Integración de Cambium Networks cnPilot y cnMaestro con Purple WiFi

Esta guía autoritativa detalla la integración de los puntos de acceso Cambium Networks cnPilot y el controlador en la nube cnMaestro con la plataforma de inteligencia Purple WiFi. Cubre la arquitectura, la configuración del Captive Portal, los requisitos de walled garden, WiFi para el personal mediante 802.1X y la segmentación dinámica de VLAN utilizando Cambium ePSK para entornos multi-inquilino.

📖 5 min de lectura📝 1,178 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Integración de Cambium Networks cnPilot y cnMaestro con Purple WiFi. Una sesión informativa para consultores.

Bienvenido. Si opera un entorno de Cambium Networks y se le ha solicitado ofrecer una experiencia de WiFi para huéspedes que capture datos, impulse el marketing y cumpla con las normativas, esta sesión informativa es exactamente lo que necesita.

Le guiaré a través de cómo se integran los puntos de acceso Cambium cnPilot, el controlador en la nube cnMaestro y Purple WiFi. Cubriremos la arquitectura, el flujo de autenticación RADIUS, la configuración del walled garden, el WiFi seguro para el personal mediante 802.1X y la segmentación multi-inquilino utilizando la función ePSK de Cambium con asignación dinámica de VLAN.

Ya sea que gestione un complejo hotelero, un portafolio de retail, un centro de conferencias o un campus del sector público, los principios son los mismos. Comencemos.

Primero, una rápida orientación sobre las dos plataformas.

Cambium Networks produce la gama cnPilot de puntos de acceso WiFi empresariales: el e410, e425H, e430H y e505 para implementaciones en interiores y exteriores. Estos APs se gestionan de forma centralizada a través de cnMaestro, la plataforma de gestión en la nube de Cambium. cnMaestro le brinda visibilidad centralizada, gestión de configuración y actualizaciones de firmware en todo su inventario de APs, ya sea un puñado de dispositivos en un solo establecimiento o miles de APs en todo un territorio nacional.

Purple WiFi es una plataforma de inteligencia de WiFi para huéspedes empresarial. Se encarga del Captive Portal (la página de inicio personalizada con su marca que ven sus huéspedes al conectarse) y también actúa como un servidor de autenticación RADIUS, un motor de captura de datos y una plataforma de automatización de marketing. Purple opera en más de 80,000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024. La combinación de Cambium cnMaestro y Purple le ofrece una pila de WiFi para huéspedes de nivel de producción que es tanto técnicamente sólida como comercialmente valiosa.

Ahora, hablemos de la arquitectura de integración.

El mecanismo principal es una redirección de Captive Portal combinada con autenticación RADIUS. Así es como funciona el flujo en la práctica.

Un dispositivo de huésped se asocia con su SSID de huéspedes. Ese SSID está configurado en cnMaestro como una red abierta, sin clave precompartida para los huéspedes. El AP de Cambium intercepta la primera solicitud HTTP del dispositivo y la redirecciona a la URL del Captive Portal de Purple. Esta redirección se configura en cnMaestro bajo la configuración de Guest Access de la WLAN, donde establece la URL de la página externa (External Page URL) al endpoint del portal de su establecimiento en Purple.

El huésped luego interactúa con el portal de Purple. Puede autenticarse mediante inicio de sesión social, correo electrónico, verificación por SMS o un formulario personalizado. Una vez que completa el flujo de autenticación, el backend de Purple envía un mensaje RADIUS Access-Accept de vuelta al AP de Cambium en el puerto UDP 1812. El AP luego cambia el dispositivo del estado de preautenticación al acceso completo a la red.

Permítame guiarle a través de los pasos de configuración exactos en cnMaestro.

Navegue a Configuration, luego a WiFi Profiles y después a WLANs. Cree una nueva WLAN para su red de huéspedes. Establezca el nombre del SSID (algo como "Hotel Guest WiFi") y configure la seguridad en Open. En Guest Access, habilite la opción External Hotspot. Esta es la configuración clave que le indica a cnMaestro que redireccione a los clientes no autenticados a un portal externo.

Establezca la URL de la página externa (External Page URL) con la URL del portal de su establecimiento en Purple. Habilite la autenticación RADIUS e ingrese la dirección IP del servidor RADIUS de Purple, el secreto compartido, y configure el puerto de autenticación en UDP 1812. Habilite la contabilidad (accounting) de RADIUS en el puerto UDP 1813; esto es fundamental para que las analíticas de Purple funcionen correctamente. Sin los registros de contabilidad, Purple no puede generar datos de sesión, métricas de tiempo de permanencia ni analíticas de frecuencia de visitas.

Ahora, el walled garden. Esta es la lista de dominios y direcciones IP a los que los dispositivos de los huéspedes pueden acceder antes de autenticarse. Debe incluir en la lista blanca el dominio del portal de Purple y cualquier endpoint de CDN utilizado para servir los recursos del portal. También debe incluir en la lista blanca los dominios de los proveedores de autenticación; si utiliza el inicio de sesión social a través de Google o Facebook, sus dominios de OAuth deben estar en el walled garden. Un walled garden mal configurado es la causa más común de fallas en el Captive Portal. El dispositivo del huésped necesita resolver el DNS y acceder al portal de Purple a través de HTTPS antes de poder autenticarse.

En cnMaestro, el walled garden se configura bajo los ajustes de External Hotspot. Agregue entradas para el dominio del portal de Purple, los dominios de los proveedores de inicio de sesión social y los dominios de las pasarelas de pago si ofrece planes de WiFi de pago.

Ahora hablemos sobre el WiFi seguro para el personal utilizando IEEE 802.1X.

Para las redes del personal, no se desea un Captive Portal. Se requiere una autenticación basada en certificados o credenciales que ocurra de forma silenciosa a nivel de dispositivo. En cnMaestro, cree una WLAN separada para el personal. Establezca la seguridad en WPA2-Enterprise. Configure los detalles del servidor RADIUS; nuevamente, la IP del servidor RADIUS de Purple en el puerto UDP 1812. Los dispositivos del personal se autentican utilizando EAP-PEAP con credenciales de usuario y contraseña, o EAP-TLS con certificados de dispositivo para obtener el nivel de seguridad más alto.

Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Esto significa que su personal puede autenticarse en el WiFi utilizando sus credenciales corporativas existentes, sin necesidad de gestionar una contraseña de WiFi separada. Purple valida las credenciales contra su proveedor de identidad y devuelve un Access-Accept al AP de Cambium. La asignación dinámica de VLAN coloca entonces el dispositivo del personal autenticado en la VLAN de personal correcta, aislándolo del tráfico de huéspedes.

Ahora, la segmentación multi-inquilino utilizando Cambium ePSK.

ePSK (Enhanced Pre-Shared Key) es la implementación de Cambium de lo que la industria llama PPSK o iPSK. El concepto es sencillo: en lugar de una contraseña compartida para todo un SSID, cada usuario o inquilino obtiene su propia contraseña única. Todos se conectan al mismo SSID, pero cada clave única se mapea a una VLAN específica, lo que le brinda aislamiento de red sin la complejidad de ejecutar múltiples SSIDs.

cnMaestro admite hasta 2,000 entradas ePSK por WLAN. A cada ePSK se le puede asignar un ID de VLAN específico, un límite de velocidad y una fecha de vencimiento. Esto lo hace ideal para entornos multi-inquilino; piense en un centro de conferencias donde cada expositor obtiene su propio segmento de red aislado, o un edificio residencial de alquiler donde cada residente obtiene su propia red de área privada.

Para configurar ePSK en cnMaestro, navegue a Configuration, WiFi Profiles, WLANs. Cree una nueva WLAN. Establezca la seguridad en WPA2 Pre-Shared Key. Habilite la opción ePSK. Luego puede agregar entradas ePSK individuales manualmente o utilizar la API de cnMaestro para aprovisionarlas mediante programación, que es el enfoque recomendado para implementaciones a gran escala.

Para cada entrada ePSK, establezca la contraseña, el ID de VLAN asignado y, opcionalmente, el límite de velocidad y el vencimiento. Cuando un dispositivo se conecta utilizando esa contraseña, el AP de Cambium lo coloca automáticamente en la VLAN asignada. No se requiere RADIUS para el flujo de ePSK en sí; la asignación de VLAN se maneja localmente por el AP en función de la contraseña utilizada.

Purple se integra con este modelo gestionando el ciclo de vida de ePSK a través de la API de cnMaestro. Purple puede aprovisionar nuevas entradas ePSK cuando se incorpora un nuevo inquilino, actualizar la asignación de VLAN, establecer fechas de vencimiento y revocar el acceso cuando un inquilino se marcha. Esto elimina la carga de trabajo manual de gestionar cientos o miles de claves individuales.

Bien, hablemos de lo que puede salir mal y cómo evitarlo.

El error más común es el walled garden. Si las entradas de su walled garden están incompletas, la redirección del Captive Portal nunca se completa. Los huéspedes ven un tiempo de espera de conexión agotado, no una página de inicio de sesión. Pruebe siempre con un dispositivo nuevo, no con uno que se haya conectado previamente, y verifique que el portal de Purple se cargue antes de la autenticación. Compruebe que la resolución de DNS funcione para el dominio del portal de Purple desde el estado de preautenticación.

Segundo: discrepancias en el secreto compartido de RADIUS. En implementaciones grandes con múltiples sitios, es fácil tener un secreto compartido configurado de manera diferente en cnMaestro en comparación con lo que Purple tiene registrado. Verifique siempre el secreto compartido en ambos lados antes de la puesta en marcha. Utilice un secreto fuerte generado aleatoriamente (de al menos 32 caracteres) y almacénelo en un gestor de secretos, no en una hoja de cálculo.

Tercero: contabilidad (accounting) de RADIUS. No la omita. Los registros de contabilidad son lo que utiliza Purple para generar analíticas de sesión: tiempo de permanencia, frecuencia de visitas, tipo de dispositivo. Configure la contabilidad RADIUS en el puerto UDP 1813 en cnMaestro. Sin ella, perderá el valor analítico que proporciona Purple. Es un paso de configuración de cinco minutos.

Cuarto: trunking de VLAN. Para que funcione la asignación dinámica de VLAN, las VLANs deben estar configuradas en modo trunk en los puertos del switch que se conectan a sus APs de Cambium. Si la VLAN 100 para huéspedes no está permitida en el trunk, los huéspedes autenticados no obtendrán una dirección IP y parecerá que no tienen acceso a Internet incluso después de una autenticación exitosa. Verifique la configuración del trunk de su switch antes de realizar las pruebas.

Quinto: conflictos en el rango de VLAN de ePSK. Asegúrese de que su rango de VLAN de ePSK no entre en conflicto con las VLANs existentes en su red, especialmente las VLANs de administración o de infraestructura. Documente su asignación de VLAN antes de comenzar.

Sexto: versión de firmware. Asegúrese de que sus APs cnPilot ejecuten la versión de firmware 6.0 o posterior para obtener soporte completo de hotspot externo y funcionalidad ePSK. Las versiones de firmware anteriores tienen problemas conocidos con el comportamiento de redirección del Captive Portal.

Ahora, algunas preguntas rápidas.

¿Puedo usar Purple con Cambium sin RADIUS, solo con una redirección simple? Sí, pero perderá la asignación dinámica de VLAN y los datos de contabilidad de la sesión. Para cualquier cosa que vaya más allá de una página de inicio básica, se recomienda encarecidamente RADIUS.

¿Soporta Purple WPA3 en los APs de Cambium? Sí. La autenticación basada en portal de Purple es compatible con WPA3-SAE en el SSID. El flujo de RADIUS es independiente del protocolo de seguridad inalámbrica.

¿Puedo ejecutar Purple en múltiples sitios de Cambium desde una sola cuenta de Purple? Absolutamente. La arquitectura multi-establecimiento de Purple está diseñada exactamente para esto. Cada sitio se mapea a un establecimiento en Purple, y las políticas de red de cnMaestro se escalan limpiamente en todo un territorio nacional.

¿Cuántas entradas ePSK puede admitir cnMaestro? Hasta 2,000 por WLAN. Para implementaciones que requieran más, utilice un enfoque basado en RADIUS para la gestión de claves.

En resumen: la integración de Cambium cnMaestro y Purple WiFi es una arquitectura bien probada que ofrece WiFi para huéspedes con captura de datos, autenticación RADIUS, segmentación dinámica de VLAN y analíticas completas, todo gestionado de forma centralizada a través de la consola en la nube de cnMaestro.

Los pasos clave para poner esto en marcha: configure su WLAN de huéspedes en cnMaestro con External Hotspot habilitado y la URL del portal de Purple establecida, agregue los detalles del servidor RADIUS de Purple para autenticación y contabilidad, configure sus entradas de walled garden, verifique el trunking de VLAN en sus switches y realice pruebas con un dispositivo nuevo antes de la puesta en marcha.

Para implementaciones multi-inquilino, configure ePSK en una WLAN dedicada, asigne IDs de VLAN por inquilino y utilice la API de cnMaestro para la gestión del ciclo de vida a escala.

El caso de ROI es sencillo. La plataforma de analíticas de Purple convierte su WiFi para huéspedes de un centro de costos a un activo de datos de primera mano. Harrods logró un ROI de marketing de 57 veces con su implementación de WiFi para huéspedes de Purple. AGS Airports generó un ROI del 842%. Combinado con la infraestructura de nivel empresarial de Cambium, obtiene una solución que se escala desde un solo establecimiento hasta un territorio nacional sin cambios arquitectónicos.

Para sus próximos pasos: obtenga los detalles del servidor RADIUS de Purple de su gerente de cuenta de Purple, abra la configuración de la WLAN de cnMaestro para su SSID de huéspedes y revise la lista de verificación de configuración. La mayoría de las implementaciones en un solo sitio se ponen en marcha en un día.

Gracias por escuchar. Si desea profundizar en el diseño del Captive Portal, la estrategia de segmentación de VLAN o la gestión del ciclo de vida de ePSK, la documentación de Purple y el equipo de soporte son el siguiente paso ideal.

Puntos clave

✓Integre los APs Cambium cnPilot con Purple WiFi utilizando redirección HTTP estándar y protocolos RADIUS.
✓Configure la redirección del Captive Portal en cnMaestro bajo la configuración de Guest Access de la WLAN.
✓Asegúrese de que el walled garden incluya los dominios de Purple y cualquier endpoint de proveedor de identidad requerido.
✓Habilite RADIUS Accounting en el puerto UDP 1813 para poblar los tableros de analíticas de Purple con datos de sesión.
✓Proteja las redes del personal mediante la autenticación 802.1X, vinculando el acceso WiFi a las identidades corporativas.
✓Utilice Cambium ePSK para entornos multi-inquilino para segmentar el tráfico de forma segura en un solo SSID.
✓Automatice la gestión del ciclo de vida de ePSK a través de la integración de Purple con la API de cnMaestro.

Resumen Ejecutivo

Para los establecimientos empresariales que se estandarizan en la infraestructura de Cambium Networks, la implementación de una solución de WiFi para huéspedes de nivel de producción requiere una integración estrecha entre la capa de acceso inalámbrico y la plataforma de gestión de identidades. Esta guía proporciona un plan definitivo para integrar los puntos de acceso Cambium cnPilot y el controlador en la nube cnMaestro con Purple WiFi. Al combinar el hardware escalable de Cambium con el Captive Portal, la autenticación RADIUS y las capacidades de analíticas de Purple, los equipos de TI pueden transformar sus redes inalámbricas de un centro de costos a un activo estratégico. La arquitectura detallada aquí admite desde el acceso básico para huéspedes hasta la segmentación compleja de múltiples inquilinos utilizando claves precompartidas privadas (PPSK) de Cambium, ofreciendo una conectividad segura, compatible y rica en datos en entornos de hospitalidad, retail y del sector público.

Análisis Técnico Profundo

La integración entre Cambium Networks y Purple se basa en la redirección HTTP estándar y los protocolos RADIUS. Este enfoque independiente del proveedor garantiza una seguridad sólida, compatibilidad entre plataformas y una gestión centralizada a través de cnMaestro.

Arquitectura de Integración

El mecanismo principal implica una redirección de Captive Portal gestionada por el AP de Cambium, combinada con la autenticación RADIUS gestionada por Purple.

Cuando un dispositivo de huésped se asocia con un SSID de huéspedes abierto, el AP de Cambium intercepta la solicitud HTTP inicial. En lugar de enrutar el tráfico a Internet, el AP redirecciona el dispositivo a la URL del Captive Portal alojado de Purple. El huésped completa el flujo de autenticación en la página de inicio de Purple, que admite inicio de sesión social, registro por correo electrónico y formularios personalizados de captura de datos.

Tras una autenticación exitosa, el backend de Purple envía un mensaje RADIUS Access-Accept al AP de Cambium en el puerto UDP 1812. Este mensaje le indica al AP que cambie el dispositivo cliente del estado de walled garden de preautenticación al acceso completo a la red. Al mismo tiempo, el AP envía datos de contabilidad RADIUS a Purple en el puerto UDP 1813, poblando los tableros de analíticas de Purple con información sobre la duración de la sesión, el uso de datos y el tipo de dispositivo.

Requisitos de Walled Garden

El walled garden es un componente crítico del flujo del Captive Portal. Define las direcciones IP y los dominios específicos a los que puede acceder un dispositivo no autenticado. Si el walled garden está mal configurado, el dispositivo no podrá cargar el portal de Purple, lo que provocará un tiempo de espera de conexión agotado.

Para que la integración funcione, el walled garden debe incluir los dominios del portal de Purple, cualquier endpoint de red de entrega de contenido (CDN) que aloje recursos del portal y los dominios de cualquier proveedor de identidad compatible (como Facebook, Google o Microsoft Entra ID).

Segmentación Multi-Inquilino con Cambium ePSK

La implementación de Cambium de claves precompartidas privadas, bajo la marca ePSK, permite a los arquitectos de red segmentar el tráfico de forma segura sin transmitir múltiples SSIDs.

Con ePSK, un solo SSID admite hasta 2,000 contraseñas únicas. Cada contraseña se mapea a una VLAN específica. Cuando un usuario se conecta utilizando su clave única, el AP de Cambium coloca automáticamente su tráfico en la VLAN asignada. Esta función es invaluable para entornos multi-inquilino, como espacios de coworking o edificios residenciales, donde cada inquilino requiere un segmento de red aislado. Purple se integra con esta arquitectura gestionando el ciclo de vida de ePSK a través de la API de cnMaestro, automatizando el aprovisionamiento, la asignación de VLAN y la revocación de las credenciales de los inquilinos.

Guía de Implementación

La implementación de la integración de Cambium y Purple requiere una configuración precisa dentro de la consola en la nube de cnMaestro. Siga estos pasos para establecer el servicio básico de WiFi para huéspedes.

1. Configurar la WLAN de Huéspedes

Navegue al menú Configuration en cnMaestro, seleccione WiFi Profiles y abra la pestaña WLANs. Cree un nuevo perfil WLAN.

Name / SSID: Defina el nombre de la red de huéspedes (por ejemplo, "Venue Guest WiFi").
Security: Establézcalo en Open.
Client Isolation: Establézcalo en Enable para evitar que los dispositivos de los huéspedes se comuniquen entre sí en la subred local.

2. Habilitar el Hotspot Externo

Dentro de la configuración de la WLAN, localice la sección Guest Access.

Enable Guest Access: Marque esta casilla.
Portal Type: Seleccione External Hotspot.
External Page URL: Ingrese la URL específica del Captive Portal proporcionada por su gerente de cuenta de Purple.

3. Configurar la Autenticación y Contabilidad de RADIUS

En la misma sección de Guest Access, configure los parámetros de RADIUS.

Authentication Server: Ingrese la dirección IP del servidor RADIUS primario de Purple.
Authentication Port: 1812
Accounting Server: Ingrese la dirección IP del servidor RADIUS primario de Purple.
Accounting Port: 1813
Shared Secret: Ingrese el secreto compartido complejo proporcionado por Purple. Asegúrese de que coincida exactamente en ambas plataformas.

4. Definir el Walled Garden

Bajo la configuración de External Hotspot, complete la lista de walled garden. Debe agregar los dominios principales de Purple y los dominios específicos requeridos para los métodos de autenticación elegidos (por ejemplo, proveedores de inicio de sesión social).

5. Configurar 802.1X para WiFi del Personal

Para proteger el acceso del personal, cree un perfil WLAN separado en cnMaestro.

Security: Establézcalo en WPA2-Enterprise.
RADIUS Server: Apunte a la IP del servidor RADIUS de Purple en el puerto 1812.

El personal se autentica utilizando sus credenciales corporativas a través de Microsoft Entra ID o Google Workspace, las cuales Purple validates. Purple luego devuelve un atributo RADIUS Tunnel-Private-Group-ID, indicando al AP de Cambium que coloque el dispositivo del personal en la VLAN corporativa segura.

Mejores prácticas

Trunking de VLAN: Asegúrese de que todas las VLAN requeridas (Guest, Staff, Management) estén configuradas en modo trunk en los puertos del switch que se conectan a los AP de Cambium. Si la VLAN falta en el trunk, los clientes autenticados no podrán obtener una dirección IP a través de DHCP.
Consistencia del firmware: Estandarice su flota de AP en la versión de firmware cnPilot 6.0 o posterior. Esta versión proporciona el soporte más estable para la redirección de hotspot externo y la funcionalidad ePSK.
El accounting es obligatorio: Nunca deshabilite el accounting de RADIUS. Purple depende por completo del flujo de accounting UDP 1813 para generar métricas de tiempo de permanencia, datos de frecuencia de visitas y registros de cumplimiento.
Evite las PSK locales para el personal: Reemplace las contraseñas compartidas heredadas con autenticación 802.1X para las redes del personal. Este enfoque se alinea con los requisitos de ISO 27001 al vincular el acceso a la red con identidades individuales y auditables.

Resolución de problemas y mitigación de riesgos

Cuando surgen problemas de integración, generalmente se manifiestan durante la redirección inicial del Captive Portal o en la fase de autenticación RADIUS.

El portal no carga: Casi siempre se trata de un problema de walled garden. Si un dispositivo de invitado se conecta al SSID pero recibe un tiempo de espera de conexión agotado en lugar de la página de bienvenida (splash page), el AP está bloqueando el acceso al dominio del portal de Purple. Verifique sus entradas de walled garden en cnMaestro y asegúrese de que se permita la resolución de DNS antes de la autenticación.
Fallo de autenticación (Error de credenciales inválidas): Verifique el secreto compartido (shared secret) de RADIUS. Una discrepancia entre cnMaestro y Purple hará que el servidor RADIUS descarte silenciosamente las solicitudes de autenticación.
El dispositivo se autentica pero no tiene acceso a Internet: Esto indica una falla en la asignación dinámica de VLAN o en el proceso DHCP. Verifique que Purple esté devolviendo el ID de VLAN correcto en la respuesta de RADIUS y confirme que la configuración de trunking del puerto del switch permita esa VLAN.

ROI e impacto comercial

Implementar Purple WiFi en la infraestructura de Cambium Networks transforma un servicio de red estándar en un activo comercial medible. Al capturar datos de primera mano en el punto de autenticación, los establecimientos pueden crear perfiles completos de visitantes e impulsar campañas de marketing dirigidas.

Por ejemplo, Harrods implementó Purple Guest WiFi y logró un ROI de marketing de 57x al integrar los datos capturados con su programa de lealtad. De manera similar, AGS Airports generó un ROI del 842% al utilizar ancho de banda escalonado y una interacción dirigida con los pasajeros. Al estandarizar con Cambium cnMaestro y Purple, los líderes de TI pueden ofrecer una conectividad segura y en cumplimiento, al mismo tiempo que proporcionan a la organización de marketing los datos necesarios para impulsar los ingresos.

Definiciones clave

Captive Portal

Una página de inicio de sesión personalizada que requiere que los usuarios se autentiquen o acepten los términos antes de obtener acceso a una red WiFi pública o empresarial.

Se utiliza en implementaciones de WiFi para huéspedes para capturar datos de primera mano, hacer cumplir las políticas de uso aceptable y presentar la marca del establecimiento antes de otorgar acceso a Internet.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El protocolo que utilizan los APs de Cambium para comunicarse con Purple para verificar las credenciales de los usuarios y reportar los datos de la sesión.

Walled Garden

Un entorno limitado que controla el acceso de los usuarios a contenidos y servicios web antes de la autenticación.

Requerido en cnMaestro para permitir que los dispositivos de los huéspedes accedan a la página de inicio de Purple y a los dominios de los proveedores de identidad (como Facebook o Google) antes de tener acceso completo a Internet.

ePSK

Enhanced Pre-Shared Key; la implementación de Cambium de claves precompartidas privadas, que permite contraseñas únicas para usuarios individuales en un solo SSID.

Se utiliza para proporcionar segmentos de red seguros y aislados para entornos multi-inquilino sin transmitir numerosos SSIDs.

Dynamic VLAN Assignment

El proceso de colocar un dispositivo autenticado en una red de área local virtual (VLAN) específica basada en atributos RADIUS en lugar del puerto físico o SSID.

Permite al departamento de TI utilizar un solo SSID mientras separa de forma segura el tráfico de los huéspedes del tráfico del personal o de administración.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El estándar utilizado para WiFi seguro del personal, que reemplaza las contraseñas compartidas con credenciales corporativas individuales validadas contra un proveedor de identidad.

cnMaestro

La plataforma de gestión basada en la nube o local de Cambium Networks para el control centralizado de la infraestructura de red cableada e inalámbrica.

La interfaz donde los arquitectos de red configuran los perfiles WLAN, la configuración de RADIUS y los walled gardens requeridos para la integración con Purple.

First-Party Data

Información que una empresa recopila directamente de sus clientes y que posee por completo.

El principal resultado comercial de una implementación de WiFi para huéspedes de Purple, utilizado para impulsar campañas de marketing y comprender el comportamiento de los visitantes.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita implementar WiFi seguro para huéspedes, personal y un centro de conferencias. Los huéspedes requieren un Captive Portal personalizado con la marca, el personal necesita acceso seguro a los sistemas internos y el centro de conferencias requiere redes aisladas para diferentes organizadores de eventos. ¿Cómo debería el arquitecto de red configurar el entorno de Cambium cnMaestro para soportar esto usando Purple?

El arquitecto debe implementar tres perfiles WLAN distintos en cnMaestro.

WLAN de Huéspedes: Configurada como una red abierta con 'External Hotspot' habilitado. La URL de redirección apunta al Captive Portal de Purple. La autenticación RADIUS (UDP 1812) y la contabilidad (UDP 1813) apuntan a los servidores de Purple. El walled garden incluye los dominios de Purple.
WLAN del Personal: Configurada como WPA2-Enterprise (802.1X). RADIUS apunta a Purple, que se integra con Microsoft Entra ID del hotel. El personal se autentica con credenciales corporativas y Purple los asigna a la VLAN del personal.
WLAN de Conferencias: Configurada con WPA2 Pre-Shared Key y Cambium ePSK habilitado. Purple aprovisiona contraseñas ePSK únicas para cada organizador de eventos a través de la API de cnMaestro, asignando cada clave a una VLAN aislada (por ejemplo, VLAN 301, 302).

