Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Coimplantação
Um guia técnico abrangente detalhando a arquitetura de coimplantação do Aruba ClearPass e Purple WiFi. Ele abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- Arquitetura Central
- Fluxo do RADIUS Proxy
- Atribuição Dinâmica de VLAN Baseada em Regras
- Guia de Implementação
- Passo 1: Configurar Servidores RADIUS da Purple no ClearPass
- Passo 2: Criar uma Política de Roteamento RADIUS
- Passo 3: Definir o Serviço de Convidados
- Step 4: Configure the Walled Garden on the Controller
- Step 5: Configure RADIUS Accounting
- Best Practices
- Troubleshooting and Risk Mitigation
- Walled Garden Misconfiguration
- RADIUS Timeout Errors
- Incompatibilidade de Segredo Compartilhado (Shared Secret Mismatch)
- Sensibilidade a Maiúsculas e Minúsculas no Nome da Função (Role Name Case Sensitivity)
- Retorno sobre o Investimento (ROI) e Impacto no Negócio
- Referências

Resumo Executivo
Para ambientes corporativos com grandes investimentos na infraestrutura HPE Aruba, gerenciar políticas complexas de acesso à rede e ao mesmo tempo entregar uma experiência de WiFi de visitantes fluida e rica em dados apresenta um desafio arquitetônico significativo. Embora o Aruba ClearPass Policy Manager se destaque no Network Access Control (NAC) e segurança 802.1X para dispositivos corporativos, seu Captive Portal integrado muitas vezes carece da automação de marketing avançada e dos recursos de análise exigidos pelos locais modernos. Este guia detalha como integrar o Purple WiFi com o ClearPass, permitindo que cada plataforma foque em seus pontos fortes.
Ao implantar o ClearPass como um proxy RADIUS, você mantém uma trilha de auditoria de segurança unificada e atribuição dinâmica de VLAN para dispositivos corporativos e de IoT, enquanto transfere a experiência de integração de visitantes para a Purple. Esta abordagem permite a captura de dados proprietários em conformidade com a GDPR, análise detalhada de fluxo de visitantes e integrações com mais de 400 conectores de marketing - tudo sem substituir seu investimento existente em Aruba NAC. Este documento fornece o modelo técnico para esta coimplantação, cobrindo a arquitetura, fluxos de trabalho de configuração e melhores práticas.
Análise Técnica Detalhada
A integração do Aruba ClearPass e Purple WiFi baseia-se em protocolos RADIUS padrão e mecanismos de redirecionamento HTTP, estruturados em torno de uma arquitetura de proxy RADIUS. Este design garante que o ClearPass permaneça como o ponto de decisão de política central para todo o acesso à rede, enquanto a Purple gerencia o Captive Portal voltado para visitantes e a coleta de dados.
Arquitetura Central
Em uma coimplantação padrão, seus Aruba Mobility Controllers ou Aruba Instant Access Points transmitem múltiplos SSIDs. Um padrão de design típico, conforme detalhado em Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza três redes dedicadas:
- SSID Corporativo: Utiliza 802.1X com EAP-TLS. Os dispositivos se autenticam usando certificados provisionados via ClearPass Onboard. O ClearPass avalia a postura do dispositivo, consulta o Microsoft Entra ID ou Active Directory e atribui o dispositivo à VLAN corporativa (por exemplo, VLAN 10). A Purple não está envolvida neste fluxo.
- SSID de IoT: Utiliza MAC Authentication Bypass (MAB). O ClearPass traça o perfil do dispositivo usando seu Identificador Único de Organização (OUI) e o atribui a uma VLAN de IoT isolada (por exemplo, VLAN 30) sem acesso à internet.
- SSID de Visitantes: Uma rede aberta ou com Opportunistic Wireless Encryption (OWE) que aciona o Captive Portal da Purple.

Fluxo do RADIUS Proxy
Quando um visitante se conecta ao SSID de convidados e abre um navegador, o controlador Aruba intercepta o tráfego HTTP e redireciona a sessão para a URL do Captive Portal da Purple. O visitante se autentica via Purple usando login social, formulários personalizados ou OpenRoaming (onde a Purple atua como um provedor de identidade gratuito sob o plano Connect).
Assim que a Purple valida o visitante, ela envia uma mensagem RADIUS Access-Accept. No entanto, em vez de o controlador Aruba entrar em contato diretamente com os servidores RADIUS em nuvem da Purple, o ClearPass é integrado como um proxy RADIUS:
- O controlador Aruba envia todas as solicitações RADIUS para o ClearPass.
- O ClearPass avalia a solicitação em relação às suas Regras de Serviço. Se a solicitação corresponder ao SSID de convidados (identificado pelo
Called-Station-Idou identificador NAS), a Política de Roteamento RADIUS encaminha a solicitação para os servidores RADIUS da Purple. - A Purple responde com uma mensagem Access-Accept.
- O ClearPass recebe essa resposta e aplica sua própria Política de Imposição, anexando Atributos Específicos do Fabricante (VSAs) específicos antes de encaminhar a resposta final para o controlador.
Atribuição Dinâmica de VLAN Baseada em Regras
A VSA principal nesta arquitetura é o Aruba-User-Role. Quando o ClearPass encaminha a mensagem Access-Accept para o controlador, ele inclui este atributo para definir precisamente qual função o visitante deve assumir na rede sem fio.
Por exemplo, o ClearPass pode retornar Aruba-User-Role = guest-authenticated. No controlador Aruba, essa função é mapeada para a VLAN 20, que é configurada com políticas de firewall que permitem o acesso à internet, mas bloqueiam o roteamento para sub-redes corporativas internas. Essa segmentação é essencial para a conformidade com padrões como o PCI-DSS [1].

Guia de Implementação
A implantação desta arquitetura exige uma configuração precisa tanto na infraestrutura Aruba quanto no ClearPass. Siga estes passos neutros em termos de fabricante para estabelecer a integração.
Passo 1: Configurar Servidores RADIUS da Purple no ClearPass
Navegue até Configuration > Network > Devices no ClearPass e adicione os servidores RADIUS primário e secundário da Purple como dispositivos de rede. Você precisará dos endereços IP e do segredo compartilhado fornecidos no seu painel de configuração de local da Purple.
Passo 2: Criar uma Política de Roteamento RADIUS
Crie uma nova Política de Roteamento RADIUS no ClearPass. Esta política determinará em quais condições as solicitações serão enviadas via proxy para a Purple. Defina os destinos primário e de backup para os servidores RADIUS da Purple que você configurou no Passo 1.
Passo 3: Definir o Serviço de Convidados
Crie um novo Serviço no ClearPass para autenticação de convidados.
- Tipo: RADIUS Enforcement (Genérico)
- Service Rules: Faça a correspondência do
Radius:IETF:Called-Station-Idcontendo o nome do seu SSID de visitante. - Routing Policy: Selecione a política criada na Etapa 2.
- Enforcement Policy: Configure uma política para retornar o VSA
Aruba-User-Rolecom o valor correspondente à sua função de visitante no Aruba Controller.
Step 4: Configure the Walled Garden on the Controller
O walled garden é uma lista de domínios que um dispositivo pode acessar antes da autenticação. Isso é configurado no Aruba Controller (ou por meio de regras de acesso no ArubaOS 10). Você deve incluir os domínios principais da Purple:
*.purple.ai*.cloudfront.net*.venuewifi.com
Se você estiver ativando logins sociais, também deve adicionar os domínios OAuth para cada provedor (por exemplo, *.facebook.com, *.google.com, *.microsoftonline.com).
Step 5: Configure RADIUS Accounting
Certifique-se de que o RADIUS accounting também esteja sendo direcionado via ClearPass para a Purple. A Purple usa dados de accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) para rastrear a duração da sessão e preencher seu painel de WiFi Analytics . Defina o intervalo de accounting para 5 minutos no Aruba Controller.
Best Practices
Para garantir uma implantação robusta e consistente, siga estas recomendações padrão do setor.
- Strictly Segregate Traffic: Sempre coloque o tráfego de visitantes em uma VLAN dedicada, sem caminho para os recursos corporativos. Este é um requisito fundamental para PCI-DSS e segurança de rede geral.
- Proxy Accounting Data: Não negligencie o RADIUS accounting. Se os pacotes de accounting não chegarem à Purple, suas análises de fluxo de visitantes e relatórios de tempo de permanência ficarão incompletos.
- Enable WISPr: No perfil de Captive Portal do Aruba Controller, certifique-se de que o WISPr (Wireless Internet Service Provider roaming) esteja ativado. Este protocolo permite que os sistemas operacionais móveis detectem automaticamente o Captive Portal e exibam a tela de login perfeitamente.
- Use Active-Choice Opt-Ins: Para conformidade com a GDPR, configure seu portal Purple para usar caixas de seleção de aceitação explícita para comunicações de marketing, em vez de caixas pré-marcadas ou consentimento presumido [2].
Troubleshooting and Risk Mitigation
Mesmo com uma configuração cuidadosa, as integrações podem falhar. Aqui estão os modos de falha mais comuns e como resolvê-los.
Walled Garden Misconfiguration
Se o Captive Portal não carregar no dispositivo de um visitante, a causa raiz quase sempre é o walled garden. Os provedores de login social atualizam frequentemente suas faixas de IP de CDN e nomes de domínio. Trate o walled garden como uma configuração em constante mudança. Se um login social específico falhar, use uma captura de pacotes para identificar qual domínio o dispositivo está tentando acessar e adicione-o à lista de permissões.
RADIUS Timeout Errors
O timeout padrão do RADIUS na maioria dos controladores Aruba é de 3 segundos. Em uma arquitetura proxy, a solicitação de autenticação deve viajar do AP para o controlador, para o ClearPass, pela internet até a infraestrutura em nuvem da Purple, e voltar. Em uma rede congestionada, essa viagem de ida e volta pode facilmente exceder 3 segundos, fazendo com que o controlador descarte a solicitação. Aumente o timeout do RADIUS no controlador Aruba para pelo menos 10 segundos e configure a lógica de tentativa (retry).
Incompatibilidade de Segredo Compartilhado (Shared Secret Mismatch)
O RADIUS depende de segredos compartilhados para segurança. Se o segredo compartilhado entre o controlador Aruba e o ClearPass, ou entre o ClearPass e a Purple, não corresponder exatamente, a autenticação falhará silenciosamente. Nenhuma mensagem de erro útil será exibida para o visitante. Sempre verifique esses segredos caractere por caractere caso a autenticação esteja falhando.
Sensibilidade a Maiúsculas e Minúsculas no Nome da Função (Role Name Case Sensitivity)
O valor do VSA Aruba-User-Role retornado pelo ClearPass deve corresponder exatamente ao nome da função definido no controlador Aruba, incluindo maiúsculas e minúsculas. Se o ClearPass retornar guest-authenticated mas o controlador esperar Guest-Authenticated, o visitante voltará para a função de logon padrão e não terá acesso à internet.
Retorno sobre o Investimento (ROI) e Impacto no Negócio
A implantação do Purple WiFi em vez de um Captive Portal local básico oferece valor comercial mensurável em vários departamentos.
- Impacto de Marketing: Ao capturar dados primários (first-party) por meio do portal, os estabelecimentos veem um aumento significativo em suas bases de dados de marketing. Por exemplo, a Harrods alcançou um ROI de marketing de 57x usando a Purple para impulsionar inscrições no programa de fidelidade [3].
- Eficiência Operacional: A arquitetura de proxy RADIUS reduz a carga operacional sobre a TI. As equipes de segurança mantêm um painel único (single pane of glass) no ClearPass para todos os eventos de acesso à rede, simplificando os relatórios de conformidade e a resolução de problemas.
- Monetização: Para estabelecimentos nos setores de transporte ou hospitalidade , a Purple permite modelos de largura de banda em camadas. A AGS Airports gerou um ROI de 842% ao implementar uma camada paga de WiFi premium junto a uma camada básica gratuita [4].
Ao implementar essa implantação conjunta, você transforma sua rede de convidados de um centro de custo em um ativo gerador de receita, mantendo a postura de segurança rigorosa exigida para a TI corporativa.
Referências
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Caso de Estudo de Guest WiFi da Harrods." [4] Purple. "Caso de Estudo de Guest WiFi da AGS Airports."
Definições principais
RADIUS Proxy
Uma arquitetura onde um servidor intermediário (ClearPass) recebe solicitações de autenticação de um dispositivo de rede (controlador Aruba) e as encaminha para o servidor backend apropriado (Purple), permitindo que o proxy inspecione, registre ou modifique o tráfego.
Usado para manter uma trilha de auditoria de segurança única no ClearPass enquanto permite que a Purple lide com a autenticação de convidados.
Walled Garden
Um ambiente limitado que controla o acesso de um usuário ao conteúdo da web antes que ele tenha se autorizado totalmente na rede.
Essencial para os Captive Portals; o walled garden deve permitir o acesso aos domínios de hospedagem do portal e aos provedores de login social para que a página de login possa carregar.
Vendor-Specific Attribute (VSA)
Campos de dados personalizados dentro do protocolo RADIUS que permitem que fornecedores de hardware ofereçam suporte a recursos proprietários não definidos nas RFCs padrão do RADIUS.
O ClearPass usa o VSA "Aruba-User-Role" para informar ao controlador Aruba exatamente qual função de firewall e VLAN atribuir a um usuário convidado.
802.1X
Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.
O protocolo primário usado pelo ClearPass para proteger dispositivos corporativos, normalmente usando EAP-TLS com certificados.
Captive Portal
Uma página da web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.
A Purple fornece a interface de Captive Portal para capturar dados de visitantes, exibir branding e coletar consentimento de marketing.
MAC Authentication Bypass (MAB)
Uma técnica que usa o endereço MAC de um dispositivo para autenticá-lo na rede quando o dispositivo não oferece suporte a suplicantes 802.1X.
Usado pelo ClearPass para traçar o perfil e autenticar dispositivos IoT sem interface de usuário, como smart TVs ou termostatos, colocando-os em uma VLAN isolada.
Dynamic VLAN Assignment
O processo de atribuir automaticamente um dispositivo a uma Rede Local Virtual específica com base em suas credenciais de autenticação ou função, em vez do SSID ao qual ele se conectou.
Permite que uma única infraestrutura de rede física segmente com segurança o tráfego corporativo, de convidados e de IoT.
WISPr
Roaming de Provedor de Serviços de Internet sem fio; um protocolo que permite aos dispositivos detectar automaticamente captive portals.
Deve ser ativado no controlador Aruba para que os dispositivos móveis abram automaticamente a tela de login do Purple ao se conectarem ao WiFi de convidados.
Exemplos práticos
Um hotel de 500 quartos precisa implantar um WiFi corporativo seguro para os funcionários e um portal de convidados personalizado com captura de dados para os visitantes, usando os controladores Aruba e ClearPass existentes.
Implante dois SSIDs: "Hotel_Corp" e "Hotel_Guest". Configure o "Hotel_Corp" para autenticação 802.1X em relação ao Active Directory via ClearPass, atribuindo os funcionários à VLAN 10. Configure o "Hotel_Guest" como uma rede aberta redirecionando para o Captive Portal da Purple. Configure o ClearPass como um proxy RADIUS para o SSID de convidados, encaminhando as solicitações para a Purple. Configure o ClearPass para retornar o VSA "Aruba-User-Role" após a autenticação bem-sucedida na Purple, atribuindo os convidados a uma VLAN 20 isolada.
Os visitantes estão se conectando ao SSID de convidados, mas a página do Captive Portal da Purple não está carregando em seus dispositivos.
Revise e atualize a configuração do walled garden no controlador Aruba. Certifique-se de que os domínios principais da Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estejam explicitamente permitidos. Se o login social estiver ativado, verifique se todos os domínios OAuth necessários (por exemplo, *.facebook.com, *.google.com) também estão incluídos na lista de permissões pré-autenticação.
Questões práticas
Q1. Você configurou o ClearPass para fazer proxy da autenticação de convidados para o Purple. O convidado se autentica com sucesso no portal Purple, mas o controlador Aruba o coloca na função padrão 'logon' sem acesso à internet, em vez da função pretendida 'guest-access'. Qual é o erro de configuração mais provável?
Dica: Verifique como o ClearPass comunica a atribuição de função de volta ao controlador.
Ver resposta modelo
Diferença de maiúsculas e minúsculas no nome da função. O valor do VSA Aruba-User-Role retornado pelo ClearPass deve corresponder exatamente ao nome da função definido no controlador Aruba. Se houver um erro de digitação ou diferença de maiúsculas/minúsculas (por exemplo, 'Guest-Access' versus 'guest-access'), o controlador não reconhecerá a função e colocará o usuário no estado restrito padrão.
Q2. Uma rede de varejo deseja implantar o Purple WiFi para análise de dados de convidados, mas sua equipe de segurança insiste que todos os eventos de autenticação de rede devem ser registrados centralmente em seu sistema Aruba ClearPass existente para fins de conformidade. Como essa arquitetura deve ser projetada?
Dica: Considere como o tráfego RADIUS flui entre os pontos de acesso, o ClearPass e o Purple.
Ver resposta modelo
Implemente uma arquitetura de proxy RADIUS. Configure os controladores Aruba para enviar todas as solicitações RADIUS para o ClearPass. No ClearPass, crie uma política de roteamento que encaminhe as solicitações do SSID de convidados para os servidores RADIUS em nuvem do Purple. Isso garante que o Purple gerencie o portal de convidados e as análises, enquanto o ClearPass mantém uma trilha de auditoria completa e centralizada de todos os eventos de autenticação.
Q3. Após implantar a integração, a equipe de marketing relata que o painel de análise do Purple está exibindo zero dados para o 'tempo de permanência' dos visitantes, embora os convidados estejam se conectando e usando a internet com sucesso. Qual etapa de configuração foi esquecida?
Dica: Os cálculos de tempo de permanência exigem atualizações contínuas sobre o status da sessão, e não apenas a autenticação inicial.
Ver resposta modelo
O accounting do RADIUS não está sendo enviado via proxy para o Purple. Embora o proxy de autenticação permita o acesso dos usuários à rede, o Purple exige os pacotes de accounting do RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular a duração da sessão e o tempo de permanência. Você deve garantir que o ClearPass esteja configurado para enviar os dados de accounting via proxy para o Purple, e que o controlador esteja definido para enviar atualizações intermediárias (por exemplo, a cada 5 minutos).
Continue a ler esta série
Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.