Pular para o conteúdo principal
Português (Brasil)

Captive Portal para Aruba

Um guia de referência técnica definitivo para configurar pontos de acesso gerenciados pelo Aruba Instant (IAP) e Aruba Central para redirecionar usuários convidados para o Captive Portal externo seguro e de alta conversão da Purple. Este guia abrange a configuração passo a passo do SSID de convidados, redirecionamento de Captive Portal externo, parâmetros de autenticação e bilhetagem (accounting) do servidor RADIUS, listas de exceções de walled garden e suporte a WISPr.

📖 11 min de leitura📝 2,686 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
CAPTIVE PORTAL PARA ARUBA: INTEGRANDO A PURPLE PARA WIFI DE CONVIDADOS CORPORATIVO Um Briefing Técnico da Purple — Aproximadamente 10 Minutos [INTRODUÇÃO E CONTEXTO — aprox. 1 minuto] Bem-vindo à série de Briefings Técnicos da Purple. Eu sou o seu anfitrião e hoje vamos abordar algo que surge em quase todas as conversas sobre implantação de rede sem fio corporativa que temos: como configurar um Captive Portal na infraestrutura Aruba e, especificamente, como conectar esse portal à plataforma de inteligência de WiFi de convidados da Purple. Se você executa APs Aruba Instant ou gerencia uma frota de pontos de acesso por meio do Aruba Central, este episódio é para você. Vamos avançar rapidamente — este é um briefing para profissionais, não uma palestra — então presumo que você conheça bem a tela de configuração de WLAN e entenda os conceitos básicos de autenticação RADIUS. O problema central que estamos resolvendo é este: o portal de convidados integrado da Aruba é funcional, mas limitado. Ele não oferece a captura de dados de marketing, fluxos de consentimento em conformidade com a GDPR ou as análises em tempo real que os locais corporativos precisam. Substituí-lo pelo Captive Portal externo da Purple é a decisão arquitetônica correta, e hoje vou orientá-lo exatamente sobre como fazer isso. [APROFUNDAMENTO TÉCNICO — aprox. 5 minutos] Vamos começar com a arquitetura. Quando um convidado se conecta ao seu SSID Aruba e abre um navegador, o AP intercepta essa solicitação HTTP na porta TCP 80 e a redireciona para a URL do portal externo — neste caso, a splash page hospedada na nuvem da Purple. O convidado se autentica por meio do portal da Purple, que então envia um RADIUS Access-Request para os servidores RADIUS da Purple na porta UDP 1812. Em caso de sucesso, o servidor RADIUS retorna uma mensagem Access-Accept e o AP concede ao cliente acesso total à internet. Os registros de bilhetagem (accounting) são enviados na porta UDP 1813 durante toda a sessão. Esse é o fluxo fundamental. Agora vamos entrar na configuração. Há dois planos de gerenciamento com os quais você pode estar trabalhando: o Aruba Instant, que é o modelo de controlador virtual local que executa o ArubaOS 8.x, e o Aruba Central, que é a plataforma de gerenciamento em nuvem da HPE. As etapas de configuração são semelhantes em conceito, mas diferem em onde você encontra as configurações. Começando com o Aruba Instant no ArubaOS 8. Primeiro, você configurará seu servidor RADIUS. Navegue até Security, depois Authentication Server e clique em New. Você precisará de quatro informações da plataforma da Purple: o endereço IP do servidor primário, a porta de autenticação — normalmente 1812 —, a porta de bilhetagem (accounting) — normalmente 1813 — e o segredo compartilhado (shared secret). A Purple fornece essas informações no painel de configuração do seu local. Adicione um servidor secundário para resiliência; a Purple opera uma infraestrutura RADIUS multirregião, de modo que você terá um backup geograficamente apropriado. Em seguida, crie o perfil do External Captive Portal. Vá em Security, depois Captive Portal, clique em New e defina o Type como External. Insira a URL da splash page da configuração do seu local na Purple — este será um endpoint HTTPS hospedado pela Purple. Defina a porta como 443, ative Use HTTPS e, fundamentalmente, defina o campo WISPr como Enabled. O WISPr — que é o roaming de provedor de serviços de internet sem fio — é o protocolo que permite que os dispositivos detectem automaticamente o Captive Portal e o apresentem corretamente, principalmente em dispositivos iOS e Android que usam detecção de Captive Portal em segundo plano. Sem o WISPr ativado, some devices will fail to trigger the portal automatically. Agora, o SSID de Convidados. Crie uma nova WLAN, defina o Primary Usage como Guest e, na guia Security, defina o Splash Page Type como External — RADIUS Server. Atribua o perfil de Captive Portal e o servidor RADIUS que você acabou de criar. Defina o Reauth Interval para algo sensato — 1440 minutos, que equivale a 24 horas, é uma escolha comum para ambientes de hospitalidade. Ative a autenticação MAC se desejar que os convidados que retornam ignorem o portal em visitas subsequentes dentro dessa janela. Para o Aruba Central no AOS-8, o fluxo é essencialmente o mesmo, mas acessado por meio do assistente de WLAN em Devices, Config, WLANs. Defina o Security Level como Visitors, o Type como External Captive Portal e crie um novo perfil de Captive Portal com a URL de splash da Purple. Adicione seus servidores RADIUS primário e secundário, ative a bilhetagem (accounting) e defina um intervalo de bilhetagem de cinco minutos. Esse intervalo é importante — ele garante que a plataforma de análise da Purple receba atualizações regulares de sessão para relatórios precisos de tempo de permanência e engajamento. No AOS-10, que é a arquitetura prioritária na nuvem, há uma diferença importante: o walled garden não é mais configurado na guia de Segurança WLAN. Em vez disso, você o configura por meio de Regras de Acesso (Access Rules). Você cria uma função de pré-autenticação — chame-a de Guest Logon — e adiciona regras de permissão para cada domínio na lista de permissões do walled garden. Em seguida, você atribui essa função como a Pre-Authentication Role no SSID. Falando em walled garden — é aqui que a maioria das implantações dá errado. O walled garden é a lista de domínios que os convidados não autenticados podem acessar antes de concluírem o fluxo do portal. Sem essas entradas, o próprio portal não será carregado, porque o dispositivo do convidado não conseguirá alcançar a CDN da Purple para baixar os recursos da splash page. As entradas obrigatórias da Purple são: asterisco ponto purple ponto ai, asterisco ponto cloudfront ponto net e asterisco ponto venuewifi ponto com. Se você estiver usando login social — Google, Facebook, Apple, Microsoft —, precisará adicionar os domínios OAuth relevantes para cada provedor. O Google exige asterisco ponto google ponto com, asterisco ponto googleapis ponto com e asterisco ponto gstatic ponto com. O Facebook exige asterisco ponto facebook