Pular para o conteúdo principal
Português (Brasil)

Step-by-Step Guide: Configuring Ruijie Wireless Controllers for Guest WiFi Captive Portals

Este guia fornece um passo a passo técnico completo para configurar controladores e gateways sem fio Ruijie para implantar Captive Portals de WiFi para visitantes de nível corporativo. Ele abrange segmentação de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de walled garden e integração perfeita com a plataforma Identity-Based Networks da Purple para capturar dados primários e gerar valor de negócios mensurável em ambientes de hotelaria, varejo e setor público.

📖 8 min de leitura📝 1,834 palavras🔧 2 exemplos práticos4 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje, abordaremos um dos tópicos mais pesquisados em redes sem fio corporativas: como configurar controladores sem fio Ruijie para Captive Portals de WiFi seguro para convidados. Eu sou o seu anfitrião, e este é um briefing de dez minutos projetado para gerentes de TI, arquitetos de rede e diretores de operações de locais que precisam acertar de primeira. Vamos começar com o contexto. Se você gerencia a TI de um hotel, uma rede de varejo, um centro de convenções ou um grande local público, o WiFi para convidados não é mais apenas uma comodidade. É um requisito operacional fundamental. Os convidados esperam por isso. Os reguladores exigem que você trate os dados deles com responsabilidade. E sua equipe de marketing quer os dados primários que isso gera. O desafio é implantá-lo de forma segura em uma propriedade distribuída, em escala, sem criar uma dor de cabeça de conformidade. A Ruijie Networks é um dos maiores fornecedores de redes corporativas do mundo, com uma base instalada significativa em ambientes de hospitalidade, varejo e setor público. Seus controladores sem fio da série RG-WS e gateways da série RG-EG são plataformas robustas para WiFi corporativo para convidados, mas a configuração do Captive Portal exige uma execução precisa. Se errar, você acabará com uma brecha de segurança ou com um portal que simplesmente não funciona. Agora, vamos entrar na arquitetura técnica. A base absoluta de qualquer rede de convidados segura é o isolamento de tráfego. Você não pode ter dispositivos de convidados na mesma seção de rede que seus terminais de pagamento, laptops de funcionários ou servidores de back-office. O mecanismo para isso é a segmentação de VLAN. Em um ambiente Ruijie, você cria uma VLAN de convidados dedicada em seu switch principal, atribui a ela uma sub-rede IP separada e a direciona (trunk) para seus pontos de acesso. Uma implantação típica pode usar a VLAN dez para corporativo, VLAN vinte para voz, VLAN trinta para convidados e VLAN noventa e nove para gerenciamento. Isso é inegociável. Se você pular esta etapa, terá um WiFi conveniente, não um WiFi seguro. Uma vez que a rede esteja corretamente segmentada, passamos para a autenticação. Uma chave pré-compartilhada comum não é segurança corporativa. Ela não oferece responsabilidade, nem rastreamento de sessão individual e nenhuma maneira de revogar o acesso de um único usuário sem alterar a senha de todos. Em vez disso, usamos um Captive Portal externo com autenticação RADIUS. Veja como funciona o fluxo. Um convidado se conecta ao SSID aberto transmitido pelo ponto de acesso Ruijie. O gateway Ruijie intercepta o tráfego HTTP e emite um redirecionamento para uma splash page externa - neste caso, hospedada pela Purple. O convidado vê uma página de login personalizada. Ele se autentica, talvez por meio de registro de e-mail, login social ou aceitação com um clique. Os servidores da Purple processam essa autenticação e enviam uma mensagem RADIUS Accept de volta ao controlador Ruijie. O controlador então concede acesso à internet ao dispositivo. Todo esse fluxo usa o protocolo WISPr, que é a estrutura padrão para autenticação de Captive Portal externo em redes sem fio corporativas. O valor comercial aqui é significativo. Cada evento de autenticação captura um registro de consentimento. A plataforma da Purple armazena esses dados de maneira em conformidade com a GDPR e a CCPA, cria um banco de dados de marketing primário (first-party) e fornece análises de volta para a sua equipe. A Harrods utilizou essa abordagem para promover seu programa de fidelidade e obteve um retorno sobre o investimento de cinquenta e sete vezes. A c2c Rail alcançou cento e vinte e um por cento de retorno sobre o investimento e economizou setenta e seis mil libras em custos operacionais. Esse é o caso comercial para fazer isso da maneira correta. Agora, vamos passar pelas etapas de configuração específicas na interface do Ruijie Cloud ou do controlador local. Etapa um: crie o SSID de visitantes. Faça login no Ruijie Cloud ou no seu controlador local. Navegue até Device Config, selecione Wi-Fi em Wireless e crie um novo SSID. Dê a ele um nome claro, como Free Guest WiFi. Defina o modo de segurança como Open e atribua-o à sua VLAN de visitantes. Etapa dois: defina a política do Captive Portal. Navegue até Auth and Account e selecione Captive Portal em Authentication. Crie uma nova política. Defina o Policy Mode como External. Defina o Authentication Device para o seu gateway ou access point Ruijie. Selecione o SSID de visitantes. No campo Portal Server URL, insira a URL da sua splash page da Purple. Insira os endereços IP do servidor RADIUS da Purple. Etapa três: configure o Walled Garden, que a Ruijie chama de Allowlist. Este é o elemento configurado incorretamente com mais frequência em qualquer implantação de Captive Portal. O Walled Garden define qual tráfego pode passar antes de o usuário se autenticar. Se você não permitir explicitamente os domínios da Purple, a splash page não será carregada. Se você oferecer login via Facebook ou Google, mas não permitir seus domínios de OAuth, a autenticação travará no botão de login social. Adicione todos os domínios de infraestrutura da Purple necessários e todos os domínios de provedores sociais que você pretende suportar. Etapa quatro: configure o RADIUS. Adicione os endereços IP primário e secundário do servidor RADIUS da Purple. Insira o segredo compartilhado (shared secret) do seu painel da Purple. Certifique-se de que a bilhetagem RADIUS (accounting) esteja habilitada na porta 1813. Isso permite que a Purple rastreie a duração da sessão e o uso de dados com precisão, o que alimenta diretamente seus relatórios de analytics. Etapa cinco: aplique políticas de QoS. O acesso de visitantes sem restrições pode saturar seu link de internet. Defina limites rígidos de largura de banda por usuário no gateway Ruijie - normalmente de cinco a dez megabits de download e de dois a cinco de upload para uma implantação padrão de hospitalidade. Isso protege a experiência de todos os visitantes e evita que um único dispositivo degrade a rede. Agora, vamos cobrir as armadilhas críticas de implementação. A primeira é o Walled Garden. Não canso de enfatizar como isso é frequentemente a causa raiz de uma implantação com falha. Teste seu portal a partir de um dispositivo limpo, sem credenciais em cache. Se a página não carregar, verifique sua allowlist primeiro. A segunda armadilha é a configuração Portal Escape. Este recurso da Ruijie libera automaticamente o tráfego do usuário se o ponto de acesso e o servidor do portal ficarem inacessíveis. Parece útil, mas significa que usuários não autenticados ganham acesso à internet durante uma interrupção. Em um ambiente corporativo onde a captura de consentimento é um requisito legal, você deseja que isso seja desativado para impor uma autenticação rigorosa em todos os momentos. A terceira armadilha são as versões de firmware. Alguns recursos de Captive Portal - particularmente em relação a controles de largura de banda e atribuição dinâmica de VLAN - exigem versões específicas de firmware no gateway Ruijie. Verifique as notas de lançamento da Ruijie antes de implantar e garanta que seus dispositivos estejam executando uma versão de firmware compatível. Agora, para perguntas rápidas. Devo gerenciar o Captive Portal no ponto de acesso ou no gateway? Em uma implantação corporativa Ruijie, gerencie-o no gateway. Os gateways da série RG-EG são projetados para gerenciar a interceptação do portal externo e aplicar políticas de QoS. Os pontos de acesso concentram-se no desempenho de RF e na transmissão de SSID. Posso executar múltiplos Captive Portals em diferentes SSIDs? Sim. A Ruijie suporta múltiplas políticas de Captive Portal mapeadas para diferentes SSIDs. Você pode ter um portal de convidados padrão em um SSID e um portal premium pago em outro, cada um com diferentes limites de largura de banda e métodos de autenticação. Como faço para gerenciar uma implantação em múltiplos locais? Use a Ruijie Cloud para gerenciar a configuração de forma centralizada. Você pode enviar políticas de portal para todos os locais simultaneamente, garantindo a consistência e eliminando desvios de configuração por local. Para resumir os pontos principais. Segmente seu tráfego com VLANs antes de fazer qualquer outra coisa. Use autenticação RADIUS externa para capturar dados primários em conformidade. Configure seu Walled Garden meticulosamente e teste-o a partir de um dispositivo limpo. Tome uma decisão deliberada sobre o Portal Escape com base em seus requisitos de conformidade. Aplique QoS para proteger a experiência do usuário. E integre sua infraestrutura Ruijie com as Redes Baseadas em Identidade da Purple para transformar uma conexão básica em um ativo seguro, orientado por dados e gerador de receita. A Purple opera em mais de oitenta mil locais ativos, processou quatrocentos e quarenta milhões de logins em 2024 e possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Somos agnósticos em relação ao hardware, o que significa que seu investimento na Ruijie é totalmente compatível com nossa plataforma de sobreposição em nuvem. Obrigado por ouvir. Se você quiser explorar como a Purple se integra ao seu patrimônio Ruijie, visite purple dot ai slash guest dash wifi. Implante com segurança e nos vemos no próximo briefing.

header_image.png

Resumo executivo

Implementar WiFi de visitantes em uma empresa distribuída exige mais do que um SSID aberto. Para gerentes de TI e arquitetos de rede, o desafio é equilibrar o acesso contínuo com segurança rigorosa, conformidade com a GDPR e requisitos de captura de dados. Este guia detalha as etapas exatas de configuração para implantar um Captive Portal seguro e escalável usando controladores e gateways sem fio Ruijie - e mostra como a integração dessa infraestrutura com a plataforma Guest WiFi da Purple transforma uma conexão sem fio básica em um ativo em conformidade e gerador de receita.

Abordamos os pré-requisitos técnicos, estratégias de segmentação de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de walled garden e as configurações específicas de QoS necessárias para uma implantação de nível de produção. Quer você gerencie um hotel de 200 quartos, uma rede de varejo com 50 locais ou um estádio com 40.000 participantes, este guia fornece o modelo definitivo para uma configuração segura de Captive Portal Ruijie. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos da Purple), portanto, os padrões de integração descritos aqui são comprovados em escala.

architecture_overview.png

Arquitetura técnica e pré-requisitos

Antes de modificar seu controlador Ruijie, estabeleça a arquitetura de rede correta. Uma rede de visitantes segura exige isolamento completo do tráfego corporativo na Camada 2 - o nível do switch.

Segmentação de rede

A base de um WiFi de visitantes seguro é o isolamento de VLAN. Você deve criar uma VLAN de visitantes dedicada em seu gateway ou switch principal Ruijie. Isso garante que o tráfego de visitantes nunca se cruze com sistemas internos, terminais de pagamento ou dispositivos de funcionários. Um esquema padrão de VLAN corporativa para uma implantação Ruijie se parece com este:

ID da VLAN Finalidade Notas
10 Corporativo Dispositivos de funcionários, servidores internos
20 Voz Telefones VoIP
30 Visitante Captive Portal, apenas internet
40 IoT Impressoras, smart TVs, sensores
99 Gerenciamento Controlador, gerenciamento de switch

Para saber mais sobre por que as abordagens de nível de consumidor falham aqui, leia Por que equipamentos de WiFi domésticos não devem ser usados na sua rede de visitantes .

Componentes necessários

Para concluir esta implantação, você precisa de:

  • Uma conta Ruijie Cloud ou um Controlador Sem Fio local da série Ruijie RG-WS (por exemplo, RG-WS6008 ou RG-WS7110).
  • Um Gateway da série Ruijie RG-EG - necessário para autenticação de portal externo via WISPr.
  • Pontos de Acesso da série Ruijie RG-AP (por exemplo, RG-AP820-I, RG-AP850-AR).
  • Uma licença Purple Connect, Capture ou Engage.
  • Acesso UDP de saída nas portas 1812 (autenticação RADIUS) e 1813 (tarifação RADIUS) do gateway para os servidores da Purple.

Visão geral do protocolo de autenticação

A Ruijie suporta vários métodos de autenticação. Implantações corporativas devem usar autenticação RADIUS externa. Essa abordagem utiliza o protocolo WISPr (Wireless Internet Service Provider roaming) para redirecionar com segurança usuários não autenticados para a splash page da Purple, processar suas credenciais e retornar uma mensagem RADIUS Accept ou Reject para a controladora Ruijie.

comparison_chart.png

A tabela acima resume os cinco métodos de autenticação disponíveis nas plataformas Ruijie. O cadastro por e-mail e o login social são as escolhas mais comuns para ambientes de hotelaria e varejo porque capturam dados primários estruturados e em conformidade com a GDPR. Os códigos de voucher são adequados para salas de conferência e níveis de acesso pago. O RADIUS com 802.1X é reservado para redes de funcionários onde a identidade baseada em diretório é necessária.

Guia de implementação passo a passo

Siga estas etapas na interface do Ruijie Cloud ou da controladora local. Os caminhos de interface abaixo aplicam-se à nova interface do Ruijie Cloud (pós-2024) e à plataforma Ruijie JaCS.

Etapa 1: Configurar o SSID de convidados

Estabeleça a rede de transmissão sem fio.

  1. Faça login no Ruijie Cloud ou na interface web da controladora local.
  2. Navegue até Device Config e selecione Wi-Fi na seção Wireless.
  3. Clique em + para criar um novo SSID ou edite um existente.
  4. Defina o SSID Name (por exemplo, "Free Guest WiFi").
  5. Defina o Security Mode como Open - sem chave pré-compartilhada.
  6. Atribua o SSID à sua VLAN dedicada para convidados (por exemplo, VLAN 30).
  7. Salve a configuração do SSID.

Etapa 2: Definir a política do Captive Portal

Instrua a controladora a interceptar o tráfego de convidados e redirecioná-lo para a Purple.

  1. Navegue até Auth & Account e selecione Captive Portal em Authentication.
  2. Crie uma nova política. Defina um Policy Name descritivo (por exemplo, "Purple-Guest-Portal").
  3. Defina o Policy Mode como External.
  4. Defina o Authentication Device para o seu gateway Ruijie (série RG-EG) ou ponto de acesso.
  5. Selecione o SSID de convidados criado na Etapa 1.
  6. No campo Portal Server URL, insira a URL específica da sua splash page da Purple (disponível no seu painel da Purple em Configuração de Hardware).
  7. Insira os endereços IP do servidor RADIUS da Purple nos campos designados.
  8. Defina a duração do Seamless Online para corresponder à sua política de tempo limite de sessão (por exemplo, 24 horas para hotelaria, uma hora para varejo).
  9. Decida sobre o comportamento do Portal Escape - consulte a seção de Melhores Práticas abaixo.

Etapa 3: Configurar o walled garden (lista de permissões)

Um Captive Portal intercepta todo o tráfego até que o usuário se autentique. Certos tráfegos devem passar pela pré-autenticação para permitir que a página de login seja carregada e processe logins sociais. Este é o elemento configurado incorretamente com mais frequência em qualquer implantação de Captive Portal.

  1. Navegue até Auth & Account e selecione Allowlist.
  2. Adicione todos os domínios de infraestrutura da Purple exigidos. Seu painel da Purple fornece a lista exata para a sua região.
  3. Se você oferece login social, adicione os domínios OAuth para cada provedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: o domínio específico do seu tenant Okta
  4. Adicione os domínios de processadores de pagamento se você oferecer planos de WiFi pagos.
  5. Salve e aplique a allowlist.

Passo 4: Configurar a autenticação RADIUS

Configure o canal de comunicação seguro entre a Ruijie e a Purple.

  1. Navegue até as configurações do servidor RADIUS no seu controlador ou gateway Ruijie.
  2. Adicione o endereço IP do servidor RADIUS principal da Purple e a porta 1812 para autenticação.
  3. Adicione o endereço IP do servidor RADIUS secundário da Purple como failover.
  4. Insira o Shared Secret do seu painel da Purple. Ele deve ser exatamente igual.
  5. Adicione o servidor de tarifação (accounting) na porta 1813 e ative a tarifação RADIUS. Isso rastreia a duração da sessão e o uso de dados, alimentando diretamente os relatórios do WiFi Analytics da Purple.
  6. Defina o NAS Identifier com uma string significativa (por exemplo, o nome do seu estabelecimento) para distinguir o tráfego nos relatórios de analytics da Purple.

Passo 5: Aplicar políticas de QoS

O acesso de visitantes sem restrições pode saturar seu link de internet durante períodos de pico.

  1. Navegue até a seção de QoS ou gerenciamento de largura de banda do seu gateway Ruijie.
  2. Defina limites de download por usuário (por exemplo, 10 Mbps para hóspedes de hotel, 5 Mbps para clientes de varejo).
  3. Defina limites de upload por usuário (por exemplo, 2-5 Mbps).
  4. Desative o Client Escape para garantir que usuários não autenticados não consigam acessar a rede se o servidor do portal estiver temporariamente inacessível.
  5. Salve e envie a configuração para todos os dispositivos relevantes.

Passo 6: Testar a implantação

Sempre teste a partir de um dispositivo limpo, sem credenciais em cache.

  1. Conecte um dispositivo móvel ao SSID de visitantes.
  2. Abra um navegador e navegue até uma URL não HTTPS (por exemplo, http://example.com). O portal deve redirecionar.
  3. Verifique se a splash page da Purple carrega corretamente.
  4. Conclua o fluxo de autenticação.
  5. Confirme se o acesso à internet foi concedido após a autenticação.
  6. Verifique o painel da Purple para confirmar se a sessão aparece no seu analytics.

Melhores práticas para implantação corporativa

Segurança e conformidade

Nunca dependa de uma PSK compartilhada para acesso de convidados. Senhas compartilhadas não oferecem rastreabilidade e são impossíveis de revogar para um único usuário. Ao usar o Captive Portal da Purple com autenticação individual, você impõe o consentimento explícito para o processamento de dados, atendendo aos requisitos do Artigo 7 da GDPR. A Purple possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials, garantindo que o próprio mecanismo de captura de dados seja auditável.

Para uma análise mais aprofundada da arquitetura de segurança, leia nosso Enterprise WiFi Security: A Complete Guide for 2026 e What Is Secure WiFi: Essential Guide for Business 2026 .

Portal Escape: uma decisão deliberada

O recurso Portal Escape da Ruijie libera automaticamente o tráfego do usuário se o AP e o servidor do portal ficarem inacessíveis. Em um ambiente de hotelaria, você pode optar por ativá-lo — um convidado bloqueado fora do WiFi durante uma oscilação do servidor gera reclamações. Em um ambiente de varejo ou saúde, você pode optar por desativá-lo — o acesso não autenticado representa um risco de conformidade e segurança. Documente sua decisão e a justificativa em seu manual de operações de rede.

Consistência multi-site

Use a Ruijie Cloud para gerenciar a configuração de forma centralizada em todos os locais. Aplique políticas de portal simultaneamente para eliminar desvios de configuração por local — a causa mais comum de experiências inconsistentes de convidados em uma propriedade distribuída. O overlay de nuvem da Purple opera sob o mesmo princípio: um único painel, todos os locais.

Gerenciamento de firmware

Alguns recursos do Captive Portal da Ruijie — particularmente controles de largura de banda e atribuição dinâmica de VLAN — exigem versões específicas de firmware no gateway. As notas de lançamento da Ruijie documentam essas dependências. Certifique-se de que seus gateways RG-EG executem o firmware RGOS11.9(6)B17T1 ou superior para suporte completo a QoS em implantações gerenciadas na nuvem.

Solução de problemas e mitigação de riscos

Falha no carregamento da página do portal

Se o Captive Portal não aparecer quando um dispositivo se conectar, verifique primeiro as configurações do seu walled garden. O dispositivo deve resolver o DNS e alcançar a URL do portal Purple antes da autenticação. Verifique se a sua lista de permissões da Ruijie inclui todos os domínios necessários e se o seu servidor DNS está acessível a partir da VLAN de convidados.

Timeouts de autenticação

Se os usuários visualizarem o portal, mas não conseguirem fazer login, o problema geralmente está na configuração do RADIUS. Verifique os endereços IP do servidor RADIUS, as portas (1812 para autenticação, 1813 para tarifação/accounting) e o segredo compartilhado. Certifique-se de que seu firewall permita o tráfego UDP de saída nessas portas a partir do IP de gerenciamento do gateway Ruijie.

Travamento no login social

Se os usuários clicarem em um botão de login social e nada acontecer, o redirecionamento OAuth está sendo bloqueado. Adicione os domínios do provedor social necessários à sua lista de permissões da Ruijie. Teste permitindo temporariamente todo o tráfego antes da autenticação para confirmar que o portal funciona e, em seguida, restrinja a lista de permissões gradualmente.

Falhas na atribuição dinâmica de VLAN

Se você estiver usando RADIUS para atribuir usuários a VLANs dinamicamente, certifique-se de que a resposta do RADIUS inclua os atributos de VLAN corretos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). O RG-EG310GH-E da Ruijie e gateways semelhantes suportam atribuição dinâmica de VLAN, mas o recurso requer configuração explícita tanto no servidor RADIUS quanto no gateway.

ROI e impacto nos negócios

A implantação de um Captive Portal seguro transforma o WiFi de visitantes de um centro de custo em um ativo estratégico. A plataforma de WiFi Analytics da Purple, integrada à sua infraestrutura Ruijie, captura dados primários (first-party data), constrói listas de contatos de alta intenção e fornece insights acionáveis sobre o comportamento dos visitantes em todas as suas propriedades.

A Harrods usou o Guest WiFi da Purple para promover seu programa de fidelidade, alcançando uma taxa de opt-in líder de mercado e um ROI de 57x (dados de clientes Purple). A c2c Rail usou a Purple para incentivar reservas diretas, obtendo um retorno sobre o investimento de 121% e economizando £76.000 em custos operacionais (dados de clientes Purple). A Pizza Express implantou a Purple em mais de 470 restaurantes para construir perfis de clientes mais ricos.

Para operadores de hospitalidade , os dados capturados no login - e-mail, dados demográficos, frequência de visitas - alimentam diretamente os sistemas de CRM e programas de fidelidade. Para ambientes de varejo , as análises de visitas recorrentes identificam seus compradores de maior valor. Para hubs de transporte , os dados de fluxo de passageiros otimizam o dimensionamento de equipes e o planejamento de espaços comerciais.

A Purple se integra com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet - além da Ruijie - tornando-se a sobreposição em nuvem agnóstica de hardware que funciona com sua infraestrutura existente em vez de substituí-la.

Guias relacionados: Grandstream GWN Access Points Integration with Purple WiFi

Definições principais

Captive Portal

Uma página web que o usuário de uma rede de acesso público deve visualizar e interagir antes que o acesso à internet seja concedido. Ela intercepta todo o tráfego HTTP e redireciona o navegador do usuário para a página do portal.

O mecanismo principal para impor a autenticação em redes WiFi de convidados. Usado em hotéis, varejo, estádios e locais do setor público para controlar o acesso e capturar o consentimento.

Walled garden

Uma lista de permissões de pré-autenticação que permite que domínios e endereços IP específicos ignorem a interceptação do Captive Portal. O tráfego para esses destinos é permitido antes que o usuário se autentique.

Essencial para permitir que os dispositivos carreguem a splash page, acessem provedores de login social e processem fluxos de pagamento antes que o usuário esteja totalmente autenticado. A configuração incorreta aqui é a principal causa de falhas no Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Bilhetagem (Accounting) para usuários que se conectam a um serviço de rede.

O protocolo seguro que as controladoras Ruijie usam para se comunicar com os servidores da Purple. As solicitações de autenticação vão para a porta 1812 (UDP); os registros de bilhetagem (accounting) vão para a porta 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Uma especificação de protocolo que define como um Captive Portal redireciona usuários não autenticados para uma página de login e como a controladora de acesso recebe o resultado da autenticação.

O framework de protocolo específico usado pela Ruijie e pela Purple para lidar com o redirecionamento externo do Captive Portal e o fluxo de autenticação. Necessário para o modo de portal externo em gateways Ruijie.

Isolamento de VLAN

A prática de separar o tráfego de rede em redes locais virtuais distintas no nível do switch, impedindo que dispositivos em VLANs diferentes se comuniquem diretamente.

Inegociável para redes de convidados. Garante que os dispositivos dos convidados não possam se comunicar com servidores corporativos, notebooks de funcionários ou terminais de pagamento, mesmo que estejam conectados à mesma infraestrutura física.

Portal Escape

Um recurso da Ruijie que libera automaticamente o tráfego do usuário se o ponto de acesso e o servidor do portal ficarem inacessíveis, permitindo o acesso não autenticado à internet durante uma interrupção.

Um equilíbrio deliberado entre disponibilidade e segurança. Operadores de hotelaria podem ativá-lo para evitar reclamações de hóspedes durante interrupções. Operadores de saúde e varejo normalmente o desativam para impor uma autenticação rigorosa em todos os momentos.

SSID

Service Set Identifier. O nome público de uma rede sem fio que os dispositivos exibem em sua lista de redes disponíveis.

O nome da rede que os convidados selecionam em seus dispositivos, o que aciona o redirecionamento do Captive Portal. Cada SSID em uma implantação Ruijie é mapeado para uma VLAN e política de autenticação específicas.

QoS

Quality of Service. Um conjunto de tecnologias que gerenciam o tráfego de dados para reduzir a perda de pacotes, latência e jitter, e para garantir um desempenho previsível para tipos de tráfego específicos.

Usado em redes de convidados para limitar a largura de banda por usuário, evitando que um único dispositivo sature o link de internet e degrade a experiência de todos os outros usuários conectados.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, fornecendo um mecanismo de autenticação para dispositivos que se conectam a uma LAN ou WLAN.

Usado para redes de funcionários que exigem identidade baseada em diretório (por exemplo, via Microsoft Entra ID ou Okta). Não é normalmente usado para redes de convidados, onde um Captive Portal com RADIUS é o padrão apropriado.

Exemplos práticos

Um hotel de 250 quartos usa pontos de acesso Ruijie RG-AP820-I e um gateway RG-EG310GH-E. Eles exigem que os hóspedes se autentiquem por e-mail para criar um banco de dados de marketing. A gerência está preocupada com a possibilidade de os hóspedes burlarem o portal e com a saturação da largura de banda nos horários de pico durante eventos de conferência.

A equipe de TI cria uma VLAN de visitantes dedicada (VLAN 40) no switch principal e a conecta ao gateway e aos APs Ruijie. No Ruijie Cloud, eles criam um SSID aberto mapeado para a VLAN 40. Eles configuram uma política de Captive Portal externo apontando para a URL da splash page da Purple, com a URL do Portal Server e as credenciais RADIUS do painel da Purple. Crucialmente, eles configuram o Walled Garden para permitir o tráfego apenas para os domínios da Purple e desativam o recurso Portal Escape no gateway Ruijie, impedindo o acesso não autenticado durante qualquer interrupção do portal. Eles aplicam uma política de QoS limitando cada cliente a 10 Mbps de download e 3 Mbps de upload. Para eventos de conferência, eles criam um SSID separado na VLAN 50 com um portal baseado em vouchers e limites de largura de banda mais rígidos de 5 Mbps por dispositivo.

Comentário do examinador: Essa abordagem isola corretamente o tráfego de visitantes na Camada 2, impõe a autenticação RADIUS externa para captura de dados em conformidade com a GDPR e aplica controles de largura de banda proporcionais ao caso de uso. Desativar o Portal Escape é uma decisão de segurança deliberada que impede o acesso não autenticado durante interrupções na rede. O SSID de conferência separado com autenticação por voucher é um padrão prático para locais que hospedam tanto hóspedes transitórios quanto participantes de eventos com requisitos de acesso diferentes.

Uma rede de varejo com 50 lojas usa controladores Ruijie WS6008. Eles implementam login social (Facebook e Google Workspace) para compradores que acessam o WiFi, mas a página do portal trava quando os usuários clicam nos botões de login social. O problema afeta todas as 50 lojas simultaneamente.

O gerente de TI identifica que a configuração da Lista de Permissões (Walled Garden) nos controladores Ruijie não contém os domínios OAuth exigidos pelo Facebook e pelo Google. Embora a URL do portal da Purple tenha sido permitida corretamente, os domínios dos provedores sociais necessários para o handshake OAuth foram bloqueados pela interceptação do Captive Portal. A equipe adiciona os domínios curinga necessários - especificamente *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - à Lista de Permissões da Ruijie. Eles enviam a configuração atualizada para todas as 50 lojas simultaneamente via Ruijie Cloud, resolvendo o problema em toda a rede em uma única operação.

Comentário do examinador: A configuração incorreta do walled garden é a causa mais comum de falha no login social em implantações de Captive Portal. O Captive Portal deve permitir explicitamente o tráfego de pré-autenticação para os domínios OAuth dos provedores de identidade, caso contrário, o processo de redirecionamento não poderá ser concluído. O uso do Ruijie Cloud para envio centralizado de configuração é a abordagem correta para uma rede com várias lojas - a configuração manual por local em 50 lojas seria propensa a erros e demorada.

Questões práticas

Q1. Você configurou um Captive Portal externo em um gateway Ruijie RG-EG. Os convidados se conectam ao SSID, mas seus dispositivos relatam "Sem Conexão com a Internet" e a página do portal nunca carrega. Qual é o erro de configuração mais provável e como você o resolve?

Dica: Considere quais operações de rede devem ser bem-sucedidas antes mesmo que o usuário possa ver a página de login.

Ver resposta modelo

O jardim murado (Allowlist) está mal configurado. O gateway Ruijie está bloqueando a resolução de DNS ou o tráfego HTTP necessário para alcançar a URL externa da splash page da Purple. Antes da autenticação, o dispositivo deve ser capaz de resolver o domínio do portal e fazer uma conexão HTTP com ele. Adicione os domínios específicos da Purple à lista de permissões pré-autenticação na seção Ruijie Auth & Account. Verifique também se a VLAN de convidados possui um servidor DNS válido atribuído via DHCP.

Q2. Um diretor de TI de um estádio deseja implantar APs Ruijie para o WiFi dos torcedores durante os eventos. Eles querem coletar dados de marketing, mas estão preocupados que a autenticação RADIUS cause atrasos quando 10.000 torcedores se conectarem simultaneamente durante os primeiros 30 minutos de abertura dos portões. Como eles devem projetar o fluxo de autenticação para equilibrar a captura de dados com a experiência do usuário?

Dica: Considere o equilíbrio entre a riqueza de dados e o atrito de autenticação em escala.

Ver resposta modelo

Eles devem usar o One-Click Login da Purple para torcedores que já se autenticaram anteriormente, o que ignora o preenchimento de formulários e reduz a carga do RADIUS. Para novos torcedores, um formulário minimalista de captura de e-mail é preferível ao login social, que exige etapas adicionais de ida e volta do OAuth. O gateway Ruijie deve ser dimensionado para lidar com requisições RADIUS simultâneas - para 10.000 conexões simultâneas, é necessário um gateway da série RG-EG de alta capacidade. Ativar o Seamless Online com uma duração de sessão de 30 dias significa que os torcedores recorrentes se conectam automaticamente nos eventos subsequentes. Os limites de QoS devem ser rígidos (5 Mbps por dispositivo) para evitar que os primeiros a chegar saturem o link antes da chegada do grande público.

Q3. Durante uma auditoria de segurança, um testador de invasão acessa o servidor de arquivos corporativo enquanto está conectado ao SSID "Guest WiFi" transmitido por um AP Ruijie. A rede de convidados usa um Captive Portal configurado corretamente. Como você resolve essa vulnerabilidade crítica?

Dica: Autenticação e segmentação de rede são preocupações distintas. Uma não implica a outra.

Ver resposta modelo

O Captive Portal está funcionando corretamente, mas a isolação de VLAN está ausente ou mal configurada. O SSID de convidados está direcionando usuários autenticados para a VLAN corporativa ou VLAN nativa, que possui acesso de roteamento aos servidores internos. Você precisa: (1) criar uma VLAN de convidados dedicada (ex: VLAN 50) no switch principal; (2) atribuir o SSID de convidados à VLAN 50 no controlador Ruijie; (3) configurar as portas do switch que conectam os APs como trunks 802.1Q permitindo a VLAN 50; (4) configurar o gateway Ruijie para bloquear o roteamento entre a VLAN 50 e todas as sub-redes corporativas, permitindo apenas o tráfego direcionado à internet a partir da VLAN de convidados. Autenticação e segmentação de rede são controles independentes - ambos devem ser configurados corretamente.

Q4. Sua implantação Ruijie tem o Portal Escape ativado. Durante uma janela de manutenção planejada nos servidores RADIUS da Purple, você percebe que os convidados estão acessando a internet sem se autenticar. Esse é o comportamento esperado e quais são as implicações de conformidade?

Dica: Considere o propósito do Portal Escape e suas obrigações com a GDPR.

Ver resposta modelo

Sim, este é o comportamento esperado do Portal Escape. Quando o servidor do portal está inacessível, o Ruijie libera automaticamente o tráfego para manter a conectividade. No entanto, isso cria uma lacuna de conformidade: os usuários estão acessando a internet sem fornecer consentimento para o processamento de dados, o que pode violar os requisitos da GDPR se os seus termos de serviço ou captura de dados estiverem vinculados ao evento de autenticação. Para locais onde a captura de consentimento é um requisito legal ou comercial, o Portal Escape deve ser desativado. Agende a manutenção do servidor RADIUS durante períodos de atividade mínima de convidados e comunique a janela de manutenção à gerência do local. Considere a implementação de um servidor RADIUS secundário da Purple como failover para eliminar completamente esse cenário.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, impor a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ler o guia →

Melhores Práticas de Captive Portal: Projetando para Alta Conversão e Conformidade

Este guia técnico oferece aos gerentes de TI, arquitetos de rede e diretores de operações de locais um roteiro completo para a implantação de captive portals que equilibram a segurança de rede com uma alta conversão de usuários. O guia abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até o design de consentimento em conformidade com a GDPR e a seleção de métodos de autenticação. Extraído da experiência operacional da Purple em mais de 80.000 locais e 440 milhões de logins em 2024, cada recomendação é baseada em dados reais de implantação.

Ler o guia →

Como otimizar Captive Portals para máxima segurança de rede e conversão de usuários

Este guia fornece um blueprint técnico completo para otimizar captive portals em ambientes corporativos, cobrindo arquitetura de segmentação de rede, seleção de métodos de autenticação, design de consentimento em conformidade com o GDPR e otimização de conversão. Ele foi escrito para gerentes de TI, arquitetos de rede e CTOs em hotéis, redes de varejo, estádios e organizações do setor público que precisam equilibrar a segurança de rede com a captura de dados primários (first-party data). A Purple opera a infraestrutura de captive portal em mais de 80.000 locais, com 440 milhões de logins em 2024, e as estruturas apresentadas aqui refletem essa experiência operacional.

Ler o guia →