Captive Portal para Ruijie: configure-o com o WiFi de convidados Purple

Fale em inglês britânico com um tom confiante, autoritário e de conversa - como se fosse um consultor de TI sênior instruindo um cliente. Ritmo cadenciado, dicção clara, profissional mas não rígido. Ênfase natural ocasional em termos técnicos importantes: Como configurar um Captive Portal Ruijie para WiFi de convidados. Um boletim técnico da Purple. [pausa média] INTRODUÇÃO E CONTEXTO. [pausa curta] Bem-vindo. Nos próximos dez minutos, cobriremos tudo o que você precisa saber sobre a configuração de um Captive Portal Ruijie para WiFi de convidados - desde as decisões de arquitetura que determinam o sucesso ou o fracasso da sua implantação até as etapas específicas de configuração que a maioria dos guias ignora por completo. Se você é gerente de TI, arquiteto de rede ou diretor de operações em um hotel, rede de varejo, estádio ou centro de convenções, e tem hardware Ruijie no local ou está avaliando o mesmo, este informativo é para você. A Ruijie Networks é uma das fornecedoras de redes sem fio empresariais de crescimento mais rápido do mundo. De acordo com dados da IDC, a Ruijie detém a posição número um no mercado de WLAN empresarial da China com uma fatia de 23.34%, e sua presença está se expandindo rapidamente pela Europa, Oriente Médio e Ásia-Pacífico. Seus controladores sem fio da série RG-WS, gateways da série Reyee EG e pontos de acesso gerenciados em nuvem RG-RAP agora estão implantados em milhares de locais em todo o mundo. Mas aqui está o detalhe. Acertar na implantação do WiFi de convidados no hardware Ruijie - especificamente na parte de Captive Portal - exige entender algumas decisões de arquitetura logo de início. Erre nessas decisões e você acabará com um portal que falha no iOS, convidados que não conseguem se autenticar e uma rede que é ou muito aberta ou muito bloqueada. Vamos corrigir isso. [pausa média] MERGULHO TÉCNICO PROFUNDO. [pausa curta] Primeiro, a arquitetura. A Ruijie oferece três modelos de implantação distintos para Captive Portals de WiFi de convidados, e a escolha do modelo correto depende da sua escala e dos seus requisitos de gerenciamento. O modelo um é o portal gerenciado nativo do Ruijie Cloud ou JaCS. O JaCS é o sistema de gerenciamento focado em hotelaria da Ruijie. Esta é a opção integrada. Você faz login no Ruijie Cloud, navega até Device Config, depois Basic, cria ou edita seu SSID de convidado, ativa a opção Authentication e seleciona Captive Portal como o modo. O JaCS suporta cenários do tipo Hotel e Outros e oferece um construtor de portais de arrastar e soltar com opções de login que incluem acesso com um clique, códigos de voucher e login baseado em conta. Esta é a escolha certa para implantações menores - um único hotel, uma loja de varejo boutique ou um centro de convenções que deseja uma página de captura com a marca de forma rápida e sem dependências externas. O modelo dois é o Captive Portal externo via WISPr e RADIUS. O WISPr - Wireless Internet Service Provider roaming - é o protocolo que lida com o redirecionamento e o handshake de autenticação entre o gateway Ruijie e uma plataforma de portal externa. Esta é a abordagem de nível empresarial. É o que você precisa quando deseja integrar a Ruijie com uma plataforma inteligente de WiFi para visitantes de terceiros. Aqui, você navega até Auth e Account na interface Ruijie, seleciona Captive Portal, define o Policy Mode como External e direciona a URL do Portal Server para a sua plataforma externa. Em seguida, você configura um grupo de servidores RADIUS com as credenciais que sua plataforma fornece. Este modelo se escala por centenas de sites, oferece análises centralizadas e permite executar fluxos de trabalho de captura de dados em conformidade com o GDPR. O modelo três é o modo AP autônomo. Os pontos de acesso Reyee da Ruijie que executam o ReyeeOS versão 1.219 ou posterior podem executar um Captive Portal local sem um gateway, o que é útil para implantações temporárias ou sites pequenos sem um roteador EG. Mas a funcionalidade é limitada em comparação com as implantações baseadas em gateway, portanto, trate isso como uma alternativa de contingência, não como uma arquitetura primária. [medium pause] Agora, a peça crítica que a maioria dos guias ignora completamente: o isolamento de VLAN. Quando você cria um SSID de visitante na Ruijie, você tem duas opções de encaminhamento - modo NAT e modo VLAN. O modo NAT é mais simples. O gateway atribui aos dispositivos dos visitantes endereços de um pool dedicado, normalmente 192.168.23.0 barra 24 por padrão, e todo o tráfego de visitantes passa por NAT para a internet. Isso funciona para uma prova de conceito, mas oferece visibilidade e controle limitados sobre o tráfego de visitantes na Camada 3. O modo VLAN é a escolha certa para qualquer implantação em produção. Você atribui o SSID de visitante a uma VLAN dedicada, por exemplo, VLAN 100, e usa ACLs no gateway para bloquear o tráfego de visitantes de alcançar sua VLAN corporativa. O padrão é: criar uma lista de acesso estendida, negar o tráfego IP da sub-rede de visitantes para a sub-rede corporativa, permitir todo o resto e aplicar essa lista de acesso no sentido de entrada na interface BVI de visitantes. Este é o mesmo princípio que você aplicaria no Cisco Meraki, HPE Aruba ou Ruckus - a Ruijie apenas tem sua própria sintaxe de CLI. Os padrões de segurança são importantes aqui. A Ruijie suporta WPA3-Personal e modo misto WPA2 barra WPA3 em SSIDs de visitantes. Para uma rede de visitantes onde você deseja um acesso sem fricção, normalmente você executa um SSID aberto com autenticação de Captive Portal em vez de uma chave pré-compartilhada. O Captive Portal se torna sua camada de autenticação. Se precisar de uma segurança mais forte - por exemplo, para um ambiente de saúde ou de serviços financeiros - você pode adicionar o IEEE 802.1X como camada adicional, usando EAP-TLS ou PEAP com um servidor RADIUS para autenticação baseada em certificado ou credencial. Os controladores da série RG-WS da Ruijie suportam 802.1X completo com atribuição dinâmica de VLAN, o que significa que você pode direcionar diferentes VLANs para diferentes grupos de usuários com base em atributos RADIUS. [medium pause] O walled garden - ou lista de permissões - é outra área que costuma confundir as pessoas. Antes que um visitante se autentique por meio do Captive Portal, seu dispositivo opera em um estado restrito. Ele só pode acessar domínios que você explicitamente colocar na lista de permissões. No mínimo, você precisa permitir o domínio e o endereço IP da plataforma do seu portal, quaisquer provedores de login social que estiver usando e o endpoint de detecção de Captive Portal da Apple - captive.apple.com. Se esquecer deste último, os dispositivos iOS mostrarão uma experiência de portal quebrada. Você configura a lista de permissões na Ruijie Cloud em Auth and Account, depois em Allowlist. Adicione cada domínio e endereço IP individualmente. [medium pause] RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS. [short pause] Deixe-me apresentar as quatro decisões que determinam se a sua implantação de WiFi para visitantes Ruijie será um sucesso ou um fracasso. Decisão um: portal nativo versus plataforma externa. Se você estiver operando mais de cinco locais, ou se precisar capturar dados primários para marketing, use uma plataforma externa. A Purple, por exemplo, opera como uma sobreposição de nuvem agnóstica de hardware em mais de 80.000 locais ativos. Você aponta seu gateway Ruijie para a URL do portal da Purple, configura as credenciais RADIUS e obtém análises centralizadas, captura de dados em conformidade com o GDPR e integrações de CRM - tudo sem precisar tocar no hardware Ruijie novamente. A Purple processou 440 milhões de logins apenas em 2024 e possui certificação ISO 27001, portanto a parte de conformidade está garantida. Decisão dois: NAT versus VLAN. Sempre use o modo VLAN para implantações de produção. O modo NAT é adequado para uma prova de conceito, mas o modo VLAN oferece isolamento adequado de Camada 3, gerenciamento mais fácil de políticas de firewall e a capacidade de aplicar políticas de QoS por VLAN. Decisão três: gerenciamento de largura de banda. Os gateways EG da Ruijie possuem controles de QoS integrados. Defina limites de download e upload por usuário no SSID de visitantes - normalmente de dois a cinco megabits por segundo de download para uma rede de visitantes padrão. Isso evita que um único visitante assistindo a vídeos em 4K prejudique a experiência de todos os outros. Se você estiver usando uma plataforma externa, desative o Client Escape no lado da Ruijie para garantir que os controles de largura de banda da plataforma funcionem corretamente. Decisão quatro: tempo limite de sessão e reautenticação. Defina um tempo limite de sessão razoável - de oito a 24 horas para o setor de hotelaria, mais curto para varejo ou eventos. A Ruijie permite configurar isso por política de portal. Combine isso com uma URL de redirecionamento pós-login para que os visitantes caiam no site do seu estabelecimento ou em uma página promocional após a conexão. [medium pause] O erro mais comum que vejo são equipes implantando um Captive Portal sem testá-lo no iOS e no Android simultaneamente. A Apple e o Google possuem mecanismos de detecção de Captive Portal que se comportam de maneira diferente. Teste ambos antes do lançamento. O segundo erro mais comum é esquecer de sincronizar a configuração do portal com o produto EG no JaCS - há um botão Sincronizar explícito no qual você deve clicar após criar ou editar um portal, caso contrário o gateway não identificará as alterações. [medium pause] PERGUNTAS E RESPOSTAS RÁPIDAS. [short pause] Deixe-me passar pelas perguntas que recebo com mais frequência. Os APs Ruijie podem executar um Captive Portal sem um gateway? Sim, no ReyeeOS 1.219 ou posterior, mas a funcionalidade é limitada em comparação com implantações baseadas em gateway. A Ruijie suporta 802.1X para redes de convidados? Sim, os controladores da série RG-WS suportam 802.1X completo com atribuição dinâmica de VLAN via RADIUS. Posso integrar a Ruijie com a Purple? Sim. Configure o modo de Captive Portal externo, aponte a URL do portal para o endpoint da Purple, configure o grupo de servidores RADIUS com as credenciais da Purple e adicione os domínios da Purple à lista de permissões. A arquitetura independente de hardware da Purple cuida do resto. O WPA3 funciona com Captive Portals? Sim. Você executa um SSID aberto para o fluxo do Captive Portal. O WPA3 se aplica a SSIDs autenticados. Para redes de convidados, o próprio portal é a camada de autenticação. Quais portas RADIUS a Ruijie usa? Porta 1812 para autenticação e porta 1813 para tarifação - estas são as portas padrão atribuídas pela IANA de acordo com as RFC 2865 e RFC 2866. [medium pause] RESUMO E PRÓXIMOS PASSOS. [short pause] Para resumir. A Ruijie Networks oferece uma plataforma capaz e flexível para implantação de WiFi de convidados e Captive Portal. Os três modelos de implantação - portal em nuvem nativo, portal externo baseado em RADIUS e AP independente - cobrem tudo, desde um hotel boutique de local único até uma rede de varejo multi-local. As principais decisões são: isolamento de VLAN sobre NAT para qualquer implantação em produção. Plataforma externa para qualquer caso de uso multi-local ou de captura de dados. Configuração adequada de walled garden para evitar falhas de autenticação no iOS. E sempre teste no iOS e Android antes do lançamento. Seus próximos passos: faça uma auditoria nas versões atuais do firmware Ruijie para confirmar a compatibilidade com o ReyeeOS. Decida se precisa de gerenciamento de portal nativo ou externo. Se você opera mais de cinco locais ou precisa de análises, fale com a Purple sobre a integração da plataforma deles com sua infraestrutura Ruijie. A Purple opera em mais de 80.000 locais, processa centenas de milhões de logins por ano e possui as certificações ISO 27001, GDPR e Cyber Essentials. Você pode encontrar a documentação de integração da Purple e solicitar uma demonstração em purple.ai. Obrigado por ouvir. Nos vemos no próximo briefing.