Pular para o conteúdo principal
Português (Brasil)

Step-by-Step Guide: Configuring Ruijie Wireless Controllers for Guest WiFi Captive Portals

Este guia fornece um passo a passo técnico completo para configurar controladoras wireless e gateways Ruijie para implantar Captive Portals de WiFi de convidados de nível empresarial. Ele aborda segmentação de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de walled garden e integração contínua com a plataforma Identity-Based Networks da Purple para capturar dados primários (first-party data) e gerar valor de negócios mensurável em ambientes de hotelaria, varejo e setor público.

📖 8 min de leitura📝 1,834 palavras🔧 2 exemplos práticos4 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Welcome to the Purple technical briefing series. Today we are covering one of the most frequently searched topics in enterprise wireless: how to configure Ruijie wireless controllers for secure guest WiFi captive portals. I am your host, and this is a ten-minute briefing designed for IT managers, network architects, and venue operations directors who need to get this right, first time. Let us start with context. If you manage IT for a hotel, a retail chain, a conference centre, or a large public venue, guest WiFi is no longer just an amenity. It is a fundamental operational requirement. Guests expect it. Regulators require you to handle their data responsibly. And your marketing team wants the first-party data it generates. The challenge is deploying it securely across a distributed estate, at scale, without creating a compliance headache. Ruijie Networks is one of the world's largest enterprise networking vendors, with a significant installed base across hospitality, retail, and public sector environments. Their RG-WS series wireless controllers and RG-EG series gateways are capable platforms for enterprise guest WiFi, but the captive portal configuration requires precise execution. Get it wrong, and you end up with either a security gap or a portal that simply does not work. Now let us get into the technical architecture. The absolute foundation of any secure guest network is traffic isolation. You cannot have guest devices sitting on the same network segment as your payment terminals, your staff laptops, or your back-office servers. The mechanism for this is VLAN segmentation. In a Ruijie environment, you create a dedicated guest VLAN on your core switch, assign it a separate IP subnet, and trunk it through to your access points. A typical deployment might use VLAN ten for corporate, VLAN twenty for voice, VLAN thirty for guest, and VLAN ninety-nine for management. This is non-negotiable. If you skip this step, you have convenient WiFi, not secure WiFi. Once the network is correctly segmented, we move to authentication. A shared pre-shared key is not enterprise security. It offers no accountability, no individual session tracking, and no way to revoke access for a single user without changing the password for everyone. Instead, we use an external captive portal with RADIUS authentication. Here is how the flow works. A guest connects to the open SSID broadcast by the Ruijie access point. The Ruijie gateway intercepts their HTTP traffic and issues a redirect to an external splash page - in this case hosted by Purple. The guest sees a branded login page. They authenticate, perhaps via email registration, social login, or a one-click accept. Purple's servers process that authentication and send a RADIUS Accept message back to the Ruijie controller. The controller then grants the device internet access. This entire flow uses the WISPr protocol, which is the standard framework for external captive portal authentication in enterprise wireless. The business value here is significant. Every authentication event captures a consent record. Purple's platform stores that data in a GDPR and CCPA-compliant manner, builds a first-party marketing database, and feeds analytics back to your team. Harrods used this approach to promote their loyalty programme and achieved a fifty-seven times return on investment. c2c Rail achieved a hundred and twenty-one percent return on investment and saved seventy-six thousand pounds in operational costs. That is the commercial case for doing this properly. Now let us walk through the specific configuration steps in the Ruijie Cloud or local controller interface. Step one: create the guest SSID. Log in to Ruijie Cloud or your local controller. Navigate to Device Config, select Wi-Fi under Wireless, and create a new SSID. Name it something clear, like Free Guest WiFi. Set the security mode to Open, and assign it to your guest VLAN. Step two: define the captive portal policy. Navigate to Auth and Account, then select Captive Portal under Authentication. Create a new policy. Set the Policy Mode to External. Set the Authentication Device to your Ruijie gateway or access point. Select the guest SSID. In the Portal Server URL field, enter your Purple splash page URL. Enter the Purple RADIUS server IP addresses. Step three: configure the Walled Garden, which Ruijie calls the Allowlist. This is the most commonly misconfigured element in any captive portal deployment. The Walled Garden defines what traffic can pass before the user authenticates. If you do not explicitly allow the Purple domains, the splash page will not load. If you offer Facebook or Google login but do not allow their OAuth domains, the authentication will hang at the social login button. Add all required Purple infrastructure domains, and all social provider domains you intend to support. Step four: configure RADIUS. Add the primary and secondary Purple RADIUS server IP addresses. Enter the shared secret from your Purple dashboard. Ensure RADIUS accounting is enabled on port 1813. This allows Purple to track session duration and data usage accurately, which feeds directly into your analytics reports. Step five: apply QoS policies. Unrestricted guest access can saturate your internet link. Set hard bandwidth limits per user on the Ruijie gateway - typically five to ten megabits down and two to five up for a standard hospitality deployment. This protects the experience for all guests and prevents a single device from degrading the network. Now let us cover the critical implementation pitfalls. The first is the Walled Garden. I cannot overstate how often this is the root cause of a failed deployment. Test your portal from a clean device with no cached credentials. If the page does not load, check your allowlist first. The second pitfall is the Portal Escape setting. This Ruijie feature automatically releases user traffic if the access point and portal server become unreachable. It sounds helpful, but it means unauthenticated users get internet access during an outage. In an enterprise environment where consent capture is a legal requirement, you want this disabled to enforce strict authentication at all times. The third pitfall is firmware versions. Some captive portal features - particularly around bandwidth controls and dynamic VLAN assignment - require specific firmware versions on the Ruijie gateway. Check the Ruijie release notes before you deploy, and ensure your devices are running a supported firmware version. Now for rapid-fire questions. Should I handle the captive portal on the access point or the gateway? In a Ruijie enterprise deployment, handle it at the gateway. The RG-EG series gateways are designed to manage the external portal interception and enforce QoS policies. Access points focus on RF performance and SSID broadcast. Can I run multiple captive portals on different SSIDs? Yes. Ruijie supports multiple captive portal policies mapped to different SSIDs. You might have a standard guest portal on one SSID and a paid premium portal on another, each with different bandwidth limits and authentication methods. How do I handle a multi-site deployment? Use Ruijie Cloud to manage configuration centrally. You can push portal policies across all sites simultaneously, ensuring consistency and eliminating per-site configuration drift. To summarise the key takeaways. Segment your traffic with VLANs before you do anything else. Use external RADIUS authentication to capture compliant, first-party data. Configure your Walled Garden meticulously and test it from a clean device. Make a deliberate decision on Portal Escape based on your compliance requirements. Apply QoS to protect the user experience. And integrate your Ruijie infrastructure with Purple's Identity-Based Networks to turn a basic connection into a secure, data-driven, revenue-generating asset. Purple operates across more than eighty thousand live venues, has processed four hundred and forty million logins in 2024, and holds ISO 27001, GDPR, CCPA, and Cyber Essentials certifications. We are hardware-agnostic, which means your Ruijie investment is fully compatible with our cloud overlay platform. Thank you for listening. If you want to explore how Purple integrates with your Ruijie estate, visit purple dot ai slash guest dash wifi. Deploy securely, and we will see you in the next briefing.

header_image.png

Resumo executivo

Implantar WiFi de convidados em uma empresa distribuída exige mais do que um SSID aberto. Para gerentes de TI e arquitetos de rede, o desafio é equilibrar o acesso contínuo com segurança rigorosa, conformidade com a GDPR e requisitos de captura de dados. Este guia detalha as etapas exatas de configuração para implantar um Captive Portal seguro e escalável usando controladoras wireless e gateways Ruijie — e mostra como a integração dessa infraestrutura com a plataforma de WiFi de Convidados da Purple transforma uma conexão sem fio básica em um ativo em conformidade e gerador de receita.

Abordamos os pré-requisitos técnicos, estratégias de segmentação de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de walled garden e as configurações específicas de QoS necessárias para uma implantação em nível de produção. Quer você gerencie um hotel de 200 quartos, uma rede de varejo com 50 lojas ou um estádio com 40.000 espectadores, este guia fornece o modelo definitivo para uma configuração segura de Captive Portal Ruijie. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos da Purple), portanto, os padrões de integração descritos aqui são comprovados em escala.

architecture_overview.png

Arquitetura técnica e pré-requisitos

Antes de modificar sua controladora Ruijie, estabeleça a arquitetura de rede correta. Uma rede de convidados segura exige isolamento completo do tráfego corporativo na Camada 2 — o nível do switch.

Segmentação de rede

A base de um WiFi de convidados seguro é o isolamento de VLAN. Você deve criar uma VLAN de convidados dedicada em seu gateway ou switch core Ruijie. Isso garante que o tráfego de convidados nunca intercepte sistemas internos, terminais de pagamento ou dispositivos da equipe. Um esquema padrão de VLAN empresarial para uma implantação Ruijie se parece com este:

ID da VLAN Finalidade Observações
10 Corporativo Dispositivos da equipe, servidores internos
20 Voz Telefones VoIP
30 Convidado Captive Portal, apenas internet
40 IoT Impressoras, smart TVs, sensores
99 Gerenciamento Controladora, gerenciamento de switch

Para saber mais sobre por que as abordagens de nível doméstico falham aqui, leia Por que Equipamentos de WiFi Domésticos Não Devem Estar na Sua Rede de Convidados .

Componentes necessários

Para concluir esta implantação, você precisa de:

  • Uma conta Ruijie Cloud ou uma Controladora Wireless local da série Ruijie RG-WS (ex: RG-WS6008 ou RG-WS7110).
  • Um Gateway da série Ruijie RG-EG — necessário para autenticação de portal externo via WISPr.
  • Access Points da série Ruijie RG-AP (ex: RG-AP820-I, RG-AP850-AR).
  • Uma licença Purple Connect, Capture ou Engage.
  • Acesso UDP de saída nas portas 1812 (autenticação RADIUS) e 1813 (tarifação/accounting RADIUS) do gateway para os servidores da Purple.

Visão geral do protocolo de autenticação

A Ruijie suporta vários métodos de autenticação. Implantações empresariais devem usar autenticação RADIUS externa. Essa abordagem usa o protocolo WISPr (Wireless Internet Service Provider roaming) para redirecionar com segurança usuários não autenticados para a splash page da Purple, processar suas credenciais e retornar uma mensagem RADIUS Accept ou Reject para a controladora Ruijie.

comparison_chart.png

A tabela acima resume os cinco métodos de autenticação disponíveis nas plataformas Ruijie. O cadastro por e-mail e o login social são as escolhas mais comuns para ambientes de hotelaria e varejo porque capturam dados primários estruturados e em conformidade com a GDPR. Códigos de voucher são adequados para salas de conferência e níveis de acesso pago. RADIUS com 802.1X é reservado para redes de funcionários onde a identidade baseada em diretório é necessária.

Guia de implementação passo a passo

Siga estas etapas na interface da Ruijie Cloud ou da controladora local. Os caminhos de interface abaixo aplicam-se à nova interface da Ruijie Cloud (pós-2024) e à plataforma Ruijie JaCS.

Passo 1: Configurar o SSID de convidados

Estabeleça a rede de transmissão sem fio.

  1. Faça login na Ruijie Cloud ou na interface web da controladora local.
  2. Navegue até Device Config e selecione Wi-Fi na seção Wireless.
  3. Clique em + para criar um novo SSID ou editar um existente.
  4. Defina o SSID Name (ex: "Free Guest WiFi").
  5. Defina o Security Mode como Open — sem chave pré-compartilhada.
  6. Atribua o SSID à sua VLAN de convidados dedicada (ex: VLAN 30).
  7. Salve a configuração do SSID.

Passo 2: Definir a política de captive portal

Instrua a controladora a interceptar o tráfego de convidados e redirecioná-lo para a Purple.

  1. Navegue até Auth & Account e selecione Captive Portal em Authentication.
  2. Crie uma nova política. Defina um Policy Name descritivo (ex: "Purple-Guest-Portal").
  3. Defina o Policy Mode como External.
  4. Defina o Authentication Device para o seu gateway Ruijie (série RG-EG) ou access point.
  5. Selecione o SSID de convidados criado no Passo 1.
  6. No campo Portal Server URL, insira a URL específica da sua splash page da Purple (disponível no seu painel da Purple em Hardware Configuration).
  7. Insira os endereços IP do servidor RADIUS da Purple nos campos designados.
  8. Defina a duração de Seamless Online para corresponder à sua política de tempo limite de sessão (ex: 24 horas para hotelaria, uma hora para varejo).
  9. Decida sobre o comportamento do Portal Escape — consulte a seção de Melhores Práticas abaixo.

Passo 3: Configurar o walled garden (lista de permissões)

Um Captive Portal intercepta todo o tráfego até que o usuário se autentique. Certos tráfegos devem passar pela pré-autenticação para permitir que a página de login carregue ume processar logins sociais. Este é o elemento configurado incorretamente com mais frequência em qualquer implantação de Captive Portal.

  1. Navegue até Auth & Account e selecione Allowlist.
  2. Adicione todos os domínios de infraestrutura da Purple necessários. Seu painel da Purple fornece a lista exata para sua região.
  3. Se você oferece login social, adicione os domínios OAuth para cada provedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: seu domínio de tenant Okta específico
  4. Adicione quaisquer domínios de processadores de pagamento se você oferecer planos de WiFi pagos.
  5. Salve e aplique a allowlist.

Passo 4: Configurar autenticação RADIUS

Configure o canal de comunicação seguro entre a Ruijie e a Purple.

  1. Navegue até as configurações do servidor RADIUS em sua controladora ou gateway Ruijie.
  2. Adicione o endereço IP do servidor RADIUS primário da Purple e a porta 1812 para autenticação.
  3. Adicione o endereço IP do servidor RADIUS secundário da Purple como failover.
  4. Insira o Shared Secret do seu painel da Purple. Ele deve ser exatamente igual.
  5. Adicione o servidor de bilhetagem (accounting) na porta 1813 e ative a bilhetagem RADIUS. Isso rastreia a duração da sessão e o uso de dados, alimentando diretamente os relatórios de WiFi Analytics da Purple.
  6. Defina o NAS Identifier para uma string significativa (por exemplo, o nome do seu estabelecimento) para distinguir o tráfego nos relatórios de analytics da Purple.

Passo 5: Aplicar políticas de QoS

O acesso de visitantes sem restrições pode saturar seu link de internet durante períodos de pico.

  1. Navegue até a seção de QoS ou gerenciamento de largura de banda do seu gateway Ruijie.
  2. Defina limites de download por usuário (por exemplo, 10 Mbps para hóspedes de hotel, 5 Mbps para clientes de varejo).
  3. Defina limites de upload por usuário (por exemplo, 2-5 Mbps).
  4. Desative o Client Escape para garantir que usuários não autenticados não consigam acessar a rede se o servidor do portal estiver temporariamente inacessível.
  5. Salve e envie a configuração para todos os dispositivos relevantes.

Passo 6: Testar a implantação

Sempre teste a partir de um dispositivo limpo, sem credenciais em cache.

  1. Conecte um dispositivo móvel ao SSID de visitantes.
  2. Abra um navegador e navegue até um URL não HTTPS (por exemplo, http://example.com). O portal deve redirecionar.
  3. Verifique se a splash page da Purple carrega corretamente.
  4. Conclua o fluxo de autenticação.
  5. Confirme se o acesso à internet foi concedido após a autenticação.
  6. Verifique o painel da Purple para confirmar se a sessão aparece no seu analytics.

Melhores práticas para implantação corporativa

Segurança e conformidade

Nunca dependa de uma PSK compartilhada para acesso de visitantes. Senhas compartilhadas não oferecem rastreabilidade e são impossíveis de revogar para um único usuário. Ao usar o Captive Portal da Purple com autenticação individual, você impõe o consentimento explícito para o processamento de dados, atendendo aos requisitos do Artigo 7 do GDPR. A Purple possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials, garantindo que o próprio mecanismo de captura de dados seja auditável.

For a deeper look at the security architecture, read our Segurança de WiFi Corporativo: Um Guia Completo para 2026 e O que é WiFi Seguro: Guia Essencial para Empresas 2026 .

Portal Escape: uma decisão deliberada

O recurso Portal Escape da Ruijie libera automaticamente o tráfego do usuário se o AP e o servidor do portal ficarem inacessíveis. Em um ambiente de hotelaria, você pode optar por ativá-lo — um hóspede sem acesso ao WiFi durante uma oscilação do servidor gera reclamações. Em um ambiente de varejo ou saúde, você pode optar por desativá-lo — o acesso não autenticado representa um risco de conformidade e segurança. Documente sua decisão e a justificativa no seu runbook de rede.

Consistência multi-site

Use o Ruijie Cloud para gerenciar a configuração de forma centralizada em todos os sites. Envie políticas de portal simultaneamente para eliminar desvios de configuração por site — a causa mais comum de experiências inconsistentes de visitantes em uma propriedade distribuída. O overlay de nuvem da Purple opera sob o mesmo princípio: um único painel, todos os locais.

Gerenciamento de firmware

Alguns recursos do Captive Portal da Ruijie — particularmente controles de largura de banda e atribuição dinâmica de VLAN — exigem versões específicas de firmware no gateway. As notas de versão da Ruijie documentam essas dependências. Certifique-se de que seus gateways RG-EG executem o firmware RGOS11.9(6)B17T1 ou superior para suporte completo a QoS em implantações gerenciadas na nuvem.

Solução de problemas e mitigação de riscos

A página do portal não carrega

Se o Captive Portal não aparecer quando um dispositivo se conectar, verifique primeiro suas configurações de walled garden. O dispositivo deve resolver o DNS e alcançar o URL do portal da Purple antes da autenticação. Verifique se a sua allowlist da Ruijie inclui todos os domínios necessários e se o seu servidor DNS está acessível a partir da VLAN de visitantes.

Tempos limite de autenticação (timeouts)

Se os usuários visualizarem o portal mas não conseguirem fazer login, o problema geralmente está na configuração do RADIUS. Verifique os endereços IP do servidor RADIUS, as portas (1812 para autenticação, 1813 para bilhetagem/accounting) e o segredo compartilhado (shared secret). Certifique-se de que seu firewall permita tráfego UDP de saída nessas portas a partir do IP de gerenciamento do gateway Ruijie.

O login social trava

Se os usuários clicarem em um botão de login social e nada acontecer, o redirecionamento OAuth está sendo bloqueado. Adicione os domínios do provedor social necessários à sua allowlist da Ruijie. Teste permitindo temporariamente todo o tráfego antes da autenticação para confirmar se o portal funciona e, em seguida, restrinja a allowlist gradualmente.

Falhas na atribuição dinâmica de VLAN

Se você estiver usando RADIUS para atribuir usuários a VLANs dinamicamente, certifique-se de que a resposta do RADIUS inclua os atributos de VLAN corretos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Os gateways RG-EG310GH-E e similares da Ruijie suportam atribuição dinâmica de VLAN, mas o recurso exige configuração explícita tanto no servidor RADIUS quanto no gateway.

ROI e impacto nos negócios

A implantação de um Captive Portal seguro transforma o WiFi de visitantes de um centro de custo em um ativo estratégico. A plataforma de WiFi Analytics da Purple, integraado com sua infraestrutura Ruijie, captura dados primários, constrói listas de contatos de alta intenção e fornece insights acionáveis sobre o comportamento dos visitantes em todas as suas instalações.

A Harrods usou o Guest WiFi da Purple para promover seu programa de fidelidade, alcançando uma taxa de opt-in líder de mercado e um ROI de 57x (dados de clientes Purple). A c2c Rail usou a Purple para incentivar reservas diretas, obtendo um retorno sobre o investimento de 121% e economizando £76.000 em custos operacionais (dados de clientes Purple). A Pizza Express implantou a Purple em mais de 470 restaurantes para construir perfis de clientes mais ricos.

Para operadores de hospitalidade , os dados capturados no login — e-mail, dados demográficos, frequência de visitas — alimentam diretamente os sistemas de CRM e programas de fidelidade. Para ambientes de varejo , as análises de visitas recorrentes identificam seus compradores de maior valor. Para centros de transporte , os dados de fluxo de passageiros otimizam o dimensionamento da equipe e o planejamento do espaço comercial.

A Purple se integra com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet — bem como Ruijie — tornando-a a sobreposição de nuvem agnóstica de hardware que funciona com sua infraestrutura existente em vez de substituí-la.

Guias relacionados: Integração de Access Points Grandstream GWN com o Purple WiFi

Definições principais

Captive portal

A web page that a user of a public access network must view and interact with before internet access is granted. It intercepts all HTTP traffic and redirects the user's browser to the portal page.

The core mechanism for enforcing authentication on guest WiFi networks. Used in hotels, retail, stadiums, and public-sector venues to control access and capture consent.

Walled garden

A pre-authentication allowlist that permits specific domains and IP addresses to bypass captive portal interception. Traffic to these destinations is allowed before the user authenticates.

Essential for allowing devices to load the splash page, reach social login providers, and process payment flows before the user is fully authenticated. Misconfiguration here is the leading cause of captive portal failures.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised Authentication, Authorisation, and Accounting management for users connecting to a network service.

The secure protocol Ruijie controllers use to communicate with Purple's servers. Authentication requests go to port 1812 (UDP); accounting records go to port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. A protocol specification that defines how a captive portal redirects unauthenticated users to a login page and how the access controller receives the authentication result.

The specific protocol framework used by Ruijie and Purple to handle the external captive portal redirection and authentication flow. Required for external portal mode on Ruijie gateways.

VLAN isolation

The practice of separating network traffic into distinct virtual local area networks at the switch level, preventing devices on different VLANs from communicating directly.

Non-negotiable for guest networks. Ensures guest devices cannot communicate with corporate servers, staff laptops, or payment terminals, even if they are connected to the same physical infrastructure.

Portal Escape

A Ruijie feature that automatically releases user traffic if the access point and portal server become unreachable, allowing unauthenticated internet access during an outage.

A deliberate trade-off between availability and security. Hospitality operators may enable it to prevent guest complaints during outages. Healthcare and retail operators typically disable it to enforce strict authentication at all times.

SSID

Service Set Identifier. The public name of a wireless network that devices display in their available networks list.

The network name guests select on their devices, which triggers the captive portal redirection. Each SSID in a Ruijie deployment is mapped to a specific VLAN and authentication policy.

QoS

Quality of Service. A set of technologies that manage data traffic to reduce packet loss, latency, and jitter, and to ensure predictable performance for specific traffic types.

Used in guest networks to cap per-user bandwidth, preventing a single device from saturating the internet link and degrading the experience for all other connected users.

802.1X

An IEEE standard for port-based network access control, providing an authentication mechanism for devices connecting to a LAN or WLAN.

Used for staff networks requiring directory-backed identity (e.g., via Microsoft Entra ID or Okta). Not typically used for guest networks, where a captive portal with RADIUS is the appropriate pattern.

Exemplos práticos

A 250-room hotel uses Ruijie RG-AP820-I access points and an RG-EG310GH-E gateway. They require guests to authenticate via email to build a marketing database. Management is concerned about guests bypassing the portal and about peak-hour bandwidth saturation during conference events.

The IT team creates a dedicated guest VLAN (VLAN 40) on the core switch and trunks it to the Ruijie gateway and APs. In Ruijie Cloud, they create an open SSID mapped to VLAN 40. They configure an External Captive Portal policy pointing to the Purple splash page URL, with the Portal Server URL and RADIUS credentials from the Purple dashboard. Crucially, they configure the Walled Garden to allow traffic only to Purple's domains and disable the Portal Escape feature on the Ruijie gateway, preventing unauthenticated access during any portal outage. They apply a QoS policy limiting each client to 10 Mbps down and 3 Mbps up. For conference events, they create a separate SSID on VLAN 50 with a voucher-based portal and tighter bandwidth limits of 5 Mbps per device.

Comentário do examinador: This approach correctly isolates guest traffic at Layer 2, enforces external RADIUS authentication for GDPR-compliant data capture, and applies bandwidth controls proportionate to the use case. Disabling Portal Escape is a deliberate security decision that prevents unauthenticated access during network disruptions. The separate conference SSID with voucher authentication is a practical pattern for venues that host both transient guests and event attendees with different access requirements.

A retail chain with 50 locations uses Ruijie WS6008 controllers. They implement social login (Facebook and Google Workspace) for shoppers accessing WiFi, but the portal page hangs when users click the social login buttons. The issue affects all 50 sites simultaneously.

The IT manager identifies that the Allowlist (Walled Garden) configuration on the Ruijie controllers is missing the OAuth domains required by Facebook and Google. While the Purple portal URL was correctly allowed, the social provider domains needed for the OAuth handshake were blocked by the captive portal interception. The team adds the required wildcard domains - specifically *.facebook.com, *.fbcdn.net, accounts.google.com, and *.googleapis.com - to the Ruijie Allowlist. They push the updated configuration to all 50 sites simultaneously via Ruijie Cloud, resolving the issue across the entire estate in a single operation.

Comentário do examinador: Walled garden misconfiguration is the most common cause of social login failure in captive portal deployments. The captive portal must explicitly permit pre-authentication traffic to the identity providers' OAuth domains, otherwise the redirect process cannot complete. The use of Ruijie Cloud for centralised configuration push is the correct approach for a multi-site estate - manual per-site configuration at 50 locations would be error-prone and time-consuming.

Questões práticas

Q1. You have configured an external captive portal on a Ruijie RG-EG gateway. Guests connect to the SSID, but their devices report 'No Internet Connection' and the portal page never loads. What is the most likely configuration error and how do you resolve it?

Dica: Consider what network operations must succeed before the user can even see the login page.

Ver resposta modelo

The walled garden (Allowlist) is misconfigured. The Ruijie gateway is blocking DNS resolution or HTTP traffic required to reach the external Purple splash page URL. Before authentication, the device must be able to resolve the portal domain and make an HTTP connection to it. Add the specific Purple domains to the pre-authentication allowlist in the Ruijie Auth & Account section. Also verify that the guest VLAN has a valid DNS server assigned via DHCP.

Q2. A stadium IT director wants to deploy Ruijie APs for fan WiFi during events. They want to collect marketing data but are concerned that RADIUS authentication will cause delays when 10,000 fans connect simultaneously during the first 30 minutes of doors opening. How should they design the authentication flow to balance data capture with user experience?

Dica: Consider the trade-off between data richness and authentication friction at scale.

Ver resposta modelo

They should use Purple's One-Click Login for returning fans who have previously authenticated, which bypasses the form fill and reduces RADIUS load. For new fans, a minimal email capture form is preferable to social login, which requires additional OAuth round-trips. The Ruijie gateway must be sized to handle concurrent RADIUS requests - for 10,000 simultaneous connections, a high-capacity RG-EG series gateway is required. Enabling Seamless Online with a 30-day session duration means returning fans connect automatically at subsequent events. QoS limits should be strict (5 Mbps per device) to prevent early arrivals from saturating the link before the main crowd arrives.

Q3. During a security audit, a penetration tester accesses the corporate file server while connected to the 'Guest WiFi' SSID broadcast by a Ruijie AP. The guest network uses a correctly configured captive portal. How do you resolve this critical vulnerability?

Dica: Authentication and network segmentation are separate concerns. One does not imply the other.

Ver resposta modelo

The captive portal is working correctly, but VLAN isolation is missing or misconfigured. The guest SSID is dropping authenticated users onto the corporate VLAN or native VLAN, which has routing access to internal servers. You need to: (1) create a dedicated guest VLAN (e.g., VLAN 50) on the core switch; (2) assign the Guest SSID to VLAN 50 in the Ruijie controller; (3) configure the switch ports connecting the APs as 802.1Q trunks permitting VLAN 50; (4) configure the Ruijie gateway to block routing between VLAN 50 and all corporate subnets, permitting only internet-bound traffic from the guest VLAN. Authentication and network segmentation are independent controls - both must be correctly configured.

Q4. Your Ruijie deployment has Portal Escape enabled. During a planned maintenance window on the Purple RADIUS servers, you notice that guests are accessing the internet without authenticating. Is this expected behaviour, and what are the compliance implications?

Dica: Consider the purpose of Portal Escape and your GDPR obligations.

Ver resposta modelo

Yes, this is the expected behaviour of Portal Escape. When the portal server is unreachable, Ruijie automatically releases traffic to maintain connectivity. However, this creates a compliance gap: users are accessing the internet without providing consent for data processing, which may violate GDPR requirements if your terms of service or data capture are tied to the authentication event. For venues where consent capture is a legal or commercial requirement, Portal Escape should be disabled. Schedule RADIUS server maintenance during periods of minimal guest activity, and communicate the maintenance window to venue management. Consider implementing a secondary Purple RADIUS server as a failover to eliminate the scenario entirely.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como ignorar o hardware nativo do Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, aplicar a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ler o guia →

Gerenciamento de WiFi para Hóspedes de Hotel: Integrando PMS, Portais e Padrões de Marca

Este guia técnico detalha como arquitetar redes WiFi de hotel de nível empresarial, focando na segmentação de VLAN, integração de PMS para gerenciamento automatizado de sessões e otimização de Captive Portal para captura de dados em conformidade com a GDPR.

Ler o guia →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Este guia técnico oferece a gerentes de TI, arquitetos de rede e diretores de operações de locais um blueprint completo para implantar captive portals que equilibram a segurança da rede com uma alta conversão de usuários. Ele abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até o design de consentimento em conformidade com a GDPR e a seleção do método de autenticação. Extraído da experiência operacional da Purple em mais de 80.000 locais e 440 milhões de logins em 2024, cada recomendação é baseada em dados reais de implantação.

Ler o guia →