Ruckus Unleashed y WiFi de invitados: configuración de captive portal con Purple

Bienvenido al Technical Briefing de Purple. Soy su anfitrión y hoy abordaremos un patrón de implementación que surge en casi todos los proyectos de WiFi empresarial a gran escala que vemos: la integración de CommScope Ruckus con la plataforma en la nube de Purple. Ya sea que opere un grupo hotelero, un desarrollo de retail, un estadio o un centro de convenciones, este episodio le brindará la guía de configuración que necesita. Primero, preparemos el escenario. Ruckus - ahora bajo CommScope - es una de las plataformas de WiFi empresarial dominantes a nivel mundial. SmartZone, en particular, es el controlador de elección para entornos de alta densidad. Hoteles como Premier Inn, grandes cadenas de retail, estadios y centros de convenciones operan con infraestructura Ruckus. Cuando se implementa WiFi para invitados a esa escala, se necesita más que un SSID abierto. Se requiere una autenticación estructurada, captura de datos que cumpla con GDPR y la capacidad de enviar esos datos de invitados a su pila de marketing. Ahí es exactamente donde entra Purple. Purple opera en más de 80,000 sedes activas, ha procesado 440 millones de inicios de sesión solo en 2024 y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. La integración con Ruckus es uno de nuestros patrones de implementación más maduros. Ahora, Ruckus tiene tres plataformas de controlador distintas que debe comprender antes de tocar una pantalla de configuración. SmartZone - disponible como un dispositivo físico SZ300 o como un vSZ virtual - es el controlador empresarial para implementaciones de gran escala y múltiples sitios. Administra miles de puntos de acceso en múltiples zonas, brinda un control de políticas profundo y es compatible con toda la gama de métodos de autenticación que cubriremos hoy. ZoneDirector es el controlador local heredado - aún ampliamente implementado, particularmente en la industria de la hospitalidad - y admite el mismo flujo de Captive Portal basado en WISPr, aunque con una ruta de configuración ligeramente diferente. Y Unleashed es el modelo sin controlador, donde un AP actúa como maestro para hasta otros 128. Es ideal para implementaciones más pequeñas en un solo sitio - hoteles independientes, sucursales de retail, oficinas de PyMEs. Bien. Entremos en el detalle técnico. Cubriré tres casos de uso distintos: WiFi para invitados con redirección de Captive Portal, WiFi seguro para el personal mediante 802.1X y aislamiento de red Multi-Tenant mediante Ruckus Dynamic PSK. Comenzando con WiFi para invitados. La arquitectura aquí es un flujo de hotspot basado en WISPr. WISPr - Wireless Internet Service Provider roaming - es un estándar de la industria que define cómo un controlador inalámbrico intercepta el tráfico HTTP no autenticado y lo redirige a un portal externo. El invitado se conecta a su SSID. Su dispositivo envía una solicitud HTTP. SmartZone la intercepta y emite una redirección HTTP 302 a la URL de su portal externo - en este caso, el Captive Portal de Purple. El invitado se autentica - a través de inicio de sesión social, correo electrónico, SMS o un formulario personalizado - y luego el portal se comunica de vuelta con el controlador a través de la Northbound Interface, o NBI, para otorgar el acceso. En SmartZone, la configuración tiene cuatro componentes principales. Primero, el perfil del servidor de autenticación RADIUS. Navegue a Servicios y Perfiles, luego a Autenticación. Cree un nuevo perfil de servidor AAA. Establezca el Protocolo de Servicio en RADIUS. La IP de su servidor primario y el secreto compartido se proporcionan en la consola de administración de Purple. Use el puerto 1812 para la autenticación. Configure siempre un servidor RADIUS de respaldo para mayor resiliencia. Luego, cree el servidor de contabilidad en Servicios y Perfiles, Contabilidad - puerto 1813, mismo secreto compartido. Segundo, el perfil Hotspot WISPr. Vaya a Servicios y Perfiles, Hotspots y Portales, y seleccione la pestaña Hotspot WISPr. Cree un nuevo perfil. Establezca la URL de inicio de sesión en Externa e ingrese la URL de redireccionamiento de su portal. Configure la Página de inicio para redirigir a su URL posterior a la autenticación, que suele ser una página de éxito o la página de inicio de su establecimiento. Tercero, el Walled Garden. Aquí es donde los ingenieros suelen cometer más errores. El Walled Garden define a qué dominios y direcciones IP puede acceder un invitado antes de autenticarse. Debe incluir el dominio de su portal, cualquier dominio de CDN o de recursos desde el que se cargue su portal, y los puntos finales estándar de detección de Captive Portal del sistema operativo. En SmartZone, los comodines se admiten utilizando el formato de asterisco y punto - por lo que asterisco-punto-purple-punto-ai cubre todos los subdominios. También necesita el dominio de detección de Captive Portal de Apple - captive.apple.com - y los puntos finales de verificación de conectividad de Google para evitar que el mini-navegador CNA funcione incorrectamente en dispositivos iOS y Android. Un paso crítico que es fácil de pasar por alto. Por defecto, SmartZone cifra la dirección MAC y la dirección IP que pasa al portal externo en la URL de redireccionamiento. Purple necesita ver la dirección MAC real del cliente para realizar la gestión de sesiones basada en MAC. Debe desactivar esto a través de la CLI. Acceda por SSH a su SmartZone, entre al modo de configuración y ejecute: no encrypt-mac-ip. Es solo un comando, pero es un bloqueo total si se lo salta. La Interfaz Northbound es la otra pieza esencial. Esta es la API que permite a Purple comunicarse de vuelta con SmartZone para otorgar o denegar el acceso después de la autenticación. Actívela en Administración, Servicios Externos, Interfaz Northbound WISPr. Establezca un usuario y contraseña, y proporcione esas credenciales a Purple. La NBI se ejecuta en el puerto TCP 9080 para HTTP y 9443 para HTTPS - asegúrese de que su firewall permita conexiones entrantes desde el rango de IP de Purple a estos puertos. Finalmente, cree su WLAN. Establezca el Tipo de autenticación en Hotspot WISPr, seleccione su perfil de portal y asigne sus servicios de contabilidad y autenticación RADIUS. Establezca el NAS ID en Definido por el usuario si Purple requiere un valor específico, configure el Called Station ID como AP MAC y habilite Single Session ID. Para Unleashed, la arquitectura es fundamentalmente diferente: es un modelo distribuido y sin controlador. La configuración se encuentra en Admin and Services, Services, Hotspot Services. Los pasos son bastante similares: crear un servicio de Hotspot, configurar la URL del portal externo, configurar el servidor de autenticación AAA y agregar las entradas de Walled Garden; pero existen dos diferencias clave. No hay ningún requisito de interfaz Northbound en Unleashed. Y la encriptación de direcciones MAC no se aplica de forma predeterminada, por lo que no es necesario el comando de CLI. El walled garden de Unleashed también acepta entradas a nivel de dominio en lugar de la sintaxis completa de comodines. Ahora pasemos a Secure Staff WiFi utilizando 802.1X. Este es un modelo de autenticación completamente diferente. En lugar de un Captive Portal, los dispositivos del personal se autentican directamente utilizando el protocolo de autenticación extensible (EAP). El método más común en entornos empresariales es PEAP-MSCHAPv2, donde el usuario ingresa sus credenciales de Active Directory, o EAP-TLS, donde el dispositivo presenta un certificado. El complemento SecurePass de Purple se integra con Microsoft Entra ID, Okta y Google Workspace para actuar como el backend de RADIUS para este flujo. En SmartZone, cree una nueva WLAN y establezca el Authentication Type en 802.1X EAP. En la configuración de AAA, apunte a su servidor RADIUS: el endpoint de SecurePass de Purple. La diferencia clave con respecto al flujo de invitados es que aquí también se configura la asignación dinámica de VLAN. Cuando el servidor RADIUS de Purple devuelve un Access-Accept, incluye tres atributos estándar de IETF: Tunnel-Type establecido en VLAN, valor 13; Tunnel-Medium-Type establecido en IEEE-802, valor 6; y Tunnel-Private-Group-ID que contiene la cadena del ID de la VLAN (por ejemplo, veinte para la VLAN del personal). SmartZone lee estos atributos y etiqueta dinámicamente el tráfico del miembro del personal con la VLAN correcta, independientemente del AP al que esté conectado. Esto es el direccionamiento dinámico de VLAN, y es lo que permite que un solo SSID sirva a múltiples roles de usuario con diferentes políticas de acceso a la red. Habilite AAA Override en la configuración avanzada de la WLAN para asegurarse de que SmartZone procese los atributos de VLAN devueltos por el servidor RADIUS. Sin esa casilla de verificación, la asignación dinámica no funcionará incluso si el servidor RADIUS está enviando los atributos correctos. El tercer caso de uso es el aislamiento multi-inquilino utilizando Ruckus Dynamic PSK (o DPSK). Esta es una tecnología patentada por Ruckus que asigna una frase de contraseña WPA2 única a cada usuario o inquilino, todo en un solo SSID. A diferencia de una PSK compartida donde todos usan la misma contraseña, DPSK significa que el Inquilino A tiene una clave única de 62 caracteres, el Inquilino B tiene una diferente, y así sucesivamente. Cada clave está vinculada a una VLAN específica, por lo que el tráfico del Inquilino A llega a la VLAN 101 y el del Inquilino B llega a la VLAN 102: aislamiento completo, sin riesgo de contraseña compartida y revocación instantánea sin afectar a otros inquilinos. Esto es particularmente potente en espacios de co-working, edificios residenciales de alquiler construido para renta, alojamiento para estudiantes y parques comerciales multi-inquilino. Purple se integra con Ruckus DPSK a través de la API de SmartZone para automatizar la provisión de claves - cuando se incorpora un nuevo inquilino en Purple, se genera una DPSK, se vincula a la VLAN correcta y se entrega al inquilino automáticamente. Para configurar DPSK en SmartZone: navegue a WLANs, agregue una nueva WLAN y, en Seguridad, establezca el método en Dynamic PSK. Establezca la longitud de DPSK en 62 caracteres para obtener la máxima entropía. En VLAN, habilite la asignación de VLAN por DPSK (Per-DPSK VLAN assignment). Luego, use la API de SmartZone o la interfaz de gestión de DPSK para crear claves individuales por inquilino, cada una asignada a su propio VLAN ID. En Unleashed, la misma función está disponible en WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 es la variante WPA3, que ofrece un cifrado más sólido basado en SAE. Si su flota de AP admite WPA3 - lo cual hacen todos los AP Ruckus de la serie R actuales - DPSK3 es la opción preferida para nuevos despliegues. Permítame guiarle a través de dos escenarios de implementación del mundo real que ilustran cómo se combinan estos tres casos de uso. Primer escenario: un hotel de 250 habitaciones. La propiedad utiliza Ruckus SmartZone con puntos de acceso R750 en todas sus instalaciones. Necesitan tres tipos de red: WiFi de invitados para los huéspedes del hotel, WiFi de personal seguro para el personal de atención al público y de operaciones internas, y una red IoT para controles de habitaciones inteligentes y circuito cerrado de televisión. La WLAN de invitados utiliza el flujo de WISPr Captive Portal con Purple. Los huéspedes se conectan, son redirigidos a un portal personalizado con la marca de Purple, se autentican a través de correo electrónico o inicio de sesión social, y acceden a la VLAN 10. El portal captura datos de origen - correo electrónico, consentimiento de marketing, preferencias de estancia - que se envían directamente al CRM del hotel. El panel de analíticas de Purple muestra al hotel qué pisos tienen las tasas de conexión más altas, las horas de mayor uso y las tasas de visitantes recurrentes. Premier Inn implementó este modelo en todas sus instalaciones del Reino Unido y observó mejoras medibles en las puntuaciones de satisfacción de los huéspedes directamente relacionadas con la experiencia de WiFi. La WLAN del personal utiliza 802.1X con SecurePass de Purple. El personal se autentica con sus credenciales de Active Directory a través de PEAP-MSCHAPv2. El personal de recepción accede a la VLAN 20 con acceso al sistema de gestión de la propiedad. El personal de operaciones internas accede a la VLAN 21 con acceso únicamente a los sistemas de recursos humanos y programación. La asignación de VLAN se realiza en su totalidad mediante los atributos RADIUS que devuelve Purple - no se requiere configuración manual de puertos. Cuando un miembro del personal deja la empresa, su cuenta se deshabilita en Microsoft Entra ID y el acceso se revoca instantáneamente en todas las propiedades. La WLAN de IoT utiliza una PSK estática, aislada en la VLAN 30, con el aislamiento de clientes habilitado. Los termostatos inteligentes, las cerraduras de las puertas y las cámaras de circuito cerrado de televisión se ubican aquí, completamente separados del tráfico de huéspedes y del personal. Segundo escenario: un espacio de co-working con 15 empresas inquilinas. Aquí es donde DPSK realmente se gana su lugar. El operador ejecuta Ruckus Unleashed en tres pisos. Cada empresa inquilina obtiene un DPSK único vinculado a su propia VLAN. Los 20 miembros del personal del Inquilino A usan la misma frase de contraseña DPSK-A, pero esa frase de contraseña es exclusiva para el Inquilino A y se asigna solo a la VLAN 101. El Inquilino B usa DPSK-B, que se asigna a la VLAN 102. Los inquilinos están completamente aislados entre sí en la capa de red. Cuando un inquilino se va, el operador revoca su DPSK en SmartZone - o a través de la interfaz de administración de Purple - y listo. Ningún otro inquilino se ve afectado, no se requieren cambios de SSID, ni restablecimientos de contraseña en todo el edificio. La capa de administración multi-tenant de Purple se ubica por encima de esto, lo que brinda al operador de co-working un único panel para administrar la incorporación, la revocación de acceso y el análisis de uso de los 15 inquilinos. Ahora permítanme cubrir los modos de falla más comunes y cómo evitarlos. Número uno: Desconfiguración del Walled Garden. Si su página del portal no se carga después de la redirección, lo primero que debe verificar es si todos los dominios a los que hace referencia su página del portal están en el walled garden. Las páginas de portal modernas cargan recursos de múltiples dominios CDN, scripts de análisis y SDKs de inicio de sesión social. Si alguno de ellos está bloqueado antes de la autenticación, la página no se cargará o se cargará de forma incorrecta. Use las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados para identificar qué solicitudes se están bloqueando. Purple proporciona una lista de walled garden documentada para SmartZone y Unleashed - úsela como base y agregue cualquier dominio específico del sitio por encima. Número dos: el problema de conectividad NBI. Si los invitados pueden ver el portal y autenticarse, pero nunca obtienen acceso a internet, la causa probable es que SmartZone no puede recibir la devolución de llamada NBI de Purple. Verifique que los puertos 9080 y 9443 estén abiertos para el tráfico entrante a la IP de administración de SmartZone desde el rango de IP de Purple. También verifique que las credenciales NBI que ha configurado coincidan con las que Purple tiene registradas. Número tres: la falta del comando no encrypt-mac-ip. Este es el problema específico de SmartZone más común. Si Purple recibe solicitudes de redirección pero no puede hacer coincidir la sesión con una dirección MAC, es casi seguro que esta sea la causa. Es una solución de CLI de una sola línea, pero es fácil de pasar por alto porque no se muestra en la interfaz gráfica de usuario. Número cuatro: AAA Override no habilitado para VLAN dinámica. Si el personal se está autenticando con éxito en 802.1X pero todos terminan en la misma VLAN predeterminada en lugar de su VLAN específica de rol, verifique que AAA Override esté habilitado en la configuración avanzada de la WLAN. Este es el interruptor que le dice a SmartZone que respete los atributos de VLAN devueltos por el servidor RADIUS.Número cinco: la VLAN de DPSK no se propaga. Si los usuarios de DPSK se están autenticando pero no aterrizan en la VLAN correcta, verifique que la asignación de VLAN por DPSK esté habilitada en la configuración de la WLAN, y que los puertos del switch conectados a sus AP estén configurados como puertos troncales que transporten todas las VLAN de DPSK. Si el puerto del switch es un puerto de acceso, el etiquetado de VLAN se eliminará. Ahora, tres preguntas rápidas que me hacen en cada implementación de Ruckus y Purple. ¿Necesito una VLAN dedicada para el WiFi de invitados? Sí, siempre. Aísle el tráfico de invitados en una VLAN dedicada. Esto es tanto un requisito de seguridad como una consideración de cumplimiento de PCI-DSS si su establecimiento procesa pagos con tarjeta en la misma red. Habilite el aislamiento de clientes en la WLAN de invitados para evitar que los dispositivos de los invitados se comuniquen entre sí. ¿Puedo usar Purple con Ruckus One - la plataforma administrada en la nube - en lugar de SmartZone? Sí. La ruta de configuración es diferente - se encuentra en Redes WiFi, configuración de Acceso de Invitados en el portal de Ruckus One - pero los principios de configuración del walled garden y de RADIUS son idénticos. ¿Soporta Purple implementaciones multi-zona de SmartZone? Sí. La integración de Purple maneja entornos de SmartZone multi-zona, y puede delimitar las configuraciones del portal a zonas individuales para diferentes establecimientos o pisos dentro de una sola instancia de SmartZone. Para resumir. La integración de Ruckus y Purple cubre tres casos de uso distintos, cada uno con su propio modelo de configuración. El WiFi de invitados utiliza el flujo de Captive Portal WISPr - cinco puntos clave de configuración: RADIUS en los puertos 1812 y 1813 con un servidor de respaldo, el perfil Hotspot WISPr con una URL de inicio de sesión externa, un walled garden delimitado correctamente usando entradas con comodines, el comando de CLI no encrypt-mac-ip, y la Interfaz Northbound habilitada con las credenciales correctas. El WiFi seguro para el personal utiliza 802.1X EAP con direccionamiento dinámico de VLAN a través de atributos RADIUS - el habilitador crítico es AAA Override en la configuración avanzada de la WLAN. El aislamiento multi-inquilino utiliza Ruckus DPSK - claves únicas por inquilino, cada una vinculada a una VLAN dedicada, con revocación instantánea y cero riesgo de contraseñas compartidas. Domine esos tres patrones y tendrá una arquitectura de red que escala desde un hotel independiente de 50 habitaciones en Unleashed hasta un estadio de 5,000 asientos en SmartZone, con la misma plataforma Purple por encima de todo proporcionando analíticas unificadas, captura de datos que cumple con GDPR y gestión de acceso centralizada. Si está planeando una implementación de Ruckus con Purple, el equipo de incorporación técnica puede guiarlo a través de una lista de verificación previa al lanzamiento y validar su configuración antes de la puesta en marcha. La plataforma Purple también proporciona analíticas en tiempo real sobre los tiempos de carga del portal, las tasas de éxito de la autenticación y los datos de la sesión - brindándole la visibilidad para detectar problemas antes de que lo hagan sus invitados. Gracias por escuchar. Hasta la próxima.