Pular para o conteúdo principal
Português (Brasil)

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os pontos de acesso Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Ele aborda a configuração de Captive Portal, autenticação de funcionários via 802.1X e direcionamento dinâmico de VLAN por PPSK para redes corporativas.

📖 6 min de leitura📝 1,408 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Welcome to the Purple technical series. I'm your host, and today we're walking through one of the more nuanced enterprise WiFi integrations we see in the field - Huawei AirEngine access points and the CloudCampus iMaster NCE-Campus controller, integrated with Purple for guest WiFi, staff authentication, and multi-tenant network segmentation. If you're a network architect or IT manager running a Huawei estate - whether that's a hotel group, a retail chain, a conference centre, or a public-sector campus - this episode is for you. We'll cover the full stack: captive portal redirection, pre-authentication ACLs, secure staff WiFi using 802.1X, and Huawei's Private Pre-Shared Key feature for dynamic VLAN steering across multiple tenants. Let's get into it. Section one: Context and architecture. Huawei's AirEngine portfolio - covering the 5700, 6700, 8700, and 9700 series - runs on WiFi 6 and WiFi 6E, with the top-end 9700 series supporting WiFi 7. These are serious enterprise access points. The management layer is iMaster NCE-Campus, Huawei's cloud-based network controller, which handles everything from SSID provisioning and RADIUS relay to policy enforcement and syslog forwarding. Purple sits above this as a cloud overlay. We operate across 80,000 live venues and have processed 440 million logins in 2024 alone. We're hardware-agnostic - meaning we integrate with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, and yes, Huawei AirEngine - using the same RADIUS and captive portal standards that every enterprise controller supports. The integration model here is straightforward. iMaster NCE-Campus acts as the RADIUS relay, forwarding authentication requests from the access points to Purple's RADIUS servers. Purple handles the authentication logic - whether that's a guest splash page, an 802.1X credential check, or a PPSK lookup - and returns the appropriate RADIUS response, including any dynamic VLAN assignment attributes. Section two: Guest WiFi and captive portal configuration. Let's start with the most common deployment: guest WiFi with a Purple captive portal. In iMaster NCE-Campus, you navigate to Design, then Network Design, then Template Management. You create a RADIUS Relay Server template. The key parameters are: set the authentication service to Portal authentication, add Purple's RADIUS server IP addresses on UDP port 1812 for authentication and 1813 for accounting, set the NAS identifier to Device MAC, and configure the shared secret. Purple provides these RADIUS credentials from the venue configuration screen in the Purple dashboard. Next, you create an ACL - this is your Walled Garden. Before a guest authenticates, they need to reach Purple's splash page and any supporting domains. Your ACL rules should permit DNS on UDP 53, permit HTTPS to Purple's portal domain, and permit any social login providers you've enabled - for example, Facebook's graph API endpoints if you're using social sign-on. Everything else is denied pre-authentication. Then you configure the SSID. Set the network type to Open, select Open plus Portal authentication, set the authentication type to Relay authentication by cloud platform, and choose RADIUS relay as the interconnection mode. Set the page push protocol to HTTPS. In the third-party portal authentication parameters, paste in the Purple redirect URL - this is the splash page URL you copy from the Purple venue dashboard, with the suffix modified to include the Huawei-specific parameters: ap-mac, uaddress, umac, ssid, and redirect-url. Finally, create a URL template in iMaster NCE-Campus that maps these parameter names to the values Huawei passes in the redirect. The parameter mapping is: redirect-url to redirect-url, loginurl to login-url, device-mac to ap-mac, user-ip to uaddress, user-mac to umac, and ssid to ssid. Once this is configured, a guest connects to the SSID, gets a DHCP address, and their HTTP traffic is intercepted by the controller and redirected to the Purple splash page. They authenticate - via email, social login, or SMS verification - and Purple's RADIUS server sends an Access-Accept back to iMaster NCE-Campus, which grants the guest full internet access. From a data perspective, Purple captures first-party consent data at this point. Every login is a conscious-choice opt-in, compliant with GDPR and CCPA. That data feeds Purple's analytics platform, giving you session duration, device type, repeat visitor rates, and dwell time - all without any third-party tracking. Section three: Secure staff WiFi with 802.1X. Now let's talk about staff WiFi. This is a different security posture entirely. You don't want staff on the same network segment as guests, and you don't want shared PSK passwords that walk out the door when someone leaves. The answer is 802.1X authentication, defined in IEEE 802.1X-2020, using EAP-TLS or EAP-PEAP. In iMaster NCE-Campus, you create a separate SSID for staff - let's call it CorpNet. In the authentication profile for this SSID, you set the authentication mode to 802.1X, point it at Purple's RADIUS server, and set the security profile to WPA2-Enterprise or WPA3-Enterprise with AES-CCMP encryption. Purple acts as the RADIUS server here too, but now it's validating credentials against your identity provider. Purple integrates natively with Microsoft Entra ID, Okta, and Google Workspace. When a staff member connects to CorpNet, their device sends EAP credentials to the access point, which relays them via RADIUS to Purple, which validates them against Entra ID using SCIM or SAML. If the credentials are valid, Purple returns an Access-Accept with a RADIUS attribute specifying the staff VLAN - say VLAN 20. iMaster