Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Bem-vindo à série de briefings técnicos da Purple. Hoje, abordaremos algo que chega à mesa de quase todos os arquitetos de rede corporativa que trabalham em hospitalidade, varejo ou locais de grande escala: a integração dos Cisco Wireless LAN Controllers e da infraestrutura sem fio Catalyst com a plataforma de Guest WiFi da Purple. Se você está executando controladoras da série Cisco Catalyst 9800 ou a plataforma legada AireOS, e precisa fornecer uma rede de convidados em conformidade, segmentada e orientada por análises, este briefing é para você. [medium pause] Vamos começar com o contexto. A Purple opera em mais de 80.000 locais ativos globalmente, e a Cisco é o fornecedor dominante de infraestrutura sem fio em ambientes corporativos. Fazer com que essas duas plataformas funcionem juntas de forma limpa não é complicado, mas exige que você tome as decisões arquitetônicas corretas logo no início. Se errar, passará semanas solucionando problemas de loops de redirecionamento, incompatibilidades de VLAN e limites de tempo de RADIUS. Se acertar, terá uma rede que segmenta convidados, funcionários e dispositivos IoT automaticamente, coleta dados primários de forma em conformidade e escala em centenas de locais sem intervenção manual. [medium pause] Então, vamos entrar na arquitetura. [short pause] Quando um convidado se conecta à sua rede WiFi em uma implantação Cisco, há três coisas que precisam acontecer antes que ele acesse a internet. Primeiro, o Cisco Catalyst 9800 WLC precisa interceptar a solicitação HTTP inicial e redirecionar o cliente para o Captive Portal da Purple. Segundo, o portal da Purple precisa autenticar o usuário, seja por meio de login social, e-mail, SMS ou aceitação simples dos termos e condições. Terceiro, o servidor RADIUS da Purple precisa sinalizar de volta para o WLC que o usuário está autorizado e, opcionalmente, atribuí-lo a uma VLAN específica. [medium pause] O mecanismo que lida com a etapa um é chamado de External Web Authentication, ou EWA. No Catalyst 9800, você configura um mapa de parâmetros de autenticação web que aponta para a URL da splash page da Purple. O WLC intercepta todo o tráfego HTTP de clientes não autenticados e emite um redirecionamento 302 para essa URL. Você também precisará configurar uma ACL de pré-autenticação, ou usar o recurso de filtro de URL do 9800, para colocar em lista de permissões os endereços IP do portal da Purple para que os clientes possam realmente acessar a splash page antes de serem autenticados. A Purple fornece dois endereços IP para o seu portal, e você precisará permitir ambos em sua ACL de pré-autenticação. [medium pause] Aqui está a sequência de configuração para o Catalyst 9800. Primeiro, crie o mapa de parâmetros. Em seguida, configure seu filtro de URL para permitir o domínio da Purple na pré-autenticação. Aplique isso ao seu perfil de política de WLAN, defina a segurança de Camada 2 como None, habilite a Web Policy na Camada 3 e aponte-a para o seu mapa de parâmetros. [medium pause] Agora, o RADIUS. A Purple atua como o servidor RADIUS nesta arquitetura. Você configura o WLC para apontar para o endpoint RADIUS da Purple, que você encontrará no painel da Purple nas configurações de rede do seu local. O segredo compartilhado é gerado por local. No Catalyst 9800, navegue até Configuration, Security, AAA, Servers e adicione o servidor RADIUS da Purple com o IP correto e o segredo compartilhado. Em seguida, crie um grupo de servidores, uma lista de métodos de autenticação e aplique ao seu WLAN. [medium pause] Um detalhe que costuma passar despercebido: no 9800, você também deve configurar o endereço IP virtual no mapa de parâmetros globais de web auth. Use 192.0.2.1 como o endereço IPv4 virtual. Se você pular esta etapa, os clientes às vezes serão redirecionados para o portal interno em vez do portal da Purple, e você passará uma tarde frustrante tentando entender o motivo. [medium pause] Vamos passar para o WiFi corporativo com 802.1X. [short pause] Para redes corporativas, o ideal é usar autenticação baseada em certificados usando EAP-TLS, ou no mínimo PEAP com MSCHAPv2 para ambientes onde a implantação de certificados não é viável. No Catalyst 9800, crie um WLAN separado para a equipe, defina a segurança de Camada 2 como WPA2 Enterprise e aponte a autenticação para o seu servidor RADIUS. Se você estiver usando o Microsoft Entra ID ou Okta como seu provedor de identidade, o módulo adicional SecurePass da Purple atuará como o proxy RADIUS, traduzindo as solicitações de autenticação 802.1X em consultas ao provedor de identidade. Isso