Integração do Cisco WLC e Catalyst com o Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia detalha a integração passo a passo do Cisco WLC e do Catalyst 9800 Wireless com a Purple, cobrindo o redirecionamento do Captive Portal do Guest WiFi via Central Web Authentication, WiFi seguro para funcionários usando 802.1X EAP-TLS e segmentação Multi-Tenant usando Cisco Identity Pre-Shared Keys (iPSK) com atribuição de VLAN dinâmica. Ele foi escrito para arquitetos de rede corporativa e diretores de segurança de TI que implantam infraestrutura Cisco em hotéis, varejo e grandes locais públicos.

📖 9 min de leitura📝 2,116 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje abordaremos um cenário definitivo de implantação para arquitetos de rede corporativa: a integração dos Cisco Wireless LAN Controllers e hardware Catalyst 9800 com a plataforma Purple WiFi. Se você gerencia a TI de uma rede de hotéis, de uma rede de varejo ou de um grande espaço público, sabe que depender de Pre-Shared Keys básicas é um risco de segurança inaceitável. Hoje, apresentaremos passo a passo a arquitetura para segmentar sua rede, proteger seus funcionários e transformar o seu WiFi de visitantes em um ativo orientado a dados.

Vamos estabelecer o contexto. Um ambiente sem fio corporativo deve lidar com três perfis distintos: Visitantes, Funcionários e dispositivos sem interface (Headless) ou de Locatários. Você não pode tratá-los da mesma forma e não pode transmitir vinte SSIDs diferentes para acomodá-los. A solução é uma infraestrutura unificada de hardware que aproveita diferentes mecanismos de autenticação em um único Cisco Catalyst 9800 Wireless LAN Controller.

Agora vamos mergulhar na arquitetura técnica. O primeiro nível é o Guest WiFi. O objetivo aqui é o acesso com o mínimo de atrito combinado com a captura de dados. Conseguimos isso usando um SSID aberto e Central Web Authentication, ou CWA. Quando um visitante se conecta, o Cisco WLC aplica uma lista de controle de acesso de pré-autenticação. Esse é o seu walled garden. Ele bloqueia o acesso geral à internet, mas permite o tráfego para os domínios da Purple e serviços essenciais. Quando o visitante tenta navegar, o WLC intercepta a requisição HTTP e o redireciona para a página de Captive Portal da Purple. Assim que ele se autentica, seja por meio de um formulário de cadastro, login social ou código de uso único, a Purple atua como o servidor RADIUS. Ela envia uma mensagem de Change of Authorization, conhecida como CoA, para o WLC. Isso move o cliente para uma VLAN de visitantes isolada e concede acesso à internet. Todo o fluxo é automatizado e cada login é registrado na plataforma de analytics da Purple.

O segundo nível é o Staff WiFi. Para dispositivos corporativos, exigimos autenticação 802.1X. Especificamente, EAP-TLS, que significa Extensible Authentication Protocol Transport Layer Security. Esse método usa certificados digitais instalados nos dispositivos corporativos por meio de sua plataforma de Mobile Device Management, seja ela o Microsoft Intune, Jamf ou outra solução. O WLC atua como o autenticador, passando mensagens EAP para o servidor RADIUS. Como usamos certificados, não há senhas para serem roubadas. Se um dispositivo for perdido ou um funcionário sair da empresa, você revoga o certificado. O acesso é encerrado instantaneamente, sem a necessidade de alterar uma senha global ou interromper o trabalho de qualquer outra pessoa. O EAP-TLS é o padrão ouro para a segurança corporativa.

O terceiro nível é o Wi-Fi Multi-Tenant ou IoT. Pense em lojistas de shoppings, membros de espaços de coworking ou sensores de edifícios inteligentes que não suportam 802.1X. Para isso, implantamos o Cisco Identity PSK, ou iPSK. Todos se conectam ao mesmo SSID, mas o servidor RADIUS atribui uma senha exclusiva e uma VLAN exclusiva para cada locatário com base em seu endereço MAC. Quando o dispositivo de um locatário se conecta, o WLC envia uma solicitação de autenticação MAC para o servidor RADIUS. O servidor retorna a PSK específica para aquele locatário como um atributo Cisco AV-Pair, junto com três atributos RADIUS IETF padrão para atribuir dinamicamente o cliente à VLAN correta. Esses atributos são: Tunnel-Type, configurado como VLAN; Tunnel-Medium-Type, configurado como 802; e Tunnel-Private-Group-ID, configurado como o ID da VLAN de destino. O WLC processa esses atributos e coloca o dispositivo no segmento de rede isolado correto. O iPSK oferece segmentação corporativa com simplicidade de consumo.

Agora, vamos discutir as recomendações de implementação e as armadilhas que vemos com mais frequência em implantações de produção.

O ponto de falha mais comum em implantações de visitantes é a ACL do walled garden. Se os visitantes se conectarem, mas a splash page não aparecer, verifique primeiro a configuração do seu DNS. Se a sua ACL de pré-autenticação bloquear a porta UDP 53, o cliente não conseguirá resolver os nomes de domínio. O sistema operacional não acionará o mini-navegador do Captive Portal, e o visitante verá um erro de Sem Internet. Sempre permita explicitamente o tráfego de DNS em sua ACL de walled garden. Este é o problema de suporte mais comum que encontramos.

A segunda armadilha está nas implantações para funcionários. Se você optar por implantar PEAP-MSCHAPv2 em vez de EAP-TLS, porque ainda não possui uma solução de MDM para distribuir certificados, deverá configurar os dispositivos dos clientes para validar explicitamente o certificado do servidor RADIUS. Isso significa especificar a Autoridade Certificadora exata em que se deve confiar e o nome do servidor esperado no perfil do WiFi. Se você deixar isso para o usuário final configurar manualmente, um invasor pode criar um ponto de acesso invasor, apresentar um certificado fraudulento e capturar credenciais corporativas. Este não é um ataque teórico. É uma ameaça real e bem documentada. Force a validação de certificado via Política de Grupo para dispositivos Windows e via perfis MDM para macOS e dispositivos móveis.

A terceira armadilha está nas implantações de iPSK. Se um cliente se conectar, mas receber a VLAN errada, ou falhar completamente ao se conectar, a causa mais provável é que o ID da VLAN de destino especificado no atributo Tunnel-Private-Group-ID não existe no WLC. A VLAN deve ser criada e estar ativa no controlador antes que o servidor RADIUS possa direcionar os clientes para ela. Use o comando debug radius no WLC para verificar se os atributos estão sendo recebidos corretamente do servidor RADIUS.

Agora, vamos fazer uma sessão de perguntas e respostas rápidas sobre as perguntas que ouvimos com mais frequência.

Pergunta um: Posso usar o MAC Authentication Bypass em vez do iPSK para dispositivos IoT?

Você pode, mas não deve. Os endereços MAC são transmitidos em texto simples e são fáceis de falsificar (spoof). O MAC Authentication Bypass fornece identificação do dispositivo, não segurança. O iPSK fornece segurança criptográfica real para dispositivos headless. Se o dispositivo suportar qualquer forma de PSK, use o iPSK.

Pergunta dois: A Purple suporta controladores Cisco Catalyst 9800 IOS-XE?

Sim. A Purple suporta totalmente os controladores modernos Catalyst 9800 IOS-XE, bem como os AireOS WLCs legados. A integração de RADIUS e Change of Authorization é totalmente validada para ambas as plataformas.

Pergunta três: Como faço para lidar com a redundância do servidor RADIUS?

Sempre configure um servidor RADIUS primário e um secundário em suas listas de métodos AAA no WLC. O WLC fará o failover automaticamente para o servidor secundário se o primário não responder dentro do tempo limite configurado. A Purple fornece dois endereços IP de servidor RADIUS exatamente para essa finalidade. Nunca implante um único servidor RADIUS em um ambiente de produção.

Pergunta quatro: Quais números de porta RADIUS a Purple usa?

A Purple usa a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilização (accounting). Essas são as portas padrão registradas pela IANA para RADIUS, conforme definido na RFC 2865 e RFC 2866.

Para resumir os principais pontos da instrução de hoje. Audite sua arquitetura sem fio atual. Se você estiver usando senhas compartilhadas para a equipe, planeje uma migração para o 802.1X. Se estiver transmitindo múltiplos SSIDs para diferentes inquilinos, consolide-os usando o Cisco iPSK. Se o seu WiFi de convidados é simplesmente uma rede aberta sem captura de dados, integre-o com a Purple para coletar dados primários (first-party data), impulsionar o retorno sobre o investimento em marketing e garantir a conformidade com os requisitos de GDPR e PCI DSS.

Ao combinar a infraestrutura de nível empresarial da Cisco com a sobreposição de nuvem da Purple, você oferece conectividade segura, segmentada e inteligente em todo o seu local. A Purple opera em mais de 80.000 locais ativos e registrou 440 milhões de logins em 2024. A plataforma é independente de hardware (hardware-agnostic), certificada pela ISO 27001 e desenvolvida para escala corporativa.

Seu próximo passo é claro. Revise o guia de configuração passo a passo completo no site da Purple, obtenha suas credenciais de servidor RADIUS no portal da Purple e inicie a integração com seu Cisco WLC hoje mesmo. Para guias de configuração detalhados e documentação específica de hardware, visite o portal de suporte da Purple em support ponto purple ponto ai.

Obrigado por ouvir esta Instrução Técnica da Purple. Até a próxima, mantenha-se seguro.

Principais conclusões

✓Substitua chaves compartilhadas inseguras (Pre-Shared Keys) por uma arquitetura de três níveis: WiFi para convidados via Captive Portal, WiFi corporativo via 802.1X EAP-TLS e WiFi para inquilinos/IoT via Cisco iPSK.
✓Integre o Cisco WLC com o Purple usando Autenticação Web Central (CWA) e RADIUS CoA para automatizar o onboarding de convidados e capturar dados primários em escala.
✓Configure ACLs de pré-autenticação precisas (walled garden) no WLC, sempre permitindo DNS (UDP 53), caso contrário, o redirecionamento do Captive Portal falhará.
✓Implante EAP-TLS para o WiFi corporativo para eliminar totalmente as senhas e depender de certificados digitais distribuídos por MDM para obter a postura de segurança mais robusta disponível.
✓Use Cisco iPSK com atribuição dinâmica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar ambientes multi-tenant e IoT em um único SSID.
✓Sempre force a validação de certificado de servidor RADIUS nos dispositivos clientes ao usar PEAP-MSCHAPv2 para evitar o roubo de credenciais por pontos de acesso falsos.
✓O Purple opera em mais de 80.000 locais, possui certificação ISO 27001 e GDPR, e fornece infraestrutura RADIUS redundante - configure os servidores primário e secundário no WLC.

Resumo executivo

As redes sem fio corporativas devem atender a diferentes grupos de usuários simultaneamente: visitantes que precisam de acesso facilitado à internet, funcionários que exigem acesso seguro aos recursos corporativos e dispositivos sem interface (headless) ou de inquilinos que necessitam de isolamento mútuo. Depender de uma única Chave Pré-Compartilhada (PSK) para qualquer um desses grupos é um risco de segurança. Uma única credencial comprometida expõe todo o segmento, e revogar o acesso exige a alteração de uma senha global que interrompe a conexão de todos os dispositivos na rede.

Este guia detalha a integração dos Controladores de LAN Sem Fio (WLC) da Cisco e do hardware da série Catalyst 9800 com a plataforma em nuvem da Purple. Fornecemos a configuração passo a passo para três níveis distintos de autenticação: uma rede de Guest WiFi aberta com redirecionamento de Captive Portal desenvolvido pela Purple, uma rede WiFi segura para funcionários utilizando autenticação por certificado 802.1X EAP-TLS, e um ambiente WiFi multi-inquilino (Multi-Tenant) usando Chaves Pré-Compartilhadas de Identidade da Cisco (iPSK) com atribuição dinâmica de VLAN. Ao implantar essa arquitetura, você isola os recursos corporativos do tráfego de visitantes, automatiza o controle de acesso baseado em identidade e captura dados primários por meio da plataforma de WiFi Analytics da Purple. A Purple opera em mais de 80.000 locais ativos e registrou 440 milhões de logins em 2024 (dados internos da Purple), consolidando-se como uma solução de overlay em nuvem comprovada para a infraestrutura Cisco em larga escala.

Análise técnica detalhada: a arquitetura de três níveis

Uma implantação sem fio corporativa moderna em hardware Cisco deve atender a diferentes perfis de usuários com requisitos distintos de segurança e acesso. A integração entre o Cisco WLC e a Purple permite que uma infraestrutura física unificada atenda a esses perfis por meio de mecanismos de autenticação separados, todos gerenciados a partir de um único controlador Catalyst 9800.

Nível 1: Guest WiFi - Autenticação Web Centralizada (CWA)

Para visitantes em ambientes de Hospitality (Hotelaria) e Retail (Varejo), o objetivo é um acesso simplificado combinado com a captura de dados em conformidade. Isso é alcançado usando um SSID aberto associado à Autenticação Web Centralizada (CWA). Quando um visitante se conecta, o Cisco WLC aplica uma Lista de Controle de Acesso (ACL) de pré-autenticação — o walled garden. Essa ACL bloqueia o tráfego geral da internet ao mesmo tempo que permite o tráfego para os domínios do Captive Portal da Purple, DNS e endpoints de login social.