ponto com, asterisco ponto fbcdn ponto net e connect ponto facebook ponto net. O login da Apple precisa de asterisco ponto apple ponto com e appleid ponto apple ponto com. O Microsoft Entra ID exige asterisco ponto microsoft ponto com e asterisco ponto microsoftonline ponto com. Uma coisa que vale a pena destacar: no Aruba, você pode ativar o Automatic URL Whitelisting no perfil do Captive Portal. Esse recurso coloca dinamicamente na lista de permissões as URLs que a página do portal referencia. É útil como uma alternativa, mas eu recomendaria configurar explicitamente o walled garden em vez de depender da lista de permissões automática em produção — é mais previsível e fácil de auditar. Vamos falar sobre os parâmetros RADIUS especificamente. Os principais atributos que a Purple usa são: NAS-IP-Address, que identifica seu AP ou controlador; Called-Station-Id, que carrega o BSSID e o SSID no formato endereço-MAC:nome-do-SSID — a Purple usa isso para mapear sessões para locais e pontos de acesso específicos; e Calling-Station-Id, que é o endereço MAC do cliente. Do lado da bilhetagem (accounting), o Acct-Session-Id fornece o identificador exclusivo da sessão e o Acct-Status-Type carrega os eventos Start, Interim-Update e Stop. Certifique-se de que sua configuração do Aruba esteja enviando todos os três tipos de eventos de bilhetagem — algumas implantações enviam apenas Start e Stop, o que significa que as análises da Purple perdem os dados de sessão provisórios necessários para cálculos precisos de tempo de permanência. [RECOMENDAÇÕES DE IMPLANTAÇÃO E ARMADILHAS — aprox. 2 minutos] Deixe-me dar as recomendações práticas que eu daria a qualquer cliente que estivesse implantando isso. Primeiro: sempre teste com um dispositivo de teste dedicado antes de entrar em produção. Conecte-se ao SSID de convidados, abra um navegador em uma URL HTTP — não HTTPS — e verifique se o redirecionamento funciona. Se você for direto para HTTPS, o redirecionamento não funcionará porque o AP não pode interceptar tráfego criptografado. Esta é a chamada de suporte número um que vemos. Segundo: regras de firewall. Sua VLAN de gerenciamento de AP ou controlador precisa de acesso UDP de saída para os IPs do servidor RADIUS da Purple nas portas 1812 e 1813. Se você tiver um firewall stateful entre seus APs e a internet, certifique-se de que ele permita esses fluxos UDP. O RADIUS é sem conexão, portanto, alguns firewalls precisam de regras explícitas em vez de depender de inspeção stateful. Terceiro: confiança no certificado. Quando você configura a URL da splash page como HTTPS, o AP precisa confiar no certificado apresentado pelo servidor do portal da Purple. No Aruba Central, pode ser necessário importar um certificado de CA confiável nas configurações globais antes que o redirecionamento do portal funcione corretamente via HTTPS. A Purple usa certificados de uma CA amplamente confiável, mas vale a pena verificar isso em seu ambiente. Quarto: segmentação de VLAN. Seu SSID de convidados deve estar em uma VLAN dedicada que seja isolada de sua rede corporativa. Isso é tanto um requisito de segurança — o PCI DSS 3.2.1 exige segmentação de rede para ambientes de dados de portadores de cartão — quanto uma necessidade prática para a funcionalidade do Captive Portal. A VLAN de convidados deve ter acesso à internet, mas nenhuma rota para recursos internos. Quinto: a configuração do WISPr. Mencionei isso antes, mas vale a pena repetir. Ative o WISPr. Sem ele, os dispositivos iOS, em particular, não detectarão automaticamente o Captive Portal, e os convidados terão uma experiência confusa, onde parecerão estar conectados, mas não terão acesso à internet. [PERGUNTAS E RESPOSTAS RÁPIDAS — aprox. 1 minuto] Deixe-me passar pelas perguntas que recebo com mais frequência. Posso usar o Aruba Instant On — o produto para pequenas empresas — com a Purple? Sim, com algumas limitações. O Instant On oferece suporte a Captive Portals externos, mas a interface de configuração é mais limitada do que o Aruba Central completo. A Purple tem um guia de integração dedicado para o Instant On. A Purple oferece suporte a RadSec para RADIUS criptografado? Sim. A Purple oferece suporte a RADIUS sobre TLS — RadSec — para implantações onde o tráfego RADIUS atravessa redes não confiáveis. Isso é cada vez mais relevante para implantações gerenciadas na nuvem, onde a troca de RADIUS cruza a internet pública. O que acontece se o portal da Purple estiver inacessível? Você pode definir a configuração Captive Portal Failure como Deny Internet — que é o padrão seguro — ou Allow Internet, que fornece um modo de fallback de acesso aberto. Para a maioria dos locais corporativos, Deny Internet é a escolha certa. Posso executar vários SSIDs com diferentes locais da Purple na mesma infraestrutura Aruba? Com certeza. Cada SSID recebe seu próprio perfil de Captive Portal apontando para uma URL de local diferente da Purple. O atributo RADIUS Called-Station-Id carrega o nome do SSID, que a Purple usa para rotear a sessão para a configuração correta do local. [RESUMO E PRÓXIMOS PASSOS — aprox. 1 minuto] Deixe-me resumir tudo. A implantação da Purple como um Captive Portal externo na infraestrutura Aruba é um caminho de integração amplamente consolidado. As etapas principais são: configurar seus servidores RADIUS com as credenciais da Purple, criar um perfil de Captive Portal externo apontando para a URL de splash da Purple com o WISPr ativado, criar seu SSID de convidados com o tipo de splash External RADIUS Server e configurar seu walled garden com os domínios principais da Purple e quaisquer domínios de provedores de login social que você esteja ativando. A diferença do AOS-10 a ser lembrada é que a configuração do walled garden muda para as Regras de Acesso (Access Rules) em vez da guia de Segurança WLAN. Do ponto de vista comercial, substituir o portal local básico da Aruba pela Purple oferece captura de dados em conformidade com a GDPR, análises de localização em tempo real, relatórios demográficos e automação de marketing — tudo a partir da mesma infraestrutura de WiFi que você já possui. Para os seus próximos passos: obtenha suas credenciais RADIUS do local na Purple no painel da Purple, execute a lista de verificação de configuração no guia escrito complementar e teste com um dispositivo dedicado antes de implantar em produção. Se você estiver implantando em vários locais, o console de gerenciamento de vários locais da Purple permite gerenciar configurações de Captive Portal, identidade visual e análises de todo o seu patrimônio a partir de uma única interface. Obrigado por ouvir. O guia escrito completo, as tabelas de configuração e as listas de referência do walled garden estão disponíveis em purple ponto ai. Até a próxima. [FIM DO ROTEIRO]

📚 Parte da nossa série principal: WiFi Multi-Tenant

header_image.png

Executive Summary

For enterprise wireless engineers, network architects, and venue operations directors, deploying a robust guest wireless infrastructure is no longer just about providing basic internet access. Modern venues require a solution that balances strict network security, regulatory compliance, and a high-converting guest experience. While HPE Aruba's native captive portal capabilities are highly reliable, they lack the sophisticated marketing data capture, global multi-site scalability, and real-time location and demographic analytics required by enterprise venues in hospitality, retail, and public sectors.

By integrating Purple directly with Aruba Instant (IAP) or Aruba Central managed access points, organisations can replace basic local splash pages with a secure, highly-scalable, global guest portal. This integration leverages standard network protocols, including Remote Authentication Dial-In User Service (RADIUS) and Wireless Internet Service Provider roaming (WISPr), to deliver seamless, secure, and brand-consistent onboarding. This technical reference guide provides the exact configuration parameters, architectural diagrams, and troubleshooting workflows required to successfully deploy Purple on Aruba infrastructure.

Technical Deep-Dive

The integration of Purple with Aruba wireless infrastructure relies on a standard external captive portal redirect and RADIUS authentication flow. This architecture ensures that user authentication and traffic accounting are handled securely in the cloud, while local access points enforce access control and quality of service (QoS) policies.

The Captive Portal Redirect Flow

When an unauthenticated client associates with the guest Service Set Identifier (SSID), the Aruba access point intercepts the client's initial HTTP request (typically TCP port 80) and performs a HTTP 302 redirect to Purple's cloud-hosted splash page.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Presents Splash Page ----------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Submits Login Form ------------------------------------>|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (with Session Timeout)   |                                |
       |<-- 8. Internet Granted ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (every 5 min) ---------------->|

architecture_overview.png

RADIUS Authentication and Accounting Parameters

Once the guest submits their credentials or completes a social login on the Purple splash page, the Purple portal backend communicates with the local Aruba access point or controller to initiate RADIUS authentication. The Aruba AP acts as the Network Access Server (NAS) and sends a RADIUS Access-Request to Purple's cloud RADIUS servers on UDP port 1812.

To ensure accurate session tracking, policy enforcement, and reporting, the following RADIUS attributes must be exchanged:

Attribute Name Attribute ID Description Practical Context
NAS-IP-Address 4 The management IP address of the Aruba virtual controller or AP. Identifies the physical hardware originating the authentication request.
Calling-Station-Id 31 The MAC address of the client device (typically formatted as XX-XX-XX-XX-XX-XX). Used by Purple to track unique devices and enforce MAC caching for returning guests.
Called-Station-Id 30 The MAC address of the AP radio (BSSID) combined with the SSID name (formatted as MAC:SSID). Crucial for Purple to identify the exact physical venue and specific SSID the user is connecting to.
Acct-Session-Id 44 A unique identifier generated by the AP for each client session. Links authentication events with subsequent accounting start, interim, and stop records.
Acct-Status-Type 40 Indicates the type of accounting record: Start (1), Stop (2), or Interim-Update (3). Enables real-time tracking of active sessions and accurate dwell-time calculations.
Acct-Interim-Interval 85 Specifies the frequency (in seconds) of interim accounting updates sent by the AP. Must be set to 300 seconds (5 minutes) to ensure Purple's analytics dashboard displays accurate real-time data.

The Walled Garden (Exception List) Architecture

Before a user is authenticated, the Aruba AP restricts all traffic except for destinations explicitly defined in the Walled Garden (or exception list). Because Purple's portal is cloud-hosted and relies on external identity providers (such as Google, Facebook, and Apple) for social authentication, the AP must allow unauthenticated clients to resolve DNS and communicate with these external domains.

If any required domain is omitted from the walled garden, the guest will experience a blank page, broken CSS, missing images, or a complete timeout during the login flow.

walled_garden_infographic.png

Implementation Guide

Deploying Purple on Aruba wireless infrastructure can be achieved via Aruba Instant (IAP) running ArubaOS 8.x (on-premises virtual-controller mode) or Aruba Central (cloud-managed AOS-8 or AOS-10).

Aruba Instant (IAP) Configuration (ArubaOS 8.x)

Step 1: Configure RADIUS Servers

  1. Log in to the Aruba Instant AP virtual controller web interface.
  2. Navigate to Security > Authentication Server and click New.
  3. Configure the Primary RADIUS Server with the following parameters:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  4. Click OK to save.
  5. Click New again to configure the Secondary RADIUS Server:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  6. Click OK to save.

Step 2: Create the Captive Portal Profile

  1. Navigate to Security > Captive Portal and click New.
  2. Configure the profile with the following settings:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Crucial for auto-triggering the portal on iOS and Android devices)
  3. Click OK to save.

Step 3: Configure the Walled Garden Whitelist

  1. In the Security > Captive Portal menu, select your newly created Purple_Portal profile.
  2. Under the Walled Garden section, click the link to open the whitelist configuration.
  3. Add the following core Purple domains:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. If social login is enabled, add the respective domains (e.g., *.google.com, *.facebook.com, *.apple.com).
  5. Click Save.

Step 4: Create and Configure the Guest SSID

  1. Navigate to Network > New to start the WLAN wizard.
  2. On the WLAN Settings tab:
    • Name (SSID): Guest-WiFi
    • Primary Usage: Guest
    • Click Next.
  3. On the VLAN tab, configure IP and VLAN assignment according to your network architecture (typically Client IP assignment: Network Assigned on a dedicated guest VLAN). Click Next.
  4. On the Security tab:
    • Splash Page Type: External
    • Captive Portal Profile: Select Purple_Portal
    • Auth Server 1: Select Purple_Primary
    • Auth Server 2: Select Purple_Secondary
    • Reauth Interval: 1440 (24 hours, or as per venue policy)
    • Accounting: Enabled
    • Accounting Interval: 5 minutes
  5. Click Next to proceed to the Access tab. Ensure the default guest rule allows DHCP and DNS pre-authentication, then click Finish.

Aruba Central Configuration (AOS-8 and AOS-10)

Aruba Central AOS-8

  1. Navigate to Devices under the Manage section of your group in Aruba Central.
  2. Click Config (gear icon) on the top right, then go to the WLANs tab and click + Add SSID.
  3. In Step 1: General, enter the SSID name (e.g., Guest-WiFi) and click Next.
  4. In Step 2: VLANs, configure your guest VLAN mapping and click Next.
  5. In Step 3: Security:
    • Set Security Level to Visitors.
    • Set Type to External Captive Portal.
    • Ensure Key Management is set to Open (do not use Enhanced Open/OWE for standard guest portals as it can cause client compatibility issues).
    • Click the + icon next to Captive Portal Profile to add a new profile:
      • Name: Purple_Central_Portal
      • IP or Hostname: portal.venuewifi.com
      • URL: /
      • Port: 443
      • Redirect URL: https://portal.venuewifi.com
      • Use HTTPS: True
      • Captive Portal Failure: Deny Internet (Recommended for security compliance)
    • Click Save.
    • Click the + icon next to Primary Server and Secondary Server to add the Purple RADIUS servers using the IPs 34.94.146.135 and 34.94.183.201 respectively, with ports 1812 (Auth) and 1813 (Acct).
    • Expand Advanced Settings, scroll to Accounting, select Use authentication servers, and set Accounting Interval to 5 minutes.
  6. Scroll down to the Walled Garden section, click + Add, and input the required Purple and social login domains.
  7. Click Save Settings.

Aruba Central AOS-10

In AOS-10, the walled garden configuration moves from the WLAN Security tab to Access Rules.

  1. Follow the same SSID and RADIUS configuration steps as AOS-8 above.
  2. In the SSID wizard, navigate to the Access tab.
  3. Click + Add Role and create a pre-authentication role named Purple_Pre_Auth.
  4. In the rules editor for this role, configure explicit Allow rules for DNS, DHCP, and the required walled garden domains (e.g., *.purple.ai, *.venuewifi.com).
  5. Scroll down to Assign Pre-Authentication Role, enable the option, and select Purple_Pre_Auth from the dropdown.
  6. The post-authorisation role (typically matching the SSID name) should remain configured with Allow any to all destinations or your specific corporate access policies.
  7. Click Save Settings.

Best Practices

To ensure maximum performance, security, and compliance, network architects must adhere to the following industry standards and vendor-neutral best practices when deploying captive portals on Aruba and Purple.

1. Secure Certificate Management

Aruba access points must present a valid, trusted SSL/TLS certificate during the captive portal redirect flow.

  • Avoid Self-Signed Certificates: If the AP presents a self-signed certificate, modern browsers will display a highly visible "Your connection is not private" warning, severely damaging guest trust and reducing conversion rates.
  • Deploy a Trusted CA Certificate: Upload a wildcard certificate from a globally recognised Certificate Authority (CA) to your Aruba Central global settings or Instant virtual controllers. Ensure that the intermediate and root certificates are combined into a single file to complete the trust chain.

2. Network Segmentation and Compliance

Guest traffic must be kept entirely separate from corporate and administrative traffic to mitigate security risks and ensure compliance with industry standards.

  • VLAN Isolation: Map the guest SSID to a dedicated, non-routable VLAN. Use Access Control Lists (ACLs) on the upstream core switch or firewall to prevent any routing between the guest VLAN and internal corporate subnets.
  • PCI DSS Compliance: If your venue processes card payments (e.g., retail point-of-sale), network segmentation is a mandatory requirement under PCI DSS Requirement 1.2 [3]. Guest WiFi must be physically or logically isolated from the Cardholder Data Environment (CDE).
  • GDPR and Data Privacy: Ensure that the Purple portal is configured to display explicit, un-ticked consent checkboxes for marketing opt-ins, meeting the strict requirements of the General Data Protection Regulation (GDPR) [4].

3. Optimising WISPr and Captive Portal Detection

Modern mobile operating systems use active probing to detect captive portals immediately upon association.

  • Enable WISPr: Always ensure that WISPr support is enabled in your Aruba captive portal profile. This protocol passes XML-formatted metadata to the client operating system, allowing iOS (Captive Network Assistant) and Android (Captive Portal Login) to gracefully launch the login screen in a dedicated browser window.
  • Prevent "Enhanced Open" (OWE) Issues: While Opportunistic Wireless Encryption (OWE) provides encryption on open networks, many legacy client devices do not support it. For public guest networks, stick to standard Open key management to maximise device compatibility.

Troubleshooting & Risk Mitigation

Even with meticulous planning, captive portal deployments can encounter common failure modes. The following troubleshooting matrix provides immediate, actionable steps for wireless engineers.

Captive Portal Troubleshooting Matrix

Symptom Probable Cause Diagnostic Steps Actionable Solution
Guest associates but the splash page does not load (Timeout/Blank Page). Missing or incomplete Walled Garden configuration. Attempt to ping portal.venuewifi.com from a wired device on the same VLAN. Check if the device is trying to load external resources (e.g., social login scripts) that are blocked. Explicitly add *.purple.ai, *.venuewifi.com, and *.cloudfront.net to the Aruba walled garden. Verify that DNS resolution is allowed in the pre-auth role.
Guest is redirected but browser displays an SSL/TLS Certificate Warning. The Aruba AP is presenting an untrusted or self-signed certificate for the local redirect page. Inspect the browser certificate details to see which certificate is being presented. Upload a valid, trusted SSL certificate signed by a public CA to the Aruba virtual controller or Central global settings.
Guest completes the login form but is not granted internet access (Redirect Loop). RADIUS communication failure between the Aruba AP and Purple servers. Check the Aruba virtual controller logs for RADIUS timeouts or access-rejects. Run show auth-survivability or check firewall logs. Verify that outbound UDP ports 1812 (Auth) and 1813 (Acct) are open on your perimeter firewall. Ensure the RADIUS shared secret matches exactly on both Purple and Aruba.
The captive portal does not auto-popup on iOS or Android devices. WISPr is disabled, or the AP is blocking the operating system's captive portal detection URLs. Verify if the device can access the internet without logging in, or if it remains connected with "No Internet" and no popup. Enable WISPr in the Aruba captive portal profile. Ensure that captive portal detection URLs (e.g., captive.apple.com, connectivitycheck.gstatic.com) are not blocked by custom pre-auth ACLs.
Real-time dwell-time analytics are inaccurate or missing in Purple. RADIUS Accounting is disabled or the accounting interval is set too high. Check the AP configuration to see if accounting is enabled and inspect the interval. Enable RADIUS Accounting on the Aruba SSID. Set the Accounting Interval to exactly 5 minutes (300 seconds) to ensure regular session updates.

ROI & Business Impact

Transitioning from a basic, local captive portal to an enterprise-grade WiFi intelligence platform like Purple delivers measurable business outcomes across operations, marketing, and network management.

Operational Efficiency and Scalability

Managing individual local captive portals across hundreds of retail stores, hotels, or public venues is an administrative bottleneck. Purple provides a centralised, cloud-managed console that allows IT teams to deploy, update, and audit captive portal configurations globally with a single click. This reduces configuration drift, ensures consistent branding, and slashes administrative overhead by up to 60%.

Data Monetisation and Marketing ROI

For industries like Retail and Hospitality, guest WiFi is a powerful channel for customer acquisition and engagement. Purple replaces anonymous connections with rich demographic profiles.

  • Direct Integration: Purple integrates with CRM and marketing automation platforms to trigger real-time, context-aware campaigns. For example, a retail venue can trigger a personalised discount SMS the moment a loyalty customer connects to the guest WiFi.
  • Measurable Footfall Analytics: By analysing RADIUS accounting data and BSSID associations, Purple provides highly accurate dwell-time, return-rate, and path-analysis reporting. This data enables venue operations directors to optimise staffing levels, evaluate window display effectiveness, and measure the direct ROI of marketing campaigns.

Cost-Benefit Analysis: Native Aruba vs. Purple Integration

Feature / Metric Native Aruba Local Portal Aruba + Purple Integration Business Impact
Centralised Multi-Site Management Limited. Requires individual configuration per virtual controller or complex Central group mapping. Fully Centralised. Manage thousands of venues and SSIDs from a single cloud dashboard. Reduces IT overhead and eliminates configuration drift across distributed estates.
Data Capture & Compliance Basic form capture. No built-in GDPR/CCPA consent validation workflows. Enterprise-grade. Automated, legally-compliant consent tracking with real-time API sync to CRMs. Mitigates legal risk and ensures compliance with global privacy regulations [4].
Social Authentication Requires custom external web development and manual API maintenance. Out-of-the-box support for Google, Facebook, Apple, Microsoft, LinkedIn, and SMS. Increases conversion rates by up to 40% through friction-free login options.
Analytics & Reporting Basic session logs (IP, MAC, connect time). No demographic or behaviour tracking. Rich analytics: age, gender, dwell-time, return rates, heatmaps, and cross-venue roaming. Drives marketing ROI and provides actionable business intelligence for operations.

Definições principais

Captive Portal

Uma página da web que é exibida para usuários recém-conectados de uma rede Wi-Fi antes que lhes seja concedido acesso mais amplo aos recursos da rede.

Usado para capturar dados de convidados, aplicar termos de serviço e apresentar conteúdo de marketing personalizado.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Bilhetagem (AAA) para usuários que se conectam e usam um serviço de rede.

A Purple atua como o servidor RADIUS externo, autenticando convidados e rastreando a duração de suas sessões.

WISPr (Wireless Internet Service Provider roaming)

Um rascunho de protocolo que permite que provedores de serviços de internet sem fio independentes permitam que os usuários façam roaming nas redes uns dos outros usando um portal de login comum.

A ativação do WISPr nos APs Aruba permite que smartphones modernos detectem automaticamente o Captive Portal e exibam a splash page em uma janela nativa do sistema.

Walled Garden

Um conjunto restrito de sites ou domínios que um usuário não autenticado tem permissão para acessar antes de concluir o processo de login do Captive Portal.

Crucial para permitir que os convidados carreguem os recursos da splash page (CSS, JS, imagens) e acessem provedores de login social (Google, Facebook) antes de serem autenticados.

BSSID (Basic Service Set Identifier)

O endereço MAC da interface de rádio do ponto de acesso sem fio para um SSID específico.

Enviado no atributo RADIUS Called-Station-Id, permitindo que a Purple mapeie a localização física do usuário para um AP específico.

NAS-IP-Address

O endereço IP do Network Access Server (o AP ou controlador Aruba) que origina a solicitação RADIUS.

Usado em pacotes RADIUS para identificar qual hardware físico está solicitando autenticação.

RadSec

Um protocolo que protege as transações RADIUS usando Transport Layer Security (TLS) sobre TCP.

Usado para criptografar o tráfego de autenticação e bilhetagem (accounting) do RADIUS ao atravessar redes públicas não confiáveis entre o AP local e a nuvem da Purple.

Enhanced Open (OWE)

Uma extensão do Wi-Fi Certified Easy Connect que fornece criptografia de transmissões sem fio em redes abertas sem a necessidade de uma senha.

Pode causar problemas de compatibilidade com dispositivos de convidados mais antigos; a segurança Open padrão é recomendada para Captive Portals públicos.

Exemplos práticos

Um engenheiro de rede sem fio corporativa está implantando WiFi de convidados em uma rede varejista nacional com 150 lojas. Cada loja possui de 3 a 5 APs Aruba Instant gerenciados via Aruba Central. A equipe de marketing exige um Captive Portal personalizado com opções de login social do Facebook e Google, e a equipe de conformidade exige que o tráfego de convidados seja completamente isolado da rede de Ponto de Venda (PoS) da loja. Como isso deve ser arquitetado e configurado?

  1. Segmentação de Rede: Mapeie o SSID de Convidados para a VLAN 100 nos APs Aruba. Configure as portas do switch local como portas trunk, permitindo a VLAN 100. No firewall de gateway da loja, configure a VLAN 100 com um escopo DHCP e uma política de NAT apenas de saída. Aplique uma ACL no firewall para descartar todo o tráfego da VLAN 100 para a VLAN de PoS (VLAN 10).
  2. Configuração de RADIUS e Portal no Aruba Central: Crie um novo SSID chamado 'Store-Guest' na VLAN 100. Defina a Segurança como 'Visitors' e a Splash Page como 'External Captive Portal'. Adicione o servidor RADIUS primário da Purple (34.94.146.135) e o servidor secundário (34.94.183.201) com as portas 1812/1813. Ative o RADIUS Accounting com um intervalo de 5 minutos.
  3. Walled Garden: Configure o walled garden no Aruba Central para incluir: *.purple.ai, *.venuewifi.com, *.cloudfront.net (para o núcleo da Purple) e os domínios de login social: *.google.com, *.googleapis.com, *.gstatic.com (para o Google) e *.facebook.com, *.fbcdn.net, connect.facebook.net (para o Facebook).
  4. Testes: Conecte um dispositivo de teste ao 'Store-Guest', verifique se o DHCP atribui um IP na VLAN 100, confirme se o navegador redireciona para o portal da Purple via HTTPS, conclua o login do Facebook e verifique se o acesso à internet é concedido enquanto os recursos internos de PoS permanecem completamente inacessíveis.
Comentário do examinador: Esta abordagem é altamente eficaz porque aborda tanto a segurança quanto a experiência do usuário. O uso do isolamento de VLAN no switch físico e no firewall de gateway garante uma conformidade robusta com o PCI DSS, impedindo que os dispositivos de convidados alcancem o CDE. Definir explicitamente os domínios de login social no walled garden é crítico; depender do 'Automatic URL Whitelisting' às vezes pode causar falhas intermitentes se o provedor social alterar dinamicamente seus subdomínios de CDN. Definir o intervalo de bilhetagem (accounting) do RADIUS para 5 minutos garante que a equipe de marketing obtenha análises de tempo de permanência de alta fidelidade sem sobrecarregar a CPU do AP.

Um estádio com capacidade para 50.000 pessoas está executando o Aruba Central no AOS-10 com pontos de acesso AP-555 de alta densidade. Durante os horários de pico dos eventos, milhares de usuários tentam se conectar ao WiFi de convidados simultaneamente. O diretor de TI está preocupado com o impacto no desempenho dos redirecionamentos de Captive Portal no controlador virtual e deseja garantir que o processo de autenticação seja o mais rápido e resiliente possível. Quais configurações avançadas devem ser aplicadas?

  1. Função de Pré-Autenticação (AOS-10): No AOS-10, configure uma função de pré-autenticação dedicada chamada 'Stadium-Pre-Auth'. Aplique uma ACL que permita DHCP (UDP 67-68), DNS (UDP 53) e tráfego de saída para os domínios do walled garden da Purple. Atribua essa função como a 'Pre-Authentication Role' nas configurações do SSID. Isso descarrega a filtragem de pacotes do controlador central para os APs individuais, distribuindo a carga.
  2. Balanceamento de Carga RADIUS: No Aruba Central, ative o Balanceamento de Carga RADIUS entre os servidores RADIUS primário e secundário da Purple. Isso distribui a carga de autenticação uniformemente durante as janelas de pico de entrada.
  3. Server Offload: Ative o 'Server Offload' nas configurações do Perfil do Captive Portal. Isso evita que aplicativos clientes que não sejam navegadores (como aplicativos móveis em segundo plano, atualizações de sistema ou dispositivos IoT) sejam repetidamente redirecionados para o Captive Portal externo, preservando os ciclos de CPU do AP e a largura de banda da WAN.
  4. Política de Falha do Captive Portal: Defina 'Captive Portal Failure' como 'Deny Internet'. Embora 'Allow Internet' pareça amigável ao cliente, durante um evento de rede extremo isso pode levar a um acesso aberto descontrolado, ignorando os controles de segurança e esgotando os pools de DHCP.
Comentário do examinador: Ambientes de alta densidade, como estádios, exigem um modelo de processamento distribuído. A configuração do walled garden por meio de Regras de Acesso (Access Rules) no AOS-10 garante que as listas de controle de acesso sejam compiladas e executadas localmente no caminho de dados acelerado por hardware do AP, em vez de serem tuneladas de volta para um gateway. A ativação do Server Offload é uma prática recomendada padrão do setor para implantações em estádios; ela mitiga a 'tempestade de Captive Portal' causada por aplicativos em segundo plano em milhares de telefones bloqueados tentando alcançar seus respectivos servidores em nuvem simultaneamente.

Questões práticas

Q1. Um engenheiro de rede configura um novo SSID de convidados em um cluster de APs Aruba Instant. Ao testar, ele se conecta ao SSID, mas em vez da splash page personalizada da Purple, ele vê um erro de tempo limite (timeout) do navegador. Qual é a causa mais provável desse problema e quais etapas de solução de problemas devem ser seguidas?

Dica: Pense no que é necessário para que o dispositivo cliente alcance a splash page hospedada na nuvem antes da autenticação.

Ver resposta modelo

A causa mais provável é uma configuração de Walled Garden ausente ou incompleta, ou um problema de resolução de DNS. Antes da autenticação, o AP bloqueia todo o tráfego, exceto para domínios na lista de permissões. Se os domínios da Purple (*.purple.ai, *.venuewifi.com, *.cloudfront.net) não estiverem no walled garden, o cliente não poderá carregar a splash page. Etapas de solução de problemas: 1. Verifique se o dispositivo cliente recebeu um endereço IP e servidor DNS válidos via DHCP. 2. Tente resolver 'portal.venuewifi.com' a partir de um dispositivo cabeado na mesma VLAN para confirmar se o DNS está funcionando. 3. Verifique a configuração do AP Aruba para garantir que a lista de permissões do Walled Garden esteja ativa e contenha todos os domínios exigidos pela Purple. 4. Verifique se a função de pré-autenticação permite o tráfego de DNS (porta UDP 53) para o servidor DNS.

Q2. Durante a implantação do WiFi de convidados da Purple em um grande centro de convenções, a equipe de TI relata que os dispositivos dos convidados se conectam com sucesso, mas eles são solicitados a fazer login novamente a cada 15 minutos. O comportamento desejado é que os convidados permaneçam conectados por 24 horas. Quais parâmetros de configuração do Aruba e da Purple devem ser inspecionados para resolver isso?

Dica: Observe os parâmetros que controlam o tempo de vida da sessão e os intervalos de reautenticação.

Ver resposta modelo

Este problema é causado por uma incompatibilidade nas configurações de tempo limite de sessão ou intervalo de reautenticação. Para resolver isso: 1. Inspecione o 'Reauth Interval' na guia de segurança do SSID do Aruba; ele deve ser definido como 1440 minutos (24 horas) em vez de 15 minutos. 2. Verifique o atributo 'Session Timeout' retornado pelo servidor RADIUS da Purple na mensagem Access-Accept. Se a Purple estiver configurada com um tempo de vida de sessão curto, ela forçará a reautenticação. 3. Certifique-se de que a Autenticação MAC (MAC Authentication) esteja ativada no SSID do Aruba. Isso permite que o AP autentique automaticamente os convidados que retornam por meio de seu endereço MAC no banco de dados da Purple, sem solicitar a splash page novamente durante a janela de 24 horas.

Q3. Uma organização do setor público está implantando WiFi de convidados em várias bibliotecas usando o Aruba Central no AOS-10. A política de segurança exige que todo o tráfego de convidados seja criptografado pelo ar, mas os diretores das bibliotecas desejam uma experiência de login contínua e sem atritos. Como o arquiteto de rede sem fio pode atender a ambos os requisitos usando Aruba e Purple?

Dica: Considere as diferenças entre Open, OWE (Enhanced Open) e WPA2/WPA3-Enterprise, e como eles interagem com Captive Portals.

Ver resposta modelo

Para obter criptografia pelo ar e uma experiência de Captive Portal contínua, o arquiteto deve implantar o 'Enhanced Open' (Opportunistic Wireless Encryption - OWE) com um modo de transição se a compatibilidade com dispositivos legados for necessária. O Enhanced Open criptografa a conexão sem fio entre o cliente e o AP sem exigir uma chave pré-compartilhada, protegendo os convidados contra interceptação passiva. 1. Configure o SSID de convidados no Aruba Central com o Nível de Segurança definido como 'Visitors' e o Gerenciamento de Chaves definido como 'Enhanced Open'. 2. Ative o 'OWE Transition Mode' e associe-o a um SSID de convidados Open padrão para oferecer suporte a dispositivos mais antigos que não oferecem suporte ao WPA3 OWE. 3. Configure o perfil do External Captive Portal apontando para a Purple como de costume. Essa combinação garante que os dispositivos modernos obtenham transporte sem fio criptografado automaticamente, enquanto ainda redirecionam para a splash page da Purple para captura de dados e conformidade.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

Ler o guia →

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →