Cambium cnPilot e WiFi de convidados: configuração do Captive Portal com a Purple

Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi. Um Briefing para Consultores. Boas-vindas. Se você gerencia um ambiente Cambium Networks e precisa entregar uma experiência de WiFi para convidados que capture dados, impulsione o marketing e mantenha a conformidade - este briefing é exatamente o que você precisa. Vou orientar você sobre como os pontos de acesso Cambium cnPilot, o controlador de nuvem cnMaestro e o Purple WiFi funcionam juntos. Abordaremos a arquitetura, o fluxo de autenticação RADIUS, a configuração do walled garden, WiFi seguro para funcionários usando 802.1X e a segmentação multi-tenant usando o recurso ePSK da Cambium com atribuição dinâmica de VLAN. Não importa se você está gerenciando uma rede de hotéis, um portfólio de varejo, um centro de convenções ou um campus do setor público, os princípios são os mesmos. Vamos começar. Primeiro, uma rápida orientação sobre as duas plataformas. A Cambium Networks produz a linha cnPilot de pontos de acesso WiFi corporativos - o e410, e425H, e430H e e505 para implantações internas e externas. Esses APs são gerenciados centralmente por meio do cnMaestro, a plataforma de gerenciamento em nuvem da Cambium. O cnMaestro oferece visibilidade centralizada, gerenciamento de configuração e atualizações de firmware em toda a sua rede de APs - seja um punhado de dispositivos em um único local ou milhares de APs em uma rede nacional. O Purple WiFi é uma plataforma corporativa de inteligência de WiFi para convidados. Ele gerencia o Captive Portal - a página de login personalizada que seus convidados veem quando se conectam - e também atua como um servidor de autenticação RADIUS, um mecanismo de captura de dados e uma plataforma de automação de marketing. O Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins apenas em 2024. A combinação do Cambium cnMaestro com o Purple oferece a você um conjunto de WiFi para convidados pronto para produção, que é tecnicamente robusto e comercialmente valioso. Agora, vamos falar sobre a arquitetura de integração. O mecanismo principal é um redirecionamento de Captive Portal combinado com autenticação RADIUS. Veja como o fluxo funciona na prática. Um dispositivo de convidado se associa ao seu SSID de convidados. Esse SSID é configurado no cnMaestro como uma rede aberta - sem chave pré-compartilhada para convidados. O AP Cambium intercepta a primeira solicitação HTTP do dispositivo e a redireciona para a URL do Captive Portal do Purple. Esse redirecionamento é configurado no cnMaestro nas configurações de Guest Access da WLAN, onde você define a External Page URL para o endpoint do portal de local do Purple. O convidado então interage com o portal do Purple. Ele pode se autenticar por meio de login social, e-mail, verificação por SMS ou um formulário personalizado. Assim que conclui o fluxo de autenticação, o backend do Purple envia uma mensagem RADIUS Access-Accept de volta para o AP Cambium na porta UDP 1812. O AP então move o dispositivo do estado de pré-autenticação para o acesso total à rede. Vou guiar você pelas etapas exatas de configuração no cnMaestro. Navegue até Configuration, depois WiFi Profiles, e depois WLANs. Crie uma nova WLAN para a sua rede de convidados. Defina o nome do SSID - algo como "Hotel Guest WiFi" - e defina a segurança como Open. Em Guest Access, habilite a opção External Hotspot. Esta é a configuração essencial que diz ao cnMaestro para redirecionar clientes não autenticados para um portal externo. Defina a External Page URL para a URL do portal do seu local Purple. Habilite a autenticação RADIUS e insira o endereço IP do servidor RADIUS da Purple, o shared secret, e defina a porta de autenticação como UDP 1812. Habilite o RADIUS accounting na porta UDP 1813 - isso é essencial para que os analytics da Purple funcionem corretamente. Sem os registros de accounting, a Purple não consegue criar dados de sessão, métricas de tempo de permanência ou analytics de frequência de visitas. Agora, o walled garden. Esta é a lista de domínios e endereços IP que os dispositivos de convidados podem acessar antes de se autenticarem. Você precisa colocar na whitelist o domínio do portal da Purple e quaisquer endpoints de CDN usados para carregar recursos do portal. Você também precisa colocar na whitelist quaisquer domínios de provedores de autenticação - se você estiver usando login social via Google ou Facebook, os domínios de OAuth deles precisam estar no walled garden. Um walled garden mal configurado é a causa individual mais comum de falhas no Captive Portal. O dispositivo do convidado precisa resolver o DNS e alcançar o portal da Purple via HTTPS antes de poder se autenticar. No cnMaestro, o walled garden é configurado nas opções de External Hotspot. Adicione entradas para o domínio do portal da Purple, domínios de provedores de login social e domínios de gateways de pagamento, caso você utilize planos de WiFi pagos. Agora vamos falar sobre WiFi corporativo seguro para colaboradores usando o IEEE 802.1X. Para redes de colaboradores, você não quer um Captive Portal. Você quer uma autenticação baseada em certificados ou credenciais que ocorra silenciosamente no nível do dispositivo. No cnMaestro, crie uma WLAN separada para colaboradores. Defina a segurança como WPA2-Enterprise. Configure os detalhes do servidor RADIUS - novamente, o IP do servidor RADIUS da Purple na porta UDP 1812. Os dispositivos dos colaboradores se autenticam usando EAP-PEAP com credenciais de nome de usuário e senha, ou EAP-TLS com certificados de dispositivo para o mais alto nível de segurança. A Purple se integra com Microsoft Entra ID, Okta e Google Workspace como provedores de identidade. Isso significa que seus colaboradores podem se autenticar no WiFi usando suas credenciais corporativas existentes - sem a necessidade de gerenciar uma senha de WiFi separada. A Purple valida as credenciais com o seu provedor de identidade e retorna um Access-Accept para o AP Cambium. A atribuição dinâmica de VLAN coloca o dispositivo autenticado do colaborador na VLAN correta de colaboradores, isolando-o do tráfego de convidados. Agora, a segmentação multi-tenant usando Cambium ePSK. ePSK - enhanced pre-shared key - é a implementação da Cambium do que a indústria chama de PPSK ou iPSK. O conceito é direto: em vez de uma senha compartilhada para todo um SSID, cada usuário ou inquilino recebe sua própria senha exclusiva. Todos se conectam ao mesmo SSID, mas cada chave exclusiva mapeia para uma VLAN específica, oferecendo isolamento de rede sem a complexidade de executar múltiplos SSIDs. O cnMaestro suporta até 2.000 entradas ePSK por WLAN. Cada ePSK pode ser atribuído a um VLAN ID específico, um limite de taxa e uma data de expiração. Isso o torna ideal para ambientes multi-tenant - pense em um centro de convenções onde cada expositor tem seu próprio segmento de rede isolado, ou um edifício residencial construído para aluguel onde cada residente tem sua própria rede de área privada. Para configurar o ePSK no cnMaestro, navegue até Configuration, WiFi Profiles, WLANs. Crie uma nova WLAN. Defina a segurança como WPA2 Pre-Shared Key. Ative a opção ePSK. Você pode então adicionar entradas ePSK individuais manualmente ou usar a API do cnMaestro para provisioná-las programaticamente - que é a abordagem recomendada para implantações de grande escala. Para cada entrada ePSK, defina a senha, o VLAN ID atribuído e, opcionalmente, o limite de taxa e a expiração. Quando um dispositivo se conecta usando essa senha, o AP Cambium o coloca automaticamente na VLAN atribuída. Nenhum RADIUS é necessário para o fluxo ePSK em si - a atribuição de VLAN é tratada localmente pelo AP com base na senha usada. O Purple se integra a este modelo gerenciando o ciclo de vida do ePSK por meio da API do cnMaestro. O Purple pode provisionar novas entradas ePSK quando um novo inquilino é integrado, atualizar a atribuição de VLAN, definir datas de expiração e revogar o acesso quando um inquilino sai. Isso elimina o trabalho manual de gerenciar centenas ou milhares de chaves individuais. Certo, vamos falar sobre o que pode dar errado e como evitar isso. O erro mais comum é o walled garden. Se as suas entradas de walled garden estiverem incompletas, o redirecionamento do Captive Portal nunca será concluído. Os visitantes veem um tempo limite de conexão esgotado, não uma página de login. Sempre teste com um dispositivo novo - e não com um que já tenha se conectado anteriormente - e verifique se o portal Purple carrega antes da autenticação. Verifique se a resolução de DNS funciona para o domínio do portal Purple a partir do estado de pré-autenticação. Segundo: divergências de segredo compartilhado de RADIUS. Em grandes implantações com múltiplos locais, é fácil ter um segredo compartilhado configurado de forma diferente no cnMaestro em comparação com o que o Purple tem registrado. Sempre verifique o segredo compartilhado em ambos os lados antes de entrar em operação. Use um segredo forte, gerado aleatoriamente - com pelo menos 32 caracteres - e armazene-o em um gerenciador de segredos, não em uma planilha. Terceiro: contabilidade de RADIUS. Não a ignore. Os registros de contabilidade são o que o Purple usa para criar análises de sessão - tempo de permanência, frequência de visitas, tipo de dispositivo. Configure a contabilidade de RADIUS na porta UDP 1813 no cnMaestro. Sem ela, você perde o valor analítico que o Purple oferece. É uma etapa de configuração de cinco minutos. Quarto: VLAN trunking. Para que a atribuição dinâmica de VLAN funcione, as VLANs devem estar em trunking nas portas do switch que se conectam aos seus APs Cambium. Se a VLAN 100 para convidados não for permitida no trunk, os convidados autenticados não receberão um endereço IP e parecerão não ter acesso à internet, mesmo após a autenticação bem-sucedida. Verifique a configuração do trunk do seu switch antes de testar. Quinto: conflitos de intervalo de VLAN de ePSK. Certifique-se de que o intervalo de VLAN do seu ePSK não entre em conflito com as VLANs existentes na sua rede - especialmente VLANs de gerenciamento ou VLANs de infraestrutura. Documente sua alocação de VLAN antes de começar. Sexto: versão do firmware. Certifique-se de que seus APs cnPilot estejam executando a versão de firmware 6.0 ou posterior para suporte completo a hotspot externo e funcionalidade ePSK. Versões anteriores de firmware têm problemas conhecidos com o comportamento de redirecionamento do Captive Portal. Agora, algumas perguntas rápidas. Posso usar o Purple com Cambium sem RADIUS - apenas um redirecionamento simples? Sim, mas você perde a atribuição dinâmica de VLAN e os dados de bilhetagem de sessão. Para qualquer coisa além de uma página de splash básica, o RADIUS é fortemente recomendado. O Purple suporta WPA3 em APs Cambium? Sim. A autenticação baseada em portal do Purple é compatível com WPA3-SAE no SSID. O fluxo do RADIUS é independente do protocolo de segurança sem fio. Posso executar o Purple em vários locais Cambium a partir de uma única conta Purple? Com certeza. A arquitetura de múltiplos locais do Purple é projetada exatamente para isso. Cada local é mapeado para um ponto de acesso no Purple, e as políticas de rede do cnMaestro escalam perfeitamente em toda uma rede nacional. Quantas entradas ePSK o cnMaestro pode suportar? Até 2.000 por WLAN. Para implantações que exigem mais, use uma abordagem baseada em RADIUS para o gerenciamento de chaves. Resumindo: a integração do Cambium cnMaestro e Purple WiFi é uma arquitetura comprovada que oferece WiFi para convidados com captura de dados, autenticação RADIUS, segmentação dinâmica de VLAN e análise de dados completa - tudo gerenciado centralmente por meio do console de nuvem do cnMaestro. As etapas principais para colocar isso no ar: configure sua WLAN de convidados no cnMaestro com o Hotspot Externo habilitado e a URL do portal do Purple definida, adicione os detalhes do servidor RADIUS do Purple para autenticação e bilhetagem, configure suas entradas de walled garden, verifique o VLAN trunking em seus switches e teste com um dispositivo novo antes do lançamento. Para implantações multi-tenant, configure o ePSK em uma WLAN dedicada, atribua IDs de VLAN por tenant e use a API do cnMaestro para gerenciamento de ciclo de vida em escala. O caso de ROI é simples. A plataforma de analytics do Purple transforma seu WiFi para convidados de um centro de custo em um ativo de dados primários. A Harrods alcançou um ROI de marketing de 57 vezes com a implantação do WiFi para convidados do Purple. A AGS Airports gerou um ROI de 842%. Combinado com a infraestrutura de nível corporativo da Cambium, você obtém uma solução que escala de um único local para uma rede nacional sem mudanças arquitetônicas. Para as suas próximas etapas: obtenha os detalhes do servidor RADIUS da Purple com o seu gerente de contas Purple, acesse a configuração de WLAN do cnMaestro para o seu SSID de convidados e siga a lista de verificação de configuração. A maioria das implantações de site único entra em operação em um dia. Obrigado por ouvir. Se você quiser se aprofundar no design de Captive Portal, estratégia de segmentação de VLAN ou gerenciamento de ciclo de vida de ePSK, a documentação e a equipe de suporte da Purple são o próximo passo ideal.