Saltar al contenido principal
Español (México)

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

📖 5 min de lectura📝 1,177 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenidos al Informe Técnico de Purple. Soy su anfitrión, y hoy cubriremos un patrón de implementación que surge en casi todos los proyectos de WiFi empresarial a gran escala que vemos: la integración de CommScope Ruckus con la plataforma en la nube de Purple. Ya sea que administre un grupo hotelero, un complejo comercial, un estadio o un centro de convenciones, este episodio le brindará el manual de configuración que necesita. Primero, preparemos el escenario. Ruckus, ahora bajo CommScope, es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone en particular es el controlador de elección para entornos de alta densidad. Hoteles como Premier Inn, grandes cadenas de tiendas de autoservicio, estadios y centros de convenciones operan con infraestructura Ruckus. Cuando implementa Guest WiFi a esa escala, necesita más que un SSID abierto. Necesita autenticación estructurada, captura de datos que cumpla con el GDPR y la capacidad de integrar esos datos de los huéspedes en su pila de marketing. Ahí es exactamente donde entra Purple. Purple opera en más de 80,000 establecimientos activos, ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. La integración con Ruckus es uno de nuestros patrones de implementación más maduros. Ahora bien, Ruckus tiene tres plataformas de controladores distintas que debe comprender antes de tocar una pantalla de configuración. SmartZone, disponible como un dispositivo físico SZ300 o virtual vSZ, es el controlador empresarial para grandes implementaciones multisitio. Administra miles de puntos de acceso en múltiples zonas, le brinda un control profundo de políticas y admite la gama completa de métodos de autenticación que cubriremos hoy. ZoneDirector es el controlador local heredado (on-premises), todavía ampliamente implementado, particularmente en el sector hotelero, y admite el mismo flujo de Captive Portal basado en WISPr, aunque con una ruta de configuración ligeramente diferente. Y Unleashed es el modelo sin controlador (controller-less), donde un AP actúa como maestro para hasta 128 puntos de acceso adicionales. Es ideal para implementaciones más pequeñas en un solo sitio: hoteles independientes, sucursales minoristas u oficinas de PyMEs. Muy bien. Entremos en los detalles técnicos. Cubriré tres casos de uso distintos: Guest WiFi con redirección a Captive Portal, WiFi seguro para el personal mediante 802.1X y aislamiento de red multi-inquilino utilizando Dynamic PSK de Ruckus. Comencemos con Guest WiFi. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr (Wireless Internet Service Provider roaming) es un estándar de la industria que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El huésped se conecta a su SSID. Su dispositivo envía una solicitud HTTP. SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo; en este caso, el Captive Portal de Purple. El huésped se autentica (a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado) y luego el portal se comunica de regreso con el controlador a través de la Northbound Interface, o NBI, para otorgar el acceso. En SmartZone, la configuración consta de cuatro componentes principales. Primero, el perfil del servidor de autenticación RADIUS. Vaya a Servicios y Perfiles (Services and Profiles), luego a Autenticación (Authentication). Cree un nuevo perfil de servidor AAA. Establezca el Protocolo de Servicio (Service Protocol) en RADIUS. La IP de su servidor principal y el secreto compartido se proporcionan en la consola de administración de Purple. Puerto 1812 para autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia. Luego, cree el servidor de contabilidad (accounting) en Servicios y Perfiles, Contabilidad (Accounting): puerto 1813, mismo secreto compartido. Segundo, el perfil Hotspot WISPr. Vaya a Servicios y Perfiles, Hotspots y Portales, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la URL de inicio de sesión (Login URL) en Externa (External) e ingrese la URL de redirección de su portal. Configure la Página de inicio (Start Page) para redirigir a su URL posterior a la autenticación, que suele ser una página de éxito o la página de inicio de su establecimiento. Ahora, el Walled Garden. Aquí es donde los ingenieros suelen cometer más errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde donde se cargue su portal y los endpoints estándar de detección de Captive Portal del sistema operativo. En SmartZone, los comodines son compatibles utilizando el formato de asterisco-punto (por ejemplo, asterisco-punto-purple-punto-ai cubre todos los subdominios). También necesita el dominio de detección de Captive Portal de Apple (captive.apple.com) y los endpoints de verificación de conectividad de Google para evitar que el mini-navegador CNA se comporte de manera incorrecta en dispositivos iOS y Android. Un paso crítico que es fácil pasar por alto. De forma predeterminada, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redirección. Purple necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe deshabilitar esto a través de la CLI. Acceda por SSH a su SmartZone, ingrese al modo de configuración y ejecute: `no encrypt-mac-ip`. Es un solo comando, pero es un bloqueo total si lo omite. La Northbound Interface es la otra pieza esencial. Esta es la API que permite a Purple comunicarse de regreso con SmartZone para otorgar o denegar el acceso después de la autenticación. Habilítela en Administración (Administration), Servicios Externos (External Services), WISPr Northbound Interface. Establezca un nombre de usuario y contraseña, y proporcione esas credenciales a Purple. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS; asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de Purple a estos puertos. Finalmente, cree su WLAN. Establezca el Tipo de Autenticación (Authentication Type) en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de autenticación y contabilidad RADIUS. Establezca el NAS ID en Definido por el usuario (User-defined) si Purple requiere un valor específico, configure Called Station ID como AP MAC y habilite Single Session ID. Para Unleashed, la arquitectura es fundamentalmente diferente: es un modelo distribuido y sin controlador. La configuración se encuentra en Admin y Servicios (Admin and Services), Servicios (Services), Servicios de Hotspot (Hotspot Services). Los pasos son bastante similares: cree un servicio de Hotspot, configure la URL de su portal externo, configure su servidor de autenticación AAA, agregue sus entradas de Walled Garden, pero hay dos diferencias clave. No hay un requisito de Northbound Interface en Unleashed. Y el cifrado de direcciones MAC no se aplica de forma predeterminada, por lo que no necesita el comando de la CLI. El Walled Garden de Unleashed también acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodines. Ahora pasemos al WiFi seguro para el personal mediante 802.1X. Este es un modelo de autenticación completamente diferente. En lugar de un Captive Portal, los dispositivos del personal se autentican directamente utilizando el Protocolo de Autenticación Extensible (EAP). El método más común en entornos empresariales es PEAP-MSCHAPv2, donde el usuario ingresa sus credenciales de Active Directory, o EAP-TLS, donde el dispositivo presenta un certificado. El complemento SecurePass de Purple se integra con Microsoft Entra ID, Okta y Google Workspace para actuar como el backend de RADIUS para este flujo. En SmartZone, cree una nueva WLAN y establezca el Tipo de Autenticación en 802.1X EAP. En la configuración de AAA, apunte a su servidor RADIUS: el endpoint SecurePass de Purple. La diferencia clave con el flujo de invitados es que aquí también configura la asignación dinámica de VLAN. Cuando el servidor RADIUS de Purple devuelve un Access-Accept, incluye tres atributos estándar de la IETF: Tunnel-Type establecido en VLAN, valor 13; Tunnel-Medium-Type establecido en IEEE-802, valor 6; y Tunnel-Private-Group-ID que contiene la cadena del ID de VLAN (por ejemplo, 20 para la VLAN del personal). SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del miembro del personal con la VLAN correcta, independientemente del AP al que esté conectado. Esto es el direccionamiento dinámico de VLAN, y es lo que permite que un solo SSID sirva a múltiples roles de usuario con diferentes políticas de acceso a la red. Habilite AAA Override en la configuración avanzada de la WLAN para asegurarse de que SmartZone procese los atributos de VLAN devueltos por RADIUS. Sin esa casilla seleccionada, la asignación dinámica no funcionará incluso si el servidor RADIUS está enviando los atributos correctos. El tercer caso de uso es el aislamiento multi-inquilino mediante Dynamic PSK de Ruckus, o DPSK. Esta es una tecnología patentada de Ruckus que asigna una frase de contraseña WPA2 única a cada usuario o inquilino, todo en un solo SSID. A diferencia de una PSK compartida donde todos usan la misma contraseña, DPSK significa que el Inquilino A tiene una clave única de 62 caracteres, el Inquilino B tiene una diferente, y así sucesivamente. Cada clave está vinculada a una VLAN específica, por lo que el tráfico del Inquilino A llega a la VLAN 101 y el del Inquilino B a la VLAN 102: aislamiento completo, sin riesgo de contraseña compartida y revocación instantánea sin afectar a otros inquilinos. Esto es particularmente potente en espacios de co-working, edificios residenciales de alquiler (build-to-rent), residencias estudiantiles y parques comerciales multi-inquilino. Purple se integra con DPSK de Ruckus a través de la API de SmartZone para automatizar el aprovisionamiento de claves: cuando se incorpora un nuevo inquilino en Purple, se genera un DPSK, se vincula a la VLAN correcta y se entrega al inquilino automáticamente. Para configurar DPSK en SmartZone: vaya a WLANs, agregue una nueva WLAN y, en Seguridad (Security), establezca el método en Dynamic PSK. Configure la longitud de DPSK en 62 caracteres para obtener la máxima entropía. En VLAN, habilite la asignación de VLAN por DPSK (Per-DPSK VLAN assignment). Luego, use la API de SmartZone o la interfaz de administración de DPSK para crear claves individuales por inquilino, cada una asignada a su propio ID de VLAN. En Unleashed, la misma función está disponible en Redes WiFi (WiFi Networks), Opciones Avanzadas (Advanced Options), Dynamic PSK. DPSK3 es la variante WPA3, que ofrece un cifrado más sólido basado en SAE. Si su flota de puntos de acceso admite WPA3 (lo cual hacen todos los AP actuales de la serie R de Ruckus), DPSK3 es la opción preferida para nuevas implementaciones. Permítanme guiarlos a través de dos escenarios de implementación del mundo real que ilustran cómo se unen estos tres casos de uso. Primer escenario: un hotel de 250 habitaciones. La propiedad opera Ruckus SmartZone con puntos de acceso R750 en todas sus instalaciones. Necesitan tres tipos de red: Guest WiFi para los huéspedes del hotel, WiFi seguro para el personal de atención al público (front-of-house) y de soporte (back-of-house), y una red IoT para controles inteligentes de habitaciones y CCTV. La WLAN de invitados utiliza el flujo de Captive Portal WISPr con Purple. Los huéspedes se conectan, son redirigidos a un portal personalizado con la marca de Purple, se autentican mediante correo electrónico o inicio de sesión social y acceden a la VLAN 10. El portal captura datos de primera mano (correo electrónico, consentimiento de marketing, preferencias de estadía), que se envían directamente al CRM del hotel. El panel de analíticas de Purple muestra al hotel qué pisos tienen las tasas de conexión más altas, las horas de mayor uso y las tasas de visitantes recurrentes. Premier Inn implementó este modelo en todas sus propiedades del Reino Unido y observó mejoras medibles en las puntuaciones de satisfacción de los huéspedes directamente vinculadas a la experiencia de WiFi. La WLAN del personal utiliza 802.1X con SecurePass de Purple. El personal se autentica con sus credenciales de Active Directory a través de PEAP-MSCHAPv2. El personal de recepción accede a la VLAN 20 con acceso al sistema de gestión de la propiedad (PMS). El personal de soporte accede a la VLAN 21 con acceso únicamente a los sistemas de Recursos Humanos y programación. La asignación de VLAN se basa completamente en los atributos RADIUS que devuelve Purple, sin necesidad de configuración manual de puertos. Cuando un miembro del personal se va, su cuenta se deshabilita en Microsoft Entra ID y el acceso se revoca instantáneamente en todas las propiedades. La WLAN de IoT utiliza una PSK estática, aislada en la VLAN 30, con client isolation habilitado. Los termostatos inteligentes, las cerraduras de las puertas y las cámaras de CCTV se ubican aquí, completamente separados del tráfico de huéspedes y del personal. Segundo escenario: un espacio de co-working con 15 empresas inquilinas. Aquí es donde DPSK realmente demuestra su valor. El operador ejecuta Ruckus Unleashed en tres pisos. Cada empresa inquilina obtiene un DPSK único vinculado a su propia VLAN. Los 20 miembros del personal del Inquilino A utilizan la misma frase de contraseña DPSK-A, pero esa frase de contraseña es exclusiva del Inquilino A y se asigna únicamente a la VLAN 101. El Inquilino B utiliza DPSK-B, que se asigna a la VLAN 102. Los inquilinos están completamente aislados entre sí en la capa de red. Cuando un inquilino se va, el operador revoca su DPSK en SmartZone, o a través de la interfaz de administración de Purple, y eso es todo. Ningún otro inquilino se ve afectado, no se requieren cambios de SSID ni restablecimientos de contraseñas en todo el edificio. La capa de gestión multi-inquilino de Purple se ubica por encima de esto, lo que le brinda al operador del co-working un único panel para administrar la incorporación, la revocación de accesos y las analíticas de uso de los 15 inquilinos. Ahora permítanme cubrir los modos de falla más comunes y cómo evitarlos. Número uno: mala configuración del Walled Garden. Si la página de su portal no se carga después de la redirección, lo primero que debe verificar es si todos los dominios a los que hace referencia la página de su portal están en el