectores de hospitalidad, retail y recintos multi-inquilino: cómo integrar NETGEAR Insight y los puntos de acceso de la serie WAX con Purple WiFi. Si usted administra un hotel, un parque comercial, un centro de conferencias o un desarrollo de uso mixto, este informe es directamente relevante para su próxima decisión de implementación. Pongamos en contexto. La serie WAX de NETGEAR (el WAX610, WAX620 y WAX630) son puntos de acceso WiFi 6 administrados a través de la plataforma en la nube Insight. Soportan hasta ocho SSID independientes por radio, cifrado WPA3 y hasta seis gigabits de rendimiento en el WAX630. Se alimentan por PoE, se pueden montar en el techo y se administran desde un panel de control único a través del Insight Cloud Portal. Para un instalador de TI o un administrador de red de PyME, esta es una plataforma realmente capaz a un precio muy por debajo del nivel de Cisco Meraki o HPE Aruba. Purple es una plataforma superpuesta en la nube agnóstica al hardware. Nos situamos por encima de su infraestructura existente y añadimos la capa de experiencia del invitado, la capa de captura de datos y la capa de analítica. Hemos procesado 440 millones de inicios de sesión en 2024 en 80,000 recintos activos. La integración con NETGEAR Insight es limpia y está bien documentada, y cubre cuatro casos de uso distintos que analizaremos hoy. Ahora entremos en el análisis técnico detallado. Los cuatro casos de uso son: WiFi de invitados con un Captive Portal de Purple, WiFi seguro para el personal mediante 802.1X, segmentación multi-inquilino utilizando la función PPSK de NETGEAR y asignación dinámica de VLAN a través de RADIUS para redes basadas en la identidad. Caso de uso uno: WiFi de invitados con un Captive Portal de Purple. Este es el punto de partida más común. Usted crea un SSID de invitados dedicado en NETGEAR Insight y lo configura como una red abierta. La configuración clave se encuentra en la sección Captive Portal de los ajustes del SSID. Selecciona External Captive Portal y pega la URL de la Splash Page que proporciona Purple. A continuación, configura el tipo de autenticación. Para la mayoría de las implementaciones de Purple, seleccionará la autenticación RADIUS. Purple le proporciona una dirección IP del servidor RADIUS principal, el puerto 1812 para la autenticación y el puerto 1813 para la contabilidad, además de un secreto compartido. Pegue estos datos en la configuración del External Captive Portal de NETGEAR Insight. También debe establecer un identificador NAS; esta es una cadena que identifica este punto de acceso o ubicación específica ante el servidor RADIUS. Utilice algo significativo, como el nombre de su recinto y el código de ubicación. El walled garden (jardín vallado) es el elemento que suele complicar a la mayoría de los instaladores. Antes de que un invitado se autentique, su dispositivo debe poder llegar a la splash page de Purple, a los servidores de autenticación y a cualquier proveedor de inicio de sesión social que haya habilitado. NETGEAR Insight tiene una sección dedicada de Walled Garden en la configuración del External Captive Portal donde se agregan estas URL. La documentación de soporte de Purple proporciona la lista exacta de dominios que se deben incluir en la lista de permitidos. Si se equivoca en esto, los invitados verán una página en blanco en lugar de su portal personalizado. Una vez configurado, el flujo funciona de la siguiente manera: un invitado se conecta al SSID de invitados del hotel. El punto de acceso intercepta su primera solicitud HTTP y lo redirige a la splash page de Purple. El invitado ve su portal personalizado, acepta los términos y, opcionalmente, proporciona su dirección de correo electrónico o inicia sesión a través de redes sociales. El servidor RADIUS de Purple devuelve un mensaje Access-Accept al punto de acceso y se le concede acceso a Internet al invitado. Purple captura los datos de consentimiento, registra la sesión y esos datos fluyen hacia su panel de analítica de Purple. Caso de uso dos: WiFi seguro para el personal mediante 802.1X. Aquí es donde se descartan por completo las contraseñas compartidas. Para las redes del personal, una clave precompartida es un riesgo de seguridad: cuando un empleado se va, hay que cambiar la contraseña para todos. El estándar 802.1X, definido en la norma IEEE 802.1X, otorga a cada usuario una credencial individual. Cuando se van, usted deshabilita su cuenta en su directorio y su acceso se revoca instantáneamente. En NETGEAR Insight, configura un SSID de personal independiente con seguridad WPA2 Enterprise. Esto le indica al punto de acceso que utilice la autenticación 802.1X en lugar de una clave precompartida. Luego, configura los