Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

📖 6 min de lectura📝 1,300 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido a la serie de informes técnicos de Purple. Hoy cubriremos algo que llega al escritorio de casi todos los arquitectos de redes empresariales que trabajan en hotelería, comercio minorista o instalaciones a gran escala: la integración de los controladores de LAN inalámbricos de Cisco y la infraestructura inalámbrica Catalyst con la plataforma Guest WiFi de Purple. Si opera controladores de la serie Cisco Catalyst 9800 o la plataforma heredada AireOS, y necesita ofrecer una red de invitados que cumpla con las normativas, esté segmentada y se base en análisis, este informe es para usted. [medium pause]

Comencemos con el contexto. Purple opera en más de 80,000 ubicaciones activas en todo el mundo, y Cisco es el proveedor de infraestructura inalámbrica dominante en entornos empresariales. Lograr que estas dos plataformas funcionen juntas de manera limpia no es complicado, pero requiere que tome las decisiones de arquitectura correctas desde el principio. Si se equivoca, pasará semanas solucionando bucles de redirección, desajustes de VLAN y tiempos de espera de RADIUS. Si lo hace bien, tendrá una red que segmenta automáticamente a los invitados, al personal y a los dispositivos IoT, recopila datos de origen de manera conforme a las normas y se escala en cientos de sitios sin intervención manual. [medium pause]

Así que entremos en la arquitectura. [short pause]

Cuando un invitado se conecta a su red WiFi en una implementación de Cisco, hay tres cosas que deben suceder antes de que acceda a Internet. Primero, el WLC Cisco Catalyst 9800 debe interceptar esa solicitud HTTP inicial y redirigir al cliente al Captive Portal de Purple. Segundo, el portal de Purple debe autenticar al usuario, ya sea a través de inicio de sesión social, correo electrónico, SMS o una simple aceptación de términos y condiciones. Tercero, el servidor RADIUS de Purple debe enviar una señal de retorno al WLC de que el usuario está autorizado y, opcionalmente, asignarlo a una VLAN específica. [medium pause]

El mecanismo que maneja el paso uno se llama External Web Authentication o EWA. En el Catalyst 9800, usted configura un mapa de parámetros de autenticación web que apunta a la URL de la página de bienvenida de Purple. El WLC intercepta todo el tráfico HTTP de los clientes no autenticados y emite una redirección 302 a esa URL. También deberá configurar una ACL de preautenticación, o utilizar la función de filtro de URL del 9800, para permitir en la lista blanca las direcciones IP del portal de Purple para que los clientes puedan llegar a la página de bienvenida antes de estar autenticados. Purple proporciona dos direcciones IP para su portal, y deberá permitir ambas en su ACL de preautenticación. [medium pause]

Aquí está la secuencia de configuración para el Catalyst 9800. Primero, cree el mapa de parámetros. Luego, configure su filtro de URL para permitir el dominio de Purple antes de la autenticación. Aplique esto a su perfil de política de WLAN, configure la seguridad de Capa 2 en Ninguna, habilite la Política Web en la Capa 3 y apúntela a su mapa de parámetros. [medium pause]

Ahora, RADIUS. Purple actúa como el servidor RADIUS en esta arquitectura. Configure el WLC para que apunte al endpoint RADIUS de Purple, el cual encontrará en el panel de Purple bajo la configuración de red de su establecimiento. La clave compartida se genera por establecimiento. En el Catalyst 9800, navegue a Configuration, Security, AAA, Servers, y agregue el servidor RADIUS de Purple con la IP correcta y la clave compartida. Luego, cree un grupo de servidores, una lista de métodos de autenticación y aplíquela a su WLAN. [medium pause]

Algo que suele causar confusión: en el 9800, también debe configurar la dirección IP virtual en el mapa de parámetros de autenticación web global. Utilice 192.0.2.1 como la dirección IPv4 virtual. Si omite este paso, los clientes a veces serán redirigidos al portal interno en lugar de al portal de Purple, y pasará una tarde frustrante preguntándose por qué. [medium pause]

Pasemos a Staff WiFi con 802.1X. [short pause]

