Alta Labs AP e guest WiFi: configuração do captive portal com a Purple

ROTEIRO DE PODCAST: Integração da Alta Labs com o Purple WiFi: Configuração e Configuração de Captive Portal Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritário --- [INTRODUÇÃO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico da Purple. Eu sou o seu anfitrião e hoje estamos detalhando a integração entre os pontos de acesso da Alta Labs e a plataforma de inteligência Purple WiFi. Se você é um gerente de TI, arquiteto de rede ou diretor de operações de locais que busca implantar uma solução de WiFi para convidados robusta e escalável, este briefing é para você. Vamos cobrir a configuração específica para o Alta Labs AP6 e AP6 Pro, como configurar o redirecionamento de captive portal externo e as configurações críticas de walled garden necessárias para fazer com que os logins sociais realmente funcionem no mundo real. Também vamos nos aprofundar no AltaPass - a implementação de Private Pre-Shared Keys, ou PPSK, da Alta Labs - e como você pode usá-lo para segmentar ambientes multi-inquilino sem destruir seu desempenho de RF com o excesso de SSIDs. Vamos começar. --- [IMERSÃO TÉCNICA - 5 MINUTOS] A integração entre a Alta Labs e a Purple depende de dois conceitos fundamentais de rede: redirecionamento HTTP para o captive portal e RADIUS para autenticação e bilhetagem. Quando um convidado entra no seu local - por exemplo, uma loja de varejo ou o saguão de um hotel - e se conecta à sua rede de convidados aberta ou WPA3-OWE, o AP da Alta Labs age como o guardião. Ele intercepta as solicitações HTTP iniciais do cliente e as redireciona para a sua página de login personalizada da Purple. Para configurar isso na plataforma Alta Labs Cloud Management, você navega até as configurações de WiFi, seleciona o seu SSID de convidados e, nas Configurações Avançadas, define o tipo de rede como Convidado. Isso é crucial porque aplica automaticamente o isolamento de clientes, impedindo que os dispositivos se comuniquem lateralmente pela rede. Em seguida, na seção Hotspot, você seleciona Externo e insere a URL de redirecionamento da Purple fornecida nas configurações do seu local, junto com o seu Segredo de Autorização. Mas é aqui que a maioria das implantações encontra um obstáculo: o walled garden. O walled garden é a lista de domínios e endereços IP que um dispositivo tem permissão para acessar antes de ser autenticado. Se você deseja que os convidados façam login usando o Google, Facebook ou Apple, os dispositivos deles precisam alcançar esses servidores OAuth enquanto ainda estão no estado pré-autenticado. Você deve colocar explicitamente na lista de permissões os domínios de infraestrutura da Purple - como region1.purpleportal.net e cloudfront.net. Em seguida, você precisa adicionar as sondas de captive portal do sistema operacional: captive.apple.com para iOS e connectivitycheck.gstatic.com para Android. Se você bloquear essas sondas, o telefone não saberá que está atrás de um captive portal e a página de login nunca será exibida. Finalmente, você adiciona os domínios de login social. Para o Google, são accounts.google.com, oauth2.googleapis.com e gstatic.com. Para o Facebook, são facebook.com, graph.facebook.com e os domínios fbcdn.net. Uma lista de permissões de IP estático não funcionará aqui porque esses provedores usam redes de entrega de conteúdo dinâmico. Você deve usar nomes de domínio e garantir que seu controlador realize a resolução dinâmica de DNS. Assim que o usuário conclui o login na splash page do Purple, o servidor RADIUS do Purple envia uma mensagem Access-Accept de volta para o AP da Alta Labs. O AP então remove a restrição do walled garden e concede ao dispositivo acesso total à internet. É um fluxo limpo e seguro que captura dados primários enquanto mantém a integridade da rede. Agora, vamos falar sobre segmentação multi-tenant. Em ambientes como escritórios inteligentes, acomodações estudantis ou unidades multi-residenciais, você frequentemente precisa fornecer redes seguras e isoladas para diferentes grupos. Historicamente, as equipes de TI transmitiam um SSID separado para cada locatário. Essa é uma prática terrível. Ela causa uma sobrecarga de gerenciamento massiva e destrói o desempenho do seu wireless devido à sobrecarga de quadros de beacon. A Alta Labs resolve isso com o AltaPass, a versão deles de Private Pre-Shared Keys. Com o AltaPass, você transmite um único SSID - vamos chamá-lo de BuildingWiFi. Mas você gera senhas exclusivas para diferentes usuários ou dispositivos. Quando o Locatário A insere sua senha específica, o AP o atribui dinamicamente à VLAN 101 com um limite de largura de banda de 100 Megabits. Quando a equipe de gerenciamento insere sua senha no mesmo SSID, eles são direcionados para a VLAN 200 com largura de banda ilimitada. Você pode até criar uma senha para dispositivos IoT, como termostatos inteligentes, que os atribui a uma VLAN isolada e ignora o Captive Portal completamente. Um SSID. Senhas ilimitadas. Isolamento completo. Isso é Rede Baseada em Identidade na borda, e é uma solução genuinamente elegante para um problema que atormenta implantações multi-tenant há anos. Deixe-me dar um exemplo concreto de como isso funciona na prática. Considere um complexo de apartamentos de 72 unidades - um tipo de implantação do mundo real para o qual a Alta Labs tem sido amplamente utilizada. Em vez de transmitir 72 SSIDs separados, o administrador da rede cria um único SSID e gera uma senha exclusiva para cada unidade. Cada senha é mapeada para uma VLAN e sub-rede dedicadas. Os residentes no plano básico recebem 100 Megabits. Os residentes que pagaram pelo plano premium recebem 300 Megabits. A equipe de gestão do edifício tem acesso irrestrito. O sistema de automação predial - fechaduras de portas, HVAC, elevadores - recebe sua própria VLAN isolada com inspeção profunda de pacotes habilitada. Tudo a partir de um único SSID. O ambiente de RF fica mais limpo, o desempenho é maior e o gerenciamento é drasticamente mais simples. Agora, vamos passar para a configuração do 802.1X para WiFi seguro da equipe. Para a rede de funcionários, você não deve utilizar de forma alguma uma chave pré-compartilhada. Você deve usar WPA2 ou WPA3 Enterprise com autenticação 802.1X. Na plataforma Alta Labs, você configura isso selecionando o seu SSID corporativo, definindo o modo de segurança para WPA2-Enterprise ou WPA3-Enterprise e apontando o AP para o seu servidor RADIUS. Se você estiver integrando com o produto SecurePass da Purple, a Purple atua como o intermediário RADIUS, conectando-se ao seu provedor de identidade - seja ele Microsoft Entra ID, Okta ou Google Workspace - e retornando a atribuição de VLAN apropriada na mensagem Access-Accept. O AP da Alta Labs lê o atributo Tunnel-Private-Group-Id da resposta RADIUS e coloca o dispositivo na VLAN correta automaticamente. Uma observação importante sobre a atribuição dinâmica de VLAN com a Alta Labs: ao configurar VLANs atribuídas por RADIUS, defina a VLAN padrão no SSID para VLAN 1 ou deixe-a sem tag. Existe um comportamento conhecido onde, se a VLAN padrão for definida para um valor específico, o AP pode sobrescrever a VLAN atribuída pelo RADIUS com a padrão configurada. Definir o padrão para VLAN 1 garante que a atribuição do RADIUS tenha precedência. - [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS] Ao implementar isso, há algumas recomendações importantes que quero destacar. Primeiro, sempre teste o fluxo do seu Captive Portal com um dispositivo novo. Não use o seu próprio telefone se você já se conectou à rede durante os testes. Seu dispositivo lembra a autorização do endereço MAC ou possui entradas de DNS em cache, o que mascarará falhas no walled garden. Pegue um tablet que nunca se conectou à rede, conecte-o e verifique se o assistente de Captive Portal do sistema operacional é iniciado automaticamente. Segundo, cuidado com o excesso de liberação na lista branca. Vejo engenheiros ficarem frustrados com erros de login social e simplesmente adicionarem domínios curinga inteiros ou blocos massivos de IP à lista branca. Isso cria uma vulnerabilidade de segurança onde usuários experientes podem ignorar completamente o seu Captive Portal. Atenha-se aos domínios específicos exigidos para o fluxo de OAuth. Terceiro, ao implantar o AltaPass PPSK com VLANs dinâmicas, certifique-se de que toda a sua infraestrutura de switching esteja configurada corretamente. As portas do switch que se conectam aos seus APs Alta Labs devem ser configuradas como trunks, permitindo que todas as VLANs marcadas passem para o gateway. Se o AP marcar o tráfego para a VLAN 101, mas a porta do switch estiver definida para o modo de acesso na VLAN 1, o tráfego cai e o cliente não recebe endereço IP. Quarto, implemente uma revisão trimestral da configuração do seu walled garden. Provedores de OAuth e redes de distribuição de conteúdo alteram suas estruturas de domínio. A Apple atualizou seus domínios de Sign In duas vezes em 2023. Um walled garden que estava correto na implantação sairá de alinhamento sem uma manutenção ativa. - [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Vamos passar por algumas perguntas rápidas que ouvimos em campo. Pergunta um: Posso usar WPA3 com o Captive Portal da Purple em hardware Alta Labs? Sim. Você deve usar WPA3-OWE, que significa Opportunistic Wireless Encryption. Isso criptografa os dados pelo ar, protegendo a privacidade dos convidados, enquanto ainda funciona como uma rede aberta que aciona o redirecionamento do Captive Portal. É a escolha certa para qualquer nova implantação de WiFi de convidados em 2026. Pergunta dois: Quais portas preciso abrir no meu firewall para o tráfego RADIUS? Os servidores RADIUS da Purple se comunicam pela porta UDP 1812 para autenticação e porta UDP 1813 para contabilização. Certifique-se de que seu firewall de borda permita o tráfego de saída nessas portas dos APs Alta Labs para a infraestrutura Purple. Pergunta três: Posso usar AltaPass PPSK junto com o Captive Portal da Purple no mesmo SSID? Sim, e esta é, na verdade, uma configuração muito útil. Você pode criar uma senha AltaPass que ignora o Captive Portal para dispositivos conhecidos - como seus terminais de ponto de venda ou sinalização digital - enquanto as conexões padrão ao mesmo SSID ainda passam pela página splash da Purple. Isso oferece um único SSID limpo que lida tanto com dispositivos autenticados quanto com usuários convidados. --- [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para encerrar: A integração do Alta Labs com o Purple WiFi oferece uma plataforma segura e escalável para capturar dados primários e entregar uma experiência de convidado personalizada com a sua marca. Lembre-se dos três pilares de uma implantação bem-sucedida. Primeiro, configure o redirecionamento de hotspot externo e as configurações de RADIUS com precisão na plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente seus domínios de walled garden para garantir que as sondagens de SO e os logins sociais funcionem corretamente. E terceiro, aproveite o AltaPass PPSK para implementar Redes Baseadas em Identidade, segmentando seu tráfego sem poluir seu espaço aéreo com SSIDs desnecessários. A Purple opera em 80.000 locais ativos e processou 440 milhões de logins em 2024. A plataforma possui certificação ISO 27001, está em conformidade com a GDPR e foi projetada para escalar desde um único hotel boutique até uma rede de varejo nacional. Quando você combina isso com o desempenho e a flexibilidade do hardware Alta Labs, você tem uma pilha de WiFi corporativa robusta. Se você seguir este manual, entregará uma experiência de WiFi integrada e em conformidade, com a qual sua equipe de marketing e sua equipe de segurança ficarão satisfeitas. Obrigado por ouvir a Série de Briefing Técnico da Purple. Até a próxima, mantenha suas redes seguras e seus dados acionáveis.