Saltar al contenido principal
Español (México)

Integración de Sophos Firewall y Access Points con Purple WiFi

Esta guía detalla la integración técnica de Sophos Firewall (XG/XGS) y los access points Sophos AP6/APX con Purple WiFi. Cubre la redirección de Captive Portal externo, la configuración de autenticación y contabilidad RADIUS, la configuración de Walled Garden, 802.1X para WiFi del personal y la asignación dinámica de VLAN utilizando Sophos PPSK para una segregación segura de redes multi-tenant en entornos de hotelería, retail y sector público.

📖 9 min de lectura📝 2,208 palabras🔧 2 ejemplos resueltos4 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido al Purple Architecture Briefing. Hoy nos sumergiremos en una integración crítica para redes empresariales: el despliegue de Purple WiFi junto con la infraestructura de Sophos, específicamente los puntos de acceso Sophos AP6 y APX y los firewalls Sophos XG y XGS. Si usted es un gerente de TI, un arquitecto de redes o un CTO que gestiona un recinto, ya sea una cadena de retail, un estadio o un hospital, esta sesión está diseñada para brindarle el plan de acción para hacer que estas dos potentes plataformas funcionen juntas a la perfección. Pongamos las cosas en contexto. Sophos es reconocido por su sólida postura de seguridad. Los dispositivos Sophos Firewall proporcionan inspección profunda de paquetes y seguridad sincronizada. Sin embargo, cuando se trata de Guest WiFi, usted no solo busca seguridad. Busca valor empresarial. Quiere capturar datos demográficos, comprender el comportamiento de los visitantes e impulsar el retorno de inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, usted delega la pesada carga de la gestión de identidad de invitados, el consentimiento de GDPR y los inicios de sesión con redes sociales al RADIUS en la nube de Purple, mientras permite que el Sophos Firewall haga lo que mejor sabe hacer: asegurar el perímetro. Entonces, ¿cómo funciona esto realmente bajo el capó? Entremos en el análisis técnico profundo. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Cuando el usuario de un recinto se asocia con su SSID de Guest WiFi abierto transmitido por el AP de Sophos, el Sophos Firewall intercepta esa solicitud web inicial. En lugar de servir una página de portal básica almacenada localmente, el firewall redirige al cliente a la página de inicio alojada en la nube de Purple. Ahora, aquí está el concepto crítico: el Walled Garden. Durante esta fase de preautenticación, el usuario no tiene acceso a internet. Pero necesita cargar los gráficos del portal y podría necesitar acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en el Sophos Firewall que permite el tráfico a estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al Sophos Firewall. El firewall entonces activa el interruptor, cambiando el estado de la sesión a autenticado, y coloca al usuario en su política de firewall posterior a la autenticación. Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple le proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad en el puerto 1813. Ambos deben estar configurados. El servidor de contabilidad no es opcional. Es el mecanismo mediante el cual el Sophos Firewall reporta los datos de la sesión de vuelta a Purple, incluyendo la duración, el ancho de banda consumido y los eventos de finalización de la sesión. Sin datos de contabilidad precisos, su panel de analíticas de Purple mostrará métricas de visitantes incompletas o inexactas. Establezca su intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red. Ahora hablemos de un escenario que surge constantemente en los despliegues empresariales: el WiFi multi-inquilino. Piense en un espacio de coworking, un bloque residencial de alquiler para construir o una residencia de estudiantes. Tiene múltiples grupos distintos de usuarios que necesitan acceso a WiFi, pero deben estar completamente aislados entre sí a nivel de red. Transmitir un SSID independiente para cada inquilino no es viable. Crea congestión de radiofrecuencia y es una pesadilla operativa de gestionar. La respuesta son las Sophos Private Pre-Shared Keys, o PPSK, combinadas con la asignación dinámica de VLAN. Así es como funciona. Configura un único SSID en sus puntos de acceso Sophos AP6. Luego, emite una frase de contraseña única para cada inquilino o grupo de usuarios. Cuando un dispositivo se conecta y presenta su clave única, el AP de Sophos autentica esa clave a través de RADIUS. El servidor RADIUS devuelve un atributo de ID de VLAN específico en el mensaje Access-Accept. El AP etiqueta dinámicamente el tráfico del usuario con ese ID de VLAN, colocándolo en su segmento de red dedicado. Redes basadas en la identidad en acción. Un SSID, múltiples redes aisladas, cero sobrecarga de radiofrecuencia por transmisiones adicionales. Esta arquitectura también tiene un beneficio de cumplimiento significativo. Bajo los requisitos de PCI DSS, las redes de WiFi para invitados deben estar completamente aisladas de cualquier segmento de red que maneje datos de titulares de tarjetas. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en el Sophos Firewall para bloquear todos los destinos de espacio de IP privada RFC 1918, cumple con este requisito de manera limpia. Purple, que opera en 80,000 sedes en vivo y ha procesado 440 millones de inicios de sesión en 2024, cuenta con la certificación ISO 27001, cumple con el GDPR y cuenta con la certificación Cyber Essentials, por lo que la historia de cumplimiento también se extiende a la capa de identidad. Ahora pasemos a las recomendaciones de implementación. Cuando esté configurando esto, tiene que tomar una decisión crucial con respecto a la asignación de IP: modo NAT frente a modo Bridge. Si está implementando una sucursal minorista pequeña con quizás cincuenta a cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El AP de Sophos entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que sale el tráfico. Es simple y requiere una infraestructura adicional mínima. Pero si está implementando un entorno de alta densidad, por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos concurrentes o un estadio, debe usar el modo Bridge. En el modo Bridge, el AP de Sophos deja caer el tráfico de invitados directamente en una VLAN dedicada, lo que permite que sus servidores DHCP empresariales principales manejen la carga. Esto evita que el punto de acceso o el firewall se conviertan en un cuello de botella de DHCP durante los eventos de conexión pico. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo que es vital para análisis precisos y resolución de problemas. Hablemos de la secuencia de configuración paso a paso, porque el orden importa aquí. Comience en el portal de Purple. Recupere sus credenciales del servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redireccionamiento. Estos son los cuatro elementos de información críticos que necesita antes de modificar la configuración de Sophos. Luego, diríjase a Sophos Central o a la interfaz de administración de su firewall local. Defina primero sus servidores RADIUS, la autenticación en el puerto 1812 y la contabilidad en el 1813. Después, configure su Walled Garden en la configuración de Hotspot. A continuación, cree su SSID de invitados, establezca el cifrado en Abierto (Open), habilite el Captive Portal e introduzca la URL del portal de Purple. Y finalmente, defina sus reglas de firewall posteriores a la autenticación. Específicamente para el Walled Garden, debe permitir como mínimo los siguientes dominios: el dominio del portal de Purple, que normalmente es region1.purpleportal.net; venuewifi.com; y cualquier dominio de inicio de sesión social que utilicen sus invitados, como facebook.com, accounts.google.com y sus dominios CDN asociados. Si utiliza Microsoft Entra ID o Okta para la federación de identidades, esos dominios también deben incluirse. ¿Qué hay de los errores comunes? ¿En qué suelen fallar las implementaciones? El problema número uno, sin duda, es un Walled Garden incompleto. Si un invitado se conecta y obtiene una pantalla en blanco o un tiempo de espera de conexión agotado, casi siempre significa que el firewall de Sophos está bloqueando el acceso a los archivos CSS de Purple, a los recursos de JavaScript o a las API de inicio de sesión social antes de la autenticación. Debe asegurarse de que cada dominio requerido esté explícitamente permitido en esa política de preautenticación. Purple proporciona una lista completa de los dominios requeridos. Utilícela en su totalidad. Además, no olvide el DNS. Se debe permitir que los clientes no autenticados resuelvan consultas de DNS, o de lo contrario la redirección simplemente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de que pueda intentar cargar la página. El segundo error más común son los errores de certificado. Asegúrese de que su firewall de Sophos presente un certificado SSL válido y de confianza pública para la interfaz de redireccionamiento. Si utiliza el certificado autofirmado predeterminado, los iPhones modernos y los dispositivos Android mostrarán advertencias de seguridad importantes y sus invitados abandonarán la conexión por completo. Este es un problema particularmente grave en entornos de hotelería donde la experiencia del invitado es primordial. El tercer error común son los errores de tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre su configuración de Sophos y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. También verifique que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura de Sophos y los servidores RADIUS en la nube de Purple. Terminemos con una sesión de preguntas y respuestas rápidas basada en las dudas más comunes que escuchamos de los clientes. Pregunta uno: ¿el uso de Purple elude las políticas de seguridad de mi Sophos Firewall? Absolutamente no. Purple se encarga de la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de invitados fluye a través de la política de postautenticación de su Sophos Firewall. Aquí es precisamente donde se aplica el filtrado web, se bloquea el tráfico peer-to-peer y se perfila el ancho de banda. Piénselo de esta manera: la preautenticación es permisiva para permitir el inicio de sesión; la postautenticación es punitiva para proteger la red. Pregunta dos: ¿necesito implementar servidores RADIUS locales? No. Purple ofrece RADIUS-as-a-Service. Usted configura los AP de Sophos para que apunten directamente a las direcciones IP de RADIUS en la nube de Purple. No es necesario implementar ni mantener FreeRADIUS o Windows NPS para la red de invitados. Pregunta tres: ¿puedo usar Purple tanto con Sophos AP6 como con la serie APX anterior? Sí. El enfoque de integración es consistente en ambas generaciones de hardware. Sin embargo, tenga en cuenta que Sophos ha anunciado una fecha de fin de vida útil para la serie APX para el 31 de diciembre de 2027. Si está planeando una nueva implementación, invierta en la serie AP6, que es compatible con Wi-Fi 6 y Wi-Fi 6E. Pregunta cuatro: ¿qué pasa con el cumplimiento de GDPR? Purple captura el consentimiento explícito a nivel de portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El rol de Sophos Firewall es puramente de aplicación de red. Para resumir los puntos clave de la sesión de hoy. Primero: segregue sus SSID de personal y de invitados por completo. El personal en 802.1X con WPA2-Enterprise. Los invitados en Purple con un Captive Portal externo. Segundo: configure meticulosamente su Walled Garden. Es el punto de falla más común y el elemento de configuración de preautenticación más importante. Tercero: use el modo Bridge para cualquier implementación de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente. Cuarto: configure tanto los servidores de autenticación como los de contabilidad RADIUS. La contabilidad no es opcional si desea análisis significativos. Quinto: aproveche Sophos PPSK para entornos multiinquilino para habilitar redes basadas en identidad con asignación dinámica de VLAN. Un SSID, múltiples redes aisladas. Sexto: aplique las políticas de seguridad de Sophos estrictamente después de la autenticación. El filtrado web, el control de aplicaciones y el modelado de ancho de banda deben aplicarse en la política de firewall de postautenticación. Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costos en un activo seguro, que cumple con las normas y genera ingresos. La combinación de la profundidad de seguridad de Sophos y la inteligencia de marketing de Purple es verdaderamente poderosa para cualquier operador de establecimiento que quiera tomarse en serio su estrategia de datos y experiencia de invitados. Gracias por escuchar el Purple Architecture Briefing. Si desea analizar sus requisitos de implementación específicos, visite purple.ai para hablar con el equipo de soluciones.

header_image.png

執行摘要

如果您運行 Sophos 基礎架構並需要部署可收集第一方數據的 Guest WiFi ,本指南將為您提供確切的設定步驟。Purple 與 Sophos Firewall(XG 和 XGS 系列)以及 Sophos AP6/APX 無線基地台整合,作為外部 Captive Portal,將訪客身分管理、GDPR 同意書收集和社群登入處理卸載到 Purple 的雲端 RADIUS。您的 Sophos Firewall 將繼續對所有流量執行深層封包檢測與統一威脅管理。最終結果:一個符合規範且細分的網路,訪客透過品牌化的 Purple 網頁驗證,員工透過 WPA2-Enterprise802.1X 連線,而多租戶環境則使用 Sophos 私有預共用金鑰 (PPSK) 進行動態 VLAN 分配。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。它已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證。

技術深度解析

重新導向的運作原理

此整合使用標準 RADIUS 協定和 HTTP 重新導向。當場域使用者在 Sophos AP6 或 APX 無線基地台上與您的開放式 Guest WiFi SSID 建立關聯時,Sophos Firewall 會攔截該未驗證裝置的第一個 HTTP 請求。防火牆不會提供本地儲存的登入頁面,而是發出 302 重新導向到 Purple 的雲端代管登入網頁 URL — 通常格式為 https://region1.purpleportal.net/access/

在此預先驗證階段,裝置處於 Walled Garden(圍牆花園)內:這是一個未驗證裝置可以存取的嚴格網域白名單。此白名單必須包含 Purple 的入口網站資源、任何社群登入提供商(Facebook、Google、LinkedIn)以及您使用的任何身分識別同盟端點,例如 Microsoft Entra ID 或 Okta。一旦使用者在 Purple 登入網頁上完成驗證,Purple 的雲端 RADIUS 就會向 Sophos Firewall 發送 RADIUS Access-Accept 訊息。防火牆會將工作階段狀態更新為已驗證,並套用您驗證後的安全性原則。

RADIUS 驗證與帳務

Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您不需要為訪客網路部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基礎架構。只需將 Sophos Firewall 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。

需要兩種 RADIUS 功能:

功能 協定 連接埠 用途
驗證 UDP 1812 驗證訪客憑證並傳回 Access-Accept 或 Access-Reject
帳務 UDP 1813 向 Purple 回報工作階段開始、過渡更新和工作階段結束

帳務處理並非選配。它是 Sophos Firewall 用來將工作階段持續時間、消耗的頻寬以及工作階段終止事件回報給 Purple 的機制。若沒有帳務資料,您的 WiFi 分析 儀表板將會顯示不完整的訪客指標。請將帳務中期時間間隔設定為 120 秒,以在即時可見性與網路負載之間取得良好平衡。

Sophos 設定與 Purple 傳送門之間的 RADIUS 共用密鑰必須完全一致。單一字元的差異都會導致無聲的驗證失敗。

Walled Garden 設定

Walled Garden 是最重要的前置驗證設定元素,也是最常見的部署失敗原因。請在 Sophos Firewall 的 無線 > 熱點設定 (Wireless > Hotspot Settings) 下進行設定。

您必須至少允許以下網域:

類別 允許的網域
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
付款(如適用) stripe.com
天氣小工具(如使用) openweathermap.org
Facebook 登入 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登入 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登入 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

務必允許未經驗證用戶端的 DNS 解析(UDP 53 埠)。若沒有 DNS,裝置將無法解析 Purple 傳送門的主機名稱,重新導向在開始前就會失敗。

員工 WiFi 的 802.1X

針對員工 WiFi,請搭配 WPA2-Enterprise 或 WPA3-Enterprise 使用 802.1X(IEEE 802.1X 基於連接埠的網路存取控制)。設定 Sophos AP 以針對您的內部 RADIUS 伺服器或雲端身分識別提供者(例如 Microsoft Entra ID)使用 EAP-TLS(基於憑證)或 PEAP-MSCHAPv2(使用者名稱/密碼)。

RADIUS 伺服器會傳回 VLAN 分配屬性,以將已驗證的員工裝置分配到正確的內部 VLAN。這與下方針對 PPSK 所述的動態 VLAN 機制相同,並套用於企業驗證。

請將員工 WiFi 的 SSID 與 VLAN,與 Guest WiFi 的 SSID 與 VLAN 完全隔離。切勿將訪客流量橋接到管理或企業子網。如果任何網路區段處理持卡人資料,此隔離是 PCI DSS 的規範要求。

適用於多租戶環境的 Sophos PPSK 與動態 VLAN 分配

在多租戶環境(例如共享工作空間、租賃型住宅大樓、學生宿舍或零售特許櫃位)中,您需要在網路層級隔離不同的使用者群組,而無需為每個租戶廣播個別的 SSID。廣播多個 SSID 會增加無線電頻率開銷並使管理複雜化。

Sophos AP6 無線基地台支援 PPSK (Private Pre-Shared Key),也稱為 Identity PSK 或每使用者 PSK。PPSK 允許單一 SSID 接受多個唯一的密碼,每個密碼均透過 RADIUS 屬性對應到特定的 VLAN。

動態 VLAN 分配流程如下:

  1. 住戶或成員連線到該單一共享 SSID 並輸入其唯一的 PPSK。
  2. Sophos AP 向配置的 RADIUS 伺服器發送 RADIUS Access-Request,其中包含 PPSK 作為憑證。
  3. RADIUS 伺服器驗證 PPSK 並傳回包含以下 VLAN 屬性的 Access-Accept:
    • Tunnel-Type = VLAN (值 13)
    • Tunnel-Medium-Type = IEEE-802 (值 6)
    • Tunnel-Private-Group-ID = `` (例如 100)
  4. Sophos AP 使用傳回的 VLAN ID 標記該裝置的流量,並將其置於正確的隔離網路區段中。

這就是基於身分識別的網路運作方式 (Identity-Based Networking):單一 SSID,多個隔離 VLAN,由使用者的唯一憑證驅動。

ppsk_vlan_diagram.png

architecture_overview.png

實作指南

步驟 1:取得 Purple 憑證

登入 Purple 入口網站。導覽至 Management > Locations > [您的場所] > Hardware > Add Hardware。選擇 Sophos 作為硬體類型。入口網站將顯示:

  • 主要與次要 RADIUS 伺服器 IP 位址
  • RADIUS 共用金鑰 (Shared Secret)
  • Captive Portal URL (例如 https://region1.purpleportal.net/access/)
  • 重新導向 URL (例如 https://region1.purpleportal.net/access/?res=success)
  • 完整的 Walled Garden 網域名單

請先記下這四個值再繼續。

步驟 2:在 Sophos Firewall 上設定 RADIUS 伺服器

導覽至 Sophos Firewall 上的 Authentication > Servers (或針對 AP 管理的配置,導覽至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 按一下 Add 以建立新的 RADIUS 伺服器項目。
  2. Server IP 設定為主要的 Purple RADIUS IP 位址。
  3. Authentication port 設定為 1812
  4. Accounting port 設定為 1813
  5. 輸入來自 Purple 入口網站的 Shared secret
  6. 對次要 Purple RADIUS 伺服器重複此步驟。

對於透過 Sophos Central 管理的 Sophos AP6,請在 SSID 的 Advanced Settings > Backend authentication 區段下設定 RADIUS 伺服器。

步驟 3:設定 Walled Garden

導覽至 Sophos Firewall 上的 Wireless > Hotspot Settings

  1. Walled garden 下,按一下 Add new item
  2. 新增 Purple 提供之清單中的每個網域。
  3. 確保未驗證的用戶端可透過驗證前防火牆規則允許 DNS (UDP 連接埠 53)。
  4. 按一下 Apply

步驟 4:建立訪客 SSID

導覽至 Wireless > Wireless Settings > SSIDs (或 Sophos Central > Wireless > SSIDs)。

  1. 按一下 Add SSID
  2. Encryption mode 設定為 Open (無預共用金鑰)。
  3. Advanced Settings > Captive portal 下,啟用 captive portal。
  4. 選擇 Backend authentication 作為驗證類型。
  5. 輸入 Purple RADIUS 伺服器 IP、連接埠 1812 與共用密鑰。
  6. Redirect URL 設定為 Purple splash page URL。
  7. 將 SSID 指派給專用的訪客 VLAN (例如:VLAN 100)。
  8. 啟用 Client isolation 以防止訪客之間的流量互通。

步驟 5:建立驗證後防火牆規則

導覽至 Rules and policies > Firewall rules

  1. 建立一條允許從訪客 VLAN 到 WAN 區域之流量的規則。
  2. 套用網頁篩選以封鎖惡意類別。
  3. 套用流量整形以限制每位使用者的頻寬 (建議訪客網路設定為:下載 10 Mbps,上傳 5 Mbps)。
  4. 明確封鎖所有從訪客 VLAN 到任何包含 POS 系統、PMS 或企業資源之內部 VLAN 的流量。

步驟 6:針對多租戶環境設定 PPSK (選用)

  1. 在 Sophos Central 中,建立一個 WPA2-Personal SSID。
  2. 在 SSID 的進階設定下啟用 RADIUS VLAN assignment
  3. 設定 RADIUS 伺服器以接受 PPSK 憑證,並根據使用者群組傳回對應的 VLAN 屬性。
  4. 透過 Purple 入口網站或您的 RADIUS 管理介面,發放唯一的 PPSK 給每個租戶群組。

最佳實踐

在 Layer 2 與 Layer 3 進行流量隔離。 務必將訪客 WiFi 置於專用 VLAN 上。建立明確的防火牆規則,以封鎖所有從訪客 VLAN 到內部網路區段上 RFC 1918 位址空間的流量。這符合 PCI DSS 網路分割要求,並可在訪客裝置受侵害時防止橫向移動。

針對高密度部署使用橋接模式。 在有超過 200 個同時訪客連線的環境中 (例如飯店、體育館、會議中心),請將訪客 SSID 設定為橋接模式。這會將流量導入由企業級 DHCP 伺服器處理的 VLAN,防止 Sophos AP 或防火牆成為 DHCP 效能瓶頸。一間擁有 500 間客房、入住率為 70% 且每位房客有兩台裝置的飯店,會同時產生大約 700 個 DHCP 租約。企業級 DHCP 可以處理此類需求;AP 內建的 DHCP 則無法。

使用受公開信任的 SSL 憑證。 設定 Sophos 防火牆,為重新導向介面提供由公開 CA 簽署的憑證。自簽章憑證會在 iOS 與 Android 上產生瀏覽器安全性警告,進而提高入口網站流失率。這在 旅宿業 環境中尤為重要,因為訪客體驗會直接影響評價分數。 設定 RADIUS 驗證和記帳。 驗證(連接埠 1812)用於授權存取。記帳(連接埠 1813)用於追蹤使用情況。兩者皆為 Purple 的分析功能正常運作所必需。記帳資料可驅動 Purple 儀表板中的工作階段持續時間指標、頻寬報告以及重複訪客識別。

在正式上線前規劃您的 Walled Garden(圍牆花園)。 在部署到生產環境之前,請至少在一部 iOS 裝置和一部 Android 裝置上測試入口網站。這兩個平台具有不同的 Captive Portal 偵測機制,且在 Walled Garden 設定不完整時可能會有不同的行為。在 pre-authentication 階段,使用 Sophos 防火牆上的封包擷取功能來識別任何遭封鎖的網域。

在驗證後套用 Sophos Synchronized Security。 Sophos AP6 無線基地台支援 Synchronized Security,該技術與 Sophos Endpoint Protection 整合。如果偵測到訪客裝置受危害(紅色 Security Heartbeat 狀態),AP 可以自動將該裝置限制在 Walled Garden 內,無需人工干預即可將其與網際網路隔離。對於 醫療保健零售 環境而言,這是一項極具意義的安全控制措施。

如需更廣泛的企業 WiFi 安全背景資訊,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險緩釋

問題症狀:入口網站頁面無法載入(空白畫面或逾時) 原因:Walled Garden 設定不完整。Sophos 防火牆在驗證前封鎖了對 Purple 的 CSS/JS 資產或社群登入 API 的存取。 解決方法:在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取。識別遭封鎖的網域。將其新增至 Walled Garden。確認在驗證前已允許 DNS 解析。

問題症狀:入口網站可載入,但驗證始終失敗 原因:RADIUS 共享金鑰不比對,或 UDP 連接埠 1812/1813 遭到封鎖。 解決方法:逐字驗證 Sophos 設定和 Purple 入口網站中的共享金鑰。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 來確認 UDP 可達性。

問題症狀:分析資料顯示工作階段持續時間為零且無頻寬資料 原因:未設定 RADIUS 記帳或記帳遭到封鎖。 解決方法:驗證記帳伺服器是否已在連接埠 1813 上配置正確的共享金鑰。檢查是否有任何中間 ACL 封鎖了 UDP 1813 的輸出。

問題症狀:訪客裝置上出現憑證警告 原因:Sophos 防火牆在重定向介面上使用自我簽署憑證。 解決方法:將由公開 CA(Let's Encrypt、DigiCert 或類似機構)簽署的憑證上傳至 Sophos 防火牆,並在 Wireless > Hotspot Settings 下將其指派為登入頁面憑證。

問題症狀:PPSK 使用者進入錯誤的 VLAN 原因:RADIUS VLAN 屬性設定不正確,或 Sophos AP 不接受動態 VLAN 指派。 修正:驗證 RADIUS 伺服器傳回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。確認 Sophos Central 中 SSID 的 RADIUS VLAN 分配已啟用。

投資報酬率(ROI)與業務影響

在 Sophos 基礎架構上部署 Purple,可將訪客 WiFi 從公用事業成本轉化為第一方數據資產。其商業案例顯而易見。

一家擁有 200 間客房、入住率為 70% 且平均停留 1.8 晚的飯店,每年透過 Purple 的自主選擇加入頁面將產生約 50,000 個已驗證的訪客個人資料。每份資料均包含姓名、電子郵件地址、人口統計數據及造訪記錄。這些數據可直接匯入電子郵件行銷活動,顯著提升直接訂房量與餐飲營收。

針對 零售 環境,Purple 的分析功能可識別停留時間、重複造訪頻率以及客流高峰期。擁有 50 個據點的零售連鎖店可以使用這些數據來優化人員配置、調整促銷時機,並衡量店內活動對造訪頻率的影響。

針對公共部門和 交通運輸 營運商,Purple 提供可審計的 GDPR 同意記錄,並支援關鍵服務營運商符合英國《網路與資訊系統(NIS)法規》。

Purple 達 99.999% 的可用性 SLA 可確保訪客驗證服務不會成為您網路的單一故障點。雲端 RADIUS 架構意味著無需維護、修補或更換地端驗證伺服器。

如需相關整合指南,請參閱 Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 指南。

Definiciones clave

Captive portal

Una página web que intercepta la solicitud HTTP inicial de un usuario y requiere interacción (autenticación, consentimiento o pago) antes de otorgar acceso a internet.

La interfaz principal para Guest WiFi. Purple aloja el captive portal en la nube; el Sophos Firewall redirige a los clientes no autenticados hacia él.

Walled Garden

Una lista de permitidos estricta de dominios y direcciones IP a los que los dispositivos no autenticados pueden acceder antes de completar la autenticación del portal.

Debe incluir los dominios del portal de Purple, los proveedores de inicio de sesión social y cualquier endpoint de federación de identidad. Un Walled Garden incompleto es la causa más común de fallas en la carga del portal.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona autenticación, autorización y contabilidad centralizadas para los usuarios que se conectan a una red. Utiliza el puerto UDP 1812 para la autenticación y el 1813 para la contabilidad.

Purple proporciona RADIUS-as-a-Service. El Sophos Firewall y los AP se comunican con el RADIUS en la nube de Purple para autenticar a los invitados y reportar datos de sesión.

RADIUS accounting

El componente de RADIUS que realiza el seguimiento de las métricas de uso de la red, incluyendo la hora de inicio de la sesión, la duración, los bytes transferidos y el motivo de la finalización de la sesión.

Esencial para las WiFi Analytics de Purple. Sin datos de contabilidad en el puerto 1813, las métricas de duración de la sesión y ancho de banda no estarán disponibles en el panel de Purple.

PPSK (Private Pre-Shared Key)

Una función de seguridad de WiFi que permite que un solo SSID acepte múltiples contraseñas únicas, cada una de ellas mapeada típicamente a una VLAN o política específica a través de RADIUS.

Se utiliza en implementaciones de WiFi multiinquilino para proporcionar aislamiento de red por usuario o por grupo sin transmitir múltiples SSIDs. Sophos AP6 es compatible con PPSK con asignación dinámica de VLAN.

Dynamic VLAN assignment

Un proceso en el que el servidor RADIUS indica al punto de acceso que coloque a un usuario autenticado en una VLAN específica mediante el retorno de los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID en el mensaje Access-Accept.

Permite redes basadas en la identidad. Los usuarios se colocan en el segmento de red correcto según sus credenciales, independientemente del AP físico al que se conecten.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos. Proporciona un marco de autenticación para los dispositivos que se conectan a una LAN o WLAN, requiriendo un suplicante (cliente), un autenticador (AP o switch) y un servidor de autenticación (RADIUS).

El estándar empresarial para Staff WiFi. Sophos AP6 es compatible con 802.1X con WPA2-Enterprise y WPA3-Enterprise, utilizando EAP-TLS o PEAP-MSCHAPv2.

Bridge mode

Una configuración de red en la que el punto de acceso pasa el tráfico del cliente inalámbrico directamente a la LAN cableada como tramas VLAN etiquetadas, sin realizar NAT ni DHCP local.

Recomendado para implementaciones de alta densidad. Descarga el DHCP a los servidores empresariales y garantiza que Purple reciba la dirección IP real del cliente para obtener analíticas precisas.

First-party data

Información recopilada directamente de los usuarios a través de sus propios canales, de su propiedad, que no se comparte con terceros ni se obtiene de ellos.

El valor comercial principal de Purple Guest WiFi. Capturados a través de opciones de consentimiento consciente en el captive portal, estos datos cumplen con el GDPR y son independientes de las cookies de terceros.

Ejemplos resueltos

Un hotel de 300 habitaciones ha implementado access points Sophos AP6 administrados a través de Sophos Central. Necesitan que los huéspedes se autentiquen a través de una página de bienvenida personalizada de Purple y requieren que la red de huéspedes esté completamente aislada del sistema de gestión de la propiedad (PMS) en la VLAN 20 para mantener el cumplimiento de PCI DSS. El hotel prevé hasta 600 conexiones simultáneas de huéspedes durante los períodos de mayor actividad.

  1. En Sophos Central, cree un SSID dedicado para huéspedes llamado 'Hotel Guest WiFi' con cifrado abierto. 2. Asigne el SSID a la VLAN 100 en modo Bridge para manejar la carga de DHCP de 600 dispositivos a través del servidor DHCP de la red principal. 3. Habilite el Captive Portal en Configuración avanzada y seleccione Autenticación de backend. 4. Ingrese la IP del servidor RADIUS de Purple en el puerto 1812 y el secreto compartido del portal de Purple. 5. Configure el Walled Garden para permitir region1.purpleportal.net, venuewifi.com y todos los dominios de inicio de sesión social. 6. En el Sophos Firewall, cree una regla de firewall que permita el tráfico de la VLAN 100 a la zona WAN con filtrado web aplicado. 7. Cree una regla de DENEGACIÓN explícita que bloquee todo el tráfico de la VLAN 100 a la VLAN 20 (red PMS). 8. Configure la contabilidad RADIUS en el puerto 1813 con un intervalo intermedio de 120 segundos. 9. Cargue un certificado SSL de confianza pública en el Sophos Firewall para la interfaz de redirección. 10. Realice pruebas tanto en iOS como en Android antes del lanzamiento.
Comentario del examinador: El modo Bridge es esencial aquí. Con 600 conexiones simultáneas, el DHCP integrado del AP se vería abrumado. La regla de DENEGACIÓN explícita de la VLAN 100 a la VLAN 20 cumple con los requisitos de segmentación de red de PCI DSS. El certificado de confianza pública evita que iOS 14+ y Android 10+ muestren advertencias de seguridad que aumentarían el abandono del portal. Configurar la contabilidad no es negociable para que las analíticas de Purple funcionen.

Un operador de espacio de coworking administra 15 empresas inquilinas en tres pisos. Cada empresa requiere su propio segmento de red aislado. Actualmente transmiten 15 SSIDs independientes, lo que provoca una congestión de RF significativa. Quieren consolidarse en un solo SSID utilizando access points Sophos AP6 mientras mantienen un aislamiento estricto de Capa 2 entre los inquilinos.

  1. Asigne una VLAN única a cada empresa inquilina (por ejemplo, VLANs 200-214). 2. En Sophos Central, cree un único SSID WPA2-Personal llamado 'CoWork WiFi'. 3. Habilite la asignación de VLAN por RADIUS en el SSID. 4. Configure el servidor RADIUS (el RADIUS en la nube de Purple o un directorio integrado) para almacenar una PPSK única por inquilino y devolver los atributos de VLAN adecuados al autenticarse. 5. Emita a cada empresa inquilina su PPSK única a través del portal de Purple. 6. En el Sophos Firewall, configure reglas de firewall inter-VLAN para bloquear todo el tráfico entre las VLAN de los inquilinos. Permita que cada VLAN acceda únicamente a Internet. 7. Para los inquilinos que requieran servicios compartidos (por ejemplo, una impresora compartida), cree reglas de permiso explícitas únicamente para esos recursos específicos.
Comentario del examinador: Consolidar de 15 SSIDs a uno solo elimina la sobrecarga de RF de 15 tramas de baliza (beacon frames) por AP por segundo. PPSK con asignación dinámica de VLAN proporciona el mismo aislamiento que los SSIDs independientes en la capa de red. El riesgo clave es la disponibilidad del servidor RADIUS: si el servidor RADIUS no está disponible, ningún inquilino podrá conectarse. Implemente un servidor RADIUS secundario de Purple y configúrelo como respaldo en Sophos Central para mitigar esto.

Preguntas de práctica

Q1. Una cadena de tiendas minoristas ha implementado puntos de acceso Sophos AP6 en 50 tiendas. Los compradores reportan que la página de inicio de Purple tarda más de 30 segundos en cargarse o se agota el tiempo de espera por completo. El equipo de TI ha confirmado que la autenticación RADIUS está configurada correctamente. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considera lo que sucede antes de que el usuario llegue al paso de autenticación.

Ver respuesta modelo

El Walled Garden está incompleto. El Sophos Firewall está bloqueando el acceso a los recursos CSS y JavaScript de Purple, o a los dominios CDN de inicio de sesión social, antes de la autenticación. Habilite una captura de paquetes en el Sophos Firewall para la VLAN de invitados y filtre el tráfico bloqueado de clientes no autenticados. Identifique los dominios bloqueados y agréguelos al Walled Garden en Wireless > Hotspot Settings. También verifique que el DNS (puerto UDP 53) esté permitido antes de la autenticación. Sin la resolución de DNS, el dispositivo no puede resolver el nombre de host del portal de Purple y el redireccionamiento falla de inmediato.

Q2. Estás diseñando una implementación de Guest WiFi para un estadio de 5,000 asientos utilizando puntos de acceso Sophos AP6. El recinto espera 4,000 conexiones simultáneas de aficionados durante los eventos. ¿Deberías configurar el SSID de invitados en modo NAT o en modo Bridge? Justifica tu decisión.

Sugerencia: Considera la carga de DHCP generada por 4,000 conexiones simultáneas.

Ver respuesta modelo

Modo Bridge. Con 4,000 conexiones simultáneas, el modo NAT saturaría el servidor DHCP integrado de los AP de Sophos o del firewall. En modo Bridge, los AP envían el tráfico de invitados directamente a una VLAN dedicada, y los servidores DHCP empresariales se encargan de la asignación de direcciones IP. Esto evita el agotamiento de DHCP y garantiza que la plataforma Purple reciba la dirección IP real del cliente para obtener analíticas precisas. El modo Bridge también proporciona un mayor rendimiento que el modo NAT, lo cual es importante para un entorno de eventos de alta densidad. Configure un alcance DHCP en la red central con suficientes direcciones para la carga máxima esperada, más un margen del 20%.

Q3. Tu panel de Purple Analytics muestra el número correcto de inicios de sesión, pero todas las duraciones de las sesiones se reportan como cero minutos y no se realiza el seguimiento del uso de ancho de banda. El portal de invitados funciona correctamente y los invitados pueden navegar por internet. ¿Qué elemento de configuración hace falta?

Sugerencia: La autenticación otorga acceso. ¿Qué rastrea el uso después de que se otorga el acceso?

Ver respuesta modelo

El registro (accounting) de RADIUS no está configurado o está siendo bloqueado. La autenticación en el puerto 1812 otorga acceso a internet, pero el registro en el puerto 1813 es el mecanismo que reporta la duración de la sesión y los datos de ancho de banda de regreso a Purple. Verifique la configuración del Sophos Firewall para confirmar que el servidor de registro esté configurado con la IP de RADIUS de Purple en el puerto 1813 con el secreto compartido correcto. Luego, verifique que el puerto UDP 1813 no esté bloqueado por ninguna ACL intermedia o regla de firewall entre el Sophos Firewall y los servidores RADIUS en la nube de Purple. Utilice una captura de paquetes para confirmar que los paquetes de registro están saliendo del Sophos Firewall y recibiendo respuestas.

Q4. El operador de un espacio de coworking quiere usar Sophos PPSK para dar a cada una de sus 20 empresas inquilinas un segmento de red aislado. Después de la configuración, todos los usuarios de PPSK se conectan con éxito, pero todos terminan en la misma VLAN independientemente de qué PPSK utilicen. ¿Cuál es la causa más probable?

Sugerencia: Piensa en lo que el servidor RADIUS necesita devolver y lo que el AP necesita aceptar.

Ver respuesta modelo

Hay dos causas probables. Primero, el servidor RADIUS no está devolviendo los atributos de VLAN correctos en el mensaje Access-Accept. Verifique que el servidor RADIUS devuelva Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) y Tunnel-Private-Group-ID = el ID de VLAN correcto para cada PPSK. Segundo, es posible que la asignación de VLAN por RADIUS no esté habilitada en el SSID dentro de Sophos Central. Vaya a los Advanced Settings del SSID y confirme que la asignación de VLAN por RADIUS esté activada. Utilice un registro de depuración de RADIUS o una captura de paquetes para inspeccionar los mensajes Access-Accept y confirmar que los atributos de VLAN estén presentes y tengan el formato correcto.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Leer la guía →

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Leer la guía →

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Leer la guía →