Quando o convidado tenta navegar, o WLC intercepta a requisição HTTP e emite um redirecionamento para a splash page da Purple. O convidado se autentica através do método escolhido (login social, registro de e-mail ou código de voucher). A Purple então atua como o servidor RADIUS, enviando uma mensagem RADIUS Change of Authorization (CoA) de volta para o WLC. O CoA instrui o WLC a mover o cliente do estado de pré-autenticação para o estado de pós-autenticação em uma VLAN de convidados isolada, concedendo acesso à internet. Cada login é registrado na plataforma de analytics da Purple, capturando dados primários em conformidade com o GDPR e a CCPA.

Tier 2: Staff WiFi - 802.1X EAP-TLS

Dispositivos corporativos exigem o mais alto nível de segurança. O IEEE 802.1X define o Controle de Acesso à Rede Baseado em Porta (PNAC) e, quando combinado com EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), oferece autenticação baseada em certificado que elimina completamente as senhas. Os certificados digitais são implantados nos dispositivos corporativos por meio de Gerenciamento de Dispositivos Móveis (MDM) - Microsoft Intune, Jamf ou equivalente. O Cisco WLC atua como o Autenticador, transmitindo mensagens EAP entre o suplicante (dispositivo) e o servidor RADIUS. O servidor RADIUS valida o certificado e retorna um Access-Accept com atributos opcionais de atribuição de VLAN.

Como a autenticação depende de certificados em vez de senhas, não há credenciais para serem roubadas. Se um dispositivo for perdido ou um funcionário sair, você revoga o certificado. O acesso é interrompido instantaneamente sem interromper nenhum outro usuário. Para uma abordagem abrangente dos padrões de segurança corporativa, incluindo WPA3 e Zero Trust, consulte nosso guia sobre Enterprise WiFi Security: A Complete Guide for 2026 .

Tier 3: Multi-Tenant WiFi - Cisco iPSK e atribuição dinâmica de VLAN

Em ambientes como acomodações estudantis, espaços de coworking ou shopping centers, você precisa de redes privadas e segmentadas para diferentes inquilinos sem transmitir dezenas de SSIDs. O Cisco Identity PSK (iPSK) resolve isso. Todos os inquilinos se conectam a um único SSID. O WLC envia uma solicitação de autenticação MAC ao servidor RADIUS para cada dispositivo que se conecta. O servidor RADIUS retorna a PSK específica para aquele inquilino como um atributo cisco-av-pair, juntamente com atributos RADIUS IETF padrão para atribuir dinamicamente o cliente à VLAN correta.

Os três atributos RADIUS IETF que direcionam a atribuição dinâmica de VLAN são:

Atributo RADIUS	ID	Valor
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	ID da VLAN de Destino (ex: 31)

O Tunnel-Private-Group-ID é codificado como uma string, conforme definido na RFC 2868. O ID da VLAN deve existir no WLC para que a atribuição seja bem-sucedida.

Guia de implementação: configuração do Cisco Catalyst 9800 WLC

Os passos a seguir detalham a configuração para um Cisco Catalyst 9800 WLC executando IOS-XE para integração com a Purple para redirecionamento de Guest WiFi. Para implantações legadas do AireOS WLC, as configurações equivalentes estão disponíveis no portal de suporte da Purple.

Passo 1: Configurar a autenticação e bilhetagem RADIUS

Você deve apontar o WLC para os servidores RADIUS da Purple para lidar com a autenticação de convidados e bilhetagem de sessão.

Navegue até Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
Insira o endereço IP do servidor RADIUS primário da Purple, defina a porta de autenticação (auth-port) para 1812, a porta de bilhetagem (acct-port) para 1813 e insira o segredo compartilhado (shared secret) do portal da Purple.
Habilite Support for CoA - isso é obrigatório para o redirecionamento do Captive Portal.
Repita o processo para o servidor RADIUS secundário da Purple.
Navegue até RADIUS > Server Groups > + Add e crie um grupo contendo ambos os servidores.
Navegue até AAA Method List > Authorization > + Add, defina o Tipo (Type) como network e aponte para o grupo de servidores RADIUS.
Navegue até AAA Method List > Accounting > + Add, defina o Tipo (Type) como identity e aponte para o mesmo grupo.

Os comandos CLI equivalentes no IOS-XE são:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Passo 2: Definir a ACL de pré-autenticação (walled garden)

A ACL de pré-autenticação permite o tráfego para a splash page da Purple e serviços essenciais antes de o usuário se autenticar. Este é o walled garden.

Navegue até Configuration > Security > ACL > + Add.
Crie uma ACL estendida IPv4 chamada Purple_Guest_Walled_Garden.
Adicione regras para negar (deny) o tráfego para o IP de gerência do WLC e IPs dos servidores RADIUS.
Adicione regras para permitir (permit) DNS (porta UDP 53) para seus servidores DNS.
Adicione regras para permitir (permit) o tráfego para as faixas de IP e domínios do walled garden da Purple (obtenha a lista atualizada no portal de suporte da Purple para o seu tipo específico de hardware).
Adicione uma regra final permit ip any any - o WLC redirecionará o tráfego permitido para a CPU para processamento do portal.

Passo 3: Configurar o WLAN de convidados

Navegue até Configuration > Tags & Profiles > WLANs > + Add.
Crie uma WLAN chamada Guest-WiFi com o SSID de sua escolha.
Em Security > Layer 2, defina a segurança como None (Open).
Em Security > Layer 3, habilite Web Policy e defina o tipo de Web Auth como External.
Insira a URL de acesso da Purple no campo de redirecionamento.
Aplique a ACL Purple_Guest_Walled_Garden.
Em Security > AAA Servers, atribua os servidores RADIUS da Purple tanto para Autenticação quanto para Bilhetagem (Accounting).### Passo 4: Configurar o Policy Profile
Navegue até Configuration > Tags & Profiles > Policy > + Add.
Em Access Policies, atribua a VLAN 20 (ou a sua VLAN de convidados designada).
Em Advanced, habilite Allow AAA Override e NAC State.
Atribua a lista de métodos de bilhetagem (accounting) do Purple.

O equivalente em CLI:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Passo 5: Configurar iPSK para implantações multi-tenant ou IoT

Para iPSK, a configuração do WLAN difere da configuração de convidados. O WLAN usa WPA2-PSK com filtragem MAC (MAC filtering) ativada, e o Policy Profile possui o AAA Override ativo para aceitar o PSK por cliente e a VLAN originados do servidor RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

O servidor RADIUS (configurado no Purple ou na sua plataforma RADIUS) retorna os seguintes atributos por grupo de tenant:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Melhores práticas

A adesão aos padrões estabelecidos garante estabilidade, segurança e conformidade regulatória em toda a sua implantação.

Imponha validação estrita de certificados. Ao implantar 802.1X, configure os dispositivos dos clientes via MDM para confiar explicitamente na autoridade certificadora do seu servidor RADIUS e especifique o nome de servidor esperado. Deixar de impor isso torna os clientes vulneráveis a ataques de rogue access points, onde um invasor apresenta um certificado fraudulento para capturar credenciais. Este é um requisito obrigatório, não uma recomendação.

Isole o tráfego de convidados na camada de rede. O WiFi de convidados deve terminar em uma VLAN dedicada que seja isolada por firewall de todos os recursos corporativos. O PCI DSS 4.0 exige que os ambientes de dados de portadores de cartões sejam isolados de redes públicas. Um convidado na VLAN 20 não deve ter rota para a rede corporativa na VLAN 10.

Use iPSK para dispositivos IoT, não o MAC Authentication Bypass. Os endereços MAC são transmitidos em texto puro e são fáceis de falsificar. O iPSK fornece segurança criptográfica para dispositivos headless. Para obter orientações sobre como dispositivos de exibição e IoT interagem com protocolos sem fio, consulte What Is Wireless Display: Protocols & Best Practices 2026 .

Defina termos de uso claros. Seu Captive Portal deve apresentar um contrato de termos de uso antes de conceder o acesso. Este é um requisito do GDPR para a coleta de dados e uma necessidade legal para as políticas de uso da rede. Para redes internas de funcionários, consulte Staff WiFi Terms and Conditions: Legal and Compliance Essentials .Implante a redundância RADIUS. Sempre configure um servidor RADIUS primário e um secundário. A Purple fornece dois endereços IP de servidor para essa finalidade. A falha de um único servidor RADIUS impedirá todos os logins de convidados.

Solução de problemas e mitigação de riscos

Mesmo com uma configuração cuidadosa, problemas de integração podem surgir. Aborde os modos de falha mais comuns de forma sistemática antes de escalar.

Problema: Os convidados se conectam, mas a splash page não aparece.

Este é o problema mais comum. A ACL de pré-autenticação está bloqueando o DNS. Sem o DNS, o cliente não consegue resolver a solicitação HTTP inicial e o sistema operacional não acionará o mini-navegador do Captive Portal. Verifique se a porta UDP 53 é permitida para seus servidores DNS na ACL do walled garden. Na WLC, execute show wireless client summary para confirmar se o cliente está em um estado Webauth Pending em vez de Run.

Problema: Os clientes iPSK falham ao se conectar ou vão parar na VLAN errada.

A VLAN especificada em Tunnel-Private-Group-ID não existe na WLC, ou os atributos cisco-av-pair estão formatados incorretamente. Execute debug radius all na WLC para inspecionar a resposta RADIUS bruta. Verifique se o ID da VLAN está criado em Configuration > Layer 2 > VLAN > VLAN List.

Problema: Clientes corporativos 802.1X falham ao autenticar intermitentemente.

Isso geralmente é um timeout do servidor RADIUS ou um problema de confiança de certificado no cliente. Verifique os logs do servidor RADIUS em busca de mensagens Access-Reject. Em clientes Windows, verifique se o perfil de WiFi está configurado para validar o certificado do servidor e se especifica a CA confiável correta.

Problema: O CoA da Purple não é processado pela WLC.

A chave secreta compartilhada (shared secret) do CoA deve corresponder à chave secreta compartilhada do RADIUS configurada na WLC. No IOS-XE 17.4 e posterior, a chave CoA é configurada separadamente da chave secreta compartilhada. Verifique se ambas correspondem aos valores no portal Purple.

ROI e impacto nos negócios

A transição de redes PSK básicas para uma arquitetura estruturada baseada em identidade com a Purple oferece resultados de negócios mensuráveis nos setores de Hospitalidade , Varejo , Saúde e Transporte .

Primeiro, a arquitetura elimina o custo operacional de gerenciamento de senhas compartilhadas. Quando os funcionários saem, você revoga o certificado deles. Você não precisa alterar uma senha global e atualizar todos os dispositivos da propriedade. Segundo, a integração com o Captive Portal da Purple transforma um centro de custo de TI em um gerador de receita. A plataforma da Purple captura dados primários em conformidade com o GDPR a cada login, permitindo campanhas de marketing automatizadas e análises de visitantes. Com 29 bilhões de pontos de dados coletados na rede Purple (dados internos da Purple), a plataforma oferece insights práticos sobre o comportamento do visitante, tempo de permanência e taxas de retorno.

Para operadores de estabelecimentos que realizam pesquisas para entender a satisfação dos visitantes, a plataforma Purple integra-se diretamente com os fluxos de trabalho de pesquisa. Veja Design of a Survey: A Practical Guide for Venues para obter orientações sobre como estruturar pesquisas eficazes para estabelecimentos distribuídas por meio do Captive Portal.

Ao integrar o hardware de nível corporativo da Cisco com a sobreposição de nuvem da Purple, você obtém uma rede segura e escalável que contribui ativamente para os objetivos comerciais do estabelecimento. A Purple possui certificação ISO 27001, em conformidade com o GDPR e CCPA, certificação Cyber Essentials e certificação B Corp - atendendo aos requisitos de conformidade das equipes de compras corporativas.

Definições principais

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para acesso à rede. Definido nas normas RFC 2865 e RFC 2866.

As equipes de TI configuram o Cisco WLC para encaminhar as credenciais do cliente para o servidor RADIUS, que as verifica em um diretório e retorna uma resposta Access-Accept ou Access-Reject, juntamente com os atributos de política.

Captive Portal

Uma página web que o usuário de uma rede de acesso público deve visualizar e com a qual deve interagir antes que o acesso à internet seja concedido. Implementada via redirecionamento HTTP pelo dispositivo de acesso à rede.

Usado em implantações de WiFi de visitantes para capturar dados dos visitantes, apresentar termos de uso ou exibir conteúdo de marca antes de permitir o acesso à internet. A Purple fornece a infraestrutura de Captive Portal hospedada.

iPSK (Identity Pre-Shared Key)

Um recurso da Cisco que permite que Chaves Pré-Compartilhadas (PSKs) exclusivas sejam atribuídas a diferentes usuários ou grupos de dispositivos no mesmo SSID, com a PSK entregue por cliente através de um servidor RADIUS.

Essencial para dispositivos IoT ou ambientes multi-tenant onde o 802.1X não é viável, mas a segmentação de rede é necessária. Elimina a necessidade de transmitir múltiplos SSIDs.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC). Ele fornece um mecanismo de autenticação que bloqueia todo o tráfego de dados de um dispositivo até que o servidor RADIUS confirme a autorização.

A base do WiFi corporativo para funcionários, garantindo que apenas dispositivos corporativos autorizados com credenciais ou certificados válidos possam acessar os recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação baseado em certificado que exige certificados digitais tanto no servidor RADIUS quanto no dispositivo do cliente, eliminando completamente o uso de senhas.

O método mais seguro para autenticar dispositivos corporativos. Os certificados são implantados via MDM. O acesso é revogado invalidando o certificado, e não alterando uma senha compartilhada.

Walled garden

Um ambiente de rede limitado que controla o acesso do usuário ao conteúdo da web antes de ele estar totalmente autenticado. Implementado como uma ACL de pré-autenticação no WLC.

Configurado no Cisco WLC para permitir o acesso à splash page da Purple, DNS e provedores de login social antes que o visitante receba acesso total à internet.

Dynamic VLAN assignment

O processo de colocar automaticamente um dispositivo conectado em uma LAN Virtual específica com base nos atributos de autorização do RADIUS retornados no momento da autenticação.

Garante que funcionários, visitantes e dispositivos IoT sejam colocados em segmentos de rede isolados de forma automática no momento da conexão, sem a necessidade de configuração manual por dispositivo.

Change of Authorization (CoA)

Uma extensão do RADIUS (RFC 5176) que permite ao servidor RADIUS modificar dinamicamente os atributos de autorização de sessão de um cliente que já está conectado.

Necessário para captive portals. Assim que o visitante se autentica na splash page da Purple, a Purple envia uma mensagem CoA para o WLC para transicionar o cliente do estado de walled garden pré-autenticado para o acesso total à internet.

Central Web Authentication (CWA)

Um método de autenticação Cisco onde o servidor RADIUS (em vez do WLC) hospeda ou redireciona para o portal de autenticação web, viabilizando soluções de Captive Portal hospedadas na nuvem.

Usado para integrar o Cisco WLC com o Captive Portal hospedado na nuvem da Purple, permitindo que a Purple gerencie a experiência de autenticação de visitantes e a captura de dados.

Exemplos práticos

Um grande shopping center precisa fornecer WiFi seguro e privado para 50 lojistas usando um único Cisco Catalyst 9800 WLC e um único SSID de transmissão. Cada lojista deve ser isolado dos dispositivos de todos os outros lojistas. Como eles conseguem isso sem transmitir 50 SSIDs separados?

A equipe de TI implanta o Cisco iPSK. Eles configuram um único SSID chamado 'Mall-Tenant-WiFi' com WPA2-PSK e filtragem MAC ativada. No servidor RADIUS, eles criam 50 grupos de identidade de endpoint, um por lojista. Cada grupo recebe uma PSK exclusiva por meio do atributo cisco-av-pair psk= e um ID de VLAN exclusivo por meio do atributo IETF Tunnel-Private-Group-ID. Quando o dispositivo de ponto de venda de um lojista se conecta usando sua senha específica, o WLC envia uma solicitação de autenticação MAC ao servidor RADIUS. O servidor associa o endereço MAC ao grupo do lojista e retorna a atribuição de PSK e VLAN. O WLC processa os atributos, valida a PSK e coloca o dispositivo na VLAN isolada do lojista. A configuração peer-blocking allow-private-group garante que os dispositivos que compartilham a mesma PSK possam se comunicar entre si, enquanto os dispositivos em PSKs diferentes são bloqueados para comunicação entre lojistas.

Comentário do examinador: Essa abordagem escala com eficiência. A transmissão de 50 SSIDs separados causaria severa interferência de canal compartilhado em um ambiente denso e degradaria o desempenho para todos os usuários. Cada SSID adicional consome tempo de transmissão com quadros de gerenciamento. O iPSK oferece a segurança e a segmentação de 50 redes separadas com a eficiência de RF de apenas uma. A desvantagem é que o servidor RADIUS se torna uma dependência crítica — certifique-se de que ele seja altamente disponível.

Uma propriedade Premier Inn de 300 quartos está migrando de contas de visitantes locais do WLC para o Captive Portal em nuvem da Purple. Após a aplicação da configuração, os visitantes relatam que se conectam ao SSID do WiFi, recebem um endereço IP, mas seus dispositivos mostram 'Sem Internet' e a splash page nunca aparece. Qual é o processo de diagnóstico?

Passo 1: Verifique o estado do cliente no WLC usando show wireless client detail <mac-address>. O cliente deve estar no estado 'Webauth Pending'. Se mostrar 'Run', a ACL de pré-autenticação não foi aplicada corretamente. Passo 2: Verifique a ACL de pré-autenticação. A causa mais comum desse sintoma é que a ACL bloqueia o DNS (porta UDP 53). Sem o DNS, o cliente não consegue resolver nenhum domínio e o mecanismo de detecção de Captive Portal do sistema operacional falha silenciosamente. Adicione uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do local. Passo 3: Verifique se os domínios de walled garden da Purple são permitidos na ACL. O cliente deve ser capaz de alcançar a URL da splash page da Purple antes da autenticação. Passo 4: Confirme se o endereço IP virtual do WLC foi alterado do padrão 1.1.1.1 para um endereço não roteável, como 192.0.2.1, pois o endereço padrão pode entrar em conflito com o tráfego legítimo da internet.

Comentário do examinador: O sintoma de 'Sem Internet' sem redirecionamento quase sempre é um problema de DNS ou de ACL de walled garden. Os sistemas operacionais modernos (iOS, Android, Windows, macOS) usam a detecção de Captive Portal fazendo solicitações HTTP para URLs conhecidas. Se o DNS falhar, essas solicitações não podem ser feitas e o sistema operacional nunca aciona o navegador do Captive Portal. Sempre permita o DNS na ACL de pré-autenticação — este é o erro de implantação mais comum que vemos.

Questões práticas

Q1. Você está implantando Staff WiFi em 40 filiais de varejo usando Cisco Catalyst 9800 WLCs. Você deseja usar 802.1X, mas a empresa ainda não possui uma solução de MDM para distribuir certificados aos smartphones dos funcionários. Qual é a abordagem viável mais segura e qual mitigação de risco você deve implementar?

Dica: Considere o equilíbrio entre a segurança das credenciais e a viabilidade de implantação quando os certificados ainda não são uma opção. Foque no risco específico que surge do método alternativo.

Ver resposta modelo

Implante o PEAP-MSCHAPv2 como uma medida provisória. Embora não seja tão seguro quanto o EAP-TLS, ele fornece autenticação de senha criptografada dentro de um túnel TLS. A mitigação de risco crítica é impor a validação do certificado do servidor em cada dispositivo cliente. Para laptops Windows, implante um Group Policy Object que especifique a Autoridade Certificadora confiável exata e o nome do servidor RADIUS esperado no perfil de WiFi. Para dispositivos iOS e Android, distribua um perfil de configuração de WiFi via e-mail ou uma ferramenta leve sem MDM que imponha a validação de certificado. Sem isso, um invasor pode implantar um ponto de acesso invasor com um certificado fraudulento e capturar credenciais. Planeje a migração para EAP-TLS assim que o MDM estiver disponível.

Q2. O diretor de TI de um estádio precisa segmentar emissoras de mídia, terminais de bilheteria e sensores IoT de HVAC em redes isoladas separadas. Os sensores IoT não suportam 802.1X. Todos os três grupos devem usar WiFi. Como a WLC deve ser configurada?

Dica: Procure uma solução que forneça credenciais exclusivas e atribuição de VLAN por grupo de dispositivos sem exigir suplicantes corporativos em dispositivos sem interface gráfica (headless).

Ver resposta modelo

Implemente o Cisco iPSK com um único SSID para as operações do local. Crie três grupos de identidade de endpoint no servidor RADIUS: Emissoras, Bilheteria e HVAC. Atribua a cada grupo uma PSK exclusiva via cisco-av-pair e um ID de VLAN exclusivo via Tunnel-Private-Group-ID. Configure a WLAN da WLC com WPA2-PSK, filtragem MAC habilitada e AAA Override ativo. As emissoras recebem PSK-A e VLAN 31, a bilheteria recebe PSK-B e VLAN 32, e os sensores HVAC recebem PSK-C e VLAN 33. Defina o peer-blocking para allow-private-group para que os dispositivos dentro do mesmo grupo possam se comunicar (por exemplo, terminais de bilheteria com seu servidor), enquanto a comunicação entre grupos é bloqueada. Isso evita o MAC Authentication Bypass, que seria facilmente falsificado.

Q3. Durante a implantação de um Guest WiFi em um centro de conferências, os clientes se conectam ao SSID e recebem um endereço IP, mas o redirecionamento do Captive Portal nunca ocorre. A ACL do walled garden permite o tráfego para todas as faixas de IP da Purple. Qual é o elemento de configuração ausente mais provável e como você o verifica?

Dica: Pense nos protocolos necessários antes que uma solicitação HTTP possa ser feita pelo dispositivo cliente.

Ver resposta modelo

A causa mais provável é que a ACL de pré-autenticação bloqueia o tráfego DNS (porta UDP 53). Antes que um dispositivo cliente possa fazer a solicitação HTTP que a WLC intercepta para acionar o redirecionamento, ele deve resolver o nome de domínio via DNS. Os mecanismos modernos de detecção de Captive Portal de sistemas operacionais (captive.apple.com da Apple, www.msftconnecttest.com da Microsoft, connectivitycheck.gstatic.com do Google) exigem resolução DNS. Para verificar: execute 'show wireless client detail ' na WLC e confirme se o cliente está no estado 'Webauth Pending'. Em seguida, revise os contadores de acertos da ACL para ver se o tráfego DNS está sendo negado. Corrija adicionando uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do local na ACL do walled garden.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.