Ubiquiti UniFi y Purple WiFi: Guía de integración

Esta guía proporciona una referencia técnica definitiva para integrar la plataforma de inteligencia Purple WiFi con despliegues de red Ubiquiti UniFi, abarcando la arquitectura, la configuración paso a paso del controlador y la captura de datos de conformidad con el GDPR. Está diseñada para gerentes de TI, arquitectos de red y directores de operaciones que necesitan implementar una experiencia de WiFi para invitados segura y rica en funciones en entornos de hotelería, comercio minorista, eventos y sector público. Al configurar correctamente el UniFi Network Controller para aprovechar el Captive Portal externo de Purple, las organizaciones pueden transformar un centro de costos estándar en una valiosa fuente de análisis de visitantes e inteligencia de marketing.

📖 8 min de lectura📝 1,793 palabras🔧 2 ejemplos resueltos❓ 4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenidos al Informe Técnico de Purple. Soy su anfitrión, y en los próximos diez minutos, les ofreceremos una guía de nivel senior para integrar la plataforma de inteligencia WiFi de Purple con redes Ubiquiti UniFi. Esto está dirigido a gerentes de TI, arquitectos de red y directores de operaciones que necesitan orientación práctica para implementar una solución de WiFi para invitados de clase mundial. Cubriremos la arquitectura principal, un plan de implementación paso a paso y los errores comunes que se deben evitar.

Así que, pongamos el contexto. Tienen una red UniFi: es potente, es escalable, pero sus capacidades nativas de portal de invitados son básicas. Su organización necesita más que una simple contraseña; necesita inteligencia. Quieren comprender el comportamiento de los visitantes, capturar datos para marketing de conformidad con el GDPR y proporcionar una experiencia de usuario fluida y de marca. Este es el problema que resuelve la integración de Purple. Transforma su infraestructura UniFi de un simple proveedor de Internet en una rica fuente de inteligencia empresarial.

El núcleo de esta integración radica en la función Servidor de Portal Externo de UniFi. Cuando un invitado se conecta, el controlador UniFi no maneja el inicio de sesión por sí mismo. En su lugar, redirige al usuario a la plataforma en la nube de Purple, que se hace cargo de todo el proceso de autenticación. Después de que el usuario inicia sesión a través de una cuenta social, un formulario o un cupón, Purple realiza una llamada de API segura de retorno a su controlador UniFi para decir: 'Este usuario está autenticado, concédale acceso'. Es una arquitectura simple, robusta y altamente efectiva.

Ahora pasemos al análisis técnico detallado. Repasemos los cinco pasos clave para un despliegue exitoso. Seré conciso.

Paso uno: Accesibilidad del controlador. Su controlador UniFi debe ser accesible por la plataforma en la nube de Purple. Esto significa que necesitan una IP pública estática o un nombre de host, y deben configurar una regla de reenvío de puertos en su firewall. Es el puerto TCP 8443 para controladores de software y el puerto 443 para hardware como el UDM Pro o Cloud Key Gen2.

Paso dos: El SSID de invitados. Dentro de su aplicación de red UniFi, crearán una nueva red inalámbrica. La configuración crucial aquí es que el protocolo de seguridad debe ser Open. Esto no es negociable. Es este estado abierto el que permite que ocurra la redirección del Captive Portal. No se preocupen: la seguridad la manejan el portal y la segmentación de la red, no una clave precompartida.

Paso tres: El Hotspot Portal. Aquí es donde le dicen a UniFi que use Purple. Habilitarán el Hotspot Portal y establecerán el tipo de autenticación en Servidor de Portal Externo. Luego, ingresarán la dirección IP específica y el dominio de acceso proporcionados por Purple. Un error clave que se debe evitar aquí es habilitar la redirección HTTPS. Purple gestiona la seguridad, por lo que esto debe estar deshabilitado.

Paso cuatro: El Walled Garden. Esta es la parte más crítica y a menudo incomprendida de la configuración. El Walled Garden es su lista blanca de preautenticación. Deben agregar todos los dominios de Purple, además de los dominios de cualquier proveedor de inicio de sesión social que deseen ofrecer, como facebook.com. Si esta lista está incompleta, el portal simplemente no se cargará para sus invitados. Es el primer lugar que se debe verificar al solucionar problemas.

Paso cinco: El portal de Purple. Finalmente, inician sesión en su cuenta de Purple. En la configuración de su sitio, ingresarán la dirección pública de su controlador UniFi y, muy importante, las credenciales de una cuenta de administrador local dedicada, no su cuenta de la nube de Ubiquiti. Esto es lo que permite a Purple realizar esa llamada de API vital para autorizar al invitado.

Sigan esos cinco pasos y tendrán una solución de WiFi para invitados robusta y de nivel empresarial.

Hablemos de recomendaciones de implementación y errores comunes. Práctica recomendada número uno: segmentación de red. Su SSID de invitados debe estar en su propia VLAN, completamente aislada de su red corporativa. Esto no es negociable para la seguridad y el cumplimiento de PCI DSS. Segundo, utilicen la limitación de ancho de banda. UniFi les permite establecer límites de velocidad por usuario. Utilícenlos para garantizar una experiencia justa para todos. Tercero, como mencioné, utilicen una cuenta de administrador local dedicada para la API. Limita su exposición de seguridad.

El error más común que vemos es una redirección fallida: el portal no se carga. Nueve de cada diez veces, esto se debe a un Walled Garden incompleto. El segundo problema más común es un inicio de sesión exitoso, pero sin acceso a Internet. Esto apunta directamente a una falla de comunicación entre Purple y su controlador. Verifiquen sus reglas de reenvío de puertos y las credenciales de administrador en el portal de Purple.

Hora de una sesión de preguntas y respuestas rápidas. A menudo me preguntan: ¿Puedo hacer esto con un UDM Pro? Sí, absolutamente. El proceso es idéntico, solo recuerden usar el puerto 443. ¿Qué pasa si cambia la IP de mi controlador? Necesitan una IP estática o un nombre de host DNS dinámico. Si la dirección cambia, la integración se romperá. ¿Qué tan seguro es un SSID Open? La seguridad se aplica mediante el aislamiento de clientes en el punto de acceso y las reglas de firewall de la VLAN. La red de invitados está aislada. Para una seguridad aún mayor, podemos implementar WPA3-Enterprise con RADIUS, que es lo que hace nuestra solución PurpleConnex.

En resumen, integrar Purple con UniFi eleva su WiFi para invitados de un simple servicio básico a un activo estratégico. Proporciona una profunda inteligencia empresarial, potentes capacidades de marketing y una experiencia de usuario profesional. La clave del éxito es un enfoque metódico de la configuración: garantizar el acceso público al controlador, usar un SSID abierto, configurar correctamente el portal externo y el Walled Garden, y usar un administrador local dedicado para la API. Al seguir esta guía, pueden garantizar un despliegue fluido, exitoso y de gran valor. Para obtener instrucciones escritas detalladas paso a paso y diagramas, consulte la guía de referencia técnica completa en nuestro sitio web. Gracias por escuchar el Informe Técnico de Purple.

Puntos clave

✓La integración de UniFi/Purple utiliza la función Servidor de Portal Externo de UniFi para redirigir a los invitados al Captive Portal de Purple, que maneja la autenticación y realiza una llamada de retorno a la API de UniFi para autorizar el acceso de los invitados; no se requiere hardware adicional.
✓El Walled Garden (lista de acceso previa a la autorización) es el elemento más crítico y el que se configura incorrectamente con más frecuencia en el despliegue. Debe incluir todos los dominios de Purple, los dominios de los proveedores de inicio de sesión social y los endpoints de Apple CNA antes de que el portal funcione correctamente.
✓Utilice siempre una cuenta de administrador local dedicada en el controlador UniFi para la integración de la API de Purple; nunca utilice las credenciales de su cuenta principal en la nube de Ubiquiti. Esto es tanto una mejor práctica de seguridad como un requisito de confiabilidad.
✓El puerto de API correcto depende del tipo de controlador: TCP 8443 para controladores basados en software, TCP 443 para controladores basados en hardware (UDM Pro, UDM SE, UDR, CloudKey Gen2+). Configurar el puerto incorrecto es una causa común de fallas en la comunicación de la API.
✓La segmentación de la red no es negociable: el SSID de invitados debe estar en una VLAN dedicada, protegida por firewall de todas las redes corporativas y de administración. Esto es necesario tanto para la seguridad como para el cumplimiento de PCI DSS.
✓El ROI de la integración de Purple se extiende mucho más allá de la conectividad: el análisis de visitantes, la captura de datos de conformidad con el GDPR, la integración con CRM y las comunicaciones de marketing dirigidas transforman el WiFi para invitados en un activo comercial medible.
✓Para los usuarios recurrentes, la función PurpleConnex (Passpoint/IEEE 802.11u) de Purple proporciona una experiencia de reconexión fluida y sin credenciales mediante autenticación EAP-TTLS basada en RADIUS, eliminando la necesidad de volver a autenticarse a través del Captive Portal en visitas posteriores.

Resumen Ejecutivo

Ubiquiti UniFi es una de las plataformas de WiFi empresariales más implementadas en el mundo, elegida por hoteles, cadenas de retail, estadios y organizaciones del sector público por su rendimiento, escalabilidad y rentabilidad. Sin embargo, sus capacidades nativas de portal de invitados son limitadas. La plataforma de inteligencia de WiFi de Purple resuelve esta brecha integrándose directamente con el UniFi Network Controller a través de su función External Portal Server, ofreciendo una experiencia de Captive Portal totalmente personalizada y rica en analíticas sin necesidad de hardware adicional.

Esta guía proporciona una referencia técnica completa para dicha integración. Cubre la arquitectura subyacente, un proceso de configuración paso a paso tanto para versiones de UniFi actuales (v7.4+) como heredadas (v7.3 y anteriores), mejores prácticas de seguridad y cumplimiento, y un marco estructurado para la resolución de problemas. Las organizaciones que completan esta integración obtienen acceso a analíticas de visitantes en tiempo real, captura de datos que cumple con el GDPR, integración con CRM y la capacidad de enviar comunicaciones de marketing dirigidas, transformando el WiFi de invitados de un centro de costos a un activo empresarial medible.

Análisis Técnico Profundo

La integración entre Ubiquiti UniFi y Purple se basa en la funcionalidad External Portal Server de UniFi. Esta característica redirige a los usuarios invitados desde el controlador UniFi local a un Captive Portal de terceros designado; en este caso, la plataforma Purple. El mecanismo subyacente depende de una serie de redirecciones HTTP y llamadas de API que gestionan el ciclo de vida de la autorización de invitados.

Cuando un invitado se conecta al SSID de autenticación abierta designado, el controlador UniFi coloca su dispositivo en un estado "pendiente". En este estado, todo el tráfico HTTP se intercepta y se redirige a la URL de la página de bienvenida de Purple, con parámetros clave añadidos a la cadena de consulta de la URL: la dirección MAC del invitado, la dirección MAC del AP y el identificador del sitio. La plataforma Purple captura estos parámetros, presenta la experiencia de inicio de sesión adecuada y, tras la autenticación exitosa del usuario (ya sea mediante inicio de sesión social, formulario de correo electrónico o cupón), realiza una llamada de API HTTPS segura de vuelta al UniFi Network Controller para autorizar la dirección MAC del invitado durante una duración de sesión específica. Esta autorización cambia el dispositivo del estado "pendiente" al estado "autorizado", otorgándole acceso a internet.

Un componente crítico de esta arquitectura es el Walled Garden: una lista blanca de direcciones IP y dominios a los que los dispositivos de los invitados tienen permitido acceder antes de la autenticación. Esto es esencial para permitir el acceso a los propios dominios de Purple, proveedores de inicio de sesión social (Facebook, Google), endpoints de detección CNA de Apple y cualquier otro servicio externo requerido. Sin un Walled Garden configurado correctamente, el Captive Portal no se cargará en absoluto.

Para implementaciones más avanzadas, la función PurpleConnex de Purple introduce soporte para Passpoint (IEEE 802.11u), utilizando un servidor RADIUS para una reconexión fluida y sin credenciales para los usuarios que regresan. Esto requiere configurar un perfil RADIUS dentro de UniFi que apunte al servidor de autenticación de Purple en la IP 34.150.158.147, en los puertos 1812 (autenticación) y 1813 (contabilidad).

Guía de Implementación

Esta sección proporciona una guía paso a paso para configurar su UniFi Network Controller para integrarse con Purple. Las siguientes instrucciones se aplican a la versión 7.4 o posterior de la aplicación UniFi Network. Para versiones heredadas (v7.3 y anteriores), los principios de configuración son idénticos, pero la ruta de navegación difiere ligeramente, utilizando Profiles > Guest Hotspot en lugar del Hotspot Manager.

Paso 1: Verificar y establecer la accesibilidad del controlador. Antes de comenzar cualquier configuración, confirme que su UniFi Network Controller sea accesible desde el internet público. La plataforma en la nube de Purple debe poder comunicarse con la API de su controlador para autorizar las sesiones de los invitados. Para controladores UniFi basados en software, esto requiere una regla de reenvío de puertos en su firewall que asocie el puerto TCP 8443 a la dirección IP interna de la LAN del controlador. Para implementaciones basadas en hardware, incluidos UniFi Dream Machine Pro (UDM Pro), UDM Special Edition, UDR y CloudKey Gen2+, el puerto correspondiente es el TCP 443.

Paso 2: Crear una cuenta de administrador local dedicada. Por higiene de seguridad, nunca utilice las credenciales de su cuenta principal de superadministrador o de la nube de Ubiquiti para la integración de la API de Purple. Cree una nueva cuenta de administrador local dedicada en su controlador UniFi específicamente para este propósito. Esta cuenta debe tener privilegios administrativos completos para el sitio correspondiente. El uso de una cuenta dedicada limita el radio de impacto de cualquier posible compromiso de credenciales y garantiza que la integración no se vea interrumpida por cambios en su cuenta principal.

Paso 3: Crear el SSID de WiFi para invitados. En la aplicación UniFi Network, navegue a Settings > WiFi y haga clic en Create New. Asigne un nombre de cara al público (por ejemplo, "Hotel Guest WiFi"). Establezca el Security Protocol en Open; esto es obligatorio para que funcione el mecanismo de redirección del Captive Portal. Asigne el SSID a su VLAN de invitados designada. Active la opción Hotspot Portal.

Paso 4: Configurar el Hotspot Portal y el servidor externo. Navegue a Hotspot Manager > Landing Page. Bajo Authentication, selecciona External Portal Server e ingresa la dirección IP del Portal Externo proporcionada por Purple. En Settings, configura de la siguiente manera: habilita Secure Portal, habilita Redirect using Hostname e ingresa el Access Domain proporcionado por Purple, y asegúrate de que HTTPS Redirection esté configurado como Disabled. La Default Expiration de la sesión debe establecerse en 8 horas.

Paso 5: Configura el Walled Garden. En la configuración del Hotspot Manager, localiza la sección Pre-Authorization Access. Agrega todos los dominios de la lista proporcionada por Purple. Esta lista normalmente incluye los dominios de la propia plataforma de Purple, dominios de proveedores de inicio de sesión social (facebook.com, google.com, accounts.google.com), los endpoints de detección del Captive Network Assistant (CNA) de Apple y cualquier otro servicio de terceros utilizado en tu splash page. Este paso es la fuente más común de fallas en la implementación y debe completarse con precisión.

Paso 6: Ingresa los detalles del controlador en el Portal de Purple. Inicia sesión en tu cuenta de Purple y navega a la configuración del Venue correspondiente. Ingresa la dirección IP pública o el hostname de tu UniFi Controller y las credenciales de la cuenta de administrador local dedicada creada en el Paso 2. Guarda la configuración. Purple intentará validar la conexión.

Paso 7: Prueba y valida. Con un dispositivo móvil que no se haya conectado previamente a la red, conéctate al nuevo SSID de invitados. Deberías ser redirigido automáticamente al Captive Portal de Purple. Autentícate con uno de los métodos configurados. Si tiene éxito, se te debería otorgar acceso a internet. Si la redirección falla o no se otorga acceso a internet después de la autenticación, consulta la sección de Resolución de problemas a continuación.

Mejores Prácticas

La segmentación de red es el requisito de seguridad fundamental para cualquier implementación de WiFi para invitados. El SSID de invitados debe asignarse a una VLAN dedicada que esté protegida por un firewall de todas las redes corporativas y administrativas. Esto evita que los dispositivos de los invitados accedan a los recursos internos, cumple con los requisitos de aislamiento de red de PCI DSS y limita el impacto de cualquier incidente de seguridad en la red de invitados.

La gestión del ancho de banda es igualmente importante en entornos de alta densidad. La función de limitación de velocidad por usuario de UniFi debe configurarse para establecer límites razonables de carga y descarga para los usuarios invitados. Esto evita que un pequeño número de usuarios de alto ancho de banda degrade la experiencia de todos los invitados, lo cual es particularmente relevante en implementaciones de hoteles y centros de conferencias.

El Walled Garden requiere mantenimiento continuo. Los proveedores de inicio de sesión social y otros servicios de terceros actualizan periódicamente sus estructuras de dominio. Una revisión trimestral de la configuración del Walled Garden, contrastada con la lista de dominios recomendada más reciente de Purple, es una práctica operativa sólida. No mantener esta lista es la causa principal de fallas en el portal después de la implementación.

Para la integración de la API, utiliza siempre una cuenta de administrador local dedicada en lugar de una cuenta vinculada a la nube. Esta es tanto una mejor práctica de seguridad como una medida de confiabilidad; las credenciales de las cuentas en la nube están sujetas a flujos de autenticación multifactor que pueden interrumpir las llamadas automatizadas de la API que realiza Purple para autorizar a los invitados.

Resolución de problemas y mitigación de riesgos

El modo de falla más común es un Captive Portal que no se carga. Cuando un invitado se conecta al SSID pero no ve ninguna redirección, o la página del portal no se procesa, la causa raíz es casi invariablemente un Walled Garden incompleto. Comienza la resolución de problemas conectando un dispositivo de prueba e intentando navegar a una URL HTTP conocida. Si la redirección ocurre pero la página no se carga, agrega los dominios faltantes al Walled Garden. También verifica que el DNS de la red de invitados esté configurado correctamente para resolver hostnames externos.

La segunda falla más común es un escenario en el que el invitado se autentica con éxito en el portal de Purple pero no se le otorga acceso a internet. Esto indica una falla en la comunicación de la API entre Purple y el controlador UniFi. Los pasos de diagnóstico son: primero, confirma que el controlador sea accesible públicamente en el puerto correcto intentando acceder a él desde una red externa; segundo, verifica que las credenciales de administrador local ingresadas en el portal de Purple sean correctas y que la cuenta no haya sido bloqueada; tercero, revisa los registros de eventos del controlador UniFi para detectar cualquier error de autenticación de la API.

Para implementaciones de producción, la disponibilidad del controlador es un factor de riesgo crítico. Si el controlador UniFi se desconecta, las nuevas autorizaciones de invitados fallarán. Las estrategias de mitigación incluyen la implementación de un controlador UniFi alojado en la nube (que proporciona redundancia inherente), la implementación de un par de controladores de alta disponibilidad o la configuración de monitoreo y alertas sobre la disponibilidad del controlador. La plataforma de Purple pondrá en cola los intentos de autorización y volverá a intentarlo, pero un tiempo de inactividad prolongado del controlador resultará en una experiencia degradada para los invitados.

Desde la perspectiva del cumplimiento, los datos recopilados a través del Captive Portal están sujetos al GDPR y a las regulaciones de protección de datos equivalentes. La plataforma de Purple está diseñada para cumplir con estas normas, proporcionando gestión de consentimiento, herramientas para solicitudes de acceso a datos por parte de los interesados (DSAR) y políticas configurables de retención de datos. Sin embargo, la responsabilidad legal del procesamiento lícito de datos sigue siendo del operador del establecimiento. Asegúrate de que tu política de privacidad esté claramente vinculada en la splash page, que tengas una base legal documentada para la recopilación de datos y que tu configuración de retención de datos se alinee con la política de tu organización.

ROI e impacto comercial

Integrar Purple con UniFi no es simplemente una actualización técnica; es una decisión comercial estratégica que transforma el WiFi de invitados de un centro de costos a un activo poderoso. El retorno de la inversión es medible en varias dimensiones clave.

La inteligencia comercial es el principal motor de valor. Purple captura datos enriquecidos y anonimizados sobre el comportamiento de los visitantes, incluidos el flujo de personas, los tiempos de permanencia, la frecuencia de las visitas y los patrones de movimiento. Para una cadena de tiendas, estos datos pueden informar directamente las decisiones de diseño de la tienda y los niveles de personal, y la programación de promociones. Para un hotel, puede revelar qué servicios se utilizan más y en qué horarios, lo que permite una venta incremental más dirigida y una mayor eficiencia operativa.

Las capacidades de marketing y engagement representan un beneficio secundario significativo. Al capturar los datos de contacto de los huéspedes con su consentimiento, las organizaciones pueden crear una base de datos de marketing de primera mano que no está sujeta a las limitaciones de la desaparición de las cookies de terceros. Las campañas de correo electrónico posteriores a la visita, las encuestas de satisfacción y las invitaciones a programas de fidelización se pueden automatizar directamente desde la plataforma Purple, lo que genera mejoras medibles en las tasas de visitas recurrentes y en el valor del ciclo de vida del cliente.

Para grandes recintos como estadios, centros de conferencias y centros comerciales, la inteligencia operativa derivada de los análisis de afluencia en tiempo real y los mapas de calor puede generar mejoras significativas en la eficiencia, optimizando los horarios de limpieza, el despliegue de seguridad y la ubicación de concesiones comerciales en función de los datos reales de movimiento de los visitantes en lugar de suposiciones.

En ciertos contextos, la propia infraestructura de WiFi para huéspedes se puede monetizar a través de modelos de acceso por niveles, páginas de inicio patrocinadas o publicidad dirigida, creando una fuente de ingresos directa que compensa el costo de la inversión en infraestructura.

Definiciones clave

Captive Portal

Una página web que se muestra a los usuarios recién conectados a una red WiFi antes de que se les conceda un acceso más amplio a Internet. Controla el acceso, autentica a los usuarios y/o presenta los términos de servicio y el contenido de marketing.

En una integración de UniFi/Purple, el controlador UniFi redirige al invitado al Captive Portal alojado en Purple, que gestiona toda la experiencia del invitado, incluyendo la autenticación, la captura de consentimiento y la personalización de marca.

External Portal Server

Una opción de configuración de UniFi que delega la experiencia del Captive Portal a una aplicación web de terceros, en lugar de utilizar el portal integrado de UniFi. El controlador UniFi redirige a los invitados a la URL externa especificada y depende de ese sistema para manejar la autenticación y para realizar una llamada de retorno a la API del controlador para autorizar al invitado.

Esta es la configuración principal de UniFi que habilita la integración con Purple. Se encuentra en Hotspot Manager > Landing Page > Authentication en UniFi Network v7.4+.

Walled Garden

Una lista blanca de direcciones IP, nombres de host y dominios a los que un dispositivo de invitado tiene permitido acceder antes de ser autenticado por el Captive Portal. El tráfico a destinos que no están en la lista blanca se bloquea hasta que el invitado completa el flujo de autenticación.

Esto es fundamental para permitir que el dispositivo cargue la página de bienvenida de Purple, así como cualquier recurso de terceros del que dependa, como proveedores de inicio de sesión social o pasarelas de pago. Un Walled Garden incompleto es la causa principal de fallas en el Captive Portal.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red (RFC 2865) que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

Aunque la integración estándar de Purple utiliza la API de UniFi para la autorización de invitados, la función PurpleConnex (Passpoint) utiliza RADIUS para proporcionar una experiencia de conexión más segura y fluida para los usuarios recurrentes, eliminando la necesidad de volver a autenticarse a través del Captive Portal.

Passpoint (IEEE 802.11u / Hotspot 2.0)

Un programa de certificación de WiFi Alliance que permite la autenticación automática y segura en redes WiFi sin requerir que el usuario seleccione manualmente una red o ingrese credenciales. Los dispositivos con un perfil Passpoint se conectan de forma automática y segura mediante autenticación basada en EAP.

La función PurpleConnex de Purple aprovecha Passpoint para proporcionar una experiencia de reconexión fluida para los invitados recurrentes. Una vez que un usuario se ha autenticado una vez a través del Captive Portal, las visitas posteriores se pueden conectar automáticamente sin ver la página de bienvenida de nuevo.

SSID (Service Set Identifier)

El nombre público de una red de área local inalámbrica (WLAN): el nombre de red que aparece cuando un usuario busca conexiones WiFi disponibles en su dispositivo.

Para la integración de una red de invitados, se crea un SSID dedicado con seguridad Open y se vincula al Captive Portal. Este se mantiene separado del SSID corporativo, que utiliza autenticación WPA2/WPA3-Enterprise.

VLAN (Virtual Local Area Network)

Un método para crear redes lógicamente separadas en la misma infraestructura de red física. Los dispositivos en diferentes VLAN no pueden comunicarse entre sí sin un enrutador, lo que proporciona segmentación de red y aislamiento de seguridad.

Las mejores prácticas de seguridad y el cumplimiento de PCI DSS requieren que el SSID de invitados se coloque en su propia VLAN, completamente aislada de las redes corporativas, de administración y de POS. Esto evita que los dispositivos de los invitados accedan a los recursos internos.

WISPr (Wireless Internet Service Provider Roaming)

Un protocolo estándar de la industria que define cómo un dispositivo cliente descubre y se autentica en el Captive Portal de un punto de acceso WiFi. Utiliza redirecciones HTTP y mensajes de autenticación basados en XML para gestionar la interacción con el portal.

La funcionalidad de portal externo de UniFi se basa en los principios de WISPr. Comprender este protocolo ayuda a los ingenieros de red a solucionar fallas de redirección y a entender por qué ciertos dispositivos cliente (particularmente iOS y Android) se comportan de manera diferente al conectarse a redes con Captive Portal.

Port Forwarding

Una técnica de traducción de direcciones de red (NAT) que mapea un puerto externo en un enrutador o firewall a una dirección IP y puerto internos específicos, lo que permite que servicios externos inicien conexiones con dispositivos en una red privada.

Si su controlador UniFi está alojado en una red local, se debe configurar una regla de reenvío de puertos para permitir que la plataforma en la nube de Purple llegue a la API del controlador. El puerto requerido es el 8443 para controladores de software o el 443 para controladores basados en hardware.

PurpleConnex

La implementación de Purple del estándar Passpoint (IEEE 802.11u), que proporciona una conexión WiFi segura y fluida para usuarios recurrentes mediante autenticación EAP-TTLS a través de un servidor RADIUS dedicado. Elimina la necesidad de que los visitantes recurrentes se vuelvan a autenticar a través del Captive Portal.

PurpleConnex requiere una configuración adicional en UniFi: un perfil RADIUS que apunte al servidor de autenticación de Purple y un SSID independiente habilitado para Passpoint. Es particularmente valioso en entornos de hotelería y comercio minorista donde los visitantes recurrentes son comunes.

Ejemplos resueltos

Un hotel boutique de 250 habitaciones desea reemplazar su WiFi para invitados básico y poco confiable por una experiencia premium y de marca. Sus objetivos son capturar las direcciones de correo electrónico de los huéspedes para marketing posterior a la estancia, promocionar su spa y restaurante en la página de inicio de sesión y garantizar una conectividad sin problemas para los huéspedes con múltiples dispositivos. Su infraestructura consta de un UniFi Dream Machine Pro y 40 puntos de acceso UniFi U6 Pro.

El despliegue recomendado integra el UDM Pro con Purple a través del método de Servidor de Portal Externo. Se crea un nuevo SSID 'Hotel Guest WiFi' con seguridad Open y se asigna a una VLAN de invitados dedicada (por ejemplo, VLAN 20), la cual está protegida por firewall de las redes de administración y POS del hotel. El Hotspot Portal se habilita y configura para usar Purple como el servidor de portal externo. Dado que el UDM Pro utiliza el puerto 443, se crea una regla de reenvío de puertos en la interfaz WAN del UDM Pro que mapea el puerto TCP 443 a la IP de la LAN del UDM Pro. Se crea una cuenta de administrador local dedicada ('purple-api') en el UDM Pro con privilegios completos de sitio. En el portal de Purple, se diseña una página de bienvenida personalizada con el logotipo del hotel, un formulario simple de captura de correo electrónico con casilla de verificación de consentimiento de GDPR y un banner destacado que anuncia el spa con un enlace de reserva directa. El Walled Garden se configura para incluir todos los dominios de Purple, Facebook, Google y los endpoints de Apple CNA. Se le otorga acceso al equipo de marketing del hotel al panel de análisis de Purple, lo que les permite realizar un seguimiento del recuento diario de invitados, las horas pico de conexión y las tasas de captura de correo electrónico. Dentro del primer trimestre, el hotel captura un promedio de 180 nuevas direcciones de correo electrónico por semana, que se sincronizan automáticamente con su CRM para la automatización de campañas posteriores a la estancia.

Comentario del examinador: Esta solución aborda correctamente todos los requisitos. La elección de un Captive Portal externo en lugar del portal integrado de UniFi es el único enfoque viable para lograr el nivel requerido de personalización de marca, captura de datos e integración con CRM. La decisión de utilizar una cuenta de administrador local dedicada ('purple-api') en lugar del superadministrador principal es una práctica recomendada de seguridad crítica: limita el alcance del acceso a la API y garantiza que la integración no se vea interrumpida por cambios en la cuenta principal. La segmentación de VLAN protege los sistemas POS y de administración del hotel del tráfico de la red de invitados, lo cual es un requisito de PCI DSS. La configuración del puerto 443 para el UDM Pro es un punto común de confusión para los ingenieros acostumbrados a los controladores de software; esta distinción debe entenderse claramente antes del despliegue.

Una cadena de tiendas minoristas con 20 sucursales en todo el Reino Unido, cada una equipada con AP de UniFi administrados por un único controlador UniFi alojado en la nube, desea utilizar los datos de WiFi para invitados para comprender el comportamiento de los clientes. El director de operaciones necesita medir la afluencia, el tiempo de permanencia y las tasas de visitantes recurrentes en todas las tiendas para informar un programa de rediseño de la distribución de las tiendas y evaluar el rendimiento de las campañas promocionales en las tiendas.

El controlador UniFi alojado en la nube ya tiene un nombre de host público, por lo que no se requiere reenvío de puertos, lo que simplifica significativamente el despliegue. Se configura un único SSID de invitados ('Brand WiFi') y se aplica a los 20 sitios a través de las capacidades de administración de sitios del controlador UniFi. El Hotspot Portal se configura para usar el servidor de portal externo de Purple. En el portal de Purple, cada una de las 20 tiendas se configura como un sitio independiente, lo que permite análisis detallados a nivel de tienda. La página de bienvenida está diseñada para una máxima adopción: un único botón de 'Conectar' con un breve aviso de privacidad, minimizando la fricción. Dentro de la plataforma de análisis de Purple, el director de operaciones puede ver un panel comparativo que muestra la afluencia, el tiempo de permanencia y las proporciones de visitantes nuevos frente a los recurrentes para cada tienda. Después de 90 días de recopilación de datos, los análisis revelan que tres tiendas tienen tiempos de permanencia significativamente más altos que las demás, lo que se correlaciona con una distribución de tienda específica. Esta información informa directamente el programa de rediseño de la distribución, implementando el diseño de alto rendimiento en las 20 tiendas. Se ejecuta una campaña promocional en todas las tiendas simultáneamente, y el panel de Purple proporciona una comparación clara de antes y después de la afluencia y el tiempo de permanencia, demostrando un aumento medible de la campaña.

Comentario del examinador: Este escenario destaca el poder de un despliegue de Purple centralizado y multisitio. La decisión arquitectónica clave es el uso de un único controlador UniFi alojado en la nube, lo que elimina la complejidad del reenvío de puertos presente en los despliegues locales y proporciona un único punto de administración para los 20 sitios. El diseño de la página de bienvenida con conexión de un solo clic y baja fricción es la elección correcta para un entorno minorista donde el objetivo principal es maximizar el volumen de recopilación de datos; un formulario de inicio de sesión complejo reduciría significativamente las tasas de adopción. La separación de cada tienda como un sitio distinto en Purple es esencial para generar información útil a nivel de tienda en lugar de datos agregados que ocultan las diferencias de rendimiento entre las ubicaciones.

Preguntas de práctica

Q1. Un gerente de TI de un hotel completó la configuración de la integración de UniFi/Purple y la probó con éxito en la oficina. Sin embargo, después de implementarla en el entorno real del hotel, los huéspedes informan que la página del Captive Portal se carga pero el botón 'Iniciar sesión con Facebook' no funciona. ¿Cuál es la causa más probable y cómo debería resolverse?

Sugerencia: Considere qué recursos necesita cargar y utilizar el botón de inicio de sesión de Facebook para funcionar, y si esos recursos son accesibles para un dispositivo de invitado antes de la autenticación.

Ver respuesta modelo

La causa más probable es que los dominios de inicio de sesión de Facebook no están incluidos en el Walled Garden (lista de acceso previa a la autorización). Cuando un dispositivo de invitado está en estado 'pendiente', solo puede acceder a los dominios explícitamente incluidos en la lista blanca del Walled Garden. El flujo de inicio de sesión de Facebook requiere acceso a facebook.com, fbcdn.net y dominios relacionados. La resolución consiste en agregar todos los dominios de Facebook requeridos al Walled Garden en la configuración del UniFi Hotspot Manager. Purple proporciona una lista actualizada de los dominios requeridos para cada proveedor de inicio de sesión social. Después de actualizar el Walled Garden, pruebe el flujo de inicio de sesión de Facebook nuevamente con una nueva conexión de dispositivo.

Q2. Un arquitecto de red está planificando un despliegue de WiFi para invitados para un centro de conferencias de 5,000 asientos que albergará eventos con hasta 3,000 usuarios simultáneos de WiFi. El recinto utiliza un controlador UniFi basado en software alojado en un servidor en la sala de servidores del lugar. ¿Cuáles son las tres consideraciones de infraestructura más críticas para garantizar que la integración con Purple siga siendo confiable durante los eventos pico?

Sugerencia: Piense en los puntos únicos de falla en la arquitectura de integración: ¿qué sucede si el controlador se desconecta, si la conexión a Internet se satura o si el hardware del controlador no tiene la potencia suficiente?

Ver respuesta modelo

Las tres consideraciones más críticas son: Primero, la disponibilidad y el rendimiento del controlador; el controlador UniFi es un componente crítico en cada autorización de invitado. Con 3,000 usuarios simultáneos, el controlador debe tener suficiente CPU y RAM para manejar la carga. Considere actualizar a un servidor de altas especificaciones o migrar a un controlador alojado en la nube para obtener redundancia inherente. Segundo, la conectividad a Internet y la confiabilidad del reenvío de puertos; las llamadas de API de Purple al controlador deben atravesar la conexión a Internet del recinto. Asegúrese de que la regla de reenvío de puertos esté en un firewall resistente y que la conexión a Internet tenga la capacidad suficiente. Es aconsejable contar con una conexión a Internet secundaria con conmutación por error automática para eventos de misión crítica. Tercero, la gestión del ancho de banda; con 3,000 usuarios, implemente límites de velocidad estrictos por usuario en UniFi para evitar el agotamiento del ancho de banda. Sin limitación de velocidad, un pequeño número de usuarios de alto ancho de banda puede degradar la experiencia de todos los invitados.

Q3. El equipo legal le pide a un gerente de TI de una cadena de tiendas minoristas que se asegure de que la recopilación de datos de WiFi para invitados cumpla totalmente con el GDPR. La página de bienvenida actual tiene un botón simple de 'Conectar' sin ningún mecanismo de consentimiento explícito. ¿Qué cambios deben realizarse en la configuración de Purple y qué procesos operativos continuos deben implementarse?

Sugerencia: El GDPR requiere una base legal para el procesamiento de datos personales, transparencia sobre cómo se utilizarán los datos y mecanismos para que los interesados ejerzan sus derechos.

Ver respuesta modelo

Se requieren los siguientes cambios y procesos: En la página de bienvenida, el botón 'Conectar' debe reemplazarse por un mecanismo de suscripción explícito. Esto significa agregar una casilla de verificación de consentimiento claramente redactada (desmarcada por defecto) que indique qué datos se recopilan, cómo se utilizarán y con quién se compartirán. Debe mostrarse de manera destacada un enlace a la política de privacidad completa. La base legal para el procesamiento debe ser el consentimiento explícito para comunicaciones de marketing y el interés legítimo para análisis anonimizados. Dentro del portal de Purple, configure los ajustes de retención de datos para alinearse con la política de retención de datos de la organización, que normalmente no supera los 24 meses para los datos de marketing. Habilite las herramientas de GDPR de Purple para manejar las solicitudes de acceso de los interesados (DSAR) y las solicitudes de derecho al borrado. Operativamente, implemente un proceso de revisión trimestral para garantizar que la política de privacidad siga siendo precisa, que la redacción del consentimiento esté actualizada y que se apliquen los ajustes de retención de datos. Mantenga un registro de las actividades de procesamiento (ROPA) para la recopilación de datos de WiFi para invitados.

Q4. Un ingeniero de red configuró la integración de UniFi/Purple siguiendo todos los pasos documentados. Al realizar las pruebas, el dispositivo del invitado se conecta al SSID y es redirigido al portal de Purple. El invitado se autentica con éxito, pero no se le concede acceso a Internet. El portal de Purple muestra la autenticación como exitosa. ¿Cuál es el proceso de diagnóstico?

Sugerencia: Si Purple muestra una autenticación exitosa pero el invitado no tiene acceso a Internet, el problema radica en la ruta de comunicación entre Purple y el controlador UniFi.

Ver respuesta modelo

Este síntoma indica que la llamada a la API de Purple al controlador UniFi (la llamada que cambia el dispositivo del invitado de 'pendiente' a 'autorizado') está fallando. El proceso de diagnóstico es el siguiente: Primero, verifique que el controlador UniFi sea accesible públicamente en el puerto correcto (8443 para software, 443 para hardware) intentando acceder a la interfaz de administración del controlador desde una red externa o utilizando una herramienta de verificación de puertos en línea. Segundo, inicie sesión en el portal de Purple y verifique que la IP/nombre de host del controlador y las credenciales del administrador local sean correctas. Un error común es ingresar la IP de la LAN interna del controlador en lugar de su IP pública, o usar credenciales de cuenta en la nube en lugar de credenciales de administrador local. Tercero, verifique el registro de eventos del controlador UniFi para detectar cualquier error de autenticación de API o intentos de inicio de sesión fallidos desde las direcciones IP de Purple. Cuarto, verifique que la regla de firewall o el reenvío de puertos estén configurados correctamente y que las direcciones IP de origen de Purple no estén siendo bloqueadas por ningún dispositivo de seguridad ascendente.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.