Ver transcrição do podcast
Bem-vindo à série técnica da Purple. Eu sou o seu apresentador e hoje vamos falar sobre uma das integrações de WiFi corporativo mais detalhadas que vemos em campo - os access points Huawei AirEngine e o controlador CloudCampus iMaster NCE-Campus, integrados com a Purple para WiFi de convidados, autenticação de funcionários e segmentação de rede multi-tenant.
Se você é um arquiteto de rede ou gerente de TI operando uma infraestrutura Huawei - seja um grupo hoteleiro, uma rede de varejo, um centro de convenções ou um campus do setor público - este episódio é para você. Vamos cobrir toda a arquitetura: redirecionamento de Captive Portal, ACLs pré-autenticação, WiFi seguro para funcionários usando 802.1X e o recurso Private Pre-Shared Key da Huawei para direcionamento dinâmico de VLAN entre múltiplos tenants.
Vamos começar.
Seção um: Contexto e arquitetura.
O portfólio AirEngine da Huawei - cobrindo as séries 5700, 6700, 8700 e 9700 - opera em WiFi 6 e WiFi 6E, com a série topo de linha 9700 suportando WiFi 7. Esses são access points corporativos de alto desempenho. A camada de gerenciamento é o iMaster NCE-Campus, o controlador de rede baseado em nuvem da Huawei, que lida com tudo, desde provisionamento de SSID e relay RADIUS até aplicação de políticas e encaminhamento de syslog.
A Purple atua acima disso como uma sobreposição na nuvem. Operamos em mais de 80.000 locais ativos e processamos 440 milhões de logins apenas em 2024. Somos agnósticos em relação ao hardware - o que significa que nos integramos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e, sim, Huawei AirEngine - usando os mesmos padrões de RADIUS e Captive Portal que todos os controladores corporativos suportam.
O modelo de integração aqui é direto. O iMaster NCE-Campus atua como o relay RADIUS, encaminhando as solicitações de autenticação dos access points para os servidores RADIUS da Purple. A Purple processa a lógica de autenticação - seja uma splash page de convidado, uma verificação de credenciais 802.1X ou uma consulta PPSK - e retorna a resposta RADIUS apropriada, incluindo quaisquer atributos de atribuição dinâmica de VLAN.
Seção dois: Configuração de WiFi de convidados e Captive Portal.
Vamos começar com a implantação mais comum: WiFi de convidados com um Captive Portal da Purple.
No iMaster NCE-Campus, navegue até Design, depois Network Design e em seguida Template Management. Crie um modelo de RADIUS Relay Server. Os parâmetros essenciais são: definir o serviço de autenticação como autenticação de Portal, adicionar os endereços IP dos servidores RADIUS da Purple na porta UDP 1812 para autenticação e 1813 para tarifação, definir o NAS identifier como Device MAC e configurar a senha compartilhada. A Purple fornece essas credenciais RADIUS na tela de configuração do local no painel da Purple.
Em seguida, você cria uma ACL - este é o seu Walled Garden. Antes que um visitante se autentique, ele precisa acessar a splash page da Purple e quaisquer domínios de suporte. Suas regras de ACL devem permitir DNS em UDP 53, permitir HTTPS para o domínio do portal da Purple e permitir quaisquer provedores de login social que você tenha ativado - por exemplo, os endpoints de API de gráfico do Facebook se você estiver usando o login social. Todo o resto é negado na pré-autenticação.
Depois, você configura o SSID. Defina o tipo de rede como Open, selecione autenticação Open plus Portal, defina o tipo de autenticação como Relay authentication by cloud platform e escolha RADIUS relay como o modo de interconexão. Defina o protocolo de push da página como HTTPS. Nos parâmetros de autenticação do portal de terceiros, cole a URL de redirecionamento da Purple - esta é a URL da splash page que você copia do painel do local da Purple, com o sufixo modificado para incluir os parâmetros específicos da Huawei: ap-mac, uaddress, umac, ssid e redirect-url.
Por fim, crie um modelo de URL no iMaster NCE-Campus que mapeie esses nomes de parâmetros para os valores que a Huawei passa no redirecionamento. O mapeamento de parâmetros é: redirect-url para redirect-url, loginurl para login-url, device-mac para ap-mac, user-ip para uaddress, user-mac para umac e ssid para ssid.
Depois de configurado, o visitante se conecta ao SSID, obtém um endereço DHCP e seu tráfego HTTP é interceptado pela controladora e redirecionado para a splash page da Purple. Eles se autenticam - via e-mail, login social ou verificação por SMS - e o servidor RADIUS da Purple envia um Access-Accept de volta ao iMaster NCE-Campus, que concede ao visitante acesso total à internet.
Do ponto de vista dos dados, a Purple captura dados de consentimento primário (first-party) neste momento. Cada login é um opt-in de escolha consciente, em conformidade com o GDPR e a CCPA. Esses dados alimentam a plataforma de analytics da Purple, fornecendo a você duração da sessão, tipo de dispositivo, taxas de visitantes recorrentes e tempo de permanência - tudo sem nenhum rastreamento de terceiros.
Seção três: Proteja o WiFi da equipe com 802.1X.
Agora vamos falar sobre o WiFi da equipe. Esta é uma postura de segurança totalmente diferente. Você não quer a equipe no mesmo segmento de rede que os visitantes e não quer senhas PSK compartilhadas que saem pela porta quando alguém vai embora.
A resposta é a autenticação 802.1X, definida no IEEE 802.1X-2020, usando EAP-TLS ou EAP-PEAP. No iMaster NCE-Campus, você cria um SSID separado para a equipe - vamos chamá-lo de CorpNet. No perfil de autenticação para este SSID, você define o modo de autenticação como 802.1X, aponta para o servidor RADIUS da Purple e define o perfil de segurança como WPA2-Enterprise ou WPA3-Enterprise com criptografia AES-CCMP.Purple acts as the RADIUS server here too, but now it's validating credentials against your identity provider. Purple integrates natively with Microsoft Entra ID, Okta, and Google Workspace. When a staff member connects to CorpNet, their device sends EAP credentials to the access point, which relays them via RADIUS to Purple, which validates them against Entra ID using SCIM or SAML. If the credentials are valid, Purple returns an Access-Accept with a RADIUS attribute specifying the staff VLAN - say VLAN 20. iMaster NCE-Campus steers the client into that VLAN automatically.
The key RADIUS attributes for dynamic VLAN assignment are: Tunnel-Type set to VLAN or the value 13, Tunnel-Medium-Type set to 802 or the value 6, and Tunnel-Private-Group-ID set to the VLAN ID. These three attributes together tell the Huawei controller exactly which VLAN to assign the authenticated client to.
For EAP-TLS specifically - which is the gold standard for staff authentication - you need client certificates. Purple's SecurePass add-on handles certificate issuance and lifecycle management, integrating with your existing PKI or acting as a lightweight certificate authority. This eliminates password-based attacks entirely. No password, no phishing vector.
Section four: Multi-tenant segmentation with Huawei PPSK.
This is where it gets genuinely interesting. If you're running a mixed-use venue - a shopping centre with multiple retail tenants, a co-working space with multiple member companies, or a conference centre hosting concurrent events - you need network isolation between tenants without deploying a separate SSID for each one.
Huawei's PPSK feature - Private Pre-Shared Key - solves this. It's sometimes called iPSK in other vendor ecosystems. The concept is: one SSID, multiple unique passwords, each password mapped to a specific VLAN. Tenant A gets password Alpha, which maps to VLAN 30. Tenant B gets password Beta, which maps to VLAN 40. Both tenants see the same SSID, but they're completely isolated at Layer 2.
In the Huawei CLI, you configure this in WLAN view using the ppsk-user command. For each tenant, you run: ppsk-user psk pass-phrase, followed by the unique passphrase, then user-name, the tenant identifier, then vlan, the VLAN ID, then ssid, the SSID name. You can also set an expiry date, a maximum device count, and bind to a specific MAC address if you need tighter control.
In iMaster NCE-Campus, the PPSK lookup can be handled locally on the controller, or - for large-scale deployments - via RADIUS. When RADIUS-backed PPSK is used, Purple becomes the authoritative source for PPSK-to-VLAN mappings. A tenant's device connects with their unique passphrase, the controller sends a RADIUS Access-Request to Purple with the passphrase as the credential, Purple looks up the mapping, and returns an Access-Accept with the three VLAN tunnel attributes. The controller steers the client into the correct VLAN.
Esta arquitetura escala para centenas de inquilinos em um único SSID. Isso também significa que você pode provisionar, rotacionar e revogar credenciais de inquilinos a partir do painel do Purple sem tocar na configuração do controlador.
Seção cinco: Armadilhas de implementação e como evitá-las.
Deixe-me apresentar os três modos de falha que vejo com mais frequência em implantações Huawei e Purple.
Primeiro: o Walled Garden está incompleto. Os visitantes acessam o SSID, são redirecionados para a splash page, mas a página não carrega porque um domínio obrigatório - frequentemente um endpoint de CDN ou uma API de login social - está bloqueado pelo ACL de pré-autenticação. A correção é testar o fluxo da splash page a partir de um dispositivo novo antes do lançamento em produção, capturar as consultas de DNS e conexões HTTPS que ele faz e adicionar cada domínio obrigatório ao ACL. O Purple publica uma lista de domínios obrigatórios na documentação de integração.
Segundo: divergência de segredo compartilhado RADIUS. O segredo configurado no iMaster NCE-Campus deve corresponder exatamente ao segredo no painel do Purple. Uma diferença de um único caractere causa falhas de autenticação silenciosas - os logs do controlador mostram Access-Reject sem nenhuma mensagem de erro útil. Sempre copie e cole o segredo, nunca o digite manualmente.
Terceiro: configuração incorreta de tronco VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se a VLAN já estiver em tronco na porta de uplink entre o ponto de acesso e o switch de agregação. Se a VLAN 20 não estiver na lista de permissão de tronco na interface do switch, os dispositivos de funcionários autenticados receberão um tempo limite de DHCP e parecerá que a autenticação falhou. Audite suas configurações de tronco antes de testar VLANs atribuídas por RADIUS.
Seção seis: Perguntas rápidas.
Pergunta: Posso usar o RADIUS integrado do Purple com a implantação local do iMaster NCE-Campus da Huawei, e não a versão em nuvem?
Sim. Os servidores RADIUS do Purple são hospedados na nuvem e acessíveis pela internet. Seu controlador iMaster NCE-Campus local precisa de saída UDP 1812 e 1813 para as faixas de IP do RADIUS do Purple. O Purple publica essas faixas de IP no painel em configurações do local.
Pergunta: O Huawei PPSK suporta WPA3-SAE?
A partir do firmware AirEngine V600R025, o WPA3-SAE-PPSK é suportado nas séries 6700 e 9700. Verifique a versão do seu firmware antes de habilitar o WPA3 em SSIDs PPSK.
Pergunta: Como o Purple lida com o consentimento da GDPR para WiFi de visitantes no hardware Huawei?
A splash page do Purple coleta o consentimento no momento da autenticação. O registro de consentimento - incluindo carimbo de data/hora, endereço IP e os termos específicos aceitos - é armazenado na plataforma do Purple e pode ser exportado para auditorias de conformidade. Isso se aplica independentemente do fornecedor de hardware subjacente.
Seção sete: Resumo e próximos passos.
Para recapitular: Huawei AirEngine e iMaster NCE-Campus integram-se com a Purple via RADIUS relay para Captive Portal de convidados, 802.1X para WiFi de funcionários e PPSK para segmentação de VLAN multi-tenant. A configuração reside no iMaster NCE-Campus em Design, Network Design, Template Management para configuração de RADIUS e ACL, e em Provision, Device Configuration, Site Configuration para SSID e vinculação de perfil de autenticação.
Seus próximos passos: extraia as credenciais de RADIUS da Purple do painel do seu local, configure o modelo de servidor RADIUS relay no iMaster NCE-Campus, crie sua ACL de Walled Garden, crie o SSID de convidados com autenticação Open mais Portal e teste de ponta a ponta com um dispositivo novo antes de implementar na área de cobertura.
Se você estiver implantando PPSK para isolamento multi-tenant, planeje seu esquema de VLAN primeiro - certifique-se de que cada VLAN de tenant seja conectada via trunk de ponta a ponta antes de configurar um único usuário PPSK.
Para o guia de configuração passo a passo completo, incluindo exemplos de CLI e diagramas de arquitetura, leia o guia escrito completo no site da Purple. Obrigado por ouvir.
