Cisco Meraki and guest WiFi: captive portal setup with Purple

Integração Cisco Meraki com Purple WiFi - Um Briefing para Consultores Seniores Tempo de duração: aproximadamente 10 minutos INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Seja bem-vindo. Se você é responsável por uma implantação Cisco Meraki e está tentando decidir se o Purple WiFi é a camada de inteligência de visitantes ideal para integrar a ela, este briefing é para você. Vou explicar exatamente como funciona a integração, o que você precisa configurar, quais são os erros mais comuns e que tipo de retorno você pode esperar de forma realista. Deixe-me contextualizar. A Cisco Meraki é, por uma margem significativa, a infraestrutura sem fio gerenciada em nuvem mais amplamente implantada no setor hoteleiro, de varejo e no setor público corporativo. Ela é confiável, escalável e seu dashboard na nuvem é realmente excelente. Mas o ponto é o seguinte - os recursos nativos de WiFi para visitantes da Meraki são funcionais, não estratégicos. Você consegue conectar um visitante à internet, mas não consegue capturar dados proprietários significativos, não consegue criar um funil de marketing a partir disso e, com certeza, não consegue demonstrar ROI para sua diretoria. É exatamente essa lacuna que a Purple preenche. MERGULHO TÉCNICO PROFUNDO (aproximadamente 5 minutos) Vamos falar sobre arquitetura. A integração entre Purple e Meraki opera em duas camadas técnicas distintas, e entender ambas é essencial antes de alterar qualquer configuração. A primeira camada é a Meraki Dashboard API - esta é a camada de provisionamento. A Purple usa a REST API da Meraki para importar todo o seu parque de pontos de acesso para o Purple Hub em uma única operação em lote. Você faz a autenticação com sua chave de API da Meraki, que você gera na seção Organização do dashboard da Meraki em API e Webhooks. Assim que a Purple tiver essa chave, ela poderá extrair cada ponto de acesso, cada rede e cada configuração de SSID diretamente da sua nuvem Meraki. Para um parque de, por exemplo, trezentos pontos de acesso em um grupo hoteleiro, isso reduz o que seria um trabalho de configuração manual de vários dias para algo que você pode concluir em menos de uma hora. Isso não é uma economia operacional insignificante. A segunda camada é a camada de autenticação e do Captive Portal - é aqui que a experiência do visitante realmente acontece. A Purple funciona como um provedor externo de splash page, usando a Captive Portal API da Meraki. Quando um visitante se conecta ao seu SSID de visitantes, a Meraki intercepta o tráfego HTTP dele e o redireciona para a splash page hospedada da Purple - o seu Captive Portal personalizado. O visitante se autentica por meio do método que você tiver configurado: login social, formulário de e-mail, verificação por SMS ou uma combinação destes. Em seguida, a Purple se comunica de volta com a Meraki via RADIUS - Remote Authentication Dial-In User Service - operando na porta 1812 para autenticação e na porta 1813 para tarifação (accounting). Assim que o RADIUS confirma a autenticação, a Meraki concede ao visitante acesso total à rede. Agora, vou orientá-lo sobre a configuração específica no dashboard da Meraki, porque os detalhes aqui são fundamentais. No painel do Meraki, navegue até Wireless e depois em Access Control. Selecione o seu SSID de convidados no menu suspenso. Defina a segurança como Open - sim, aberta, porque a autenticação é tratada pela camada do RADIUS e do Captive Portal, não no nível de associação 802.11. Defina o tipo de splash page para Sign-on com my RADIUS server. Esta é a seleção crítica - ela diz ao Meraki para usar um servidor RADIUS externo para autenticação em vez de suas próprias opções integradas. Em Advanced Splash Settings, defina a força do Captive Portal para Block all access until sign-on is complete. Ative o walled garden - esta é a lista de domínios que os convidados podem acessar antes de serem autenticados, que deve incluir os domínios da plataforma da Purple para que a própria splash page possa carregar. A Purple fornece uma lista de permissões mantida desses domínios em sua documentação de suporte. Para a configuração do servidor RADIUS, você precisará adicionar dois servidores - a Purple fornece endpoints primários e secundários para redundância. A porta de autenticação é 1812, e você usará o segredo do RADIUS fornecido no seu Purple Portal. Adicione as entradas correspondentes para a bilhetagem RADIUS na porta 1813. Defina o intervalo provisório de bilhetagem para quatro minutos - isso é importante para o rastreamento preciso de sessões e analytics. Defina o timeout do servidor para cinco segundos com uma contagem de repetições de três. Em Advanced RADIUS Settings, configure o Called-Station-ID e o NAS-ID para usar o endereço MAC do AP. Isso é crítico para os analytics de localização da Purple - sem isso, a Purple não consegue atribuir sessões com precisão a pontos de acesso específicos e, portanto, não pode gerar analytics significativos ao nível do piso. Em seguida, navegue até Wireless, Splash Page. Insira a URL splash personalizada fornecida pelo seu Purple Portal - esta é a URL do seu Captive Portal de marca. Configure a URL de redirecionamento pós-autenticação - normalmente o site do seu estabelecimento ou uma landing page específica. Agora, há um segundo componente que vale a pena discutir em detalhes: o PurpleConnex, que é a solução SecurePass da Purple. Isso cria um segundo SSID - normalmente chamado PurpleConnex - configurado como uma rede WPA2 Enterprise usando os servidores RADIUS RadSec da Purple. RadSec é RADIUS sobre TLS, o que fornece transporte criptografado para o tráfego de autenticação. Este SSID, combinado com a configuração Hotspot 2.0 - também conhecida como Passpoint, o padrão IEEE 802.11u - permite que os convidados que retornam se reconectem automaticamente sem ver o Captive Portal novamente. O dispositivo deles reconhece o perfil Passpoint e se conecta perfeitamente. Isso é particularmente valioso em ambientes onde você deseja eliminar o atrito de autenticações repetidas, como um hotel onde um hóspede fica por três noites, ou um membro de fidelidade de varejo que visita semanalmente. A configuração do Hotspot 2.0 no Meraki exige que você defina o nome da operadora como PURPLE de dois pontos GB, configure a lista de domínios para securewifi.purple.ai e adicione os OIs do Roaming Consortium que a Purple especifica. O NAI Realm é configurado com o método de autenticação EAP-TTLS e PAP. Tudo isso está documentado no portal de suporte da Purple, e é simples de entender assim que você compreende o que cada campo faz. RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me apresentar os três modos de falha mais comuns que vejo em implantações do Meraki e Purple, e como evitá-los. Primeiro: configuração incorreta do walled garden. Se a sua lista de walled garden estiver incompleta, os convidados verão uma página de splash quebrada - o CSS não carregará, as imagens não serão renderizadas e a autenticação falhará silenciosamente. A Purple mantém uma lista de permissões atualizada dos domínios necessários. Trate essa lista como um documento dinâmico e revise-a sempre que a Purple lançar uma atualização de plataforma. Recomendo testar a experiência do Captive Portal a partir de um dispositivo de convidado em um segmento de rede separado antes de entrar em operação. Segundo: configurações de timeout do RADIUS. O timeout padrão do RADIUS no Meraki geralmente é definido com um valor muito baixo para servidores RADIUS hospedados na nuvem. Cinco segundos com três tentativas é a configuração correta. Se você mantiver o padrão de dois segundos, verá falhas de autenticação intermitentes durante picos de carga - exatamente o pior momento para a experiência do seu convidado ser prejudicada. Terceiro: configuração incorreta de NAS-ID e Called-Station-ID. Este é o erro que mais pega os engenheiros de surpresa. Se você configurar esses campos incorretamente - ou deixá-los como padrão - o mecanismo de análise da Purple não conseguirá mapear as sessões para pontos de acesso específicos. Você terá dados agregados, mas nenhuma inteligência em nível de andar. O valor deve ser definido como endereço MAC do AP, não como nome do SSID ou qualquer outra opção. No aspecto de conformidade: a captura de dados da Purple é em conformidade com o GDPR e a CCPA por design. O Captive Portal apresenta um mecanismo de consentimento que atende aos requisitos de ambas as regulamentações. Se você estiver operando em um ambiente de escopo PCI-DSS - um hotel com um terminal de pagamento no mesmo segmento de rede, por exemplo - certifique-se de que o seu SSID de convidado esteja em uma VLAN separada com as regras de firewall apropriadas. O modo NAT do Meraki para atribuição de IP de cliente, que é a configuração recomendada, oferece um grau de isolamento, mas a sua arquitetura de segmentação de rede precisa ser revisada pela sua equipe de segurança de forma independente. PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Pergunta: A Purple pode se integrar com appliances de segurança Meraki MX tão bem quanto com APs sem fio? Resposta: Sim. O processo de configuração é essencialmente idêntico - o MX suporta as mesmas configurações de página de splash e RADIUS que os APs sem fio. O artigo de suporte abrange as configurações de gateway de teletrabalhador AP, MX e Z1. Pergunta: Quanto tempo leva uma implantação completa para um grupo de hotéis com 50 locais? Resposta: Com o provisionamento automatizado via Meraki API, a importação do ponto de acesso é uma operação única por organização. A configuração de SSID e RADIUS pode ser padronizada em todas as redes por meio de modelos. Uma implantação de 50 sites com um engenheiro de rede competente deve ser alcançável em dois a três dias de trabalho de configuração, mais o tempo de teste. Pergunta: O Purple suporta os pontos de acesso Wi-Fi 6 e Wi-Fi 6E mais recentes da Meraki? Resposta: Sim. A integração opera na camada de aplicação - redirecionamento RADIUS e HTTP - por isso é agnóstica em relação à geração do hardware. O Purple funciona com qualquer AP Meraki que suporte a página de splash e a configuração de RADIUS descrita. RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Para resumir: a integração entre Cisco Meraki e Purple WiFi é uma implantação madura e bem documentada que combina a excelente infraestrutura gerenciada em nuvem da Meraki com a inteligência de visitantes e recursos de captura de dados do Purple. A integração utiliza dois mecanismos principais - a Meraki Dashboard API para provisionamento automatizado e a Captive Portal API com autenticação RADIUS para a camada de experiência do visitante. As três coisas a serem feitas corretamente são: sua configuração de walled garden, suas configurações de timeout e tentativa do RADIUS, e sua configuração de NAS-ID para análises de localização precisas. O caso de negócios é convincente. McDonald's Bélgica, Walmart Canadá e Harrods são todas implantações reais de Purple e Cisco. A AGS Airports alcançou um retorno sobre o investimento de 842%. A Harrods transformou 600.000 logins de WiFi em um retorno sobre o investimento de 57 vezes. Se você estiver pronto para avançar, o próximo passo é gerar sua chave de API Meraki, fazer login no Portal Purple e usar o Hardware Import Wizard para importar seu parque de pontos de acesso. A partir daí, sua equipe de conta do Purple poderá orientá-lo na configuração do SSID e RADIUS em uma única sessão. Obrigado pelo seu tempo.