ajustes del servidor RADIUS a nivel de ubicación de red. Vaya a la configuración de ubicación de red, seleccione RADIUS, habilite 802.1X Access Authentication e ingrese la IP de su servidor RADIUS, el puerto y el secreto compartido. El intervalo de reautenticación predeterminado es de 3,600 segundos (una hora), lo cual es un punto de partida razonable para la mayoría de los recintos. El método EAP más común en las implementaciones de PyMEs es PEAP-MSCHAPv2, que utiliza un certificado del lado del servidor para crear un túnel cifrado dentro del cual el usuario se autentica con su nombre de usuario y contraseña de Active Directory. EAP-TLS es más seguro (utiliza certificados en ambos lados), pero requiere una infraestructura PKI y un MDM para enviar los certificados a los dispositivos. Un punto crítico: aplique la validación de certificados en cada dispositivo cliente. Configure sus dispositivos Windows a través de Objetos de Directiva de Grupo (GPO) y sus dispositivos móviles a través de perfiles MDM para validar el certificado del servidor RADIUS. Si omite este paso, los dispositivos serán vulnerables a ataques de puntos de acceso no autorizados (rogue AP), donde un atacante presenta un certificado falso y captura las credenciales. Caso de uso tres: NETGEAR PPSK para recintos multi-inquilino. La clave privada precompartida (PPSK) resuelve un problema específico en parques comerciales, desarrollos de uso mixto y espacios de coworking. Tiene múltiples inquilinos que comparten la misma infraestructura física de WiFi. No desea ejecutar SSID independientes para cada inquilino, ya que eso genera congestión de radiofrecuencia y complejidad de gestión. Pero tampoco puede darles a todos la misma contraseña, porque entonces el Inquilino A podría ver el tráfico del Inquilino B. PPSK resuelve esto de manera elegante. Usted crea un único SSID y genera múltiples claves precompartidas en NETGEAR Insight en Wireless, Settings, Advanced, Multi PSK Settings. Cada clave se asocia con una VLAN específica. El Inquilino A obtiene una contraseña única de 16 caracteres que se asigna a la VLAN 30. El inquilino B obtiene una contraseña diferente que se asigna a la VLAN 40. El equipo de administración del recinto obtiene una tercera contraseña que se asigna a la VLAN 20, la cual tiene acceso a los sistemas de administración. Cuando los dispositivos del inquilino A se conectan usando su contraseña, el punto de acceso los coloca automáticamente en la VLAN 30. No pueden ver ningún tráfico en la VLAN 40 ni en la VLAN 20. Desde la perspectiva del inquilino, solo tienen una contraseña de WiFi. Desde su perspectiva como administrador de la red, tiene un aislamiento de tráfico completo entre inquilinos con cero hardware adicional. Hay dos limitaciones importantes que debe conocer. Primero, PPSK en NETGEAR Insight requiere cifrado WPA2 Personal o WPA2 Personal Mixed. No funciona en la banda de 6 GHz. Segundo, PPSK no se puede combinar con Captive Portal en el mismo SSID. Si necesita ambos, requiere dos SSID separados, lo cual está bien, porque los puntos de acceso de la serie WAX admiten hasta ocho. Caso de uso cuatro: asignación dinámica de VLAN a través de RADIUS. Esta es la configuración más sofisticada y la que sustenta la capacidad de Redes Basadas en la Identidad de Purple. En lugar de asignar estáticamente una VLAN a una contraseña o a un SSID, usted permite que el servidor RADIUS decida qué VLAN asignar en función de quién se esté autenticando. El mecanismo utiliza tres atributos RADIUS estándar: Tunnel-Type, que debe establecerse en el valor 13 para VLAN; Tunnel-Medium-Type, que debe establecerse en el valor 6 para IEEE 802; y Tunnel-Private-Group-ID, que contiene el ID de la VLAN como una cadena de texto. Cuando un usuario se autentica correctamente, el servidor RADIUS devuelve estos tres atributos en el mensaje Access-Accept. El punto de acceso los lee y coloca al cliente en la VLAN especificada. En la práctica, esto significa que puede tener un único SSID WPA2 Enterprise donde un gerente de hotel se autentica y entra en la VLAN 20 con acceso a los sistemas de administración de la propiedad, un agente de recepción se autentica y entra en la VLAN 21 con acceso únicamente al sistema de registro, y un contratista se autentica y entra en la VLAN 50 con acceso exclusivo a Internet. Todo desde el mismo SSID, todo aplicado automáticamente por el servidor RADIUS en función de la pertenencia al grupo de Active Directory. Ahora hablemos de recomendaciones de implementación y errores comunes. El primer error común es el walled garden (jardín vallado). Toda implementación de Captive Portal externo falla en el walled garden al menos una vez. El síntoma es que los invitados se conectan al SSID pero ven un error de navegador en lugar de la página de inicio (splash page). La solución es metódica: abra la documentación de soporte de Purple, copie cada dominio de la lista del walled garden y péguelos en la sección Walled Garden de NETGEAR Insight. Realice la prueba con un dispositivo que no tenga credenciales guardadas en caché. El segundo error común es la accesibilidad de RADIUS. El punto de acceso NETGEAR necesita comunicarse con su servidor RADIUS. RADIUS utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad (accounting). Abra esos puertos desde la IP de administración del punto de acceso hacia la IP del servidor RADIUS. Realice pruebas con una herramienta de prueba de RADIUS antes de poner en marcha el sistema. El tercer error común es el conflicto entre PPSK y Captive Portal. NETGEAR Insight no permite PPSK y Captive Portal en el mismo SSID. Si necesita ambos, cree dos SSID. Nómbrelos claramente: uno para los inquilinos de PPSK y otro para los invitados del Captive Portal. El cuarto error común es la validación de certificados en clientes 802.1X. Cada dispositivo Windows necesita un Objeto de Directiva de Grupo (GPO) que especifique la Autoridad de Certificación de confianza y el nombre del servidor RADIUS esperado. Cada dispositivo móvil necesita un perfil MDM con la misma configuración. Sin esto, un usuario podría autenticarse sin saberlo en un punto de acceso no autorizado y entregar sus credenciales de Active Directory. Ahora pasemos a una sesión de preguntas y respuestas rápidas. Pregunta uno: ¿Puedo usar Purple con NETGEAR Insight sin un servidor RADIUS? Sí, para implementaciones de Captive Portal de invitados, puede usar el modo de autenticación web de Purple en lugar de RADIUS. El punto de acceso redirige a la página de inicio a través de HTTP, y Purple gestiona la autenticación mediante una sesión web. RADIUS le brinda más control y mejores datos de contabilidad, pero no es obligatorio para implementaciones básicas de portal de invitados. Pregunta dos: ¿Cuántas claves PPSK puedo crear en NETGEAR Insight? NETGEAR Insight admite hasta 64 claves PPSK por SSID en los puntos de acceso de la serie WAX. Para la mayoría de los recintos multiinquilino, esto es más que suficiente. Si tiene más de 64 inquilinos, deberá migrar a una solución de VLAN dinámica basada en RADIUS. Pregunta tres: ¿NETGEAR Insight admite WPA3 Enterprise para 802.1X? Sí, los puntos de acceso de la serie WAX admiten WPA3 Enterprise. Para la mayoría de las implementaciones en PyMEs, WPA2 Enterprise es suficiente y tiene una compatibilidad más amplia con dispositivos cliente. Vale la pena considerar WPA3 Enterprise para entornos que manejan datos confidenciales, como servicios financieros o de atención médica. Pregunta cuatro: ¿Qué sucede si el servidor RADIUS de Purple no está accesible? NETGEAR Insight admite una opción de seguridad contra fallos (failsafe) en la configuración del Captive Portal externo. Si activa la opción failsafe, los invitados reciben acceso a Internet por un período corto, incluso si los servidores del Captive Portal no están accesibles. Purple mantiene un tiempo de actividad del 99.999% en toda nuestra infraestructura, pero activar failsafe es una buena práctica para cualquier implementación en producción. Para resumir los puntos clave de la sesión de hoy: Los puntos de acceso de la serie NETGEAR WAX se integran con Purple a través del mecanismo de Captive Portal externo en NETGEAR Insight. Usted configura la URL de la página de inicio, las credenciales del servidor RADIUS y los dominios del walled garden en el portal en la nube de Insight. Para las redes del personal, use WPA2 Enterprise con 802.1X y aplique la validación de certificados en cada dispositivo cliente. Para recintos multiinquilino, la función PPSK de NETGEAR le brinda aislamiento de VLAN por inquilino desde un solo SSID con hasta 64 claves únicas. Para las implementaciones más sofisticadas, la asignación dinámica de VLAN a través de atributos RADIUS le ofrece una segmentación de red basada en la identidad que se adapta a quién se conecta, no solo a desde dónde se conecta. Si está planeando una implementación de NETGEAR con Purple, el siguiente paso es solicitar sus credenciales de RADIUS de Purple y la lista de dominios del walled garden al equipo de soporte de Purplem, y para probar el redireccionamiento del Captive Portal en un SSID de prueba antes de implementarlo en producción. La configuración toma menos de 30 minutos una vez que tenga esas credenciales a la mano. Gracias por escuchar el Informe Técnico de Purple. Para obtener la guía escrita completa, que incluye detalles de configuración paso a paso y ejemplos prácticos, visite purple.ai.

header_image.png

Executive Summary

Relying on pre-shared keys for enterprise WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device. This guide provides IT managers and network architects with a definitive roadmap for integrating NETGEAR Insight and WAX series enterprise access points with Purple.

We detail four core deployment architectures: Guest WiFi with a captive portal, Secure Staff WiFi using 802.1X, Multi-Tenant segmentation via NETGEAR Private Pre-Shared Keys (PPSK), and Identity-Based Networks using dynamic VLAN assignment. Whether you operate Hospitality venues, Retail spaces, or public-sector environments, these configurations eliminate shared passwords, enforce strict network segmentation, and capture actionable WiFi Analytics .

Listen to our technical briefing podcast below for a comprehensive overview of the architecture and common deployment pitfalls.

Technical Deep-Dive

NETGEAR WAX series access points (WAX610, WAX620, WAX630) are cloud-managed WiFi 6 devices designed for high-density environments. Managed via the NETGEAR Insight portal, they support up to eight separate SSIDs per radio, WPA3 encryption, and multi-gigabit throughput. Purple acts as a hardware-agnostic cloud overlay, integrating with NETGEAR Insight to deliver enterprise-grade access control and data capture.

1. Guest WiFi with Captive Portal

For public-facing environments, you must deploy an External Captive Portal. This configuration intercepts guest HTTP requests and redirects them to a Purple-hosted splash page.

Architecture:

  1. Access Point: NETGEAR WAX access point broadcasts an open or WPA2 Personal Guest SSID.
  2. Walled Garden: NETGEAR Insight permits pre-authentication traffic to Purple's servers and social login providers.
  3. Authentication: Purple handles the user session via RADIUS or HTTP web authentication.

When a guest connects, they are presented with a branded portal. Upon accepting the terms and providing details, Purple's RADIUS server returns an Access-Accept message, granting internet access. This approach guarantees compliance with data privacy regulations like GDPR while capturing valuable first-party data.

2. Secure Staff WiFi (802.1X)

Pre-shared keys are unacceptable for staff networks. You must implement IEEE 802.1X authentication. In this model, every user has an individual credential. When an employee departs, you disable their directory account, and their access is revoked instantly.

In NETGEAR Insight, you configure a Staff SSID with WPA2 Enterprise or WPA3 Enterprise security. The access point acts as the authenticator, relaying Extensible Authentication Protocol (EAP) messages to the RADIUS server. The RADIUS server validates the credentials against your directory (e.g., Microsoft Entra ID or Okta) and returns the authorisation decision.

3. Multi-Tenant Segmentation (PPSK)

Mixed-use developments and retail parks face a specific challenge: multiple tenants sharing physical WiFi infrastructure. Deploying separate SSIDs for each tenant creates radio frequency congestion. Providing a single shared password compromises security.

NETGEAR Private Pre-Shared Key (PPSK) solves this. You broadcast a single SSID. In NETGEAR Insight, you generate unique passwords for each tenant. Crucially, each password maps to a specific VLAN.

ppsk_vlan_infographic.png

When a device connects using the retail unit's password, the access point places it on the isolated retail VLAN. When venue management connects using their password, they land on the management VLAN. You achieve complete traffic isolation with zero additional hardware. Note that PPSK requires WPA2 Personal and cannot be combined with a captive portal on the same SSID.

4. Dynamic VLAN Assignment via RADIUS

For sophisticated Identity-Based Networks, you must use dynamic VLAN assignment. Instead of statically assigning a VLAN to an SSID or a password, the RADIUS server dictates the VLAN based on the user's directory profile.

The RADIUS server returns three standard attributes in the Access-Accept message:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

A single WPA2 Enterprise SSID can serve the entire organisation. A hotel manager authenticates and lands on VLAN 20. A front desk agent lands on VLAN 21. A contractor lands on VLAN 50. The network adapts to the identity of the user. For a broader look at securing your environment, review our Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementation Guide

Follow these steps to deploy NETGEAR Insight with Purple Guest WiFi .

Step 1: Configure the Guest SSID

  1. Log in to the NETGEAR Insight Cloud Portal.
  2. Select your network location and navigate to Wireless > Settings.
  3. Create a new SSID (e.g., "Venue Guest WiFi").
  4. Select Captive Portal and choose External Captive Portal.

Step 2: Configure the Captive Portal

  1. In the Splash Page URL field, enter the URL provided by Purple.
  2. Select the Radius radio button.
  3. Enter the Primary Authentication Server IP, port (1812), and shared secret provided by Purple.
  4. Enter the Primary Accounting Server IP, port (1813), and shared secret.
  5. Set a descriptive NAS-Identifier (e.g., "London-Retail-01").

Step 3: Configure the Walled Garden

This is the most critical step. If the walled garden is incorrect, guests will see a blank screen.

  1. Scroll to the Walled Garden section in the Captive Portal settings.
  2. Add every domain provided in Purple's integration documentation. This includes Purple's CDN domains, authentication servers, and any enabled social login providers (e.g., Facebook, Google).
  3. Click Save.

Step 4: Verify RADIUS Reachability

Ensure your firewall permits UDP ports 1812 and 1813 outbound from the access point management IP addresses to the Purple RADIUS servers.

Best Practices

  • Enforce Certificate Validation: For 802.1X deployments, you must enforce strict certificate validation on all client devices via Group Policy Objects (GPO) or Mobile Device Management (MDM). If clients do not validate the RADIUS server certificate, they are vulnerable to rogue access point attacks.
  • Isolate Management Traffic: Always place access point management IP addresses on a dedicated management VLAN, isolated from guest and staff traffic.
  • Enable Failsafe: In the NETGEAR Insight Captive Portal settings, enable the FailSafe option. If the RADIUS servers become unreachable, guests are granted temporary internet access, preventing a total WiFi outage.
  • Separate SSIDs for PPSK: Because NETGEAR Insight does not support PPSK and Captive Portal on the same SSID, you must create dedicated SSIDs (e.g., "Venue-Guest" and "Venue-Tenant").

Troubleshooting & Risk Mitigation

Symptom: Guests connect to the SSID but the splash page does not load.

  • Cause: Incomplete Walled Garden configuration.
  • Resolution: Verify that all Purple domains and social login domains are entered correctly in the NETGEAR Insight Walled Garden settings. Test with a device that has no cached credentials.

Symptom: Staff devices fail to authenticate via 802.1X.

  • Cause: RADIUS timeout or incorrect shared secret.
  • Resolution: Verify that UDP ports 1812 and 1813 are open outbound. Confirm the shared secret matches exactly between the NETGEAR Insight portal and the RADIUS server. Check the RADIUS server logs for Access-Reject messages.

Symptom: PPSK clients are placed on the wrong VLAN.

  • Cause: Incorrect VLAN mapping or missing VLAN configuration on the switch.
  • Resolution: Ensure the VLAN is created in NETGEAR Insight under Wired settings. Verify the Multi PSK Settings map the correct password to the correct VLAN ID. Ensure the switch port connecting the access point is configured as a trunk port allowing the target VLAN.

ROI & Business Impact

Deploying NETGEAR Insight with Purple transforms your wireless infrastructure from a cost centre into a revenue-generating asset. By implementing Identity-Based Networks and captive portals, you achieve:

  • Reduced IT Overhead: PPSK and 802.1X eliminate the need to manually manage shared passwords or dispatch engineers for routine access changes.
  • Actionable Analytics: Capture demographic data, dwell times, and return rates to optimise venue operations and tenant mix.
  • Marketing ROI: Build a high-intent, GDPR-compliant CRM database. Venues typically see a significant reduction in customer acquisition costs when leveraging first-party data collected via WiFi.
  • Enhanced Security: Dynamic VLAN assignment isolates IoT devices, point-of-sale systems, and guest traffic, significantly reducing the attack surface and ensuring PCI DSS compliance.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

Esencial para la seguridad empresarial; reemplaza las contraseñas compartidas con credenciales de usuario individuales.

Captive Portal

Una página web que un usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.

Utilizado por Purple para capturar datos de primera mano y garantizar la aceptación de los términos de servicio.

PPSK (Private Pre-Shared Key)

Una función que permite múltiples contraseñas únicas en un solo SSID, donde cada contraseña asigna al usuario a una VLAN específica.

Ideal para edificios multi-tenant o para aislar dispositivos IoT sin crear múltiples SSIDs.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El servidor central que valida las credenciales e indica al AP de NETGEAR si debe conceder el acceso.

Walled Garden

Un entorno limitado que controla el acceso del usuario a contenidos y servicios web antes de la autenticación completa.

Debe configurarse en NETGEAR Insight para permitir que los dispositivos lleguen a la página de inicio de Purple y a los proveedores de inicio de sesión social.

Dynamic VLAN Assignment

El proceso mediante el cual un servidor RADIUS indica a un access point que coloque a un usuario autenticado en una VLAN específica en función de su identidad.

Permite redes basadas en la identidad, lo que permite que un solo SSID sirva a múltiples departamentos de forma segura.

NAS-Identifier

Network Access Server Identifier; una cadena utilizada para identificar el origen de una solicitud de acceso RADIUS.

Configurado en NETGEAR Insight para que Purple sepa desde qué sucursal o access point se está conectando el usuario.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un método de autenticación que requiere certificados digitales tanto en el cliente como en el servidor.

El método 802.1X más seguro, que elimina por completo las contraseñas, aunque requiere MDM para implementar certificados.

Ejemplos resueltos

¿Un parque comercial de 40 unidades necesita proporcionar WiFi seguro y aislado para los sistemas de punto de venta de cada inquilino, además de una red WiFi pública con marca propia para los compradores. Han implementado access points NETGEAR WAX630. ¿Cómo se debe configurar la red?

Cree dos SSIDs en NETGEAR Insight. SSID 1: 'RetailPark-Guest'. Configúrelo con un Captive Portal externo que apunte a la página de inicio de Purple, con autenticación RADIUS y un walled garden completo. Asócielo a la VLAN 10 (solo Internet). SSID 2: 'RetailPark-Tenants'. Configúrelo con WPA2 Personal y habilite Multi PSK (PPSK). Cree 40 contraseñas únicas. Asocie la contraseña del Inquilino A a la VLAN 101, la del Inquilino B a la VLAN 102, etc. Asegúrese de que el switch principal envíe todas las VLANs en modo trunk a los access points.

Comentario del examinador: Este enfoque equilibra perfectamente la seguridad y la experiencia del usuario. Al separar los SSIDs, evitamos la limitación de NETGEAR de no mezclar PPSK y Captive Portals. La configuración PPSK garantiza una visibilidad nula entre inquilinos para el cumplimiento de PCI, mientras que el portal de Purple captura los datos de los compradores.

Una sede corporativa desea dejar de utilizar una contraseña WPA2 compartida. Necesitan que el personal se autentique con sus credenciales de Microsoft Entra ID, y quieren al equipo de finanzas en la VLAN 50 y al equipo de marketing en la VLAN 60.

Implemente un único SSID 'Corporate-Secure' configurado para WPA2 Enterprise. Apunte la configuración RADIUS de NETGEAR Insight a un servidor RADIUS integrado con Entra ID. Configure el servidor RADIUS para que devuelva los atributos de túnel estándar (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 o 60) según la pertenencia al grupo de directorio del usuario. Aplique la validación de certificados en todas las laptops corporativas a través de MDM.

Comentario del examinador: Esto demuestra una verdadera red basada en la identidad (Identity-Based Networking). El access point asigna dinámicamente la VLAN en función de la respuesta de RADIUS. Fundamentalmente, aplicar la validación de certificados evita ataques de AP no autorizados, lo cual es obligatorio para la seguridad empresarial.

Preguntas de práctica

Q1. Ha implementado un Captive Portal de Purple en un NETGEAR WAX620. Los invitados pueden conectarse al WiFi, pero sus navegadores muestran un error de 'No se puede conectar con el destino' en lugar de la página de inicio. ¿Cuál es el error de configuración más probable?

Sugerencia: Considere lo que debe suceder antes de que el invitado esté completamente autenticado para llegar a los servidores externos.

Ver respuesta modelo

El Walled Garden está mal configurado o incompleto. El access point NETGEAR está bloqueando el tráfico inicial hacia los servidores de Purple. Debe asegurarse de que todos los dominios CDN de Purple requeridos, las URLs de autenticación y los dominios de inicio de sesión social se agreguen a la lista del Walled Garden en el portal de Insight.

Q2. Un establecimiento requiere tanto un Captive Portal para invitados como un WiFi seguro y aislado para 10 inquilinos minoristas diferentes. Quieren minimizar la interferencia de RF. ¿Cómo se configuran los access points NETGEAR?

Sugerencia: NETGEAR Insight tiene limitaciones específicas con respecto a la combinación de Captive Portals y PPSK.

Ver respuesta modelo

Debe crear exactamente dos SSIDs. NETGEAR no admite PPSK y Captive Portal en el mismo SSID. Cree 'Venue-Guest' con un Captive Portal externo que apunte a Purple. Cree 'Venue-Retail' con WPA2 Personal y configure Multi PSK (PPSK) con 10 contraseñas únicas, cada una asociada a una VLAN diferente.

Q3. Al configurar la asignación dinámica de VLAN para el personal mediante 802.1X, ¿qué tres atributos RADIUS debe devolver el servidor en el mensaje Access-Accept?

Sugerencia: Piense en los atributos estándar de la norma RFC 2868 para la configuración de túneles.

Ver respuesta modelo

El servidor RADIUS debe devolver: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802), y [81] Tunnel-Private-Group-ID = [La cadena de ID de VLAN específica].

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →