Saltar al contenido principal
Español (México)

Integración de Alta Labs con Purple WiFi: Configuración del Captive Portal

Esta guía de referencia técnica cubre la integración de extremo a extremo de los puntos de acceso Alta Labs AP6 y AP6 Pro con el Captive Portal alojado en la nube de Purple. Detalla la configuración de redirección externa, la autenticación RADIUS, los requisitos de walled garden y la segmentación multi-inquilino mediante claves precompartidas privadas de AltaPass. Los operadores de recintos y los equipos de TI obtendrán un plan de despliegue repetible para entornos de hospitalidad, retail y oficinas inteligentes.

📖 8 min de lectura📝 1,844 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast
GUION DE PODCAST: Integración de Alta Labs con Purple WiFi: Configuración y Ajustes de Captive Portal Plataforma de Inteligencia de Purple WiFi - Serie de Sesiones Técnicas Informativas Duración: Aproximadamente 10 minutos Voz: Inglés británico, tono de consultor sénior: seguro, conversacional, con autoridad --- [INTRO - 1 MINUTO] Bienvenido a la Serie de Sesiones Técnicas Informativas de Purple. Soy su anfitrión, y hoy analizaremos a detalle la integración entre los puntos de acceso de Alta Labs y la plataforma de inteligencia Purple WiFi. Si usted es gerente de TI, arquitecto de redes o director de operaciones de un establecimiento y busca implementar una solución de WiFi para invitados robusta y escalable, esta sesión informativa es para usted. Vamos a cubrir la configuración específica para el AP6 y AP6 Pro de Alta Labs, cómo configurar el redireccionamiento del Captive Portal externo y los ajustes críticos de walled garden necesarios para que los inicios de sesión con redes sociales funcionen correctamente en el mundo real. También profundizaremos en AltaPass, la implementación de Alta Labs de Claves Privadas Precompartidas (PPSK), y cómo puede utilizarlo para segmentar entornos multi-inquilino sin afectar el rendimiento de RF debido a la saturación de SSID. Comencemos. --- [ANÁLISIS TÉCNICO DETALLADO - 5 MINUTOS] La integración entre Alta Labs y Purple se basa en dos conceptos fundamentales de redes: el redireccionamiento HTTP para el Captive Portal y RADIUS para la autenticación y contabilidad. Cuando un invitado ingresa a su establecimiento (por ejemplo, una tienda minorista o el lobby de un hotel) y se conecta a su red de invitados abierta o WPA3-OWE, el AP de Alta Labs actúa como el guardián. Intercepta las solicitudes HTTP iniciales del cliente y las redirige a su splash page personalizada de Purple. Para configurar esto en la plataforma de gestión en la nube de Alta Labs, navegue a la configuración de WiFi, seleccione su SSID de invitados y, en Configuración Avanzada, establezca el tipo de red en Invitado (Guest). Esto es fundamental porque aplica automáticamente el aislamiento de clientes, evitando que los dispositivos se comuniquen de forma lateral en la red. A continuación, en la sección de Hotspot, seleccione Externo e introduzca la URL de redireccionamiento de Purple proporcionada en la configuración de su establecimiento, junto con su Secreto de Autorización. Pero aquí es donde la mayoría de las implementaciones se topan con un obstáculo: el walled garden. El walled garden es la lista de dominios y direcciones IP a los que un dispositivo puede acceder antes de autenticarse. Si desea que los invitados inicien sesión con Google, Facebook o Apple, sus dispositivos deben poder comunicarse con esos servidores OAuth mientras aún se encuentran en estado de preautenticación. Debe agregar explícitamente a la lista de permitidos los dominios de la infraestructura de Purple, como region1.purpleportal.net y cloudfront.net. Luego, debe agregar las sondas de Captive Portal del sistema operativo: captive.apple.com para iOS y connectivitycheck.gstatic.com para Android. Si bloquea estas sondas, el teléfono no detectará que está detrás de un Captive Portal y la splash page nunca se mostrará. Finalmente, agregas los dominios de inicio de sesión social. Para Google, son accounts.google.com, oauth2.googleapis.com y gstatic.com. Para Facebook, son facebook.com, graph.facebook.com y los dominios de fbcdn.net. Una lista blanca de IP estáticas no funcionará aquí porque estos proveedores utilizan redes de distribución de contenido dinámicas. Debes usar nombres de dominio y asegurarte de que tu controlador realice la resolución DNS dinámica. Una vez que el usuario completa el inicio de sesión en la splash page de Purple, el servidor RADIUS de Purple envía un mensaje de Access-Accept de vuelta al AP de Alta Labs. El AP entonces elimina la restricción del walled garden y otorga al dispositivo acceso total a internet. Es un flujo limpio y seguro que captura datos de origen (first-party data) mientras mantiene la integridad de la red. Ahora, hablemos de la segmentación multi-inquilino. En entornos como oficinas inteligentes, residencias de estudiantes o unidades multifamiliares, a menudo necesitas proporcionar redes seguras y aisladas para diferentes grupos. Históricamente, los equipos de TI transmitían un SSID independiente para cada inquilino. Esa es una práctica terrible. Provoca una enorme sobrecarga de gestión y destruye el rendimiento inalámbrico debido a la sobrecarga de tramas de baliza (beacons). Alta Labs resuelve esto con AltaPass, su versión de Claves Privadas Precompartidas (PPSK). Con AltaPass, transmites un solo SSID; llamémoslo BuildingWiFi. Pero generas contraseñas únicas para diferentes usuarios o dispositivos. Cuando el Inquilino A introduce su contraseña específica, el AP lo asigna dinámicamente a la VLAN 101 con un límite de ancho de banda de 100 Megabits. Cuando el equipo de administración introduce su contraseña en el mismo SSID, se les asigna a la VLAN 200 con ancho de banda ilimitado. Incluso puedes crear una contraseña para dispositivos IoT, como termostatos inteligentes, que los asigne a una VLAN aislada y evite el Captive Portal por completo. Un SSID. Contraseñas ilimitadas. Aislamiento completo. Esto es Redes Basadas en la Identidad (Identity-Based Networking) en el borde, y es una solución genuinamente elegante para un problema que ha afectado a los despliegues multi-inquilino durante años. Permíteme darte un ejemplo concreto de cómo funciona esto en la práctica. Considera un complejo de departamentos de 72 unidades, un tipo de despliegue del mundo real para el cual Alta Labs se ha utilizado ampliamente. En lugar de transmitir 72 SSIDs individuales, el administrador de la red crea un solo SSID y genera una contraseña única para cada unidad. Cada contraseña se asocia a una VLAN y subred dedicadas. Los residentes en el plan básico obtienen 100 Megabits. Los residentes que han pagado por el plan premium obtienen 300 Megabits. El equipo de administración del edificio obtiene acceso sin restricciones. El sistema de automatización del edificio (cerraduras de puertas, HVAC, elevadores) obtiene su propia VLAN aislada con inspección profunda de paquetes habilitada. Todo desde un solo SSID. El entorno de RF está más limpio, el rendimiento es mayor y la gestión es drásticamente más simple. Ahora, pasemos a la configuración de 802.1X para el WiFi seguro del personal. Para la red de su personal, no debería utilizar una clave precompartida en absoluto. Debería utilizar WPA2 o WPA3 Enterprise con autenticación 802.1X. En la plataforma Alta Labs, esto se configura seleccionando el SSID de su personal, estableciendo el modo de seguridad en WPA2-Enterprise o WPA3-Enterprise, y apuntando el AP a su servidor RADIUS. Si se está integrando con el producto SecurePass de Purple, Purple actúa como intermediario de RADIUS, conectándose a su proveedor de identidad —ya sea Microsoft Entra ID, Okta o Google Workspace— y devolviendo la asignación de VLAN correspondiente en el mensaje Access-Accept. El AP de Alta Labs lee el atributo Tunnel-Private-Group-Id de la respuesta RADIUS y coloca el dispositivo en la VLAN correcta de forma automática. Una nota importante sobre la asignación dinámica de VLAN con Alta Labs: al configurar VLAN asignadas por RADIUS, establezca la VLAN predeterminada en el SSID como VLAN 1 o déjela sin etiquetar. Existe un comportamiento conocido en el que, si la VLAN predeterminada se establece en un valor específico, el AP puede anular la VLAN asignada por RADIUS con la predeterminada configurada. Establecer la VLAN predeterminada en VLAN 1 garantiza que la asignación de RADIUS tenga prioridad. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS] Al implementar esto, hay algunas recomendaciones clave que quiero destacar. Primero, pruebe siempre el flujo de su Captive Portal con un dispositivo nuevo. No utilice su propio teléfono si ya se ha conectado a la red durante las pruebas. Su dispositivo recuerda la autorización de la dirección MAC o tiene entradas DNS almacenadas en caché, lo que ocultará los fallos de la red perimetral (walled garden). Tome una tableta que nunca se haya conectado a la red, conéctela y verifique que el asistente de Captive Portal del sistema operativo se inicie automáticamente. Segundo, tenga cuidado con el exceso de listas permitidas. Veo que los ingenieros se frustran con los errores de inicio de sesión de redes sociales y simplemente agregan a la lista de permitidos dominios con comodines completos o bloques masivos de direcciones IP. Esto crea una vulnerabilidad de seguridad en la que los usuarios expertos pueden eludir por completo su Captive Portal. Limítese a los dominios específicos requeridos para el flujo de OAuth. Tercero, al implementar AltaPass PPSK con VLAN dinámicas, asegúrese de que toda su infraestructura de conmutación esté configurada correctamente. Los puertos del switch que se conectan a sus AP de Alta Labs deben configurarse como enlaces troncales (trunks), permitiendo que todas las VLAN etiquetadas pasen al gateway. Si el AP etiqueta el tráfico para la VLAN 101, pero el puerto del switch está configurado en modo de acceso en la VLAN 1, el tráfico se descarta y el cliente no obtiene dirección IP. Cuarto, implemente una revisión trimestral de la configuración de su red perimetral (walled garden). Los proveedores de OAuth y las redes de distribución de contenido cambian sus estructuras de dominio. Apple actualizó sus dominios de inicio de sesión (Sign In) dos veces en 2023. Una red perimetral que era correcta en el momento de la implementación perderá la alineación sin un mantenimiento activo. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO] Repasemos un par de preguntas rápidas que recibimos del campo de trabajo. Pregunta uno: ¿Puedo usar WPA3 con el Captive Portal de Purple en el hardware de Alta Labs? Sí. Debe usar WPA3-OWE, que significa Opportunistic Wireless Encryption. Esto cifra los datos de forma inalámbrica, protegiendo la privacidad de los invitados, mientras sigue funcionando como una red abierta que activa la redirección al Captive Portal. Es la elección correcta para cualquier nueva implementación de WiFi para invitados en 2026. Pregunta dos: ¿Qué puertos necesito abrir en mi firewall para el tráfico RADIUS? Los servidores RADIUS de Purple se comunican a través del puerto UDP 1812 para la autenticación y del puerto UDP 1813 para la contabilidad (accounting). Asegúrese de que su firewall perimetral permita el tráfico de salida en estos puertos desde los AP de Alta Labs hacia la infraestructura de Purple. Pregunta tres: ¿Puedo usar AltaPass PPSK junto con el Captive Portal de Purple en el mismo SSID? Sí, y de hecho esta es una configuración muy útil. Puede crear una contraseña de AltaPass que evite el Captive Portal para dispositivos conocidos (como sus terminales de punto de venta o señalización digital), mientras que las conexiones estándar al mismo SSID siguen pasando por la página de bienvenida de Purple. Esto le brinda un único SSID limpio que maneja tanto dispositivos autenticados como usuarios invitados. --- [RESUMEN Y PRÓXIMOS PASOS - 1 MINUTO] Para resumir: integrar Alta Labs con Purple WiFi le brinda una plataforma segura y escalable para capturar datos de primera fuente (first-party data) y ofrecer una experiencia de invitado personalizada con su marca. Recuerde los tres pilares de una implementación exitosa. Primero, configure con precisión la redirección de hotspot externo y los ajustes de RADIUS en la plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente sus dominios de walled garden para garantizar que las pruebas de sistema operativo (OS probes) y los inicios de sesión de redes sociales funcionen correctamente. Y tercero, aproveche AltaPass PPSK para implementar redes basadas en identidad (Identity-Based Networking), segmentando su tráfico sin saturar su espacio aéreo con SSIDs innecesarios. Purple opera en más de 80,000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024. La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y está diseñada para escalar desde un solo hotel boutique hasta una cadena minorista nacional. Al combinar eso con el rendimiento y la flexibilidad del hardware de Alta Labs, obtiene una solución de WiFi empresarial sumamente atractiva. Si sigue esta guía de mejores prácticas, ofrecerá una experiencia de WiFi fluida y en conformidad con las normas, con la que tanto su equipo de marketing como su equipo de seguridad estarán satisfechos. Gracias por escuchar la serie de sesiones técnicas de Purple. Hasta la próxima, mantenga sus redes seguras y sus datos listos para la acción.

header_image.png

Resumen ejecutivo

Los puntos de acceso Alta Labs AP6 y AP6 Pro se integran con el Captive Portal en la nube de Purple mediante autenticación RADIUS estándar y redirección HTTP. El AP intercepta el tráfico de invitados no autenticado, lo redirige a su página de bienvenida de Purple y otorga acceso una vez que el servidor RADIUS de Purple devuelve un Access-Accept. Para entornos multiinquilino, la tecnología AltaPass de Alta Labs asigna cada dispositivo de conexión a una VLAN y una política de ancho de banda únicas según la contraseña utilizada, sin necesidad de SSIDs adicionales. Esta guía le proporciona los pasos de configuración exactos, las listas de dominios de walled garden y los parámetros RADIUS para implementar la integración desde cero. Purple opera en más de 80,000 puntos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). El hardware de Alta Labs es una excelente opción para MSPs e instaladores de oficinas inteligentes que necesitan segmentación de nivel empresarial a un precio competitivo.

Arquitectura técnica

La integración se distribuye en tres capas: la plataforma de gestión en la nube de Alta Labs, el hardware AP6 o AP6 Pro en el borde y la infraestructura en la nube de Purple que maneja la autenticación y el análisis de datos.

Cuando un invitado se conecta al SSID abierto o WPA3-OWE, el AP coloca el dispositivo en un estado restringido de preautenticación. Todo el tráfico HTTP saliente se intercepta y se redirige a la URL de la página de bienvenida de Purple. El dispositivo solo puede acceder a los dominios explícitamente incluidos en la lista del walled garden hasta que se complete la autenticación. Una vez que el invitado envía sus credenciales en la página de bienvenida de Purple, el servidor RADIUS de Purple envía un Access-Accept al AP, el cual elimina la restricción y otorga acceso completo a Internet. Purple registra los datos de la sesión (tipo de dispositivo, tiempo de permanencia, método de inicio de sesión) y los pone a disposición en el panel de WiFi Analytics .

architecture_overview.png

Para las redes del personal y del área operativa, el mismo hardware de AP gestiona la autenticación WPA2/WPA3-Enterprise (IEEE 802.1X). El AP actúa como cliente RADIUS, reenviando las solicitudes de autenticación a la infraestructura SecurePass de Purple, que a su vez valida las credenciales frente a Microsoft Entra ID, Okta o Google Workspace. La respuesta RADIUS Access-Accept incluye el atributo Tunnel-Private-Group-Id, que el AP utiliza para ubicar el dispositivo en la VLAN correcta de forma dinámica.

Guía de implementación

Paso 1: Agregar el punto de encuentro y el hardware en Purple

Antes de configurar el controlador de Alta Labs, registre la implementación en Purple.

  1. Inicie sesión en el portal de gestión de Purple y navegue a Management > Locations.
  2. Seleccione Venues and Groups > Add venue y complete el asistente para agregar el punto de encuentro.
  3. Desde su sucursal, seleccione Hardware > Agregar hardware > Agregar nuevo hardware.
  4. Establezca el tipo de hardware en WiFi AP y seleccione el tipo de AP correspondiente.
  5. Ingrese la dirección MAC de cada unidad Alta Labs AP6 o AP6 Pro.
  6. Haga clic en Ver manual en línea para obtener las direcciones IP del servidor RADIUS, los puertos y el secreto compartido para esta sucursal. Registre estos valores; los necesitará en el Paso 3.

Paso 2: Configurar el SSID de invitados en Alta Labs

Inicie sesión en la plataforma Alta Labs Cloud Management en manage.alta.inc.

  1. Diríjase a Configuración > WiFi y seleccione el SSID destinado al acceso de invitados.
  2. In Configuración avanzada, establezca el tipo de red en Invitado. Esto aplica el aislamiento de clientes automáticamente.
  3. Desplácese hasta la sección Hotspot y seleccione Externo.
  4. En el campo URL de redireccionamiento, pegue la URL de la página de inicio (splash page) de Purple provista en la configuración de hardware de su sucursal (por ejemplo, https://region1.purpleportal.net/access/).
  5. Ingrese el Secreto de autorización (secreto compartido de RADIUS) desde la configuración de su sucursal de Purple.
  6. Haga clic en Guardar.

Paso 3: Configurar la autenticación RADIUS

Con la redirección externa configurada, configure los parámetros de RADIUS para que el AP pueda comunicarse con la infraestructura de autenticación de Purple.

Parámetro Valor
IP del servidor de autenticación principal Provisto por la configuración de la sucursal de Purple
Puerto de autenticación UDP 1812
IP del servidor de contabilidad (accounting) principal Provisto por la configuración de la sucursal de Purple
Puerto de contabilidad (accounting) UDP 1813
Secreto compartido Provisto por la configuración de la sucursal de Purple

Para implementaciones de alta disponibilidad, configure el servidor RADIUS secundario utilizando la dirección IP de respaldo provista por Purple.

Paso 4: Definir el walled garden

El walled garden permite dominios específicos antes de que se complete la autenticación. Si faltan entradas, se interrumpirá el flujo del Captive Portal o se evitará que se carguen los inicios de sesión de redes sociales. Ingrese los siguientes dominios en el campo Hosts / IPs autorizados adicionales en la configuración de Alta Labs Hotspot.

Infraestructura de Purple (requerido)

Dominio Propósito
region1.purpleportal.net Hosting de la página de inicio (splash page)
venuewifi.com Infraestructura de redireccionamiento de Purple
cloudfront.net CDN para recursos del portal

Sondeos de Captive Portal del sistema operativo (requerido)

Dominio S.O.
captive.apple.com iOS / macOS
connectivitycheck.gstatic.com Android
msftconnecttest.com Windows

Inicio de sesión social (agregar por proveedor habilitado)

Proveedor Dominios
Google accounts.google.com, oauth2.googleapis.com, apis.google.com, gstatic.com
Facebook facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple appleid.apple.com, idmsa.apple.com, *.apple.com

captive_portal_flow.png

AltaPass PPSK y segmentación multi-inquilino

AltaPass es la implementación pendiente de patente de Alta Labs de Claves Privadas Pre-Compartidas (PPSK). Permite que un solo SSID admita múltiples contraseñas únicas, donde cada contraseña se asocia a una VLAN distinta, un límite de ancho de banda, un horario y una regla de omisión de portal cautivo. Esto elimina la necesidad de transmitir SSIDs separados para cada inquilino, grupo de personal o categoría de dispositivo.

Configuración de AltaPass en el panel de Alta Labs

  1. Seleccione su SSID y diríjase a la sección de administración de contraseñas.
  2. Haga clic en el botón morado de tipo de red a la izquierda de cada entrada de contraseña.
  3. Asigne un ID de VLAN a la contraseña. Los clientes que se conecten con esta contraseña se colocarán en la subred de la VLAN especificada.
  4. Establezca límites de ancho de banda (carga y descarga) por contraseña según sea necesario.
  5. Active o desactive la omisión del hotspot por contraseña. Los dispositivos IoT y las terminales de punto de venta (POS) normalmente omiten el Captive Portal.
  6. Aplique restricciones de horario si es necesario (por ejemplo, restringir el acceso a internet para ciertos dispositivos fuera de las horas de operación).

altapass_ppsk_segmentation.png

Para un edificio residencial de 72 departamentos, esto significa un SSID y más de 72 contraseñas únicas: una por departamento, una para la administración y una para el sistema de automatización del edificio. Cada contraseña se asocia a una VLAN y subred aisladas. Los residentes del plan estándar reciben 100 Mbps. Los residentes premium reciben 300 Mbps. El equipo de administración del edificio no tiene restricciones. Los dispositivos IoT se aíslan en una VLAN dedicada con inspección profunda de paquetes activada. Este es el modelo de despliegue que reduce la cantidad de SSIDs de 72 a uno.

Asignación dinámica de VLAN mediante RADIUS

Para redes de personal con 802.1X, la asignación de VLAN funciona a través de atributos RADIUS en lugar de PPSK. La respuesta RADIUS Access-Accept debe incluir:

Atributo Valor
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (IEEE-802)
Tunnel-Private-Group-Id ID de VLAN de destino (por ejemplo, "20")

Importante: configure la VLAN predeterminada en el SSID como VLAN 1 (o déjela sin etiquetar) cuando utilice VLANs asignadas por RADIUS. Si la VLAN predeterminada se establece en un valor específico, el AP puede anular la asignación de RADIUS con la predeterminada configurada. Este es un comportamiento conocido en el firmware actual de Alta Labs.

Mejores prácticas

Las siguientes recomendaciones se aplican a cualquier despliegue de Alta Labs con Purple, independientemente del tipo de instalación.

Utilice resolución DNS dinámica para las entradas de walled garden. Los proveedores de OAuth y las CDNs rotan las direcciones IP con frecuencia. Una lista blanca de IPs estáticas perderá eficacia con el tiempo. Configure el controlador de Alta Labs para resolver los dominios del walled garden de forma dinámica, y establezca un TTL de DNS no menor a 30 segundos para evitar una carga de consultas excesiva.

Limite el alcance del walled garden con precisión. Agregue a la lista blanca únicamente los dominios necesarios para el flujo de autenticación. Incluir demasiados dominios en la lista blanca (en particular, agregar entradas con comodines para dominios grandes) crea un vector de omisión que invalida el propósito del Captive Portal. Realice pruebas con dispositivos no autenticados antes del lanzamiento. Utilice un dispositivo que nunca se haya conectado a la red. Los dispositivos previamente autenticados pueden tener autorizaciones MAC o entradas de DNS almacenadas en caché que ocultan fallas en el walled garden. Revise cada método de inicio de sesión que planee ofrecer.

Revise los dominios del walled garden trimestralmente. Apple, Google y Meta actualizan sus estructuras de dominio de OAuth periódicamente. Programe una revisión trimestral en su calendario operativo para detectar cambios antes de que afecten a los usuarios.

Segmente los dispositivos IoT desde el principio. Utilice AltaPass para asignar dispositivos IoT a una VLAN dedicada con el bypass de hotspot habilitado. Mezclar el tráfico de IoT con el tráfico de invitados o del personal genera riesgos innecesarios y complica la respuesta a incidentes.

Para obtener una perspectiva más amplia sobre la arquitectura de seguridad WiFi empresarial, consulte nuestra guía sobre Seguridad de WiFi empresarial: La guía completa para 2026 .