Walled Garden. Las páginas de portal modernas cargan recursos desde múltiples dominios de CDN, scripts de analíticas y SDKs de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Utilice las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes están siendo bloqueadas. Purple proporciona una lista documentada de Walled Garden para SmartZone y Unleashed; utilícela como base y agregue cualquier dominio específico de su establecimiento. Número dos: el problema de conectividad de la NBI. Si los huéspedes pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que SmartZone no puede recibir el callback de la NBI desde Purple. Verifique que los puertos 9080 y 9443 estén abiertos para conexiones entrantes a la IP de administración de SmartZone desde el rango de IP de Purple. También verifique que las credenciales de la NBI que ha configurado coincidan con las que Purple tiene registradas. Número tres: la falta del comando `no encrypt-mac-ip`. Este es el error imprevisto más común específico de SmartZone. Si Purple recibe solicitudes de redirección pero no puede asociar la sesión con una dirección MAC, casi con certeza esta es la causa. Es una solución de una sola línea en la CLI, pero es fácil de pasar por alto porque no aparece en la interfaz gráfica (GUI). Número cuatro: AAA Override no habilitado para VLAN dinámica. Si el personal se está autenticando correctamente en 802.1X pero todos acceden a la misma VLAN predeterminada en lugar de su VLAN específica por rol, verifique que AAA Override esté habilitado en la configuración avanzada de la WLAN. Este es el interruptor que le indica a SmartZone que respete los atributos de VLAN devueltos por el servidor RADIUS. Número cinco: la VLAN de DPSK no se propaga. Si los usuarios de DPSK se están autenticando pero no acceden a la VLAN correcta, verifique que la asignación de VLAN por DPSK (Per-DPSK VLAN assignment) esté habilitada en la configuración de la WLAN y que los puertos del switch conectados a sus AP estén configurados como puertos troncales (trunk) que transporten todas las VLAN de DPSK. Si el puerto del switch es un puerto de acceso, el etiquetado de VLAN se eliminará. Ahora, tres preguntas rápidas que me hacen en cada implementación de Ruckus y Purple. ¿Necesito una VLAN dedicada para Guest WiFi? Sí, siempre. Aísle el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma red. Habilite client isolation en la WLAN de invitados para evitar que los dispositivos de los invitados se comuniquen entre sí. ¿Puedo usar Purple con Ruckus One, la plataforma gestionada en la nube, en lugar de SmartZone? Sí. La ruta de configuración es diferente (se encuentra en Redes WiFi [WiFi Networks], configuración de Acceso de Invitados [Guest Access] en el portal de Ruckus One), pero los principios de configuración de Walled Garden y RADIUS son idénticos. ¿Admite Purple implementaciones multizona de SmartZone? Sí. La integración de Purple maneja entornos SmartZone multizona, y puede delimitar las configuraciones del portal a zonas individuales para diferentes establecimientos o pisos dentro de una sola instancia de SmartZone. Para resumir. La integración de Ruckus y Purple cubre tres casos de uso distintos, cada uno con su propio modelo de configuración. Guest WiFi utiliza el flujo de Captive Portal WISPr: cinco puntos clave de configuración: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un Walled Garden correctamente delimitado utilizando entradas con comodines, el comando de CLI `no encrypt-mac-ip` y la Northbound Interface habilitada con las credenciales correctas. El WiFi seguro para el personal utiliza 802.1X EAP con direccionamiento dinámico de VLAN a través de atributos RADIUS; el habilitador crítico es AAA Override en la configuración avanzada de la WLAN. El aislamiento multi-inquilino utiliza DPSK de Ruckus: claves únicas por inquilino, cada una vinculada a una VLAN dedicada, con revocación instantánea y cero riesgo de contraseña compartida. Domine estos tres patrones y tendrá una arquitectura de red que escala desde un hotel independiente de 50 habitaciones en Unleashed hasta un estadio de 5,000 asientos en SmartZone, con la misma plataforma Purple supervisándolo todo para proporcionar analíticas unificadas, captura de datos que cumple con el GDPR y gestión de acceso centralizada. Si está planeando una implementación de Ruckus con Purple, el equipo técnico de incorporación puede guiarlo a través de una lista de verificación previa al lanzamiento y validar su configuración antes de la puesta en marcha. La plataforma Purple también proporciona analíticas en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión, lo que le brinda la visibilidad para detectar problemas antes de que lo hagan sus invitados. Gracias por escuchar. Hasta la próxima.

header_image.png

Resumen ejecutivo

La implementación de una red inalámbrica de alto rendimiento en establecimientos empresariales requiere un delicado equilibrio entre una experiencia de usuario fluida y una seguridad técnica sólida. Para las organizaciones que operan arquitecturas de CommScope Ruckus (que van desde estadios de alta densidad y centros de convenciones hasta extensos complejos comerciales y grupos hoteleros), la red sirve como la puerta de enlace principal para la interacción digital. Esta guía proporciona un manual técnico definitivo para integrar los controladores Ruckus SmartZone, ZoneDirector y Unleashed con la plataforma en la nube de Purple. Detallamos los pasos de configuración exactos necesarios para implementar Guest WiFi mediante la redirección a Captive Portals basados en WISPr, redes seguras para el personal a través de direccionamiento dinámico de VLAN 802.1X y aislamiento de red multi-inquilino utilizando Dynamic Pre-Shared Keys (DPSK) de Ruckus. Al seguir estas mejores prácticas independientes del proveedor, los equipos de TI pueden automatizar la segmentación de la red, garantizar el cumplimiento de estándares como PCI DSS y capturar datos de primera mano de forma segura.

Análisis técnico profundo

La integración entre el hardware de CommScope Ruckus y Purple se basa en protocolos de autenticación estándar de la industria y comunicaciones seguras por API. La arquitectura admite tres modelos de implementación distintos, cada uno de los cuales atiende a un grupo de usuarios específico dentro del establecimiento.

Arquitectura de Guest WiFi (WISPr)

Para redes de acceso público en comercios minoristas y hotelería, Ruckus utiliza el protocolo Wireless Internet Service Provider roaming (WISPr). Cuando un invitado se conecta a un SSID abierto, el controlador Ruckus intercepta su solicitud HTTP inicial y emite una redirección HTTP 302 al Captive Portal externo de Purple. El invitado se autentica a través de un mecanismo de aceptación consciente (opt-in), como el correo electrónico o un proveedor de identidad social. Tras una autenticación exitosa, Purple se comunica de regreso con el controlador Ruckus a través de la Northbound Interface (NBI) para autorizar la dirección MAC y otorgar acceso a internet.

architecture_overview.png

WiFi seguro para el personal (802.1X y VLAN dinámicas)

Los dispositivos del personal requieren un enfoque fundamentalmente diferente. En lugar de depender de Captive Portals, los entornos empresariales utilizan la autenticación 802.1X. Los dispositivos se autentican directamente contra la infraestructura RADIUS de Purple utilizando los protocolos EAP-TLS (basado en certificados) o PEAP-MSCHAPv2 (basado en credenciales).

El componente crítico aquí es el direccionamiento dinámico de VLAN. Cuando el servidor RADIUS de Purple devuelve un mensaje Access-Accept, incluye tres atributos estándar específicos de la IETF:

  • Tunnel-Type (Atributo 64): Establecido en VLAN (valor 13)
  • Tunnel-Medium-Type (Atributo 65): Establecido en IEEE-802 (valor 6)
  • Tunnel-Private-Group-ID (Atributo 81): Contiene la cadena del ID de VLAN (por ejemplo, "20" para el personal)

El controlador Ruckus SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del usuario, ubicándolo en el segmento de red aislado correcto, independientemente del punto de acceso físico al que se haya conectado.

Aislamiento multi-inquilino (DPSK de Ruckus)

Para entornos como espacios de co-working, residencias estudiantiles y unidades de viviendas múltiples (MDU), transmitir docenas de SSID genera una grave interferencia de canales. Dynamic Pre-Shared Key (DPSK) de Ruckus resuelve esto al asignar una frase de contraseña WPA2/WPA3 única a cada inquilino en un solo SSID compartido.

Cada DPSK está vinculado a una VLAN específica. Cuando un residente se conecta, el controlador utiliza su clave única para autenticar el dispositivo y ubicarlo en su VLAN privada. Purple automatiza este proceso a través de la integración de la API, generando y revocando claves a medida que los inquilinos se mudan o se retiran, lo que elimina los riesgos de seguridad asociados con las contraseñas compartidas tradicionales.

dpsk_configuration_guide.png

Guía de implementación

Esta sección describe los pasos de configuración específicos necesarios para integrar Purple con un controlador Ruckus SmartZone. Los pasos para Unleashed son bastante similares pero omiten el requisito de la Northbound Interface.

