Guía paso a paso: Configuración de controladores inalámbricos Ruijie para Captive Portals de WiFi de invitados

Resumen ejecutivo

Implementar WiFi de invitados en una empresa distribuida requiere más que un SSID abierto. Para los gerentes de TI y arquitectos de red, el desafío es equilibrar un acceso sin fricciones con una seguridad estricta, el cumplimiento de GDPR y los requisitos de captura de datos. Esta guía detalla los pasos de configuración exactos para implementar un Captive Portal seguro y escalable utilizando controladores inalámbricos y gateways Ruijie, y muestra cómo la integración de esa infraestructura con la plataforma de Guest WiFi de Purple transforma una conexión inalámbrica básica en un activo que cumple con las normativas y genera ingresos.

Cubrimos los requisitos técnicos previos, las estrategias de segmentación de VLAN, la autenticación RADIUS externa a través del protocolo WISPr, la configuración de walled garden y los ajustes específicos de QoS requeridos para una implementación de nivel de producción. Ya sea que administre un hotel de 200 habitaciones, una cadena de retail de 50 sucursales o un estadio con 40,000 asistentes, esta guía proporciona el plan de referencia definitivo para una configuración segura de Captive Portal de Ruijie. Purple opera en más de 80,000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple), por lo que los patrones de integración descritos aquí están probados a gran escala.

Arquitectura técnica y requisitos previos

Antes de modificar su controlador Ruijie, establezca la arquitectura de red correcta. Una red de invitados segura exige un aislamiento completo del tráfico corporativo en la Capa 2 (a nivel de switch).

Segmentación de red

La base de un WiFi de invitados seguro es el aislamiento de VLAN. Debe crear una VLAN de invitados dedicada en su gateway o switch principal de Ruijie. Esto garantiza que el tráfico de invitados nunca se cruce con los sistemas internos, las terminales de pago o los dispositivos del personal. Un esquema de VLAN empresarial estándar para una implementación de Ruijie se ve así:

Para obtener más información sobre por qué los enfoques de nivel de consumidor fallan aquí, lea Por qué los equipos de WiFi de consumo no pertenecen a su red de invitados .

Componentes requeridos

Para completar esta implementación, necesita:

• Una cuenta de Ruijie Cloud o un controlador inalámbrico local de la serie Ruijie RG-WS (por ejemplo, RG-WS6008 o RG-WS7110).
• Un Gateway de la serie Ruijie RG-EG (requerido para la autenticación de portal externo a través de WISPr).
• Puntos de acceso de la serie Ruijie RG-AP (por ejemplo, RG-AP820-I, RG-AP850-AR).
• Una licencia de Purple Connect, Capture o Engage.
• Acceso UDP saliente en los puertos 1812 (autenticación RADIUS) y 1813 (contabilidad RADIUS) desde el gateway hacia los servidores de Purple.

Resumen del protocolo de autenticación

Ruijie admite varios métodos de autenticación. Las implementaciones empresariales deben utilizar la autenticación RADIUS externa. Este enfoque utiliza el protocolo WISPr (Wireless Internet Service Provider roaming) para redirigir de forma segura a los usuarios no autenticados a la página de inicio (splash page) de Purple, procesar sus credenciales y devolver un mensaje de aceptación (Accept) o rechazo (Reject) de RADIUS al controlador Ruijie.

La tabla anterior resume los cinco métodos de autenticación disponibles en las plataformas Ruijie. El registro por correo electrónico y el inicio de sesión con redes sociales son las opciones más comunes para entornos de hotelería y retail porque capturan datos de primera mano estructurados y que cumplen con el GDPR. Los códigos de cupón (vouchers) se adaptan a salas de conferencias y niveles de acceso de pago. RADIUS con 802.1X está reservado para redes de personal donde se requiere una identidad respaldada por un directorio.

Guía de implementación paso a paso

Siga estos pasos dentro de la interfaz de Ruijie Cloud o del controlador local. Las rutas de la interfaz de usuario (UI) a continuación se aplican a la nueva interfaz de Ruijie Cloud (posterior a 2024) y a la plataforma Ruijie JaCS.

Paso 1: Configurar el SSID de invitados

Establezca la red de transmisión inalámbrica.

1. Inicie sesión en Ruijie Cloud o en la interfaz web del controlador local.
2. Vaya a Device Config y seleccione Wi-Fi en la sección Wireless.
3. Haga clic en + para crear un nuevo SSID o editar uno existente.
4. Establezca el SSID Name (por ejemplo, "WiFi gratis para invitados").
5. Establezca el Security Mode en Open (sin clave precompartida).
6. Asigne el SSID a su VLAN de invitados dedicada (por ejemplo, VLAN 30).
7. Guarde la configuración del SSID.

Paso 2: Definir la política de Captive Portal

Indique al controlador que intercepte el tráfico de invitados y lo redirija a Purple.

1. Vaya a Auth & Account y seleccione Captive Portal en la sección Authentication.
2. Cree una nueva política. Establezca un Policy Name descriptivo (por ejemplo, "Purple-Guest-Portal").
3. Establezca el Policy Mode en External.
4. Establezca el Authentication Device en su gateway Ruijie (serie RG-EG) o punto de acceso.
5. Seleccione el SSID de invitados creado en el Paso 1.
6. En el campo Portal Server URL, ingrese la URL específica de su página de inicio (splash page) de Purple (disponible en su panel de Purple en Hardware Configuration).
7. Ingrese las direcciones IP del servidor RADIUS de Purple en los campos designados.
8. Establezca la duración de Seamless Online para que coincida con su política de tiempo de espera de sesión (por ejemplo, 24 horas para hotelería, una hora para retail).
9. Decida el comportamiento de Portal Escape (consulte la sección de Mejores prácticas a continuación).

Paso 3: Configurar el walled garden (lista de permitidos)

Un Captive Portal intercepte todo el tráfico hasta que el usuario se autentique. Cierto tráfico debe pasar a través de la preautenticación para permitir que la página de inicio de sesión cargue uny procesar los inicios de sesión con redes sociales. Este es el elemento que se configura incorrectamente con mayor frecuencia en cualquier implementación de Captive Portal.

1. Navegue a Auth & Account y seleccione Allowlist.
2. Agregue todos los dominios de infraestructura de Purple requeridos. Su dashboard de Purple proporciona la lista exacta para su región.
3. Si ofrece inicio de sesión con redes sociales, agregue los dominios de OAuth para cada proveedor:
   • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
   • Para Google Workspace: *.google.com, accounts.google.com
   • Para Okta: su dominio de tenant de Okta específico
4. Agregue los dominios de procesadores de pago si ofrece niveles de WiFi de pago.
5. Guarde y aplique la allowlist.

Paso 4: Configurar la autenticación RADIUS

Configure el canal de comunicación seguro entre Ruijie y Purple.

1. Navegue a la configuración del servidor RADIUS en su controlador o gateway Ruijie.
2. Agregue la dirección IP del servidor RADIUS principal de Purple y el puerto 1812 para la autenticación.
3. Agregue la dirección IP del servidor RADIUS secundario de Purple como failover.
4. Ingrese el Shared Secret de su dashboard de Purple. Debe coincidir exactamente.
5. Agregue el servidor de contabilidad en el puerto 1813 y habilite la contabilidad RADIUS. Esto realiza el seguimiento de la duración de la sesión y el uso de datos, alimentando directamente los informes de WiFi Analytics de Purple.
6. Establezca el NAS Identifier con una cadena descriptiva (por ejemplo, el nombre de su establecimiento) para distinguir el tráfico en las analíticas de Purple.

Paso 5: Aplicar políticas de QoS

El acceso de invitados sin restricciones puede saturar su enlace de internet durante los períodos de mayor actividad.

1. Navegue a la sección de QoS o administración de ancho de banda de su gateway Ruijie.
2. Establezca límites de descarga por usuario (por ejemplo, 10 Mbps para huéspedes de hotel, 5 Mbps para compradores de tiendas minoristas).
3. Establezca límites de carga por usuario (por ejemplo, 2-5 Mbps).
4. Deshabilite Client Escape para garantizar que los usuarios no autenticados no puedan acceder a la red si el servidor del portal no está disponible temporalmente.
5. Guarde y envíe la configuración a todos los dispositivos relevantes.

Paso 6: Probar la implementación

Realice siempre las pruebas desde un dispositivo limpio sin credenciales en caché.

1. Conecte un dispositivo móvil al SSID de invitados.
2. Abra un navegador y navegue a una URL que no sea HTTPS (por ejemplo, http://example.com). El portal debería redireccionar.
3. Verifique que la splash page de Purple se cargue correctamente.
4. Complete el flujo de autenticación.
5. Confirme que se otorgue acceso a internet después de la autenticación.
6. Revise el dashboard de Purple para confirmar que la sesión aparezca en sus analíticas.

Mejores prácticas para la implementación empresarial

Seguridad y cumplimiento

Nunca dependa de una PSK compartida para el acceso de invitados. Las contraseñas compartidas no ofrecen responsabilidad y son imposibles de revocar para un solo usuario. Al utilizar el Captive Portal de Purple con autenticación individual, usted exige el consentimiento explícito para el procesamiento de datos, cumpliendo con los requisitos del Artículo 7 del GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que garantiza que el mecanismo de captura de datos en sí sea auditable.

Para analizar más a fondo la arquitectura de seguridad, lea nuestra Seguridad WiFi empresarial: Una guía completa para 2026 y ¿Qué es un WiFi seguro?: Guía esencial para empresas 2026 .

Portal Escape: una decisión deliberada

La función Portal Escape de Ruijie libera automáticamente el tráfico de los usuarios si el AP y el servidor del portal dejan de estar disponibles. En un entorno de hospitalidad, puede optar por habilitarla: un huésped que se queda sin acceso a WiFi debido a una falla temporal del servidor genera quejas. En un entorno de comercio minorista o de atención médica, puede optar por deshabilitarla: el acceso no autenticado representa un riesgo de seguridad y cumplimiento. Documente su decisión y la justificación en su manual de procedimientos (runbook) de red.

Consistencia multisitio

Utilice Ruijie Cloud para administrar la configuración de forma centralizada en todos los sitios. Envíe las políticas del portal de manera simultánea para eliminar la discrepancia de configuración por sitio, la cual es la causa más común de experiencias de invitados inconsistentes en una propiedad distribuida. La superposición en la nube de Purple opera bajo el mismo principio: un solo dashboard, todos los establecimientos.

Administración de firmware

Algunas funciones de Captive Portal de Ruijie, en particular los controles de ancho de banda y la asignación dinámica de VLAN, requieren versiones de firmware específicas en el gateway. Las notas de lanzamiento de Ruijie documentan estas dependencias. Asegúrese de que sus gateways RG-EG ejecuten el firmware RGOS11.9(6)B17T1 o superior para obtener soporte completo de QoS en implementaciones administradas desde la nube.

Resolución de problemas y mitigación de riesgos

La página del portal no se carga

Si el Captive Portal no aparece cuando un dispositivo se conecta, verifique primero la configuración de su walled garden. El dispositivo debe resolver el DNS y llegar a la URL del portal de Purple antes de la autenticación. Verifique que su allowlist de Ruijie incluya todos los dominios necesarios y que su servidor DNS sea accesible desde la VLAN de invitados.

Tiempos de espera de autenticación agotados

Si los usuarios ven el portal pero no pueden iniciar sesión, el problema suele estar en la configuración de RADIUS. Verifique las direcciones IP del servidor RADIUS, los puertos (1812 para autenticación, 1813 para contabilidad) y el secreto compartido. Asegúrese de que su firewall permita el tráfico UDP saliente en estos puertos desde la IP de administración del gateway Ruijie.

El inicio de sesión con redes sociales se congela

Si los usuarios hacen clic en un botón de inicio de sesión con redes sociales y no sucede nada, la redirección de OAuth se está bloqueando. Agregue los dominios del proveedor de redes sociales requeridos a su allowlist de Ruijie. Realice una prueba permitiendo temporalmente todo el tráfico antes de la autenticación para confirmar que el portal funcione, y luego restrinja la allowlist de forma incremental.

Fallas en la asignación dinámica de VLAN

Si utiliza RADIUS para asignar usuarios a VLAN de forma dinámica, asegúrese de que la respuesta de RADIUS incluya los atributos de VLAN correctos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Los gateways RG-EG310GH-E de Ruijie y similares admiten la asignación dinámica de VLAN, pero la función requiere una configuración explícita tanto en el servidor RADIUS como en el gateway.

ROI e impacto comercial

Implementar un Captive Portal seguro transforma el WiFi de invitados de un centro de costos a un activo estratégico. La plataforma WiFi Analytics de Purple, integraado con su infraestructura Ruijie, captura datos de primera mano, crea listas de contactos de alta intención y ofrece insights accionables sobre el comportamiento de los visitantes en todas sus instalaciones.

Harrods utilizó el Guest WiFi de Purple para promover su programa de lealtad, logrando una tasa de registro líder en el mercado y un ROI de 57x (datos de clientes de Purple). c2c Rail utilizó Purple para fomentar las reservas directas, logrando un retorno de inversión del 121% y ahorrando £76,000 en costos operativos (datos de clientes de Purple). Pizza Express implementó Purple en más de 470 restaurantes para crear perfiles de clientes más completos.

Para los operadores de hospitalidad , los datos capturados al iniciar sesión (correo electrónico, datos demográficos, frecuencia de visitas) se alimentan directamente a los sistemas CRM y programas de lealtad. Para los entornos de retail , el análisis de visitas recurrentes identifica a sus compradores de mayor valor. Para los centros de transporte , los datos de flujo de pasajeros optimizan la asignación de personal y la planificación del espacio comercial.

Purple se integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet, así como con Ruijie, lo que la convierte en la capa en la nube agnóstica de hardware que funciona con su infraestructura existente en lugar de reemplazarla.

Guías relacionadas: Integración de puntos de acceso Grandstream GWN con Purple WiFi