Solución de problemas y mitigación de riesgos

La Splash page no aparece en iOS. La causa más común es que falta la entrada captive.apple.com en el walled garden. iOS utiliza este dominio para detectar Captive Portals. Si se bloquea la comprobación, el Captive Network Assistant nunca se inicia y el usuario ve un error de conectividad genérico.

El inicio de sesión con redes sociales muestra una pantalla en blanco o un error de CORS. Verifique si faltan subdominios de CDN o API en el walled garden. *.fbcdn.net de Facebook y gstatic.com de Google son las entradas que se omiten con mayor frecuencia. Utilice las herramientas para desarrolladores del navegador en una sesión no autenticada para identificar qué solicitudes de dominio están fallando.

La asignación de VLAN falla con AltaPass. Verifique que el puerto del switch ascendente que se conecta al AP esté configurado como puerto troncal (trunk) y permita las VLAN etiquetadas. Un puerto de switch en modo de acceso descartará las tramas etiquetadas de forma silenciosa, dejando al cliente sin dirección IP.

La autenticación de RADIUS agota el tiempo de espera. Confirme que los puertos UDP 1812 y 1813 estén abiertos para salida en el firewall perimetral. Verifique que el secreto compartido en la configuración de Alta Labs coincida exactamente con el valor en los ajustes de la sucursal de Purple; una diferencia de un solo carácter hará que fallen todas las solicitudes de autenticación.

La asignación dinámica de VLAN coloca a los usuarios en la VLAN incorrecta. Configure la VLAN predeterminada en el SSID 802.1X como VLAN 1. Si la VLAN predeterminada está configurada con un valor específico, el AP puede anular la VLAN asignada por RADIUS. Este es un comportamiento a nivel de firmware confirmado en el foro de la comunidad de Alta Labs.

ROI e impacto empresarial

Implementar hardware de Alta Labs con Purple Guest WiFi ofrece retornos medibles en tres dimensiones: eficiencia operativa, captura de datos y postura de seguridad.

En el aspecto operativo, consolidar múltiples SSIDs en una sola red administrada por AltaPass reduce la complejidad de la gestión y mejora el rendimiento inalámbrico. Menos SSIDs significan un menor consumo de recursos por tramas de baliza (beacon frames), lo que se traduce directamente en un mayor rendimiento para todos los dispositivos conectados.

Por el lado de los datos, el Captive Portal de Purple captura datos de primera mano verificados en cada inicio de sesión. Los establecimientos que utilizan los planes Capture y Engage de Purple reportan un aumento del 40% en las suscripciones a bases de datos de marketing en comparación con el WiFi para invitados no gestionado (datos internos de Purple). Esos datos se alimentan directamente en WiFi Analytics , lo que brinda a los equipos de marketing visibilidad sobre los patrones de afluencia, el tiempo de permanencia y las tasas de visitas recurrentes.

Por el lado de la seguridad, la asignación dinámica de VLAN aísla el tráfico de invitados, del personal y de IoT en el extremo. Combinada con la infraestructura certificada con ISO 27001 de Purple y el manejo de datos de conformidad con GDPR, esta arquitectura cumple con los requisitos de segmentación de red PCI DSS para establecimientos que procesan pagos con tarjeta.

Específicamente para implementaciones en hospitality , la combinación de páginas de inicio personalizadas con la marca, integraciones con programas de lealtad y controles de ancho de banda por dispositivo crea una experiencia de invitado diferenciada sin añadir complejidad al equipo de operaciones de red.

Para entornos de retail , la capacidad de segmentar las terminales de punto de venta (POS) del WiFi para invitados en la misma infraestructura física (mediante reglas de desvío de AltaPass) elimina la necesidad de cableado o hardware independiente, reduciendo tanto los gastos de capital como los operativos.

Guías relacionadas: Arista Cognitive Wi-Fi Integration with Purple WiFi | Walled Garden Configuration for Guest WiFi

Definiciones clave

Captive portal

Una página web que intercepta el tráfico de red no autenticado y requiere que el usuario interactúe (inicie sesión, acepte los términos o pague) antes de otorgar acceso a Internet. Purple aloja la página de bienvenida en la nube; el AP de Alta Labs maneja la redirección.

El mecanismo principal para la captura de datos de invitados en implementaciones de WiFi de hotelería, comercio minorista y sector público.

Walled garden

Una lista definida de dominios y direcciones IP a las que un dispositivo cliente puede acceder antes de completar la autenticación del Captive Portal. Todo lo que esté fuera de la lista se bloquea hasta que el usuario inicia sesión.

Crítico para permitir que funcionen las API de inicio de sesión social, los sondeos de detección de sistemas operativos y los recursos de CDN del portal antes de que se complete la autenticación.

PPSK (Clave precompartida privada)

Un método de seguridad donde se pueden usar múltiples contraseñas únicas en un solo SSID, asignando cada contraseña el dispositivo de conexión a una VLAN, política de ancho de banda y horario de acceso específicos.

Alta Labs implementa esto como AltaPass. Se utiliza en MDUs, oficinas inteligentes y estadios para proporcionar acceso aislado sin proliferación de SSID.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA). Purple actúa como el servidor RADIUS; el AP de Alta Labs actúa como el cliente RADIUS.

El mecanismo que le indica al AP que un invitado se ha autenticado con éxito y se le debe otorgar acceso a Internet.

Networking basado en la identidad

Una arquitectura de red donde los derechos de acceso, las VLAN y los límites de ancho de banda se aplican según la identidad autenticada del usuario o dispositivo, en lugar del puerto físico o SSID al que se conectan.

El término de Purple para la combinación de RADIUS, PPSK y asignación de VLAN que permite políticas consistentes en un patrimonio distribuido.

Asignación dinámica de VLAN

El proceso de colocar un dispositivo cliente en una Red de Área Local Virtual específica en función de las credenciales de autenticación devueltas por un servidor RADIUS, en lugar de un mapeo estático de SSID a VLAN.

Esencial para aislar el tráfico de personal, invitados e IoT en una infraestructura inalámbrica compartida. Requiere atributos RADIUS correctos: Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

El mecanismo de sistema operativo integrado en iOS, Android y Windows que detecta un Captive Portal mediante el sondeo de una URL conocida. Si el sondeo se redirige, el sistema operativo inicia un pseudonavegador para que el usuario inicie sesión.

Si los dominios de sondeo de CNA están bloqueados en el walled garden, el usuario nunca verá la página de bienvenida. Este es el modo de falla más común del Captive Portal.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Un estándar que cifra los datos en tránsito en redes abiertas sin requerir una contraseña, protegiendo la privacidad de los invitados y permitiendo al mismo tiempo la redirección del Captive Portal.

El modo de seguridad recomendado para SSID de invitados en 2026. Proporciona cifrado sin la fricción de una clave precompartida.

AltaPass

La implementación de tecnología SSID de múltiples contraseñas con patente pendiente de Alta Labs. Permite que un solo SSID admita contraseñas únicas ilimitadas, cada una con su propia VLAN, límite de ancho de banda, horario y configuración de omisión de hotspot.

La herramienta principal para la segmentación multi-inquilino en el hardware de Alta Labs. Reemplaza la necesidad de múltiples SSID en implementaciones residenciales, de hotelería y de oficinas inteligentes.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita ofrecer acceso WiFi escalonado: un nivel básico gratuito (10 Mbps) para huéspedes estándar, un nivel premium de pago (50 Mbps) para miembros del programa de lealtad y una red segura para el personal de limpieza. Quieren evitar la transmisión de múltiples SSID para mantener el rendimiento de RF en 40 unidades Alta Labs AP6 Pro.

Despliegue un único SSID llamado 'Hotel Guest WiFi' con AltaPass habilitado. Cree tres perfiles de contraseña en el panel de Alta Labs: (1) una contraseña de huésped estándar asignada a la VLAN 10 con un límite de descarga de 10 Mbps y redirección de hotspot externa a la página de bienvenida de Purple; (2) una contraseña de miembro de lealtad asignada a la VLAN 20 con un límite de 50 Mbps (Purple puede distribuir esta contraseña después de la autenticación a través de su automatización de marketing); (3) una contraseña para el personal de limpieza asignada a la VLAN 30 sin límite de ancho de banda, con la omisión de hotspot habilitada y el aislamiento de clientes deshabilitado para que los dispositivos del personal puedan comunicarse con los sistemas internos. Configure los enlaces ascendentes del switch como trunks que permitan las VLAN 10, 20 y 30. Las VLAN de huéspedes y lealtad se enrutan a internet mediante NAT. La VLAN del personal se enruta a la subred del sistema de gestión de la propiedad.

Comentario del examinador: Este enfoque utiliza AltaPass para lograr una red basada en la identidad sin la proliferación de SSID. La clave de esta solución es que la omisión de hotspot es una configuración por contraseña, no por SSID. Esto permite que el mismo SSID sirva de manera simultánea tanto a los huéspedes del Captive Portal como al personal con la omisión habilitada. La distribución del nivel de lealtad a través del flujo posterior a la autenticación de Purple es un patrón común en la industria hotelera: el huésped inicia sesión en el nivel estándar y el motor de marketing de Purple le envía un código de acceso premium si cumple con los criterios de lealtad.

Una cadena de tiendas de retail está desplegando Purple Guest WiFi en 50 tiendas utilizando hardware de Alta Labs. Durante las pruebas, la página de bienvenida se carga correctamente en dispositivos Android, pero los dispositivos Apple iOS muestran un error genérico de 'Sin conexión a internet' y no muestran la pantalla de inicio de sesión. El walled garden incluye el dominio del portal de Purple y las entradas de Google OAuth.

Agregue captive.apple.com al walled garden en la configuración del hotspot de Alta Labs. iOS utiliza este dominio para su sondeo del Captive Network Assistant. Cuando el dispositivo se conecta a una nueva red, iOS envía una solicitud HTTP a captive.apple.com. Si recibe la respuesta esperada, asume que la red está abierta. Si recibe una redirección, inicia el pseudonavegador. Si el dominio está completamente bloqueado, iOS no puede detectar el Captive Portal y muestra un error de conectividad. Una vez que el dominio está en la lista blanca, los dispositivos iOS detectarán la redirección e iniciarán la pantalla de inicio de sesión de forma automática.

Comentario del examinador: Este es el fallo más común de un Captive Portal en entornos reales. Android utiliza connectivitycheck.gstatic.com y Windows utiliza msftconnecttest.com para el mismo propósito. Los tres deben estar en el walled garden para un despliegue multiplataforma. El fallo es particularmente confuso porque se presenta como un error de conectividad de red en lugar de un error del portal, lo que lleva a los ingenieros a investigar el DHCP y el DNS antes de revisar el walled garden.

Preguntas de práctica

Q1. Está implementando puntos de acceso Alta Labs AP6 Pro en un centro de conferencias. El cliente requiere un Captive Portal para los asistentes, pero también necesita que las terminales de punto de venta se conecten de forma segura a los mismos puntos de acceso sin ver la página de inicio. Ambos tipos de dispositivos deben usar el mismo SSID para simplificar la señalización. ¿Cómo configura esto?

Sugerencia: AltaPass permite configuraciones de omisión de hotspot por contraseña en el mismo SSID.

Ver respuesta modelo

Habilite AltaPass en el SSID único. Cree una contraseña para las terminales de punto de venta que las asigne a una VLAN segura (por ejemplo, VLAN 50) con la omisión de hotspot habilitada; estos dispositivos se conectarán directamente a la red sin ver el Captive Portal. Cree una contraseña separada (o use una conexión abierta) para los asistentes que active el redireccionamiento externo a la página de inicio de Purple en la VLAN 10. Ambos tipos de dispositivos se conectan al mismo SSID pero reciben diferentes políticas de red según su contraseña.

Q2. Después de configurar el Captive Portal de Purple en una red de Alta Labs, los dispositivos Android muestran correctamente la página de inicio, pero los dispositivos Apple iOS muestran un error genérico de "Sin conexión a Internet" y no abren la pantalla de inicio de sesión. El walled garden incluye el dominio del portal de Purple y las entradas de Google OAuth. ¿Cuál es la causa más probable y la solución?

Sugerencia: iOS utiliza un dominio específico para detectar los portales cautivos. Si no puede alcanzar ese dominio, asume que la red no tiene acceso a internet.

Ver respuesta modelo

Falta captive.apple.com en el walled garden. iOS envía una prueba HTTP a este dominio al conectarse a una nueva red. Si la prueba se bloquea, iOS no puede detectar el Captive Portal y muestra un error de conectividad en lugar de iniciar el Captive Network Assistant. Agregue captive.apple.com al walled garden en la configuración de Hotspot de Alta Labs. También agregue connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows para garantizar la compatibilidad multiplataforma.

Q3. Un director de TI de un estadio configuró VLAN asignadas por RADIUS en una red de personal Alta Labs 802.1X. El servidor RADIUS envía el atributo Tunnel-Private-Group-Id correcto (VLAN 20), pero todos los dispositivos del personal terminan en la VLAN 5, que es la VLAN predeterminada configurada en el SSID. ¿Qué está causando esto y cómo lo resuelve?

Sugerencia: Existe un comportamiento conocido en el firmware de Alta Labs relacionado con la interacción entre la VLAN predeterminada del SSID y las VLAN asignadas por RADIUS.

Ver respuesta modelo

El AP de Alta Labs está anulando la VLAN asignada por RADIUS con el valor de la VLAN predeterminada del SSID. Este es un comportamiento conocido del firmware: cuando la VLAN predeterminada en el SSID se establece en un valor específico (VLAN 5 en este caso), el AP utiliza ese valor en lugar de la VLAN devuelta por RADIUS. La solución es establecer la VLAN predeterminada en el SSID 802.1X en la VLAN 1 (o dejarla sin etiquetar). Con la opción predeterminada establecida en la VLAN 1, el AP respeta correctamente la VLAN asignada por RADIUS para cada usuario autenticado.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.

Leer la guía →