Para las redes del personal, se recomienda la autenticación basada en certificados mediante EAP-TLS, o como mínimo PEAP con MSCHAPv2 para entornos donde la implementación de certificados no sea viable. En el Catalyst 9800, cree una WLAN independiente para el personal, establezca la seguridad de Capa 2 en WPA2 Enterprise y apunte la autenticación a su servidor RADIUS. Si utiliza Microsoft Entra ID u Okta como su proveedor de identidad, el complemento SecurePass de Purple actúa como el proxy RADIUS, traduciendo las solicitudes de autenticación 802.1X en consultas al proveedor de identidad. Esto significa que no necesita un servidor RADIUS local independiente para la autenticación del personal. Purple gestiona la terminación EAP y reenvía la verificación de identidad a su proveedor de identidad. [medium pause]

Específicamente para EAP-TLS, necesitará implementar certificados de cliente en los dispositivos del personal, ya sea a través de Microsoft Intune, Jamf o una plataforma MDM similar. La cadena de certificados debe ser de confianza para el servidor RADIUS de Purple, lo que significa subir su certificado de CA raíz al panel de Purple. Una vez configurado, los dispositivos del personal se autentican de forma silenciosa, sin solicitudes de contraseña ni páginas de inicio. El usuario se conecta, el certificado se valida y están en la VLAN del personal en cuestión de segundos. [medium pause]

Ahora, la parte que a la mayoría de los arquitectos les resulta verdaderamente interesante: Cisco Identity PSK, o iPSK. [short pause]

iPSK resuelve un problema específico que surge constantemente en entornos multi-inquilino. Imagine un hotel con 300 habitaciones, una cadena de tiendas con 50 sucursales o un desarrollo de viviendas en renta con 200 departamentos. Desea un único SSID, pero necesita que cada inquilino, habitación o grupo de dispositivos esté aislado en su propia VLAN. La solución tradicional era crear un SSID independiente por inquilino, lo cual no es escalable y genera congestión de radiofrecuencia. iPSK le ofrece un único SSID donde cada cliente o grupo de clientes tiene una clave precompartida única, y el servidor RADIUS mapea esa clave a una VLAN específica. [medium pause]

Así es como funciona técnicamente. Cuando un cliente se asocia al SSID, el Catalyst 9800 WLC envía una solicitud RADIUS Access-Request al servidor RADIUS de Purple, incluyendo la dirección MAC del cliente. El servidor RADIUS de Purple busca esa dirección MAC en su base de datos iPSK, encuentra la PSK asociada y la asignación de VLAN, y devuelve una respuesta RADIUS Access-Accept que contiene el par Cisco AV con la PSK y los atributos de túnel IETF para la asignación de VLAN. El WLC utiliza la PSK devuelta para completar el saludo de cuatro vías de WPA2 y luego coloca al cliente en la VLAN asignada. [medium pause]

Los tres atributos RADIUS que necesita para la asignación dinámica de VLAN son: el atributo IETF 64, Tunnel-Type, configurado en VLAN con un valor de 13. El atributo IETF 65, Tunnel-Medium-Type, configurado en 802 con un valor de 6. Y el atributo IETF 81, Tunnel-Private-Group-ID, configurado con el ID de la VLAN como una cadena. Estos tres atributos, enviados juntos en el RADIUS Access-Accept, le indican al WLC exactamente qué VLAN asignar. La VLAN ya debe existir en el WLC como una interfaz dinámica, y el puerto de enlace ascendente del switch debe estar configurado como un enlace troncal (trunk) que transporte todas las VLANs relevantes. [medium pause]

En el lado del WLC, habilite el filtrado MAC en la WLAN iPSK, habilite AAA Override y configure la seguridad de Capa 2 en WPA2-PSK. La PSK global que configure en la WLAN actúa únicamente como respaldo. La PSK devuelta por RADIUS tiene prioridad para cualquier cliente cuya dirección MAC esté registrada en la base de datos iPSK de Purple. Para los dispositivos no registrados, puede denegar el acceso o recurrir a la PSK global, según su política. [medium pause]

Permítame presentarle dos escenarios del mundo real para concretar esto. [short pause]