NCE-Campus steers the client into that VLAN automatically. The key RADIUS attributes for dynamic VLAN assignment are: Tunnel-Type set to VLAN or the value 13, Tunnel-Medium-Type set to 802 or the value 6, and Tunnel-Private-Group-ID set to the VLAN ID. These three attributes together tell the Huawei controller exactly which VLAN to assign the authenticated client to. For EAP-TLS specifically - which is the gold standard for staff authentication - you need client certificates. Purple's SecurePass add-on handles certificate issuance and lifecycle management, integrating with your existing PKI or acting as a lightweight certificate authority. This eliminates password-based attacks entirely. No password, no phishing vector. Section four: Multi-tenant segmentation with Huawei PPSK. This is where it gets genuinely interesting. If you're running a mixed-use venue - a shopping centre with multiple retail tenants, a co-working space with multiple member companies, or a conference centre hosting concurrent events - you need network isolation between tenants without deploying a separate SSID for each one. Huawei's PPSK feature - Private Pre-Shared Key - solves this. It's sometimes called iPSK in other vendor ecosystems. The concept is: one SSID, multiple unique passwords, each password mapped to a specific VLAN. Tenant A gets password Alpha, which maps to VLAN 30. Tenant B gets password Beta, which maps to VLAN 40. Both tenants see the same SSID, but they're completely isolated at Layer 2. In the Huawei CLI, you configure this in WLAN view using the ppsk-user command. For each tenant, you run: ppsk-user psk pass-phrase, followed by the unique passphrase, then user-name, the tenant identifier, then vlan, the VLAN ID, then ssid, the SSID name. You can also set an expiry date, a maximum device count, and bind to a specific MAC address if you need tighter control. In iMaster NCE-Campus, the PPSK lookup can be handled locally on the controller, or - for large-scale deployments - via RADIUS. When RADIUS-backed PPSK is used, Purple becomes the authoritative source for PPSK-to-VLAN mappings. A tenant's device connects with their unique passphrase, the controller sends a RADIUS Access-Request to Purple with the passphrase as the credential, Purple looks up the mapping, and returns an Access-Accept with the three VLAN tunnel attributes. The controller steers the client into the correct VLAN. This architecture scales to hundreds of tenants on a single SSID. It also means you can provision, rotate, and revoke tenant credentials from the Purple dashboard without touching the controller configuration. Section five: Implementation pitfalls and how to avoid them. Let me give you the three failure modes I see most often in Huawei and Purple deployments. First: the Walled Garden is incomplete. Guests hit the SSID, get redirected to the splash page, but the page won't load because a required domain - often a CDN endpoint or a social login API - is blocked by the pre-auth ACL. The fix is to test the splash page flow from a fresh device before go-live, capture the DNS queries and HTTPS connections it makes, and add every required domain to the ACL. Purple publishes a list of required domains in the integration documentation. Second: RADIUS shared secret mismatch. The secret configured in iMaster NCE-Campus must exactly match the secret in the Purple dashboard. A single character difference causes silent authentication failures - the controller logs show Access-Reject with no useful error message. Always copy-paste the secret, never type it manually. Third: VLAN trunk misconfiguration. Dynamic VLAN assignment via RADIUS only works if the VLAN is already trunked on the uplink port between the access point and the aggregation switch. If VLAN 20 isn't in the trunk allow-pass list on the switch interface, authenticated staff clients will get a DHCP timeout and appear to fail authentication. Audit your trunk configurations before testing RADIUS-assigned VLANs. Section six: Rapid-fire questions. Question: Can I use Purple's built-in RADIUS with Huawei's on-premises iMaster NCE-Campus deployment, not the cloud version? Yes. Purple's RADIUS servers are cloud-hosted and reachable over the internet. Your on-premises iMaster NCE-Campus controller needs outbound UDP 1812 and 1813 to Purple's RADIUS IP ranges. Purple publishes these IP ranges in the dashboard under venue settings. Question: Does Huawei PPSK support WPA3-SAE? As of AirEngine firmware V600R025, WPA3-SAE-PPSK is supported on the 6700 and 9700 series. Check your firmware version before enabling WPA3 on PPSK SSIDs. Question: How does Purple handle GDPR consent for guest WiFi on Huawei hardware? Purple's splash page collects consent at the point of authentication. The consent record - including timestamp, IP address, and the specific terms accepted - is stored in Purple's platform and is exportable for compliance audits. This applies regardless of the underlying hardware vendor. Section seven: Summary and next steps. To recap: Huawei AirEngine and iMaster NCE-Campus integrate with Purple via RADIUS relay for guest captive portal, 802.1X for staff WiFi, and PPSK for multi-tenant VLAN segmentation. The configuration lives in iMaster NCE-Campus under Design, Network Design, Template Management for RADIUS and ACL setup, and under Provision, Device Configuration, Site Configuration for SSID and authentication profile binding. Your next steps: pull the Purple RADIUS credentials from your venue dashboard, configure the RADIUS relay server template in iMaster NCE-Campus, build your Walled Garden ACL, create the guest SSID with Open plus Portal authentication, and test end-to-end with a fresh device before rolling out to the floor. If you're deploying PPSK for multi-tenant isolation, plan your VLAN scheme first - make sure every tenant VLAN is trunked end-to-end before you configure a single PPSK user. For the full step-by-step configuration guide, including CLI examples and architecture diagrams, read the complete written guide on the Purple website. Thanks for listening.

