Pular para o conteúdo principal
Português (Brasil)

Captive Portal for Ruckus

Este guia de referência técnica fornece um manual de integração definitivo para implantar portais cativos externos em arquiteturas CommScope Ruckus SmartZone e Unleashed. Ele orienta engenheiros de rede através de configurações passo a passo para WLANs de convidados, redirecionamento WISPr, configurações de servidor RADIUS AAA e exceções de Walled Garden para fornecer uma solução de WiFi para convidados segura e de alta densidade.

📖 14 min de leitura📝 3,327 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à Série de Briefing Técnico da Purple. Eu sou o seu anfitrião e hoje vamos abordar algo que surge em quase todas as implantações de WiFi corporativo que vemos — a configuração de um Captive Portal nos controladores Ruckus SmartZone e Ruckus Unleashed. Se você é um MSP implantando WiFi para convidados em uma rede de hotéis, um líder de TI de hospitalidade lançando uma nova propriedade ou um engenheiro de redes sem fio integrando a plataforma da Purple com uma infraestrutura Ruckus, este episódio é para você. Vamos começar. --- Então, primeiro — por que a integração do Captive Portal da Ruckus é importante? A Ruckus, agora sob a CommScope, é uma das plataformas de WiFi corporativo dominantes globalmente. O SmartZone, em particular, é o controlador de escolha para ambientes de alta densidade — estádios, centros de convenções, grandes hotéis e redes de varejo. Quando você está implantando WiFi para convidados nessa escala, precisa de mais do que apenas um SSID aberto. Você precisa de um fluxo de autenticação estruturado, captura de dados em conformidade com a GDPR e a capacidade de enviar esses dados de convidados para o seu ecossistema de marketing. É exatamente aí que entra uma plataforma externa de Captive Portal como a Purple. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. WISPr significa Wireless Internet Service Provider roaming — é um padrão da indústria que define como um controlador sem fio intercepta o tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado se conecta ao seu SSID, o dispositivo dele envia uma solicitação HTTP, o controlador SmartZone a intercepta e emite um redirecionamento HTTP 302 para a URL do seu portal externo. O convidado se autentica — seja por meio de login social, e-mail, SMS ou um formulário personalizado — e, em seguida, o portal se comunica de volta com o controlador por meio da Northbound Interface, ou NBI, para conceder o acesso. Limpo, baseado em padrões e altamente confiável quando configurado corretamente. --- Agora vamos para a configuração técnica. Vou detalhar o SmartZone primeiro e depois cobrir as diferenças para o Unleashed. No SmartZone — e isso se aplica tanto a implantações físicas do SZ300 quanto virtuais do vSZ —, a configuração possui quatro componentes principais: o perfil do servidor de autenticação RADIUS, o perfil do servidor de tarifação (accounting) RADIUS, o perfil do portal Hotspot WISPr e a própria WLAN. Comece com seus servidores RADIUS. Navegue até Services and Profiles e depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol como RADIUS. O IP do seu servidor primário e o segredo compartilhado (shared secret) serão fornecidos pelo seu provedor de portal — no caso da Purple, estes estão documentados no console de administração do portal Purple. Porta 1812 para autenticação. Sempre configure um servidor RADIUS de backup para resiliência — porta 1812 no secundário também. Em seguida, faça o mesmo para a tarifação em Services and Profiles, Accounting — porta 1813, mesmo segredo compartilhado.Em seguida, o perfil Hotspot WISPr. Vá em Services and Profiles, Hotspots and Portals, e selecione a aba Hotspot WISPr. Crie um novo perfil. Defina a Login URL como External e insira a URL de redirecionamento do seu portal — esta é a URL para a qual seus convidados serão enviados antes de se autenticarem. Defina a Start Page para redirecionar para uma URL pós-autenticação, normalmente uma página de sucesso ou a página inicial do seu estabelecimento. Agora, o Walled Garden. É aqui que muitos engenheiros se confundem. O Walled Garden define quais domínios e endereços IP um convidado pode acessar antes de ser autenticado. Você precisa incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos que seu portal carregue e os endpoints padrão de detecção de Captive Portal do sistema operacional. No SmartZone, caracteres curinga são suportados usando o formato asterisco-ponto — por exemplo, star-dot-purple-dot-ai. Essa única entrada cobre todos os subdomínios. Você também precisa incluir os domínios de detecção de Captive Portal da Apple — captive.apple.com — e os endpoints de verificação de conectividade do Google para evitar que o mini-navegador CNA se comporte de maneira incorreta em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer: por padrão, o SmartZone criptografa o endereço MAC e o endereço IP que ele passa para o portal externo na URL de redirecionamento. O fornecedor do seu portal precisa ver o endereço MAC real do cliente para realizar o gerenciamento de sessão baseado em MAC. Você deve desativar isso via CLI. Acesse seu SmartZone via SSH, entre no modo de configuração e execute: no encrypt-mac-ip. É isso — um único comando, mas é um bloqueador se você ignorá-lo. A Northbound Interface é a outra parte. Esta é a API que permite que a plataforma do seu portal se comunique de volta com o SmartZone para conceder ou negar acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um nome de usuário e senha e forneça essas credenciais ao fornecedor do seu portal. A NBI roda na porta TCP 9080 para HTTP e 9443 para HTTPS — certifique-se de que seu firewall permita conexões de entrada do intervalo de IP da plataforma do seu portal para essas portas. Finalmente, crie sua WLAN. Defina o Authentication Type como Hotspot WISPr, selecione o perfil do seu portal e atribua seus serviços de autenticação e tarifação RADIUS. Defina o NAS ID como User-defined se o fornecedor do seu portal exigir um valor específico, defina Called Station ID como AP MAC e ative o Single Session ID. Essa última configuração garante que a sessão de um convidado seja vinculada a um único registro de sessão do controlador, o que é importante para uma tarifação precisa. --- Agora para o Unleashed. A arquitetura é fundamentalmente diferente — o Unleashed é um modelo distribuído e sem controlador, onde um AP atua como mestre. A configuração fica em Admin and Services, Services, Hotspot Services. Os passos são amplamente semelhantes — crie um serviço de Hotspot, configure a URL do seu portal externo, configure seu servidor de autenticação AAA, adicione suas entradas de Walled Garden — mas existem diferenças importantes. Primeiro, não há requisito de Interface Northbound no Unleashed. O modelo de comunicação do portal é mais simples. Segundo, a criptografia de endereço MAC não é aplicada por padrão no Unleashed, então você não precisa do comando CLI. Terceiro, o walled garden do Unleashed aceita entradas em nível de domínio em vez da sintaxe completa de curinga — portanto, você inseriria purple.ai em vez de star-dot-purple.ai. Verifique a documentação do seu fornecedor para obter o formato exato exigido. O Unleashed escala para cerca de 50 pontos de acesso, tornando-o adequado para hotéis de médio porte, filiais de varejo e implantações em PMEs. Para qualquer cenário maior — grupos hoteleiros com várias propriedades, estádios, grandes redes de varejo — o SmartZone é a plataforma ideal. --- Deixe-me abordar os dois modos de falha mais comuns que vejo em campo. O primeiro é a configuração incorreta do walled garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios que a página do seu portal referencia estão no walled garden. As páginas de portais modernos carregam recursos de múltiplos domínios de CDN, scripts de análise e SDKs de login social. Se algum deles for bloqueado antes da autenticação, a página não carregará ou carregará com erros. Use as ferramentas de desenvolvedor do seu navegador em um dispositivo de teste conectado ao SSID de convidados para identificar quais solicitações estão sendo bloqueadas. O segundo é o problema de conectividade NBI. Se os convidados conseguem ver o portal e se autenticar, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o retorno de chamada NBI da sua plataforma de portal. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gerenciamento do SmartZone a partir da faixa de IP do seu fornecedor de portal. Verifique também se as credenciais NBI que você configurou correspondem às que o seu fornecedor de portal possui registradas. Um terceiro ponto que vale a pena mencionar — o Apple CNA, o Captive Network Assistant. No iOS, quando um dispositivo se conecta a uma rede, ele envia uma verificação para captive.apple.com. Se essa verificação receber uma resposta diferente de 200, o iOS abre o mini-navegador. Se o captive.apple.com estiver no seu walled garden, a verificação é bem-sucedida, o iOS pensa que há internet e o CNA não aparece. Isso parece bom, mas significa que seus convidados não verão o portal automaticamente. Você precisa decidir: quer que o CNA apareça ou quer que os convidados abram um navegador manualmente? A maioria das implantações de hotelaria mantém o captive.apple.com fora do walled garden para acionar o CNA. --- Perguntas rápidas. Três perguntas que recebo constantemente. Preciso de uma VLAN para a minha WLAN de convidados? Sim. Sempre isole o tráfego de convidados em uma VLAN dedicada. Isso é tanto um requisito de segurança quanto uma consideração de conformidade com o PCI DSS se o seu estabelecimento processar pagamentos com cartão na mesma rede. Posso usar o Purple com o Ruckus Cloud em vez do SmartZone? Sim, mas o caminho de configuração é diferente — fica em Redes WiFi, configurações de Acesso de Convidados. Os princípios de configuração de walled garden e RADIUS são os mesmos. O Purple suporta implantações multi-zone do SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zone, e você pode direcionar as configurações do portal para zonas individuais para diferentes locais ou andares. --- Para resumir. A integração do Captive Portal do Ruckus SmartZone com o Purple é um padrão de implantação maduro e bem documentado que oferece autenticação de visitantes confiável em escala. Os principais pontos de configuração são: RADIUS nas portas 1812 e 1813 com um servidor de backup, o perfil Hotspot WISPr com uma URL de login externa, um walled garden configurado corretamente usando entradas wildcard, o comando CLI no encrypt-mac-ip e a Northbound Interface habilitada com as credenciais corretas. Acerte esses cinco pontos e você terá uma base sólida. Para implantações Unleashed, os mesmos princípios se aplicam com um modelo de configuração mais simples e sem a necessidade de NBI. Se você está implantando o Purple no Ruckus e deseja validar sua configuração antes do lançamento, a equipe de onboarding técnico do Purple pode orientá-lo em um checklist pré-lançamento. A plataforma Purple também fornece análises em tempo real sobre tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão — oferecendo a visibilidade necessária para identificar problemas antes que seus visitantes percebam. Obrigado por nos ouvir. No próximo episódio, abordaremos a autenticação 802.1X com Cloud RADIUS — outra integração que combina muito bem com o Ruckus SmartZone para acesso de visitantes corporativos. Até lá.

📚 Parte da nossa série principal: Multi-Tenant WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

Definições principais

WISPr (Wireless Internet Service Provider roaming)

Um rascunho de protocolo desenvolvido pela Wi-Fi Alliance que permite que clientes inteligentes e navegadores web se autentiquem automaticamente em um hotspot sem fio usando redirecionamento padronizado XML ou HTTP 302.

Usado como o protocolo de redirecionamento principal nos controladores Ruckus para encaminhar dispositivos de visitantes não autenticados para plataformas externas de Captive Portal.

Northbound Interface (NBI)

Uma API exposta pelo controlador Ruckus SmartZone que permite que portais web externos enviem callbacks de autorização, instruindo o controlador a conceder acesso à internet a um endereço MAC de cliente específico.

Deve ser habilitado na porta TCP 9080 (HTTP) ou 9443 (HTTPS) para permitir que a Purple autorize sessões de visitantes após o login bem-sucedido.

Walled Garden

Uma lista de endereços IP, subnets ou nomes de domínio que os clientes visitantes não autenticados têm permissão para acessar antes da autenticação.

Deve ser configurado com o domínio do portal, CDNs e endpoints de detecção de captive portal do sistema operacional para garantir que a splash page carregue corretamente.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que opera nas portas UDP 1812 (Autenticação) e 1813 (Accounting) que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários.

Os controladores Ruckus encaminham os dados de sessão dos clientes para os servidores RADIUS da Purple para validar credenciais e rastrear a duração das sessões.

CNA (Captive Network Assistant)

Um navegador leve e limitado integrado aos sistemas operacionais (como Apple iOS/macOS e Android) que é iniciado automaticamente quando uma rede aberta com um Captive Portal ativo é detectada.

Pode ser ignorado nas configurações de WLAN se os engenheiros quiserem forçar os visitantes a abrir um navegador completo manualmente para concluir a autenticação.

Interim Accounting Update

Uma mensagem RADIUS periódica enviada pelo controlador sem fio para o servidor RADIUS para atualizar o status da sessão ativa, o consumo de largura de banda e o tempo de conexão.

Deve ser definido para 5 minutos na configuração da WLAN Ruckus para garantir que o painel da Purple exiba análises precisas em tempo real.

Client Isolation

Um recurso de segurança configurado no controlador sem fio que impede que clientes sem fio conectados ao mesmo AP ou SSID se comuniquem diretamente entre si.

Essencial para redes WiFi de visitantes para proteger os usuários contra spoofing de ARP local, ataques man-in-the-middle e varredura não autorizada de dispositivos.

WPA3-Transition Mode

Uma configuração de segurança que permite que dispositivos mais antigos compatíveis com WPA2 e dispositivos mais novos compatíveis com WPA3 se conectem ao mesmo SSID simultaneamente.

Pode ser implantado em redes de visitantes com Opportunistic Wireless Encryption (OWE) para fornecer criptografia over-the-air para SSIDs abertos sem a necessidade de uma senha.

Exemplos práticos

Um centro de conferências de alta densidade que implementa o Ruckus SmartZone (vSZ) precisa configurar uma rede WiFi de convidados usando o Captive Portal da Purple. A rede deve suportar até 5.000 sessões simultâneas, isolar o tráfego de convidados das sub-redes corporativas e oferecer suporte à autenticação por login social.

  1. Configure uma VLAN 200 dedicada para convidados nos switches principais e mapeie-a para a Ruckus AP Zone. Defina um escopo DHCP com servidores DNS públicos (ex: 1.1.1.1, 8.8.8.8) e um tempo de concessão (lease) curto (2 horas) para acomodar a alta rotatividade.
  2. No SmartZone, navegue até Services & Profiles > Authentication > Proxy (SZ Authenticator) e crie servidores RADIUS primário/secundário apontando para os IPs do Cloud RADIUS da Purple na porta 1812 com o segredo compartilhado fornecido.
  3. Crie servidores RADIUS Accounting apontando para os IPs de Accounting da Purple na porta 1813. Defina o intervalo de atualização provisória (interim update) para 5 minutos para rastrear as sessões ativas com precisão.
  4. Crie um Hotspot WISPr Portal Profile. Defina a URL de login como 'External' com a URL de redirecionamento da Purple. Adicione exceções de wildcard no walled garden para '.purple.ai', '.cloudfront.net' e domínios de redes sociais (ex: '*.facebook.com').
  5. Crie o SSID de convidados. Defina o Tipo de Autenticação como Hotspot (WISPr), selecione o perfil de Hotspot recém-criado e vincule os serviços de autenticação e tarifação (accounting) RADIUS. Defina o Called Station ID como 'AP MAC' e ative o 'Single Session ID'.
  6. Acesse a CLI do SmartZone via SSH e execute 'no encrypt-mac-ip' para passar os endereços MAC originais para o portal. Ative a WISPr Northbound Interface (NBI) na controladora e insira as credenciais no console de administração do portal Purple para habilitar os retornos de chamada (callbacks) de autorização NBI.
Comentário do examinador: Esta arquitetura é altamente resiliente e em conformidade. O uso de uma VLAN 200 dedicada atende aos requisitos de segmentação do PCI DSS. O tempo curto de concessão de DHCP de 2 horas evita o esgotamento de endereços IP em cenários de alta densidade. A ativação do RADIUS accounting com uma atualização provisória de 5 minutos garante que o local tenha rastreamento de sessão em tempo real, permitindo que a Purple monitore com precisão o uso de largura de banda. Desativar a criptografia de endereço MAC via CLI é uma etapa crítica; sem isso, o portal receberia MACs com hash e falharia em correlacionar as sessões. A configuração de callback NBI é a única maneira segura de autorizar clientes no Ruckus SmartZone sem criar loops de autenticação local.

Um hotel boutique de médio porte com 45 quartos deseja implementar WiFi de convidados com uma splash page externa usando Ruckus Unleashed APs. Eles exigem uma configuração leve, sem controladora, que não necessite de gerenciamento por CLI ou de uma porta de API NBI voltada para a internet pública.

  1. Faça login na interface web do AP Unleashed mestre. Vá em Admin & Services > Services > AAA Servers e crie entradas de servidor RADIUS Authentication (Porta 1812) e Accounting (Porta 1813) apontando para a infraestrutura de Cloud RADIUS da Purple.
  2. Navegue até Admin & Services > Services > Hotspot Services e clique em Create New. Nomeie o serviço como 'Purple_Hotel_Hotspot'.
  3. Na guia General, defina a URL de login para a URL de redirecionamento do portal Purple. Defina a Start Page para redirecionar para ' https://login.purple.ai/success.php '.
  4. Na guia Authentication, selecione os servidores RADIUS recém-criados. Defina o intervalo de atualização provisória de accounting para 5 minutos.
  5. Na guia Walled Garden, adicione os domínios necessários como entradas de nível de domínio (ex: 'purple.ai', 'cloudfront.net', 'gstatic.com'). Observe que o Unleashed não exige nem suporta o prefixo wildcard de asterisco (*.dominio.com).
  6. Vá em Wi-Fi Networks, clique em Create e defina o nome do SSID (ex: 'Hotel_Guest_WiFi'). Defina o Usage Type como 'Hotspot Service' e selecione 'Purple_Hotel_Hotspot' na lista suspensa. Salve a configuração para sincronizar automaticamente o SSID em todos os 45 APs Unleashed.
Comentário do examinador: Para implantações em PMEs e no mercado intermediário com menos de 50 APs, o Ruckus Unleashed oferece uma arquitetura distribuída altamente econômica. Como o Unleashed não aplica criptografia de endereço MAC por padrão, a etapa de CLI exigida no SmartZone é ignorada. Além disso, o Unleashed não requer um callback de Northbound Interface (NBI) para autorização; em vez disso, a autorização do cliente é negociada diretamente por meio de transações RADIUS padrão entre o AP mestre e o servidor RADIUS. Isso simplifica a configuração do firewall, pois nenhuma porta de entrada (como 9080/9443) precisa ser aberta para a controladora a partir da internet.

Questões práticas

Q1. Um engenheiro configurou uma integração de Captive Portal do Ruckus SmartZone. Quando os usuários se conectam ao WiFi de convidados, eles são redirecionados para a página de login. No entanto, após inserir suas credenciais e clicar em 'Conectar', eles são imediatamente redirecionados de volta para a página de login em um loop infinito. Qual é a causa mais provável desse problema e como ele deve ser resolvido?

Dica: Concentre-se na comunicação entre a nuvem do portal e o controlador SmartZone após a conclusão da autenticação.

Ver resposta modelo

A causa mais provável é uma falha no callback da Interface WISPr Northbound (NBI) ou uma divergência de autenticação RADIUS. Quando o usuário clica em 'Conectar', o portal autentica o usuário e tenta enviar um callback NBI para o controlador SmartZone na porta TCP 9080 ou 9443 para autorizar o endereço MAC do cliente. Se o firewall de borda bloquear essa porta de entrada, ou se as credenciais NBI inseridas no console do portal não corresponderem às configurações do controlador, o controlador nunca autorizará o cliente. Consequentemente, quando o cliente tenta acessar a internet novamente, o controlador intercepta o tráfego e o redireciona de volta para o portal. Para resolver isso: 1) Verifique se a porta TCP 9443 (ou 9080) está aberta para entrada no firewall de borda, desde a faixa de IP do portal até o IP de gerenciamento do SmartZone. 2) Verifique a configuração de NBI do SmartZone em Administration > WISPr Northbound Interface e confirme se o nome de usuário e a senha correspondem ao que está configurado no console de administração do portal. 3) Teste a conectividade RADIUS no SmartZone em Services & Profiles > Authentication > Test AAA para garantir que o segredo compartilhado está correto.

Q2. Durante a implantação de uma rede WiFi de convidados em um cluster Ruckus Unleashed, vários convidados relatam que a página de splash carrega com imagens e estilos quebrados, e as opções de login social não funcionam. Outros convidados em dispositivos diferentes não conseguem carregar a página de splash de forma alguma. Qual é o erro de configuração mais provável?

Dica: Analise a diferença entre os domínios que carregam com sucesso e aqueles que falham na pré-autenticação.

Ver resposta modelo

A causa mais provável é um Walled Garden mal configurado ou incompleto. Os clientes não autenticados são bloqueados de acessar qualquer destino na internet, exceto aqueles explicitamente definidos no Walled Garden. Se a página de splash carrega com estilo e imagens quebrados, significa que o navegador está bloqueado de baixar esses recursos de CDNs externas. Se as opções de login social falharem, significa que os endpoints de autenticação do provedor social (por exemplo, URLs de OAuth do Facebook ou Google) estão bloqueados. Para resolver isso: 1) Audite as entradas do Walled Garden na configuração do Unleashed Hotspot Service. 2) Certifique-se de que todos os domínios de CDN usados pelo portal (como '.cloudfront.net') e domínios principais do portal (como 'purple.ai') sejam adicionados. 3) Se o login social estiver ativado, adicione os domínios específicos do provedor social (por exemplo, '.facebook.com', '.facebook.net', '.google.com'). 4) Observe que o Unleashed usa correspondência em nível de domínio, portanto, não inclua o prefixo curinga com asterisco (por exemplo, use 'purple.ai' em vez de '*.purple.ai').

Q3. Um engenheiro de redes sem fio está migrando uma rede WiFi de convidados do Ruckus Unleashed para um controlador Virtual SmartZone (vSZ) centralizado. Ele copia a lista do Walled Garden exatamente como estava configurada no Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. No entanto, após a migração, os clientes na rede vSZ não conseguem carregar a página de splash. Qual é a diferença de sintaxe que causou essa falha?

Dica: Revise as regras específicas de formatação de curingas para o Ruckus SmartZone em comparação com o Ruckus Unleashed.

Ver resposta modelo

A falha é causada por uma diferença de sintaxe na forma como as duas plataformas processam as entradas do Walled Garden. O Ruckus Unleashed aplica correspondência automática em nível de domínio, o que significa que inserir 'purple.ai' cobre automaticamente todos os subdomínios (como 'login.purple.ai' ou 'assets.purple.ai'). No entanto, o Ruckus SmartZone não aplica correspondência automática de subdomínios; ele exige a formatação explícita de curingas usando o prefixo de asterisco (por exemplo, '.purple.ai'). Se o engenheiro inseriu 'purple.ai' no SmartZone, o controlador permitiria o tráfego apenas para o domínio raiz, bloqueando o cliente de carregar a página de login real em 'login.purple.ai'. Para resolver isso, o engenheiro deve editar o perfil Hotspot WISPr no SmartZone e atualizar as entradas do Walled Garden para usar o formato correto: '.purple.ai', '.cloudfront.net' e '.apple.com'.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

Ler o guia →

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →