Zyxel Nebula y guest WiFi: configuración de captive portal con Purple

Bienvenido a la Serie de Sesiones Técnicas de Purple. Soy su anfitrión, y hoy cubriremos un escenario de implementación crucial para administradores de TI y arquitectos de redes: la integración de Zyxel Nebula Cloud y USG Flex Firewalls con Purple WiFi. Si está implementando WiFi para invitados en una cadena hotelera, un sector minorista o un entorno multi-inquilino, este episodio es para usted. Vayamos directo a la arquitectura. Primero, ¿por qué esta integración? Zyxel proporciona un hardware robusto y Nebula ofrece una gestión en la nube centralizada. Pero cuando se implementa WiFi a escala - por ejemplo, en 50 sucursales minoristas o en un hotel de 200 habitaciones - se necesita más que conectividad básica. Se necesita un flujo de autenticación estructurado, captura de datos que cumpla con las normativas y segmentación de red dinámica. Ahí es donde entra Purple. Nos integramos con Zyxel a través de RADIUS y redirección externa de Captive Portal para ofrecer redes basadas en la identidad. Repasemos la configuración principal en Zyxel Nebula. El proceso comienza con la configuración de su SSID. Debe dirigirse a Todo el sitio, Configurar, Puntos de acceso y luego Configuración avanzada de SSID. Aquí, habilite la URL del Captive Portal externo. Introducirá la URL de redirección específica de Purple que se proporciona en su portal de Purple. Pero la redirección por sí sola no es suficiente; debe configurar el Walled Garden. El Walled Garden define a qué dominios puede acceder el dispositivo de un invitado antes de autenticarse. Este es un error común. Debe incluir en la lista blanca los dominios del portal de Purple, cualquier CDN de activos y los endpoints estándar de detección de Captive Portal del sistema operativo. En Nebula, agregue estos dominios línea por línea. Si olvida un dominio, la página de bienvenida no se cargará correctamente y sus invitados quedarán varados. A continuación, configuramos el servidor RADIUS. En la configuración avanzada de SSID, seleccione WPA2-Enterprise con Mi servidor RADIUS, o configure la autenticación basada en MAC según su flujo. Ingrese la dirección IP de RADIUS de Purple, configure el puerto de autenticación en 1812, el puerto de contabilidad en 1813 e ingrese el secreto compartido. Siempre configure el servidor RADIUS de respaldo para garantizar una alta disponibilidad. Ahora, hablemos de un escenario más avanzado: segmentación multi-inquilino utilizando claves precompartidas privadas de Zyxel, o PPSK. En entornos como residencias estudiantiles o espacios de coworking, se desea un solo SSID, pero es necesario aislar el tráfico por inquilino. Zyxel PPSK le permite emitir una contraseña de WiFi única para cada usuario. Cuando se conectan, el controlador de Nebula los asigna dinámicamente a una VLAN específica según esa contraseña. Esto se configura en Autenticación en la nube seleccionando DPPSK y asignando el ID de VLAN correspondiente. Esto reduce la sobrecarga de SSID y mejora significativamente la seguridad. ¿Qué hay del firewall USG Flex? Si ejecuta la puerta de enlace de forma local, debe asegurarse de que sus reglas de firewall y políticas de zona se alineen con sus segmentos inalámbricos. Por lo general, se crean zonas dedicadas para el tráfico de Invitados, Personal y Multi-Inquilino. La zona de Invitados solo debe tener acceso de salida a Internet, con reglas estrictas que bloqueen el acceso a las zonas LAN o DMZ. Pasemos a las recomendaciones de implementación y a los errores comunes. El problema más frecuente que vemos es la configuración incorrecta del walled garden. Si un invitado se conecta y ve una página en blanco, verifique su lista de permitidos. Utilice las herramientas de desarrollo del navegador para identificar las solicitudes CDN bloqueadas. El segundo problema son los tiempos de espera de RADIUS. Asegúrese de que sus firewalls ascendentes permitan los puertos UDP 1812 y 1813 de salida hacia la plataforma en la nube de Purple. Hora de una sesión rápida de preguntas y respuestas. Pregunta uno: ¿Necesito una VLAN dedicada para el WiFi de Invitados? Respuesta: Sí. Siempre aísle el tráfico de invitados en una VLAN dedicada. Esto es obligatorio para el cumplimiento de PCI-DSS si su establecimiento procesa pagos en la misma infraestructura física. Pregunta dos: ¿Puedo usar Purple con puntos de acceso independientes de Zyxel sin Nebula? Respuesta: Sí, pero administrar la configuración de RADIUS y del portal por punto de acceso es ineficiente. Recomendamos encarecidamente utilizar Nebula Control Centre para una gestión centralizada. Pregunta tres: ¿Cómo maneja Purple la aleatorización de direcciones MAC? Respuesta: Purple depende de la dirección MAC proporcionada por el controlador Zyxel a través de la contabilidad RADIUS. Aunque los dispositivos aleatorizan las direcciones MAC por red, mantienen la misma MAC para su SSID específico, lo que permite la persistencia de la sesión durante su visita. En resumen: Integrar Zyxel Nebula con Purple requiere una configuración precisa de la URL del Captive Portal externo, un Walled Garden integral y una configuración de RADIUS exacta. Para establecimientos multi-inquilino, aproveche Zyxel PPSK para el direccionamiento dinámico de VLAN. Si configura correctamente estos elementos, ofrecerá una experiencia de WiFi segura y escalable que captura valiosos datos de primera fuente. Si está planeando una implementación, revise la guía técnica completa para obtener instrucciones paso a paso y diagramas de arquitectura. Gracias por escucharnos y nos vemos en el próximo informe técnico.