Captive Portal for Cisco Meraki

Um guia de referência técnica autoritativo de nível intermediário para integrar access points Cisco Meraki MR com o Captive Portal em nuvem da Purple. Abrange configurações passo a passo do Meraki Dashboard, configurações de servidor RADIUS (portas 1812/1813), exceções de domínio curinga no walled garden e parâmetros de timeout de sessão para implantações de WiFi de visitantes de alto desempenho.

📖 8 min de leitura📝 1,892 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo à Série de Briefing Técnico da Purple. Eu sou o seu anfitrião e hoje vamos abordar algo que surge em quase todas as implantações de WiFi corporativo para convidados em que trabalhamos: a configuração de um Captive Portal nos pontos de acesso Cisco Meraki MR e, especificamente, como integrar isso com a plataforma de nuvem da Purple usando autenticação RADIUS. Quer você seja um MSP integrando um novo cliente do setor de hospitalidade ou um arquiteto de rede interno em uma rede de varejo, este episódio fornecerá as etapas de configuração precisas e a justificativa por trás de cada uma delas.

Vamos contextualizar. Você tem um local — que pode ser um hotel, um centro de conferências, um estádio ou um parque comercial — executando pontos de acesso Cisco Meraki MR gerenciados por meio do Meraki Dashboard. O objetivo é implantar uma experiência de WiFi para convidados personalizada com a marca que capture dados primários, imponha a aceitação dos termos de serviço e envie análises de volta para uma plataforma de marketing. É exatamente para isso que a Purple foi criada, e a Meraki é uma das nossas implantações de hardware mais comuns globalmente.

Agora, o ponto arquitetônico fundamental a ser compreendido antes de tocar em uma única configuração é este: no Cisco Meraki, a autenticação RADIUS para uma splash page não é processada localmente pelo ponto de acesso. O RADIUS Access-Request é originado da nuvem Meraki — da infraestrutura do Dashboard — e não do AP na sua LAN. Essa é uma distinção crítica que confunde muitos engenheiros em sua primeira implantação Meraki. Isso significa que seu servidor RADIUS, neste caso o endpoint RADIUS na nuvem da Purple, precisa estar acessível a partir da internet, e suas regras de firewall precisam permitir o tráfego das faixas de IP do Meraki Dashboard, não apenas da sub-rede local do seu AP. Você encontrará as faixas de IP atuais do Dashboard em Help e, em seguida, em Firewall Info no seu Meraki Dashboard.

Certo, vamos para a configuração. Vou guiar você por isso na ordem em que você realmente faria em uma implantação real.

Etapa um: configuração do SSID. No Meraki Dashboard, navegue até Wireless, depois Configure e, em seguida, SSIDs. Selecione o slot de SSID que deseja usar para o acesso de convidados. Dê a ele um nome claro — algo como GuestWiFi ou NomeDoLocal underline Guest. Em Association requirements, defina Security como Open, no encryption. Isso está correto e é intencional — a camada de segurança para convidados é tratada pelo Captive Portal e pela autenticação RADIUS, não pela criptografia WPA. Se você estiver implantando em um ambiente PCI DSS, precisará garantir que o tráfego de convidados esteja isolado em sua própria VLAN, o que abordaremos em breve.

Passo dois: Splash page e autenticação. Ainda na página de Controle de Acesso do seu SSID, role até a seção Splash page. Defina-a como Sign-on com e, no menu suspenso, selecione meu servidor RADIUS. Esta é a configuração crítica que diz ao Meraki para autenticar os usuários em um servidor RADIUS externo antes de conceder acesso à rede. Abaixo disso, você verá a opção Força do Captive Portal. Defina-a como Bloquear todo o acesso até que o login seja concluído. É isso que impõe o walled garden — sem isso, os visitantes poderiam ignorar o portal completamente.

Passo três: Configuração do servidor RADIUS. Na seção RADIUS, clique em Adicionar servidor. Você precisará de três informações da sua conta Purple: o endereço IP ou FQDN do servidor RADIUS, a porta de autenticação que é UDP 1812 e o segredo compartilhado. A Purple fornece essas informações na seção de configuração de local do portal. Para redundância em implantações de produção, você deve adicionar um servidor RADIUS secundário — a Purple fornece um endpoint de failover. Defina a porta de tarifação (accounting) como UDP 1813 se quiser que os dados da sessão sejam enviados de volta ao mecanismo de análise da Purple, o que eu recomendo fortemente para qualquer local onde o tempo de permanência e a duração da sessão sejam métricas significativas.

Uma nota rápida sobre os atributos RADIUS. O Meraki respeita o atributo Session-Timeout retornado na resposta RADIUS Access-Accept. A Purple usa isso para controlar quanto tempo dura a sessão de um visitante antes que a autenticação seja necessária novamente. Para um hotel, você pode definir isso como 86.400 segundos — ou seja, 24 horas. Para uma cafeteria, algo como 3.600 segundos, uma hora, é mais apropriado. O atributo Idle-Timeout também é respeitado, mas apenas se a tarifação RADIUS estiver ativada. Isso desconecta sessões inativas, o que é importante para o gerenciamento de capacidade em locais de alta densidade.

