Saltar al contenido principal
Español (México)

Integración de Zyxel Nebula Cloud y USG con Purple WiFi

Esta guía de referencia técnica cubre la integración de extremo a extremo de Zyxel Nebula Cloud y los firewalls USG Flex con la plataforma Purple WiFi. Proporciona instrucciones de configuración paso a paso para la redirección del Captive Portal de invitados, autenticación RADIUS, configuración de Walled Garden, WiFi seguro para el personal mediante 802.1X y segmentación de red multiinquilino utilizando claves precompartidas privadas (PPSK) de Zyxel con asignación dinámica de VLAN. Los gerentes de TI, MSP y arquitectos de red que implementan WiFi en entornos de hospitalidad, retail y complejos multiinquilino encontrarán orientación práctica basada en estándares de la industria, incluidos PCI DSS, IEEE 802.1X y GDPR.

📖 9 min de lectura📝 2,234 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Welcome to the Purple Technical Briefing Series. I am your host, and today we are covering a crucial deployment scenario for IT managers and network architects: integrating Zyxel Nebula Cloud and USG Flex Firewalls with Purple WiFi. If you are deploying guest WiFi across a hotel chain, a retail estate, or a multi-tenant environment, this episode is for you. Let us get straight into the architecture. First, why this integration? Zyxel provides robust hardware, and Nebula offers centralised cloud management. But when you deploy WiFi at scale - say, across 50 retail branches or a 200-room hotel - you need more than basic connectivity. You need a structured authentication flow, compliant data capture, and dynamic network segmentation. That is where Purple comes in. We integrate with Zyxel via RADIUS and external captive portal redirection to deliver Identity-Based Networks. Let us walk through the core configuration on Zyxel Nebula. The process starts with your SSID settings. You navigate to Site-wide, Configure, Access points, and then SSID advanced settings. Here, you enable the external captive portal URL. You will input the specific Purple redirect URL provided in your Purple portal. But redirection alone is not enough; you must configure the Walled Garden. The Walled Garden defines which domains a guest device can reach before authentication. This is a common pitfall. You must whitelist the Purple portal domains, any asset CDNs, and the standard OS captive portal detection endpoints. In Nebula, you add these domains line by line. If you miss a domain, the splash page will fail to load properly, and your guests will be stuck. Next, we configure the RADIUS server. In the SSID advanced settings, you select WPA2-Enterprise with My RADIUS server, or configure MAC-based authentication depending on your flow. You enter the Purple RADIUS IP address, set the authentication port to 1812, the accounting port to 1813, and input the shared secret. Always configure the backup RADIUS server to ensure high availability. Now, let us discuss a more advanced scenario: Multi-Tenant segmentation using Zyxel Private Pre-Shared Keys, or PPSK. In environments like student accommodation or coworking spaces, you want a single SSID, but you need to isolate traffic per tenant. Zyxel PPSK allows you to issue a unique WiFi password to each user. When they connect, the Nebula controller dynamically assigns them to a specific VLAN based on that password. You configure this under Cloud Authentication by selecting DPPSK and assigning the corresponding VLAN ID. It reduces SSID overhead and significantly improves security. What about the USG Flex firewall? If you are running the gateway on-premise, you must ensure your firewall rules and zone policies align with your wireless segments. You typically create dedicated zones for Guest, Staff, and Multi-Tenant traffic. The Guest zone must only have outbound internet access, with strict rules blocking access to the LAN or DMZ zones. Let us move to implementation recommendations and common pitfalls. The most frequent issue we see is walled garden misconfiguration. If a guest connects and sees a blank page, check your whitelist. Use browser developer tools to identify blocked CDN requests. The second issue is RADIUS timeouts. Ensure your upstream firewalls allow UDP ports 1812 and 1813 outbound to the Purple cloud platform. Time for a rapid-fire Q and A. Question one: Do I need a dedicated VLAN for Guest WiFi? Answer: Yes. Always isolate guest traffic on a dedicated VLAN. This is mandatory for PCI DSS compliance if your venue processes payments on the same physical infrastructure. Question two: Can I use Purple with Zyxel standalone APs without Nebula? Answer: Yes, but managing the RADIUS and portal settings per AP is inefficient. We strongly recommend using Nebula Control Center for centralised management. Question three: How does Purple handle MAC address randomisation? Answer: Purple relies on the MAC address provided by the Zyxel controller via RADIUS accounting. While devices randomise MACs per network, they keep the same MAC for your specific SSID, allowing session persistence during their visit. To summarise: Integrating Zyxel Nebula with Purple requires precise configuration of the external captive portal URL, a comprehensive Walled Garden, and accurate RADIUS settings. For multi-tenant venues, leverage Zyxel PPSK for dynamic VLAN steering. Get these elements right, and you deliver a secure, scalable WiFi experience that captures valuable first-party data. If you are planning a deployment, review the full technical guide for step-by-step instructions and architecture diagrams. Thank you for listening, and we will see you on the next technical briefing.

header_image.png

Resumen ejecutivo

Zyxel Nebula Cloud y los firewalls USG Flex están implementados en miles de entornos empresariales, desde cadenas hoteleras hasta complejos de retail. Al integrar este hardware con Purple, agrega una capa de autenticación de invitados que cumple con las normativas y captura datos, transformando una red inalámbrica estándar en un activo de datos de primera mano. Esta guía cubre cuatro escenarios de implementación: redirección del Captive Portal de invitados a través de una página de inicio externa, autenticación y contabilidad basadas en RADIUS, WiFi seguro para el personal mediante IEEE 802.1X y segmentación de red multiinquilino utilizando claves precompartidas personales dinámicas (DPPSK) de Zyxel. Purple opera en más de 80,000 entornos activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). Cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. La arquitectura de integración descrita aquí es independiente del hardware a nivel de plataforma, pero las rutas y parámetros de configuración específicos de esta guía se aplican a Zyxel Nebula Control Center (NCC) y a los firewalls USG Flex que ejecutan el firmware actual.

Para obtener una perspectiva más amplia de la arquitectura de seguridad WiFi empresarial, consulte nuestra guía Seguridad WiFi empresarial: Una guía completa para 2026 .

Análisis técnico detallado

Arquitectura de integración

La integración de Zyxel y Purple se basa en tres protocolos estándar que funcionan en secuencia: redirección HTTP (detección de Captive Portal), autenticación RADIUS (UDP 1812) y contabilidad RADIUS (UDP 1813). Cuando un dispositivo de invitado se conecta al SSID de WiFi de invitados, el punto de acceso Zyxel intercepta la primera solicitud HTTP y emite una redirección HTTP 302 a la URL externa del Captive Portal de Purple. El invitado se autentica en la página de inicio de Purple (mediante correo electrónico, inicio de sesión social o SMS) y Purple envía un mensaje RADIUS Access-Accept de vuelta al controlador Zyxel. El controlador otorga acceso a Internet y comienza a enviar paquetes RADIUS Accounting Start para registrar los datos de la sesión.

architecture_overview.png

El firewall Zyxel USG Flex se ubica entre los segmentos inalámbricos y la WAN. Aplica políticas de seguridad basadas en zonas que aíslan las VLAN de invitados, del personal y multiinquilino entre sí y de la LAN corporativa. Nebula Control Center administra los puntos de acceso y las configuraciones de SSID de forma centralizada a través de HTTPS en el puerto 443 hacia la nube de Nebula.

Parámetros de RADIUS

La siguiente tabla resume los parámetros de configuración de RADIUS que necesitará de su consola de administración de Purple.

Parámetro Valor
IP de RADIUS primaria Proporcionado en la consola de administración de Purple
IP de RADIUS secundaria Proporcionado en la consola de administración de Purple
Puerto de autenticación UDP 1812
Puerto de contabilidad UDP 1813
Secreto compartido Proporcionado en la consola de administración de Purple
Identificador NAS Establecer en la dirección MAC del AP o en el nombre del sitio
Called Station ID Dirección MAC del AP

Configure siempre los servidores RADIUS primario y secundario. Un único endpoint de RADIUS representa un punto único de falla que bloqueará el acceso a los invitados si el servidor no está disponible.

Configuración de Walled Garden

El Walled Garden (también llamado lista blanca) define los dominios y rangos de IP a los que un dispositivo puede acceder antes de completar la autenticación. En Zyxel Nebula, esto se configura en Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Debe incluir las siguientes categorías de entradas:

  • El dominio del portal de Purple y todos los subdominios (use el formato de comodín: *.purple.ai)
  • Dominios de CDN que sirven los recursos de CSS, JavaScript e imágenes del portal
  • Dominios de proveedores de inicio de sesión social si habilita el inicio de sesión con Facebook, Google o Microsoft
  • Detección de Captive Portal de Apple: captive.apple.com
  • Verificación de conectividad de Google: connectivitycheck.gstatic.com
  • Microsoft NCSI: www.msftconnecttest.com

La falta de cualquiera de estas entradas provocará que la página de inicio no se procese correctamente en tipos de dispositivos específicos. Los dispositivos iOS en particular mostrarán un mini-navegador en blanco si el endpoint CNA de Apple no se gestiona correctamente.

WiFi seguro para el personal mediante IEEE 802.1X

Para las redes del personal, no debe utilizar una PSK compartida. IEEE 802.1X (definido en el estándar IEEE 802.1X-2020) proporciona control de acceso a la red basado en puertos utilizando credenciales individuales por usuario. En Nebula, esto se configura estableciendo la seguridad del SSID en WPA2-Enterprise y apuntando la autenticación al Servidor de Autenticación en la Nube de Nebula (NCAS) o a un servidor RADIUS externo como Microsoft Entra ID u Okta a través de un proxy RADIUS.

Para implementaciones de WPA3-Enterprise, la ruta de configuración es idéntica, pero debe seleccionar WPA3 en las opciones de seguridad. WPA3 exige tramas de administración protegidas (PMF) y utiliza la autenticación simultánea de iguales (SAE) para una mejor resistencia contra ataques de diccionario fuera de línea.

PPSK y asignación dinámica de VLAN para entornos multiinquilino

ppsk_vlan_diagram.png

Zyxel DPPSK (clave precompartida personal dinámica) permite que un solo SSID sirva a múltiples segmentos de red aislados. Cada usuario o dispositivo recibe una frase de contraseña única. Al autenticarse, el controlador Nebula asigna esa frase de contraseña a un ID de VLAN definido en la base de datos DPPSK. Este es el enfoque correcto para espacios de coworking, alojamiento para estudiantes, desarrollos de construcción para alquiler (BTR) y unidades de viviendas múltiples (MDU) donde se necesita el aislamiento de los inquilinos sin transmitir docenas de SSID.

DPPSK requiere la licencia Nebula Pro Pack y la versión de firmware del punto de acceso 6.00 o posterior. La base de datos DPPSK se configura en Configure > Cloud authentication > DPPSK en Nebula Control Center. Cada entrada incluye la frase de contraseña, una fecha de vencimiento opcional, una dirección de correorección para la entrega y el ID de VLAN de destino.

El número máximo de entradas DPPSK autorizadas simultáneamente es de 2,048. Para implementaciones con más de 2,048 usuarios concurrentes, deberá administrar cuidadosamente las fechas de vencimiento para garantizar que las credenciales activas se mantengan dentro de este límite.

Guía de implementación

Paso 1: Preparar la infraestructura de red

Antes de realizar cambios en el Nebula Control Center, configure sus VLAN en el USG Flex Firewall y en los switches de bajada.

  1. Cree una VLAN de invitados (ejemplo: VLAN 10) con una subred dedicada (ejemplo: 192.168.10.0/24). Configure un servidor DHCP en esta interfaz.
  2. Cree una VLAN de personal (ejemplo: VLAN 20) con una subred dedicada (ejemplo: 192.168.20.0/24).
  3. Para implementaciones multi-tenant, cree VLAN adicionales por inquilino (ejemplo: VLAN 30, 40, 50).
  4. En el USG Flex, cree una Zona de invitados asignada a la VLAN 10. Cree una política de seguridad que permita el tráfico desde la Zona de invitados hacia la zona WAN. Cree una política de denegar todo que bloquee el tráfico desde la Zona de invitados hacia la zona LAN.
  5. Asegúrese de que los puertos del switch que conectan los AP de Zyxel estén configurados como troncales 802.1Q que transporten todas las etiquetas VLAN requeridas.

Paso 2: Configurar el SSID de invitados en Nebula Control Center

  1. Inicie sesión en Nebula Control Center en ncc.nebula.zyxel.com.
  2. Vaya a A nivel de sitio > Configurar > Puntos de acceso > Configuración de SSID.
  3. Habilite el SSID de invitados y active el Modo avanzado.
  4. Habilite la Red de invitados para activar el aislamiento de clientes de Capa 2. Esto evita que los dispositivos de los invitados se comuniquen directamente entre sí en el mismo SSID.
  5. Guarde.

Paso 3: Configurar el Captive Portal externo

  1. Vaya a A nivel de sitio > Configurar > Puntos de acceso > Configuración avanzada de SSID.
  2. Seleccione su SSID de invitados en el menú desplegable.
  3. En Método de inicio de sesión, seleccione Hacer clic para continuar para el redireccionamiento inicial, o seleccione Mi servidor RADIUS si está utilizando la autenticación MAC basada en RADIUS de Purple.
  4. Vaya a A nivel de sitio > Configurar > Puntos de acceso > Personalización del Captive Portal.
  5. En URL del Captive Portal externo, ingrese la URL de redireccionamiento de Purple desde su consola de administración de Purple. El formato es https://[su-dominio-de-purple]/[id-del-establecimiento].
  6. En Configuración avanzada del Captive Portal, ingrese todos los dominios de Walled Garden requeridos.
  7. Establezca la Política estricta en Bloquear todo el acceso hasta iniciar sesión para evitar que los invitados evadan el portal.
  8. Establezca el Tiempo de reautenticación para que coincida con la política de sesión de su establecimiento (normalmente 24 horas para hotelería, 30 días para programas de lealtad de retail).
  9. Guarde.

Paso 4: Configurar RADIUS en Nebula

  1. En Configuración avanzada de SSID, en Acceso a la red, seleccione Mi servidor RADIUS.
  2. Ingrese la IP del servidor RADIUS primario desde su consola de administración de Purple.
  3. Establezca el Puerto de autenticación en 1812.
  4. Ingrese el Secreto compartido.
  5. Repita el proceso para el servidor RADIUS secundario.
  6. Habilite el Registro de conexiones RADIUS (accounting) y establezca el puerto de registro en 1813.
  7. Guarde.

Paso 5: Configurar DPPSK para la segmentación multi-tenant

  1. Vaya a Configurar > Puntos de acceso > Configuración avanzada de SSID.
  2. Seleccione el SSID multi-tenant y establezca el Acceso a la red en Dynamic personal PSK.
  3. Vaya a Configurar > Autenticación en la nube > DPPSK.
  4. Haga clic en Agregar y seleccione Creación por lotes de DPPSK.
  5. Establezca la cantidad de credenciales, la fecha de vencimiento y el ID de VLAN de destino para cada grupo de inquilinos.
  6. Ingrese la dirección de correo electrónico para recibir el lote de credenciales.
  7. Guarde y distribuya las credenciales a los inquilinos.

Paso 6: Validar la implementación

  1. Conecte un dispositivo de prueba al SSID de WiFi de invitados.
  2. Confirme que el dispositivo sea redireccionado a la página de inicio (splash page) de Purple.
  3. Complete la autenticación y confirme que se otorgue acceso a Internet.
  4. En la consola de administración de Purple, verifique que la sesión aparezca en el panel de analíticas.
  5. En Nebula, vaya a Punto de acceso > Monitorear > Clientes para confirmar que el cliente esté asociado y asignado a la VLAN correcta.
  6. Pruebe DPPSK conectándose con una credencial de inquilino y confirmando la asignación correcta de VLAN.

Mejores prácticas

Segmente cada tipo de tráfico. El tráfico de invitados, del personal y de IoT debe ocupar una VLAN dedicada para cada uno. Esto no es opcional si su establecimiento procesa pagos con tarjeta en la misma infraestructura física: PCI DSS v4.0 requiere la segmentación de red entre los entornos de datos de tarjetahabientes y las redes de invitados.

Utilice redundancia de RADIUS. Configure las direcciones IP de RADIUS de Purple tanto primarias como secundarias en Nebula. Una sola falla en el servidor RADIUS impedirá toda autenticación de invitados hasta que se resuelva.

Audite el Walled Garden con regularidad. Los proveedores de portales actualizan sus configuraciones de CDN. Un dominio que funcionaba en el momento de la implementación puede dejar de funcionar seis meses después si el proveedor migra los recursos a una nueva CDN. Programe una revisión trimestral de sus entradas de Walled Garden.

Habilite el registro de conexiones RADIUS (accounting). Sin el registro de conexiones, Purple no puede realizar un seguimiento de la duración de la sesión, el uso de datos ni aplicar límites de acceso basados en el tiempo. Los datos de registro también alimentan el panel de WiFi Analytics .

Aplique WPA3 donde el hardware lo admita. Los puntos de acceso Zyxel lanzados a partir de 2021 son compatibles con WPA3. Para el WiFi del personal, WPA3-Enterprise con modo de seguridad de 192 bits se alinea con las recomendaciones de NIST SP 800-187 para la seguridad inalámbrica empresarial.

Pruebe el comportamiento del CNA antes del lanzamiento. En iOS, el mini-navegador Captive Network Assistant (CNA) tiene una funcionalidad limitada en comparación con un navegador completo. Pruebe su página de inicio (splash page) de Purple en el entorno CNA (especialmente los flujos de inicio de sesión social y el JavaScript personalizado) antes de implementarla para los invitados.

Para implementaciones en el sector de hotelería , consulte también nuestra guía sobre la segmentación de redes de invitados y de administración interna (back-of-house). Para entornos de retail , se aplica el mismo enfoque PPSK para aislar los sistemas de punto de venta del WiFi para compradores.

Resolución de problemas y mitigación de riesgos

La página de inicio (splash page) no se carga

Síntoma: El invitado se conecta al SSID pero ve una página en blanco o un error del navegador en el CNA.

Causa: Uno o más dominios requeridos por la página de inicio (splash page) no están en el Walled Garden.

Resolución: Conecte un dispositivo de prueba al SSID de invitados. Abra un navegador (no el CNA) y navegue a cualquier URL HTTP. Cuando sea redirigido al portal, abra las herramientas de desarrollador del navegador e inspeccione la pestaña Red (Network). Identifique cualquier solicitud que devuelva errores 403 o de conexión rechazada. Agregue estos dominios al Walled Garden de Nebula.

Los invitados se autentican pero no obtienen acceso a internet

Síntoma: El invitado completa el formulario del portal y ve una página de éxito, pero la navegación por internet falla.

Causa: El controlador Zyxel no está recibiendo el RADIUS Access-Accept de Purple, o el firewall USG Flex está bloqueando la respuesta RADIUS.

Resolución: Verifique que los puertos UDP de salida 1812 y 1813 estén permitidos desde la IP de administración del AP Zyxel hacia la IP del servidor RADIUS de Purple. Revise los registros de políticas de seguridad de USG Flex en busca de tráfico bloqueado.

Faltan datos de contabilidad de RADIUS en el panel de Purple

Síntoma: Las sesiones aparecen en Nebula, pero el panel de analíticas de Purple no muestra datos de duración de la sesión.

Causa: La contabilidad de RADIUS no está habilitada en la configuración del SSID de Nebula, o el puerto UDP 1813 está bloqueado.

Resolución: Confirme que la contabilidad de RADIUS esté habilitada en la configuración avanzada del SSID. Verifique que el puerto de contabilidad esté configurado en 1813 y que el secreto compartido coincida con la configuración de Purple.

Usuarios de DPPSK asignados a la VLAN incorrecta

Síntoma: Un inquilino se conecta con su PPSK pero es ubicado en el segmento de red incorrecto.

Causa: El ID de VLAN en la entrada de la base de datos DPPSK no coincide con la VLAN configurada en el trunk del switch o en la interfaz de USG Flex.

Resolución: Realice una referencia cruzada del ID de VLAN en la base de datos DPPSK de Nebula con la configuración de VLAN en el switch ascendente y el USG Flex. Asegúrese de que el puerto del switch del AP sea un trunk que transporte todas las VLAN de los inquilinos.

ROI e impacto comercial

Integrar la infraestructura de Zyxel con Purple convierte una red inalámbrica que representa un centro de costos en un activo de datos que genera ingresos. Para un hotel de 200 habitaciones, capturar las direcciones de correo electrónico de los huéspedes y el consentimiento de marketing al iniciar sesión en el WiFi crea una base de datos de CRM que impulsa campañas de reserva directa, reduciendo la dependencia de las comisiones de las OTA. Para una cadena minorista, la plataforma de Guest WiFi de Purple proporciona analíticas de tráfico peatonal, datos de tiempo de permanencia y tasas de visitas recurrentes que fundamentan las decisiones de personal y comercialización.

Para operadores de múltiples inquilinos (desarrollos BTR, alojamiento para estudiantes, espacios de coworking), implementar Zyxel DPPSK con Purple elimina la carga operativa de administrar SSIDs y credenciales independientes por inquilino. Un solo SSID con asignación dinámica de VLAN reduce la interferencia de RF, simplifica la incorporación y se escala a cientos de residentes sin infraestructura adicional.

El SLA de disponibilidad del 99.999% de Purple garantiza que la capa de autenticación no se convierta en un cuello de botella para el acceso de los invitados. Con 29 mil millones de puntos de datos recopilados en toda la plataforma (datos internos de Purple), las analíticas entregadas a través de la consola de administración de Purple brindan a los operadores de los establecimientos información útil y procesable que justifica la inversión de integración dentro del primer trimestre de implementación.

Para entornos de salud y transporte donde el WiFi para visitantes es un servicio regulado, la captura de datos y la gestión de consentimiento que cumplen con el GDPR, integradas en el Captive Portal de Purple, eliminan el riesgo de cumplimiento asociado con las redes abiertas no administradas.

Consulte también: Integración de Arista Cognitive Wi-Fi con Purple WiFi para obtener un patrón de integración comparable en una plataforma de hardware diferente.

Definiciones clave

Captive portal

A web page that intercepts unauthenticated HTTP traffic from a connected device and requires the user to interact or authenticate before internet access is granted.

The primary mechanism Purple uses to capture guest data and enforce terms of service on Zyxel Guest WiFi networks.

Walled Garden

A list of IP addresses and domain names that a device can access before completing captive portal authentication.

Configured in Nebula under Captive portal advance setting. Must include all Purple portal domains, CDN endpoints, and OS connectivity check URLs.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol providing centralised Authentication, Authorisation, and Accounting (AAA) management for network access.

Purple acts as the RADIUS server. Zyxel APs send authentication requests on UDP 1812 and accounting data on UDP 1813.

DPPSK

Dynamic Personal Pre-Shared Key. A Zyxel Nebula feature that issues unique WiFi passphrases on a single SSID, mapping each passphrase to a specific VLAN.

Used in multi-tenant venues to isolate resident or tenant traffic without broadcasting multiple SSIDs. Requires Nebula Pro Pack.

VLAN

Virtual Local Area Network. A logical network segment that isolates traffic at Layer 2, regardless of the physical switch or AP infrastructure.

Mandatory for separating Guest, Staff, and Multi-Tenant traffic. Required for PCI DSS compliance in venues that process card payments.

IEEE 802.1X

An IEEE standard for port-based network access control that uses the Extensible Authentication Protocol (EAP) to authenticate individual users or devices before granting network access.

Used for Staff WiFi in Nebula by selecting WPA2-Enterprise or WPA3-Enterprise with either the Nebula Cloud Authentication Server or an external RADIUS server.

CNA

Captive Network Assistant. The pseudo-browser that iOS and macOS devices automatically open when they detect a captive portal on a WiFi network.

Has limited JavaScript and cookie support compared to a full browser. Purple splash pages must be tested in the CNA environment before deployment.

Identity-Based Networks

A network architecture where access policies, VLAN assignments, and bandwidth limits are dynamically applied based on the authenticated identity of the user or device.

The outcome of combining Zyxel DPPSK with Purple's RADIUS platform. Each user gets the right network segment automatically at connection time.

NCC

Nebula Control Center. Zyxel's cloud-based network management platform for centrally configuring and monitoring Zyxel access points, switches, and firewalls.

All SSID, captive portal, RADIUS, and DPPSK configurations described in this guide are performed within NCC.

Ejemplos resueltos

A 200-room hotel is deploying Zyxel Nebula access points and a USG Flex 500 firewall. They need guest WiFi with a branded splash page, a separate staff network with individual credentials, and an IoT network for smart TVs and thermostats - all without broadcasting more than three SSIDs.

The IT team configures three SSIDs. The first is 'Hotel-Guest', an open SSID with the Purple external captive portal URL configured in Nebula. Guests are redirected to a branded Purple splash page where they submit their email and accept marketing consent. RADIUS authentication and accounting point to the Purple cloud platform on ports 1812 and 1813. The second SSID is 'Hotel-Staff', configured with WPA2-Enterprise and the Nebula Cloud Authentication Server. Each staff member has a unique username and password in the NCAS database, mapped to VLAN 20. The third SSID is 'Hotel-IoT', configured with DPPSK. Each smart TV and thermostat receives a unique passphrase mapped to VLAN 30. The USG Flex enforces zone policies: Guest (VLAN 10) can only reach the WAN. Staff (VLAN 20) can reach the WAN and internal management systems. IoT (VLAN 30) is restricted to specific local services only.

Comentario del examinador: This architecture achieves full segmentation with minimal SSID overhead. Using DPPSK for IoT devices provides device-level isolation without requiring 802.1X supplicants, which headless devices cannot support. The Purple integration on the guest SSID captures first-party data at scale while the staff SSID maintains enterprise-grade security via individual 802.1X credentials.

A coworking space operator manages 12 tenants across three floors. Each tenant needs isolated internet access and must not be able to reach other tenants' devices. The operator wants to issue WiFi credentials at move-in and revoke them at move-out, without changing the SSID or reconfiguring the APs.

The operator deploys a single 'CoWork-Connect' SSID with DPPSK enabled in Nebula. At move-in, they log in to the Nebula Control Center, navigate to Configure > Cloud authentication > DPPSK, and create a new credential for the tenant with the target VLAN ID matching that tenant's network segment. They set an expiry date matching the lease end date and email the credential to the tenant. At move-out, they delete the DPPSK entry. The credential immediately becomes invalid and the tenant's devices can no longer associate. Layer 2 isolation is enabled on the SSID to prevent cross-tenant communication even within the same VLAN.

Comentario del examinador: DPPSK provides a clean lifecycle management model for multi-tenant environments. The expiry date feature automates offboarding without requiring manual AP reconfiguration. The 2,048 concurrent credential limit is well within the capacity of a 12-tenant coworking space. For larger deployments, operators should plan credential rotation schedules to stay within this limit.

Preguntas de práctica

Q1. You have configured the Purple captive portal URL in Zyxel Nebula and enabled the external portal. Guests connect to the SSID but report that the splash page takes over 30 seconds to load and appears visually broken - missing images and layout. What is the most likely cause and how do you resolve it?

Sugerencia: Consider what controls access to external resources before a guest has authenticated.

Ver respuesta modelo

The Walled Garden configuration is incomplete. The Purple splash page loads CSS, JavaScript, and image assets from CDN domains. If these domains are not whitelisted in the Nebula Captive portal advance setting, the AP blocks those requests before authentication is complete. Resolution: connect a test device to the Guest SSID, open a browser (not the CNA mini-browser), navigate to any HTTP URL to trigger the redirect, then open developer tools and inspect the Network tab. Identify any requests returning 403 or connection errors. Add those domains to the Nebula Walled Garden and retest.

Q2. A venue operator wants to provide isolated networks for 15 different retail tenants in a shopping centre. Their initial plan is to broadcast 15 separate SSIDs from their Zyxel APs. Why is this approach problematic, and what should they deploy instead?

Sugerencia: Think about RF airtime and the Zyxel feature designed specifically for this use case.

Ver respuesta modelo

Broadcasting 15 SSIDs generates 15 sets of beacon frames per access point per second. In a dense retail environment with multiple APs, this beacon overhead consumes significant airtime and degrades throughput for all connected devices. The correct approach is to broadcast a single SSID and enable Zyxel DPPSK. Each tenant receives a unique passphrase mapped to their dedicated VLAN ID. When a tenant device connects, the Nebula controller dynamically assigns it to the correct VLAN. This achieves full traffic isolation with a single SSID and minimal RF overhead.

Q3. After deploying the Zyxel and Purple integration, guests can authenticate successfully and browse the internet. However, the Purple analytics dashboard shows zero session duration data and the time-based access limit feature is not working. What is missing from the configuration?

Sugerencia: Authentication and session tracking use different ports and protocols.

Ver respuesta modelo

RADIUS Accounting is either not enabled in the Nebula SSID configuration or UDP port 1813 is blocked by the upstream firewall. Authentication (UDP 1812) is succeeding, which is why guests can connect. But without Accounting packets (Start, Interim-Update, Stop), Purple cannot track session duration, enforce time limits, or populate the analytics dashboard. Resolution: confirm RADIUS accounting is enabled in SSID advanced settings with the accounting port set to 1813 and the correct shared secret. Then verify the upstream firewall permits outbound UDP 1813 from the Zyxel AP management IP to the Purple RADIUS server IP.

Continúe leyendo esta serie

Guía de integración de MikroTik RouterOS Captive Portal y Purple WiFi

Esta guía técnica proporciona instrucciones paso a paso para integrar MikroTik RouterOS con la plataforma WiFi de Purple. Cubre la configuración del Captive Portal de Guest WiFi, la autenticación 802.1X de Staff WiFi y WiFi multiinquilino mediante PSK privadas para la segmentación dinámica de VLAN.

Leer la guía →

Integración de NETGEAR Insight y puntos de acceso empresariales con Purple WiFi

Esta guía proporciona a los gerentes de TI una hoja de ruta técnica definitiva para integrar NETGEAR Insight y los puntos de acceso empresariales WAX con Purple WiFi. Cubre configuraciones esenciales, incluidos Captive Portals para invitados, redes de personal 802.1X y segmentación multiinquilino mediante PPSK y asignación dinámica de VLAN.

Leer la guía →

Integración de Alcatel-Lucent Enterprise (ALE) OmniAccess con Purple WiFi

Esta guía detalla la integración técnica entre los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar y Purple WiFi. Cubre la redirección de Captive Portal, la autenticación RADIUS, la configuración de Walled Garden, WiFi seguro para el personal mediante 802.1X y la segmentación de WiFi multiinquilino mediante claves precompartidas privadas (PPSK) con direccionamiento dinámico de VLAN, lo que brinda a los administradores de TI y arquitectos de redes una referencia completa y práctica para implementar redes basadas en identidad en hardware de ALE.

Leer la guía →