Pular para o conteúdo principal
Português (Brasil)

Integração de Access Points EnGenius Cloud com Purple WiFi

Esta referência técnica detalha a integração passo a passo dos Access Points EnGenius Cloud e switches ECS com a plataforma de guest WiFi da Purple. Ela abrange o redirecionamento do Captive Portal de visitantes por meio de uma página de splash externa, configuração de Walled Garden, Wi-Fi seguro para funcionários usando IEEE 802.1X e isolamento de rede multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Instaladores de TI e arquitetos de rede encontrarão sequências de configuração práticas, estudos de caso do mundo real e uma estrutura de solução de problemas para implantar a Purple em toda a infraestrutura de hardware EnGenius.

📖 9 min de leitura📝 2,239 palavras🔧 2 exemplos práticos3 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
ROTEIRO DO PODCAST: Integração dos Access Points EnGenius Cloud com o Purple WiFi Purple WiFi Intelligence Platform - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritativo [INTRODUÇÃO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico da Purple. Hoje abordaremos algo que surge regularmente em implantações corporativas: a integração de access points EnGenius Cloud com a plataforma de WiFi para convidados da Purple. Se você gerencia uma infraestrutura EnGenius, sejam access points da série ECW em um hotel, em uma rede de varejo ou em um edifício de escritórios multi-tenant, e deseja adicionar um captive portal personalizado com sua marca, coletar dados primários de visitantes e aplicar a segmentação de rede adequada, este briefing é para você. Nos próximos dez minutos, quero guiar você pelas quatro principais áreas de configuração: redirecionamento de captive portal de convidados, configuração de walled garden, WiFi seguro para funcionários usando 802.1X e isolamento multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Ao final, você terá uma visão clara de exatamente o que configurar, em qual ordem e quais são as armadilhas comuns. Vamos começar. [IMERSÃO TÉCNICA - 5 MINUTOS] Vamos começar com o captive portal para convidados, o ponto de partida mais comum para qualquer operador de local de evento. O EnGenius Cloud oferece suporte nativo a splash pages externas. Isso significa que, em vez de hospedar uma página de login básica no próprio access point, você redireciona os convidados não autenticados para o portal hospedado na nuvem da Purple. É aqui que ficam a personalização da marca, a captura de dados, o gerenciamento de consentimento e as análises. Aqui está a sequência de configuração no EnGenius Cloud. Faça login no painel do EnGenius Cloud e navegue até Configurar e depois SSID. Selecione seu SSID de convidados. Na guia Sem fio, defina o tipo de segurança como Aberto ou WPA2 PSK, dependendo de sua preferência. O modo Aberto é o padrão para a maioria das implantações de WiFi de convidados. Em seguida, mude para a guia Captive Portal. Ative o captive portal e defina o Tipo de Autenticação como RADIUS Personalizado. Esta é a configuração principal. Ela instrui o access point a encaminhar as solicitações de autenticação para um servidor RADIUS externo, que neste caso é o endpoint RADIUS na nuvem da Purple. Agora insira os detalhes do RADIUS da Purple. O IP do servidor RADIUS principal é fornecido no painel da Purple em Configuração de Hardware. A porta de autenticação é UDP 1812. A porta de bilhetagem (accounting) é UDP 1813. Insira o segredo compartilhado (shared secret). A Purple gera isso para você, e ele deve ter pelo menos 22 caracteres, misturando maiúsculas, minúsculas, números e símbolos. Defina o identificador NAS para corresponder ao nome do seu local de evento ou a um identificador exclusivo que você definiu na Purple. Em seguida, acesse a guia Splash Page. Selecione External Splash Page URL e insira a URL do portal Purple. Essa é a URL que a Purple fornece para o seu local específico. Quando um convidado se conecta ao SSID e abre um navegador, o ponto de acesso intercepta a solicitação e os redireciona para essa URL, passando parâmetros que incluem o endereço MAC do cliente, o endereço MAC do AP e a URL original que o convidado estava tentando acessar. Agora, o walled garden. Essa é a lista de domínios e endereços IP que os convidados podem acessar antes de se autenticarem. Sem isso, o próprio portal Purple não pode ser carregado, porque o navegador do convidado não consegue acessar os servidores da Purple. No EnGenius Cloud, o walled garden fica em Captive Portal, depois Advanced Settings e, em seguida, Walled Garden. Você precisa adicionar o domínio do portal Purple, os endpoints da CDN da Purple e os endpoints de teste de portal cativo do sistema operacional. Para dispositivos Apple, é captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Se esquecer de algum desses, os convidados nessas plataformas não verão o portal de forma alguma. Se você estiver oferecendo login social por meio do Google ou Facebook, também precisará colocar na lista de permissões os endpoints OAuth desses provedores. O Google exige accounts.google.com, oauth2.googleapis.com e apis.google.com, no mínimo. O Facebook exige www.facebook.com, graph.facebook.com e connect.facebook.net. A documentação de suporte da Purple fornece uma lista atualizada de walled garden para cada método de autenticação. Use-a como referência, pois esses domínios mudam. Agora vamos passar para o WiFi seguro da equipe usando 802.1X. Este é um SSID separado. O tipo de segurança aqui é WPA2 Enterprise ou WPA3 Enterprise. No EnGenius Cloud, na guia SSID Wireless, selecione WPA2 Enterprise e escolha Custom RADIUS. Insira os mesmos detalhes do servidor RADIUS: o endpoint RADIUS da Purple, porta 1812 e o segredo compartilhado. A diferença em relação à configuração de convidados é que não há Captive Portal aqui. Os dispositivos da equipe se autenticam silenciosamente usando o protocolo IEEE 802.1X. O dispositivo apresenta um certificado ou nome de usuário e senha ao servidor RADIUS, que os valida e retorna uma mensagem Access-Accept junto com os atributos de atribuição de VLAN. Os atributos RADIUS que geram a atribuição dinâmica de VLAN são Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o número da VLAN. Portanto, se a VLAN da sua equipe for a VLAN 20, o servidor RADIUS retornará Tunnel-Private-Group-ID com o valor 20. O ponto de acesso EnGenius lê esse atributo e coloca o dispositivo autenticado na VLAN 20 automaticamente. Isso significa que você pode ter um único SSID atendendo a várias funções da equipe (finanças, operações, TI, prestadores de serviços), cada um entrando em uma VLAN diferente com base em sua associação ao grupo de diretório, tudo sem nenhuma configuração manual de VLAN por dispositivo. Para o método EAP, o PEAP-MSCHAPv2 é a escolha mais comum para ambientes que usam Active Directory ou Microsoft Entra ID. Ele requer um certificado no lado do servidor no servidor RADIUS e credenciais de usuário-senha no cliente. O EAP-TLS é mais seguro. Ele usa certificados em ambos os lados. Mas requer uma infraestrutura PKI e implantação de MDM para enviar os certificados para os dispositivos. Para a maioria dos operadores de locais, o PEAP-MSCHAPv2 com validação estrita de certificado aplicada via Política de Grupo ou MDM é a escolha prática. Agora, a parte tecnicamente mais interessante: EnGenius MyPSK e isolamento multi-tenant. O MyPSK, também chamado de PPSK ou Private Pre-Shared Key, resolve um problema específico em ambientes multi-tenant. Em um empreendimento de aluguel residencial (build-to-rent), em um escritório compartilhado ou em um condomínio estudantil, você deseja que cada inquilino ou residente tenha sua própria senha de WiFi exclusiva. Mas você não quer criar um SSID separado para cada inquilino. Isso gera congestionamento de radiofrequência e sobrecarga de gerenciamento. O MyPSK permite criar até 500 chaves pré-compartilhadas exclusivas por SSID. Cada chave é vinculada a uma VLAN específica. Quando um residente se conecta usando sua chave exclusiva, o ponto de acesso o coloca automaticamente em sua VLAN designada. O tráfego do Inquilino A nunca toca o segmento de rede do Inquilino B. A criptografia também é por usuário. Cada chave gera uma Pairwise Master Key exclusiva, de modo que um inquilino não consegue decodificar o tráfego aéreo de outro inquilino, mesmo compartilhando o mesmo SSID. No EnGenius Cloud, você configura o MyPSK nas configurações de segurança do SSID. Selecione WPA2 PSK ou WPA3 Personal e, em seguida, ative o MyPSK. Você pode então criar PSKs individualmente ou gerar automaticamente lotes de até 50 por vez. Para cada PSK, você atribui um ID de VLAN e, opcionalmente, define uma data de expiração. Quando um contrato de aluguel termina ou um estudante se forma, você simplesmente expira ou exclui o PSK dele. O acesso é revogado imediatamente sem afetar nenhum outro inquilino. Para a integração com a Purple em um ambiente MyPSK, os inquilinos voltados para convidados ainda podem ser direcionados através de um Captive Portal em sua VLAN. Os funcionários e inquilinos operacionais ignoram o portal completamente. A segmentação de VLAN garante que os dados analíticos da Purple sejam atribuídos corretamente por segmento de rede. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS] Deixe-me apresentar a sequência de implementação que recomendo para uma primeira implantação limpa. Comece com sua arquitetura de VLAN antes de tocar na configuração de WiFi. Defina a VLAN 10 para convidados, a VLAN 20 para funcionários, a VLAN 30 para inquilinos ou a numeração que melhor se ajuste ao seu esquema existente. Configure essas VLANs em seus switches ECS primeiro, com as atribuições apropriadas de porta trunk e acesso. Os pontos de acesso precisam receber tráfego marcado (tagged) na porta de uplink para cada VLAN que você planeja usar. Em seguida, configure os SSIDs no EnGenius Cloud nesta ordem: primeiro o SSID de convidados, pois é o mais simples. Valide o redirecionamento do Captive Portal para o Purple antes de prosseguir. Depois, configure o SSID de funcionários com 802.1X. Teste com um dispositivo conhecido antes de implementar em toda a infraestrutura. Por fim, configure o MyPSK se precisar de isolamento multi-tenant. As armadilhas. Primeiro, o walled garden. Esta é a principal causa de falhas em implantações de Captive Portal. Se os convidados não conseguirem acessar o portal, verifique o walled garden primeiro. Segundo, divergência no segredo compartilhado do RADIUS. O segredo compartilhado deve ser idêntico tanto na configuração do EnGenius Cloud quanto na configuração do servidor RADIUS do Purple. Uma diferença de um único caractere faz com que todas as autenticações falhem silenciosamente. Terceiro, configuração de trunk de VLAN no switch. Se a porta do switch ECS que conecta ao access point não estiver configurada como trunk transportando todas as VLANs necessárias, a atribuição dinâmica de VLAN falhará. Quarto, validação de certificado em clientes 802.1X. Se os dispositivos dos funcionários não estiverem configurados para validar o certificado do servidor RADIUS, eles estarão vulneráveis ao roubo de credenciais por meio de access points invasores. Force isso via Diretiva de Grupo para Windows e perfis de MDM para todos os outros sistemas. [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Algumas perguntas que ouço regularmente sobre implantações do EnGenius e Purple. Posso usar o RADIUS do EnGenius Cloud em vez do RADIUS do Purple? Sim, para autenticação interna. Mas para WiFi de convidados com os analytics e portal do Purple, você precisa apontar para o endpoint RADIUS do Purple. Ambos podem coexistir em SSIDs diferentes. O MyPSK funciona com WPA3? Sim. O EnGenius suporta WPA3 e o modo misto WPA2/WPA3 com MyPSK, de modo que os dispositivos compatíveis com WPA3 obtêm autenticação SAE enquanto os dispositivos mais antigos utilizam o WPA2 PSK como alternativa, todos usando a mesma chave por usuário. O Purple suporta accounting RADIUS para dados de sessão? Sim. Ative o servidor de accounting na configuração RADIUS do EnGenius Cloud, apontando para o endpoint de accounting do Purple na porta UDP 1813. Isso envia a duração da sessão e o volume de dados para o analytics do Purple. [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para resumir. Os access points do EnGenius Cloud se integram perfeitamente com a plataforma de WiFi de convidados do Purple por meio de quatro camadas de configuração. O redirecionamento do Captive Portal de convidados usa RADIUS Personalizado e uma URL externa de splash page apontando para o Purple. A lista de permissões do walled garden garante que o portal seja carregado antes da autenticação. O WiFi de funcionários usa WPA2 Enterprise com 802.1X e atribuição dinâmica de VLAN via atributos RADIUS. E o isolamento multi-tenant usa o EnGenius MyPSK para atribuir chaves exclusivas por usuário vinculadas a VLANs específicas, com datas de expiração opcionais para acesso por tempo limitado. O Purple opera em 80.000 locais e processou 440 milhões de logins apenas em 2024. A plataforma possui certificação ISO 27001, é em conformidade com a GDPR e é independente de hardware, o que é exatamente o motivo pelo qual ela funciona perfeitamente com o EnGenius, juntamente com Cisco Meraki, HPE Aruba, Ruckus e o restante do ecossistema de hardware corporativo. Se você estiver pronto para a implantação, comece com o guia de configuração de walled garden na documentação de suporte da Purple e, em seguida, realize a configuração do SSID no EnGenius Cloud. O guia passo a passo completo está disponível em purple.ai. Obrigado por ouvir.

header_image.png

Resumo executivo

Depender de uma chave pré-compartilhada para WiFi corporativo expõe os locais a riscos significativos de segurança e impede a coleta de dados primários valiosos. Este guia detalha a integração dos Access Points EnGenius Cloud com a plataforma de Guest WiFi da Purple para fornecer redes sem fio seguras, segmentadas e mensuráveis em ambientes de hotelaria , varejo e multilocatários. Ao implementar a autenticação IEEE 802.1X para funcionários, atribuição dinâmica de VLAN via EnGenius MyPSK para residentes e locatários, e um Captive Portal hospedado na nuvem para convidados, as equipes de TI podem impor controles de acesso rígidos ao mesmo tempo em que transformam a infraestrutura sem fio em um ativo de inteligência de negócios.

A Purple processa 440 milhões de logins anualmente em mais de 80.000 locais ativos (dados internos da Purple, 2024). A plataforma possui certificação ISO 27001, está em conformidade com a GDPR e CCPA, e é agnóstica em relação ao hardware - e é precisamente por isso que ela se integra perfeitamente ao EnGenius, juntamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Este guia aborda as quatro camadas de configuração necessárias para implantar a Purple no hardware EnGenius Cloud: redirecionamento do Captive Portal de convidados, configuração do Walled Garden, WiFi seguro para funcionários e isolamento multilocatário usando EnGenius MyPSK.

Visão técnica aprofundada

Visão geral da arquitetura

A integração entre o EnGenius Cloud e a Purple depende de protocolos RADIUS padrão e redirecionamento HTTP. Quando um convidado se conecta a um access point EnGenius ECW em um SSID com Captive Portal habilitado, o AP intercepta a primeira solicitação HTTP e redireciona o navegador para a splash page hospedada na nuvem da Purple. Esse redirecionamento passa vários parâmetros para o portal - incluindo client_mac, ap_mac e userurl - que a Purple usa para rastrear a sessão e retornar uma decisão de autenticação.

Para funcionários e dispositivos operacionais, a arquitetura muda do redirecionamento por Captive Portal para o controle de acesso de rede baseado em porta IEEE 802.1X. O access point EnGenius atua como o autenticador, encaminhando mensagens do Protocolo de Autenticação Extensível (EAP) para o servidor RADIUS da Purple via porta UDP 1812. Após a autenticação bem-sucedida, o servidor RADIUS retorna uma mensagem Access-Accept contendo atributos de atribuição de VLAN, instruindo o AP a colocar o dispositivo no segmento de rede correto.

architecture_overview.png

Camada Tipo de SSID Método de Autenticação Atribuição de VLAN
Guest WiFi Aberto ou WPA2 PSK Captive Portal Purple via RADIUS personalizado Estática (ex: VLAN 10)
Staff WiFi WPA2/WPA3 Enterprise 802.1X (PEAP ou EAP-TLS) Dinâmica via atributos RADIUS
Multi-Tenant WPA2/WPA3 PSK com MyPSK PSK por usuário Vinculação de VLAN por chave

Plataforma EnGenius Cloud

O EnGenius Cloud é uma plataforma de gerenciamento de rede em nuvem que suporta os pontos de acesso da série ECW (incluindo os modelos WiFi 7 ECW220, ECW230 e ECW520) e switches gerenciados da série ECS. A plataforma oferece um painel centralizado para gerenciamento de SSID, configuração de RADIUS, marcação de VLAN e configurações de Captive Portal em todos os dispositivos de uma organização. O EnGenius Cloud suporta três tipos de autenticação de Captive Portal baseados em RADIUS: EnGenius Authentication (usando o Cloud RADIUS integrado), Custom RADIUS (apontando para um servidor externo como o Purple) e Voucher Service.

Para implantações corporativas, o Custom RADIUS é o tipo de autenticação correto ao integrar com o Purple. Este modo instrui o ponto de acesso a enviar solicitações de autenticação via proxy para o endpoint RADIUS do Purple, habilitando o portal, as análises e as capacidades de captura de dados do Purple.

EnGenius MyPSK e isolamento multi-tenant

Em ambientes como propriedades de aluguel residencial (build-to-rent), acomodações estudantis, escritórios com serviços inclusos ou espaços de coworking, transmitir um SSID separado para cada locatário degrada o desempenho da radiofrequência. Cada SSID adicional gera pacotes de beacon que consomem tempo de transmissão no ar (airtime) e reduzem a capacidade disponível para o tráfego de dados. O EnGenius MyPSK (também conhecido como PPSK, ou Private Pre-Shared Key) resolve isso permitindo até 500 PSKs exclusivas em um único SSID.

Cada chave é vinculada a uma VLAN específica. Quando um residente se conecta usando sua chave exclusiva, o ponto de acesso o coloca automaticamente em seu segmento de rede designado. A criptografia é por usuário: cada chave gera uma Pairwise Master Key (PMK) exclusiva, de modo que um locatário não pode decodificar o tráfego aéreo de outro locatário, mesmo que compartilhem o mesmo SSID. Esta é uma vantagem de segurança fundamental sobre uma única PSK compartilhada, onde qualquer usuário que saiba a senha pode decodificar todo o tráfego na rede.

mypsk_vlan_infographic.png

As chaves MyPSK suportam datas de expiração, tornando-as ideais para cenários de acesso por tempo limitado: a chave de um estudante expira no final do ano letivo, a chave de um prestador de serviços expira quando o contrato termina e a chave de um participante de conferência expira à meia-noite do último dia do evento.

Guia de implementação

Passo 1: Defina sua arquitetura de VLAN

Antes de configurar qualquer SSID, defina a estrutura de VLAN nos seus switches ECS. Uma implantação típica usa três VLANs:

ID da VLAN Finalidade Política de Acesso
VLAN 10 WiFi de Visitantes Apenas Internet, isolada da LAN corporativa
VLAN 20 WiFi de Funcionários Acesso total à LAN corporativa
VLAN 30 WiFi de Locatários/Residentes Segmentos isolados por locatário

Configure a porta do switch ECS conectada a cada ponto de acesso ECW como uma porta trunk, permitindo todas as três VLANs. A VLAN nativa no trunk deve ser a VLAN de gerenciamento. Se o trunk não for configurado corretamente, a atribuição dinâmica de VLAN falhará silenciosamente.

Passo 2: Configurar o Captive Portal de visitantes (configuração do Captive Portal EnGenius)

Esta é a configuração principal para implantar a splash page da EnGenius com a Purple.

  1. Faça login no seu painel EnGenius Cloud em cloud.engenius.ai .
  2. Navegue até Configure > SSID e selecione sua rede de visitantes (ex: "VenueGuest").
  3. Na aba Wireless, defina o Tipo de Segurança como Open. Isso é o padrão para WiFi de visitantes; os visitantes são identificados e autenticados na camada do portal, não na camada de associação.
  4. Alterne para a aba Captive Portal e habilite o portal.
  5. Defina o Tipo de Autenticação como Custom RADIUS.
  6. Insira os detalhes do servidor RADIUS da Purple:
Campo Valor
IP do Servidor RADIUS Fornecido no painel da Purple em Configuração de Hardware
Porta de Autenticação UDP 1812
Porta de Accounting UDP 1813
Segredo Compartilhado String de mais de 22 caracteres gerada pela Purple
Identificador NAS Nome do seu estabelecimento ou ID do estabelecimento Purple
  1. Alterne para a aba Splash Page.
  2. Selecione External Splash Page URL.
  3. Insira a URL do portal Purple para o seu estabelecimento (formato: https://portal.purple.ai/[venue-id]).
  4. Clique em Apply.

Passo 3: Configurar o Walled Garden

O Walled Garden (lista de permissões de WiFi para visitantes do EnGenius) deve ser configurado para permitir o acesso pré-autenticação aos domínios necessários para o carregamento do portal. Navegue até Captive Portal > Advanced Settings > Walled Garden e adicione as seguintes entradas:

Infraestrutura Purple:

  • *.purple.ai
  • *.purpleportal.net

Probes de Captive Portal do SO (obrigatório):

  • captive.apple.com (iOS e macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Login social (se ativado):

  • Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
  • Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
  • Microsoft Entra ID: login.microsoftonline.com, login.live.com

Sempre use nomes de domínio em vez de endereços IP estáticos. Os provedores de login social usam intervalos de IP dinâmicos e roteamento anycast; uma lista de permissões de IP estático se degradará com o tempo à medida que os endereços de CDN mudarem.

Passo 4: Configurar WiFi corporativo seguro (802.1X)

A configuração do EnGenius RADIUS para WiFi corporativo usa WPA2 Enterprise para fornecer autenticação sem senha e baseada em certificado.

  1. Crie um novo SSID (ex: "VenueStaff").
  2. Na aba Wireless, defina o Tipo de Segurança como WPA2 Enterprise.
  3. Selecione Custom RADIUS e insira o IP do servidor RADIUS, porta 1812 e o segredo compartilhado.
  4. Nenhum Captive Portal é necessário. Os dispositivos corporativos se autenticam silenciosamente via 802.1X.
  5. Configure seu servidor RADIUS para retornar os seguintes atributos no Access-Accept:
Atributo RADIUS Valor
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (802)
Tunnel-Private-Group-ID 20 (ou o ID da VLAN da sua equipe)

Para a seleção do método EAP: PEAP-MSCHAPv2 é a escolha prática para ambientes que usam o Microsoft Entra ID ou Active Directory. O EAP-TLS oferece maior segurança ao eliminar completamente as senhas, mas exige uma Infraestrutura de Chaves Públicas e uma solução de MDM para implantar certificados de cliente. Force a validação estrita do certificado do servidor em todos os dispositivos clientes via Diretiva de Grupo (Windows) ou perfis de MDM (macOS, iOS, Android) para evitar o roubo de credenciais de pontos de acesso não autorizados.

Passo 5: Configurar o EnGenius MyPSK para isolamento de múltiplos locatários

Configuração do EnGenius MyPSK para um ambiente de múltiplos locatários:

  1. Crie um novo SSID (ex.: "VenueResident").
  2. Na guia Wireless, defina o Tipo de Segurança como WPA2 PSK ou WPA3 Personal.
  3. Habilite o MyPSK (Private PSK).
  4. Clique em Add PSK para criar chaves individuais ou use Auto-Generate para criar lotes de até 50 de cada vez.
  5. Para cada PSK, atribua um VLAN ID e, opcionalmente, defina uma Start Date (Data de Início) e uma Expiration Date (Data de Expiração).
  6. Distribua cada PSK exclusivo para o locatário ou residente correspondente.

Quando o contrato de um locatário terminar, exclua ou expire o PSK dele. O acesso é revogado imediatamente, sem afetar nenhum outro locatário na rede.

Melhores práticas

Force a validação estrita de certificados em clientes 802.1X. O PEAP-MSCHAPv2 só é seguro quando os clientes estão configurados para validar o certificado do servidor RADIUS em relação a uma CA confiável. Sem isso, um ponto de acesso não autorizado pode apresentar um certificado fraudulento e capturar credenciais. Implante as configurações de validação via GPOs (Objetos de Diretiva de Grupo) para Windows e perfis de configuração de MDM para todas as outras plataformas. Isso é inegociável para qualquer implantação em um ambiente regulamentado.

Use a resolução dinâmica de DNS no Walled Garden. Google, Apple e Meta usam intervalos de IP dinâmicos para seus endpoints de OAuth e CDN. Configure as entradas do Walled Garden como nomes de domínio e garanta que o controlador EnGenius Cloud os resolva dinamicamente. Uma lista de permissões de IP estático causará falhas de autenticação à medida que os IPs de CDN rotacionam.

Segmente dispositivos IoT com o MAC Authentication Bypass. Dispositivos sem interface de usuário, como impressoras, telas e sensores IoT, não podem se autenticar via 802.1X. Use o MAC Authentication Bypass (MAB) para identificá-los e colocá-los em uma VLAN restrita com regras de firewall que impeçam o movimento lateral. O MAB não é um controle de segurança - é um mecanismo de identificação de dispositivos. Trate os dispositivos autenticados por MAB como não confiáveis.

Implemente a bilhetagem RADIUS (accounting). Habilite o servidor de bilhetagem na configuração de RADIUS do EnGenius Cloud, apontando para o endpoint de bilhetagem da Purple na porta UDP 1813. Isso envia a duração da sessão, o volume de dados e as informações do dispositivo para a plataforma de WiFi Analytics da Purple, fornecendo os dados de utilização do local que justificam o investimento em infraestrutura. Revise o Walled Garden trimestralmente. Os provedores de OAuth e CDNs mudam suas estruturas de domínio. A Apple atualizou seus domínios de Sign In duas vezes em 2023. Inclua uma revisão trimestral do Walled Garden em seu calendário operacional. Para obter mais orientações sobre práticas de segurança de WiFi corporativo, consulte o nosso Guia de Segurança de WiFi Corporativo .

Solução de problemas e mitigação de riscos

Sintoma: O Captive Portal falha ao carregar em dispositivos iOS. Causa: captive.apple.com não está no Walled Garden. O iOS usa esse endpoint para detectar a presença de um Captive Portal e acionar o Captive Network Assistant. Sem ele, o dispositivo relata "Sem Conexão com a Internet" e nunca abre o navegador do portal. Solução: Adicione captive.apple.com ao Walled Garden no EnGenius Cloud em Captive Portal > Configurações Avançadas.

Sintoma: A autenticação falha silenciosamente - o RADIUS não retorna resposta. Causa: Incompatibilidade de segredo compartilhado (shared secret) entre o EnGenius Cloud e a configuração do servidor RADIUS Purple. A diferença de um único caractere faz com que cada solicitação de autenticação seja descartada. Solução: Insira novamente o segredo compartilhado em ambos os sistemas. Copie e cole de uma fonte de texto simples para evitar a substituição por caracteres invisíveis.

Sintoma: O cliente 802.1X autentica, mas não recebe um endereço IP. Causa: A porta de uplink do switch ECS não está configurada como trunk, ou a VLAN retornada pelo servidor RADIUS não é permitida no trunk. Solução: Verifique a configuração da porta do switch. A porta deve ser um trunk que transporta todas as VLANs referenciadas nas respostas RADIUS.

Sintoma: O cliente MyPSK se conecta, mas consegue alcançar dispositivos de outros inquilinos. Causa: O isolamento de clientes (client isolation) não está ativado no SSID, ou a configuração de VLAN no switch não está isolando os segmentos corretamente. Solução: Ative o isolamento de clientes no SSID no EnGenius Cloud. Verifique se cada VLAN está configurada com as regras de roteamento inter-VLAN apropriadas no roteador ou firewall upstream.

Sintoma: O botão de login social carrega, mas a autenticação falha. Causa: Um ou mais subdomínios do provedor de OAuth estão ausentes do Walled Garden. O Google e a Meta usam múltiplos subdomínios para seus fluxos de autenticação. Solução: Capture a saída do console do navegador de um dispositivo não autenticado para identificar qual domínio está sendo bloqueado. Adicione o domínio ausente ao Walled Garden. Consulte a documentação de Lista de Permissões de Domínios do Walled Garden da Purple para obter a lista atual.

ROI e impacto nos negócios

A implantação do Purple com o EnGenius Cloud transforma a infraestrutura de rede sem fio de um centro de custo em um ativo de dados. Os operadores de locais capturam dados demográficos de primeira parte (first-party) em total conformidade com a GDPR a partir de convidados por meio de consentimento por escolha consciente, permitindo campanhas de marketing direcionadas e engajamento mensurável. Para as equipes de TI, a transição para o 802.1X e MyPSK elimina a sobrecarga operacional de gerenciar senhas compartilhadas, reduz os chamados de suporte relacionados a problemas de acesso e fornece visibilidade granular sobre a utilização da rede.

Para operadores de hotelaria , o Premier Inn - um cliente Purple nominal - usa dados de WiFi de visitantes para impulsionar o engajamento no programa de fidelidade e personalizar as comunicações pós-visita. Para ambientes de varejo , a combinação de análises de fluxo de pedestres da plataforma WiFi Analytics da Purple e dados de tempo de permanência fornece insights de merchandising que justificam o investimento em infraestrutura independentemente dos benefícios de segurança.

Em ambientes multi-inquilino, o MyPSK elimina a necessidade de uma infraestrutura de rede física separada por inquilino. Um único ponto de acesso EnGenius ECW pode atender 500 inquilinos isolados em um único SSID, reduzindo custos de hardware e simplificando o gerenciamento contínuo. Quando um inquilino se muda, seu PSK é excluído em segundos - sem necessidade de alteração de senha, sem impacto para os outros residentes.

A plataforma da Purple é agnóstica em termos de hardware, o que significa que a mesma configuração, análise e camada de captura de dados da Purple funcionam em hardwares da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se o seu parque de dispositivos inclui uma mistura de EnGenius e outros fornecedores, a Purple oferece um painel centralizado para o gerenciamento de WiFi de visitantes em todos eles. Para orientações de implantação relacionadas, consulte nosso guia de integração do DrayTek Vigor .

Definições principais

Captive Portal

Uma página web que intercepta a primeira requisição HTTP de um usuário após se conectar a uma rede WiFi e exige que ele se autentique ou aceite os termos antes de conceder acesso à internet.

O mecanismo primário para integração de convidados, captura de dados e gerenciamento de consentimento em conformidade com a GDPR em implantações do Purple. O EnGenius Cloud suporta páginas de Captive Portal internas e externas.

Walled Garden

A lista de permissões (whitelist) explícita de domínios e endereços IP com os quais um dispositivo cliente pode se comunicar antes de se autenticar com sucesso através do Captive Portal.

Necessário para permitir que os dispositivos alcancem os servidores do portal do Purple, endpoints de sondagem de SO e provedores de identidade de terceiros, como Google ou Microsoft Entra ID, antes que a autenticação seja concluída.

EnGenius MyPSK

Um recurso que permite aos administradores de rede criar múltiplas Pre-Shared Keys exclusivas em um único SSID, cada uma vinculada a uma VLAN específica para isolamento de rede.

Usado em ambientes de múltiplos inquilinos (multi-tenant) para fornecer segmentos de rede seguros e isolados sem transmitir múltiplos SSIDs. Suporta até 500 chaves exclusivas por SSID com datas de expiração opcionais.

Atribuição dinâmica de VLAN

O processo no qual um servidor RADIUS instrui um ponto de acesso a colocar um dispositivo autenticado em uma VLAN específica com base na associação de grupo de diretório, usando o atributo Tunnel-Private-Group-ID.

Permite que um único SSID 802.1X segmente o tráfego de forma segura para diferentes funções de funcionários automaticamente, sem configuração manual de VLAN por dispositivo.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN, usando EAP para transportar credenciais para um servidor RADIUS.

A base da segurança WiFi corporativa para redes de funcionários, substituindo senhas compartilhadas vulneráveis por validação individualizada de credenciais ou certificados.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Bilhetagem para acesso à rede.

O protocolo usado pelos pontos de acesso EnGenius para se comunicar com os servidores de autenticação do Purple. A autenticação usa a porta UDP 1812; a bilhetagem (accounting) usa a porta UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2; um método 802.1X que cria um túnel TLS usando um certificado do lado do servidor, dentro do qual as credenciais de usuário e senha são trocadas.

O método de implantação 802.1X mais comum para ambientes que usam Active Directory ou Microsoft Entra ID. Exige validação estrita de certificado de servidor nos clientes para evitar o roubo de credenciais.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação 802.1X que exige certificados digitais tanto no servidor RADIUS quanto em cada dispositivo cliente, eliminando completamente o uso de senhas.

O método 802.1X mais seguro, recomendado para ambientes de alta segurança. Requer uma infraestrutura de chaves públicas (PKI) e uma solução de MDM para implantar certificados de cliente.

NAS Identifier

Network Access Server Identifier; um atributo de string incluído nas requisições RADIUS para identificar o ponto de acesso ou controladora que originou a solicitação de autenticação.

Configurado no EnGenius Cloud para corresponder ao identificador de local na plataforma do Purple, garantindo que os dados de análise e sessão sejam atribuídos ao local correto.

PMK

Pairwise Master Key; a chave criptográfica derivada de uma PSK e do nome do SSID, usada para criptografar a sessão sem fio entre um cliente específico e o ponto de acesso.

Em implantações MyPSK, cada PSK exclusivo gera uma PMK distinta, impedindo que um inquilino decifre o tráfego de outro, mesmo no mesmo SSID.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer acesso Wi-Fi contínuo aos hóspedes, acesso seguro à equipe do hotel e redes isoladas para três concessões de varejo no lobby, tudo usando os mesmos access points EnGenius ECW e switches ECS.

Implante três SSIDs no mesmo hardware. SSID 1 (VenueGuest): Segurança aberta com RADIUS personalizado apontando para o endpoint RADIUS da Purple. URL da página de splash externa configurada para o portal Purple. Walled Garden preenchido com sondas de SO, domínios CDN da Purple e endpoints do Google OAuth. VLAN 10 atribuída estaticamente. SSID 2 (VenueStaff): WPA2 Enterprise com RADIUS personalizado. Sem Captive Portal. O servidor RADIUS retorna Tunnel-Private-Group-ID de 20 para todos os funcionários, com subgrupos (finanças, operações, manutenção) mapeados para as VLANs 21, 22 e 23, respectivamente. SSID 3 (VenueRetail): WPA2 PSK com MyPSK ativado. Três PSKs exclusivos criados, cada um vinculado às VLANs 31, 32 e 33. Datas de expiração configuradas para corresponder ao prazo de locação de cada concessão. A porta de uplink do switch ECS está configurada como um trunk que transporta as VLANs 10, 20-23 e 31-33.

Comentário do examinador: Essa abordagem minimiza a sobrecarga de SSID para apenas três transmissões, reduzindo a interferência de canal compartilhado, ao mesmo tempo em que impõe um isolamento estrito de Camada 2 entre hóspedes, funcionários e locatários terceirizados. A atribuição dinâmica de VLAN para a equipe elimina a reconfiguração manual quando os funcionários mudam de função. As datas de expiração do MyPSK automatizam a revogação de acesso para as concessões de varejo sem exigir intervenção de TI.

Um campus universitário que implanta o EnGenius Cloud relata que os alunos que tentam fazer login no portal de visitantes da Purple usando suas contas do Google Workspace estão recebendo um erro no navegador após clicar no botão de login do Google. A página do portal em si carrega corretamente.

O carregamento da página do portal confirma que os domínios CDN da Purple estão corretamente na lista de permissões. A falha na etapa de login do Google indica que um ou mais domínios do Google OAuth estão ausentes do Walled Garden. Navegue até EnGenius Cloud > Captive Portal > Configurações Avançadas > Walled Garden e adicione: accounts.google.com, oauth2.googleapis.com, apis.google.com e *.gstatic.com. O caractere curinga gstatic.com é necessário porque o Google serve suas bibliotecas JavaScript do lado do cliente a partir desta CDN. Após atualizar o Walled Garden, teste com um dispositivo não autenticado e capture a saída do console do navegador para confirmar que nenhum outro domínio está bloqueado.

Comentário do examinador: Falhas de OAuth na etapa do provedor (e não na etapa de carregamento do portal) são quase universalmente causadas por configurações incompletas de Walled Garden. O Captive Portal intercepta a chamada HTTPS para o provedor de identidade, a menos que o domínio seja explicitamente liberado. O uso de entradas curinga (*.gstatic.com) é a abordagem pragmática para provedores que usam múltiplos subdomínios CDN, desde que a sua versão do EnGenius Cloud suporte entradas curinga no Walled Garden.

Questões práticas

Q1. Você implanta um Captive Portal da Purple em pontos de acesso EnGenius ECW. Convidados usando Android relatam que seus dispositivos mostram 'Conectado, sem internet' e o portal nunca aparece. Convidados usando iOS no mesmo SSID visualizam o portal corretamente. Qual é o erro de configuração mais provável e como você o corrige?

Dica: Android e iOS usam endpoints de teste de Captive Portal diferentes.

Ver resposta modelo

O Android usa connectivitycheck.gstatic.com como seu endpoint de teste de Captive Portal. O iOS usa captive.apple.com. Se os convidados com iOS veem o portal mas os com Android não, o connectivitycheck.gstatic.com está faltando no Walled Garden. Adicione-o no EnGenius Cloud em Captive Portal > Advanced Settings > Walled Garden. Adicione também connectivitycheck.android.com e www.google.com , pois o Android usa múltiplas URLs de teste dependendo da versão do dispositivo.

Q2. Um local configura 802.1X em um SSID EnGenius. Os dispositivos da equipe autenticam com sucesso (os logs do servidor RADIUS mostram Access-Accept), mas os dispositivos recebem um endereço APIPA 169.x.x.x em vez de um IP corporativo. Qual é a causa mais provável?

Dica: O servidor RADIUS está aceitando a autenticação, então o problema está após a autenticação.

Ver resposta modelo

O servidor RADIUS está retornando um atributo Tunnel-Private-Group-ID especificando um ID de VLAN. O ponto de acesso EnGenius está tentando marcar o tráfego do cliente com essa VLAN, mas a porta de uplink no switch ECS não está configurada como uma porta trunk que trafega essa VLAN. O dispositivo é colocado em uma VLAN sem servidor DHCP alcançável. Correção: configure a porta de uplink do switch ECS como trunk, permitindo explicitamente o ID de VLAN retornado pelo servidor RADIUS.

Q3. Um administrador de propriedade build-to-rent pergunta por que você está recomendando o EnGenius MyPSK em vez de criar um SSID separado para cada uma das 80 unidades residenciais. Apresente uma justificativa técnica.

Dica: Considere o impacto dos beacons de SSID no desempenho do WiFi.

Ver resposta modelo

Cada SSID transmite frames de beacon em intervalos regulares (geralmente a cada 100ms). Em um ambiente denso, 80 SSIDs gerariam um overhead constante de beacons, consumindo um tempo de antena significativo, reduzindo a capacidade disponível para o tráfego de dados real e degradando o desempenho para todos os usuários. A maioria dos pontos de acesso corporativos também impõe um limite prático de 8 a 16 SSIDs por rádio. O MyPSK oferece o mesmo isolamento (cada residente em uma VLAN exclusiva com uma chave de criptografia exclusiva) usando um único SSID, eliminando totalmente o overhead de beacons. O PMK por usuário também impede que os residentes decodifiquem o tráfego uns dos outros, o que um único PSK compartilhado não consegue evitar.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.

Ler o guia →