Arista Cognitive Wi-Fi Integration with Purple WiFi

Resumo executivo

A implantação de um Captive Portal Arista para acesso de convidados não é apenas uma tarefa de conectividade. É uma interseção crítica de segurança de rede, conformidade regulatória e estratégia de dados. Para líderes de TI que gerenciam locais distribuídos, a integração do Arista CloudVision Cognitive Unified Edge (CV-CUE) com a Purple transforma o tráfego de convidados não gerenciado em um ativo seguro, segmentado e mensurável.

Este documento de referência fornece um modelo definitivo para configurar o Arista Cognitive Wi-Fi com a Purple. Detalhamos os mecanismos exatos necessários para implantar splash pages hospedadas por terceiros, construir listas de controle de acesso de Walled Garden precisas e implementar a autenticação RADIUS. Também cobrimos o isolamento avançado de WiFi multi-inquilino (Multi-Tenant) usando as Chaves Pré-Compartilhadas Privadas (PPSK) da Arista e o direcionamento dinâmico de VLAN - a arquitetura que elimina a proliferação de SSIDs em espaços de coworking, shopping centers e edifícios residenciais.

A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos da Purple). A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e a CCPA, e possui as certificações Cyber Essentials e B Corp. Este guia reflete configurações testadas em produção e validadas em implantações nos setores de hospitalidade, varejo e setor público.

Análise técnica detalhada

A arquitetura de integração do Captive Portal Arista

O fluxo de integração de convidados dita como os dispositivos interagem com o ponto de acesso (AP) Arista antes e depois da autenticação. Quando um dispositivo se associa ao SSID aberto de convidados, o AP Arista o atribui a uma VLAN de pré-autenticação. Nesse estado, o AP restringe o tráfego DNS e HTTP a uma lista de permissões definida. O sistema operacional do dispositivo detecta o Captive Portal e tenta alcançar um endpoint conhecido - o iOS envia uma solicitação HTTP para captive.apple.com, o Android para connectivitycheck.gstatic.com e o Windows para www.msftconnecttest.com. O AP Arista intercepta essa solicitação e emite um redirecionamento HTTP 302 para a URL da splash page da Purple.

{{asset:captive_portal_flow.png}}

Para garantir que esse fluxo seja executado sem erros, o controlador Arista CV-CUE deve ser configurado para apontar para a Purple como um portal hospedado por terceiros. Isso requer a definição dos servidores RADIUS da Purple (Porta de Autenticação 1812, Porta de Tarifação/Accounting 1813) dentro dos Perfis de Rede do CV-CUE. Assim que o convidado envia suas credenciais ou aceita os termos no portal Purple, a Purple atua como o servidor RADIUS e envia uma mensagem Access-Accept de volta ao AP Arista. Essa mensagem inclui atributos de Alteração de Autorização (CoA) RADIUS definidos na RFC 3576, instruindo o AP a transicionar o endereço MAC do cliente do estado restrito de pré-autenticação para o acesso total à internet na VLAN pós-autenticação.

Design de ACL de Walled Garden no CV-CUE

O Walled Garden é uma lista de permissões (whitelist) de domínios e endereços IP que dispositivos não autenticados precisam acessar para carregar a splash page e concluir a autenticação. No Arista CV-CUE, você configura isso nas configurações do Captive Portal como "Websites que os usuários podem acessar antes do login".

O Walled Garden é uma lista de permissões explícita. Você deve incluir os domínios principais do Purple para renderizar o portal. Se você oferecer login social, também deverá incluir na lista de permissões os domínios do Provedor de Identidade (IdP). A falha em manter essa lista faz com que os visitantes não consigam carregar a tela de login do provedor de autenticação, levando ao abandono imediato.

Entradas mínimas obrigatórias de Walled Garden para o Purple:

• region1.purpleportal.net
• venuewifi.com
• cloudfront.net
• openweathermap.org
• stripe.com (se o acesso pago estiver habilitado)

Entradas adicionais para login social:

• Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
• Google Workspace: accounts.google.com, googleapis.com
• Twitter/X: twitter.com, twimg.com
• LinkedIn: linkedin.com, licdn.net

Configuração de Arista PPSK para isolamento multi-tenant

Para ambientes como espaços de coworking, edifícios residenciais ou shopping centers, o padrão 802.1X costuma ser muito complexo para dispositivos não gerenciados, mas as redes abertas carecem da segurança necessária. O Arista Private Pre-Shared Keys (PPSK) resolve isso permitindo múltiplas senhas exclusivas em um único SSID, cada uma mapeada para uma política de rede distinta.

Quando integrado com o Purple RADIUS, o Arista PPSK permite o direcionamento dinâmico de VLAN. Um residente ou lojista se conecta ao SSID unificado usando seu PPSK específico. O AP Arista autentica a chave no servidor Purple RADIUS. O Purple retorna o Access-Accept padrão, mas anexa três atributos RADIUS que direcionam a atribuição de VLAN:

O AP Arista atribui dinamicamente o dispositivo a essa VLAN. Isso fornece isolamento estrito de Camada 2 entre inquilinos sem transmitir dezenas de SSIDs separados, otimizando a utilização de RF enquanto mantém limites de segurança absolutos.

WiFi seguro para funcionários com IEEE 802.1X

Para redes de funcionários, senhas compartilhadas são um risco de segurança. O IEEE 802.1X (definido na norma IEEE Std 802.1X-2020) fornece controle de acesso à rede baseado em porta usando credenciais por usuário. No CV-CUE, você configura um SSID corporativo com segurança WPA2-Enterprise ou WPA3-Enterprise. O AP atua como o autenticador, encaminhando as credenciais para o servidor RADIUS via EAP (Extensible Authentication Protocol). O Purple suporta EAP-PEAP para autenticação de usuário/senha e EAP-TLS para autenticação baseada em certificado.

Para implantações EAP-TLS, você se integra ao Microsoft Entra ID, Okta ou Google Workspace como a autoridade de certificação. Quando o dispositivo de um funcionário apresenta um certificado de cliente válido, o servidor RADIUS o valida em relação ao diretório e retorna um Access-Accept. Isso elimina completamente o roubo de credenciais como um vetor de ataque.

Integração com Arista Cloud WIPS

O Sistema de Prevenção de Intrusão Sem Fio (WIPS) da Arista opera continuamente em segundo plano, varrendo pontos de acesso não autorizados, APs mal configurados e clientes não autorizados. No CV-CUE, navegue até Configure > WIPS > Automatic Intrusion Prevention para configurar o nível de prevenção. A Arista oferece quatro níveis: Degrade, Interrupt, Disrupt e Block. Para implantações corporativas, comece com Disrupt, que interrompe a comunicação não autorizada sem bloqueá-la completamente, reduzindo o risco de falsos positivos durante a implantação inicial.

Habilite o SSID VLAN Monitoring em Configure > Device > Access Point > Security tab para garantir que os APs monitorem ativamente suas VLANs atribuídas em busca de atividades não autorizadas. Os modelos da série Arista AP-3xx suportam o monitoramento de até 42 VLANs simultaneamente (documentação do Arista WIPS, 2025).

Guia de implementação

Fase 1: Segmentação de rede e configuração do RADIUS

1. Faça login no Arista CV-CUE e navegue até Configure > Network Profiles > RADIUS.
2. Clique em Add RADIUS Server.
3. Insira os detalhes do servidor RADIUS Purple primário: Endereço IP, Porta de Autenticação (1812), Porta de Tarifação (1813) e o Segredo Compartilhado da página de configuração de hardware do portal Purple.
4. Repita o processo para o servidor RADIUS Purple secundário para garantir alta disponibilidade.
5. Verifique se as portas UDP 1812 e 1813 estão abertas entre os APs Arista e os servidores RADIUS Purple em seu firewall.

Fase 2: Configuração do SSID de convidados e do Captive Portal

1. Navegue até Configure > WiFi > SSID e clique em Add New SSID.
2. Defina o Nome do SSID (por exemplo, Guest_WiFi) e defina o Tipo de SSID como Guest.
3. Na guia Security, defina o nível de segurança como Open.
4. Na guia Network, configure a VLAN de pré-autenticação (por exemplo, VLAN 10) com um escopo DHCP dedicado.
5. Na aba Captive Portal, marque a caixa de seleção do Captive Portal.
6. Selecione Third-Party Hosted no menu suspenso Cloud Hosted.
7. Marque With RADIUS Authentication e selecione o perfil RADIUS do Purple.
8. Insira a URL da Splash Page do Purple (ex: https://region1.purpleportal.net/access/) e a URL de Redirecionamento (ex: https://region1.purpleportal.net/access/?res=success).
9. Defina o formato do Called Station ID como %m (formato de endereço MAC exigido pelo Purple).
10. Defina o Accounting Interval para 2 minutos.
11. Desmarque a caixa de seleção HTTPS Redirection.

Fase 3: Implantação do Walled Garden

1. Na aba Captive Portal, localize a seção Websites that users can access before login.
2. Adicione todos os domínios obrigatórios do Purple e domínios de Provedores de Identidade listados acima.
3. Salve a configuração do SSID e aplique-a aos grupos de AP Arista de destino.

Fase 4: Configuração multi-tenant de PPSK

1. No portal Purple, navegue até a configuração de hardware do local e recupere as configurações de RADIUS do PPSK.
2. No CV-CUE, crie um novo SSID com segurança WPA2-Personal e ative o modo PPSK.
3. Configure o SSID para autenticar no perfil RADIUS do Purple.
4. No portal Purple, crie uma senha PPSK para cada tenant e mapeie-a para o ID de VLAN correspondente.
5. Verifique se as portas do switch que se conectam aos APs Arista estão configuradas como trunk para as VLANs de tenant necessárias.

Fase 5: WiFi Corporativo Seguro (802.1X)

1. Crie um novo SSID Corporativo no CV-CUE.
2. Na aba Security, selecione WPA2-Enterprise ou WPA3-Enterprise.
3. Selecione o perfil RADIUS que aponta para o seu provedor de identidade corporativo (Microsoft Entra ID, Okta ou Google Workspace).
4. Configure o tipo de EAP: PEAP para usuário/senha, EAP-TLS para autenticação baseada em certificado.
5. Atribua o SSID de funcionários a uma VLAN dedicada (ex: VLAN 20) isolada da VLAN de Visitantes.

Melhores práticas

Automatize as atualizações do Walled Garden. Os provedores de identidade alteram frequentemente seus domínios de CDN. Agende uma revisão trimestral da sua configuração de Walled Garden no Arista CV-CUE em relação às listas de domínios atualizadas do Purple. Uma única entrada de CDN ausente interromperá o login social de todos os visitantes.

Otimize os temporizadores de sessão por tipo de local. Configure os tempos limite de inatividade no Arista CV-CUE para corresponder ao perfil de tráfego do seu local. Ambientes de varejo se beneficiam de um tempo limite de inatividade de 10 minutos para recuperar endereços IP de dispositivos que saíram da loja. Implantações em hotéis devem usar tempos limite mais longos (4 a 8 horas) para evitar disparar novamente o portal durante a estadia de um hóspede.

Imponha o Isolamento de Clientes. Sempre ative o Client Isolation no SSID de Visitantes dentro do Arista CV-CUE. Isso impede que os dispositivos dos visitantes se comuniquem entre si, mitigando riscos de movimentação lateral e atendendo aos requisitos de segmentação de rede do PCI DSS. Habilite o RADIUS Accounting. Certifique-se de que o RADIUS Accounting esteja habilitado com um intervalo de 2 minutos. Isso fornece ao Purple métricas precisas de duração de sessão e transferência de dados, alimentando o painel do WiFi Analytics e permitindo uma análise precisa do tempo de permanência dos visitantes.

Segmente por tipo de SSID, não por AP. Aplique SSIDs de Visitantes, Funcionários e Multi-Tenant aos mesmos grupos de APs. O Arista CV-CUE lida com a marcação de VLAN por SSID, portanto, você não precisa de APs separados para cada tipo de usuário. Isso simplifica a implantação do seu hardware enquanto mantém uma separação lógica rigorosa.

Para uma visão mais ampla da arquitetura de segurança de WiFi corporativo, consulte nosso Enterprise WiFi Security: A Complete Guide for 2026 .

Estudos de caso

Estudo de caso 1: Rede de hotéis com 350 quartos

Uma rede de hotéis de médio porte com 12 propriedades implantou APs Arista Wi-Fi 6E em todos os locais, gerenciados por meio de uma única instância do CV-CUE. O requisito era fornecer um Guest WiFi personalizado com captura de e-mail para marketing, isolado da rede do sistema de gestão de propriedades (PMS), ao mesmo tempo em que oferecia suporte a 802.1X para dispositivos de funcionários.

A equipe configurou três SSIDs por propriedade: um SSID de Visitantes (VLAN 10) apontando para o Purple, um SSID de Funcionários (VLAN 20) usando 802.1X integrado ao Microsoft Entra ID e um SSID de IoT (VLAN 30) para dispositivos de gestão predial. O Captive Portal do Purple capturou os endereços de e-mail e o consentimento dos hóspedes no momento do check-in. Em 90 dias, a rede coletou dados primários verificados de 68% dos hóspedes (dados internos do Purple), permitindo campanhas de engajamento direcionadas. A rede do PMS permaneceu completamente isolada, atendendo aos requisitos do PCI DSS para segmentação de ambiente de dados de portadores de cartão.

Estudo de caso 2: Espaço de coworking multi-tenant

Uma operadora de coworking que gerencia oito locais precisava fornecer WiFi isolado para 35 empresas membros por site sem transmitir 35 SSIDs. O ambiente de RF já estava congestionado, e a proliferação de SSIDs estava prejudicando o desempenho de todos os membros.

A solução foi um único SSID por site usando Arista PPSK com Purple RADIUS. Cada empresa membro recebeu uma senha PPSK exclusiva. O Purple mapeou cada senha para uma VLAN dedicada (VLAN 100 a VLAN 3500). Quando um membro se conectava, o AP Arista o direcionava dinamicamente para sua VLAN com base no Tunnel-Private-Group-ID retornado pelo Purple RADIUS. O resultado foi uma redução de 35 SSIDs para apenas um por site, uma melhoria mensurável na eficiência do tempo de transmissão de dados e isolamento completo de Camada 2 entre as empresas membros. Quando o contrato de um membro terminava, a operadora revogava sua senha no portal do Purple, encerrando o acesso em poucos segundos.

Solução de problemas e mitigação de riscos

Problema: A splash page não carrega em dispositivos Apple. O iOS usa um mecanismo específico para detectar captive portals. Se a splash page não carregar automaticamente, verifique se o Walled Garden da Arista inclui todos os domínios de CDN da Purple. Se o Walled Garden for excessivamente restritivo, o dispositivo iOS não conseguirá carregar os recursos do portal e abortará a conexão.

Problema: A randomização do endereço MAC impede o reconhecimento de visitantes recorrentes. Dispositivos com iOS 14+ e Android 10+ randomizam seu endereço MAC por SSID. Isso impede que a Purple reconheça um visitante recorrente baseando-se apenas em seu endereço MAC. Dependa da identidade autenticada (e-mail ou login social) para rastreamento de longo prazo. Para uma reconexão segura e contínua sem um captive portal, migre para arquiteturas Passpoint/Hotspot 2.0.

Problema: O direcionamento dinâmico de VLAN falha com PPSK. Se os clientes forem atribuídos à VLAN padrão em vez de sua VLAN específica, verifique a resposta RADIUS usando as ferramentas de solução de problemas do Arista CV-CUE. Certifique-se de que a Purple está retornando os atributos Tunnel-Private-Group-ID, Tunnel-Type e Tunnel-Medium-Type corretos, e que a VLAN especificada existe na porta do switch conectada ao AP Arista.

Problema: Esgotamento do pool de DHCP na VLAN de visitantes. Reduza o tempo limite de inatividade para 5 a 10 minutos em ambientes de alto fluxo. Aumente o tamanho do escopo do DHCP se o local exceder regularmente 80% de utilização do pool. Considere o uso de uma sub-rede /22 ou maior para locais de alta densidade, como estádios ou centros de convenções.

Problema: Os dados de bilhetagem (accounting) do RADIUS mostram sessões de zero segundo. Verifique se a porta UDP 1813 está aberta no firewall entre os APs Arista e os servidores RADIUS da Purple. Confirme se o Intervalo de Bilhetagem (Accounting Interval) está configurado para 2 minutos nas configurações de SSID do CV-CUE.

Para orientações relacionadas sobre exibição sem fio e melhores práticas de protocolo em ambientes corporativos, consulte O que é exibição sem fio: protocolos e melhores práticas para 2026 .

ROI e impacto nos negócios

A implantação do Arista Cognitive Wi-Fi com a Purple transforma um centro de custo de rede em um ativo de negócios mensurável. Ao aplicar um captive portal em conformidade, você mitiga o risco de multas da GDPR, que podem atingir 4% do faturamento anual global. Mais importante ainda, o portal de Guest WiFi captura dados primários (first-party) verificados. A Purple já coletou 29 bilhões de pontos de dados em sua rede (dados internos da Purple), demonstrando a escala do que uma arquitetura de guest WiFi devidamente implantada pode gerar.

Para estabelecimentos de Varejo , esses dados alimentam diretamente os sistemas de CRM, permitindo campanhas de marketing direcionadas com base na frequência de visitas e no tempo de permanência. Para operadores de Hospitalidade , possibilita o engajamento personalizado com hóspedes recorrentes. Para hubs de Transporte , fornece dados precisos de fluxo de passageiros que fundamentam decisões operacionais. Para instalações de Saúde , garante que pacientes e visitantes recebam acesso adequado à rede enquanto os sistemas clínicos permanecem completamente isolados.

A plataforma Purple opera com 99,999% de uptime (dados internos da Purple), garantindo que o acesso de convidados nunca seja interrompido por problemas de disponibilidade da plataforma. Combinado com a infraestrutura gerenciada em nuvem da Arista, você obtém uma arquitetura de ponta a ponta que escala de um único local para mais de 80.000 locais sem alterações arquitetônicas.

Para contexto adicional de integração, consulte nosso guia sobre Integração de Access Points NETGEAR Insight e Enterprise com Purple WiFi . Para operadores de estabelecimentos que avaliam ferramentas de pesquisa para complementar suas análises de WiFi, consulte Design de uma Pesquisa: Um Guia Prático para Estabelecimentos .