significa que você não precisa de um servidor RADIUS local separado para a autenticação da equipe. A Purple lida com a terminação EAP e encaminha a verificação de identidade para o seu provedor de identidade. [medium pause] Especificamente para EAP-TLS, você precisará implantar certificados de cliente nos dispositivos dos funcionários, seja via Microsoft Intune, Jamf ou uma plataforma MDM semelhante. A cadeia de certificados deve ser confiável para o servidor RADIUS da Purple, o que significa fazer o upload do seu certificado CA raiz para o painel da Purple. Uma vez configurado, os dispositivos dos funcionários autenticam de forma silenciosa, sem solicitações de senha e sem telas de login. O usuário se conecta, o certificado é validado e ele entra na VLAN corporativa em questão de segundos. [medium pause] Agora, a parte que a maioria dos arquitetos acha realmente interessante: Cisco Identity PSK, ou iPSK. [short pause] O iPSK resolve um problema específico que surge constantemente em ambientes multi-tenant. Imagine um hotel com 300 quartos, um varejo com 50 lojas ou um empreendimento residencial com 200 apartamentos. Você quer um único SSID, mas precisa que cada inquilino, cada quarto ou cada grupo de dispositivos seja isolado em sua própria VLAN. A resposta tradicional era criar um SSID separado por inquilino, o que não é escalável e gera congestionamento de radiofrequência. O iPSK oferece um único SSID onde cada cliente ou grupo de clientes tem uma chave pré-compartilhada exclusiva, e o servidor RADIUS mapeia essa chave para uma VLAN específica. [medium pause] Veja como funciona tecnicamente. Quando um cliente se associa ao SSID, o Catalyst 9800 WLC envia um RADIUS Access-Request para o servidor RADIUS da Purple, incluindo o endereço MAC do cliente. O servidor RADIUS da Purple busca esse endereço MAC em seu banco de dados iPSK, encontra a PSK associada e a atribuição de VLAN, e retorna um RADIUS Access-Accept contendo o Cisco AV-pair com a PSK e os atributos de túnel IETF para atribuição de VLAN. O WLC usa a PSK retornada para concluir o handshake de quatro vias WPA2 e, em seguida, coloca o cliente na VLAN atribuída. [medium pause] Os três atributos RADIUS necessários para a atribuição dinâmica de VLAN são: atributo IETF 64, Tunnel-Type, definido como VLAN com um valor de 13. Atributo IETF 65, Tunnel-Medium-Type, definido como 802, com um valor de 6. E o atributo IETF 81, Tunnel-Private-Group-ID, definido como o ID da VLAN como uma string. Esses três atributos, enviados juntos no RADIUS Access-Accept, informam ao WLC exatamente qual VLAN atribuir. A VLAN já deve existir no WLC como uma interface dinâmica, e a porta de switch de uplink deve ser configurada como um trunk que transporta todas as VLANs relevantes. [medium pause] No lado do WLC, habilite a filtragem MAC no iPSK WLAN, habilite AAA Override e defina a segurança de Camada 2 como WPA2-PSK. A PSK global configurada na WLAN funciona apenas como uma contingência. A PSK retornada pelo RADIUS tem precedência para qualquer cliente cujo endereço MAC esteja registrado no banco de dados iPSK da Purple. Para dispositivos não registrados, você pode negar o acesso ou recorrer à PSK global, dependendo da sua política. [medium pause] Deixe-me apresentar dois cenários do mundo real para tornar isso concreto. [short pause] Primeiro cenário: um hotel de 200 quartos. O hotel deseja que os hóspedes fiquem na VLAN 10 apenas com acesso à internet, a equipe na VLAN 20 com acesso ao sistema de gerenciamento de propriedade, e os dispositivos IoT, fechaduras de portas, termostatos, CFTV, na VLAN 30 sem acesso à internet. Eles utilizam controladoras Cisco Catalyst 9800 com pontos de acesso da série Cisco 9100. [medium pause] A arquitetura: três perfis de política no WLC, um por VLAN. Um único SSID para hóspedes usando Autenticação Web Externa apontando para a Purple. Um SSID separado para a equipe usando WPA2 Enterprise com EAP-TLS, autenticado via Purple SecurePass contra o Microsoft Entra ID. E iPSK para dispositivos IoT, com o endereço MAC de cada dispositivo registrado no portal da Purple e atribuído à VLAN 30. O sistema de gerenciamento de propriedade do hotel provisiona novos dispositivos IoT via API da Purple, portanto, quando uma nova fechadura de porta é instalada, seu endereço MAC é registrado automaticamente e atribuído à VLAN correta. Nenhuma configuração manual de RADIUS é necessária. [medium pause] Segundo cenário: uma rede de varejo com 80 lojas. Cada loja possui uma rede WiFi para hóspedes, uma rede para funcionários e uma rede para terminais de pagamento. A conformidade com PCI DSS exige que a rede do terminal de pagamento seja completamente isolada da rede de hóspedes. O varejista usa controladoras Cisco Catalyst 9800-L em cada local, gerenciadas centralmente através do Cisco Catalyst Centre. [medium pause] A Purple é implantada como uma sobreposição em nuvem. O WLC de cada loja é configurado com os detalhes do servidor RADIUS da Purple. A autenticação de convidados usa uma splash page personalizada com captura de e-mail, alimentando a plataforma de analytics da Purple com dados proprietários. A autenticação de funcionários usa PEAP contra o Active Directory via Purple SecurePass. Os terminais de pagamento usam iPSK com uma VLAN dedicada, e a ACL de pré-autenticação bloqueia explicitamente qualquer tráfego entre a VLAN de pagamento e a VLAN de convidados, atendendo ao requisito 1.3 do PCI-DSS para segmentação de rede. [medium pause] Agora vamos falar sobre as armadilhas comuns. [short pause] O modo de falha mais comum é o loop de redirecionamento. Isso acontece quando a ACL de pré-autenticação não coloca corretamente na whitelist os endereços IP do portal da Purple, fazendo com que o WLC redirecione o cliente para o portal da Purple, mas o cliente não consegue acessar o portal porque a ACL o bloqueia, então o WLC redireciona novamente, indefinidamente. Correção: verifique se o seu filtro de URL ou ACL de pré-autenticação inclui ambos os endereços IP do portal da Purple e confirme se a resolução de DNS é permitida antes da autenticação. [medium pause] O segundo problema comum é a incompatibilidade de VLAN. O servidor RADIUS retorna um ID de VLAN que não existe como uma interface dinâmica no WLC. O WLC então coloca o cliente na VLAN nativa, que geralmente é a VLAN de gerenciamento. Isso é um risco de segurança. Correção: antes de implantar, audite suas interfaces dinâmicas do WLC em relação aos IDs de VLAN configurados nas políticas de RADIUS da Purple. Eles devem corresponder exatamente. [medium pause] Terceira armadilha: falhas de confiança de certificado em implantações EAP-TLS. Se a cadeia de certificados do cliente não for confiável para o servidor RADIUS da Purple, a autenticação falhará silenciosamente sob a perspectiva do usuário. Eles simplesmente não conseguem se conectar. Correção: faça o upload da sua CA raiz e de quaisquer certificados de CA intermediários para a configuração do Purple SecurePass antes de implantar os certificados de cliente. Teste com um único dispositivo antes de estender para toda a frota. [medium pause] Perguntas rápidas. [short pause] Posso usar a Purple com Cisco Meraki em vez do WLC? Sim. O Cisco Meraki possui seu próprio mecanismo de integração de Captive Portal, e a Purple oferece suporte nativo. A configuração do RADIUS é semelhante, mas utiliza o painel do Meraki em vez da linha de comando do WLC. [short pause] A Purple suporta WPA3 em Cisco? Sim. O WPA3-SAE é suportado no Cisco Catalyst 9800 com IOS-XE 17.3 e posterior. A integração de RADIUS da Purple funciona de forma idêntica com o WPA3. [short pause] Qual é a recomendação de timeout do RADIUS? Defina o timeout do seu servidor RADIUS primário para três segundos com duas tentativas. Configure um servidor RADIUS secundário para failover. A Purple fornece endpoints de RADIUS redundantes para clientes corporativos. [short pause] Posso usar o Cisco ISE junto com a Purple? Sim. Algumas organizações usam o ISE para avaliação de postura e perfil de dispositivos, enquanto usam a Purple para o portal de convidados e analytics. Os dois servidores RADIUS são configurados em WLANs separadas. [medium pause] Para resumir. [short pause] A infraestrutura sem fio Cisco WLC e Catalyst se integra perfeitamente ao Purple usando External Web Authentication para redirecionamento de Captive Portal de convidados, 802.1X EAP-TLS ou PEAP para autenticação de funcionários via Purple SecurePass, e Cisco iPSK com atribuição dinâmica de VLAN para segmentação multi-tenant e IoT. Os três atributos de VLAN do RADIUS, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, são o mecanismo que direciona a segmentação dinâmica. Configure suas ACLs de pré-autenticação corretamente, alinhe seus IDs de VLAN entre o RADIUS e o WLC, e teste as cadeias de confiança de certificados antes da implantação em massa. [medium pause] O Purple opera em mais de 80.000 locais e processou 440 milhões de logins em 2024. A integração com a Cisco é uma das nossas configurações mais implantadas globalmente. Se quiser começar, o painel do Purple guia você pela configuração do RADIUS por local, e nossa equipe de integração está disponível para implantações corporativas. [medium pause] Isso é tudo para este resumo. Obrigado por ouvir.