1. Configurar servidores RADIUS AAA

  1. Vaya a Services & Profiles > Authentication.
  2. Cree un nuevo perfil de servidor AAA con el Service Protocol establecido en RADIUS.
  3. Ingrese la IP del servidor principal y el secreto compartido proporcionados en su consola de administración de Purple.
  4. Establezca el puerto de autenticación en 1812.
  5. Repita este proceso en Services & Profiles > Accounting, estableciendo el puerto en 1813.

2. Configurar el perfil Hotspot WISPr

  1. Vaya a Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Cree un nuevo perfil y establezca la Login URL en External.
  3. Ingrese la URL de redirección del Captive Portal de Purple.
  4. Defina su Walled Garden. Esto es crítico. Debe permitir el acceso a los dominios de Purple antes de la autenticación. SmartZone admite comodines (por ejemplo, *.purple.ai). También debe incluir captive.apple.com para gestionar el comportamiento del Captive Network Assistant (CNA) de iOS.

3. Deshabilitar el cifrado de direcciones MAC (Paso crítico)

De forma predeterminada, SmartZone cifra las direcciones MAC e IP que se pasan en la URL de redirección. Purple requiere la dirección MAC sin procesar para la gestión de sesiones. Debe deshabilitar esto a través de la CLI:

enable
config
no encrypt-mac-ip
exit

4. Habilitar la Northbound Interface (NBI)

  1. Vaya a Administration > External Services > WISPr Northbound Interface.
  2. Habilite el servicio y configure un nombre de usuario y contraseña.
  3. Proporcione estas credenciales a Purple. Asegúrese de que su el firewall permita el tráfico TCP entrante en los puertos 9080 (HTTP) y 9443 (HTTPS) desde los rangos de IP de Purple.

5. Crear la WLAN

  1. Cree una nueva WLAN y configure el Tipo de autenticación como Hotspot (WISPr).
  2. Seleccione el perfil de Hotspot y los servidores AAA configurados anteriormente.
  3. Para redes de personal 802.1X, habilite AAA Override en la configuración avanzada para garantizar que se procesen los atributos dinámicos de VLAN.

Mejores prácticas

Para garantizar una implementación sólida y segura, siga estas recomendaciones estándar de la industria:

  • Aislar el tráfico de invitados: Coloque siempre el WiFi de invitados en una VLAN dedicada y habilite el aislamiento de clientes. Este es un requisito obligatorio para el cumplimiento de PCI DSS si su establecimiento procesa pagos en la misma infraestructura física.
  • Estandarizar los IDs de VLAN: Al implementar el direccionamiento dinámico de VLAN en múltiples establecimientos, asegúrese de que su esquema de numeración de VLAN sea idéntico a nivel global (por ejemplo, la VLAN 20 siempre es para el personal). Un direccionamiento inconsistente causará fallas de autenticación.
  • Implementar el respaldo de RADIUS: Configure una VLAN crítica o un mecanismo de respaldo en sus controladores. Si el servidor RADIUS principal no está disponible, los dispositivos deben redirigirse a una VLAN restringida solo para internet para mantener la conectividad básica.
  • Utilizar DPSK3 para nuevas implementaciones: Si su hardware Ruckus es compatible con WPA3, implemente DPSK3 en lugar del DPSK heredado para beneficiarse del cifrado basado en SAE.

Resolución de problemas y mitigación de riesgos

Al integrar Captive Portals externos y servicios RADIUS, los ingenieros suelen encontrarse con los siguientes modos de falla:

  • El portal no se carga: Esto casi siempre se debe a una configuración incorrecta de Walled Garden. Los portales modernos cargan recursos de múltiples CDN y proveedores de identidad. Utilice las herramientas de desarrollo del navegador para identificar las solicitudes bloqueadas y agregue los dominios requeridos a su SmartZone Walled Garden.
  • La autenticación es exitosa pero no hay acceso a internet: Esto indica una falla en la interfaz Northbound (NBI). SmartZone no está recibiendo la devolución de llamada de autorización de Purple. Verifique sus credenciales de NBI y revise los registros del firewall para ver si hay tráfico descartado en los puertos TCP 9080/9443.
  • Falla la asignación dinámica de VLAN: Si los usuarios de 802.1X se autentican correctamente pero terminan en la VLAN predeterminada, verifique que AAA Override esté habilitado en la configuración de la WLAN. Sin esto, SmartZone ignora el atributo Tunnel-Private-Group-ID devuelto por Purple.

ROI e impacto comercial

La integración de la infraestructura de Ruckus con Purple transforma una red inalámbrica estándar en un activo comercial medible.

Para los sectores de retail y hospitalidad, el Captive Portal recopila datos de origen (first-party data) verificados, lo que impulsa el crecimiento de los programas de lealtad y permite campañas de marketing dirigidas. Una importante cadena hotelera del Reino Unido reportó un aumento del 40% en las puntuaciones de satisfacción de los huéspedes tras la implementación de Ruckus y Purple.

Para las operaciones de TI, el direccionamiento dinámico de VLAN y la automatización de DPSK reducen drásticamente la carga de trabajo de configuración manual. En lugar de administrar puertos de switch estáticos o restablecer contraseñas compartidas cuando un inquilino se va, el control de acceso se centraliza y automatiza, lo que mitiga los riesgos de seguridad y reduce los tickets de soporte.

Definiciones clave

WISPr

Wireless Internet Service Provider roaming (itinerancia de proveedores de servicios de internet inalámbrico). Un protocolo estándar de la industria utilizado por controladores inalámbricos para interceptar el tráfico HTTP y redirigir a los usuarios a un Captive Portal externo.

Esta es la arquitectura fundamental para todas las implementaciones públicas de Guest WiFi en hardware Ruckus.

Northbound Interface (NBI)

Una API en el controlador Ruckus SmartZone que permite a plataformas externas enviar comandos de autorización.

Requerido para que Purple otorgue acceso a internet a un usuario después de que complete con éxito el inicio de sesión en el Captive Portal.

Walled Garden

Una lista blanca de dominios y direcciones IP a las que un dispositivo tiene permitido acceder antes de autenticarse en la red.

Esencial para permitir que la página del Captive Portal, sus imágenes asociadas y los proveedores de inicio de sesión social se carguen para los huéspedes no autenticados.

Dynamic PSK (DPSK)

Una tecnología patentada de Ruckus que asigna una frase de contraseña WPA2/WPA3 única a usuarios o grupos individuales en un solo SSID compartido.

Se utiliza ampliamente en entornos multi-inquilino (MDU, espacios de co-working) para proporcionar un aislamiento de red seguro sin saturación de SSID.

Dynamic VLAN Steering

El proceso de asignar automáticamente un dispositivo a un segmento de red específico (VLAN) según los atributos RADIUS devueltos durante la autenticación 802.1X.

Permite a los equipos de TI utilizar un único SSID 'Staff' mientras separan de forma segura el tráfico de Recursos Humanos, Finanzas y Recepción en la capa de red.

AAA Override

Un ajuste de configuración en los controladores inalámbricos que obliga al punto de acceso a aplicar las políticas (como los ID de VLAN) devueltas por el servidor RADIUS.

Debe estar habilitado en las WLAN de Ruckus para que el direccionamiento dinámico de VLAN funcione correctamente.

Client Isolation

Una función de seguridad que evita que los dispositivos conectados a la misma red inalámbrica se comuniquen directamente entre sí.

Un control de seguridad obligatorio para redes públicas de Guest WiFi para evitar ataques entre pares (peer-to-peer) y garantizar el cumplimiento.

Captive Network Assistant (CNA)

El mini-navegador integrado en los sistemas operativos móviles (como iOS y Android) que aparece automáticamente cuando se detecta un Captive Portal.

Los ingenieros deben gestionar el comportamiento del CNA a través del Walled Garden para garantizar una experiencia de inicio de sesión fluida para los usuarios móviles.

Ejemplos resueltos

Un hotel de 250 habitaciones necesita implementar tres redes distintas en su infraestructura Ruckus SmartZone: una red pública para huéspedes, una red segura para el personal con acceso al sistema de gestión de la propiedad (PMS) y una red IoT aislada para termostatos inteligentes.

El equipo de TI configura tres WLAN. La WLAN 'Guest-WiFi' utiliza autenticación Hotspot (WISPr) que redirige al Captive Portal de Purple, ubicando a los usuarios en la VLAN 10 con la función de client isolation habilitada. La WLAN 'Staff-Secure' utiliza autenticación 802.1X EAP contra Purple SecurePass; el servidor RADIUS devuelve Tunnel-Private-Group-ID = 20, dirigiendo dinámicamente al personal a la VLAN interna. La WLAN 'IoT-Devices' utiliza una clave WPA2 PSK estática vinculada a la VLAN 30, restringida mediante reglas de firewall para comunicarse únicamente con el servidor de control de los termostatos.

Comentario del examinador: Esta arquitectura aplica correctamente el principio de privilegio mínimo. Al aprovechar el direccionamiento dinámico de VLAN para el personal, el hotel evita la transmisión de múltiples SSID específicos por departamento, lo que reduce la utilización de canales y mantiene la segmentación estricta de la red requerida para el cumplimiento de PCI DSS.

El operador de un espacio de co-working administra un edificio con 15 empresas inquilinas diferentes. Necesitan proporcionar acceso inalámbrico seguro y aislado para cada empresa sin transmitir 15 SSID independientes.

El operador implementa Ruckus Unleashed y configura una única WLAN 'Tenant-WiFi' utilizando seguridad Dynamic PSK (DPSK). Dentro del controlador, habilitan la asignación de VLAN por DPSK. A cada una de las 15 empresas inquilinas se le asigna una frase de contraseña única de 62 caracteres. Cuando los empleados del Inquilino A se conectan con su clave específica, el controlador asigna automáticamente su tráfico a la VLAN 101. Los empleados del Inquilino B utilizan una clave diferente y acceden a la VLAN 102.

Comentario del examinador: Este es el caso de uso óptimo para DPSK de Ruckus. Proporciona aislamiento de nivel empresarial en la capa de red mientras mantiene limpio el entorno de radiofrecuencia (RF) al transmitir un solo SSID. También elimina el riesgo de seguridad de una contraseña compartida, ya que revocar el acceso del Inquilino A solo requiere eliminar una única clave sin afectar a las otras 14 empresas.

Preguntas de práctica

Q1. Ha configurado una red Guest WiFi en un controlador Ruckus SmartZone integrado con Purple. Al conectar un dispositivo de prueba, aparece la página del Captive Portal de Purple, pero falta la imagen del logotipo y el botón 'Iniciar sesión con Facebook' no funciona. ¿Cuál es la causa más probable?

Sugerencia: Considere qué acceso a la red tiene el dispositivo antes de autenticarse correctamente.

Ver respuesta modelo

El Walled Garden está mal configurado. Los dominios que alojan la imagen del logotipo (por ejemplo, una CDN) y los servidores de autenticación de Facebook no se han agregado a la lista blanca del Walled Garden, por lo que el controlador SmartZone está bloqueando esas solicitudes antes de la autenticación.

Q2. Un ingeniero de redes está implementando 802.1X para el acceso del personal. El servidor RADIUS de Purple devuelve correctamente el atributo `Tunnel-Private-Group-ID` para la VLAN 20. Sin embargo, cuando el personal se conecta, se les ubica en la VLAN predeterminada asignada a la WLAN. ¿Cómo se resuelve esto?

Sugerencia: El controlador está recibiendo las instrucciones de RADIUS pero decide ignorarlas.

Ver respuesta modelo

Debe habilitar 'AAA Override' en la configuración avanzada de la WLAN en el controlador SmartZone. Sin esta configuración habilitada, el controlador no aplicará los atributos dinámicos de VLAN devueltos por el servidor RADIUS.

Q3. Un espacio de co-working desea proporcionar WiFi seguro para 10 empresas diferentes. Actualmente transmiten 10 SSID independientes, lo que está causando una grave interferencia de canales. No pueden utilizar 802.1X porque muchos dispositivos son impresoras compartidas o televisiones inteligentes. ¿Cuál es la arquitectura de Ruckus recomendada?

Sugerencia: Busque una solución que proporcione claves de cifrado únicas sin requerir certificados o credenciales empresariales.

Ver respuesta modelo

Implemente Dynamic PSK (DPSK) de Ruckus en un solo SSID. Emita un DPSK único para cada empresa inquilina y configure el controlador para vincular cada DPSK a una VLAN específica. Esto elimina la saturación de SSID, proporciona aislamiento de red y admite dispositivos sin interfaz de usuario (headless) como impresoras.

Continúe leyendo esta serie

Allied Telesis Access Points Integration with Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para implementaciones multiinquilino seguras.

Leer la guía →

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando orientación práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a escala.

Leer la guía →

Integración de firmware personalizado OpenWrt con Purple WiFi

Esta guía proporciona el manual de integración completo para implementar el firmware personalizado OpenWrt con Purple WiFi. Cubre la configuración del Captive Portal CoovaChilli, la gestión de walled garden con iptables, WiFi seguro para el personal con 802.1X mediante hostapd y la segmentación PPSK multiinquilino con asignación dinámica de VLAN, lo que brinda a los equipos de TI los pasos de configuración exactos necesarios para crear una red basada en la identidad en cualquier hardware compatible con OpenWrt.

Leer la guía →