Pular para o conteúdo principal
Português (Brasil)

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

📖 5 min de leitura📝 1,177 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos cobrir um padrão de implantação que surge em quase todos os projetos de WiFi corporativos em escala que vemos - a integração do CommScope Ruckus com a plataforma de nuvem da Purple. Quer você gerencie um grupo de hotéis, uma rede de varejo, um estádio ou um centro de convenções, este episódio fornecerá o guia de configuração que você precisa. Vamos contextualizar primeiro. A Ruckus - agora sob a CommScope - é uma das plataformas de WiFi corporativas dominantes no mundo. O SmartZone, em particular, é o controlador preferido para ambientes de alta densidade. Hotéis como o Premier Inn, grandes redes de varejo, estádios e centros de convenções utilizam a infraestrutura Ruckus. Quando você implanta um WiFi para convidados nessa escala, precisa de mais do que um SSID aberto. Você precisa de autenticação estruturada, captura de dados em conformidade com a GDPR e a capacidade de enviar esses dados de convidados para a sua pilha de marketing. É exatamente aí que a Purple entra. A Purple opera em mais de 80.000 locais ativos, processou 440 milhões de logins apenas em 2024 e possui as certificações ISO 27001, GDPR e Cyber Essentials. A integração com a Ruckus é um dos nossos padrões de implantação mais maduros. Agora, a Ruckus possui três plataformas de controladores distintas que você precisa entender antes de tocar em uma tela de configuração. O SmartZone - disponível como um appliance físico SZ300 ou um vSZ virtual - é o controlador corporativo para grandes implantações em múltiplos locais. Ele gerencia milhares de pontos de acesso em várias zonas, oferece controle profundo de políticas e suporta toda a gama de métodos de autenticação que abordaremos hoje. O ZoneDirector é o controlador local legado - ainda amplamente implantado, especialmente no setor de hospitalidade - e suporta o mesmo fluxo de Captive Portal baseado em WISPr, embora com um caminho de configuração ligeiramente diferente. E o Unleashed é o modelo sem controlador, onde um AP atua como mestre para até 128 outros. É ideal para implantações menores em um único local - hotéis independentes, filiais de varejo, escritórios de PMEs. Certo. Vamos entrar nos detalhes técnicos. Vou cobrir três casos de uso distintos: WiFi para convidados com redirecionamento de Captive Portal, WiFi seguro para funcionários usando 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK. Começando com o WiFi para convidados. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. O WISPr - Wireless Internet Service Provider roaming - é um padrão da indústria que define como um controlador sem fio intercepta o tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado se conecta ao seu SSID. O dispositivo dele envia uma solicitação HTTP. O SmartZone a intercepta e emite um redirecionamento HTTP 302 para a URL do seu portal externo - neste caso, o Captive Portal da Purple. O convidado se autentica - via login social, e-mail, SMS ou um formulário personalizado - e então o portal se comunica de volta com o controlador através da Northbound Interface, ou NBI, para conceder o acesso. No SmartZone, a configuração possui quatro componentes principais. Primeiro, o perfil do servidor de autenticação RADIUS. Navegue até Services and Profiles, depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol como RADIUS. O IP do seu servidor primário e o segredo compartilhado são fornecidos no console de administração da Purple. Porta 1812 para autenticação. Sempre configure um servidor RADIUS de backup para resiliência. Em seguida, crie o servidor de tarifação (accounting) em Services and Profiles, Accounting - porta 1813, mesmo segredo compartilhado. Segundo, o perfil Hotspot WISPr. Vá para Services and Profiles, Hotspots and Portals, e selecione a aba Hotspot WISPr. Crie um novo perfil. Defina a Login URL como External e insira a URL de redirecionamento do seu portal. Defina a Start Page para redirecionar para a sua URL pós-autenticação - normalmente uma página de sucesso ou a página inicial do seu estabelecimento. Agora, o Walled Garden. É aqui que os engenheiros mais costumam errar. O Walled Garden define quais domínios e endereços IP um visitante pode acessar antes de se autenticar. Você precisa incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos que seu portal carregue, e os endpoints padrão de detecção de Captive Portal do sistema operacional. No SmartZone, caracteres curinga são suportados usando o formato asterisco-ponto - portanto, estrela-ponto-purple-ponto-ai cobre todos os subdomínios. Você também precisa do domínio de detecção de Captive Portal da Apple - captive.apple.com - e dos endpoints de verificação de conectividade do Google para evitar que o mini-navegador CNA se comporte incorretamente em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer. Por padrão, o SmartZone criptografa o endereço MAC e o endereço IP que ele passa para o portal externo na URL de redirecionamento. A Purple precisa ver o endereço MAC real do cliente para realizar o gerenciamento de sessão baseado em MAC. Você deve desabilitar isso via CLI. Acesse seu SmartZone via SSH, entre no modo de configuração e execute: no encrypt-mac-ip. Esse é apenas um comando, mas é um bloqueio total se você ignorá-lo. A Northbound Interface é a outra peça essencial. Esta é a API que permite à Purple se comunicar de volta com o SmartZone para conceder ou negar acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um usuário e senha e forneça essas credenciais à Purple. A NBI roda na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que seu firewall permita conexões de entrada da faixa de IP da Purple para essas portas. Finalmente, crie sua WLAN. Defina o Authentication Type como Hotspot WISPr, selecione o perfil do seu portal e atribua seus serviços de autenticação e tarifação RADIUS. Defina o NAS ID como User-defined se a Purple exigir um valor específico, defina Called Station ID como AP MAC e ative o Single Session ID. Para o Unleashed, a arquitetura é fundamentalmente diferente - é um modelo distribuído e sem controladora. A configuração fica em Admin and Services, Services, Hotspot Services. As etapas são amplamente semelhantes - criar um serviço de Hotspot, configurar a URL do seu portal externo, configurar seu servidor de autenticação AAA, adicionar suas entradas de Walled Garden - mas há duas diferenças principais. Não há requisito de Northbound Interface no Unleashed. E a criptografia de endereço MAC não é aplicada por padrão, portanto você não precisa do comando CLI. O walled garden do Unleashed também aceita entradas no nível do domínio em vez da sintaxe completa de curinga. Agora vamos passar para o Secure Staff WiFi usando 802.1X. Este é um modelo de autenticação completamente diferente. Em vez de um Captive Portal, os dispositivos da equipe se autenticam diretamente usando o Extensible Authentication Protocol - EAP. O método mais comum em ambientes corporativos é o PEAP-MSCHAPv2, onde o usuário insere suas credenciais do Active Directory, ou EAP-TLS, onde o dispositivo apresenta um certificado. O complemento SecurePass do Purple se integra ao Microsoft Entra ID, Okta e Google Workspace para agir como o backend RADIUS para este fluxo. No SmartZone, crie uma nova WLAN e defina o Authentication Type como 802.1X EAP. Nas configurações de AAA, aponte para o seu servidor RADIUS - o endpoint SecurePass do Purple. A principal diferença em relação ao fluxo de convidados é que você também configura a atribuição dinâmica de VLAN aqui. Quando o servidor RADIUS do Purple retorna um Access-Accept, ele inclui três atributos padrão da IETF: Tunnel-Type definido como VLAN, valor 13; Tunnel-Medium-Type definido como IEEE-802, valor 6; e Tunnel-Private-Group-ID contendo a string do ID da VLAN - por exemplo, vinte para a VLAN da equipe. O SmartZone lê esses atributos e marca dinamicamente o tráfego do membro da equipe com a VLAN correta, independentemente de qual AP ele esteja conectado. Isso é o direcionamento dinâmico de VLAN, e é o que permite que um único SSID atenda a múltiplos papéis de usuário com diferentes políticas de acesso à rede. Habilite o AAA Override nas configurações avançadas da WLAN para garantir que o SmartZone processe os atributos de VLAN retornados pelo RADIUS. Sem essa caixa de seleção, a atribuição dinâmica não funcionará, mesmo que o servidor RADIUS esteja enviando os atributos corretos. O terceiro caso de uso é o isolamento Multi-Tenant usando o Ruckus Dynamic PSK - ou DPSK. Esta é uma tecnologia proprietária da Ruckus que atribui uma senha WPA2 exclusiva para cada usuário ou locatário, tudo em um único SSID. Ao contrário de um PSK compartilhado onde todos usam a mesma senha, o DPSK significa que o Locatário A tem uma chave exclusiva de 62 caracteres, o Locatário B tem uma diferente, e assim por diante. Cada chave é vinculada a uma VLAN específica, de modo que o tráfego do Locatário A vai para a VLAN 101 e o do Locatário B vai para a VLAN 102 - isolamento completo, sem risco de senha compartilhada e revogação instantânea sem afetar outros locatários. Isso é particularmente poderoso em espaços de co-working, edifícios residenciais build-to-rent, acomodações estudantis e parques comerciais multi-inquilinos. A Purple se integra ao Ruckus DPSK via API do SmartZone para automatizar o provisionamento de chaves - quando um novo inquilino é integrado na Purple, um DPSK é gerado, vinculado à VLAN correta e entregue ao inquilino automaticamente. Para configurar o DPSK no SmartZone: navegue até WLANs, adicione uma nova WLAN e, em Security, defina o método como Dynamic PSK. Defina o comprimento do DPSK para 62 caracteres para obter a máxima entropia. Em VLAN, habilite a atribuição Per-DPSK VLAN. Em seguida, use a API do SmartZone ou a interface de gerenciamento DPSK para criar chaves individuais por inquilino, cada uma mapeada para seu próprio ID de VLAN. No Unleashed, o mesmo recurso está disponível em WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 é a variante WPA3, oferecendo criptografia mais forte baseada em SAE. Se a sua frota de APs suporta WPA3 - o que todos os APs Ruckus da série R atuais fazem - o DPSK3 é a escolha preferida para novas implantações. Deixe-me apresentar dois cenários reais de implementação que ilustram como esses três casos de uso se unem. Primeiro cenário: um hotel de 250 quartos. A propriedade executa o Ruckus SmartZone com pontos de acesso R750 em todas as instalações. Eles precisam de três tipos de rede: WiFi de convidados para os hóspedes do hotel, WiFi de equipe seguro para funcionários da recepção e dos bastidores, e uma rede IoT para controles de quartos inteligentes e CFTV. A WLAN de convidados usa o fluxo de Captive Portal WISPr com a Purple. Os convidados se conectam, são redirecionados para um portal Purple personalizado, autenticam-se via e-mail ou login social e entram na VLAN 10. O portal captura dados primários - e-mail, consentimento de marketing, preferências de estadia - que alimentam diretamente o CRM do hotel. O painel de analytics da Purple mostra ao hotel quais andares têm as maiores taxas de conexão, horários de pico de uso e taxas de visitantes recorrentes. O Premier Inn implantou esse modelo em suas propriedades no Reino Unido e viu melhorias mensuráveis nas pontuações de satisfação dos hóspedes diretamente ligadas à experiência de WiFi. A WLAN da equipe usa 802.1X com o SecurePass da Purple. A equipe se autentica com suas credenciais do Active Directory via PEAP-MSCHAPv2. A equipe da recepção entra na VLAN 20 com acesso ao sistema de gerenciamento da propriedade. A equipe dos bastidores entra na VLAN 21 com acesso apenas aos sistemas de RH e agendamento. A atribuição de VLAN é orientada inteiramente pelos atributos RADIUS que a Purple retorna - nenhuma configuração manual de porta é necessária. Quando um funcionário se desliga, sua conta é desativada no Microsoft Entra ID e o acesso é revogado instantaneamente em todas as propriedades. A WLAN de IoT usa uma PSK estática, isolada na VLAN 30, com isolamento de cliente ativado. Termostatos inteligentes, fechaduras de portas e câmeras de CFTV ficam aqui, completamente separados do tráfego de convidados e funcionários. Segundo cenário: um espaço de co-working com 15 empresas inquilinas. É aqui que o DPSK realmente mostra seu valor. O operador executa o Ruckus Unleashed em três andares. Cada empresa inquilina recebe um DPSK exclusivo vinculado à sua própria VLAN. Os 20 funcionários do Inquilino A usam a mesma senha DPSK-A, mas essa senha é exclusiva do Inquilino A e mapeia apenas para a VLAN 101. O Inquilino B usa o DPSK-B, mapeando para a VLAN 102. Os inquilinos estão completamente isolados uns dos outros na camada de rede. Quando um inquilino sai, o operador revoga seu DPSK no SmartZone - ou por meio da interface de gerenciamento da Purple - e pronto. Nenhum outro inquilino é afetado, nenhuma alteração de SSID é necessária, sem redefinições de senha em todo o edifício. A camada de gerenciamento multi-tenant da Purple fica acima disso, oferecendo ao operador do co-working um único painel para gerenciar o onboarding, a revogação de acesso e as análises de uso de todos os 15 inquilinos. Agora, deixe-me cobrir os modos de falha mais comuns e como evitá-los. Número um: configuração incorreta do Walled Garden. Se a página do seu Captive Portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios que a página do seu portal referencia estão no walled garden. As páginas de portal modernas carregam recursos de múltiplos domínios de CDN, scripts de análise e SDKs de login social. Se algum deles for bloqueado antes da autenticação, a página não carregará ou carregará quebrada. Use as ferramentas de desenvolvedor do seu navegador em um dispositivo de teste conectado ao SSID de convidados para identificar quais solicitações estão sendo bloqueadas. A Purple fornece uma lista documentada de walled garden para SmartZone e Unleashed - use-a como sua linha de base e adicione quaisquer domínios específicos do local por cima. Número dois: o problema de conectividade NBI. Se os convidados conseguem ver o portal e se autenticar, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o callback NBI da Purple. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gerenciamento do SmartZone a partir da faixa de IP da Purple. Verifique também se as credenciais NBI que você configurou coincidem com as que a Purple tem registradas. Número três: a ausência do comando no encrypt-mac-ip. Este é o erro específico de SmartZone mais comum. Se a Purple está recebendo solicitações de redirecionamento, mas não consegue associar a sessão a um endereço MAC, esta é quase certamente a causa. É uma correção de CLI de uma única linha, mas é fácil de esquecer porque não é exibida na GUI. Número quatro: AAA Override não habilitado para VLAN dinâmica. Se os funcionários estão se autenticando com sucesso no 802.1X, mas todos caindo na mesma VLAN padrão em vez de sua VLAN específica de função, verifique se o AAA Override está habilitado nas configurações avançadas da WLAN. Esta é a chave que diz ao SmartZone para respeitar os atributos de VLAN retornados pelo servidor RADIUS. Número cinco: VLAN DPSK não propagando. Se os usuários DPSK estão se autenticando, mas não estão caindo na VLAN correta, verifique se a atribuição de VLAN por DPSK está habilitada nas configurações de WLAN e se as portas do switch conectadas aos seus APs estão configuradas como portas de tronco (trunk) transportando todas as VLANs DPSK. Se a porta do switch for uma porta de acesso, a marcação de VLAN será removida. Agora, três perguntas rápidas que recebo em toda implantação do Ruckus-Purple. Preciso de uma VLAN dedicada para o WiFi de convidados? Sim, sempre. Isole o tráfego de convidados em uma VLAN dedicada. Isso é tanto um requisito de segurança quanto uma consideração de conformidade com o PCI DSS se o seu estabelecimento processar pagamentos com cartão na mesma rede. Habilite o isolamento de clientes na WLAN de convidados para evitar que os dispositivos dos convidados se comuniquem entre si. Posso usar o Purple com o Ruckus One - a plataforma gerenciada na nuvem - em vez do SmartZone? Sim. O caminho de configuração é diferente - fica em WiFi Networks, configurações de Guest Access no portal Ruckus One - mas os princípios de configuração de walled garden e RADIUS são idênticos. O Purple suporta implantações multi-zone do SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zone, e você pode direcionar as configurações do portal para zonas individuais para diferentes estabelecimentos ou andares dentro de uma única instância do SmartZone. Para encerrar. A integração entre Ruckus e Purple cobre três casos de uso distintos, cada um com seu próprio modelo de configuração. O WiFi de convidados usa o fluxo de Captive Portal WISPr - cinco pontos-chave de configuração: RADIUS nas portas 1812 e 1813 com um servidor de backup, o perfil Hotspot WISPr com uma URL de login externa, um walled garden configurado corretamente usando entradas wildcard, o comando CLI no encrypt-mac-ip e a Northbound Interface habilitada com as credenciais corretas. O WiFi seguro para funcionários usa 802.1X EAP com direcionamento dinâmico de VLAN via atributos RADIUS - o habilitador crítico é o AAA Override nas configurações avançadas de WLAN. O isolamento multi-inquilino (Multi-Tenant) usa Ruckus DPSK - chaves exclusivas por inquilino, cada uma vinculada a uma VLAN dedicada, com revogação instantânea e risco zero de senha compartilhada. Acerte esses três padrões e você terá uma arquitetura de rede que escala de um hotel independente de 50 quartos no Unleashed para um estádio de 5.000 assentos no SmartZone, com a mesma plataforma Purple acima de tudo, fornecendo análises unificadas, captura de dados em conformidade com a GDPR e gerenciamento de acesso centralizado. Se você está planejando uma implantação do Ruckus com o Purple, a equipe de integração técnica pode orientá-lo em uma lista de verificação pré-lançamento e validar sua configuração antes do go-live. A plataforma Purple também fornece análises em tempo real sobre tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - oferecendo a visibilidade necessária para detectar problemas antes que seus convidados percebam. Obrigado por ouvir. Até a próxima.

