Pular para o conteúdo principal

Guia Passo a Passo: Configurando Controladoras Sem Fio Ruijie para Captive Portals de Guest WiFi

Este guia fornece um passo a passo técnico completo para configurar controladoras sem fio e gateways Ruijie para implantar Captive Portals de guest WiFi de nível empresarial. Abrange segmentação de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de walled garden e integração perfeita com a plataforma Identity-Based Networks da Purple para capturar dados primários e gerar valor de negócios mensurável em ambientes de hospitalidade, varejo e setor público.

📖 8 min de leitura📝 1,834 palavras🔧 2 exemplos práticos4 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje, abordaremos um dos tópicos mais pesquisados em redes sem fio corporativas: como configurar controladores sem fio Ruijie para captive portals seguros de WiFi para convidados. Sou o seu anfitrião, e este é um briefing de dez minutos projetado para gerentes de TI, arquitetos de rede e diretores de operações de locais que precisam acertar de primeira. Vamos começar com o contexto. Se você gerencia a TI de um hotel, uma rede de varejo, um centro de convenções ou um grande local público, o WiFi para convidados não é mais apenas uma comodidade. É um requisito operacional fundamental. Os convidados esperam por isso. Os reguladores exigem que você manuseie os dados deles com responsabilidade. E sua equipe de marketing deseja os dados primários que ele gera. O desafio é implantá-lo com segurança em uma propriedade distribuída, em escala, sem criar uma dor de cabeça de conformidade. A Ruijie Networks é um dos maiores fornecedores de redes corporativas do mundo, com uma base instalada significativa nos setores de hospitalidade, varejo e público. Seus controladores sem fio da série RG-WS e gateways da série RG-EG são plataformas robustas para WiFi corporativo de convidados, mas a configuração do captive portal exige execução precisa. Se errar, você acabará com uma lacuna de segurança ou com um portal que simplesmente não funciona. Agora, vamos entrar na arquitetura técnica. A base absoluta de qualquer rede de convidados segura é o isolamento de tráfego. Você não pode ter dispositivos de convidados na mesma seção de rede que seus terminais de pagamento, notebooks de funcionários ou servidores administrativos. O mecanismo para isso é a segmentação por VLAN. Em um ambiente Ruijie, você cria uma VLAN de convidados dedicada em seu switch principal, atribui a ela uma sub-rede IP separada e a direciona via trunking para seus pontos de acesso. Uma implantação típica pode usar VLAN 10 para corporativo, VLAN 20 para voz, VLAN 30 para convidados e VLAN 99 para gerenciamento. Isso é inegociável. Se você pular esta etapa, terá um WiFi conveniente, não um WiFi seguro. Uma vez que a rede está corretamente segmentada, passamos para a autenticação. Uma chave pré-compartilhada comum não representa segurança corporativa. Ela não oferece responsabilidade, rastreamento de sessão individual e nenhuma maneira de revogar o acesso de um único usuário sem alterar a senha de todos. Em vez disso, usamos um captive portal externo com autenticação RADIUS. Veja como funciona o fluxo. Um convidado se conecta ao SSID aberto transmitido pelo ponto de acesso Ruijie. O gateway Ruijie intercepta seu tráfego HTTP e emite um redirecionamento para uma splash page externa - neste caso hospedada pela Purple. O convidado vê uma página de login personalizada com a marca. Eles se autenticam, talvez por meio de registro de e-mail, login social ou aceitação com um clique. Os servidores da Purple processam essa autenticação e enviam uma mensagem RADIUS Accept de volta para o controlador Ruijie. O controlador então concede ao dispositivo acesso à internet. Todo esse fluxo usa o protocolo WISPr, que é a estrutura padrão para autenticação de captive portal externo em redes sem fio corporativas. O valor comercial aqui é significativo. Cada evento de autenticação captura um registro de consentimento. A plataforma da Purple armazena esses dados de maneira em conformidade com o GDPR e a CCPA, cria um banco de dados de marketing primário (first-party) e envia análises de volta para sua equipe. A Harrods usou essa abordagem para promover seu programa de fidelidade e obteve um retorno sobre o investimento de cinquenta e sete vezes. A c2c Rail alcançou cento e vinte e um por cento de retorno sobre o investimento e economizou setenta e seis mil libras em custos operacionais. Esse é o caso comercial para fazer isso corretamente. Agora vamos passar pelas etapas de configuração específicas na interface do Ruijie Cloud ou do controlador local. Passo um: crie o SSID de convidado. Faça login no Ruijie Cloud ou no seu controlador local. Navegue até Device Config, selecione Wi-Fi sob Wireless e crie um novo SSID. Dê a ele um nome claro, como Free Guest WiFi. Defina o modo de segurança como Open e atribua-o à sua VLAN de convidados. Passo dois: defina a política do Captive Portal. Navegue até Auth and Account e selecione Captive Portal sob Authentication. Crie uma nova política. Defina o Policy Mode como External. Defina o Authentication Device para o seu gateway ou access point Ruijie. Selecione o SSID de convidado. No campo Portal Server URL, insira a URL da sua splash page da Purple. Insira os endereços IP do servidor RADIUS da Purple. Passo três: configure o Walled Garden, que a Ruijie chama de Allowlist. Este é o elemento configurado incorretamente com mais frequência em qualquer implantação de Captive Portal. O Walled Garden define qual tráfego pode passar antes de o usuário se autenticar. Se você não permitir explicitamente os domínios da Purple, a splash page não será carregada. Se você oferecer login via Facebook ou Google, mas não permitir seus domínios OAuth, a autenticação travará no botão de login social. Adicione todos os domínios de infraestrutura da Purple exigidos e todos os domínios de provedores sociais que pretende suportar. Passo quatro: configure o RADIUS. Adicione os endereços IP primário e secundário do servidor RADIUS da Purple. Insira o segredo compartilhado do seu painel da Purple. Certifique-se de que o RADIUS accounting está habilitado na porta 1813. Isso permite que a Purple rastreie a duração da sessão e o uso de dados com precisão, o que alimenta diretamente seus relatórios de análise. Passo cinco: aplique políticas de QoS. O acesso de convidados irrestrito pode saturar seu link de internet. Defina limites estritos de largura de banda por usuário no gateway Ruijie - normalmente de cinco a dez megabits de download e de dois a cinco de upload para uma implantação padrão de hospitalidade. Isso protege a experiência de todos os convidados e evita que um único dispositivo degrade a rede. Agora vamos abordar os erros críticos de implementação. O primeiro é o Walled Garden. Não canso de enfatizar com que frequência essa é a causa raiz de uma implantação malsucedida. Teste seu portal a partir de um dispositivo limpo e sem credenciais em cache. Se a página não carregar, verifique sua allowlist primeiro. A segunda armadilha é a configuração Portal Escape. Este recurso do Ruijie libera automaticamente o tráfego do usuário se o ponto de acesso e o servidor do portal ficarem inacessíveis. Parece útil, mas significa que usuários não autenticados ganham acesso à internet durante uma interrupção. Em um ambiente corporativo onde a captura de consentimento é um requisito legal, você deve manter isso desativado para impor uma autenticação rigorosa em todos os momentos. A terceira armadilha são as versões de firmware. Alguns recursos de Captive Portal - especialmente em relação a controles de largura de banda e atribuição dinâmica de VLAN - exigem versões de firmware específicas no gateway Ruijie. Verifique as notas de lançamento do Ruijie antes de implantar e garanta que seus dispositivos estejam executando uma versão de firmware compatível. Agora, vamos para as perguntas rápidas. Devo gerenciar o Captive Portal no ponto de acesso ou no gateway? Em uma implantação corporativa Ruijie, gerencie no gateway. Os gateways da série RG-EG são projetados para gerenciar a interceptação de portal externo e aplicar políticas de QoS. Os pontos de acesso focam no desempenho de RF e transmissão de SSID. Posso executar múltiplos Captive Portals em SSIDs diferentes? Sim. O Ruijie suporta múltiplas políticas de Captive Portal mapeadas para diferentes SSIDs. Você pode ter um portal de convidados padrão em um SSID e um portal premium pago em outro, cada um com diferentes limites de largura de banda e métodos de autenticação. Como gerencio uma implantação em múltiplos locais? Use a Ruijie Cloud para gerenciar a configuração de forma centralizada. Você pode enviar políticas de portal para todos os locais simultaneamente, garantindo consistência e eliminando desvios de configuração por local. Para resumir os pontos principais. Segmente seu tráfego com VLANs antes de fazer qualquer outra coisa. Use autenticação RADIUS externa para capturar dados primários em conformidade. Configure seu Walled Garden meticulosamente e teste-o em um dispositivo limpo. Tome uma decisão consciente sobre o Portal Escape com base em seus requisitos de conformidade. Aplique QoS para proteger a experiência do usuário. E integre sua infraestrutura Ruijie com as Redes Baseadas em Identidade da Purple para transformar uma conexão básica em um ativo seguro, orientado a dados e gerador de receita. A Purple opera em mais de oitenta mil locais ativos, processou quatrocentos e quarenta milhões de logins em 2024 e possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Somos agnósticos em relação ao hardware, o que significa que seu investimento em Ruijie é totalmente compatível com nossa plataforma de sobreposição em nuvem. Obrigado por ouvir. Se quiser explorar como a Purple se integra à sua infraestrutura Ruijie, visite purple.ai/guest-wifi. Implante com segurança e nos vemos no próximo briefing.

header_image.png

Resumo Executivo

Implantar WiFi para convidados em empresas distribuídas envolve mais do que apenas fornecer um SSID aberto. Para gerentes de TI e arquitetos de rede, o desafio está em equilibrar o acesso contínuo com segurança rigorosa, conformidade com a GDPR e necessidades de aquisição de dados. Este guia detalha as etapas específicas de configuração necessárias para implantar um Captive Portal seguro e escalável usando controladores e gateways sem fio Ruijie, ilustrando como a integração dessa infraestrutura com a plataforma de Guest WiFi da Purple transforma a conectividade sem fio básica em um ativo em conformidade e gerador de receita.

Abordaremos os pré-requisitos técnicos, estratégias de isolamento de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de Walled Garden e as configurações de QoS específicas necessárias para implantação em nível de produção. Quer você gerencie um hotel de 200 quartos, uma rede de varejo de 50 lojas ou um estádio com capacidade para 40.000 pessoas, este guia fornece o modelo definitivo para uma configuração segura de Captive Portal da Ruijie. Operando em mais de 80.000 locais ativos em todo o mundo e processando 440 milhões de logins em 2024 (dados internos da Purple), os padrões de integração descritos aqui são comprovados em escala.

architecture_overview.png

Arquitetura Técnica e Pré-requisitos

Antes de modificar seu controlador Ruijie, estabeleça a arquitetura de rede correta. Uma rede de convidados segura requer isolamento completo do tráfego corporativo na Camada 2 (nível de switch).

Segmentação de Rede

A base de um WiFi para convidados seguro é o isolamento de VLAN. Você deve criar uma VLAN dedicada para convidados no gateway Ruijie ou no switch principal. Isso garante que o tráfego de convidados nunca intersete com sistemas internos, terminais de pagamento ou dispositivos de funcionários. Um esquema padrão de VLAN corporativa para implantações Ruijie é mostrado abaixo:

ID da VLAN Finalidade Notas
10 Corporativo Dispositivos de funcionários, servidores internos
20 Voz Telefones VoIP
30 Convidado Captive Portal, apenas internet
40 IoT Impressoras, TVs inteligentes, sensores
99 Gerenciamento Controlador, gerenciamento de switch

Para obter mais informações sobre por que as abordagens de nível de consumidor falham aqui, leia Por que equipamentos de WiFi de nível de consumidor não são para a sua rede de convidados .

Componentes Necessários

Para concluir esta implantação, você precisará de:

  • Uma conta Ruijie Cloud ou um controlador sem fio Ruijie série RG-WS local (por exemplo, RG-WS6008 ou RG-WS7110).
  • Um gateway Ruijie série RG-EG - essencial para autenticação de portal externo via WISPr.
  • Pontos de acesso Ruijie série RG-AP (por exemplo, RG-AP820-I, RG-AP850-AR).
  • Uma licença Purple Connect, Capture ou Engage.
  • Acesso UDP de saída permitido do gateway para os servidores Purple para a porta 1812 (autenticação RADIUS) e 1813 (contabilidade RADIUS).

Visão Geral do Protocolo de Autenticação

A Ruijie suporta múltiplos métodos de autenticação. Implantações de nível corporativo devem usar autenticação RADIUS externa. Este método usa o protocolo WISPr (Wireless Internet Service Provider Roaming) para redirecionar de forma segura usuários não autenticados para a Splash Page da Purple, processar suas credenciais e retornar uma mensagem RADIUS Accept ou Reject para o controlador Ruijie.

comparison_chart.png

A tabela acima resume os cinco métodos de autenticação oferecidos pela plataforma Ruijie. Cadastros por e-mail e logins de redes sociais são as escolhas mais comuns para ambientes de hotelaria e varejo, pois capturam dados primários estruturados e em conformidade com o GDPR. Códigos de voucher são adequados para salas de reunião e níveis de acesso pago. RADIUS com 802.1X é reservado exclusivamente para redes de funcionários que exigem autenticação baseada em diretório.

Guia de Implementação Passo a Passo

Execute as seguintes etapas na interface do controlador local ou Ruijie Cloud. Os caminhos de UI abaixo se aplicam à nova interface Ruijie Cloud (pós-2024) e à plataforma Ruijie JaCS.

Passo 1: Configurar o SSID de Visitantes

Estabeleça a rede de transmissão sem fio.

  1. Faça login na interface web do controlador local ou Ruijie Cloud.
  2. Navegue até Device Config e selecione WiFi na seção Wireless.
  3. Clique em + para criar um novo SSID ou edite um SSID existente.
  4. Defina o SSID Name (por exemplo, "Free Guest WiFi").
  5. Defina o Security Mode para Open - sem chave pré-compartilhada.
  6. Atribua o SSID à sua VLAN de visitantes dedicada (por exemplo, VLAN 30).
  7. Salve a configuração do SSID.

Passo 2: Definir a Política do Captive Portal

Instrua o controlador a interceptar o tráfego de visitantes e redirecioná-lo para a Purple.

  1. Navegue até Auth & Account e selecione Captive Portal em Authentication.
  2. Crie uma nova política. Defina um Policy Name descritivo (por exemplo, "Purple-Guest-Portal").
  3. Defina o Policy Mode para External.
  4. Defina o Authentication Device para o seu gateway Ruijie (série RG-EG) ou ponto de acesso.
  5. Selecione o SSID de visitantes criado no Passo 1.
  6. No campo Portal Server URL, insira o URL exclusivo da sua Splash Page da Purple (encontrado no painel de controle da Purple em 'Hardware Configuration').
  7. Insira os endereços IP do servidor RADIUS da Purple nos campos designados.
  8. Defina a duração do Seamless Online para corresponder à sua política de tempo limite de sessão (por exemplo, 24 horas para hotelaria, 1 hora para varejo).
  9. Determine o comportamento do Portal Escape - consulte a seção "Melhores Práticas" abaixo.

Passo 3: Configurar o Walled Garden (Lista de Permissões)

Um Captive Portal intercepta todo o tráfego até que o usuário seja autenticado. Certos tráfegos devem ser permitidos na etapa de pré-autenticação para carregar a página de login e processar os logins de redes sociais. Esta é a parte configurada incorretamente mais comum de qualquer implantação de Captive Portal.

  1. Navegue até Auth & Account e selecione Allowlist.
  2. Adicione todos os domínios de infraestrutura do Purple necessários. Seu painel do Purple fornece a lista específica para sua região.
  3. Se oferecer logins por redes sociais, adicione os domínios OAuth para cada provedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: o domínio do seu tenant Okta específico
  4. Se oferecer planos de WiFi pagos, adicione os domínios do processador de pagamento.
  5. Salve e aplique a allowlist.

Passo 4: Configurar a Autenticação RADIUS

Configure o canal de comunicação seguro entre o Ruijie e o Purple.

  1. Navegue até as configurações do servidor RADIUS no seu controlador ou gateway Ruijie.
  2. Adicione o endereço IP do servidor RADIUS primário do Purple e a porta 1812 para autenticação.
  3. Adicione o endereço IP do servidor RADIUS secundário do Purple para failover.
  4. Insira o Shared Secret do seu painel do Purple. Ele deve ser idêntico.
  5. Adicione o servidor de tarifação (accounting) na porta 1813 e ative a tarifação RADIUS. Isso monitora a duração da sessão e o uso de dados, enviando-os diretamente de volta para os relatórios do WiFi Analytics do Purple.
  6. Defina o NAS Identifier com um nome significativo (por exemplo, o nome do seu estabelecimento) para diferenciar o tráfego nas análises do Purple.

Passo 5: Aplicar Políticas de QoS

O acesso de visitantes sem restrições pode saturar seu link de internet nos horários de pico.

  1. Navegue até a seção de gerenciamento de banda ou QoS do seu gateway Ruijie.
  2. Defina limites de download por usuário (por exemplo, 10 Mbps para hóspedes de hotel, 5 Mbps para clientes de varejo).
  3. Defina limites de upload por usuário (por exemplo, 2 a 5 Mbps).
  4. Desative o Client Escape para garantir que usuários não autenticados não consigam acessar a rede se o servidor do portal estiver temporariamente inacessível.
  5. Salve e envie a configuração para todos os dispositivos relevantes.

Passo 6: Testar a Implantação

Sempre teste usando um dispositivo limpo e sem credenciais armazenadas em cache.

  1. Conecte um dispositivo móvel ao SSID de visitantes.
  2. Abra um navegador e navegue até um URL não HTTPS (por exemplo, http://example.com). A página do portal deve redirecionar.
  3. Verifique se a splash page do Purple carrega corretamente.
  4. Conclua o processo de autenticação.
  5. Confirme se o acesso à internet foi concedido após a autenticação.
  6. Verifique o painel do Purple para confirmar se a sessão aparece em suas análises.

Melhores Práticas de Implantação Enterprise

Segurança e Conformidade

Nunca dependa de PSKs compartilhadas para acesso de convidados. Senhas compartilhadas não oferecem trilha de auditoria e não podem ser revogadas individualmente. Ao utilizar um Captive Portal da Purple com autenticação individual, você pode exigir consentimento explícito para processamento de dados, atendendo aos requisitos do Artigo 7 do GDPR. A Purple possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials, garantindo que o próprio mecanismo de captura de dados seja auditável.

Para uma análise mais aprofundada da arquitetura de segurança, leia nosso Enterprise WiFi Security: Complete Guide for 2026 e What is Secure WiFi: The Essential Enterprise Guide for 2026 .

Portal Escape: Uma Decisão Deliberada

O recurso Portal Escape da Ruijie permite automaticamente a passagem do tráfego do usuário se o AP não conseguir se conectar ao Portal Server. Em um ambiente de hospitalidade, você pode optar por habilitar isso - convidados incapazes de se conectar ao WiFi devido a uma breve oscilação do servidor causarão reclamações. Em ambientes de varejo ou saúde, você pode optar por desabilitá-lo - o acesso não autenticado representa um risco de conformidade e segurança. Documente sua decisão e justificativa em seus manuais de rede.

Consistência Multilocalidade

Use a Ruijie Cloud para gerenciar a configuração de forma centralizada em todos os locais. Aplique políticas de portal simultaneamente para eliminar divergências de configuração entre os locais - a causa mais comum de experiências inconsistentes de convidados em propriedades distribuídas. A sobreposição de nuvem da Purple opera sob o mesmo princípio: um único painel, todos os locais.

Gerenciamento de Firmware

Certos recursos do Captive Portal da Ruijie, especialmente o controle de banda e a atribuição dinâmica de VLAN, exigem versões específicas de firmware em execução nos seus gateways. A Ruijie documenta essas dependências em suas notas de versão. Certifique-se de que seus gateways RG-EG executem a versão de firmware RGOS11.9(6)B17T1 ou superior para suporte completo a QoS em implantações gerenciadas na nuvem.

Solução de Problemas e Mitigação de Riscos

Falha ao Carregar a Página do Portal

Se o Captive Portal não aparecer quando um dispositivo se conectar, primeiro verifique suas configurações de Walled Garden. O dispositivo deve ser capaz de resolver o DNS e acessar a URL do Portal Purple antes de poder se autenticar. Verifique se a sua lista de permissões da Ruijie inclui todos os domínios necessários e se os seus servidores DNS estão acessíveis a partir da VLAN de convidados.

Limites de Tempo de Autenticação (Timeouts)

Se os usuários visualizarem o Portal, mas não conseguirem fazer login, o problema geralmente está na configuração do RADIUS. Verifique os IPs do servidor RADIUS, as portas (1812 para autenticação, 1813 para tarifação/accounting) e o segredo compartilhado. Certifique-se de que seus firewalls permitam o tráfego UDP de entrada e saída nessas portas a partir do IP de gerenciamento do gateway Ruijie.

Logins de Redes Sociais Travados

Se os usuários clicarem em um botão de login de rede social e nada acontecer, o redirecionamento OAuth está bloqueado. Adicione os domínios dos provedores de redes sociais necessários à sua lista de permissões da Ruijie. Teste isso permitindo temporariamente todo o tráfego antes da autenticação para confirmar se o portal funciona e, em seguida, restrinja a lista de permissões gradualmente.

Falha na Atribuição Dinâmica de VLAN

Se você usa RADIUS para atribuir usuários dinamicamente a VLANs, certifique-se de que a resposta RADIUS inclua os atributos de VLAN corretos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). O RG-EG310GH-E da Ruijie e gateways semelhantes oferecem suporte à atribuição dinâmica de VLAN, mas esse recurso requer configuração explícita tanto no servidor RADIUS quanto no gateway.

ROI e Impacto nos Negócios

Implantar um Captive Portal seguro transforma o WiFi de visitantes de um centro de custo em um ativo estratégico. A plataforma WiFi Analytics da Purple integra-se à sua infraestrutura Ruijie para capturar dados primários (first-party data), criar listas de contatos de alta intenção e fornecer insights acionáveis sobre o comportamento dos visitantes em todos os seus locais.

A Harrods utilizou o Guest WiFi da Purple para promover seu programa de fidelidade, alcançando uma taxa de opt-in líder no setor e um ROI de 57x (dados de clientes Purple). A c2c Rail utilizou a Purple para incentivar reservas diretas, obtendo um retorno sobre o investimento de 121% e economizando £ 76.000 em custos operacionais (dados de clientes Purple). A Pizza Express implantou a Purple em mais de 470 restaurantes para construir perfis de clientes mais ricos.

Para operadores de hospitalidade , os dados capturados no login (e-mail, dados demográficos, frequência de visitas) podem ser enviados diretamente para sistemas de CRM e programas de fidelidade. Para ambientes de varejo , as análises de visitas recorrentes identificam seus compradores de maior valor. Para hubs de transporte , os dados de fluxo de passageiros otimizam o dimensionamento da equipe e o planejamento do espaço comercial.

A Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, Fortinet e Ruijie, tornando-se uma sobreposição em nuvem independente de hardware que funciona com seu equipamento existente sem a necessidade de substituição de infraestrutura.


Guia Relacionado: Grandstream GWN Access Points e Integração Purple WiFi

Definições principais

Captive Portal

Uma página da web que o usuário de uma rede de acesso público deve visualizar e com a qual deve interagir antes que o acesso à internet seja concedido. Ela intercepta todo o tráfego HTTP e redireciona o navegador do usuário para a página do portal.

O mecanismo principal para impor a autenticação em redes de guest WiFi. Usado em hotéis, varejo, estádios e locais do setor público para controlar o acesso e capturar o consentimento.

Walled garden

Uma lista de permissões de pré-autenticação que permite que domínios e endereços IP específicos ignorem a interceptação do Captive Portal. O tráfego para esses destinos é permitido antes que o usuário se autentique.

Essencial para permitir que os dispositivos carreguem a splash page, alcancem os provedores de login social e processem os fluxos de pagamento antes que o usuário esteja totalmente autenticado. A configuração incorreta aqui é a principal causa de falhas no Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade para usuários que se conectam a um serviço de rede.

O protocolo seguro que as controladoras Ruijie usam para se comunicar com os servidores da Purple. As solicitações de autenticação vão para a porta 1812 (UDP); os registros de contabilidade vão para a porta 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Uma especificação de protocolo que define como um Captive Portal redireciona usuários não autenticados para uma página de login e como a controladora de acesso recebe o resultado da autenticação.

A estrutura de protocolo específica usada pela Ruijie e pela Purple para lidar com o redirecionamento externo do Captive Portal e o fluxo de autenticação. Necessário para o modo de portal externo nos gateways Ruijie.

VLAN isolation

A prática de separar o tráfego de rede em redes locais virtuais distintas no nível do switch, impedindo que os dispositivos em VLANs diferentes se comuniquem diretamente.

Inegociável para redes de convidados. Garante que os dispositivos dos convidados não possam se comunicar com os servidores corporativos, notebooks de funcionários ou terminais de pagamento, mesmo se estiverem conectados à mesma infraestrutura física.

Portal Escape

Um recurso da Ruijie que libera automaticamente o tráfego do usuário se o ponto de acesso e o servidor do portal ficarem inacessíveis, permitindo o acesso não autenticado à internet durante uma interrupção.

Um compromisso deliberado entre disponibilidade e segurança. Os operadores de hotelaria podem ativá-lo para evitar reclamações de hóspedes durante interrupções. Os operadores de saúde e varejo normalmente o desativam para impor uma autenticação estrita em todos os momentos.

SSID

Service Set Identifier. O nome público de uma rede sem fio que os dispositivos exibem em sua lista de redes disponíveis.

O nome da rede que os convidados selecionam em seus dispositivos, o que aciona o redirecionamento do Captive Portal. Cada SSID em uma implantação Ruijie é mapeado para uma VLAN específica e uma política de autenticação.

QoS

Quality of Service. Um conjunto de tecnologias que gerencia o tráfego de dados para reduzir a perda de pacotes, a latência e o jitter, e para garantir um desempenho previsível para tipos de tráfego específicos.

Usado em redes de convidados para limitar a largura de banda por usuário, evitando que um único dispositivo sature o link de internet e prejudique a experiência de todos os outros usuários conectados.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, fornecendo um mecanismo de autenticação para dispositivos que se conectam a uma LAN ou WLAN.

Usado para redes corporativas que exigem identidade baseada em diretório (por exemplo, via Microsoft Entra ID ou Okta). Normalmente não é usado para redes de convidados, onde um Captive Portal com RADIUS é o padrão apropriado.

Exemplos práticos

Um hotel de 250 quartos usa pontos de acesso Ruijie RG-AP820-I e um gateway RG-EG310GH-E. Eles exigem que os hóspedes se autentiquem por e-mail para construir uma base de dados de marketing. A gerência está preocupada com o fato de os hóspedes burlarem o portal e com a saturação da largura de banda nos horários de pico durante eventos de conferências.

A equipe de TI cria uma VLAN de convidados dedicada (VLAN 40) no switch principal e a conecta via trunk ao gateway e APs Ruijie. No Ruijie Cloud, eles criam um SSID aberto mapeado para a VLAN 40. Eles configuram uma política de Captive Portal Externo apontando para a URL da splash page da Purple, com a URL do Portal Server e as credenciais RADIUS do painel da Purple. Fundamentalmente, eles configuram o Walled Garden para permitir o tráfego apenas para os domínios da Purple e desativam o recurso Portal Escape no gateway Ruijie, impedindo o acesso não autenticado durante qualquer interrupção do portal. Eles aplicam uma política de QoS limitando cada cliente a 10 Mbps de download e 3 Mbps de upload. Para eventos de conferências, eles criam um SSID separado na VLAN 50 com um portal baseado em voucher e limites de largura de banda mais rígidos de 5 Mbps por dispositivo.

Comentário do examinador: Esta abordagem isola corretamente o tráfego de convidados na Camada 2, impõe a autenticação RADIUS externa para captura de dados em conformidade com a GDPR, e aplica controles de largura de banda proporcionais ao caso de uso. Desativar o Portal Escape é uma decisão de segurança deliberada que evita o acesso não autenticado durante interrupções na rede. O SSID de conferência separado com autenticação por voucher é um padrão prático para locais que hospedam tanto hóspedes temporários quanto participantes de eventos com requisitos de acesso diferentes.

Uma rede de varejo com 50 locais usa controladoras Ruijie WS6008. Eles implementam login social (Facebook e Google Workspace) para compradores que acessam o WiFi, mas a página do portal trava quando os usuários clicam nos botões de login social. O problema afeta todos os 50 sites simultaneamente.

O gerente de TI identifica que a configuração da lista de permissões (Walled Garden) nas controladoras Ruijie está sem os domínios OAuth exigidos pelo Facebook e Google. Embora a URL do portal da Purple tenha sido permitida corretamente, os domínios do provedor social necessários para o handshake do OAuth foram bloqueados pela interceptação do Captive Portal. A equipe adiciona os domínios curinga necessários - especificamente *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - à lista de permissões da Ruijie. Eles aplicam a configuração atualizada para todas as 50 localidades simultaneamente via Ruijie Cloud, resolvendo o problema em toda a rede em uma única operação.

Comentário do examinador: A configuração incorreta do walled garden é a causa mais comum de falha no login social em implantações de Captive Portal. O Captive Portal deve permitir explicitamente o tráfego de pré-autenticação para os domínios OAuth dos provedores de identidade, caso contrário, o processo de redirecionamento não poderá ser concluído. O uso do Ruijie Cloud para envio de configuração centralizada é a abordagem correta para uma rede de vários locais - a configuração manual por local em 50 filiais seria propensa a erros e consumiria muito tempo.

Questões práticas

Q1. Você configurou um Captive Portal externo em um gateway Ruijie RG-EG. Os convidados se conectam ao SSID, mas seus dispositivos relatam 'Sem Conexão com a Internet' e a página do portal nunca carrega. Qual é o erro de configuração mais provável e como você o resolve?

Dica: Considere quais operações de rede devem ser bem-sucedidas antes que o usuário possa visualizar a página de login.

Ver resposta modelo

O walled garden (Lista de permissões) está configurado incorretamente. O gateway Ruijie está bloqueando a resolução de DNS ou o tráfego HTTP necessário para acessar a URL da splash page externa da Purple. Antes da autenticação, o dispositivo deve ser capaz de resolver o domínio do portal e fazer uma conexão HTTP com ele. Adicione os domínios específicos da Purple à lista de permissões de pré-autenticação na seção Auth & Account da Ruijie. Verifique também se a VLAN de convidados possui um servidor DNS válido atribuído via DHCP.

Q2. O diretor de TI de um estádio deseja implantar APs Ruijie para o WiFi dos torcedores durante os eventos. Eles querem coletar dados de marketing, mas estão preocupados que a autenticação RADIUS cause atrasos quando 10.000 torcedores se conectarem simultaneamente durante os primeiros 30 minutos de abertura dos portões. Como eles devem projetar o fluxo de autenticação para equilibrar a captura de dados com a experiência do usuário?

Dica: Considere o equilíbrio entre a riqueza de dados e a fricção de autenticação em escala.

Ver resposta modelo

Eles devem usar o Login com Um Clique da Purple para torcedores recorrentes que já se autenticaram anteriormente, o que ignora o preenchimento de formulários e reduz a carga do RADIUS. Para novos torcedores, um formulário de captura de e-mail simplificado é preferível ao login social, que exige rodadas adicionais de autenticação OAuth. O gateway Ruijie deve ser dimensionado para lidar com solicitações RADIUS simultâneas - para 10.000 conexões simultâneas, é necessário um gateway de alta capacidade da série RG-EG. Ativar o Seamless Online com uma duração de sessão de 30 dias significa que os torcedores recorrentes se conectam automaticamente nos eventos subsequentes. Os limites de QoS devem ser rígidos (5 Mbps por dispositivo) para evitar que as primeiras pessoas a chegar saturem o link antes da chegada do público principal.

Q3. Durante uma auditoria de segurança, um analista de teste de invasão acessa o servidor de arquivos corporativo enquanto está conectado ao SSID 'Guest WiFi' transmitido por um AP Ruijie. A rede de convidados usa um Captive Portal configurado corretamente. Como você resolve essa vulnerabilidade crítica?

Dica: A autenticação e a segmentação de rede são questões separadas. Uma não implica a outra.

Ver resposta modelo

O Captive Portal está funcionando corretamente, mas a isolação de VLAN está ausente ou mal configurada. O SSID de convidados está direcionando usuários autenticados para a VLAN corporativa ou VLAN nativa, que possui acesso de roteamento para servidores internos. Você precisa: (1) criar uma VLAN de convidados dedicada (ex: VLAN 50) no switch principal; (2) atribuir o SSID de convidados à VLAN 50 no controlador Ruijie; (3) configurar as portas do switch que conectam os APs como trunks 802.1Q permitindo a VLAN 50; (4) configurar o gateway Ruijie para bloquear o roteamento entre a VLAN 50 e todas as subredes corporativas, permitindo apenas o tráfego de saída para a internet a partir da VLAN de convidados. Autenticação e segmentação de rede são controles independentes - ambos devem ser configurados corretamente.

Q4. Sua implantação Ruijie tem o Portal Escape ativado. Durante uma janela de manutenção planejada nos servidores RADIUS da Purple, você percebe que os convidados estão acessando a internet sem autenticação. Este é um comportamento esperado e quais são as implicações de conformidade?

Dica: Considere o propósito do Portal Escape e suas obrigações com a GDPR.

Ver resposta modelo

Sim, este é o comportamento esperado do Portal Escape. Quando o servidor do portal está inacessível, o Ruijie libera automaticamente o tráfego para manter a conectividade. No entanto, isso cria uma lacuna de conformidade: os usuários estão acessando a internet sem fornecer consentimento para o processamento de dados, o que pode violar os requisitos do GDPR se os seus termos de serviço ou captura de dados estiverem vinculados ao evento de autenticação. Para locais onde a captura de consentimento é um requisito legal ou comercial, o Portal Escape deve ser desativado. Agende a manutenção do servidor RADIUS durante períodos de atividade mínima de convidados e comunique a janela de manutenção à administração do local. Considere implementar um servidor RADIUS Purple secundário como failover para eliminar completamente esse cenário.