DrayTek Vigor e guest WiFi: configuração do Captive Portal com a Purple

Bem-vindo ao Briefing de Integração Purple. Hoje analisaremos os roteadores DrayTek Vigor e os pontos de acesso VigorAP, e especificamente como integrá-los com o Purple WiFi. Este briefing é destinado a gerentes de TI e arquitetos de rede que implantam redes de convidados, funcionários e multi-tenant em locais de PMEs e de médio porte. Vamos começar pelo contexto. O hardware DrayTek é incrivelmente popular no varejo, hotelaria e unidades multifamiliares porque oferece recursos robustos de roteamento, VPN e wireless a um preço competitivo. Quando você combina um roteador DrayTek Vigor com o Purple, você transforma uma conexão de internet padrão em uma Rede Baseada em Identidade. O Purple tem mais de 80.000 locais ativos e processa 440 milhões de logins por ano. Nós trazemos o Captive Portal, as análises e a camada de segurança. A DrayTek fornece a infraestrutura de borda confiável. Vamos entrar no detalhamento técnico. Como realmente fazemos isso funcionar? O núcleo da integração depende da autenticação RADIUS e do redirecionamento de Captive Portal externo. Primeiro, a configuração do WiFi de Convidados. Você configurará o roteador DrayTek Vigor como um gateway de Hotspot Web Portal. Na interface do DrayOS, em Applications e RADIUS, você adiciona o IP do servidor RADIUS do Purple e o shared secret. Em seguida, em Hotspot Web Portal, você define o Portal Method como External Server e cola a sua URL de acesso específica do Purple. O roteador DrayTek intercepta o tráfego de convidados, o redireciona para a sobreposição em nuvem do Purple para autenticação e, em seguida, usa o RADIUS para conceder o acesso. Um passo crítico aqui é o Walled Garden. Os convidados precisam alcançar os servidores do Purple antes de serem autenticados. Você deve configurar a guia Destination Domain no perfil do DrayTek Hotspot para permitir o tráfego para os domínios de autenticação do Purple. Se você esquecer disso, a splash page simplesmente não será carregada. Este é um dos erros mais comuns durante a implantação inicial. Agora, e quanto ao WiFi de Funcionários? Para acesso seguro da equipe, você não usa um Captive Portal. Você usa a autenticação 802.1X, que é o padrão IEEE para controle de acesso à rede baseado em porta. Nas configurações de Wireless LAN Security do DrayTek, você seleciona WPA2 barra 802.1X e aponta para o servidor RADIUS do Purple. Os dispositivos dos funcionários se autenticam de forma transparente usando PEAP e MS-CHAPv2. Isso elimina completamente as senhas compartilhadas e permite revogar o acesso instantaneamente quando um funcionário sai do emprego. Não há necessidade de alterar uma senha em todo o estabelecimento. Vamos falar sobre ambientes Multi-Tenant. Pense em acomodações estudantis, espaços de coworking ou concessões de varejo. Você precisa de segmentação de rede. A DrayTek lida com isso usando VLANs e Multiple PSK, também conhecido como PPSK ou Private Pre-Shared Key. Você configura VLANs no roteador DrayTek. Por exemplo, VLAN 10 para Convidados, VLAN 20 para Funcionários e VLAN 30 para Inquilinos. Usando o recurso WPA2-PPSK da DrayTek nos VigorAPs, cada inquilino recebe uma frase secreta exclusiva. Quando eles se conectam, o ponto de acesso vincula essa frase secreta ao seu endereço MAC e os insere em sua VLAN isolada. Isso significa que o inquilino de uma cafeteria no térreo de um hotel não consegue ver a rede interna do hotel, mesmo que compartilhem o mesmo ponto de acesso físico. A atribuição dinâmica de VLAN leva isso além. O servidor RADIUS da Purple pode retornar atributos RADIUS específicos quando um usuário se autentica. Esses são os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O roteador DrayTek lê esses valores e atribui dinamicamente o cliente autenticado à VLAN correta. Isso é o Identity-Based Networking na prática: a rede se adapta à identidade do usuário, e não o contrário. Passando para as Recomendações de Implementação e Armadilhas. Recomendação um: Use sempre um backhaul com fio para seus VigorAPs. Sistemas de distribuição sem fio, ou repetidores universais, não conseguem passar as tags VLAN 802.1Q necessárias para uma segmentação de rede adequada. Se você deseja uma rede de convidados isolada de sua LAN interna, precisa dessas tags VLAN intactas, e isso significa um cabo Ethernet físico de cada ponto de acesso de volta ao roteador DrayTek ou a um switch gerenciado. Recomendação dois: Ative o AP-Assisted Mobility nos VigorAPs. Esse recurso desassocia de forma inteligente clientes com sinal fraco, forçando-os a fazer o roaming para um ponto de acesso mais próximo. Ele resolve o problema de "sticky client" que afeta muitas implantações de PMEs. Em um ambiente de varejo, um cliente que caminha da frente para os fundos da loja deve fazer a transição perfeita entre os pontos de acesso. Sem o AP-Assisted Mobility, o dispositivo dele pode se manter conectado ao ponto de acesso frontal, mesmo quando o sinal estiver fraco. Recomendação três: Planeje seu esquema de numeração de VLAN antes de começar. Alterar os IDs de VLAN após a implantação exige a reconfiguração do roteador, de todos os pontos de acesso e, potencialmente, de quaisquer switches gerenciados no caminho. Documente seu esquema claramente. A maior armadilha? Esquecer de reiniciar o roteador DrayTek após aplicar as configurações de RADIUS e Hotspot. O DrayOS exige uma reinicialização para aplicar essas alterações específicas. Se você pular isso, passará horas solucionando problemas em uma configuração que na verdade está correta, mas simplesmente ainda não está ativa. Isso está documentado no guia de suporte oficial da Purple para o hardware DrayTek. Vamos fazer um Pergunta e Resposta rápido. Pergunta: Posso usar o servidor RADIUS interno do roteador Vigor?Resposta: Você pode para autenticação 802.1X local, mas para a integração com a Purple, você deve usar os servidores RADIUS externos da Purple. É isso que permite o gerenciamento centralizado de políticas e os relatórios analíticos que a Purple fornece. Pergunta: O DrayTek suporta direcionamento dinâmico de VLAN via RADIUS? Resposta: Sim. O servidor RADIUS da Purple retorna os atributos Tunnel-Type e Tunnel-Private-Group-ID na autenticação. O roteador DrayTek lê esses atributos e atribui dinamicamente o cliente à VLAN correta. Pergunta: O que acontece se o dispositivo iOS de um usuário usar um endereço MAC privado com PPSK? Resposta: A autenticação falhará. O perfil PPSK se vincula a um endereço MAC específico. Você deve instruir os usuários a desativar o Endereço WiFi Privado para sua rede específica nas configurações do iOS para garantir uma conectividade estável. Pergunta: Quais modelos DrayTek são suportados com a Purple? Resposta: Os modelos atualmente suportados incluem as séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Verifique a documentação de suporte da Purple para obter a lista mais recente. Para resumir. DrayTek e Purple juntos oferecem controle de rede de nível corporativo a preços de PMEs. Você usa o Captive Portal de Hotspot para convidados, 802.1X para funcionários e PPSK com VLANs para inquilinos. Mapeie suas VLANs com cuidado, configure seus walled gardens e sempre reinicie após aplicar as configurações de RADIUS. Use backhaul cabeado para seus pontos de acesso, ative a Mobilidade Assistida por AP e planeje-se para a randomização de MAC em dispositivos iOS. Obrigado por ouvir este briefing técnico. Configure seu hardware e nos vemos na plataforma Purple.