header_image.png

Resumo Executivo

As redes corporativas exigem hardware confiável combinado com gerenciamento inteligente de identidade. Os pontos de acesso Huawei AirEngine e a controladora iMaster NCE-Campus oferecem conectividade de alta densidade, enquanto a Purple fornece a sobreposição em nuvem para autenticação, análise e aplicação de políticas. Este guia detalha a arquitetura de integração necessária para implantar Guest WiFi , Staff WiFi seguro e WiFi Multi-Tenant usando uma única controladora Huawei.

Ao integrar o Huawei CloudCampus com a Purple, você substitui silos de autenticação distintos por uma Rede Baseada em Identidade unificada. Operamos em mais de 80.000 locais ativos e processamos 440 milhões de logins em 2024. Nossa plataforma agnóstica de hardware se integra nativamente com a Huawei por meio de protocolos RADIUS e Captive Portal padrão. Essa integração permite opt-ins de escolha consciente para visitantes, validação de certificados 802.1X para funcionários e direcionamento dinâmico de VLAN via Private Pre-Shared Keys (PPSK) para locatários.

Quer você gerencie um estádio, um campus universitário ou uma rede de varejo, este documento fornece as etapas exatas de configuração, atributos RADIUS e listas de controle de acesso necessários para proteger sua borda sem fio e capturar dados primários em escala.

Ouça o podcast de briefing técnico:

Análise Técnica Detalhada

A integração depende de protocolos padrão: RADIUS (UDP 1812/1813) para autenticação e tarifação (accounting), e HTTPS (TCP 443) para redirecionamento de Captive Portal. O iMaster NCE-Campus atua como o servidor de acesso à rede (NAS) e relay RADIUS, encaminhando as solicitações dos pontos de acesso AirEngine para a infraestrutura de RADIUS em nuvem da Purple.

Visão Geral da Arquitetura

architecture_overview.png

A Purple suporta três modelos principais de autenticação no hardware Huawei:

  1. Guest WiFi (Captive Portal): O tráfego não autenticado é interceptado pela controladora Huawei e redirecionado para a splash page da Purple. O acesso pré-autenticação é restrito por uma ACL de Walled Garden. Após o login bem-sucedido, a Purple envia um Access-Accept RADIUS, concedendo ao cliente acesso total à rede.
  2. Staff WiFi (802.1X): Os funcionários se autenticam usando credenciais corporativas via EAP-PEAP ou EAP-TLS. A Purple valida essas credenciais em provedores de identidade como Microsoft Entra ID, Okta ou Google Workspace.
  3. WiFi Multi-Tenant (PPSK): Os locatários se conectam a um único SSID compartilhado usando senhas exclusivas. A Purple valida a senha e retorna atributos RADIUS específicos para direcionar dinamicamente o locatário para sua VLAN isolada.

