Ver transcrição do podcast
Bem-vindo ao briefing. Hoje, estamos dissecando a integração do Arista Cognitive Wi-Fi com a plataforma Purple. Este é um briefing para consultores seniores, direcionado a arquitetos de rede corporativa e administradores de sistemas em nuvem que precisam realizar essa implantação corretamente, logo de primeira.
Vamos contextualizar. O Arista Cognitive Wi-Fi, gerenciado pela plataforma CloudVision Cognitive Unified Edge, é uma infraestrutura sem fio gerenciada em nuvem que suporta implantações de rede de convidados e funcionários de nível corporativo. A Purple é um overlay em nuvem agnóstico em relação ao hardware que fornece o portal de convidados, captura de identidade, autenticação RADIUS e a camada de analytics. Quando você combina ambos, obtém uma arquitetura de WiFi para convidados completa, em conformidade e comercialmente valiosa. Vamos entrar nos detalhes técnicos.
A primeira coisa a entender é o fluxo de onboarding do Captive Portal. Quando um dispositivo de convidado se associa ao SSID aberto de convidados em um ponto de acesso Arista, o AP coloca imediatamente esse dispositivo em uma VLAN de pré-autenticação. Nesse estado, o dispositivo possui um endereço IP atribuído por DHCP, mas seu tráfego DNS e HTTP é fortemente restrito. O sistema operacional do dispositivo, seja iOS, Android ou Windows, executa uma verificação de detecção de Captive Portal. O iOS envia uma requisição HTTP para captive.apple.com. O Android verifica connectivitycheck.gstatic.com. O AP Arista intercepta essa requisição e retorna um redirecionamento 302, apontando o dispositivo para a URL da splash page da Purple.
Agora, é aqui que a maioria das implantações falha. Para que o redirecionamento funcione e para que a splash page seja realmente renderizada, você precisa configurar o Walled Garden corretamente no Arista CV-CUE. O Walled Garden é uma lista de permissões explícita. No estado de pré-autenticação, todo o tráfego é bloqueado por padrão. Você deve incluir na whitelist todos os domínios necessários para carregar o portal. No mínimo, isso significa os domínios principais da Purple: region1.purpleportal.net, venuewifi.com e cloudfront.net. Se você estiver oferecendo login social via Google Workspace, deverá adicionar accounts.google.com e seus intervalos de CDN associados. Para o Facebook, você precisa de facebook.com, fbcdn.net e akamaihd.net. Esqueça qualquer um deles e o convidado verá uma tela em branco ou um botão de login girando continuamente. Eles desistem e você perde a oportunidade de captura de dados.
Deixe-me orientá-lo na configuração do RADIUS no CV-CUE. Navegue até Configure, depois Network Profiles e em seguida RADIUS. Clique em Add RADIUS Server. Insira o endereço IP do servidor RADIUS principal da Purple, defina a porta de autenticação como 1812, a porta de tarifação como 1813 e insira o segredo compartilhado fornecido pela Purple. Repita isso para o servidor secundário. Essa redundância é crítica. Se o servidor principal estiver inacessível, o secundário assume o controle sem interromper o acesso do convidado.Uma vez salvos os perfis RADIUS, vá em Configure, depois em WiFi, depois em SSID, e clique em Add New SSID. Nomeie seu SSID, defina o tipo como Guest e, sob a aba Security, defina o nível de segurança como Open. Isto está correto para uma implantação de Captive Portal. Sob a aba Captive Portal, ative a caixa de seleção Captive Portal, selecione Third-Party Hosted na lista suspensa Cloud Hosted, e marque a caixa With RADIUS Authentication. Cole a URL da Splash Page do Purple no campo Splash Page URL. Isso geralmente está no formato https://region1.purpleportal.net/access/. Insira o segredo compartilhado. Em seguida, na seção Websites that users can access before login, adicione seus domínios de Walled Garden. Defina o formato de Called Station ID como percent-m, o que envia o endereço MAC no formato esperado pelo Purple. Defina o Accounting Interval para 2 minutos. Desmarque a caixa de seleção HTTPS Redirection. Salve o SSID. Ele se propagará para seus APs Arista em poucos minutos.
Agora vamos falar sobre o que acontece depois que o visitante envia seus dados no portal Purple. O Purple atua como o servidor RADIUS. Ele valida a identidade, captura o consentimento e envia uma mensagem RADIUS Access-Accept de volta para o AP Arista. Mas aqui está a parte crítica: essa mensagem Access-Accept contém atributos de Change of Authorisation, definidos na RFC 3576. Esses atributos instruem o AP Arista a transicionar dinamicamente aquele cliente específico do estado restrito de pré-autenticação para a VLAN pós-autenticação com acesso total à internet. Simultaneamente, o AP envia uma mensagem RADIUS Accounting-Start para o Purple na porta 1813. Isso inicia o cronômetro da sessão e alimenta os dados de duração da sessão no painel de analytics do Purple.
Vamos passar para o caso de uso mais avançado: WiFi Multi-Tenant usando Private Pre-Shared Keys da Arista, ou PPSK. Esta é a arquitetura ideal para espaços de coworking, shoppings, edifícios residenciais ou qualquer ambiente onde você tenha múltiplos grupos de usuários distintos que precisam de isolamento de rede rigoroso.
O problema com as abordagens tradicionais é que transmitir um SSID separado para cada inquilino cria um overhead de RF massivo. Cada SSID requer frames de beacon. Em um ambiente denso com 20 inquilinos, são 20 SSIDs consumindo tempo de transmissão no ar. O PPSK resolve isso de forma elegante. Você transmite um único SSID. Mas, no portal Purple, cada inquilino recebe uma senha única. Quando um usuário se conecta, o AP Arista autentica essa senha no servidor RADIUS do Purple. O Purple busca a senha, identifica o inquilino associado e retorna uma mensagem Access-Accept. Mas, criticamente, ele anexa três atributos RADIUS: Tunnel-Type, definido como VLAN; Tunnel-Medium-Type, definido como 802; e Tunnel-Private-Group-ID, definido como o ID de VLAN específico do inquilino. O AP Arista lê esses atributos e direciona dinamicamente o cliente para a VLAN correta. O inquilino A, usando sua senha, entra na VLAN 100. O inquilino B entra na VLAN 200. Eles ficam completamente isolados na Camada 2. Eles não conseguem ver os dispositivos, impressoras ou servidores uns dos outros.
Isso é Networking Baseado em Identidade na prática. A identidade da frase secreta determina o segmento de rede. Ela é gerenciada centralmente através do Purple, portanto, quando um locatário sai, você revoga sua frase secreta no portal Purple e o acesso é imediatamente interrompido. Nenhuma alteração é necessária na infraestrutura Arista.
Agora, vamos abordar o WiFi Corporativo Seguro usando IEEE 802.1X. Para o seu SSID de funcionários, você não deve usar uma frase secreta compartilhada. Você deve usar 802.1X com EAP, Extensible Authentication Protocol. No CV-CUE, crie um novo SSID Corporativo. Na guia Segurança, selecione WPA2-Enterprise ou WPA3-Enterprise. Selecione seu perfil RADIUS, que deve apontar para o seu provedor de identidade corporativo, como Microsoft Entra ID ou Okta. Quando um funcionário se conecta, seu dispositivo apresenta as credenciais ao AP Arista, que as encaminha para o servidor RADIUS via EAP. O provedor de identidade valida as credenciais e retorna um Access-Accept. Para autenticação baseada em certificado usando EAP-TLS, o dispositivo apresenta um certificado de cliente em vez de um nome de usuário e senha, eliminando completamente o roubo de credenciais como vetor de ataque.
Deixe-me abordar a integração com o Arista Cloud WIPS. O Wireless Intrusion Prevention System da Arista opera em segundo plano, varrendo a rede em busca de pontos de acesso não autorizados e clientes não autorizados. No CV-CUE, navegue até Configure, depois WIPS, e então Automatic Intrusion Prevention. Você pode configurar o nível de prevenção de Degrade até Block. Para implantações corporativas, recomendamos o nível Disrupt como ponto de partida, que interrompe a comunicação não autorizada sem bloqueá-la completamente, reduzindo o risco de falsos positivos. Você também deve configurar o monitoramento de VLAN em Configure, depois Device, e então Access Point, selecionando a guia Security. Ative o SSID VLAN Monitoring para que os APs monitorem ativamente suas VLANs atribuídas em busca de atividades não autorizadas.
Agora, alguns erros de implementação a serem evitados. Primeiro, o esgotamento do pool de DHCP. Em ambientes de alto tráfego, como lojas de varejo ou estádios, os dispositivos se conectam brevemente e se afastam. Se o seu tempo limite de ociosidade estiver definido como muito alto, essas sessões permanecerão ativas, retendo endereços IP. Defina o tempo limite de ociosidade no CV-CUE para 10 minutos no varejo e para apenas 5 minutos em locais de eventos. Isso recupera IPs de forma agressiva e evita o esgotamento do pool.
Segundo, a randomização de endereços MAC. Desde o iOS 14 e o Android 10, os dispositivos randomizam seu endereço MAC por SSID por padrão. Isso quebra qualquer arquitetura que dependa de endereços MAC para identificar visitantes que retornam. A resposta correta é mudar seu modelo de identidade para credenciais autenticadas - o endereço de e-mail ou login social capturado por meio do portal Purple. Para uma reconexão contínua sem a necessidade de um portal, o caminho de migração a longo prazo é para o Passpoint, também conhecido como Hotspot 2.0, que usa autenticação baseada em certificado e elimina completamente o Captive Portal.Terceiro, o redirecionamento HTTPS. Ao configurar o Captive Portal no CV-CUE, certifique-se de que a caixa de seleção Redirecionamento HTTPS esteja desmarcada. O Purple lida com a sessão HTTPS de forma independente. Ativar o redirecionamento HTTPS do lado do Arista pode causar erros de incompatibilidade de certificado que impedem o carregamento do portal.
Vamos fazer uma rodada rápida de perguntas e respostas sobre cenários comuns.
Pergunta: A página do portal de um visitante exibe uma tela em branco. Onde você olha primeiro? Resposta: O Walled Garden. Um domínio ausente é quase sempre a causa. Verifique se todos os domínios do Purple e os domínios CDN do Provedor de Identidade relevantes estão na lista de permissões no CV-CUE.
Pergunta: Todos os usuários de PPSK estão caindo na VLAN padrão. O que há de errado? Resposta: O servidor RADIUS do Purple não está retornando o atributo Tunnel-Private-Group-ID. Verifique a resposta do RADIUS nos logs de diagnóstico do CV-CUE e verifique o mapeamento de VLAN no portal Purple.
Pergunta: Os dados de contabilização do RADIUS no Purple estão mostrando sessões de zero segundos. Qual é o problema? Resposta: A Porta de Contabilização provavelmente está configurada incorretamente ou bloqueada. Verifique se a porta 1813 está aberta no firewall entre os APs Arista e os servidores RADIUS do Purple, e se o intervalo de contabilização está definido para 2 minutos nas configurações do SSID.
Para resumir os principais pontos deste briefing. Um: o Walled Garden é uma lista de permissões explícita. Mantenha-o como uma tarefa operacional recorrente, não como uma configuração única. Dois: o RADIUS Change of Authorization é o mecanismo que concede o acesso. Sem ele, o portal é concluído, mas o visitante continua bloqueado. Três: o Arista PPSK com RADIUS Purple permite o direcionamento dinâmico de VLAN para isolamento de múltiplos inquilinos em um único SSID, eliminando o excesso de beacons. Quatro: sempre ative o Isolamento de Clientes nos SSIDs de Visitantes para evitar o movimento lateral. Cinco: a randomização de endereços MAC exige uma mudança para a autenticação baseada em identidade para análises precisas. Seis: a integração adequada atende aos requisitos de consentimento da GDPR e captura dados primários que impulsionam diretamente o ROI de marketing.
Seus próximos passos: recupere os endereços IP do servidor RADIUS Purple e os segredos compartilhados na página de configuração de hardware do portal Purple. Configure os perfis RADIUS no CV-CUE. Construa sua lista de domínios do Walled Garden. Implante seu SSID de Visitantes. Teste o fluxo de autenticação completo a partir de um dispositivo móvel antes de implantar em produção. E se você estiver implantando ambientes de múltiplos inquilinos, mapeie seus IDs de VLAN de inquilino no Purple antes de configurar as senhas PPSK.
Isso conclui este briefing técnico. Obrigado por ouvir.
