Integración de WatchGuard Firebox con Purple WiFi: Guía de configuración y establecimiento

Esta guía es un manual de integración paso a paso para administradores de TI y arquitectos de red que despliegan WatchGuard Firebox y Access Points con Purple. Cubre la redirección a un Captive Portal externo para Guest WiFi, autenticación segura 802.1X para Staff WiFi y segmentación multi-inquilino usando WatchGuard Private Pre-Shared Keys (PPSK) con direccionamiento dinámico de VLAN, brindándole una arquitectura única y unificada en todos los niveles de acceso.

📖 8 min de lectura📝 1,854 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al informe de integración. Hoy cubriremos la integración de WatchGuard Firebox y Access Point con Purple WiFi. Este es un manual técnico para gerentes de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar una infraestructura inalámbrica segura y escalable. Analizaremos los Captive Portals para Guest WiFi, Staff WiFi seguro mediante 802.1X y la segmentación Multi-Tenant utilizando claves precompartidas privadas de WatchGuard, o PPSK. Pasemos directamente al contexto.

Cuando gestionas un recinto complejo, por ejemplo, un estadio, un gran centro comercial o una unidad multi-habitacional, necesitas un control preciso sobre quién accede a la red y qué puede hacer una vez conectado. También necesitas capturar datos de origen para impulsar los ingresos de marketing. WatchGuard proporciona la plataforma de seguridad unificada y el hardware. Purple proporciona la superposición en la nube, la gestión de identidades y la analítica. Al integrar ambos, automatizas el control de acceso basado en la identidad. Eliminas la necesidad de gateways independientes para invitados y personal, lo que reduce el gasto en hardware y simplifica la gestión. Purple actualmente da servicio a más de 80,000 recintos activos y ha procesado 440 millones de inicios de sesión tan solo en 2024, por lo que la plataforma está diseñada para manejar la escala de cualquier recinto que probablemente estés gestionando.

Pasemos al análisis técnico profundo. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Tenemos tres niveles de acceso principales. Primero, Guest WiFi. Este es un SSID abierto. El AP de WatchGuard intercepta las solicitudes HTTP y redirige al usuario a la página de bienvenida alojada de Purple. Segundo, Staff WiFi. Este es un SSID WPA3-Enterprise seguro que utiliza 802.1X. Los dispositivos se autentican directamente contra los servidores RADIUS de Purple utilizando EAP-TLS o PEAP. Tercero, Multi-Tenant WiFi. Este utiliza WatchGuard PPSK. Varios usuarios se conectan a un único SSID, pero cada uno utiliza una contraseña única. El AP de WatchGuard consulta al servidor RADIUS de Purple, el cual asigna dinámicamente una VLAN basada en esa clave específica.

Entonces, ¿cómo configuramos el Captive Portal para Guest WiFi? El primer paso es configurar el servidor RADIUS en WatchGuard Cloud o en el Firebox Policy Manager. Apuntas el servidor RADIUS primario a la dirección IP de Purple correspondiente a tu región. La autenticación se realiza en el puerto 1812, la contabilidad en el puerto 1813. Introduces el secreto compartido proporcionado por Purple y, fundamentalmente, te aseguras de que el NAS ID coincida con la dirección MAC del Firebox o AP. Esto le indica a Purple de qué recinto procede la solicitud.

El segundo paso es la redirección del Captive Portal en sí. En la configuración del SSID, seleccionas Third-Party Hosted Captive Portal con autenticación RADIUS. Introduces la URL de la página de bienvenida de Purple y el secreto compartido del portal. Este es un secreto específico generado en el panel de control de Purple Analyze, y se utiliza para crear un resumen HMAC para validar las solicitudes de autenticación. El algoritmo HMAC-SHA1 garantiza que el mensaje de éxito de autenticación de Purple sea genuino y no haya sido alterado en tránsito.

El paso tres, y aquí es donde se complican muchas implementaciones, es el Walled Garden. Si no configura esto, el dispositivo no podrá cargar la página de bienvenida (splash page). Debe permitir el acceso a star punto mypurple punto com, api punto mypurple punto com y cdn punto mypurple punto com antes del inicio de sesión. Si utiliza inicios de sesión social como Microsoft Entra ID o Google Workspace, también debe agregar esos dominios de proveedores de identidad. Piense en el Walled Garden como la antesala de la preautenticación. Sin él, el usuario invitado ni siquiera podrá llegar a la puerta principal.