Passo quatro: URL da Splash page. Navegue até Wireless, depois Configurar e, em seguida, Splash page. Selecione o seu SSID de visitantes no menu suspenso. Defina a URL de splash personalizada para a URL do portal Purple do seu local. Esta é a URL para a qual o Meraki redirecionará os clientes não autenticados. O Meraki anexa parâmetros de consulta a esta URL — incluindo um parâmetro login_url — que a Purple usa para concluir o handshake de autenticação. Não modifique ou remova esses parâmetros.

Passo cinco: o walled garden. É aqui que a maioria das implantações enfrenta problemas. O walled garden é a lista de domínios e faixas de IP que um dispositivo de visitante pode acessar antes de ser autenticado. Sem as entradas corretas, a própria página do Captive Portal não será carregada, pois o navegador será impedido de acessar a CDN da Purple e os provedores de login social.

Navegue de volta para Controle de Acesso (Access Control) do seu SSID de visitantes. Defina Walled garden para Walled garden is enabled. No campo Walled garden ranges, você precisa adicionar o seguinte. Primeiro, os domínios da plataforma Purple: star ponto purple ponto ai, e star ponto venuewifi ponto com. Segundo, os domínios de CDN que a Purple usa para servir recursos do portal: star ponto cloudfront ponto net, e star ponto akamaihd ponto net. Terceiro, a infraestrutura de redirecionamento Meraki: star ponto network-auth ponto com. Quarto, se você estiver oferecendo opções de login social, precisará dos domínios OAuth relevantes. Para o Google: accounts ponto google ponto com, star ponto googleapis ponto com, star ponto gstatic ponto com. Para o Facebook: star ponto facebook ponto com, star ponto fbcdn ponto net, e connect ponto facebook ponto net. Para o Twitter ou X: star ponto twitter ponto com e star ponto twimg ponto com.

Uma observação importante sobre como a Meraki lida com domínios curinga (wildcard) no walled garden. A Meraki suporta entradas curinga usando o prefixo de asterisco, por exemplo, star ponto cloudfront ponto net. No entanto, essa é uma correspondência baseada em DNS — a Meraki resolve o domínio e permite os endereços IP resultantes. Isso significa que para provedores de CDN como CloudFront ou Akamai, onde os IPs resolvidos podem mudar frequentemente, você deve usar o domínio curinga em vez de intervalos de IP estáticos. Entradas de IP estático funcionam bem para os endpoints RADIUS da Purple, que são estáveis, mas não para o tráfego de CDN.

Agora vamos falar sobre dois cenários do mundo real nos quais trabalhei diretamente.

O primeiro é um hotel de 350 quartos no Reino Unido. O cliente estava operando pontos de acesso Meraki MR46 em três edifícios, com cerca de 400 dispositivos de visitantes simultâneos no horário de pico. A implantação inicial usava uma splash page de clique único — sem RADIUS, apenas aceitação dos termos. O problema era que eles tinham zero visibilidade sobre quem estava se conectando, nenhuma captura de e-mail e nenhuma maneira de executar campanhas de marketing pós-estadia. Nós os migramos para a Purple com login baseado em RADIUS. A configuração foi simples, mas o detalhe foi que o firewall upstream deles estava bloqueando o tráfego UDP de saída na porta 1812 para qualquer coisa fora da sub-rede local. Assim que adicionamos os intervalos de IP do Meraki Dashboard à lista de permissões do firewall, a autenticação funcionou imediatamente. Após a implantação, o hotel capturou endereços de e-mail de aproximadamente 68 por cento dos visitantes conectados no primeiro mês, e sua equipe de marketing executou uma campanha de engajamento que gerou um aumento mensurável nas reservas diretas.

O segundo cenário é uma rede de varejo com 45 lojas, cada uma operando com pontos de acesso Meraki MR33. O desafio aqui era escala e consistência. Configurar manualmente 45 SSIDs com as configurações de RADIUS corretas e listas de walled garden seria propenso a erros e demorado. A solução foi usar a configuração baseada em templates da Meraki. Criamos um único template de rede com as configurações corretas de SSID, RADIUS e walled garden, e depois vinculamos todas as 45 redes de lojas a esse template. Qualquer alteração — por exemplo, adicionar um novo provedor de login social ao walled garden — é feita uma única vez no template e se propaga para todas as lojas automaticamente. A análise da Purple então agregou os dados de fluxo de pessoas e tempo de permanência em todas as lojas, oferecendo à equipe de operações de varejo uma visão única em um painel do comportamento dos visitantes por loja, por região e por hora do dia.

Deixe-me dar três regras práticas que economizarão seu tempo em cada implantação de Captive Portal Meraki.

