Allied Telesis Série TQ AP e WiFi de convidados: configuração do captive portal com Purple

Você é um consultor de rede sênior conversando com o diretor de TI de um cliente em um briefing privado. Fale em inglês britânico com um tom confiante, autoritário e de conversa. Ritmo cadenciado, dicção clara. Sem palavras de preenchimento. Pausas naturais ocasionais para ênfase: Bem-vindo a este briefing técnico sobre a integração de pontos de acesso Allied Telesis TQ-Series com o Purple WiFi. Vou orientá-lo em todo o cenário de implantação, desde o redirecionamento do Captive Portal de convidados até o isolamento PPSK multi-tenant. Ao final disso, você terá um roteiro de implementação claro. [pausa média] Vamos começar com o contexto. A Allied Telesis produz a TQ-Series, incluindo os pontos de acesso Wi-Fi 6 TQ5403 e TQ6702 GEN2. Esses são APs de classe empresarial que executam o firmware AlliedWare Plus e são amplamente implantados em ambientes de hotelaria, varejo e setor público. A Purple é uma plataforma de sobreposição de nuvem agnóstica de hardware que opera em 80.000 locais e processa 440 milhões de logins em 2024. A integração entre essas duas plataformas é limpa, baseada em padrões e pronta para produção. [pausa média] Agora, a primeira coisa que a maioria das equipes de TI precisa configurar é o redirecionamento do Captive Portal de convidados. O AP da Allied Telesis suporta três modos de Captive Portal: clique-único, autenticação RADIUS e redirecionamento de página externa. Para a integração com a Purple, você usará o modo de redirecionamento de página externa (External Page Redirect). Veja como isso funciona na prática. Você faz login na GUI do dispositivo do AP, navega até Wireless, seleciona o VAP relevante, vai para Advanced Settings, depois para a guia Security. Defina o Captive Portal como External Page Redirect. No campo External Page URL, você insere a URL da splash page da Purple fornecida no seu painel da Purple. Essa é a URL que seus convidados acessarão quando se conectarem pela primeira vez. [pausa curta] Agora, o AP intercepta o primeiro pacote HTTP ou HTTPS de cada novo cliente e redireciona esse tráfego para a sua splash page da Purple. O convidado se autentica por meio da Purple, e o servidor RADIUS da Purple envia um Access-Accept de volta ao AP. O AP então concede o acesso à rede. [pausa média] Para a configuração do RADIUS, a Purple fornece a você um endereço IP de servidor RADIUS, um segredo compartilhado e a porta de autenticação, que é UDP 1812. A tarifação (Accounting) é executada na porta UDP 1813. Você configura isso em Network Services, depois RADIUS na GUI do AP. O identificador NAS deve ser definido como o IP de gerenciamento do AP ou um hostname descritivo. O RADIUS-as-a-Service da Purple lida com o backend de autenticação, para que você não precise executar sua própria infraestrutura RADIUS. [pausa curta] Uma coisa a acertar é o Walled Garden. Antes de um convidado se autenticar, o AP bloqueia todo o tráfego, exceto para destinos na lista de permissões. Você precisa adicionar os domínios da plataforma da Purple ao walled garden para que a splash page seja carregada corretamente. No mínimo, adicione à lista de permissões o domínio da splash page da Purple, quaisquer endpoints de CDN que a Purple use para ativos e quaisquer provedores de login social que você tenha ativado, como Google ou Facebook. Você configura isso no mesmo painel de VAP Advanced Settings em Walled Garden. [medium pause] Vamos passar para o WiFi para funcionários usando 802.1X. É aqui que você configura o WPA Enterprise em um VAP separado. Na GUI do AP, selecione WPA Enterprise no menu suspenso Security e, em seguida, aponte o RADIUS Authentication Group para o seu servidor RADIUS externo, que neste caso é o serviço SecurePass da Purple ou seu próprio RADIUS baseado em Microsoft Entra ID ou Okta. Os dispositivos dos funcionários se autenticam usando EAP-PEAP com MSCHAPv2, ou EAP-TLS com certificados para ambientes de maior segurança. O AP atua como o autenticador 802.1X, encaminhando as credenciais para o servidor RADIUS e aplicando a resposta. [short pause] Para atribuição dinâmica de VLAN na rede de funcionários, você ativa o Dynamic VLAN nas configurações de Advanced Security do VAP. Quando o servidor RADIUS retorna um Access-Accept, ele inclui três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como IEEE 802 e Tunnel-Private-Group-Id definido como o VLAN ID. O AP lê esses atributos e coloca o dispositivo autenticado na VLAN correta automaticamente. Este é o mecanismo definido no RFC 3580 e funciona de forma consistente em todo o hardware Allied Telesis. [medium pause] Agora vamos falar sobre o recurso mais interessante para implantações de multi-tenant: o Allied Telesis PPSK, ou Private Pre-Shared Key. Isso às vezes é chamado de iPSK em outras plataformas. O conceito é simples. Você tem um único SSID, mas cada tenant ou grupo de usuários recebe uma senha exclusiva. Quando um dispositivo se conecta, o AP envia essa senha para o servidor RADIUS como o campo de senha em um RADIUS Access-Request. O servidor RADIUS correlaciona a senha a um registro de usuário e retorna um Access-Accept com um atributo Tunnel-Private-Group-Id especificando a VLAN para aquele tenant. [short pause] Portanto, em um edifício de uso misto, o Tenant A na unidade de varejo se conecta com sua senha e vai para a VLAN 100. O restaurante no térreo usa uma senha diferente e vai para a VLAN 300. O WiFi para convidados do edifício usa uma terceira senha e vai para a VLAN 400, onde o Captive Portal da Purple está ativo. Tudo isso funciona em um único SSID. Sem proliferação de SSIDs. Limpo, escalável e fácil de gerenciar. [medium pause] Do lado da Purple, você configura os registros de usuários PPSK no painel da Purple ou via interface do RADIUS-as-a-Service. Cada locatário recebe uma frase secreta única mapeada para um ID de VLAN. O servidor RADIUS da Purple lida com a correspondência e retorna o Tunnel-Private-Group-Id correto. Quando precisar revogar o acesso de um locatário, você exclui ou desativa o registro PPSK dele na Purple. O AP aplica a alteração na próxima tentativa de autenticação. [medium pause] Deixe-me apresentar dois cenários do mundo real onde isso é importante. Primeiro, um hotel de conferências de 250 quartos. O hotel opera três redes: WiFi de convidados com página de captura da Purple e login social, WiFi de funcionários em 802.1X vinculado ao Active Directory via Microsoft Entra ID e uma rede de delegados de conferência para eventos. Os APs Allied Telesis TQ6702 GEN2 lidam com as três em VAPs separados com VLANs separadas. A Purple gerencia a página de captura de convidados, coleta dados proprietários para o CRM do hotel e fornece análises sobre períodos de pico de uso. A equipe de TI do hotel gerencia a rede de funcionários por meio do SecurePass da Purple sem manter um servidor RADIUS separado no local. [short pause] Segundo cenário: um parque comercial com 12 locatários independentes. O proprietário quer oferecer WiFi como serviço para cada locatário sem dar a eles acesso ao tráfego uns dos outros. Eles implantam APs Allied Telesis em todo o local com um único SSID. Cada locatário recebe um PPSK exclusivo. O servidor RADIUS da Purple mapeia cada PPSK para uma VLAN dedicada. O proprietário pode integrar um novo locatário em menos de dez minutos, criando um novo registro PPSK na Purple e entregando a frase secreta ao locatário. Nenhuma reconfiguração de AP é necessária. [medium pause] Agora, alguns erros comuns a serem evitados. O problema mais comum que vemos são walled gardens mal configurados. Se você esquecer de incluir um endpoint da CDN da Purple na lista de permissões, a página de captura carregará parcialmente ou falhará em determinados dispositivos. Teste com um dispositivo novo que não tenha DNS em cache antes de entrar em produção. Segundo, incompatibilidades de segredo compartilhado RADIUS. O segredo configurado no AP deve corresponder exatamente ao segredo na configuração do servidor RADIUS da Purple. A diferença de um único caractere causa falhas silenciosas de autenticação. Use um gerenciador de senhas para gerar e armazenar o segredo. Terceiro, VLAN dinâmica não sendo ativada. Nos APs Allied Telesis, a VLAN dinâmica vem desativada por padrão, mesmo quando o WPA Enterprise está ativo. Você deve ativá-la explicitamente nas configurações avançadas de segurança do VAP. Vemos esse detalhe ser esquecido com frequência. Quarto, conflito de autenticação PPSK e MAC. Se você tiver a autenticação MAC ativada no mesmo VAP que o PPSK, a ordem de autenticação é importante. Verifique a documentação do AP para a versão do seu firmware para confirmar qual método tem precedência. [medium pause] Perguntas rápidas que recebo de equipes de TI. Posso usar o servidor RADIUS da Purple tanto para o Captive Portal de convidados quanto para o 802.1X de funcionários na mesma implantação? Sim. O RADIUS-as-a-Service da Purple suporta ambos os fluxos de autenticação. Você configura grupos ou políticas RADIUS separados na Purple para cada caso de uso. Os APs Allied Telesis suportam WPA3 com Captive Portal? O TQ6702 GEN2 executando o firmware 5.5.4-2.3 ou posterior suporta a cifra WPA3 CCMP. No entanto, o Captive Portal com redirecionamento externo normalmente é executado em um SSID aberto ou WPA2 Personal. O 802.1X da equipe corporativa pode usar WPA3 Enterprise. O que acontece se o servidor RADIUS do Purple estiver inacessível? O AP negará novas tentativas de autenticação. As sessões existentes continuarão até que expirem. Você deve configurar um servidor RADIUS secundário no grupo RADIUS do AP para redundância. A plataforma da Purple mantém 99,999% de tempo de atividade, mas a defesa em profundidade é uma boa prática. [medium pause] Para resumir. Os APs Allied Telesis da série TQ se integram ao Purple por meio de três mecanismos principais: redirecionamento de Captive Portal externo para WiFi de convidados, WPA Enterprise com RADIUS para 802.1X corporativo e PPSK com VLAN dinâmica para isolamento de múltiplos inquilinos. Os atributos RADIUS necessários são Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 e Tunnel-Private-Group-Id contendo o ID da VLAN. O Purple fornece o backend de RADIUS-as-a-Service, a plataforma de splash page e a camada de analytics. [short pause] Seus próximos passos: extraia as credenciais de RADIUS do Purple do seu painel, configure o redirecionamento de página externa no seu VAP de convidados, adicione as entradas de walled garden, ative a VLAN dinâmica no seu VAP corporativo e execute uma autenticação de teste para cada segmento de rede antes de entrar em produção. Se estiver implantando PPSK para múltiplos inquilinos, planeje seu esquema de numeração de VLAN antes de começar, pois alterar IDs de VLAN após os inquilinos estarem ativos exige coordenação. [medium pause] Este é o briefing. Para obter a referência completa de configuração passo a passo, o diagrama de arquitetura Mermaid e a tabela de atributos RADIUS, consulte o guia escrito. Obrigado pelo seu tempo.