header_image.png

Resumo Executivo

Implantar uma rede sem fio de alto desempenho em ambientes corporativos exige um equilíbrio delicado entre uma experiência de usuário fluida e uma segurança técnica robusta. Para organizações que operam arquiteturas CommScope Ruckus - que variam de estádios de alta densidade e centros de convenções a grandes redes de varejo e grupos de hospitalidade - a rede serve como a principal porta de entrada para o engajamento digital. Este guia fornece um roteiro técnico definitivo para integrar os controladores Ruckus SmartZone, ZoneDirector e Unleashed com a plataforma de nuvem Purple. Detalhamos as etapas exatas de configuração necessárias para implantar o Guest WiFi usando o redirecionamento de Captive Portal WISPr, proteger redes de funcionários via direcionamento dinâmico de VLAN 802.1X e isolamento de rede multi-inquilino usando Ruckus Dynamic Pre-Shared Keys (DPSK). Ao seguir estas melhores práticas neutras de fornecedor, as equipes de TI podem automatizar a segmentação de rede, garantir a conformidade com padrões como PCI DSS e capturar dados primários com segurança.

Aprofundamento Técnico

A integração entre o hardware CommScope Ruckus e a Purple baseia-se em protocolos de autenticação padrão do setor e comunicações de API seguras. A arquitetura suporta três modelos de implantação distintos, cada um atendendo a um grupo específico de usuários dentro do local.

Arquitetura de Guest WiFi (WISPr)

Para redes de acesso público no varejo e hospitalidade, a Ruckus utiliza o protocolo WISPr (Wireless Internet Service Provider roaming). Quando um visitante se conecta a um SSID aberto, o controlador Ruckus intercepta sua solicitação HTTP inicial e emite um redirecionamento HTTP 302 para o Captive Portal externo da Purple. O visitante se autentica por meio de um mecanismo de consentimento consciente - como e-mail ou um provedor de identidade social. Após a autenticação bem-sucedida, a Purple se comunica de volta com o controlador Ruckus por meio da Northbound Interface (NBI) para autorizar o endereço MAC e conceder acesso à internet.

architecture_overview.png

WiFi Seguro para Funcionários (802.1X e VLANs Dinâmicas)

Os dispositivos dos funcionários exigem uma abordagem fundamentalmente diferente. Em vez de depender de portais cativos, os ambientes corporativos usam a autenticação 802.1X. Os dispositivos se autenticam diretamente contra a infraestrutura RADIUS da Purple usando os protocolos EAP-TLS (baseado em certificado) ou PEAP-MSCHAPv2 (baseado em credenciais).

O componente crítico aqui é o direcionamento dinâmico de VLAN. Quando o servidor RADIUS da Purple retorna uma mensagem Access-Accept, ele inclui três atributos específicos do padrão IETF:

  • Tunnel-Type (Atributo 64): Definido como VLAN (valor 13)
  • Tunnel-Medium-Type (Atributo 65): Definido como IEEE-802 (valor 6)
  • Tunnel-Private-Group-ID (Atributo 81): Contém a string do VLAN ID (ex: "20" para Staff)

O controlador Ruckus SmartZone lê esses atributos e marca dinamicamente o tráfego do usuário, posicionando-o no segmento de rede isolado correto, independentemente do ponto de acesso físico ao qual ele se conectou.

Isolamento Multi-Tenant (Ruckus DPSK)

Para ambientes como espaços de co-working, alojamentos estudantis e unidades multi-residenciais (MDUs), a transmissão de dezenas de SSIDs cria uma interferência de canal severa. O Ruckus Dynamic Pre-Shared Key (DPSK) resolve isso atribuindo uma senha WPA2/WPA3 exclusiva para cada locatário em um único SSID compartilhado.

Cada DPSK é vinculado a uma VLAN específica. Quando um residente se conecta, o controlador usa sua chave exclusiva para autenticar o dispositivo e inseri-lo em sua VLAN privada. A Purple automatiza esse processo via integração de API, gerando e revogando chaves conforme os locatários entram e saem, eliminando os riscos de segurança associados às senhas compartilhadas tradicionais.

dpsk_configuration_guide.png

Guia de Implementação

Esta seção descreve as etapas de configuração específicas necessárias para integrar a Purple com um controlador Ruckus SmartZone. As etapas para o Unleashed são amplamente semelhantes, mas omitem o requisito da Northbound Interface.

