Zyxel Nebula Cloud and USG Integration with Purple WiFi

Resumen ejecutivo

Zyxel Nebula Cloud y los Firewalls USG Flex se implementan en miles de sedes empresariales, desde cadenas hoteleras hasta complejos comerciales. Al integrar este hardware con Purple, agrega una capa de autenticación de invitados que cumple con las normativas y captura datos, transformando una red inalámbrica estándar en un activo de datos propios. Esta guía cubre cuatro escenarios de implementación: redirección de Captive Portal de invitados a través de una página de inicio externa, autenticación y contabilidad basadas en RADIUS, WiFi seguro para el personal mediante IEEE 802.1X y segmentación de red multiinquilino utilizando claves precompartidas personales dinámicas (DPPSK) de Zyxel. Purple opera en más de 80,000 sedes activas y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). Cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. La arquitectura de integración descrita aquí es agnóstica al hardware a nivel de plataforma, pero las rutas y parámetros de configuración específicos en esta guía se aplican a Zyxel Nebula Control Center (NCC) y a los Firewalls USG Flex que ejecutan el firmware actual.

Para obtener una visión más amplia de la arquitectura de seguridad WiFi empresarial, consulte nuestra Enterprise WiFi Security: A Complete Guide for 2026 .

Análisis técnico profundo

Arquitectura de integración

La integración de Zyxel y Purple se basa en tres protocolos estándar que funcionan en secuencia: redirección HTTP (detección de Captive Portal), autenticación RADIUS (UDP 1812) y contabilidad RADIUS (UDP 1813). Cuando un dispositivo de invitado se conecta al SSID de WiFi de invitados, el punto de acceso Zyxel intercepta la primera solicitud HTTP y emite una redirección HTTP 302 a la URL externa del Captive Portal de Purple. El invitado se autentica en la página de inicio de Purple (a través de correo electrónico, inicio de sesión social o SMS) y Purple envía un mensaje RADIUS Access-Accept de vuelta al controlador Zyxel. El controlador otorga acceso a Internet y comienza a enviar paquetes RADIUS Accounting Start para registrar los datos de la sesión.

El Firewall Zyxel USG Flex se ubica entre los segmentos inalámbricos y la WAN. Aplica políticas de seguridad basadas en zonas que aíslan las VLAN de invitados, del personal y de múltiples inquilinos entre sí y de la LAN corporativa. Nebula Control Center administra los puntos de acceso y las configuraciones de SSID de forma centralizada a través de HTTPS en el puerto 443 hacia la nube de Nebula.

Parámetros RADIUS

La siguiente tabla resume los parámetros de configuración de RADIUS que necesitará de su consola de administración de Purple.

Siempre configure los servidores RADIUS primario y secundario. Un único endpoint RADIUS es un punto único de falla que bloqueará el acceso de los invitados si el servidor no está disponible.

Configuración de Walled Garden

El Walled Garden (también llamado lista blanca) define los dominios y rangos de IP a los que un dispositivo puede acceder antes de completar la autenticación. En Zyxel Nebula, esto se configura en Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Debe incluir las siguientes categorías de entradas:

• El dominio del portal de Purple y todos los subdominios (use el formato de comodín: *.purple.ai)
• Dominios de CDN que sirven los recursos CSS, JavaScript e imágenes del portal
• Dominios de proveedores de inicio de sesión social si habilita el inicio de sesión con Facebook, Google o Microsoft
• Detección de Captive Portal de Apple: captive.apple.com
• Verificación de conectividad de Google: connectivitycheck.gstatic.com
• Microsoft NCSI: www.msftconnecttest.com

La falta de cualquiera de estas entradas provocará que la página de bienvenida no se renderice en tipos de dispositivos específicos. Los dispositivos iOS, en particular, mostrarán un mini-navegador en blanco si el endpoint CNA de Apple no se maneja correctamente.

WiFi seguro para el personal mediante IEEE 802.1X

Para las redes del personal, no se debe utilizar una PSK compartida. IEEE 802.1X (definido en el estándar IEEE 802.1X-2020) proporciona control de acceso a la red basado en puertos utilizando credenciales individuales por usuario. En Nebula, esto se configura estableciendo la seguridad del SSID en WPA2-Enterprise y apuntando la autenticación al Nebula Cloud Authentication Server (NCAS) o a un servidor RADIUS externo como Microsoft Entra ID u Okta a través de un proxy RADIUS.

Para implementaciones de WPA3-Enterprise, la ruta de configuración es idéntica, pero se selecciona WPA3 en las opciones de seguridad. WPA3 exige Protected Management Frames (PMF) y utiliza Simultaneous Authentication of Equals (SAE) para una mayor resistencia contra ataques de diccionario fuera de línea.

PPSK y asignación dinámica de VLAN para espacios multi-inquilino

Zyxel DPPSK (Dynamic Personal Pre-Shared Key) permite que un solo SSID sirva a múltiples segmentos de red aislados. Cada usuario o dispositivo recibe una contraseña única. Cuando se autentican, el controlador de Nebula asocia esa contraseña a un ID de VLAN definido en la base de datos DPPSK. Este es el enfoque correcto para espacios de coworking, alojamiento para estudiantes, desarrollos de construcción para alquiler (BTR) y unidades multifamiliares (MDU) donde se necesita el aislamiento de los inquilinos sin transmitir docenas de SSIDs.

DPPSK requiere la licencia Nebula Pro Pack y la versión de firmware del punto de acceso 6.00 o posterior. Configure la base de datos DPPSK en Configure > Cloud authentication > DPPSK en el Nebula Control Center. Cada entrada incluye la frase de contraseña, una fecha de vencimiento opcional, una dirección de correo electrónico para el envío y el ID de VLAN de destino.

El número máximo de entradas DPPSK autorizadas simultáneamente es de 2,048. Para implementaciones con más de 2,048 usuarios concurrentes, deberá administrar las fechas de vencimiento con cuidado para garantizar que las credenciales activas se mantengan dentro de este límite.

Guía de implementación

Paso 1: Preparar la infraestructura de red

Antes de realizar cambios en el Nebula Control Center, configure sus VLAN en el USG Flex Firewall y en los switches descendentes.

1. Cree una VLAN de invitados (ejemplo: VLAN 10) con una subred dedicada (ejemplo: 192.168.10.0/24). Configure un servidor DHCP en esta interfaz.
2. Cree una VLAN de personal (ejemplo: VLAN 20) con una subred dedicada (ejemplo: 192.168.20.0/24).
3. Para implementaciones multi-inquilino, cree VLAN adicionales por inquilino (ejemplo: VLAN 30, 40, 50).
4. En el USG Flex, cree una Zona de invitados asignada a la VLAN 10. Cree una política de seguridad que permita el tráfico desde la Zona de invitados hacia la zona WAN. Cree una política de denegación total que bloquee el tráfico desde la Zona de invitados hacia la zona LAN.
5. Asegúrese de que los puertos de switch que conectan los AP de Zyxel estén configurados como enlaces troncales 802.1Q que transporten todas las etiquetas VLAN requeridas.

Paso 2: Configurar el SSID de invitados en Nebula Control Center

1. Inicie sesión en Nebula Control Center en ncc.nebula.zyxel.com.
2. Vaya a Site-wide > Configure > Access points > SSID settings.
3. Habilite el SSID de invitados y active el Advanced mode.
4. Habilite Guest network para activar la opción de Layer 2 client isolation. Esto evita que los dispositivos de los invitados se comuniquen directamente entre sí en el mismo SSID.
5. Guarde los cambios.

Paso 3: Configurar el Captive Portal externo

1. Vaya a Site-wide > Configure > Access points > SSID advanced settings.
2. Seleccione su SSID de invitados en el menú desplegable.
3. En Sign-in method, seleccione Click-to-continue para el redireccionamiento inicial, o seleccione My RADIUS server si está utilizando la autenticación MAC basada en RADIUS de Purple.
4. Vaya a Site-wide > Configure > Access points > Captive portal customisation.
5. En External captive portal URL, ingrese la URL de redireccionamiento de Purple desde su consola de administración de Purple. El formato es https://[su-dominio-de-purple]/[id-del-establecimiento].
6. En Captive portal advance setting, ingrese todos los dominios de Walled Garden requeridos.
7. Establezca Strict policy en Block all access until sign-on para evitar que los invitados evadan el portal.
8. Configure el Reauth time para que coincida con la política de sesión de su establecimiento (normalmente 24 horas para hotelería, 30 días para programas de lealtad de retail).
9. Guarde los cambios.

Paso 4: Configurar RADIUS en Nebula

1. En SSID advanced settings, dentro de Network access, seleccione My RADIUS server.
2. Ingrese la Primary RADIUS server IP desde su consola de administración de Purple.
3. Establece el Authentication port en 1812.
4. Ingresa el Shared secret.
5. Repite el proceso para el servidor RADIUS secundario.
6. Habilita RADIUS accounting y establece el puerto de contabilidad en 1813.
7. Guarda los cambios.

Paso 5: Configura DPPSK para la segmentación multi-inquilino

1. Ve a Configure > Access points > SSID advanced settings.
2. Selecciona el SSID multi-inquilino y establece Network access en Dynamic personal PSK.
3. Ve a Configure > Cloud authentication > DPPSK.
4. Haz clic en Add y selecciona Batch create DPPSK.
5. Establece el número de credenciales, la fecha de vencimiento y el VLAN ID de destino para cada grupo de inquilinos.
6. Ingresa la dirección de correo electrónico para recibir el lote de credenciales.
7. Guarda y distribuye las credenciales a los inquilinos.

Paso 6: Valida la implementación

1. Conecta un dispositivo de prueba al SSID de Guest WiFi.
2. Confirma que el dispositivo sea redirigido a la página de bienvenida de Purple.
3. Completa la autenticación y confirma que se otorgue acceso a internet.
4. En la consola de administración de Purple, verifica que la sesión aparezca en el panel de analíticas.
5. En Nebula, ve a Access point > Monitor > Clients para confirmar que el cliente esté asociado y asignado a la VLAN correcta.
6. Prueba DPPSK conectándote con una credencial de inquilino y confirmando la asignación correcta de VLAN.

Mejores prácticas

Segmenta cada tipo de tráfico. El tráfico de Guest, Staff e IoT debe ocupar una VLAN dedicada. Esto no es opcional si tu establecimiento procesa pagos con tarjeta en la misma infraestructura física: PCI DSS v4.0 exige la segmentación de red entre los entornos de datos de titulares de tarjetas y las redes de invitados.

Usa redundancia RADIUS. Configura las direcciones IP de RADIUS de Purple tanto principales como secundarias en Nebula. Una sola falla en el servidor RADIUS impedirá toda autenticación de invitados hasta que se resuelva.

Audita el Walled Garden con regularidad. Los proveedores de portales actualizan sus configuraciones de CDN. Un dominio que funcionaba en el momento de la implementación puede dejar de funcionar seis meses después si el proveedor migra los recursos a una nueva CDN. Programa una revisión trimestral de tus entradas de Walled Garden.

Habilita RADIUS accounting. Sin la contabilidad, Purple no puede rastrear la duración de la sesión, el uso de datos ni aplicar límites de acceso basados en el tiempo. Los datos de contabilidad también alimentan el panel de WiFi Analytics .

Aplica WPA3 donde el hardware lo admita. Los puntos de acceso Zyxel lanzados a partir de 2021 son compatibles con WPA3. Para el WiFi de Staff, WPA3-Enterprise con modo de seguridad de 192 bits se alinea con las recomendaciones de NIST SP 800-187 para la seguridad inalámbrica empresarial.

Prueba el comportamiento del CNA antes del lanzamiento. En iOS, el mini-navegador Captive Network Assistant (CNA) tiene una funcionalidad limitada en comparación con un navegador completo. Prueba tu página de bienvenida de Purple en el entorno CNA (particularmente los flujos de inicio de sesión social y el JavaScript personalizado) antes de implementarla para los invitados. Para implementaciones en hospitalidad , consulte también nuestra guía sobre segmentación de redes de invitados y de administración interna. Para entornos de retail , se aplica el mismo enfoque PPSK para aislar los sistemas de punto de venta del WiFi de los compradores.

Resolución de problemas y mitigación de riesgos

La página de inicio (splash page) no carga

Síntoma: El invitado se conecta al SSID pero ve una página en blanco o un error del navegador en el CNA.

Causa: Uno o más dominios requeridos por la splash page no están en el Walled Garden.

Resolución: Conecte un dispositivo de prueba al SSID de invitados. Abra un navegador (no el CNA) y navegue a cualquier URL HTTP. Cuando sea redirigido al Captive Portal, abra las herramientas de desarrollo del navegador e inspeccione la pestaña Red (Network). Identifique cualquier solicitud que devuelva errores 403 o de conexión rechazada. Agregue estos dominios al Nebula Walled Garden.

Los invitados se autentican pero no obtienen acceso a internet

Síntoma: El invitado completa el formulario del portal y ve una página de éxito, pero la navegación por internet falla.

Causa: El controlador Zyxel no está recibiendo el RADIUS Access-Accept de Purple, o el firewall USG Flex está bloqueando la respuesta RADIUS.

Resolución: Verifique que los puertos UDP de salida 1812 y 1813 estén permitidos desde la IP de administración del AP Zyxel hacia la IP del servidor RADIUS de Purple. Revise los registros de políticas de seguridad de USG Flex para ver si hay tráfico bloqueado.

Faltan datos de contabilidad (accounting) de RADIUS en el panel de Purple

Síntoma: Las sesiones aparecen en Nebula pero el panel de analíticas de Purple no muestra datos de duración de la sesión.

Causa: El registro de contabilidad (RADIUS Accounting) no está habilitado en la configuración del SSID de Nebula, o el puerto UDP 1813 está bloqueado.

Resolución: Confirme que el RADIUS accounting esté habilitado en la configuración avanzada del SSID. Verifique que el puerto de contabilidad esté configurado en 1813 y que el secreto compartido coincida con la configuración de Purple.

Usuarios de DPPSK asignados a la VLAN incorrecta

Síntoma: Un usuario se conecta con su PPSK pero es ubicado en el segmento de red incorrecto.

Causa: El ID de VLAN en la entrada de la base de datos DPPSK no coincide con la VLAN configurada en el trunk del switch o en la interfaz de USG Flex.

Resolución: Compare el ID de VLAN en la base de datos DPPSK de Nebula con la configuración de VLAN en el switch ascendente y en el USG Flex. Asegúrese de que el puerto del switch del AP sea un trunk que transporte todas las VLAN de los usuarios.

ROI e impacto comercial

La integración de la infraestructura Zyxel con Purple convierte una red inalámbrica que genera costos en un activo de datos que genera ingresos. Para un hotel de 200 habitaciones, capturar las direcciones de correo electrónico de los invitados y el consentimiento de marketing al iniciar sesión en el WiFi crea una base de datos CRM que impulsa campañas de reserva directa, reduciendo la dependencia de las comisiones de las OTA. Para una cadena de retail, la plataforma de Guest WiFi de Purple proporciona analíticas de tráfico peatonal, datos de tiempo de permanencia y tasas de visitas recurrentes que fundamentan las decisiones de personal y comercialización.

Para operadores multi-inquilino (desarrollos BTR, alojamiento para estudiantes, espacios de coworking), implementar Zyxel DPPSK con Purple elimina la carga operativa de gestionar SSIDs y credenciales independientes por inquilino. Un solo SSID con asignación dinámica de VLAN reduce la interferencia de RF, simplifica la incorporación de usuarios y se escala a cientos de residentes sin necesidad de infraestructura adicional.

El SLA de disponibilidad del 99.999% de Purple garantiza que la capa de autenticación no se convierta en un cuello de botella para el acceso de invitados. Con 29 mil millones de puntos de datos recopilados a lo largo de la plataforma (datos internos de Purple), las analíticas entregadas a través de la consola de administración de Purple proporcionan a los operadores de los establecimientos inteligencia accionable que justifica la inversión de la integración dentro del primer trimestre de su implementación.

Para entornos de healthcare y transport donde el WiFi para visitantes es un servicio regulado, la captura de datos y la gestión de consentimiento compatibles con GDPR integradas en el Captive Portal de Purple eliminan el riesgo de cumplimiento asociado con redes abiertas no gestionadas.

Consulte también: Arista Cognitive Wi-Fi Integration with Purple WiFi para un patrón de integración comparable en una plataforma de hardware diferente.