Regra um: Sempre verifique as faixas de IP do Meraki Dashboard antes de configurar o RADIUS. As faixas mudam ocasionalmente e, se o seu firewall as estiver bloqueando, a autenticação falhará silenciosamente do ponto de vista do usuário — ele apenas verá a página do portal travar. Use a ferramenta de teste de RADIUS integrada no Dashboard em Controle de Acesso para verificar a conectividade antes de entrar em operação.

Regra dois: Use curingas de domínio no walled garden, não faixas de IP, para qualquer conteúdo hospedado em CDN. As faixas de IP de CDN são grandes e mudam com frequência. Uma entrada de domínio com caractere curinga é mais fácil de manter e mais confiável.

Regra três: Ative a tarifação RADIUS na porta 1813, mesmo que você ache que ainda não precisa dela. Os dados de sessão são valiosos para solucionar problemas de desconexão e para alimentar métricas precisas de tempo de permanência em sua plataforma de analytics. Não custa nada ativar e é muito difícil adaptar depois do fato.

Agora, algumas perguntas rápidas que recebo regularmente.

Posso usar a splash page integrada da Meraki em vez da Purple? Sim, mas você perde a captura de dados, o analytics, a automação de marketing e o gerenciamento de consentimento em conformidade com a GDPR. A splash integrada é adequada para um clique básico de transição, mas não é uma plataforma de inteligência de visitantes.

Essa configuração funciona em firewalls Meraki MX, bem como em pontos de acesso MR? A configuração de splash page RADIUS é suportada em pontos de acesso MR. Os appliances MX lidam com a autenticação de VPN de cliente de forma diferente. Para WiFi de visitantes especificamente, você configura os SSIDs dos MR.

E quanto ao WPA3? Os pontos de acesso Meraki MR suportam WPA3 em SSIDs corporativos. Para implantações de Captive Portal de visitantes, o SSID normalmente é Open, então o WPA3 não se aplica diretamente. No entanto, se você estiver implantando um SSID Passpoint ou OpenRoaming junto com seu SSID de Captive Portal — o que a Purple suporta —, esse SSID usa WPA3-Enterprise com 802.1X, e é aí que o WPA3 se torna relevante.

Para resumir: a integração entre Cisco Meraki e Purple é amplamente testada e confiável, mas exige atenção a três pontos: roteamento de IP de origem RADIUS, integridade do walled garden e configuração de tempo limite de sessão (session timeout). Acerte esses três pontos e a implantação será simples. O caso de negócio é claro — locais que implantam uma plataforma de guest WiFi configurada corretamente com captura de dados veem consistentemente retornos mensuráveis em engajamento de marketing e insights operacionais.

Se quiser se aprofundar, confira o guia da Purple sobre a implementação de autenticação 802.1X com cloud RADIUS e nosso guia de implantação de Cisco Wireless AP no blog da Purple. Ambos estão vinculados nas notas do episódio.

Obrigado por ouvir. Se você tiver um cenário de implantação específico que gostaria que cobríssemos, entre em contato com a equipe técnica da Purple. Nos vemos no próximo episódio.

Principais conclusões

✓As solicitações RADIUS da splash page de visitantes do Cisco Meraki são originadas do Meraki Cloud Dashboard, e não dos pontos de acesso MR locais.
✓Desacoplar o WiFi de visitantes em uma camada agnóstica como o Purple permite a captura avançada de dados e análises de marketing em conformidade com o GDPR.
✓Um walled garden robusto deve incluir domínios Purple, hosts de CDN (*.cloudfront.net, *.akamaihd.net) e endpoints de OAuth social.
✓O Cisco Meraki lida com domínios curinga no walled garden de forma dinâmica por meio de lista de permissões baseada em DNS em tempo real.
✓Os atributos RADIUS Session-Timeout e Idle-Timeout são essenciais para gerenciar pools de concessão DHCP em locais de alta densidade.
✓As configurações baseadas em modelos no Meraki Dashboard permitem implantações de WiFi de visitantes consistentes e sem erros em locais com várias filiais.

📚 Part of our core series: Multi-Tenant WiFi →

Resumo Executivo

Este guia de referência oficial fornece uma estrutura de configuração abrangente e passo a passo para integrar redes sem fio Cisco Meraki com o Captive Portal baseado em nuvem da Purple. Projetado para gerentes de TI, arquitetos de rede e provedores de serviços gerenciados (MSPs), este documento detalha as configurações exatas exigidas no Meraki Dashboard para implantar uma solução de WiFi para visitantes segura e de alto desempenho [1].

Ao desacoplar a camada de inteligência de visitantes do hardware, os locais corporativos podem aproveitar as plataformas certificadas de Guest WiFi e WiFi Analytics da Purple para capturar dados primários valiosos e em conformidade com a GDPR, garantindo ao mesmo tempo a integridade da rede e a conformidade regulatória [2]. Este guia aborda parâmetros críticos de integração, incluindo autenticação RADIUS (portas 1812/1813), exceções de domínio de walled garden, resolução de wildcard de CDN e mecânica de redirecionamento de visitantes em diversos locais físicos, como hubs de Varejo , Saúde , Hospitalidade e Transporte .

Análise Técnica Detalhada

Para integrar com sucesso os Access Points (APs) Cisco Meraki MR com um Captive Portal externo como o da Purple, os engenheiros de rede devem compreender a arquitetura subjacente do plano de controle e de dados. Ao contrário dos controladores sem fio locais tradicionais, onde as solicitações de autenticação RADIUS são originadas do controlador físico ou de APs individuais, a Cisco Meraki emprega uma arquitetura gerenciada em nuvem [1].

Separação do Plano de Controle e do Plano de Dados

Quando um dispositivo de visitante se associa a um SSID aberto configurado para um Captive Portal externo, o Meraki MR AP coloca o cliente em um estado de pré-autenticação. Nesse estado, todo o tráfego é bloqueado, exceto consultas DNS, DHCP e tráfego destinado a endereços IP ou hostnames explicitamente definidos no Walled Garden [3].

As mensagens reais de RADIUS Access-Request não são geradas pelo Meraki MR AP local. Em vez disso, elas são originadas da Cisco Meraki Dashboard Cloud Infrastructure [1]. Esta é uma distinção arquitetônica crucial:

> "As mensagens de solicitação de acesso RADIUS para uma splash page serão originadas do dashboard, não dos dispositivos Meraki locais. Como tal, o endereço IP da LAN privada do servidor RADIUS não pode ser especificado aqui." [1]

Consequentemente, os firewalls upstream que protegem seus servidores RADIUS devem permitir o tráfego de entrada de todo o bloco de intervalos de IPs de saída do Meraki Dashboard, que são dinâmicos e específicos por região [1]. Esses intervalos podem ser recuperados dinamicamente através do Meraki Dashboard em Help > Firewall info [1].

Protocolo de Autenticação RADIUS (PAP)

Para a autenticação da splash page de login, a Meraki utiliza o Password Authentication Protocol (PAP) [1]. Embora o PAP seja historicamente não criptografado, a integração Meraki-Purple mitiga os riscos de segurança por meio de criptografia em várias camadas:

Criptografia Cliente-para-Nuvem: O cliente visitante estabelece uma sessão HTTPS (SSL/TLS) segura diretamente com o Captive Portal hospedado da Purple. As credenciais (por exemplo, tokens de login social, formulários de e-mail) são criptografadas em trânsito do navegador do cliente para os servidores da Purple [1].
Criptografia de Segredo Compartilhado RADIUS: Quando a Meraki Cloud envia o RADIUS Access-Request para o servidor Cloud RADIUS da Purple, ela criptografa a senha do usuário usando o RADIUS Shared Secret configurado e uma função XOR padrão de acordo com a RFC 2865 [1]. Isso garante que credenciais em texto simples nunca sejam transmitidas pela internet pública.

Atributos RADIUS Suportados

A Meraki Cloud e o Purple Cloud RADIUS trocam vários atributos importantes durante o handshake de autenticação para aplicar parâmetros e políticas de sessão:

Atributo RADIUS	Tipo	Direção	Descrição e Contexto Prático
User-Name	String	Requisição	O identificador do usuário visitante (por exemplo, endereço de e-mail, endereço MAC) [1].
User-Password	String	Requisição	A senha criptografada do usuário ou token de sessão [1].
Called-Station-ID	String	Requisição	Formatado como `AP_MAC:SSID_NAME` (por exemplo, `AA-BB-CC-DD-EE-FF:GuestWiFi`). Crucial para o roteamento de políticas baseadas em localização [1].
Calling-Station-ID	String	Requisição	O endereço MAC físico do cliente (por exemplo, `11-22-33-44-55-66`). Usado para rastreamento de dispositivos e retomada de sessão [1].
Session-Timeout	Inteiro	Aceite	A duração máxima da sessão em segundos. Após a expiração, o cliente é redirecionado de volta para o Captive Portal [1].
Idle-Timeout	Inteiro	Aceite	O tempo ocioso máximo em segundos. Se nenhum dado for transferido, a sessão é encerrada. Requer RADIUS Accounting [1].
Filter-Id	String	Aceite	Transmite o nome de uma Group Policy específica da Meraki para aplicar ao cliente (por exemplo, limitando a largura de banda ou bloqueando categorias específicas) [1].

Guia de Implementação

Este passo a passo de configuração descreve como integrar os pontos de acesso Cisco Meraki MR com o Captive Portal externo da Purple.

Passo 1: Configurar o Controle de Acesso do SSID

Navegue até Wireless > Configure > Access control no Meraki Dashboard [1]. Selecione o seu SSID de convidados de destino e configure os seguintes parâmetros:

Association Requirements: Defina como Open (no encryption) [1]. Isso garante uma experiência de integração sem atritos. Se você precisar de trânsito de convidados criptografado, considere implementar o Passpoint / Hotspot 2.0 com Cloud RADIUS [4].
Splash Page: Selecione Sign-on with e escolha my RADIUS server no menu suspenso [1].
RADIUS Servers: Clique em Add server e insira os endpoints primário e secundário do Cloud RADIUS da Purple [1]:
- Host IP: 116.203.120.121 (Primário) e 195.201.123.149 (Secundário)
- Port: 1812 (Autenticação) [1]
- Secret: [Sua Chave Secreta Compartilhada Purple]
RADIUS Accounting: Defina como RADIUS accounting is enabled e adicione os servidores de tarifação:
- Host IP: 116.203.120.121 (Primário) e 195.201.123.149 (Secundário)
- Port: 1813 (Tarifação/Accounting)
- Secret: [Sua Chave Secreta Compartilhada Purple]
Captive Portal Strength: Selecione Block all access until sign-on is complete [1]. Isso exige estritamente que os clientes não consigam acessar a internet sem passar pela splash page.

Passo 2: Configurar a URL Personalizada da Splash Page

Navegue até Wireless > Configure > Splash page [1]. Selecione o seu SSID de convidados e configure:

Custom Splash URL: Selecione Or point to a custom URL e insira a URL de redirecionamento da Purple:
- https://login.venuewifi.com/ip/v2/meraki
Splash Page Redirect: Defina como The URL they were trying to fetch ou redirecione-os para uma página de destino específica (por exemplo, a página inicial do seu estabelecimento) [3].

Passo 3: Configurar as Exceções de Nome de Domínio do Walled Garden

Para garantir que os dispositivos dos convidados possam carregar o Captive Portal, baixar recursos de Redes de Distribuição de Conteúdo (CDNs) e concluir a autenticação social (por exemplo, OAuth do Google ou Facebook), você deve ativar e configurar o Walled Garden [3].

Navegue de volta para Wireless > Configure > Access control e localize a seção Walled Garden [1].

Defina Walled Garden como Walled garden is enabled [1].
No campo Walled garden ranges, insira os FQDNs e domínios curinga necessários [1].

Como a Meraki Lida com Curingas e Tráfego de CDN

Os pontos de acesso Cisco Meraki MR oferecem suporte a domínios curinga no walled garden usando o prefixo de asterisco (por exemplo, *.purple.ai) [1]. No entanto, é vital entender o funcionamento subjacente:

Lista de Permissões Baseada em DNS: O AP Meraki intercepta as solicitações de DNS do cliente. Quando o cliente solicita um domínio que corresponde a uma entrada no walled garden, o AP resolve o domínio para o seu endereço IP atual e permite temporariamente que o cliente se comunique com esse IP [3].
IPs de CDN Dinâmicos: CDNs como Amazon CloudFront (*.cloudfront.net) e Akamai (*.akamaihd.net) resolvem para endereços IP altamente dinâmicos e geograficamente distribuídos que mudam frequentemente. A lista de permissões baseada em DNS da Meraki lida com isso perfeitamente, resolvendo os domínios em tempo real. Nunca use endereços IP estáticos para recursos de CDN em seu walled garden, pois isso causará falhas intermitentes de carregamento dos ativos do portal.

Melhores Práticas

Para garantir alta disponibilidade, segurança e uma experiência de usuário ideal, siga estas melhores práticas de implantação padrão do setor:

1. Segmentação de Rede e Isolamento de VLAN

Nunca faça a ponte do tráfego de convidados diretamente para a sua LAN corporativa. Configure seus APs Meraki MR para marcar o tráfego de convidados com uma VLAN de Convidados dedicada (ex: VLAN 30) [4]. Certifique-se de que essa VLAN termine em uma DMZ ou em uma instância separada de roteamento e encaminhamento virtual (VRF) no seu firewall upstream. Isso mitiga os riscos de movimentação lateral e garante a conformidade com padrões de segurança como PCI DSS e GDPR [2] [4].

2. Configurar Failover e Resiliência de Sessão

Os links de rede podem falhar. Para evitar que os convidados fiquem bloqueados sem acesso à internet durante uma interrupção no servidor de autenticação, configure a Política de Failover do RADIUS no Meraki Dashboard:

Política de Failover: Defina como Negar acesso para segurança máxima, ou Permitir acesso se a manutenção da conectividade dos convidados for priorizada em relação à captura de dados durante uma interrupção.
Servidores Secundários: Sempre configure servidores RADIUS primários e secundários para distribuir a carga e fornecer failover automático [1].

3. Implementar Limites de Tempo de Sessão e Inatividade

Gerencie seu espectro sem fio e as concessões do pool DHCP configurando parâmetros de limite de tempo apropriados [1]:

Limite de Tempo da Sessão: Defina para 1440 minutos (24 horas) para ambientes de hotelaria, permitindo que os convidados permaneçam conectados durante toda a estadia sem a necessidade de reautenticação constante [1]. Para varejo ou transporte público, reduza para 120 minutos (2 horas) para incentivar um novo engajamento e liberar concessões de DHCP.
Limite de Tempo de Inatividade: Defina para 15 minutos. Se um dispositivo cliente entrar em modo de repouso ou sair do local, o AP encerra a sessão, recuperando os recursos de rede [1].

Resolução de Problemas e Mitigação de Riscos

Ao implantar Captive Portals externos no Cisco Meraki, os engenheiros geralmente encontram três modos de falha principais. Use esta matriz de diagnóstico para isolar e resolver problemas rapidamente:

Sintoma	Causa Raiz	Etapa de Diagnóstico	Solução
A página de splash não carrega; o navegador exibe 'Tempo limite de conexão esgotado'.	O firewall upstream está bloqueando o tráfego DNS ou HTTP/HTTPS de saída para a CDN da Purple [1].	Tente resolver `login.venuewifi.com` a partir de um dispositivo com conexão cabeada na mesma VLAN.	Certifique-se de que a VLAN de convidados tenha acesso de saída para DNS público (UDP 53) e HTTP/HTTPS (TCP 80/443).
O login social (ex: Google OAuth) falha com um erro de redirecionamento.	Ausência dos domínios auxiliares OAuth necessários no Meraki Walled Garden [1].	Verifique o console do navegador no dispositivo cliente para identificar carregamentos de recursos bloqueados.	Adicione os domínios OAuth obrigatórios (ex: `.googleapis.com`, `.gstatic.com`) à lista do Walled Garden [1].

ROI e Impacto nos Negócios

A integração do Cisco Meraki com a Purple transforma o WiFi de visitantes de um centro de custo em um ativo de negócios estratégico. Ao aproveitar hardware de classe empresarial junto com análises avançadas, as organizações alcançam retornos mensuráveis em múltiplas dimensões:

Monetização de Dados e Alcance de Marketing: Ao capturar endereços de e-mail verificados e perfis sociais, os estabelecimentos constroem um banco de dados limpo e em conformidade com a GDPR de dados primários (first-party) dos clientes [2]. Isso alimenta diretamente os sistemas de gestão de relacionamento com o cliente (CRM) e automação de marketing, permitindo campanhas de marketing altamente direcionadas e hiperlocais.
Eficiência Operacional: O onboarding automatizado via Purple reduz a carga sobre a equipe de recepção e suporte de TI. Em ambientes de hospitalidade, isso se traduz em menos reclamações de hóspedes sobre conectividade WiFi e menor custo operacional.
Análise Avançada de Fluxo de Pessoas: Ao combinar as APIs de localização da Meraki com o mecanismo de análise da Purple, os operadores de estabelecimentos obtêm insights profundos sobre o comportamento dos visitantes, incluindo fluxo de pessoas, tempo de permanência, taxas de retorno e horários de pico [2]. Esses dados orientam decisões informadas sobre dimensionamento de equipe, layout de lojas e avaliação imobiliária.

Referências

Definições principais

Captive Portal

Uma página web exibida para usuários recém-conectados a uma rede Wi-Fi antes que lhes seja concedido acesso mais amplo aos recursos da rede.

Usado por estabelecimentos para aplicar termos de serviço, coletar dados de usuários e autenticar visitantes via RADIUS antes de liberar o acesso à internet.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e utilizam um serviço de rede.

Os APs Meraki consultam os servidores Cloud RADIUS da Purple para verificar as credenciais dos visitantes e autorizar o acesso à rede.

Walled Garden

Um conjunto restrito de endereços IP ou nomes de domínio que os clientes visitantes não autenticados têm permissão para acessar antes de concluir o processo de login no Captive Portal.

Crucial para permitir que os clientes acessem a splash page hospedada, baixem recursos CSS/JS de CDNs e se comuniquem com endpoints OAuth de login social.

Session-Timeout

Um atributo RADIUS RFC 2865 que especifica o número máximo de segundos que uma sessão de usuário pode permanecer ativa antes de exigir uma nova autenticação.

Retornado pelo Purple RADIUS no pacote Access-Accept para controlar por quanto tempo um visitante permanece conectado (ex: 24 horas para hóspedes de hotel).

Idle-Timeout

Um atributo RADIUS que define o período máximo de inatividade (sem transferência de dados) permitido antes que a sessão do usuário seja encerrada.

Usado para desconectar dispositivos inativos e recuperar endereços IP em ambientes de alta densidade, como estádios ou lojas de varejo.

PAP (Password Authentication Protocol)

Um protocolo de autenticação simples e não criptografado usado pelo RADIUS para validar as credenciais do usuário.

Exigido pela Cisco Meraki para autenticação RADIUS em splash pages externas. A segurança é mantida criptografando o trânsito do cliente para o portal via HTTPS e criptografando o campo de senha do pacote RADIUS usando o segredo compartilhado.

Passpoint (Hotspot 2.0)

Um padrão da indústria desenvolvido pela Wi-Fi Alliance que permite roaming automático semelhante ao celular e conexão segura a redes Wi-Fi.

Suportado pelos pontos de acesso Meraki MR e pela Purple para permitir a integração contínua de visitantes baseada em certificados, sem a necessidade de Captive Portals.

CMX (Cisco Meraki Location APIs)

Um framework de API que permite aos pontos de acesso Meraki exportar dados de localização e presença em tempo real (probe requests) para plataformas de análise de terceiros.

Integrado com a Purple para fornecer análises detalhadas de fluxo de pessoas, tempo de permanência e taxa de retorno para estabelecimentos físicos.

Exemplos práticos

Um hotel de luxo com 350 quartos que utiliza access points Cisco Meraki MR46 precisa implantar uma rede WiFi de visitantes segura. Eles desejam capturar os e-mails dos hóspedes, limitar a largura de banda a 5 Mbps por visitante e garantir que os hóspedes precisem fazer login apenas uma vez a cada 7 dias. Como o arquiteto de rede deve configurar o Meraki Dashboard e as configurações de RADIUS?

Configuração do SSID: Configure um SSID aberto chamado 'Hotel_Guest' com a splash page definida como 'Sign-on with' e 'my RADIUS server'.\n2. Configuração do RADIUS: Insira os IPs RADIUS primário (116.203.120.121) e secundário (195.201.123.149) da Purple. Defina a porta de autenticação como 1812 e a porta de accounting como 1813. Configure o shared secret.\n3. Parâmetros de Timeout: No perfil do servidor RADIUS ou no painel da Purple, defina o atributo Session-Timeout para 604800 segundos (7 dias) e o Idle-Timeout para 1800 segundos (30 minutos) para liberar concessões DHCP inativas.\n4. Modelagem de Tráfego (Traffic Shaping): No Meraki Dashboard em Wireless > Configure > Firewall & traffic shaping, selecione o SSID, ative a modelagem de tráfego e defina um limite por cliente de 5 Mbps para download e 2 Mbps para upload.\n5. Walled Garden: Ative o walled garden e adicione *.purple.ai, *.venuewifi.com e os curingas de CDN necessários, como *.cloudfront.net, para permitir a renderização da splash page antes da autenticação.

Comentário do examinador: Esta solução equilibra com sucesso a experiência do usuário com o desempenho da rede. O uso de um Session-Timeout de 7 dias evita a fadiga de login para hóspedes de longa permanência, enquanto o Idle-Timeout de 30 minutos evita o esgotamento de endereços IP no pool DHCP. Configurar a modelagem de tráfego diretamente nos APs Meraki, em vez de depender de atributos RADIUS (como Maximum-Data-Rate-Downstream), é preferível, pois reduz a sobrecarga de processamento nos APs e fornece um mecanismo de aplicação mais consistente.

Uma rede de varejo nacional com 45 lojas deseja implantar WiFi de visitantes em todas as localidades usando APs Meraki MR33. Eles precisam garantir uma configuração consistente, bloquear o acesso à rede corporativa e coletar análises de fluxo de visitantes. Como isso deve ser implementado em escala?

Modelos de Configuração: Crie um único Network Configuration Template no Meraki Dashboard. Configure o SSID de visitantes com as configurações de RADIUS da Purple, domínios de walled garden e a URL de splash personalizada: https://login.venuewifi.com/ip/v2/meraki. Vincule todas as 45 redes de lojas a este modelo.\n2. Segmentação de VLAN: No switch local e firewall de cada loja, configure uma VLAN de Visitantes dedicada (ex: VLAN 50). Nas configurações de SSID do Meraki, defina Client IP Assignment como 'External DHCP server' e especifique a VLAN 50. Certifique-se de que o firewall bloqueie todo o roteamento da VLAN 50 para as sub-redes corporativas.\n3. Análise de Localização: Ative a Meraki Scanning API (CMX) no Meraki Dashboard em Network-wide > Configure > General. Insira a URL de Post da Purple e o validador secreto. Isso permite que os APs Meraki enviem dados de probe request em tempo real para o mecanismo de análise da Purple para relatórios de fluxo e tempo de permanência.

Comentário do examinador: A implantação em escala exige automação e gerenciamento baseado em modelos. Ao vincular todas as redes a um único modelo, qualquer atualização futura do walled garden (como a adição de um novo provedor de login social) pode ser enviada para todas as 45 lojas instantaneamente, eliminando erros de configuração manual. A ativação da Meraki Scanning API junto com o accounting RADIUS garante que o varejista capture tanto as análises de sessão de visitantes ativos quanto as métricas de fluxo de visitantes passivos, maximizando o valor comercial da implantação.

Questões práticas

Q1. Um engenheiro de rede implanta um novo SSID de convidados Meraki com um Captive Portal da Purple. Os clientes não autenticados são redirecionados com sucesso para a página de login, mas quando tentam usar o 'Fazer login com o Google', a página fica carregando e eventualmente falha com um erro de DNS ou timeout. Outros métodos de login (como formulário de e-mail) funcionam perfeitamente. Qual é a causa mais provável desse problema e como ele deve ser resolvido?

Dica: Considere quais domínios externos o navegador do cliente deve acessar para concluir o handshake do Google OAuth antes que a autenticação RADIUS seja concluída.

Ver resposta modelo

A causa mais provável é que os domínios auxiliares do Google OAuth estão ausentes na configuração de Walled Garden do SSID da Meraki. Embora os domínios principais da Purple e os domínios de CDN estejam permitidos (razão pela qual a splash page carrega), os servidores de autenticação do Google estão sendo bloqueados pelas regras de firewall de pré-autenticação do AP. Para resolver isso, navegue até Wireless > Configure > Access control, selecione o SSID de convidados e adicione os seguintes domínios do Google OAuth à lista de Walled Garden: accounts.google.com, *.googleapis.com, *.gstatic.com e *.googleusercontent.com. Uma vez salvo, o AP permitirá que o cliente conclua o handshake de autenticação do Google e redirecione de volta para a Purple para concluir o login RADIUS.

Q2. Durante uma auditoria pós-implantação de uma rede WiFi de alta densidade em um estádio, a equipe de TI percebe que o pool de DHCP para a VLAN de convidados (uma sub-rede /21 com 2048 IPs) fica completamente esgotado nas primeiras 2 horas de um evento, mesmo que as conexões simultâneas ativas nunca passem de 800. O monitoramento RADIUS (accounting) está ativado. Como o arquiteto de rede pode ajustar as configurações da Meraki e do RADIUS para mitigar esse problema?

Dica: Analise a relação entre os tempos limite de sessão do cliente (session timeout), tempos limite de inatividade (idle timeout) e tempos de concessão DHCP (lease times) em ambientes transitórios de alta densidade.

Ver resposta modelo

O esgotamento do pool de DHCP é causado por clientes transitórios (usuários passando a pé ou entrando brevemente no estádio) que se conectam, obtêm um endereço IP e depois deixam o local. Como o Session-Timeout padrão da Meraki ou o tempo de concessão do DHCP é muito longo, esses endereços IP permanecem reservados mesmo que os dispositivos físicos não estejam mais presentes. Para resolver isso, o arquiteto deve implementar três mudanças coordenadas: 1) Reduzir o DHCP Lease Time: No servidor DHCP (ou no security appliance Meraki que gerencia o DHCP), reduza o tempo de concessão para 10 ou 15 minutos. 2) Configurar o Idle Timeout: Garanta que o RADIUS accounting esteja ativado na porta 1813 e configure um Idle-Timeout de 10 minutos (600 segundos) no perfil Access-Accept do RADIUS. Isso instrui o AP Meraki a encerrar a sessão de qualquer cliente inativo por 10 minutos. 3) Encurtar o Session Timeout: Reduza o Session-Timeout global do perfil do estádio para 120 minutos (7200 segundos) para forçar a reavaliação periódica dos dispositivos ativos.

Q3. Um MSP está configurando um SSID de convidados Meraki com um Captive Portal da Purple. Eles inseriram os IPs e portas corretos do servidor RADIUS da Purple (1812/1813) no Meraki Dashboard, mas ao testar com a ferramenta de 'Teste' de RADIUS integrada, todos os pontos de acesso falham ao alcançar o servidor. O MSP verifica que o segredo compartilhado do RADIUS está correto e que a nuvem da Purple está online. Qual configuração de roteamento ou firewall o MSP provavelmente esqueceu?

Dica: Lembre-se de onde as solicitações de autenticação RADIUS são originadas em uma arquitetura gerenciada em nuvem da Cisco Meraki.

Ver resposta modelo

O MSP provavelmente configurou seus firewalls de rede local para permitir o tráfego RADIUS de saída das sub-redes locais dos APs, mas esqueceu que, em uma implantação de splash page da Meraki, os Access-Requests do RADIUS são originados diretamente da Cisco Meraki Dashboard Cloud Infrastructure, e não dos APs locais. Para resolver isso, o MSP deve obter os intervalos de IP de saída do Meraki Dashboard (encontrados no Meraki Dashboard em Help > Firewall info) e configurar seu firewall corporativo upstream para permitir o tráfego UDP de entrada e saída nas portas 1812 (Autenticação) e 1813 (Accounting) entre esses intervalos de IP do Meraki Dashboard e os servidores Cloud RADIUS da Purple. Além disso, eles devem garantir que os IPs do Meraki Dashboard sejam adicionados como clientes RADIUS válidos na configuração do portal da Purple.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.