Saltar al contenido principal
Español (México)

SonicWall TZ and SonicWave Integration with Purple WiFi

Esta referencia técnica detalla la integración de los firewalls SonicWall TZ y los AP SonicWave con la plataforma Purple WiFi. Proporciona pasos de configuración prácticos para la redirección del Captive Portal, excepciones de walled garden, autenticación 802.1X y direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK).

📖 6 min de lectura📝 1,263 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
INTEGRACIÓN DE SONICWALL TZ Y SONICWAVE CON PURPLE WIFI Purple WiFi Intelligence Platform - Serie de Sesiones Técnicas Informativas Duración: Aproximadamente 10 minutos Voz: Inglés británico, tono de consultor senior: seguro, conversacional, autoritario --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Bienvenido a la Serie de Sesiones Técnicas Informativas de Purple. Hoy cubriremos una de las integraciones técnicamente más complejas en el espacio de WiFi empresarial: los firewalls SonicWall TZ y los puntos de acceso SonicWave, implementados junto con Purple para la autenticación de invitados, el control de acceso del personal y el aislamiento de redes multi-tenant. Si usted es un ingeniero de seguridad de TI o un MSP que administra establecimientos (hoteles, cadenas de retail, centros de conferencias o desarrollos de uso mixto), esta sesión informativa es para usted. Avanzaremos rápidamente a través de la arquitectura, los pasos de configuración y los puntos donde las implementaciones suelen fallar. SonicWall es una opción sólida en el sector de PyMEs y mercado medio. Los firewalls de la serie TZ están ampliamente implementados y los AP SonicWave se integran de forma nativa a través de SonicOS y el Wireless Network Manager. Al añadir Purple, obtiene una capa de WiFi para invitados administrada en la nube con Captive Portals personalizados, autenticación basada en RADIUS y captura de datos de origen, todo sin necesidad de reemplazar su infraestructura SonicWall existente. Comencemos con la arquitectura. --- SEGMENTO 2: ANÁLISIS TÉCNICO DETALLADO (aproximadamente 5 minutos) Hay cuatro casos de uso distintos que cubrir aquí, y cada uno tiene una ruta de configuración diferente. WiFi para invitados con redirección de Captive Portal. Excepciones de Walled Garden. WiFi seguro para el personal mediante 802.1X. Y aislamiento multi-tenant mediante claves precompartidas privadas (PPSK) de SonicWall con direccionamiento dinámico de VLAN. Comencemos con el WiFi para invitados y el Captive Portal de SonicWall. SonicOS utiliza un mecanismo llamado Lightweight Hotspot Messaging (LHM) para manejar las redirecciones de Captive Portals externos. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, el SonicWall intercepta esa solicitud HTTP y la redirige a la URL del Captive Portal de Purple. El invitado se autentica en la plataforma de Purple (a través de inicio de sesión social, correo electrónico o un clic de aceptación) y Purple envía una autorización LHM de vuelta al SonicWall en el puerto TCP 4043. Luego, el SonicWall habilita el acceso a Internet para la dirección MAC de ese dispositivo. La configuración en SonicOS 7.x funciona de la siguiente manera. Primero, navegue a Object, luego a Match Objects y después a Zones. Edite la zona asignada a su WiFi de invitados, que suele ser una WLAN o una zona personalizada. En Guest Services, habilite tanto "Enable Guest Services" como "External Guest Authentication". Luego vaya a Configure, Guest Services, General. Establezca el Client Redirect Protocol en HTTP. Ingrese el nombre de host del portal de Purple como la dirección del servidor web; esto es portal.purple.ai. Establezca la ruta de redirección a la URL del Captive Portal específica de su establecimiento, la cual Purple proporciona en el panel de control del establecimiento. El puerto es 4043. En la pestaña Auth Pages, establece la URL de inicio de sesión en la URL del portal externo de Purple. Establece la URL de cierre de sesión si deseas gestionar la terminación de la sesión. En la pestaña Advanced, habilita "Allow unauthenticated users to access HTTPS sites" solo si necesitas admitir dispositivos HTTPS-first, pero ten en cuenta que esto debilita la aplicación de la redirección. Una vez guardado, SonicOS crea automáticamente una política NAT y una regla de acceso WAN-to-WAN que permite TCP 4043. No elimines estas reglas generadas automáticamente. Son las que permiten que se complete el saludo de manos LHM. Ahora, la configuración del Walled Garden. Antes de que un invitado se autentique, su dispositivo necesita llegar a ciertos dominios para que la splash page funcione. La plataforma de Purple depende de sus propios endpoints de CDN y API. Las sondas de detección de Captive Portal del sistema operativo (captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows) deben estar en la lista blanca. Si ofreces inicio de sesión social, agrega accounts.google.com, oauth2.googleapis.com, apis.google.com y gstatic.com para Google. Agrega www.facebook.com, graph.facebook.com, connect.facebook.net y el dominio de CDN fbcdn.net si ofreces inicio de sesión con Facebook. En SonicOS, agrégalos como objetos de dirección FQDN en Object, Match Objects, Addresses. Luego, crea reglas de acceso en la zona de invitados que permitan a los dispositivos no autenticados llegar a estos FQDN. Utiliza la resolución DNS dinámica (SonicOS resuelve los objetos FQDN a intervalos regulares) en lugar de entradas de IP estáticas, las cuales variarán a medida que cambien los rangos de IP de la CDN. Pasemos a Secure Staff WiFi con 802.1X. Aquí es donde los AP SonicWave y el servidor RADIUS de Purple trabajan juntos. El AP SonicWave actúa como el autenticador en el intercambio 802.1X. El suplicante es el dispositivo del personal. El servidor RADIUS de Purple es el servidor de autenticación. El método EAP que elijas dependerá de tu proveedor de identidad. Si utilizas Microsoft Entra ID u Okta, PEAP-MSCHAPv2 es la opción más común porque funciona con credenciales de usuario y contraseña. Si has implementado certificados de dispositivo (que es el enfoque recomendado para dispositivos administrados), utiliza EAP-TLS. En el Wireless Network Manager, navega a Policies, Policy Hierarchy, selecciona tu política de AP y haz clic en la pestaña 802.1X. Ingresa la dirección IP del servidor RADIUS de Purple, disponible en tu panel de control de Purple bajo la sección de configuración de RADIUS. El secreto compartido es generado por Purple y debe coincidir exactamente en ambos lados. Establece el puerto de autenticación en 1812 y el puerto de contabilidad en 1813. Para la configuración de EAP, selecciona el método que coincida con la configuración de tu proveedor de identidad. On the Purple side, create a RADIUS policy for staff authentication. Map the staff SSID to a specific VLAN - for example, VLAN 200 for staff. Purple's RADIUS server returns the VLAN assignment using three standard attributes: Tunnel-Type set to VLAN, Tunnel-Medium-Type set to 802, and Tunnel-Private-Group-ID set to the VLAN ID as a string - so "200" for VLAN 200. The SonicWall firewall and SonicWave AP honour these attributes and place the authenticated staff device into the correct VLAN automatically. Now, the most architecturally interesting use case: PPSK and multi-tenant isolation. Private Pre-Shared Keys allow you to run a single SSID and assign each tenant, resident, or user group a unique passphrase. When a device connects using a specific PPSK, the SonicWave AP sends that key to Purple's RADIUS server for validation. Purple looks up the key, identifies the associated tenant or user group, and returns the appropriate VLAN assignment via the Tunnel-Private-Group-ID attribute. The SonicWall then steers that device into the correct VLAN - completely isolated from other tenants on the same SSID. This is Identity-Based Networking in practice. You are not managing SSIDs per tenant. You are managing identities per tenant. In a mixed-use development with ten retail units, one SSID broadcasts across the entire building. Each tenant gets their own PPSK. Each PPSK maps to a dedicated VLAN and subnet. Tenant A's devices never see Tenant B's traffic, even though they are sharing the same physical access points. The PPSK configuration in SonicOS requires RADIUS-based PPSK mode on the SSID. In the Wireless Network Manager, edit the SSID, set the security mode to WPA2-Enterprise with PPSK, and point the RADIUS server at Purple. Purple manages the PPSK-to-VLAN mapping table centrally. When you add a new tenant, you create a new PPSK in Purple, assign it a VLAN, and the change propagates to all SonicWave APs in that venue without touching the firewall configuration. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Let me give you the three things that most commonly go wrong in SonicWall and Purple deployments. First: the LHM port. TCP 4043 must be open from the WAN to the SonicWall's WAN interface. If your ISP or upstream firewall blocks this port, the LHM authorisation handshake never completes, and guests get stuck on the splash page after authenticating. They see a successful login on Purple's side, but the SonicWall never receives the authorisation signal. Test this with a telnet or curl check to port 4043 from an external IP before go-live. Second: FQDN object resolution timing. SonicOS resolves FQDN address objects at boot and then at a configurable interval. If you add a new walled garden domain and the resolution has not refreshed yet, unauthenticated devices cannot reach it. Force a manual refresh after adding new FQDN objects, or set the DNS refresh interval to 60 seconds in high-traffic deployments. Tercero: Configuración de subinterfaces VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si las VLAN de destino existen como subinterfaces en el SonicWall antes de que el primer dispositivo se autentique. Si una respuesta de RADIUS devuelve Tunnel-Private-Group-ID 110 pero la VLAN 110 no existe como subinterfaz en el SonicWall, el dispositivo se desconecta o recurre a la VLAN predeterminada. Cree y pruebe todas las subinterfaces VLAN antes de habilitar la asignación de VLAN por RADIUS. Para los MSP que gestionan múltiples sedes, el panel en la nube de Purple le permite administrar de forma centralizada las políticas de RADIUS, las tablas PPSK y las configuraciones de la Captive Portal. Puede aplicar cambios de configuración a todas las sedes desde una sola interfaz. Esa es la ventaja operativa de un enfoque de superposición en la nube: el hardware de SonicWall permanece en su lugar y Purple se encarga de la capa de identidad y políticas por encima de este. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Algunas preguntas que surgen con frecuencia. "¿Puedo usar los AP SonicWave en modo independiente con Purple?" Sí, pero perderá algunas funciones. En modo independiente, los AP SonicWave gestionan su propia configuración de RADIUS de forma local. Aún puede apuntarlos al servidor RADIUS de Purple para 802.1X. Pero para PPSK con asignación dinámica de VLAN, necesita el SonicWall TZ como proxy RADIUS o el Wireless Network Manager para administrar la política de AP de forma centralizada. "¿Soporta Purple WPA3 en SonicWave?" El soporte de WPA3 en SonicWave depende de la versión de firmware y del modelo de AP. Los AP de la serie SonicWave 600 soportan WPA3. Para casos de uso de Captive Portal, WPA3 con Opportunistic Wireless Encryption es compatible con el flujo de redirección LHM de Purple, pero realice pruebas en su versión de firmware específica antes de implementarlo a gran escala. "¿Cómo maneja Purple el GDPR para los datos de invitados recopilados a través de la Captive Portal?" Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. El consentimiento se captura en la Captive Portal con casillas de verificación de aceptación configurables. Purple almacena datos de origen de acuerdo con su política de retención de datos. Los invitados pueden acceder a sus datos y eliminarlos a través del portal de autoservicio de Purple. "¿Qué atributos de RADIUS devuelve Purple para la asignación dinámica de VLAN?" Tres atributos: Tunnel-Type con valor VLAN, Tunnel-Medium-Type con valor 802 y Tunnel-Private-Group-ID con el ID de VLAN como una cadena de texto. Estos son los atributos estándar de la norma RFC 2868 compatibles con SonicOS y SonicWave. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. Los firewalls SonicWall TZ y los AP SonicWave se integran con Purple a través de dos mecanismos principales: LHM para la redirección de la Captive Portal de invitados, y RADIUS para la autenticación de personal 802.1X y el aislamiento multi-tenant basado en PPSK. Los pasos clave de configuración son: habilitar la autenticación externa de invitados en la zona de invitados, configurar la URL del portal de Purple en el puerto 4043, crear sus objetos FQDN de walled garden, configurar RADIUS en la política de AP de SonicWave en el Wireless Network Manager y crear sus subinterfaces VLAN en el SonicWall antes de habilitar la asignación dinámica de VLAN. Para despliegues multi-inquilino, PPSK con direccionamiento VLAN basado en RADIUS es la arquitectura a utilizar. Un SSID, un conjunto de APs, aislamiento completo de inquilinos mediante asignación de VLAN basada en identidad. Si está planeando un despliegue o revisando uno existente, el equipo técnico de Purple puede proporcionar archivos de configuración RADIUS específicos para el recinto y listas de dominios de walled garden. La plataforma Purple soporta 80,000 recintos activos y ha procesado 440 millones de inicios de sesión en 2024; los patrones de integración que hemos cubierto hoy están probados a escala. Gracias por escuchar. La guía escrita completa con tablas de configuración paso a paso y diagramas de arquitectura de Mermaid está disponible en el sitio web de Purple. --- FIN DEL GUION

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Definiciones clave

Lightweight Hotspot Messaging (LHM)

Un protocolo utilizado por SonicWall para comunicarse con Captive Portals externos. Gestiona el redireccionamiento y el saludo de autorización.

Requerido para integrar SonicOS con plataformas de WiFi para invitados gestionadas en la nube como Purple.

Walled Garden

Un conjunto específico de dominios o direcciones IP a los que se permite acceder a los dispositivos no autenticados.

Crítico para permitir que los dispositivos de los invitados carguen la página de inicio, accedan a las CDN y completen los flujos de OAuth de inicio de sesión social antes de obtener acceso completo a Internet.

Private Pre-Shared Key (PPSK)

Un método de seguridad en el que múltiples contraseñas únicas son válidas en un solo SSID, con cada contraseña vinculada a un usuario o política específica.

Utilizado en entornos multi-inquilino para aislar el tráfico sin transmitir múltiples SSIDs.

Captive Network Assistant (CNA)

El mecanismo integrado del sistema operativo (en iOS, Android, Windows) que detecta un Captive Portal y abre automáticamente una ventana de navegador limitada para la autenticación.

Si los dominios de prueba del sistema operativo (por ejemplo, captive.apple.com) no están en el walled garden, el CNA no se activará y los invitados pensarán que el WiFi no funciona.

Dynamic VLAN Steering

El proceso de asignar un dispositivo a una VLAN específica en función de su identidad o credenciales, en lugar del SSID al que se conectó.

Gestionado por Purple RADIUS devolviendo el atributo Tunnel-Private-Group-ID a SonicWall.

FQDN Address Object

Un objeto de firewall basado en un Nombre de Dominio Completamente Calificado (FQDN) en lugar de una dirección IP estática.

SonicOS resuelve estos objetos de forma dinámica, lo que los hace esenciales para configuraciones robustas de walled garden.

Identity-Based Network

Una arquitectura de red donde las políticas de acceso y la segmentación se aplican en función del usuario o dispositivo autenticado, en lugar de los puertos físicos o SSIDs.

Logrado mediante la combinación de Purple RADIUS con SonicWall PPSK y 802.1X.

Tunnel-Private-Group-ID

El atributo RADIUS estándar RFC 2868 utilizado para especificar el ID de VLAN para un dispositivo que se conecta.

Debe ser devuelto por Purple como un valor de cadena (por ejemplo, '100') para indicar a SonicWall que dirija el dispositivo.

Ejemplos resueltos

Un hotel de 150 habitaciones (Premier Inn) necesita ofrecer WiFi de cortesía para huéspedes a través de una página de bienvenida y una red WiFi segura para el personal de limpieza. Cuentan con un SonicWall TZ570 y 40 AP SonicWave. ¿Cómo deben segmentar este tráfico?

Implemente dos SSIDs. SSID 1: 'Guest-WiFi' asignado a la VLAN 100. Configure la zona WLAN de SonicWall para la autenticación externa de huéspedes apuntando a portal.purple.ai en el puerto TCP 4043. Configure los FQDN del walled garden para Purple y los inicios de sesión de redes sociales. SSID 2: 'Staff-WiFi' asignado a la VLAN 200 mediante 802.1X. Apunte la política del AP SonicWave al servidor RADIUS de Purple. Configure Purple para autenticar los dispositivos del personal de limpieza mediante la omisión de dirección MAC (MAB) o PEAP-MSCHAPv2, devolviendo el Tunnel-Private-Group-ID '200'.

Comentario del examinador: Este enfoque aísla estrictamente el tráfico no confiable de los huéspedes de los sistemas operativos. El uso de Purple tanto para el Captive Portal como para la autenticación RADIUS centraliza la gestión de identidades. MAB es adecuado para dispositivos sin interfaz de usuario (como los carros de limpieza), mientras que 802.1X protege los teléfonos del personal.

Un espacio de coworking gestiona 15 empresas diferentes que comparten una oficina de planta abierta. Quieren proporcionar redes seguras y aisladas para cada empresa sin transmitir 15 SSIDs diferentes desde sus AP SonicWave.

Implemente un único SSID llamado 'Workspace-Secure' utilizando WPA2-Enterprise con PPSK. Cree 15 subinterfaces VLAN en el firewall SonicWall TZ (por ejemplo, VLANs 101-115). En el panel de Purple, genere un PPSK único para cada empresa y asígnelo a su ID de VLAN específico. Cuando un usuario se conecta utilizando el PPSK de su empresa, el RADIUS de Purple devuelve el Tunnel-Private-Group-ID correspondiente y el SonicWall dirige el dispositivo a la VLAN aislada.

Comentario del examinador: Este diseño de red basado en la identidad escala de manera limpia. Transmitir 15 SSIDs causaría una sobrecarga severa de tramas de administración y degradaría el rendimiento de la red WiFi. PPSK proporciona la seguridad de credenciales únicas y el aislamiento de VLANs dedicadas sin la penalización de RF que implican múltiples SSIDs.

Preguntas de práctica

Q1. ¿Has configurado la zona de invitados de SonicWall para la Autenticación de Invitados Externa y establecido el servidor web en portal.purple.ai. Los invitados son redirigidos a la página de inicio y pueden iniciar sesión con éxito, pero nunca obtienen acceso a internet. ¿Cuál es la causa más probable?

Sugerencia: Piensa en cómo Purple le indica a SonicWall que la autenticación fue exitosa.

Ver respuesta modelo

El paquete de autorización LHM está siendo bloqueado. El puerto TCP 4043 debe estar abierto en la interfaz WAN de SonicWall para recibir la señal de éxito de Purple. Verifica los firewalls ascendentes o las configuraciones del ISP para detectar el bloqueo de puertos.

Q2. Un establecimiento desea ofrecer inicio de sesión con Facebook en su página de inicio. Agregas www.facebook.com al grupo de direcciones FQDN del walled garden. Los invitados informan que la página de inicio de sesión de Facebook se carga, pero el diseño está roto y el botón de inicio de sesión no funciona.

Sugerencia: Las aplicaciones web modernas cargan recursos desde múltiples dominios.

Ver respuesta modelo

El walled garden está incompleto. También debes incluir en la lista de permitidos los dominios que sirven el CSS, JavaScript y las llamadas de API de Facebook, específicamente graph.facebook.com, connect.facebook.net y el dominio CDN (por ejemplo, *.fbcdn.net).

Q3. Estás implementando PPSK para una oficina multi-inquilino. Configuras el SSID para WPA2-Enterprise con PPSK y apuntas el servidor RADIUS a Purple. Creas una PPSK en Purple asignada a la VLAN 50. Cuando un usuario se conecta con esa PPSK, recibe una dirección IP de la VLAN 10 en su lugar. ¿Por qué?

Sugerencia: SonicWall necesita saber a dónde enviar el tráfico antes de que se complete la solicitud RADIUS.

Ver respuesta modelo

La VLAN 50 no se ha creado como una subinterfaz en el firewall SonicWall TZ. El direccionamiento dinámico de VLAN requiere que la VLAN de destino exista previamente en el firewall; si no existe, el dispositivo recurre a la VLAN predeterminada sin etiquetar (en este caso, la VLAN 10).

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →