Ver transcrição do podcast
Bem-vindo à Série de Briefings Técnicos da Purple. Eu sou o seu anfitrião e hoje vamos abordar algo que surge em quase todas as implantações de WiFi corporativo que vemos - a configuração de um Captive Portal nos controladores Ruckus SmartZone e Ruckus Unleashed. Seja você um MSP implantando WiFi para convidados em uma rede de hotéis, um líder de TI do setor de hospitalidade lançando uma nova propriedade ou um engenheiro de redes sem fio integrando a plataforma da Purple com uma infraestrutura Ruckus, este episódio é para você. Vamos começar.
---
Primeiro - por que a integração do Captive Portal da Ruckus é importante? A Ruckus, agora sob o selo CommScope, é uma das plataformas de WiFi corporativo mais dominantes do mundo. O SmartZone, em particular, é o controlador preferido para ambientes de alta densidade - estádios, centros de convenções, grandes hotéis e redes de varejo. Quando você está implantando WiFi para convidados nessa escala, você precisa de mais do que apenas um SSID aberto. Você precisa de um fluxo de autenticação estruturado, captura de dados em conformidade com a GDPR e a capacidade de enviar esses dados de convidados para o seu ecossistema de marketing. É exatamente aí que entra uma plataforma externa de Captive Portal como a Purple.
A arquitetura aqui é baseada no fluxo de hotspot WISPr. WISPr significa Wireless Internet Service Provider roaming - é um padrão da indústria que define como um controlador sem fio intercepta o tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado se conecta ao seu SSID, o dispositivo dele envia uma requisição HTTP, o controlador SmartZone a intercepta e emite um redirecionamento HTTP 302 para a URL do seu portal externo. O convidado se autentica - seja por login social, e-mail, SMS ou um formulário personalizado - e, em seguida, o portal se comunica de volta com o controlador por meio da Interface Northbound, ou NBI, para liberar o acesso. Um fluxo limpo, baseado em padrões e altamente confiável quando configurado corretamente.
---
Agora vamos para a configuração técnica. Vou passar primeiro pelo SmartZone e, depois, abordar as diferenças para o Unleashed.
No SmartZone - e isso se aplica tanto a implantações físicas de SZ300 quanto virtuais de vSZ - a configuração possui quatro componentes principais: o perfil do servidor de autenticação RADIUS, o perfil do servidor de tarifação RADIUS, o perfil de portal Hotspot WISPr e a própria WLAN.
Comece pelos seus servidores RADIUS. Vá em Serviços e Perfis, depois em Autenticação. Crie um novo perfil de servidor AAA. Defina o Protocolo de Serviço como RADIUS. O IP do servidor primário e o segredo compartilhado serão fornecidos pelo seu provedor de portal - no caso da Purple, eles estão documentados no console de administração do portal Purple. Porta 1812 para autenticação. Sempre configure um servidor RADIUS de backup para resiliência - porta 1812 no secundário também. Depois, faça o mesmo para a tarifação em Serviços e Perfis, Tarifação - porta 1813, mesmo segredo compartilhado.
Em seguida, o perfil Hotspot WISPr. Vá em Services and Profiles, Hotspots and Portals, e selecione a aba Hotspot WISPr. Crie um novo perfil. Defina a Login URL como External, e insira a URL de redirecionamento do seu portal - esta é a URL para a qual seus convidados serão enviados antes de se autenticarem. Defina a Start Page para redirecionar para uma URL pós-autenticação, normalmente uma página de sucesso ou a página inicial do seu estabelecimento.
Agora, o Walled Garden. É aqui que muitos engenheiros se confundem. O Walled Garden define quais domínios e endereços IP um convidado pode acessar antes de ser autenticado. Você precisa incluir o domínio do seu portal, quaisquer domínios de CDN ou ativos dos quais seu portal carrega dados, e os endpoints padrão de detecção de Captive Portal do sistema operacional. No SmartZone, os caracteres curinga são suportados usando o formato asterisco-ponto - por exemplo, star-dot-purple-dot-ai. Essa única entrada cobre todos os subdomínios. Você também precisa incluir os domínios de detecção de Captive Portal da Apple - captive.apple.com - e os endpoints de verificação de conectividade do Google para evitar que o mini-navegador CNA se comporte mal em dispositivos iOS e Android.
Um passo crítico que é fácil de esquecer: por padrão, o SmartZone criptografa o endereço MAC e o endereço IP que ele passa para o portal externo na URL de redirecionamento. O fornecedor do seu portal precisa ver o endereço MAC real do cliente para realizar o gerenciamento de sessão baseado em MAC. Você deve desativar isso via CLI. Acesse seu SmartZone via SSH, entre no modo de configuração e execute: no encrypt-mac-ip. É só isso - um comando, mas que impede o funcionamento se você ignorá-lo.
A Northbound Interface é a outra parte. Esta é a API que permite ao seu portal se comunicar de volta com o SmartZone para conceder ou negar acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um nome de usuário e senha, e forneça essas credenciais ao seu fornecedor de portal. A NBI roda na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que seu firewall permite conexões de entrada da faixa de IP da plataforma do seu portal para essas portas.
Por fim, crie sua WLAN. Defina o Authentication Type como Hotspot WISPr, selecione seu perfil de portal e atribua seus serviços de autenticação e tarifação RADIUS. Defina o NAS ID como User-defined se o fornecedor do seu portal exigir um valor específico, defina Called Station ID como AP MAC, e ative Single Session ID. Essa última configuração garante que a sessão de um convidado seja vinculada a um único registro de sessão do controlador, o que é importante para uma tarifação precisa.
---
Agora para o Unleashed. A arquitetura é fundamentalmente diferente - o Unleashed é um modelo distribuído e sem controlador, onde um AP atua como o mestre. A configuração fica em Admin and Services, Services, Hotspot Services. Os passos são bastante semelhantes - crie um serviço de Hotspot, configure a URL do seu portal externo, configure seu servidor de autenticação AAA, adicione suas entradas de Walled Garden - mas existem diferenças importantes.
Primeiro, não há requisito de Interface Northbound no Unleashed. O modelo de comunicação do portal é mais simples. Segundo, a criptografia de endereço MAC não é aplicada por padrão no Unleashed, então você não precisa do comando CLI. Terceiro, o jardim murado do Unleashed aceita entradas no nível de domínio em vez da sintaxe curinga completa - então você digitaria purple.ai em vez de asterisco-ponto-purple.ai. Verifique a documentação do seu fornecedor para o formato exato que eles exigem.
O Unleashed escala para cerca de 50 pontos de acesso, tornando-o adequado para hotéis de médio porte, filiais de varejo e implantações de PMEs. Para qualquer coisa maior - grupos de hotéis com várias propriedades, estádios, grandes propriedades de varejo - o SmartZone é a plataforma certa.
---
Deixe-me cobrir os dois modos de falha mais comuns que vejo em campo.
O primeiro é a configuração incorreta do jardim murado. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios que a página do seu portal referencia estão no jardim murado. As páginas de portal modernas carregam recursos de vários domínios de CDN, scripts de análise, SDKs de login social. Se algum desses for bloqueado antes da autenticação, a página falhará ao carregar ou carregará quebrada. Use as ferramentas de desenvolvedor do seu navegador em um dispositivo de teste conectado ao SSID de convidado para identificar quais solicitações estão sendo bloqueadas.
O segundo é o problema de conectividade NBI. Se os convidados conseguem ver o portal e se autenticar, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o callback NBI da sua plataforma de portal. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gerenciamento do SmartZone a partir da faixa de IP do fornecedor do seu portal. Verifique também se as credenciais NBI que você configurou correspondem ao que o fornecedor do seu portal tem registrado.
Um terceiro que vale a pena mencionar - o Apple CNA, o Captive Network Assistant. No iOS, quando um dispositivo se conecta a uma rede, ele dispara um teste para captive.apple.com. Se esse teste receber uma resposta diferente de 200, o iOS abre o mini-navegador. Se o captive.apple.com estiver no seu jardim murado, o teste é bem-sucedido, o iOS pensa que há internet e o CNA não aparece. Isso parece uma coisa boa, mas significa que seus convidados não verão o portal automaticamente. Você precisa decidir: quer que o CNA apareça ou quer que os convidados abram um navegador manualmente? A maioria das implantações de hotelaria mantém o captive.apple.com fora do jardim murado para acionar o CNA.
---
Perguntas rápidas. Três perguntas que me fazem constantemente.
Preciso de uma VLAN para minha WLAN de convidados? Sim. Sempre isole o tráfego de convidados em uma VLAN dedicada. Isso é tanto um requisito de segurança quanto uma consideração de conformidade PCI-DSS se o seu local processa pagamentos com cartão na mesma rede.
Posso usar o Purple com o Ruckus Cloud em vez do SmartZone? Sim, mas o caminho de configuração é diferente - fica em Redes WiFi, configurações de Acesso de Convidado. Os princípios de configuração de jardim murado e RADIUS são os mesmos.
O Purple suporta implantações multi-zona do SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zona, e você pode definir o escopo das configurações do portal para zonas individuais para diferentes locais ou andares.
---
Para resumir. A integração de Captive Portal do Ruckus SmartZone com o Purple é um padrão de implantação maduro e bem documentado que oferece autenticação de convidados confiável em escala. Os principais pontos de configuração são: RADIUS nas portas 1812 and 1813 com um servidor de backup, o perfil Hotspot WISPr com uma URL de login externa, um walled garden configurado corretamente usando entradas wildcard, o comando CLI no encrypt-mac-ip e a Northbound Interface habilitada com as credenciais corretas. Acerte esses cinco pontos e você terá uma base sólida.
Para implantações Unleashed, os mesmos princípios se aplicam com um modelo de configuração mais simples e sem a necessidade de NBI.
Se você estiver implantando o Purple no Ruckus e quiser validar sua configuração antes do lançamento, a equipe de onboarding técnico do Purple pode orientá-lo em uma lista de verificação pré-lançamento. A plataforma Purple também fornece análises em tempo real sobre tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - oferecendo a visibilidade necessária para detectar problemas antes que seus convidados os encontrem.
Obrigado por nos acompanhar. No próximo episódio, cobriremos a autenticação 802.1X com Cloud RADIUS - outra integração que combina perfeitamente com o Ruckus SmartZone para acesso de convidados corporativos. Até lá.
