EnGenius Cloud Access Points Integration with Purple WiFi

Esta referencia técnica detalla la integración paso a paso de los EnGenius Cloud Access Points y los switches ECS con la plataforma de WiFi para invitados de Purple. Cubre la redirección de Captive Portal de invitados a través de una página de bienvenida externa, la configuración de Walled Garden, WiFi seguro para el personal mediante IEEE 802.1X y el aislamiento de red multi-tenant utilizando EnGenius MyPSK con asignación dinámica de VLAN. Los instaladores de TI y arquitectos de red encontrarán secuencias de configuración prácticas, casos de estudio del mundo real y un marco de solución de problemas para implementar Purple en infraestructuras de hardware EnGenius.

📖 9 min de lectura📝 2,239 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

GUION DE PODCAST: Integración de Access Points de EnGenius Cloud con Purple WiFi
Plataforma de Inteligencia Purple WiFi - Serie de Sesiones Informativas Técnicas
Duración: Aproximadamente 10 minutos
Voz: Inglés británico, tono de consultor senior: seguro, conversacional, con autoridad

[INTRODUCCIÓN - 1 MINUTO]

Le damos la bienvenida a la Serie de Sesiones Informativas Técnicas de Purple. Hoy abordaremos algo que surge con regularidad en las implementaciones empresariales: la integración de los access points de EnGenius Cloud con la plataforma de guest WiFi de Purple.

Si usted administra un entorno EnGenius, ya sean access points de la serie ECW en un hotel, una cadena de tiendas de retail o un edificio de oficinas multiinquilino, y desea agregar un Captive Portal con su marca, recopilar datos de visitantes de primera fuente y aplicar una segmentación de red adecuada, esta sesión es para usted.

En los próximos diez minutos, quiero guiarle a través de las cuatro áreas principales de configuración: redirección del Captive Portal para invitados, configuración del walled garden, WiFi seguro para el personal mediante 802.1X y aislamiento multiinquilino utilizando EnGenius MyPSK con asignación dinámica de VLAN. Al finalizar, tendrá una imagen clara de qué configurar exactamente, en qué orden y cuáles son los errores comunes.

Comencemos.

[ANÁLISIS TÉCNICO DETALLADO - 5 MINUTOS]

Empecemos con el Captive Portal para invitados, el punto de partida más común para cualquier operador de establecimientos.

EnGenius Cloud es compatible de forma nativa con páginas de inicio externas. Esto significa que en lugar de alojar una página de inicio de sesión básica en el propio access point, usted redirige a los invitados no autenticados al portal alojado en la nube de Purple. Aquí es donde residen la imagen de marca, la captura de datos, la gestión del consentimiento y las herramientas de analítica.

Este es el orden de configuración en EnGenius Cloud. Inicie sesión en su panel de EnGenius Cloud y vaya a Configure, luego a SSID. Seleccione su SSID de invitados. En la pestaña Wireless, establezca el tipo de seguridad en Open o WPA2 PSK, según su preferencia. Open es el estándar para la mayoría de las implementaciones de guest WiFi. Luego, cambie a la pestaña Captive Portal. Active el Captive Portal y configure el Authentication Type en Custom RADIUS. Esta es la configuración clave. Le indica al access point que reenvíe las solicitudes de autenticación a un servidor RADIUS externo, que en este caso es el nodo de RADIUS en la nube de Purple.

Ahora, ingrese los datos de RADIUS de Purple. La dirección IP del servidor RADIUS primario se proporciona en su panel de Purple bajo la sección Hardware Configuration. El puerto de autenticación es UDP 1812. El puerto de contabilidad (accounting) es UDP 1813. Ingrese el shared secret. Purple genera esto para usted, y debe tener al menos 22 caracteres combinando mayúsculas, minúsculas, números y símbolos. Configure el NAS identifier para que coincida con el nombre de su establecimiento o con un identificador único que haya definido en Purple.

A continuación, ve a la pestaña de Splash Page. Selecciona External Splash Page URL e ingresa la URL de portal de Purple. Esta es la URL que Purple proporciona para tu recinto específico. Cuando un invitado se conecta al SSID y abre un navegador, el punto de acceso intercepta la solicitud y lo redirige a esta URL, transmitiendo parámetros que incluyen la dirección MAC del cliente, la dirección MAC del AP y la URL original a la que el invitado intentaba acceder.

Ahora, el walled garden. Esta es la lista de dominios y direcciones IP a las que los invitados pueden acceder antes de autenticarse. Sin esto, el propio portal de Purple no podrá cargarse, porque el navegador del invitado no podrá comunicarse con los servidores de Purple. En EnGenius Cloud, el walled garden se encuentra en Captive Portal, luego en Advanced Settings y después en Walled Garden. Debes agregar el dominio del portal de Purple, los endpoints de CDN de Purple y los endpoints de prueba de Captive Portal del sistema operativo. Para dispositivos Apple, es captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Si omites alguno de estos, los invitados de esas plataformas no verán el portal en absoluto.

Si ofreces inicio de sesión con redes sociales a través de Google o Facebook, también debes incluir en la lista blanca los endpoints de OAuth para esos proveedores. Google requiere como mínimo accounts.google.com, oauth2.googleapis.com y apis.google.com. Facebook requiere www.facebook.com, graph.facebook.com y connect.facebook.net. La documentación de soporte de Purple proporciona una lista de walled garden actualizada para cada método de autenticación. Utiliza eso como referencia, ya que estos dominios suelen cambiar.

Ahora pasemos a la WiFi segura para el personal mediante 802.1X.

Este es un SSID independiente. El tipo de seguridad aquí es WPA2 Enterprise o WPA3 Enterprise. En EnGenius Cloud, en la pestaña de SSID Wireless, selecciona WPA2 Enterprise y luego elige Custom RADIUS. Ingresa los mismos detalles del servidor RADIUS: el endpoint de RADIUS de Purple, el puerto 1812 y el secreto compartido. La diferencia con la configuración de invitados es que aquí no hay un Captive Portal. Los dispositivos del personal se autentican de forma silenciosa utilizando el protocolo IEEE 802.1X. El dispositivo presenta un certificado o un usuario y contraseña al servidor RADIUS, el cual lo valida y devuelve un mensaje de Access-Accept junto con los atributos de asignación de VLAN.

Los atributos RADIUS que impulsan la asignación dinámica de VLAN son Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en 802 y Tunnel-Private-Group-ID establecido en el número de VLAN. De modo que, si la VLAN de tu personal es la VLAN 20, el servidor RADIUS devuelve Tunnel-Private-Group-ID con un valor de 20. El punto de acceso EnGenius lee este atributo y coloca automáticamente el dispositivo autenticado en la VLAN 20. Esto significa que puedes tener un solo SSID para múltiples roles de personal (finanzas, operaciones, TI, contratistas), y cada uno terminará en una VLAN diferente según su membresía de grupo de directorio, todo sin necesidad de configurar manualmente la VLAN por dispositivo.

Para el método EAP, PEAP-MSCHAPv2 es la opción más común para entornos que utilizan Active Directory o Microsoft Entra ID. Requiere un certificado del lado del servidor en el servidor RADIUS y credenciales de usuario y contraseña en el cliente. EAP-TLS es más seguro, ya que utiliza certificados en ambos lados, pero requiere una infraestructura PKI y un despliegue de MDM para insertar los certificados en los dispositivos. Para la mayoría de los operadores de recintos, PEAP-MSCHAPv2 con validación estricta de certificados aplicada mediante políticas de grupo o MDM es la opción más práctica.

Ahora pasemos a la parte técnicamente más interesante: EnGenius MyPSK y el aislamiento multi-inquilino (multi-tenant).

MyPSK, también conocido como PPSK o clave privada precompartida, resuelve un problema específico en entornos multi-inquilino. En un desarrollo de construcción para alquiler (build-to-rent), una oficina de servicios o un bloque de alojamiento para estudiantes, se busca que cada inquilino o residente tenga su propia contraseña de WiFi única. Sin embargo, no se desea crear un SSID independiente para cada inquilino, ya que esto genera congestión de radiofrecuencia y una gran sobrecarga de gestión.

MyPSK le permite crear hasta 500 claves precompartidas únicas por SSID. Cada clave está vinculada a una VLAN específica. Cuando un residente se conecta utilizando su clave única, el punto de acceso lo coloca automáticamente en su VLAN designada. El tráfico del Inquilino A nunca toca el segmento de red del Inquilino B. El cifrado también es por usuario; cada clave genera una Clave Maestra Pareada (Pairwise Master Key) única, por lo que un inquilino no puede descifrar el tráfico de transmisión inalámbrica de otro inquilino, aunque compartan el mismo SSID.

En EnGenius Cloud, MyPSK se configura en los ajustes de seguridad del SSID. Seleccione WPA2 PSK o WPA3 Personal y, a continuación, habilite MyPSK. Después, puede crear PSK de forma individual o generar automáticamente lotes de hasta 50 a la vez. Para cada PSK, se asigna un ID de VLAN y, opcionalmente, se establece una fecha de vencimiento. Cuando finaliza un contrato de alquiler o un estudiante se gradúa, simplemente se expira o elimina su PSK. El acceso se revoca de inmediato sin afectar a ningún otro inquilino.

Para la integración de Purple en un entorno MyPSK, los inquilinos que interactúan como invitados aún pueden ser dirigidos a través de un Captive Portal en su VLAN, mientras que el personal y los inquilinos operativos omiten el portal por completo. La segmentación de VLAN garantiza que los datos analíticos de Purple se atribuyan correctamente por segmento de red.

[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS]

Permítame sugerirle la secuencia de implementación que recomiendo para un despliegue inicial limpio.

Comience con su arquitectura de VLAN antes de tocar la configuración de WiFi. Defina la VLAN 10 para invitados, la VLAN 20 para el personal, la VLAN 30 para los inquilinos o cualquier numeración que se adapte a su esquema existente. Configure primero estas VLAN en sus switches ECS, con las asignaciones de puertos de enlace troncal (trunk) y de acceso correspondientes. Los puntos de acceso deben recibir tráfico etiquetado (tagged) en el puerto de enlace ascendente (uplink) para cada VLAN que planee utilizar.

Luego, configure los SSIDs en EnGenius Cloud en este orden: primero el SSID de invitados, ya que es el más sencillo. Valide la redirección del Captive Portal a Purple antes de continuar. Después, configure el SSID del personal con 802.1X. Realice pruebas con un dispositivo conocido antes de implementarlo en toda la infraestructura. Por último, configure MyPSK si requiere aislamiento multi-tenant.

Los errores comunes. Primero, el walled garden (jardín vallado). Esta es la causa número uno de fallas en las implementaciones de Captive Portal. Si los invitados no pueden acceder al portal, verifique primero el walled garden. Segundo, la discrepancia en el secreto compartido de RADIUS. El secreto compartido debe ser idéntico tanto en la configuración de EnGenius Cloud como en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter hará que cada autenticación falle de forma silenciosa. Tercero, la configuración de trunk VLAN en el switch. Si el puerto del switch ECS que se conecta al punto de acceso no está configurado como trunk para transportar todas las VLANs requeridas, la asignación dinámica de VLAN fallará. Cuarto, la validación de certificados en clientes 802.1X. Si los dispositivos del personal no están configurados para validar el certificado del servidor RADIUS, quedan vulnerables al robo de credenciales mediante puntos de acceso no autorizados. Obligue a que esto se cumpla mediante directivas de grupo para Windows y perfiles de MDM para todo lo demás.

[PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO]

Algunas preguntas que escucho frecuentemente sobre las implementaciones de EnGenius y Purple.

¿Puedo usar EnGenius Cloud RADIUS en lugar del RADIUS de Purple? Sí, para la autenticación interna. Pero para el WiFi de invitados con las analíticas y el portal de Purple, debe apuntar al endpoint RADIUS de Purple. Ambos pueden coexistir en diferentes SSIDs.

¿MyPSK funciona con WPA3? Sí. EnGenius es compatible con WPA3 y con el modo mixto WPA2/WPA3 con MyPSK, por lo que los dispositivos compatibles con WPA3 obtienen autenticación SAE mientras que los dispositivos más antiguos recurren a WPA2 PSK, todo utilizando la misma clave por usuario.

¿Purple es compatible con el registro de contabilidad RADIUS (accounting) para los datos de sesión? Sí. Habilite el servidor de contabilidad en la configuración de RADIUS de EnGenius Cloud, apuntando al endpoint de contabilidad de Purple en el puerto UDP 1813. Esto alimenta la duración de la sesión y el volumen de datos en las analíticas de Purple.

[RESUMEN Y SIGUIENTES PASOS - 1 MINUTO]

En resumen. Los puntos de acceso de EnGenius Cloud se integran perfectamente con la plataforma de WiFi de invitados de Purple a través de cuatro capas de configuración. La redirección al Captive Portal de invitados utiliza un RADIUS personalizado y una URL de splash page externa que apunta a Purple. La lista de permitidos del walled garden garantiza que el portal se cargue antes de la autenticación. El WiFi del personal utiliza WPA2 Enterprise con 802.1X y asignación dinámica de VLAN a través de atributos RADIUS. Y el aislamiento multi-tenant utiliza EnGenius MyPSK para asignar claves únicas por usuario vinculadas a VLANs específicas, con fechas de vencimiento opcionales para accesos por tiempo limitado.

Purple opera en 80,000 establecimientos y ha procesado 440 millones de inicios de sesión tan solo en 2024. La plataforma cuenta con certificación ISO 27001, cumple con el GDPR y es agnóstica respecto al hardware, que es precisamente la razón por la que funciona de manera impecable con EnGenius, junto con Cisco Meraki, HPE Aruba, Ruckus y el resto del ecosistema de hardware empresarial.
Si está listo para realizar la implementación, comience con la guía de configuración de walled garden en la documentación de soporte de Purple, luego continúe con la configuración del SSID en EnGenius Cloud. La guía detallada paso a paso está disponible en purple.ai. Gracias por escuchar.

Puntos clave

✓EnGenius Cloud se integra con Purple a través de RADIUS personalizado (UDP 1812/1813) y una URL externa de splash page configurada en los ajustes del Captive Portal del SSID.
✓Un Walled Garden correctamente configurado es el elemento más crítico para las implementaciones de Captive Portal: debe incluir los endpoints de prueba del sistema operativo, los dominios CDN de Purple y todos los dominios OAuth de inicio de sesión social.
✓IEEE 802.1X con WPA2/WPA3 Enterprise proporciona una autenticación segura y sin contraseñas para el personal, con asignación dinámica de VLAN impulsada por los atributos RADIUS Tunnel-Private-Group-ID.
✓EnGenius MyPSK ofrece aislamiento multi-tenant en un solo SSID al asignar PSKs y VLANs únicas a usuarios individuales, admitiendo hasta 500 claves por SSID con fechas de expiración opcionales.
✓Configura los puertos troncales (trunk) del switch ECS antes de configurar los SSIDs: la asignación dinámica de VLAN falla silenciosamente si el switch no puede transportar la VLAN asignada.
✓PEAP-MSCHAPv2 solo es seguro con una validación estricta del certificado del servidor aplicada mediante directivas de grupo o MDM; impleméntala antes de cualquier despliegue de 802.1X.
✓Purple procesa 440 millones de inicios de sesión anualmente en más de 80,000 establecimientos y cuenta con certificación ISO 27001, cumple con el GDPR y es agnóstico del hardware en equipos de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

執行摘要

企業 WiFi 若依賴共用的預先共用金鑰，會使場域面臨重大的安全性風險，且無法收集有價值的首方數據。本指南詳細說明 EnGenius Cloud Access Points 與 Purple 的 Guest WiFi 平台的整合，旨在為旅宿餐飲、零售及多租戶環境提供安全、隔離且可衡量的無線網路。透過為員工實施 IEEE 802.1X 驗證、透過 EnGenius MyPSK 為住戶與租戶進行動態 VLAN 分配，以及為訪客提供雲端託管的 Captive Portal，IT 團隊可以執行嚴格的存取控制，同時將無線基礎設施轉化為商業智慧資產。

Purple 每年在 80,000 多個實體場域處理 4.4 億次登入（Purple 內部數據，2024 年）。該平台已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，且不受硬體品牌限制，這也正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 完美整合的原因。本指南涵蓋在 EnGenius Cloud 硬體上部署 Purple 所需的四個配置層：訪客 Captive Portal 重導向、Walled Garden 設定、安全員工 WiFi，以及使用 EnGenius MyPSK 的多租戶隔離。

技術深度解析

架構概述

EnGenius Cloud 與 Purple 之間的整合依賴於標準 RADIUS 協定與 HTTP 重導向。當訪客在啟用 Captive Portal 的 SSID 上連線至 EnGenius ECW 存取點（AP）時，AP 會攔截第一個 HTTP 請求，並將瀏覽器重導向至 Purple 的雲端託管歡迎頁面。此重導向會向該入口網站傳遞多個參數（包括 client_mac、ap_mac 與 userurl），Purple 會使用這些參數來追蹤工作階段並回傳驗證決策。

針對員工與營運設備，其架構則從 Captive Portal 重導向轉變為基於 IEEE 802.1X 連接埠的網路存取控制。EnGenius 存取點作為驗證器，透過 UDP 連接埠 1812 將可延伸驗證協定（EAP）訊息轉發至 Purple 的 RADIUS 伺服器。驗證成功後，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，指示 AP 將該裝置放置在正確的網路區段中。

層級	SSID 類型	驗證方法	VLAN 分配
Guest WiFi	Open 或 WPA2 PSK	透過自訂 RADIUS 的 Purple Captive Portal	靜態（例如 VLAN 10）
Staff WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP 或 EAP-TLS)	透過 RADIUS 屬性動態分配
多租戶	搭配 MyPSK 的 WPA2/WPA3 PSK	每使用者 PSK	每金鑰 VLAN 綁定

EnGenius Cloud 平台

EnGenius Cloud 是一個雲端管理的網路平台，支援 ECW 系列無線基地台（包括 ECW220、ECW230 和 ECW520 WiFi 7 機型）以及 ECS 系列管理型交換器。此平台為組織內所有裝置提供了一個集中式儀表板，用於管理 SSID、RADIUS 設定、VLAN 標記以及 Captive Portal 設定。EnGenius Cloud 支援三種基於 RADIUS 的 Captive Portal 認證類型：EnGenius Authentication（使用內建的 Cloud RADIUS）、Custom RADIUS（指向外部伺服器，例如 Purple）以及憑證服務（Voucher Service）。

對於企業級部署，與 Purple 進行整合時，正確的認證類型為 Custom RADIUS。此模式會指示無線基地台將認證請求代理傳送至 Purple 的 RADIUS 端點，從而啟用 Purple 的入口網站、分析和數據擷取功能。

EnGenius MyPSK 與多租戶隔離

在建案出租住宅、學生宿舍、服務式辦公室或共享工作空間等環境中，為每個租戶廣播獨立的 SSID 會降低無線射頻效能。每增加一個 SSID 都會產生信標訊框（beacon frames），消耗空中傳輸時間並減少可用於數據流量的容量。EnGenius MyPSK（亦稱為 PPSK 或個人預共用金鑰）透過在單一 SSID 上允許高達 500 個不重複的 PSK 來解決此問題。

每個金鑰都綁定至特定的 VLAN。當住戶使用其專屬金鑰連線時，無線基地台會自動將其置於指定的網路區段中。加密是針對每位使用者的：每個金鑰都會產生一個不重複的成對主金鑰（PMK），因此即使租戶共用相同的 SSID，其中一個租戶也無法解密另一個租戶的空中傳輸流量。相較於單一共用 PSK（任何知道密碼的使用者都可以解密網路上所有流量），這是一個根本上的安全性優勢。

MyPSK 金鑰支援到期日設定，非常適合有時間限制的存取情境：學生的金鑰在學年結束時過期、承包商的金鑰在其約期結束時過期，而會議出席者的金鑰則在活動最後一天的午夜過期。

實作指南

步驟 1：定義您的 VLAN 架構

在設定任何 SSID 之前，請先在您的 ECS 交換器上定義 VLAN 結構。典型的部署會使用三個 VLAN：

VLAN ID	用途	存取原則
VLAN 10	訪客 WiFi	僅限網際網路，與企業區域網路隔離
VLAN 20	員工 WiFi	完整企業區域網路存取權限
VLAN 30	租戶/住戶 WiFi	獨立的每租戶區段

步驟 2：配置訪客 Captive Portal（EnGenius Captive Portal 設定）

這是部署帶有 Purple 的 EnGenius Splash Page 的主要配置。

登入您的 EnGenius Cloud 控制面板： cloud.engenius.ai 。
導覽至 Configure > SSID 並選擇您的訪客網路（例如 "VenueGuest"）。
在 Wireless 索引標籤下，將安全性類型（Security Type）設定為 Open。這是訪客 WiFi 的標準設定；訪客是在 Portal 層進行識別與驗證，而非在關聯層。
切換至 Captive Portal 索引標籤並啟用 Portal。
將驗證類型（Authentication Type）設定為 Custom RADIUS。
輸入 Purple RADIUS 伺服器詳細資訊：

欄位	值
RADIUS 伺服器 IP	於 Purple 控制面板的硬體配置（Hardware Configuration）中提供
驗證連接埠 (Authentication Port)	UDP 1812
計費連接埠 (Accounting Port)	UDP 1813
共用金鑰 (Shared Secret)	由 Purple 產生的 22 個以上字元的字串
NAS 識別碼 (NAS Identifier)	您的場地名稱或 Purple 場地 ID

切換至 Splash Page 索引標籤。
選擇 External Splash Page URL。
輸入您場地的 Purple Portal URL（格式：https://portal.purple.ai/[venue-id]）。
按一下 Apply。

步驟 3：配置 Walled Garden

必須配置 Walled Garden（EnGenius 訪客 WiFi 白名單），以允許在驗證前存取載入 Portal 所需的網域。導覽至 Captive Portal > Advanced Settings > Walled Garden 並新增以下項目：

Purple 基礎架構：

*.purple.ai
*.purpleportal.net

作業系統 Captive Portal 探測（強制性）：

captive.apple.com (iOS 和 macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

社群登入（若啟用）：

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

請務必使用網域名稱而非靜態 IP 位址。社群登入供應商使用動態 IP 範圍和任播（Anycast）路由；隨著 CDN 位址的變更，靜態 IP 白名單效能將會逐漸下降。

步驟 4：配置安全員工 WiFi (802.1X)

用於員工 WiFi 的 EnGenius RADIUS 設定採用 WPA2 Enterprise，以提供憑證型、無密碼的驗證。

建立新的 SSID（例如 "VenueStaff"）。
在 Wireless 索引標籤下，將安全性類型設定為 WPA2 Enterprise。
選擇 Custom RADIUS 並輸入 RADIUS 伺服器 IP、連接埠 1812 以及共用金鑰。
不需要 Captive Portal。員工裝置會透過 802.1X 自動在背景完成驗證。
配置您的 RADIUS 伺服器，使其在 Access-Accept 上傳回以下屬性：

RADIUS 屬性	值
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (或您的員工 VLAN ID)

關於 EAP 方法的選擇：對於使用 Microsoft Entra ID 或 Active Directory 的環境，PEAP-MSCHAPv2 是最實用的選擇。EAP-TLS 透過完全消除密碼來提供更強的安全性，但需要公開金鑰基礎建設（PKI）和 MDM 解決方案來部署用戶端憑證。請務必透過群組原則（Windows）或 MDM 設定檔（macOS、iOS、Android），在所有用戶端裝置上強制執行嚴格的伺服器憑證驗證，以防止惡意存取點竊取憑證。

步驟 5：配置 EnGenius MyPSK 以實現多租戶隔離

適用於多租戶環境的 EnGenius MyPSK 設定：

建立一個新的 SSID（例如 "VenueResident"）。
在 Wireless 索引標籤下，將安全類型設定為 WPA2 PSK 或 WPA3 Personal。
啟用 MyPSK（Private PSK）。
按一下 Add PSK 建立個別的金鑰，或使用 Auto-Generate 一次批次產生最多 50 個金鑰。
為每個 PSK 分配一個 VLAN ID，並可選擇設定 Start Date（開始日期）和 Expiration Date（過期日期）。
將每個唯一的 PSK 分發給對應的租戶或住戶。

當租戶的租約結束時，刪除或使其 PSK 過期。存取權限會立即被撤銷，且不會影響網路上的任何其他租戶。

最佳實踐

在 802.1X 用戶端上強制執行嚴格的憑證驗證。 只有當用戶端設定為針對信任的 CA 驗證 RADIUS 伺服器的憑證時，PEAP-MSCHAPv2 才是安全的。如果沒有此設定，惡意存取點可能會呈現欺詐性憑證並竊取認證資訊。請透過 Windows 的群組原則物件（GPO）以及所有其他平台的 MDM 組態設定檔來部署驗證設定。對於任何受法規監管環境中的部署，這是不可妥協的要求。

在 Walled Garden 中使用動態 DNS 解析。 Google、Apple 和 Meta 的 OAuth 和 CDN 端點使用的是動態 IP 範圍。請將 Walled Garden 條目配置為網域名稱，並確保您的 EnGenius Cloud 控制器能對其進行動態解析。隨著 CDN IP 的更替，靜態 IP 白名單將會導致驗證失敗。

使用 MAC 驗證繞過（MAB）隔離 IoT 裝置。 印表機、顯示器和 IoT 感測器等無介面裝置無法透過 802.1X 進行驗證。請使用 MAC 驗證繞過（MAB）來識別它們，並將其放入受限制的 VLAN 中，同時配合防火牆規則以防止橫向移動。MAB並非一種安全控制手段，而是一種裝置識別機制。請將經 MAB 驗證的裝置視為不受信任的裝置。

實作 RADIUS 計費。 在 EnGenius Cloud 的 RADIUS 配置中啟用計費伺服器，將其指向 Purple 在 UDP 1813 上的計費端點。這會將工作階段持續時間、數據量和裝置資訊傳送到 Purple 的 WiFi Analytics 平台，提供證明基礎建設投資價值的場地使用率數據。

每季審查 Walled Garden。 OAuth 提供商與 CDN 會變更其網域結構。Apple 在 2023 年曾兩次更新其登入網域。請將 Walled Garden 的每季審查納入您的營運行事曆。如需企業 WiFi 安全實務的進一步指引，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

症狀：Captive Portal 無法在 iOS 裝置上載入。 原因：captive.apple.com 未加入 Walled Garden。iOS 使用此端點來偵測 Captive Portal 的存在並觸發 Captive Network Assistant。若缺少此端點，裝置會報告「無網際網路連線」，且永遠不會開啟 Portal 瀏覽器。解決方法：在 EnGenius Cloud 的「Captive Portal > 進階設定」中，將 captive.apple.com 新增至 Walled Garden。

症狀：驗證無聲無息地失敗 - RADIUS 沒有傳回回應。 原因：EnGenius Cloud 與 Purple RADIUS 伺服器設定之間的共用金鑰（Shared Secret）不一致。單一字元的差異就會導致所有驗證請求被捨棄。解決方法：在兩個系統中重新輸入共用金鑰。請從純文字來源複製貼上，以避免隱形字元的置換。

症狀：802.1X 用戶端已驗證，但未收到 IP 地址。 原因：ECS 交換器上行鏈路連接埠未設定為 Trunk 埠，或者 RADIUS 伺服器傳回的 VLAN 在該 Trunk 上不被允許。解決方法：驗證交換器連接埠設定。該連接埠必須是 Trunk 埠，且承載 RADIUS 回應中所參照的所有 VLAN。

症狀：MyPSK 用戶端已連線，但可以接觸到其他租戶的裝置。 原因：SSID 上未啟用用戶端隔離（Client Isolation），或者交換器上的 VLAN 設定未能正確隔離各個區段。解決方法：在 EnGenius Cloud 的 SSID 中啟用用戶端隔離。驗證上游路由器或防火牆上，每個 VLAN 是否都設定了適當的跨 VLAN 路由規則。

症狀：社群媒體登入按鈕有載入，但驗證失敗。 原因：Walled Garden 中遺漏了一個或多個 OAuth 提供商的子網域。Google 與 Meta 在其驗證流程中使用了多個子網域。解決方法：從未驗證的裝置上擷取瀏覽器主控台（Console）輸出，以識別哪個網域被封鎖。將遺漏的網域新增至 Walled Garden。請參閱 Purple 的 Walled Garden 網域白名單文件以取得最新列表。

投資報酬率（ROI）與業務影響

將 Purple 與 EnGenius Cloud 協同部署，能將無線基礎設施從成本中心轉變為數據資產。場地營運商可透過訪客自願同意的選擇，收集完全合規的第一方人口統計數據，進而實現精準的行銷活動與可衡量的參與度。對於 IT 團隊而言，轉向 802.1X 與 MyPSK 消除了管理共用密碼的營運開銷，減少了與存取問題相關的支援工單，並提供了網路使用狀況的精細可視性。

對於旅宿業營運商而言，Premier Inn（Purple 的知名客戶）利用顧客 WiFi 數據來提高忠誠度計劃的參與度，並個性化發送訪問後的溝通訊息。對於零售環境，結合來自 Purple 的 WiFi Analytics 平台的客流量分析與停留時間數據，可提供商品陳列洞察，獨立於安全效益之外，證明了基礎設施投資的合理性。

在多租戶環境中，MyPSK 消除了解決每個租戶需要獨立實體網路基礎設施的需求。單台 EnGenius ECW 基地台即可在單一 SSID 上為 500 個隔離的租戶提供服務，從而降低硬體成本並簡化日常管理。當租戶搬離時，其 PSK 會在幾秒鐘內被刪除，無需更改密碼，也不會對其他住戶造成影響。

Purple 的平台與硬體無關，這意味著相同的 Purple 設定、分析和數據擷取層可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上運行。如果您的資產中混合了 EnGenius 和其他廠商，Purple 可為所有設備提供單一管理介面來進行顧客 WiFi 管理。如需相關部署指南，請參閱我們的 DrayTek Vigor 整合指南。

Definiciones clave

Captive Portal

Una página web que intercepta la primera solicitud HTTP de un usuario después de conectarse a una red WiFi y le requiere autenticarse o aceptar los términos antes de otorgarle acceso a internet.

El mecanismo principal para la incorporación de invitados, la captura de datos y la gestión de consentimiento en cumplimiento con el GDPR en implementaciones de Purple. EnGenius Cloud es compatible con páginas de Captive Portal tanto internas como externas.

Walled Garden

La lista blanca explícita de dominios y direcciones IP con los que un dispositivo cliente puede comunicarse antes de autenticarse con éxito a través del Captive Portal.

Requerido para permitir que los dispositivos accedan a los servidores del portal de Purple, a los puntos de conexión de prueba del sistema operativo y a proveedores de identidad de terceros como Google o Microsoft Entra ID antes de que se complete la autenticación.

EnGenius MyPSK

Una función que permite a los administradores de red crear múltiples claves precompartidas (Pre-Shared Keys) únicas en un solo SSID, cada una vinculada a una VLAN específica para el aislamiento de la red.

Se utiliza en entornos multi-inquilino para proporcionar segmentos de red seguros y aislados sin necesidad de transmitir múltiples SSIDs. Soporta hasta 500 claves únicas por SSID con fechas de vencimiento opcionales.

Asignación dinámica de VLAN

El proceso mediante el cual un servidor RADIUS indica a un punto de acceso que coloque un dispositivo autenticado en una VLAN específica según su membresía de grupo de directorio, utilizando el atributo Tunnel-Private-Group-ID.

Permite que un solo SSID 802.1X segmente de forma segura y automática el tráfico para diferentes roles de personal, sin necesidad de configurar manualmente la VLAN por dispositivo.

IEEE 802.1X

Un estándar IEEE para el Control de Acceso a Redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN, utilizando EAP para transmitir las credenciales a un servidor RADIUS.

La base de la seguridad WiFi empresarial para redes de personal, que reemplaza las vulnerables contraseñas compartidas con una validación de credenciales o certificados individualizada.

RADIUS

Servicio de usuario de marcado de autenticación remota (Remote Authentication Dial-In User Service); un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad para el acceso a la red.

El protocolo utilizado por los puntos de acceso de EnGenius para comunicarse con los servidores de autenticación de Purple. La autenticación utiliza el puerto UDP 1812; la contabilidad utiliza el puerto UDP 1813.

PEAP-MSCHAPv2

Protocolo de autenticación extensible protegido con el protocolo de autenticación por desafío mutuo de Microsoft versión 2; un método 802.1X que crea un túnel TLS utilizando un certificado del lado del servidor, dentro del cual se intercambian las credenciales de usuario y contraseña.

El método de implementación 802.1X más común para entornos que utilizan Active Directory o Microsoft Entra ID. Requiere una validación estricta del certificado del servidor en los clientes para evitar el robo de credenciales.

EAP-TLS

Protocolo de autenticación extensible - Seguridad de la capa de transporte; un método de autenticación 802.1X que requiere certificados digitales tanto en el servidor RADIUS como en cada dispositivo cliente, eliminando las contraseñas por completo.

El método 802.1X más seguro, recomendado para entornos de alta seguridad. Requiere una infraestructura de clave pública (PKI) y una solución de gestión de dispositivos móviles (MDM) para implementar certificados de cliente.

Identificador NAS

Identificador del Servidor de Acceso a la Red (Network Access Server Identifier); un atributo de cadena de texto incluido en las solicitudes RADIUS para identificar el punto de acceso o controlador que origina la solicitud de autenticación.

Configurado en EnGenius Cloud para que coincida con el identificador del establecimiento en la plataforma Purple, garantizando que los análisis y los datos de sesión se atribuyan a la ubicación correcta.

PMK

Clave maestra por pares (Pairwise Master Key); la clave criptográfica derivada de una PSK y del nombre del SSID, que se utiliza para cifrar la sesión inalámbrica entre un cliente específico y un punto de acceso.

In las implementaciones de MyPSK, cada PSK única genera una PMK distinta, lo que evita que un inquilino descifre el tráfico de otro, incluso en el mismo SSID.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita proporcionar acceso WiFi continuo a los huéspedes, acceso seguro al personal del hotel y redes aisladas para tres concesiones comerciales en el lobby, todo utilizando los mismos EnGenius ECW access points y switches ECS.

Implemente tres SSIDs en el mismo hardware. SSID 1 (VenueGuest): seguridad abierta con RADIUS personalizado apuntando al endpoint RADIUS de Purple. URL de página de bienvenida externa configurada hacia el portal de Purple. Walled Garden configurado con sondas de SO, dominios CDN de Purple y endpoints de Google OAuth. VLAN 10 asignada estáticamente. SSID 2 (VenueStaff): WPA2 Enterprise con RADIUS personalizado. Sin Captive Portal. El servidor RADIUS devuelve el Tunnel-Private-Group-ID 20 para todo el personal, con subgrupos (finanzas, operaciones, mantenimiento) mapeados a las VLANs 21, 22 y 23 respectivamente. SSID 3 (VenueRetail): WPA2 PSK con MyPSK habilitado. Se crean tres PSKs únicos, cada uno vinculado a las VLANs 31, 32 y 33. Fechas de expiración establecidas para coincidir con el plazo de arrendamiento de cada concesión. El puerto de enlace ascendente del switch ECS está configurado como un trunk que transporta las VLANs 10, 20-23 y 31-33.

Comentario del examinador: Este enfoque minimiza la sobrecarga de SSID a sólo tres transmisiones, reduciendo la interferencia de canales compartidos, al tiempo que aplica un estricto aislamiento de Capa 2 entre invitados, personal y arrendatarios externos. La asignación dinámica de VLAN para el personal elimina la reconfiguración manual cuando el personal cambia de función. Las fechas de vencimiento de MyPSK automatizan la revocación del acceso para las concesiones comerciales sin requerir la intervención de TI.

Un campus universitario que implementa EnGenius Cloud reporta que los estudiantes que intentan iniciar sesión en el portal de invitados de Purple utilizando sus cuentas de Google Workspace reciben un error del navegador después de hacer clic en el botón de inicio de sesión de Google. La página del portal en sí se carga correctamente.

La carga de la página del portal confirma que los dominios CDN de Purple están correctamente en la lista de permitidos. El fallo en el paso de inicio de sesión de Google indica que uno o más dominios de Google OAuth faltan en el Walled Garden. Vaya a EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden y agregue: accounts.google.com, oauth2.googleapis.com, apis.google.com y *.gstatic.com. El comodín gstatic.com es necesario porque Google sirve sus bibliotecas JavaScript del lado del cliente desde este CDN. Después de actualizar el Walled Garden, realice una prueba con un dispositivo no autenticado y capture la salida de la consola del navegador para confirmar que no haya más dominios bloqueados.

Comentario del examinador: Los fallos de OAuth en el paso del proveedor (en lugar de en el paso de carga del portal) son causados casi universalmente por configuraciones incompletas del Walled Garden. El Captive Portal intercepta la llamada HTTPS al proveedor de identidad a menos que el dominio se omita explícitamente. El uso de entradas con comodines (*.gstatic.com) es el enfoque más práctico para los proveedores que utilizan múltiples subdominios CDN, siempre que su versión de EnGenius Cloud sea compatible con entradas de Walled Garden con comodines.

Preguntas de práctica

Q1. Implementas un Captive Portal de Purple en puntos de acceso EnGenius ECW. Los usuarios invitados de Android reportan que sus dispositivos muestran 'Conectado, sin internet' y el portal nunca aparece. Los invitados de iOS en el mismo SSID ven el portal correctamente. ¿Cuál es el error de configuración más probable y cómo lo solucionas?

Sugerencia: Android e iOS utilizan diferentes endpoints de prueba para el Captive Portal.

Ver respuesta modelo

Android utiliza connectivitycheck.gstatic.com como su endpoint de prueba de Captive Portal. iOS utiliza captive.apple.com. Si los invitados de iOS ven el portal pero los de Android no, connectivitycheck.gstatic.com hace falta en el Walled Garden. Agrégalo en EnGenius Cloud bajo Captive Portal > Advanced Settings > Walled Garden. Agrega también connectivitycheck.android.com y www.google.com , ya que Android utiliza múltiples URL de prueba según la versión del dispositivo.

Q2. Un establecimiento configura 802.1X en un SSID de EnGenius. Los dispositivos del personal se autentican correctamente (los registros del servidor RADIUS muestran Access-Accept), pero los dispositivos reciben una dirección APIPA 169.x.x.x en lugar de una IP corporativa. ¿Cuál es la causa más probable?

Sugerencia: El servidor RADIUS está aceptando la autenticación, por lo que el problema está ocurriendo después de la autenticación.

Ver respuesta modelo

El servidor RADIUS está devolviendo un atributo Tunnel-Private-Group-ID que especifica un ID de VLAN. El punto de acceso EnGenius intenta etiquetar el tráfico del cliente con esa VLAN, pero el puerto de enlace ascendente (uplink) en el switch ECS no está configurado como un puerto troncal (trunk) que transporte esa VLAN. El dispositivo se coloca en una VLAN que no tiene un servidor DHCP accesible. Solución: configura el puerto de enlace ascendente del switch ECS como trunk, permitiendo explícitamente el ID de VLAN devuelto por el servidor RADIUS.

Q3. El administrador de una propiedad de renta residencial te pregunta por qué recomiendas EnGenius MyPSK en lugar de crear un SSID independiente para cada una de las 80 unidades residenciales. Proporciona una justificación técnica.

Sugerencia: Considera el impacto de los beacons de SSID en el rendimiento de la red WiFi.

Ver respuesta modelo

Cada SSID transmite tramas de beacon a intervalos regulares (generalmente cada 100 ms). En un entorno denso, 80 SSIDs generarían una sobrecarga constante de beacons que consumiría un tiempo de aire significativo, reduciendo la capacidad disponible para el tráfico de datos real y degradando el rendimiento para todos los usuarios. La mayoría de los puntos de acceso empresariales también imponen un límite práctico de 8 a 16 SSIDs por radio. MyPSK ofrece el mismo aislamiento (cada residente en una VLAN única con una clave de cifrado única) utilizando un único SSID, eliminando por completo la sobrecarga de beacons. La PMK por usuario también evita que los residentes descifren el tráfico de los demás, algo que un solo PSK compartido no puede lograr.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.