Primer escenario: un hotel de 200 habitaciones. El hotel quiere que los huéspedes estén en la VLAN 10 únicamente con acceso a internet, el personal en la VLAN 20 con acceso al sistema de gestión de la propiedad, y los dispositivos IoT (cerraduras de puertas, termostatos, CCTV) en la VLAN 30 sin acceso a internet. Tienen controladores Cisco Catalyst 9800 con puntos de acceso de la serie Cisco 9100. [medium pause]

La arquitectura: tres perfiles de políticas en el WLC, uno por VLAN. Un único SSID para huéspedes que utiliza External Web Authentication que apunta a Purple. Un SSID independiente para el personal que utiliza WPA2 Enterprise con EAP-TLS, autenticado a través de Purple SecurePass contra Microsoft Entra ID. E iPSK para los dispositivos IoT, con la dirección MAC de cada dispositivo registrada en el portal de Purple y asignada a la VLAN 30. El sistema de gestión de la propiedad del hotel aprovisiona los nuevos dispositivos IoT a través de la API de Purple, por lo que cuando se instala una nueva cerradura, su dirección MAC se registra automáticamente y se asigna a la VLAN correcta. No se requiere configuración manual de RADIUS. [medium pause]

Segundo escenario: una cadena minorista con 80 tiendas. Cada tienda tiene una red WiFi para huéspedes, una red para el personal y una red para terminales de pago. El cumplimiento de PCI-DSS exige que la red de terminales de pago esté completamente aislada de la red de huéspedes. El minorista utiliza controladores Cisco Catalyst 9800-L en cada sitio, administrados de forma centralizada a través de Cisco Catalyst Centre. [medium pause]

Purple se despliega como un overlay en la nube. El WLC de cada tienda se configura con los detalles del servidor RADIUS de Purple. La autenticación de invitados utiliza una página de inicio de sesión de marca propia con captura de correo electrónico, la cual envía datos de primera fuente a la plataforma de analítica de Purple. La autenticación del personal utiliza PEAP contra Active Directory a través de Purple SecurePass. Las terminales de pago utilizan iPSK con una VLAN dedicada, y la ACL de preautenticación bloquea explícitamente cualquier tráfico entre la VLAN de pago y la VLAN de invitados, cumpliendo con el requisito 1.3 de PCI-DSS para la segmentación de red. [medium pause]

Ahora hablemos de los posibles inconvenientes. [short pause]

El modo de falla más común es el bucle de redirección. Esto sucede cuando la ACL de preautenticación no incluye correctamente en la lista de permitidos las direcciones IP del portal de Purple, por lo que el WLC redirecciona al cliente al portal de Purple, pero el cliente no puede acceder al portal porque la ACL lo bloquea, de modo que el WLC vuelve a redireccionar indefinidamente. Solución: verifique que su filtro de URL o ACL de preautenticación incluya ambas direcciones IP del portal de Purple y confirme que la resolución de DNS esté permitida antes de la autenticación. [medium pause]

El segundo problema común es la discrepancia de VLAN. El servidor RADIUS devuelve un ID de VLAN que no existe como interfaz dinámica en el WLC. El WLC coloca entonces al cliente en la VLAN nativa, que suele ser la VLAN de administración. Esto representa un riesgo de seguridad. Solución: antes de implementar, audite sus interfaces dinámicas de WLC frente a los ID de VLAN configurados en las políticas RADIUS de Purple. Deben coincidir exactamente. [medium pause]

Tercer inconveniente: fallas de confianza en los certificados en despliegues EAP-TLS. Si la cadena de certificados del cliente no es confiable para el servidor RADIUS de Purple, la autenticación falla de forma silenciosa desde la perspectiva del usuario. Simplemente no pueden conectarse. Solución: cargue su CA raíz y cualquier certificado de CA intermedia en la configuración de Purple SecurePass antes de desplegar los certificados de cliente. Realice pruebas con un solo dispositivo antes de distribuirlos a toda la flota. [medium pause]

Preguntas rápidas. [short pause]

¿Puedo utilizar Purple con Cisco Meraki en lugar de WLC? Sí. Cisco Meraki tiene su propio mecanismo de integración de portal cautivo y Purple lo admite de forma nativa. La configuración de RADIUS es similar, pero utiliza el panel de Meraki en lugar de la línea de comandos de WLC. [short pause]

¿Admite Purple WPA3 en Cisco? Sí. WPA3-SAE es compatible con Cisco Catalyst 9800 con IOS-XE 17.3 y versiones posteriores. La integración de RADIUS de Purple funciona de manera idéntica con WPA3. [short pause]

¿Cuál es la recomendación para el tiempo de espera de RADIUS? Establezca el tiempo de espera de su servidor RADIUS primario en tres segundos con dos intentos. Configure un servidor RADIUS secundario para la tolerancia a fallas. Purple proporciona endpoints de RADIUS redundantes para clientes empresariales. [short pause]

¿Puedo utilizar Cisco ISE junto con Purple? Sí. Algunas organizaciones utilizan ISE para la evaluación del estado de seguridad y el perfilado de dispositivos, mientras que utilizan Purple para el portal de invitados y la analítica. Los dos servidores RADIUS se configuran en WLAN independientes. [medium pause]

En resumen. [short pause]

La infraestructura inalámbrica Cisco WLC y Catalyst se integra a la perfección con Purple mediante External Web Authentication para la redirección del Captive Portal de invitados, 802.1X EAP-TLS o PEAP para la autenticación del personal a través de Purple SecurePass, y Cisco iPSK con asignación dinámica de VLAN para la segmentación multi-tenant y de IoT. Los tres atributos de VLAN de RADIUS, Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID, son el mecanismo que impulsa la segmentación dinámica. Configure correctamente sus ACLs de preautenticación, asegúrese de que sus IDs de VLAN coincidan entre RADIUS y WLC, y pruebe las cadenas de confianza de los certificados antes del despliegue en la flota. [medium pause]

Purple opera en más de 80,000 establecimientos y ha procesado 440 millones de inicios de sesión en 2024. La integración con Cisco es una de nuestras configuraciones más implementadas a nivel global. Si desea comenzar, el panel de Purple lo guiará paso a paso a través de la configuración de RADIUS por establecimiento, y nuestro equipo de integración está disponible para despliegues empresariales. [medium pause]

Eso es todo por este reporte. Gracias por escuchar.

Puntos clave

✓Utilice External Web Authentication (EWA) en los WLCs Catalyst 9800 para redirigir el tráfico de invitados no autenticado al Captive Portal personalizado de Purple.
✓Asegúrese de que las ACL de preautenticación o los filtros de URL permitan explícitamente el acceso a las direcciones IP del portal de Purple para evitar bucles de redirección.
✓Implemente Purple SecurePass como un proxy RADIUS en la nube para autenticar al personal a través de 802.1X EAP-TLS o PEAP directamente con Entra ID u Okta.
✓Aproveche Cisco Identity PSK (iPSK) para segmentar de forma segura dispositivos IoT y usuarios multiinquilino en VLANs específicas utilizando un único SSID.
✓Habilite siempre "AAA Override" en el WLC y asegúrese de que existan interfaces dinámicas localmente para permitir la asignación dinámica de VLAN basada en RADIUS.
✓Configure servidores RADIUS secundarios con un tiempo de espera de 3 segundos y 2 reintentos para garantizar una alta disponibilidad en la autenticación.

Resumen Ejecutivo

El despliegue de una red inalámbrica segura, compatible y escalable en entornos empresariales requiere una estrecha integración entre la infraestructura y los proveedores de identidad. Esta guía detalla las decisiones arquitectónicas y los pasos de configuración necesarios para integrar los controladores de red de área local inalámbrica Cisco Catalyst 9800 (WLC) con la plataforma en la nube de Purple.

Para el acceso de invitados, exploramos la autenticación web externa (EWA) para la redirección del Captive Portal, lo que permite la captura de datos de primera mano y el análisis de Guest WiFi . Para el acceso del personal, detallamos la autenticación 802.1X EAP-TLS y PEAP utilizando Purple SecurePass como proxy RADIUS para Microsoft Entra ID u Okta. Para entornos de IoT y multiinquilino, describimos la configuración de Cisco Identity PSK (iPSK), que permite la asignación dinámica de VLAN y la segmentación de red en un solo SSID sin depender de despliegues complejos de certificados.

