Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje, abordaremos algo que chega à mesa de quase todos os arquitetos de rede corporativa que trabalham em hotelaria, varejo ou locais de grande escala: a integração de Cisco Wireless LAN Controllers e da infraestrutura sem fio Catalyst com a plataforma de Guest WiFi da Purple. Se você opera controladoras Cisco Catalyst série 9800 ou a plataforma AireOS legada, e precisa fornecer uma rede de convidados em conformidade, segmentada e orientada por análises, este briefing é para você. [medium pause]
Vamos começar pelo contexto. A Purple opera em mais de 80.000 locais ativos globalmente, e a Cisco é o principal fornecedor de infraestrutura sem fio em ambientes corporativos. Fazer com que essas duas plataformas funcionem juntas de forma limpa não é complicado, mas exige que você tome as decisões de arquitetura corretas desde o início. Erre nelas, e você passará semanas solucionando problemas de loops de redirecionamento, incompatibilidades de VLAN e limites de tempo de RADIUS. Acerte, e você terá uma rede que segmenta convidados, funcionários e dispositivos IoT automaticamente, coleta dados primários em conformidade e se expande por centenas de locais sem intervenção manual. [medium pause]
Então, vamos entrar na arquitetura. [short pause]
Quando um convidado se conecta à sua rede WiFi em uma implantação Cisco, há três coisas que precisam acontecer antes que ele acesse a internet. Primeiro, o Cisco Catalyst 9800 WLC precisa interceptar essa solicitação HTTP inicial e redirecionar o cliente para o Captive Portal da Purple. Segundo, o portal da Purple precisa autenticar o usuário, seja por meio de login social, e-mail, SMS ou aceitação simples de termos e condições. Terceiro, o servidor RADIUS da Purple precisa sinalizar de volta para o WLC que o usuário está autorizado e, opcionalmente, atribuí-lo a uma VLAN específica. [medium pause]
O mecanismo que lida com a primeira etapa é chamado de External Web Authentication, ou EWA. No Catalyst 9800, você configura um mapa de parâmetros de autenticação web que aponta para a URL da splash page da Purple. O WLC intercepta todo o tráfego HTTP de clientes não autenticados e emite um redirecionamento 302 para essa URL. Você também precisará configurar uma ACL de pré-autenticação, ou usar o recurso de filtro de URL do 9800, para liberar os endereços IP do portal da Purple para que os clientes possam realmente acessar a splash page antes de serem autorizados. A Purple fornece dois endereços IP para seu portal, e você precisará permitir ambos em sua ACL de pré-autenticação. [medium pause]
Aqui está a sequência de configuração para o Catalyst 9800. Primeiro, crie o mapa de parâmetros. Em seguida, configure seu filtro de URL para permitir a pré-autenticação do domínio da Purple. Aplique isso ao seu perfil de política WLAN, defina a segurança de Camada 2 como Nenhuma, ative a Web Policy na Camada 3 e aponte-a para o seu mapa de parâmetros. [medium pause]
Agora, RADIUS. Purple atua como o servidor RADIUS nesta arquitetura. Você configura o WLC para apontar para o endpoint RADIUS do Purple, que você encontrará no painel do Purple em configurações de rede do seu local. O segredo compartilhado é gerado por local. No Catalyst 9800, navegue até Configuration, Security, AAA, Servers e adicione o servidor RADIUS do Purple com o IP correto e o segredo compartilhado. Em seguida, crie um grupo de servidores, uma lista de métodos de autenticação e aplique ao seu WLAN. [medium pause]
Uma coisa que costuma confundir as pessoas: no 9800, você também deve configurar o endereço IP virtual no mapa de parâmetros globais de autenticação web. Use 192.0.2.1 como o endereço IPv4 virtual. Se você pular esta etapa, os clientes às vezes serão redirecionados para o portal interno em vez do portal do Purple, e você passará uma tarde frustrante tentando entender o motivo. [medium pause]
Vamos passar para o WiFi de Funcionários com 802.1X. [short pause]
Para redes de funcionários, o ideal é usar autenticação baseada em certificado usando EAP-TLS, ou no mínimo PEAP com MSCHAPv2 para ambientes onde a implantação de certificados não é viável. No Catalyst 9800, crie um WLAN separado para funcionários, defina a segurança de Camada 2 como WPA2 Enterprise e aponte a autenticação para o seu servidor RADIUS. Se você estiver usando Microsoft Entra ID ou Okta como seu provedor de identidade, o add-on SecurePass do Purple atua como o proxy RADIUS, traduzindo as solicitações de autenticação 802.1X em consultas ao provedor de identidade. Isso significa que você não precisa de um servidor RADIUS local separado para a autenticação de funcionários. O Purple lida com a terminação EAP e encaminha a verificação de identidade para o seu provedor de identidade. [medium pause]
Para EAP-TLS especificamente, você precisará implantar certificados de cliente nos dispositivos dos funcionários, seja via Microsoft Intune, Jamf ou uma plataforma MDM semelhante. A cadeia de certificados deve ser confiável para o servidor RADIUS do Purple, o que significa fazer o upload do seu certificado CA raiz para o painel do Purple. Uma vez configurado, os dispositivos dos funcionários se autenticam silenciosamente, sem solicitações de senha, sem splash pages. O usuário se conecta, o certificado é validado e ele entra na VLAN de funcionários em segundos. [medium pause]
Agora, a parte que a maioria dos arquitetos acha genuinamente interessante: Cisco Identity PSK, ou iPSK. [short pause]
iPSK resolve um problema específico que surge constantemente em ambientes multi-tenant. Imagine um hotel com 300 quartos, ou um empreendimento comercial com 50 lojas, ou um condomínio residencial com 200 apartamentos. Você quer um único SSID, mas precisa que cada locatário, cada quarto ou cada grupo de dispositivos seja isolado em sua própria VLAN. A resposta tradicional era criar um SSID separado por locatário, o que não é escalonável e gera congestionamento de radiofrequência. O iPSK oferece um único SSID onde cada cliente ou grupo de clientes possui uma chave pré-compartilhada exclusiva, e o servidor RADIUS mapeia essa chave para uma VLAN específica. [medium pause]
Veja como funciona tecnicamente. Quando um cliente se associa ao SSID, o Catalyst 9800 WLC envia um RADIUS Access-Request para o servidor RADIUS da Purple, incluindo o endereço MAC do cliente. O servidor RADIUS da Purple busca esse endereço MAC em seu banco de dados iPSK, encontra a chave PSK associada e a atribuição de VLAN, e retorna um RADIUS Access-Accept contendo o Cisco AV-pair com a PSK e os atributos de túnel IETF para atribuição de VLAN. O WLC usa a PSK retornada para concluir o handshake de quatro vias WPA2 e, em seguida, coloca o cliente na VLAN atribuída. [medium pause]
Os três atributos RADIUS que você precisa para a atribuição dinâmica de VLAN são: atributo IETF 64, Tunnel-Type, definido como VLAN com o valor 13. Atributo IETF 65, Tunnel-Medium-Type, definido como 802, com o valor 6. E o atributo IETF 81, Tunnel-Private-Group-ID, definido como o ID da VLAN como uma string. Esses três atributos, enviados juntos no RADIUS Access-Accept, informam ao WLC exatamente qual VLAN atribuir. A VLAN já deve existir no WLC como uma interface dinâmica, e a porta de uplink do switch deve ser configurada como trunk transportando todas as VLANs relevantes. [medium pause]
No lado do WLC, ative a filtragem MAC no iPSK WLAN, habilite AAA Override e defina a segurança de Camada 2 como WPA2-PSK. A PSK global configurada na WLAN funciona apenas como contingência. A PSK retornada pelo RADIUS tem precedência para qualquer cliente cujo endereço MAC esteja registrado no banco de dados iPSK da Purple. Para dispositivos não registrados, você pode negar o acesso ou reverter para a PSK global, dependendo de sua política. [medium pause]
Deixe-me apresentar dois cenários do mundo real para tornar isso concreto. [short pause]
Primeiro cenário: um hotel de 200 quartos. O hotel deseja que os hóspedes fiquem na VLAN 10 apenas com acesso à internet, a equipe na VLAN 20 com acesso ao sistema de gestão hoteleira, e os dispositivos de IoT, fechaduras de portas, termostatos e CFTV na VLAN 30 sem acesso à internet. Eles utilizam controladoras Cisco Catalyst 9800 com pontos de acesso da série Cisco 9100. [medium pause]
A arquitetura: três perfis de política no WLC, um por VLAN. Um único SSID para hóspedes usando Autenticação Web Externa apontando para a Purple. Um SSID separado para a equipe usando WPA2 Enterprise com EAP-TLS, autenticado via Purple SecurePass contra o Microsoft Entra ID. E iPSK para dispositivos IoT, com o endereço MAC de cada dispositivo registrado no portal da Purple e atribuído à VLAN 30. O sistema de gestão do hotel provisiona novos dispositivos IoT via API da Purple, de modo que quando uma nova fechadura é instalada, seu endereço MAC é registrado e atribuído automaticamente à VLAN correta. Nenhuma configuração manual de RADIUS é necessária. [medium pause]
Segundo cenário: uma rede de varejo com 80 lojas. Cada loja possui uma rede WiFi para hóspedes, uma rede para funcionários e uma rede para terminais de pagamento. A conformidade com PCI-DSS exige que a rede de terminais de pagamento seja totalmente isolada da rede de hóspedes. O varejista usa controladoras Cisco Catalyst 9800-L em cada local, gerenciadas centralmente através do Cisco Catalyst Centre. [medium pause]
Purple é implantado como uma sobreposição de nuvem. O WLC de cada loja é configurado com os detalhes do servidor RADIUS da Purple. A autenticação de convidados usa uma splash page personalizada com captura de e-mail, alimentando a plataforma de analytics da Purple com dados primários. A autenticação de funcionários usa PEAP contra o Active Directory via Purple SecurePass. Os terminais de pagamento usam iPSK com uma VLAN dedicada, e a ACL de pré-autenticação bloqueia explicitamente qualquer tráfego entre a VLAN de pagamento e a VLAN de convidados, atendendo ao requisito 1.3 do PCI-DSS para segmentação de rede. [medium pause]
Agora vamos falar sobre as armadilhas. [short pause]
O modo de falha mais comum é o loop de redirecionamento. Isso acontece quando a ACL de pré-autenticação não coloca os endereços IP do portal da Purple corretamente na lista de permissões, fazendo com que o WLC redirecione o cliente para o portal da Purple, mas o cliente não consegue acessar o portal porque a ACL o bloqueia, resultando em redirecionamentos infinitos pelo WLC. Correção: verifique se o seu filtro de URL ou ACL de pré-autenticação inclui ambos os endereços IP do portal da Purple e confirme se a resolução DNS é permitida antes da autenticação. [medium pause]
O segundo problema comum é a incompatibilidade de VLAN. O servidor RADIUS retorna um ID de VLAN que não existe como uma interface dinâmica no WLC. O WLC então coloca o cliente na VLAN nativa, que geralmente é a VLAN de gerenciamento. Isso é um risco de segurança. Correção: antes de implantar, faça uma auditoria de suas interfaces dinâmicas de WLC em relação aos IDs de VLAN configurados nas políticas de RADIUS da Purple. Eles devem corresponder exatamente. [medium pause]
Terceira armadilha: falhas de confiança de certificado em implantações EAP-TLS. Se a cadeia de certificados do cliente não for confiável para o servidor RADIUS da Purple, a autenticação falhará silenciosamente sob a perspectiva do usuário. Eles simplesmente não conseguem se conectar. Correção: faça o upload da sua CA raiz e de quaisquer certificados de CA intermediários para a configuração do Purple SecurePass antes de implantar os certificados de cliente. Teste com um único dispositivo antes de implantar em toda a frota. [medium pause]
Perguntas rápidas. [short pause]
Posso usar o Purple com Cisco Meraki em vez de WLC? Sim. O Cisco Meraki tem seu próprio mecanismo de integração de Captive Portal, e o Purple oferece suporte nativo. A configuração do RADIUS é semelhante, mas usa o painel do Meraki em vez da linha de comando do WLC. [short pause]
O Purple suporta WPA3 no Cisco? Sim. O WPA3-SAE é compatível com Cisco Catalyst 9800 com IOS-XE 17.3 e posterior. A integração RADIUS da Purple funciona de forma idêntica com o WPA3. [short pause]
Qual é a recomendação de timeout do RADIUS? Defina o tempo limite do seu servidor RADIUS primário para três segundos com duas tentativas. Configure um servidor RADIUS secundário para failover. A Purple fornece endpoints RADIUS redundantes para clientes corporativos. [short pause]
Posso usar o Cisco ISE junto com o Purple? Sim. Algumas organizações usam o ISE para avaliação de postura e perfil de dispositivos, enquanto usam o Purple para portal de convidados e analytics. Os dois servidores RADIUS são configurados em WLANs separadas. [medium pause]
Para resumir. [short pause]
A infraestrutura sem fio Cisco WLC e Catalyst integra-se perfeitamente com o Purple usando External Web Authentication para redirecionamento de Captive Portal de convidados, 802.1X EAP-TLS ou PEAP para autenticação de funcionários via Purple SecurePass e Cisco iPSK com atribuição dinâmica de VLAN para segmentação multi-tenant e IoT. Os três atributos RADIUS VLAN, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, são o mecanismo que impulsiona a segmentação dinâmica. Configure suas ACLs de pré-autenticação corretamente, alinhe seus IDs de VLAN entre o RADIUS e o WLC e teste as cadeias de confiança de certificados antes da implantação em massa. [medium pause]
O Purple opera em mais de 80.000 locais e processou 440 milhões de logins em 2024. A integração com a Cisco é uma das nossas configurações mais implantadas globalmente. Se quiser começar, o painel do Purple guia você pela configuração do RADIUS por local, e nossa equipe de integração está disponível para implantações corporativas. [medium pause]
Isso é tudo para este briefing. Obrigado por ouvir.