Comentario del examinador: Este enfoque mapea correctamente las capacidades técnicas de Cambium y Purple con los requisitos del negocio. Aísla el tráfico de forma segura mediante la asignación dinámica de VLAN y ePSK, evitando la degradación del espectro causada por la transmisión de múltiples SSIDs para cada inquilino de la conferencia.

Una cadena de tiendas de retail ha implementado APs Cambium e410 y ha configurado el Captive Portal de Purple. Sin embargo, los compradores informan que la página de inicio nunca aparece en sus teléfonos inteligentes; en su lugar, el navegador muestra un tiempo de espera de conexión agotado. ¿Cuál es la causa raíz y cómo se resuelve?

La causa raíz es una configuración incompleta del walled garden en cnMaestro. El AP de Cambium está bloqueando el tráfico HTTP/HTTPS requerido para cargar el portal de Purple antes de que el usuario esté autenticado.

Para resolver esto, el ingeniero de red debe iniciar sesión en cnMaestro, navegar al perfil de la WLAN de Huéspedes y actualizar la lista de walled garden de External Hotspot. Debe agregar los dominios específicos del portal de Purple y cualquier endpoint de CDN asociado. Una vez aplicado, los dispositivos no autenticados podrán acceder al portal y completar el flujo de inicio de sesión.

Comentario del examinador: Las malas configuraciones del walled garden son la causa más frecuente de fallas en el Captive Portal. Esta solución identifica correctamente las restricciones del estado de preautenticación y proporciona la ruta de configuración exacta en cnMaestro para rectificar el problema.

Preguntas de práctica

Q1. Está implementando WiFi para huéspedes de Purple en 50 tiendas de retail utilizando APs Cambium e505. Los usuarios pueden conectarse al SSID y ver la página de inicio, pero después de iniciar sesión, no pueden acceder a Internet. Verifica que Purple está enviando el mensaje Access-Accept. ¿Cuál es el problema de infraestructura más probable?

Sugerencia: Considere lo que sucede a nivel de switch cuando un dispositivo intenta obtener una dirección IP después de la autenticación.

Ver respuesta modelo

El problema más probable es la falta de trunking de VLAN en los puertos del switch que se conectan a los APs de Cambium. Aunque el AP autoriza el dispositivo, si la VLAN de huéspedes asignada no está permitida en el trunk del switch, el dispositivo no puede comunicarse con el servidor DHCP para obtener una dirección IP, lo que resulta en la falta de acceso a Internet.

Q2. Un campus universitario desea utilizar un solo SSID para todos los estudiantes en los dormitorios, pero requiere que los dispositivos de cada estudiante estén aislados en su propio segmento de red privado para permitir la transmisión a su smart TV específico. ¿Cómo se implementa esto utilizando Cambium y Purple?

Sugerencia: Observe la implementación de Cambium de claves precompartidas privadas.

Ver respuesta modelo

Implemente Cambium ePSK (Enhanced Pre-Shared Key) en la WLAN de los dormitorios. Purple gestionará el ciclo de vida de ePSK a través de la API de cnMaestro, generando una contraseña única para cada estudiante. Cuando un estudiante conecta sus dispositivos utilizando su clave específica, el AP de Cambium los asigna a una VLAN única, creando una red de área privada aislada.

Q3. Durante una implementación piloto, el tablero de analíticas de Purple muestra cero tiempo de permanencia o métricas de uso de datos para el sitio de prueba de Cambium, a pesar de que los usuarios se están autenticando y navegando por Internet con éxito. ¿Qué paso de configuración se omitió en cnMaestro?

Sugerencia: Las analíticas requieren datos de sesión, los cuales son manejados por un puerto UDP específico en la configuración AAA.

Ver respuesta modelo

No se configuró la contabilidad (Accounting) de RADIUS. El ingeniero de red debe habilitar RADIUS Accounting en el perfil de la WLAN de huéspedes de cnMaestro y apuntarlo al servidor RADIUS de Purple en el puerto UDP 1813. Sin esto, Purple solo maneja la autenticación y no recibe datos del ciclo de vida de la sesión.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Allied Telesis Access Points Integration with Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para implementaciones multiinquilino seguras.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando orientación práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a escala.