Purple opera en más de 80,000 ubicaciones activas a nivel mundial, procesando 440 millones de inicios de sesión en 2024. Esta integración está probada en entornos de alta densidad de Hospitality , Retail y Transport donde el tiempo de actividad, el cumplimiento y una experiencia de usuario fluida son innegociables.

Inmersión Técnica Profunda: Arquitectura y Flujos de Autenticación

1. Guest WiFi: Autenticación Web Externa (EWA)

Para ofrecer un Captive Portal personalizado y capturar datos de usuarios para WiFi Analytics , el WLC Cisco Catalyst 9800 debe interceptar el tráfico HTTP no autenticado y redireccionarlo a la página de bienvenida alojada en la nube de Purple. Este mecanismo se denomina Autenticación Web Externa (EWA).

El proceso sigue una secuencia específica:

El cliente se asocia al SSID abierto o con Cifrado Inalámbrico Oportunista (OWE).
El WLC coloca al cliente en un estado Webauth_reqd y aplica una Lista de Control de Acceso (ACL) de preautenticación.
El WLC intercepta la solicitud HTTP del cliente y emite una redirección 302 a la URL de la página de bienvenida de Purple, agregando parámetros como la dirección MAC del AP, la dirección MAC del cliente y el SSID de la WLAN.
El cliente completa el proceso de autenticación en el portal de Purple (por ejemplo, inicio de sesión con redes sociales, captura de correo electrónico o aceptación de términos).
El servidor RADIUS de Purple envía un mensaje Access-Accept al WLC.
El WLC mueve al cliente al estado Run, otorgando acceso a internet según la política posterior a la autenticación.

2. Staff WiFi: 802.1X EAP-TLS y PEAP

Para dispositivos corporativos, WPA2/WPA3 Enterprise con 802.1X proporciona la postura de seguridad más sólida. En lugar de implementar un servidor RADIUS local como Cisco ISE, Purple SecurePass actúa como un proxy RADIUS en la nube. Termina el túnel del Protocolo de Autenticación Extensible (EAP) y reenvía la verificación de identidad a su Proveedor de Identidad (IdP), como Microsoft Entra ID o Google Workspace.

EAP-TLS: Recomendado para dispositivos corporativos administrados. Requiere implementar certificados de cliente a través de un MDM (por ejemplo, Microsoft Intune). La autenticación es silenciosa y altamente segura.
PEAP-MSCHAPv2: Recomendado para entornos BYOD donde la implementación de certificados no es práctica. Los usuarios se autentican con sus credenciales corporativas.

3. IoT y Multi-Tenant: Cisco Identity PSK (iPSK)

En entornos como propiedades de alquiler de obra nueva (BTR), alojamiento para estudiantes o tiendas minoristas con numerosos dispositivos IoT, implementar 802.1X suele ser imposible porque los dispositivos carecen de soporte de suplicante. Crear un SSID independiente para cada inquilino o tipo de dispositivo provoca congestión de RF.

Cisco iPSK resuelve esto al permitir múltiples claves precompartidas (PSKs) únicas en un solo SSID. Cuando un dispositivo se asocia, el WLC envía su dirección MAC al servidor RADIUS de Purple. Purple devuelve la PSK específica para ese dispositivo junto con atributos de asignación dinámica de VLAN, segmentando el tráfico en el puerto del switch.

Guía de Implementación

Configuración de la Redirección del Captive Portal de Invitados

Para configurar la Autenticación Web Externa en el Catalyst 9800 WLC, debe definir un mapa de parámetros y un filtro de URL para permitir el tráfico de preautenticación al portal de Purple [1].

Paso 1: Crear el Mapa de Parámetros de Autenticación Web

Configure el WLC para redireccionar a los clientes al portal de Purple, pasando las variables necesarias. Debe configurar la dirección IPv4 virtual (normalmente 192.0.2.1) de forma global.