Ahora, analicemos la segmentación Multi-Tenant con WatchGuard PPSK. Si administra un centro comercial con 15 tiendas, transmitir 15 SSIDs diferentes es una mala estrategia. Esto provoca interferencia de canal adyacente, satura el espacio radioeléctrico y genera una sobrecarga de administración. PPSK resuelve esto de manera elegante. Usted transmite un solo SSID, por ejemplo, Centre-Retail. Habilita Private Pre-Shared Key en la configuración del SSID de WatchGuard, lo que requiere la versión de firmware 2.6 o superior en sus Access Points de WatchGuard. En Purple, usted crea claves únicas, una por cada tenant.

Para aislar el tráfico, se utiliza Dynamic VLAN Assignment. En WatchGuard Cloud, configure la VLAN como Dynamic VLAN assigned by RADIUS. Cuando una tienda conecta un dispositivo con su clave específica, el AP envía un Access-Request al servidor RADIUS de Purple. Purple valida la clave y devuelve un paquete Access-Accept con tres atributos RADIUS de la IETF vitales. Tunnel-Type, que es el atributo 64, establecido en VLAN. Tunnel-Medium-Type, atributo 65, establecido en 802. Y Tunnel-Private-Group-ID, atributo 81, establecido en el ID de VLAN asignado, por ejemplo, VLAN 100 para el Retail Tenant A. El AP de WatchGuard coloca entonces ese dispositivo en la VLAN 100, completamente aislado de los demás tenants. Esto es Identity-Based Networking en la práctica.

Hablemos de las recomendaciones de implementación y los errores comunes. Primero, los tiempos de espera de sesión (session timeouts). Configure tiempos de espera de sesión estrictos tanto en Purple como en WatchGuard para forzar la reautenticación. Esto mantiene la precisión de sus análisis y garantiza que las sesiones inactivas no consuman ancho de banda. Establezca sus intervalos de RADIUS Interim-Update en 10 minutos. Segundo, el firmware. Debe asegurarse de que sus Access Points de WatchGuard ejecuten la versión de firmware 2.6 o superior para ser compatibles con PPSK. Las versiones de firmware anteriores no admiten esta función. Tercero, la aleatorización de direcciones MAC. Los dispositivos modernos aleatorizan sus direcciones MAC de forma predeterminada. Para su red WiFi de personal segura, capacite a sus empleados para que desactiven esta función en ese SSID específico con el fin de garantizar una autenticación 802.1X estable. La aleatorización de MAC puede provocar fallas de autenticación y datos analíticos inconsistentes.

What happens when things go wrong? If the captive portal fails to load, check the Walled Garden first. If the device cannot resolve DNS or reach the Purple servers, it will show a timeout error rather than the splash page. If VLAN steering fails and the client receives an IP from the wrong VLAN, check the RADIUS logs in the Purple portal. Ensure the Tunnel-Private-Group-ID attribute is formatted correctly as a string and matches a VLAN that actually exists on the switch port connected to the AP. If you see HMAC digest errors in the WatchGuard logs, your Captive Portal Shared Secret does not match between WatchGuard and Purple. It must be identical in both systems, character for character.

Time for a rapid-fire Q&A. Question: Can I use PPSK and the Captive Portal on the same SSID? Answer: No. WatchGuard does not support running Dynamic VLANs via PPSK and a Captive Portal on the same SSID simultaneously. You need one SSID for the portal and a separate SSID for PPSK. Plan your SSID architecture accordingly. Question: What happens if the RADIUS server does not return a VLAN ID for a PPSK user? Answer: In WatchGuard Cloud, you configure an Unassigned Clients fallback option. You can drop them onto an untagged VLAN or a specific isolated quarantine VLAN to ensure they do not gain access to the corporate network. Always configure this fallback to avoid accidental access.

To summarise, integrating WatchGuard Firebox with Purple gives you a unified platform for security, identity, and analytics across Guest, Staff, and Multi-Tenant networks. You use external captive portal redirection for guests, 802.1X for staff, and PPSK with dynamic VLANs for multi-tenant environments. The ROI is clear. You reduce hardware costs by consolidating gateways, you simplify management through a single cloud platform, and you drive revenue by capturing first-party data through the Purple captive portal. Your next steps are to review your current SSID architecture, ensure your WatchGuard firmware is at version 2.6 or higher, and begin configuring your RADIUS settings in the Purple portal. Thank you for listening.

Puntos clave

✓WatchGuard Firebox se integra con Purple a través de RADIUS estándar (puertos 1812/1813) y redirección de Captive Portal HTTP, admitiendo Guest WiFi, Staff WiFi y WiFi multi-inquilino desde una sola flota de AP.
✓El Captive Portal de Guest WiFi requiere una URL de Splash Page, un Shared Secret (para validación HMAC-SHA1) y entradas de Walled Garden para los dominios de Purple; la falta de cualquiera de estos elementos hace que el portal falle.
✓Staff WiFi utiliza IEEE 802.1X (EAP-TLS o PEAP) con Purple como servidor RADIUS, el cual puede realizar un proxy de autenticación hacia Microsoft Entra ID, Okta o Google Workspace para la gestión del ciclo de vida de la identidad.
✓WatchGuard PPSK (firmware v2.6+) habilita la segmentación multi-inquilino en un solo SSID: cada inquilino recibe una clave única y el servidor RADIUS de Purple devuelve atributos VLAN (Tunnel-Type 64, Tunnel-Medium-Type 65, Tunnel-Private-Group-ID 81) para aislar su tráfico.
✓El direccionamiento dinámico de VLAN y el Captive Portal no pueden ejecutarse en el mismo SSID en WatchGuard; planifique su arquitectura de SSID con SSIDs separados para el portal de invitados y el acceso multi-inquilino PPSK.
✓Configure siempre una VLAN de cuarentena de respaldo para clientes PPSK no asignados para evitar que los dispositivos que fallen en la validación de RADIUS terminen en la VLAN de administración.
✓Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, y mantiene un tiempo de actividad del 99.999%: la plataforma gestiona los requisitos de cumplimiento y disponibilidad para despliegues en recintos empresariales.

Resumen ejecutivo

La implementación de una infraestructura inalámbrica segura y escalable en recintos complejos requiere una integración precisa entre su gateway de seguridad y su proveedor de identidad. Esta guía detalla la integración de WatchGuard Firebox y los Access Points de WatchGuard con Purple, abarcando tres niveles de acceso distintos: redirección de Captive Portal para Guest WiFi , WiFi seguro para el personal mediante IEEE 802.1X y segmentación de WiFi multi-inquilino mediante claves precompartidas privadas (PPSK) de WatchGuard.

Al combinar la plataforma de seguridad unificada de WatchGuard con la capa en la nube de Purple, automatiza el control de acceso basado en la identidad, aplica políticas de seguridad granulares y recopila datos de primera mano a escala. Purple opera en más de 80,000 recintos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). La integración es agnóstica respecto al hardware por diseño: WatchGuard coexiste con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet en la lista de hardware compatible de Purple. Para obtener una visión más amplia de los estándares de seguridad WiFi empresarial, consulte nuestra Guía completa de seguridad WiFi empresarial para 2026 .

Arquitectura técnica

La integración conecta el hardware de WatchGuard con los servicios en la nube de Purple mediante dos mecanismos estándar: RADIUS (Remote Authentication Dial-In User Service) para autenticación y contabilidad, y redirección HTTP para la entrega del Captive Portal. La arquitectura admite tres niveles de acceso sobre una única infraestructura física.

Nivel de acceso	Tipo de SSID	Método de autenticación	Rol de Purple
Guest WiFi	Abierto	Captive Portal externo + contabilidad RADIUS	Página de bienvenida, captura de datos, analíticas
Staff WiFi	WPA3-Enterprise	802.1X (EAP-TLS o PEAP)	Servidor RADIUS, proxy de proveedor de identidad
Multi-Tenant WiFi	WPA2/WPA3 Personal + PPSK	PPSK validado vía RADIUS	Gestión de claves, asignación dinámica de VLAN

Los tres niveles pueden ejecutarse simultáneamente en la misma flota de Access Points de WatchGuard. Los modelos Wi-Fi 6 de WatchGuard (AP130, AP230W, AP330, AP332CR, AP430CR y AP432) admiten PPSK a partir de la versión de firmware v2.6 en adelante.

Configuración de la redirección del Captive Portal para Guest WiFi

La integración del Captive Portal de WatchGuard redirecciona las solicitudes HTTP no autenticadas a la página de bienvenida alojada por Purple. Este es el mecanismo principal para recopilar datos de primera mano y hacer cumplir los términos de servicio.

Paso 1: Configuración del servidor RADIUS

En WatchGuard Cloud o Firebox Policy Manager, defina a Purple como el servidor de autenticación y contabilidad RADIUS.

Servidor RADIUS primario: Establézcalo en la dirección IP de Purple RADIUS para su región (disponible en el portal de Purple en Configuración > Integración de hardware).
Puerto de autenticación: 1812
Puerto de contabilidad (Accounting): 1813
Secreto compartido (Shared secret): Ingrese el secreto único proporcionado en el portal de Purple.
NAS ID: Establézcalo con la dirección MAC del Firebox o AP utilizando el especificador de formato %m. Esto identifica el lugar ante Purple y dirige las analíticas a la cuenta correcta.
Intervalo de contabilidad (Accounting interval): Establézcalo en 10 minutos para garantizar que los datos de la sesión fluyan al panel de analíticas de Purple a intervalos regulares.