1. Configurar Servidores RADIUS AAA

  1. Navegue até Services & Profiles > Authentication.
  2. Crie um novo perfil de servidor AAA com o Service Protocol definido como RADIUS.
  3. Insira o IP do Servidor Primário e o Segredo Compartilhado fornecidos no seu console de administração Purple.
  4. Defina a porta de autenticação como 1812.
  5. Repita este processo em Services & Profiles > Accounting, definindo a porta como 1813.

2. Configurar o Perfil do Hotspot WISPr

  1. Navegue até Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Crie um novo perfil e defina a URL de Login como External.
  3. Insira a URL de redirecionamento do seu Captive Portal Purple.
  4. Defina o seu Walled Garden. Isso é crítico. Você deve permitir o acesso aos domínios da Purple antes da autenticação. O SmartZone suporta wildcards (ex: *.purple.ai). Você também deve incluir captive.apple.com para gerenciar o comportamento do Captive Network Assistant (CNA) do iOS.

3. Desabilitar a Criptografia de Endereço MAC (Etapa Crítica)

Por padrão, o SmartZone criptografa os endereços MAC e IP transmitidos na URL de redirecionamento. A Purple requer o endereço MAC bruto para o gerenciamento de sessão. Você deve desabilitar isso via CLI:

enable
config
no encrypt-mac-ip
exit

4. Habilitar a Northbound Interface (NBI)

  1. Navegue até Administration > External Services > WISPr Northbound Interface.
  2. Ative o serviço e configure um usuário e senha.
  3. Forneça essas credenciais para a Purple. Certifique-se de que seu firewall permita tráfego TCP de entrada nas portas 9080 (HTTP) e 9443 (HTTPS) a partir das faixas de IP da Purple.

5. Criar a WLAN

  1. Crie uma nova WLAN e defina o Tipo de Autenticação como Hotspot (WISPr).
  2. Selecione o perfil de Hotspot e os servidores AAA configurados anteriormente.
  3. Para redes corporativas 802.1X, ative o AAA Override nas configurações avançadas para garantir que os atributos dinâmicos de VLAN sejam processados.

Melhores Práticas

Para garantir uma implantação robusta e segura, siga estas recomendações padrão do setor:

  • Isole o Tráfego de Visitantes: Sempre coloque o WiFi de visitantes em uma VLAN dedicada e ative o isolamento de clientes. Este é um requisito obrigatório para a conformidade com o PCI DSS se o seu estabelecimento processar pagamentos na mesma infraestrutura física.
  • Padronize os IDs de VLAN: Ao implantar o direcionamento dinâmico de VLAN em vários locais, certifique-se de que seu esquema de numeração de VLAN seja idêntico globalmente (por exemplo, a VLAN 20 é sempre para Funcionários). Nomenclaturas inconsistentes causarão falhas de autenticação.
  • Implemente o RADIUS Fallback: Configure uma VLAN crítica ou mecanismo de fallback em suas controladoras. Se o servidor RADIUS primário estiver inacessível, os dispositivos devem ser direcionados para uma VLAN restrita apenas com acesso à internet para manter a conectividade básica.
  • Use DPSK3 para Novas Implantações: Se o seu hardware Ruckus for compatível com WPA3, implante o DPSK3 em vez do DPSK legado para se beneficiar da criptografia baseada em SAE.

Solução de Problemas e Mitigação de Riscos

Ao integrar Captive Portals externos e serviços RADIUS, os engenheiros comumente encontram os seguintes modos de falha:

  • O Portal Não Carrega: Quase sempre se trata de uma configuração incorreta do Walled Garden. Os portais modernos carregam recursos de múltiplos CDNs e provedores de identidade. Use as ferramentas de desenvolvedor do navegador para identificar requisições bloqueadas e adicione os domínios necessários ao seu SmartZone Walled Garden.
  • A Autenticação Funciona, mas Não Há Acesso à Internet: Isso indica uma falha na Northbound Interface. O SmartZone não está recebendo o retorno de chamada de autorização da Purple. Verifique suas credenciais de NBI e analise os logs do firewall em busca de tráfego bloqueado nas portas TCP 9080/9443.
  • A Atribuição Dinâmica de VLAN Falha: Se os usuários do 802.1X se autenticarem com sucesso, mas caírem na VLAN padrão, verifique se o AAA Override está ativado nas configurações da WLAN. Sem isso, o SmartZone ignora o atributo Tunnel-Private-Group-ID retornado pela Purple.

ROI e Impacto nos Negócios

A integração da infraestrutura Ruckus com a Purple transforma uma rede sem fio padrão em um ativo de negócios mensurável.

Para estabelecimentos de varejo e hospitalidade, o Captive Portal captura dados primários verificados, impulsionando o crescimento de programas de fidelidade e permitindo campanhas de marketing direcionadas. Uma grande rede de hotéis no Reino Unido relatou um aumento de 40% nos índices de satisfação dos hóspedes após a implementação do Ruckus e da Purple. Para operações de TI, o direcionamento dinâmico de VLAN e a automação de DPSK reduzem drasticamente a sobrecarga de configuração manual. Em vez de gerenciar portas de switch estáticas ou redefinir senhas compartilhadas quando um locatário sai, o controle de acesso é centralizado e automatizado, mitigando riscos de segurança e reduzindo os chamados de suporte.

Definições principais

WISPr

Wireless Internet Service Provider roaming. Um protocolo padrão do setor usado por controladores sem fio para interceptar o tráfego HTTP e redirecionar os usuários para um Captive Portal externo.

Esta é a arquitetura fundamental para todas as implantações de Guest WiFi público em hardware Ruckus.

Northbound Interface (NBI)

Uma API no controlador Ruckus SmartZone que permite que plataformas externas enviem comandos de autorização.

Necessário para que a Purple conceda acesso à internet a um usuário após ele concluir com sucesso o login no Captive Portal.

Walled Garden

Uma lista de permissões (whitelist) de domínios e endereços IP que um dispositivo tem permissão para acessar antes de se autenticar na rede.

Essencial para permitir que a página do Captive Portal, suas imagens associadas e provedores de login social sejam carregados para convidados não autenticados.

Dynamic PSK (DPSK)

Uma tecnologia proprietária da Ruckus que atribui uma senha WPA2/WPA3 exclusiva para usuários ou grupos individuais em um único SSID compartilhado.

Muito utilizado em ambientes multi-inquilino (MDUs, espaços de co-working) para fornecer isolamento de rede seguro sem sobrecarga de SSID.

Dynamic VLAN Steering

O processo de atribuição automática de um dispositivo a um segmento de rede específico (VLAN) com base nos atributos RADIUS retornados durante a autenticação 802.1X.

Permite que as equipes de TI usem um único SSID "Staff" enquanto separam com segurança o tráfego de RH, Financeiro e Recepção na camada de rede.

AAA Override

Uma configuração em controladores sem fio que força o ponto de acesso a aplicar as políticas (como IDs de VLAN) retornadas pelo servidor RADIUS.

Deve estar ativado em WLANs Ruckus para que o Dynamic VLAN Steering funcione corretamente.

Client Isolation

Um recurso de segurança que impede que dispositivos conectados à mesma rede sem fio se comuniquem diretamente entre si.

Um controle de segurança obrigatório para redes Guest WiFi públicas para evitar ataques ponto a ponto e garantir a conformidade.

Captive Network Assistant (CNA)

O mini-navegador integrado em sistemas operacionais móveis (como iOS e Android) que abre automaticamente quando um Captive Portal é detectado.

Os engenheiros devem gerenciar o comportamento do CNA por meio do Walled Garden para garantir uma experiência de login fluida para usuários móveis.

Exemplos práticos

Um hotel de 250 quartos precisa implantar três redes distintas em sua infraestrutura Ruckus SmartZone: uma rede pública para convidados, uma rede segura para funcionários com acesso ao sistema de gestão de propriedade e uma rede IoT isolada para termostatos inteligentes.

A equipe de TI configura três WLANs. A WLAN 'Guest-WiFi' usa autenticação Hotspot (WISPr) redirecionando para o Captive Portal do Purple, direcionando os usuários para a VLAN 10 com isolamento de cliente ativado. A WLAN 'Staff-Secure' usa autenticação 802.1X EAP integrada ao Purple SecurePass; o servidor RADIUS retorna Tunnel-Private-Group-ID = 20, direcionando dinamicamente os funcionários para a VLAN interna. A WLAN 'IoT-Devices' usa uma WPA2 PSK estática vinculada à VLAN 30, restrita via regras de firewall para se comunicar apenas com o servidor de controle dos termostatos.

Comentário do examinador: Esta arquitetura aplica corretamente o princípio do menor privilégio. Ao aproveitar o direcionamento dinâmico de VLAN para funcionários, o hotel evita a transmissão de múltiplos SSIDs específicos por departamento, reduzindo a utilização do canal e mantendo a segmentação estrita de rede exigida para a conformidade com o PCI DSS.

Um operador de espaço de co-working gerencia um edifício com 15 empresas locatárias diferentes. Eles precisam fornecer acesso sem fio seguro e isolado para cada empresa sem transmitir 15 SSIDs separados.

O operador implanta o Ruckus Unleashed e configura uma única WLAN 'Tenant-WiFi' usando segurança Dynamic PSK (DPSK). No controlador, eles ativam a atribuição de VLAN por DPSK. Cada uma das 15 empresas locatárias recebe uma senha exclusiva de 62 caracteres. Quando os funcionários da Empresa A se conectam usando sua chave específica, o controlador atribui automaticamente o tráfego deles à VLAN 101. Os funcionários da Empresa B usam uma chave diferente e entram na VLAN 102.

Comentário do examinador: Este é o caso de uso ideal para o Ruckus DPSK. Ele fornece isolamento de nível empresarial na camada de rede, mantendo o ambiente de RF limpo ao transmitir apenas um SSID. Também elimina o risco de segurança de uma senha compartilhada, pois a revogação do acesso da Empresa A exige a exclusão de uma única chave, sem impactar as outras 14 empresas.

Questões práticas

Q1. Você configurou uma rede WiFi de convidados em um controlador Ruckus SmartZone integrado ao Purple. Ao conectar um dispositivo de teste, a página do Captive Portal do Purple aparece, mas a imagem do logotipo está ausente e o botão 'Login com Facebook' não funciona. Qual é a causa mais provável?

Dica: Considere qual acesso à rede o dispositivo possui antes de se autenticar com sucesso.

Ver resposta modelo

O Walled Garden está configurado incorretamente. Os domínios que hospedam a imagem do logotipo (por exemplo, uma CDN) e os servidores de autenticação do Facebook não foram adicionados à lista de permissões do Walled Garden, fazendo com que o controlador SmartZone bloqueie essas requisições antes da autenticação.

Q2. Um engenheiro de rede está implantando 802.1X para acesso de funcionários. O servidor RADIUS do Purple está retornando corretamente o atributo `Tunnel-Private-Group-ID` para a VLAN 20. No entanto, quando os funcionários se conectam, eles são colocados na VLAN padrão atribuída ao SSID. Como você resolve isso?

Dica: O controlador está recebendo as instruções RADIUS, mas optando por ignorá-las.

Ver resposta modelo

Você deve habilitar o 'AAA Override' nas configurações avançadas do SSID no controlador SmartZone. Sem essa configuração habilitada, o controlador não aplicará os atributos de VLAN dinâmica retornados pelo servidor RADIUS.

Q3. Um espaço de co-working deseja fornecer WiFi seguro para 10 empresas diferentes. Atualmente, eles transmitem 10 SSIDs separados, o que está causando forte interferência de canal. Eles não podem usar 802.1X porque muitos dispositivos são impressoras compartilhadas ou smart TVs. Qual é a arquitetura Ruckus recomendada?

Dica: Procure uma solução que forneça chaves de criptografia exclusivas sem exigir certificados ou credenciais corporativas.

Ver resposta modelo

Implemente o Ruckus Dynamic PSK (DPSK) em um único SSID. Emita um DPSK exclusivo para cada empresa inquilina e configure o controlador para vincular cada DPSK a uma VLAN específica. Isso elimina o excesso de SSIDs, fornece isolamento de rede e oferece suporte a dispositivos sem interface de usuário, como impressoras.

Continue a ler esta série

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.

Ler o guia →

Integração do Cisco WLC e Catalyst com o Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia detalha a integração passo a passo do Cisco WLC e do Catalyst 9800 Wireless com a Purple, cobrindo o redirecionamento do Captive Portal do Guest WiFi via Central Web Authentication, WiFi seguro para funcionários usando 802.1X EAP-TLS e segmentação Multi-Tenant usando Cisco Identity Pre-Shared Keys (iPSK) com atribuição de VLAN dinâmica. Ele foi escrito para arquitetos de rede corporativa e diretores de segurança de TI que implantam infraestrutura Cisco em hotéis, varejo e grandes locais públicos.

Ler o guia →