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

Paso 2: Configurar el Filtro de URL de Preautenticación

Los clientes deben llegar al portal de Purple antes de ser autenticados. El 9800 WLC utiliza filtros de URL para abrir dinámicamente puertos en la ACL de intercepción basados en el snooping de DNS.

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

Aplique este filtro de URL a su perfil de política de WLAN en la configuración de la ACL de preautenticación.

Configuración de la Asignación Dinámica de VLAN para iPSK

Para ubicar a los usuarios o dispositivos en VLANs específicas de manera dinámica, el servidor RADIUS de Purple debe enviar tres atributos IETF específicos en la respuesta Access-Accept [2].

IETF 64 (Tunnel-Type): Configurado en VLAN (valor 13).
IETF 65 (Tunnel-Medium-Type): Configurado en 802 (valor 6).
IETF 81 (Tunnel-Private-Group-ID): Configurado con el ID de la VLAN como una cadena de texto (por ejemplo, "10").

En el WLC Catalyst 9800, asegúrese de configurar lo siguiente en la WLAN de iPSK:

El filtrado MAC está habilitado.
La invalidación de AAA (AAA Override) está habilitada (crucial para aceptar la asignación de VLAN de RADIUS).
La seguridad de Capa 2 está configurada en WPA2-PSK (la PSK configurada actúa como una alternativa de respaldo).

Mejores Prácticas

Verificación de VLAN: El ID de VLAN devuelto por el servidor RADIUS en Tunnel-Private-Group-ID DEBE existir como una interfaz dinámica en el WLC. De lo contrario, el WLC ubica al cliente en la VLAN nativa, lo que genera un riesgo de seguridad grave.
Cadenas de Confianza de Certificados: Para implementaciones de EAP-TLS, cargue sus certificados de CA raíz y de cualquier CA intermedia en el panel de Purple SecurePass antes de implementar los certificados de cliente. Si el servidor RADIUS no puede validar la cadena, la autenticación fallará de forma silenciosa.
RADIUS Redundante: Configure siempre servidores RADIUS secundarios. Establezca el tiempo de espera principal en 3 segundos con 2 intentos para garantizar una conmutación por error rápida sin frustrar al usuario.
Adopción de WPA3: Utilice WPA3-SAE para redes iPSK cuando los dispositivos cliente lo admitan. Para redes de invitados abiertas, implemente WPA3-OWE (Opportunistic Wireless Encryption) para cifrar el tráfico sin requerir una contraseña.

Resolución de Problemas y Mitigación de Riesgos

Modo de Falla	Síntoma	Causa Raíz	Mitigación
Bucle de Redireccionamiento	El dispositivo cliente actualiza constantemente la página del portal cautivo sin llegar a cargarla.	El filtro de URL o la ACL de preautenticación no permiten el acceso a las direcciones IP del portal de Purple. El WLC redirecciona al cliente, el cliente intenta cargar la página, el WLC lo bloquea y lo vuelve a redireccionar.	Verifique que el filtro de URL `PURPLE-PREAUTH` esté aplicado al perfil de política y que el dominio del portal esté escrito correctamente. Asegúrese de que el tráfico DNS esté permitido antes de la autenticación.
Falla en la Alternativa de iPSK	Un dispositivo IoT no registrado se conecta a la red pero recibe la dirección IP incorrecta.	La dirección MAC del dispositivo no se encuentra en la base de datos de RADIUS de Purple. El WLC recurre a la PSK global configurada en la WLAN y asigna la VLAN predeterminada.	Audite la dirección MAC en el panel de Purple. Asegúrese de que la VLAN predeterminada asignada al perfil de política de la WLAN sea una red de cuarentena restringida, no la LAN corporativa.
Tiempo de Espera de RADIUS	Los clientes experimentan retrasos prolongados al conectarse; los registros del WLC indican que el servidor RADIUS no está disponible.	Los firewalls entre el WLC y los endpoints de RADIUS en la nube de Purple están bloqueando los puertos UDP 1812 (Autenticación) o 1813 (Contabilidad).	Verifique que las reglas del firewall saliente permitan el tráfico UDP 1812/1813 desde la interfaz de administración del WLC hacia las direcciones IP públicas de RADIUS de Purple.

ROI e Impacto Comercial

Implementar una arquitectura unificada con Cisco y Purple ofrece un valor de negocio medible a través de tres pilares:

Eficiencia operativa: Reemplazar el aprovisionamiento manual de VLAN y múltiples SSIDs con iPSK reduce el volumen de tickets de TI. Automatizar la incorporación de IoT a través de API ahorra horas de tiempo de técnicos por sitio.
Cumplimiento y seguridad: La asignación dinámica de VLAN garantiza el cumplimiento de PCI-DSS en entornos de retail al aislar estrictamente las terminales de pago del tráfico de invitados (Requisito 1.3). EAP-TLS elimina el riesgo de contraseñas de personal compartidas.
Generación de ingresos: La integración de Captive Portal convierte un centro de costos (Guest WiFi) en un activo de marketing. Capturar consentimientos de elección consciente crea una base de datos de primera fuente que impulsa campañas de lealtad y visitas recurrentes.

Referencias

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," mayo de 2025. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," septiembre de 2012.

Definiciones clave

External Web Authentication (EWA)

Un mecanismo mediante el cual el Cisco WLC intercepta el tráfico HTTP no autenticado y redirige al cliente a un Captive Portal alojado externamente (como Purple) para su autenticación.

Se utiliza para ofrecer páginas de bienvenida personalizadas con la marca y capturar datos de origen sin depender del limitado servidor web interno del WLC.

Identity PSK (iPSK)

Una función de Cisco que permite utilizar múltiples Pre-Shared Keys únicas en un solo SSID, con cada clave asignada a una dirección MAC de cliente y una VLAN específicas a través de RADIUS.

Esencial para proteger dispositivos IoT y entornos multi-inquilino donde no se admite 802.1X, lo que reduce la necesidad de múltiples SSIDs.

AAA Override

Una configuración de WLAN en el Cisco WLC que obliga al controlador a aceptar los parámetros de política (como IDs de VLAN o ACLs) devueltos por el servidor RADIUS, anulando la configuración de la WLAN local.

Debe estar habilitado para que la asignación dinámica de VLAN y el iPSK funcionen correctamente.

EAP-TLS

Protocolo de Autenticación Extensible - Seguridad de la Capa de Transporte. Un método de autenticación 802.1X altamente seguro que se basa en el intercambio mutuo de certificados en lugar de contraseñas.

El estándar de oro para la seguridad de WiFi del personal, que requiere un MDM para implementar certificados de cliente en dispositivos corporativos.

PEAP-MSCHAPv2

Protocolo de Autenticación Extensible Protegido. Un método 802.1X que cifra el proceso de autenticación dentro de un túnel TLS, lo que permite a los usuarios autenticarse de forma segura con un nombre de usuario y contraseña.

Se utiliza para redes de personal BYOD donde no es viable implementar certificados de cliente.

Pre-Authentication ACL

Una lista de control de acceso aplicada a un cliente inalámbrico antes de que se haya autenticado, que define exactamente a qué recursos de red puede acceder.

Crucial para los Captive Portals; debe permitir DNS y el acceso a las IPs de la página de bienvenida de Purple mientras bloquea todo el demás tráfico.

Dynamic Interface

Una interfaz lógica creada en el WLC asignada a un ID de VLAN y puerto físico específicos.

Cuando RADIUS devuelve un ID de VLAN para la asignación dinámica, esa VLAN ya debe existir como una interfaz dinámica en el WLC, o el cliente será asignado a la VLAN nativa.

WPA3-SAE

Simultaneous Authentication of Equals. El reemplazo moderno para WPA2-PSK, que proporciona confidencialidad directa y protección contra ataques de diccionario sin conexión.

Compatible con Cisco Catalyst 9800 y Purple RADIUS para proteger redes de invitados e IoT modernas.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita segmentar el tráfico de red entre invitados, personal y dispositivos IoT (cerraduras de puertas, termostatos) utilizando un único Cisco Catalyst 9800 WLC, sin crear múltiples SSIDs que provoquen congestión de RF.

Implemente un único SSID utilizando Cisco iPSK. Registre la dirección MAC de cada dispositivo IoT en el panel de Purple, asignando cada uno a la VLAN 30. Configure la WLAN del WLC con filtrado MAC, AAA Override y WPA2-PSK. Cuando una cerradura de puerta se asocie, el servidor RADIUS de Purple devolverá la PSK única y los atributos IETF 64, 65 y 81 para dirigir dinámicamente el dispositivo a la VLAN 30. Los invitados utilizan un SSID abierto independiente con External Web Authentication apuntando al Captive Portal de Purple.

Comentario del examinador: Este enfoque minimiza la sobrecarga de SSID mientras mantiene un aislamiento estricto de Capa 2. El uso de iPSK para dispositivos IoT sin interfaz evita la complejidad de implementar certificados 802.1X en endpoints que no los admiten.

Una cadena minorista con 80 tiendas debe aislar el tráfico de las terminales de pago del tráfico de WiFi para invitados para mantener el cumplimiento de PCI-DSS, gestionado centralmente a través de Cisco Catalyst Centre.

Configure el SSID de invitados con una ACL de preautenticación que descarte explícitamente el tráfico destinado a la subred de las terminales de pago (VLAN 40). Utilice iPSK para autenticar las terminales de pago, asignándolas dinámicamente a la VLAN 40 a través del servidor RADIUS de Purple. El tráfico de invitados se autentica a través del Captive Portal de Purple y se coloca en la VLAN 10.

Comentario del examinador: Este diseño cumple con el Requisito 1.3 de PCI-DSS al aplicar la segmentación de red. Centralizar la política RADIUS en Purple garantiza una asignación de VLAN coherente en las 80 tiendas sin necesidad de configuración manual de los puertos del switch.

Preguntas de práctica

Q1. ¿Está implementando un Captive Portal en un Catalyst 9800 WLC. Los clientes se asocian al SSID, pero sus navegadores actualizan continuamente la URL de la página de inicio sin llegar a cargar el contenido. ¿Cuál es la causa arquitectónica más probable?

Sugerencia: Considere el estado del cliente antes de que se complete la autenticación y qué tráfico se permite.

Ver respuesta modelo

La ACL de preautenticación o el filtro de URL está mal configurado. Está bloqueando el acceso a las direcciones IP del portal de Purple. El WLC intercepta el tráfico y lo redirige al portal, pero el cliente no puede acceder al portal para cargarlo, lo que genera un bucle de redirección infinito. Debe permitir explícitamente las direcciones IP de Purple o utilizar un filtro de URL para el dominio del portal.

Q2. Un dispositivo IoT se autentica correctamente a través de iPSK y el servidor RADIUS de Purple devuelve un Access-Accept con atributos IETF 64, 65 y 81 que especifican la VLAN 50. Sin embargo, el dispositivo se ubica en la VLAN 10 (la VLAN de administración). ¿Por qué ocurrió esto?

Sugerencia: Piense en los requisitos previos necesarios en el propio WLC para aceptar y aplicar una VLAN asignada por RADIUS.

Ver respuesta modelo

O bien "AAA Override" está desactivado en la configuración avanzada de la WLAN, lo que hace que el WLC ignore los atributos RADIUS, O BIEN la VLAN 50 no existe como una interfaz dinámica configurada en el WLC. Si la VLAN asignada no existe localmente, el WLC recurre a la VLAN nativa o de administración.

Q3. Un establecimiento desea implementar 802.1X para el WiFi del personal utilizando Microsoft Entra ID. No disponen de un servidor RADIUS local como Cisco ISE. ¿Cómo se puede lograr esto utilizando la plataforma Purple?

Sugerencia: Considere cómo maneja Purple el túnel EAP y la verificación de identidad.

Ver respuesta modelo

Configure el WLC para usar Purple SecurePass como servidor RADIUS. Purple actúa como un proxy RADIUS en la nube, finalizando el túnel EAP-TLS o PEAP desde el WLC y reenviando de forma segura la búsqueda de identidad a Microsoft Entra ID a través de API/SAML. No se requiere ningún servidor RADIUS local.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.