Paso 2: Configuración de SSID y Captive Portal

En WatchGuard Cloud, navegue a Configurar > Dispositivos > [Su AP] > Configuración del dispositivo > SSIDs. Cree o edite el SSID de invitados.

Seguridad: Abierta (sin contraseña de autenticación previa).
Tipo de Captive Portal: Seleccione Captive Portal alojado por terceros con autenticación RADIUS.
URL de la Splash Page: Ingrese la URL de la splash page de Purple (por ejemplo, https://wifi.mypurple.com/splash). Obténgala en Purple > Analizar > Portales.
Secreto compartido (Shared secret): Ingrese el secreto compartido del portal desde la misma página de Portales de Analizar en Purple. Este secreto genera el resumen HMAC-SHA1 que WatchGuard utiliza para validar la respuesta de éxito de autenticación de Purple.

Paso 3: Configuración de Walled Garden

El Walled Garden define a qué dominios puede acceder un dispositivo antes de que se complete la autenticación. Sin esto, el dispositivo no podrá cargar la splash page de Purple. Agregue las siguientes entradas en Sitios web a los que los usuarios pueden acceder antes de iniciar sesión:

*.mypurple.com
api.mypurple.com
cdn.mypurple.com
assets.mypurple.com

Si habilita inicios de sesión sociales o federados a través de Microsoft Entra ID, Okta o Google Workspace, agregue los dominios correspondientes del proveedor de identidad (por ejemplo, login.microsoftonline.com, accounts.google.com). Para obtener contexto legal y de cumplimiento sobre la infraestructura de WiFi compartida, consulte nuestra guía sobre Requisitos legales y de cumplimiento para infraestructura de WiFi compartida .

Cómo funciona el flujo de autenticación HMAC

Comprender este flujo le ayudará a diagnosticar fallas rápidamente.

El dispositivo invitado se conecta al SSID abierto y realiza una solicitud HTTP.
El AP de WatchGuard intercepta la solicitud y redirige el navegador a la URL de la splash page de Purple, agregando un parámetro challenge (una cadena hexadecimal aleatoria) y la dirección MAC del dispositivo.
Purple muestra la splash page. El invitado completa el formulario de inicio de sesión.
Purple genera un resumen HMAC-SHA1 utilizando el secreto compartido del portal y el valor de challenge.
Purple redirige el navegador de vuelta a la URL de inicio de sesión del AP de WatchGuard, agregando el challenge y el resumen.
El AP de WatchGuard valida el resumen utilizando el mismo secreto compartido. Si coincide, el AP otorga acceso a Internet y envía un paquete de Inicio de Contabilidad (RADIUS Accounting Start) a Purple.

WiFi seguro para el personal con 802.1X

Para Staff WiFi, se reemplaza el Captive Portal con IEEE 802.1X, el estándar empresarial para el control de acceso a redes basado en puertos. Cada miembro del personal se autentica con credenciales únicas o un certificado, eliminando el riesgo de contraseñas compartidas.

In WatchGuard Cloud, configure el SSID de personal con seguridad WPA3 Enterprise y dirija el Dominio de autenticación al servidor RADIUS de Purple. Purple actúa como el servidor RADIUS y puede realizar un proxy de las solicitudes de autenticación a Microsoft Entra ID, Okta o Google Workspace mediante SAML o LDAP.

Para la autenticación basada en certificados (EAP-TLS), distribuya certificados de cliente a través de su MDM a los dispositivos gestionados. Para la autenticación basada en credenciales (PEAP-MSCHAPv2), los usuarios se autentican con sus credenciales de directorio. Purple valida la solicitud frente al proveedor de identidad configurado y devuelve un RADIUS Access-Accept o Access-Reject al AP de WatchGuard.

Para obtener un tutorial detallado de la configuración de 802.1X en diferentes tipos de dispositivos, consulte nuestra guía sobre Autenticación 802.1X: protección del acceso a la red en dispositivos modernos .

Nota importante sobre la aleatorización de MAC: Los dispositivos modernos con iOS y Android aleatorizan sus direcciones MAC de forma predeterminada. Para el Staff WiFi con 802.1X, indique al personal que desactive la aleatorización de MAC para el SSID de personal. Las direcciones MAC aleatorias provocan registros de autenticación inconsistentes y anulan la aplicación de políticas basadas en MAC.

WiFi multiinquilino con WatchGuard PPSK

Transmitir un SSID independiente por inquilino en un centro comercial, espacio de coworking o desarrollo de viviendas para alquiler (BTR) causa interferencia de canal compartido y satura el entorno de RF. WatchGuard PPSK (Clave privada previamente compartida), introducida en la versión v2.6 del firmware de AP, resuelve esto asignando una contraseña única a cada usuario o inquilino en un solo SSID.

Paso 1: Habilitar PPSK en el SSID

En WatchGuard Cloud, edite el SSID de destino (por ejemplo, Venue-WiFi).

Seguridad: WPA2 Personal o WPA3 Personal.
Autenticación: Habilite Clave privada previamente compartida (PPSK).
Servidor RADIUS: Diríjalo al servidor RADIUS de Purple. Purple gestiona el almacén de credenciales PPSK y devuelve los atributos de VLAN tras la autenticación.

Paso 2: Configurar la asignación dinámica de VLAN

Para aislar el tráfico de los inquilinos, el AP de WatchGuard asigna una VLAN específica basada en la PPSK utilizada.

Configuración de VLAN: Seleccione VLAN dinámica asignada por RADIUS.
Reserva para clientes no asignados: Seleccione una VLAN de cuarentena aislada (por ejemplo, VLAN 999) para garantizar que los dispositivos que fallen la validación de RADIUS no puedan acceder a la red corporativa.

Requisitos para VLAN dinámicas en puntos de acceso WatchGuard:

Firmware de AP versión v2.2 o superior.
NAT debe estar desactivado en el SSID.
Las VLAN dinámicas y el Captive Portal no pueden ejecutarse en el mismo SSID simultáneamente.
El puerto del switch conectado al AP debe estar configurado como un puerto de enlace troncal (trunk) que transporte todas las VLAN relevantes.

Paso 3: Atributos RADIUS para el direccionamiento de VLAN

Cuando un usuario se conecta usando una PPSK, el AP de WatchGuard envía un Access-Request de RADIUS a Purple. Purple valida la clave y devuelve un paquete Access-Accept que contiene tres atributos RADIUS IETF:

Atributo RADIUS	Número de Atributo	Valor
Tunnel-Type	64	13 (VLAN)
Tunnel-Medium-Type	65	6 (802)
Tunnel-Private-Group-ID	81	VLAN ID (p. ej., "100")

El AP de WatchGuard lee el atributo 81 y ubica al cliente en la VLAN correspondiente. En Purple, usted asocia cada credencial PPSK a un VLAN ID y rol específicos. Este es el mecanismo detrás de las redes basadas en la identidad (Identity-Based Networks): la credencial determina el segmento de red, no el SSID.

Mejores prácticas de implementación

Estas recomendaciones se aplican a implementaciones en hotelería , comercio minorista , atención médica y transporte .

Tiempos de espera de sesión: Configure los tiempos de espera de sesión tanto en Purple como en WatchGuard para forzar la reautenticación a intervalos regulares. Esto mantiene la precisión de los análisis y evita que las sesiones inactivas consuman ancho de banda. Establezca el RADIUS Interim-Update (Acct-Interim-Interval) en 600 segundos (10 minutos).

Gestión de firmware: Asegúrese de que los Access Points de WatchGuard ejecuten la versión de firmware v2.6 o superior para soportar PPSK. Utilice WatchGuard Cloud para programar las actualizaciones de firmware durante las horas de menor actividad y evitar brechas en la cobertura.

Cumplimiento de PCI DSS: Para entornos de comercio minorista que procesan pagos con tarjeta, aísle los dispositivos POS en una VLAN dedicada (p. ej., VLAN 200) mediante PPSK. Asegúrese de que la VLAN de la WiFi de invitados no tenga ruta hacia la VLAN de POS. Esto respalda los requisitos de segmentación de red de PCI DSS.

GDPR y recopilación de datos: El Captive Portal de Purple utiliza el consentimiento explícito de opción de inclusión (opt-in), lo que garantiza que la recopilación de datos cumpla con los requisitos de GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Asegúrese de que su página de inicio (splash page) incluya un aviso de privacidad claro y un enlace a los términos de servicio antes de que comience la captura de datos.

Resolución de problemas y mitigación de riesgos

El Captive Portal no se carga: El Walled Garden es el primer lugar que se debe verificar. Si el dispositivo no puede resolver el DNS o comunicarse con los servidores de Purple antes de la autenticación, el navegador mostrará un error de tiempo de espera en lugar de la splash page. Verifique que todos los dominios de Purple estén en la lista de Walled Garden y que la configuración de DNS de WatchGuard permita la resolución previa a la autenticación.

Errores de validación de resumen HMAC: Si los registros de WatchGuard muestran fallas de autenticación con errores HMAC, el Secreto Compartido del Captive Portal no coincide entre WatchGuard y Purple. Debe ser idéntico en ambos sistemas. Genere nuevamente el secreto en Purple y vuelva a ingresarlo en WatchGuard Cloud.

La reorientación de VLAN falla: Si un usuario de PPSK recibe una IP de la VLAN incorrecta, verifique los registros de RADIUS en el portal de Purple. Compruebe que Purple esté devolviendo los tres atributos RADIUS de la IETF. Asegúrese de que el valor Tunnel-Private-Group-ID esté formateado como una cadena y coincida con un ID de VLAN configurado en el puerto troncal del switch.

Conflicto de PPSK y Captive Portal: WatchGuard no admite VLAN dinámicas y Captive Portal en el mismo SSID. Si necesita ambos, use dos SSIDs: uno para el captive portal de invitados y otro para el acceso multi-inquilino de PPSK.

Fallos de autenticación 802.1X: Utilice la herramienta de captura de paquetes disponible en el firmware v2.5 y superior de los AP de WatchGuard para capturar el tráfico entre el AP y el servidor RADIUS. Busque paquetes RADIUS Access-Reject y el código de motivo en el atributo del mensaje de respuesta.

ROI e impacto empresarial

La integración de WatchGuard y Purple consolida la seguridad y la analítica en una sola arquitectura. Un hotel de 200 habitaciones que utiliza esta integración elimina la necesidad de contar con gateways independientes para invitados y personal, lo que reduce el gasto en hardware en aproximadamente un 30% en comparación con una implementación de múltiples gateways (datos internos de Purple). El captive portal de Guest WiFi recopila datos de origen (direcciones de correo electrónico, información demográfica y frecuencia de visitas) que impulsan los ingresos de marketing directo a través del plan Engage de Purple.

Para recintos multi-inquilino, PPSK elimina la carga operativa de administrar múltiples SSIDs. Un centro comercial que gestiona 15 locales comerciales en un único SSID reduce la utilización de la radio del AP y simplifica las auditorías de red. WiFi Analytics de Purple proporciona a los operadores de recintos datos sobre el tiempo de permanencia, la afluencia y la repetición de visitas, métricas que justifican la inversión en infraestructura ante los equipos de finanzas.

Purple mantiene un tiempo de actividad del 99.999% (datos internos de Purple), lo que garantiza que el captive portal de Guest WiFi permanezca disponible incluso durante los periodos de mayor actividad en recintos de alta densidad como estadios y centros de conferencias.

Definiciones clave

PPSK (Clave privada compartida previamente)

Una función de seguridad que asigna una contraseña única a cada usuario o dispositivo en un SSID personal WPA2/WPA3. Introducida en el firmware v2.6 de los AP de WatchGuard.

Se utiliza en entornos multiinquilino (centros comerciales, espacios de coworking, desarrollos BTR) para segmentar a los usuarios sin requerir la configuración del suplicante 802.1X en los dispositivos cliente.

Direccionamiento dinámico de VLAN

El proceso de asignar un dispositivo de red a una VLAN específica en función de los atributos de RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) devueltos durante la autenticación.

El mecanismo que aísla el tráfico de inquilinos, personal y huéspedes en el mismo punto de acceso físico. Requiere firmware de AP v2.2 o superior en el hardware de WatchGuard.

Walled Garden

Una lista de direcciones IP o dominios a los que un usuario no autenticado tiene permitido acceder antes de completar la autenticación del Captive Portal.

Requerido para permitir que los dispositivos de los huéspedes carguen la página de bienvenida de Purple y completen los inicios de sesión federados (Microsoft Entra ID, Google Workspace) antes de que se conceda el acceso total a Internet.

Resumen HMAC

Un hash criptográfico (HMAC-SHA1) utilizado para verificar la integridad y autenticidad del mensaje de éxito de autenticación proveniente del Captive Portal.

WatchGuard valida el resumen HMAC utilizando el secreto compartido del Captive Portal. Una discrepancia entre el secreto en WatchGuard y Purple provoca fallas de autenticación.

Contabilidad RADIUS

El componente del protocolo RADIUS que realiza el seguimiento del uso de la red, incluyendo el inicio de la sesión, la duración de la misma y el volumen de transferencia de datos.

Purple depende de los paquetes de contabilidad RADIUS del WatchGuard Firebox para alimentar el panel de analíticas y aplicar los límites de tiempo de sesión. Opera en el puerto 1813.

Captive portal

Una página web a la que se redirige un dispositivo antes de que se le conceda acceso a una red pública. WatchGuard intercepta las solicitudes HTTP y las redirige a la URL del portal externo configurado.

El mecanismo principal para capturar datos de origen y aplicar los términos de servicio en redes WiFi de huéspedes. Purple aloja la página de bienvenida y gestiona los datos.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos. Requiere que cada dispositivo se autentique con credenciales únicas o un certificado antes de que se conceda el acceso a la red.

El estándar empresarial para proteger la red WiFi del personal. Elimina el riesgo de contraseña compartida de WPA2 Personal. Requiere un servidor RADIUS (Purple) y un suplicante en el dispositivo cliente.

EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)

Un método de autenticación 802.1X altamente seguro que requiere tanto un certificado de cliente como un certificado de servidor para la autenticación mutua.

Utilizado en entornos de alta seguridad donde los dispositivos son administrados por un MDM. Garantiza que solo los dispositivos propiedad de la empresa con certificados válidos puedan conectarse al SSID de la red WiFi del personal.

NAS ID (Identificador de servidor de acceso a la red)

Una cadena enviada en paquetes RADIUS que identifica el dispositivo de red (AP o Firebox) que realiza la solicitud de autenticación.

Purple utiliza el NAS ID para identificar el lugar de origen de una solicitud RADIUS. Generalmente se establece con la dirección MAC del AP utilizando el especificador de formato %m en WatchGuard.

Redes basadas en la identidad

Una arquitectura de red donde las políticas de acceso, las asignaciones de VLAN y los controles de seguridad se determinan por la identidad del usuario en lugar de su puerto físico o SSID.

La combinación de PPSK de WatchGuard, RADIUS de Purple y el direccionamiento dinámico de VLAN ofrece redes basadas en la identidad: la credencial determina el segmento de red de forma automática.

Ejemplos resueltos

¿Una propiedad de Premier Inn de 200 habitaciones necesita proporcionar Guest WiFi para los huéspedes, Staff WiFi seguro para los equipos de recepción y administración, y una red independiente para dispositivos IoT (smart TVs, cerraduras inteligentes). Tienen puntos de acceso WatchGuard AP330 administrados a través de WatchGuard Cloud y un gateway Firebox T85. ¿Cómo deberían diseñar la arquitectura de las tres redes?

Despliegue tres SSIDs en la flota de WatchGuard AP330. SSID 1: "Premier-Guest": un SSID abierto con redirección a un Captive Portal externo de Purple. Configure el Firebox T85 como el cliente RADIUS apuntando a los servidores de Purple (puerto 1812/1813). Agregue los dominios del Walled Garden de Purple. Los huéspedes se autentican a través de la página de inicio de Purple usando correo electrónico, inicio de sesión social o un código de habitación. SSID 2: "Premier-Staff": un SSID WPA3-Enterprise con autenticación 802.1X. Apunte el dominio de autenticación al servidor RADIUS de Purple, el cual actúa como proxy de las credenciales hacia el tenant de Microsoft Entra ID de la propiedad. El personal se autentica con sus credenciales corporativas. SSID 3: "Premier-IoT": un SSID WPA2 Personal con una PSK estática, colocado en una VLAN dedicada (por ejemplo, VLAN 50) con reglas de firewall que bloquean el acceso a las VLANs de personal y huéspedes. El Firebox T85 aplica las políticas de enrutamiento inter-VLAN. Los tres SSIDs se transmiten en el mismo hardware de AP, lo que reduce los costos de infraestructura.

Comentario del examinador: Esta arquitectura sigue el principio de privilegio mínimo. Cada nivel de acceso tiene el acceso a la red mínimo requerido para su función. El SSID de IoT utiliza una PSK estática en lugar de PPSK porque los dispositivos IoT normalmente no pueden manejar la rotación dinámica de credenciales. La decisión clave es utilizar Purple como el servidor RADIUS tanto para el nivel de huéspedes como para el de personal, lo que centraliza la gestión de identidad y la analítica en una sola plataforma.

Un centro comercial que administra 12 locales comerciales desea proporcionar a cada inquilino acceso WiFi aislado utilizando un único SSID. El centro también debe garantizar que una credencial de inquilino comprometida no exponga el tráfico de los demás inquilinos. Están utilizando puntos de acceso WatchGuard AP230W con la versión de firmware 2.6.

Configure un SSID: "Centre-Retail" con WPA2 Personal y PPSK habilitado. En Purple, cree 12 credenciales PPSK únicas, una por inquilino. Asocie cada credencial a una VLAN dedicada (por ejemplo, VLAN 101 para el Inquilino 1, VLAN 102 para el Inquilino 2, y así sucesivamente). En WatchGuard Cloud, configure la VLAN del SSID como "Dynamic VLAN assigned by RADIUS" con una VLAN de contingencia para cuarentena (VLAN 999). Configure los puertos del switch conectados al AP230W como puertos troncales que transporten las VLANs 101-112 y 999. Cuando el dispositivo de un inquilino se conecta usando su PPSK, el AP consulta al RADIUS de Purple, recibe el atributo Tunnel-Private-Group-ID y coloca al dispositivo en la VLAN correcta. Una credencial comprometida para el Inquilino 3 solo expone la VLAN 103; todos los demás inquilinos permanecen aislados.

Comentario del examinador: PPSK proporciona aislamiento por credencial sin la complejidad de la gestión de certificados 802.1X. La decisión de diseño crítica es la VLAN de contingencia. Sin una VLAN de cuarentena configurada, un dispositivo que falle la validación RADIUS podría colocarse en la VLAN no etiquetada por defecto, obteniendo potencialmente acceso a la infraestructura de gestión. Siempre configure la contingencia de forma explícita.

Preguntas de práctica

Q1. Un gerente de TI de un hotel informa que los huéspedes se conectan al WiFi pero la splash page de Purple nunca aparece. El navegador muestra un error de tiempo de espera de conexión. La configuración de WatchGuard Cloud muestra la URL de la splash page de Purple y el secreto compartido correctos. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considere lo que debe suceder antes de que el dispositivo sea autenticado. ¿A qué dominios necesita acceder el dispositivo para cargar la página de inicio (splash page)?

Ver respuesta modelo

El Walled Garden no está configurado o está incompleto. El WatchGuard Firebox está bloqueando la solicitud HTTP inicial del dispositivo a los servidores de Purple antes de que se complete la autenticación. Agregue los dominios de Purple requeridos a la lista de 'Sitios web a los que los usuarios pueden acceder antes de iniciar sesión': *.mypurple.com, api.mypurple.com y cdn.mypurple.com. Si los huéspedes utilizan inicios de sesión sociales, agregue también los dominios de los proveedores de identidad correspondientes (por ejemplo, login.microsoftonline.com para Entra ID).

Q2. Está configurando el direccionamiento de VLAN basado en PPSK para un espacio de coworking con 8 miembros. La autenticación RADIUS es exitosa (los registros de WatchGuard muestran Access-Accept), pero el dispositivo de cada miembro recibe una dirección IP de la VLAN 1 (la VLAN de administración predeterminada) en lugar de su VLAN de inquilino asignada. ¿Cómo diagnostica y resuelve esto?

Sugerencia: La autenticación fue exitosa, por lo que la credencial es válida. El problema está en el paso de asignación de VLAN. ¿Qué necesita WatchGuard del servidor RADIUS para asignar una VLAN?

Ver respuesta modelo

El paquete RADIUS Access-Accept de Purple no contiene o tiene un formato incorrecto de los atributos de VLAN. Capture el tráfico RADIUS en el AP utilizando la herramienta de captura de paquetes de WatchGuard e inspeccione el paquete Access-Accept. Verifique que Purple esté devolviendo los tres atributos IETF: Tunnel-Type (atributo 64, valor 13), Tunnel-Medium-Type (atributo 65, valor 6) y Tunnel-Private-Group-ID (atributo 81, configurado con el ID de la VLAN como una cadena de texto, por ejemplo, '101'). También confirme que el puerto del switch conectado al AP esté configurado como un puerto troncal (trunk) que transporte las VLAN correspondientes, y que la configuración de la VLAN del SSID en WatchGuard Cloud esté establecida en 'VLAN dinámica asignada por RADIUS' en lugar de un ID de VLAN estático.

Q3. El operador de un establecimiento desea ejecutar un Captive Portal de WiFi para invitados (splash page de Purple) y una red PPSK multi-inquilino para 6 locales comerciales en el mismo punto de acceso WatchGuard AP330. Planean configurar ambas funciones en un solo SSID para simplificar el entorno de radiofrecuencia (RF). ¿Es esto posible? Si no, ¿cuál es la arquitectura correcta?

Sugerencia: Revise los requisitos de VLAN dinámica de WatchGuard. ¿Existe algún conflicto de funciones?

Ver respuesta modelo

Esto no es posible en un solo SSID. WatchGuard no admite VLAN dinámicas (requeridas para PPSK) y Captive Portal en el mismo SSID de forma simultánea. La arquitectura correcta utiliza dos SSIDs: el SSID 1 ('Venue-Guest') configurado como un SSID abierto con redirección de Captive Portal externo a Purple para los invitados públicos. El SSID 2 ('Venue-Retail') configurado con WPA2 Personal, PPSK habilitado y asignación de VLAN dinámica para los 6 inquilinos comerciales. Ambos SSIDs se transmiten desde el mismo hardware AP330, por lo que el impacto de RF se limita a una baliza (beacon) de SSID adicional. El puerto del switch conectado al AP debe ser un puerto troncal (trunk) que transporte todas las VLAN correspondientes para ambos SSIDs.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.