Walled Garden e ACLs de Pré-Autenticação

Um Captive Portal requer um Walled Garden - uma Lista de Controle de Acesso (ACL) que permite o tráfego para serviços essenciais antes que o usuário se autentique. Se o Walled Garden estiver incompleto, a splash page não será carregada, resultando em uma experiência ruim para o visitante.

Para o Huawei iMaster NCE-Campus, the pre-authentication ACL deve permitir:

  • Resolução de DNS (UDP 53)
  • Domínios de Captive Portal da Purple (*.purpleportal.net, *.purple.ai)
  • Redes de Distribuição de Conteúdo (CDNs) que hospedam os recursos da splash page
  • Domínios de provedores de identidade se o login social (Apple, Google, Facebook) estiver ativado

Todo o restante do tráfego deve ser negado até que a Purple retorne o Access-Accept RADIUS.

Direcionamento Dinâmico de VLAN e Atributos RADIUS

Para isolar o tráfego de rede, a Purple usa atribuição dinâmica de VLAN. Em vez de transmitir múltiplos SSIDs, você transmite um único SSID e atribui a VLAN dinamicamente com base na identidade do usuário.

Quando Purple autentica um usuário (via 802.1X ou PPSK), ela retorna um pacote Access-Accept contendo três atributos RADIUS padrão da IETF obrigatórios:

  • Tunnel-Type = VLAN (ou 13)
  • Tunnel-Medium-Type = 802 (ou 6)
  • Tunnel-Private-Group-ID = [VLAN ID]

A controladora Huawei recebe esses atributos e instrui o ponto de acesso AirEngine a marcar o tráfego do cliente com o ID de VLAN especificado.

ppsk_vlan_segmentation.png

Guia de Implementação

Esta seção aborda as etapas exatas para configurar o iMaster NCE-Campus para integração com a Purple.

Passo 1: Configurar o Servidor de Relay RADIUS

Primeiro, defina a Purple como o servidor de autenticação externo.

  1. No iMaster NCE-Campus, navegue até Design > Network Design > Template Management.
  2. Selecione RADIUS Server e clique em Create.
  3. Defina o Authentication service como Portal authentication.
  4. Insira os endereços IP RADIUS primário e secundário da Purple (disponíveis no seu painel da Purple).
  5. Defina a porta de autenticação como 1812 e a porta de tarifação (accounting) como 1813.
  6. Insira o Segredo Compartilhado (Shared Secret) RADIUS fornecido pela Purple.
  7. Defina o NAS identifier como Device MAC.

Passo 2: Criar a ACL de Walled Garden

Crie a ACL para permitir o tráfego de pré-autenticação.

  1. Navegue até Design > Network Design > Template Management > ACL.
  2. Crie uma nova ACL chamada Purple_Walled_Garden.
  3. Defina o ACL Type como User.
  4. Adicione regras de permissão (permit) para DNS e para os domínios exigidos pela Purple (por exemplo, *.purpleportal.net).
  5. Salve o modelo de ACL.

Passo 3: Configurar o Modelo de URL do Captive Portal

A Huawei requer um modelo de URL para mapear os parâmetros de redirecionamento padrão para o formato exigido pela Purple.

  1. Navegue até Design > Network Design > Template Management > URL Template.
  2. Crie um novo modelo chamado Purple_URL_Template`.
  3. Defina o Template Type como Cloud platform-based relay authentication.
  4. Configure o mapeamento de parâmetros exatamente como segue:
    • redirect-url mapeia para redirect-url
    • loginurl mapeia para login-url
    • device-mac mapeia para ap-mac
    • user-ip mapeia para uaddress
    • user-mac mapeia para umac
    • ssid mapeia para ssid

Passo 4: Provisionar o SSID de Visitantes

Vincule o servidor RADIUS, a ACL e o modelo de URL ao SSID.

  1. Navegue até Provision > Device Configuration > Site Configuration.
  2. Selecione AP e crie um novo SSID.
  3. Defina o Network Type como Open.
  4. Selecione Open+Portal authentication.
  5. Defina o tipo de autenticação como Relay authentication by cloud platform.
  6. Defina o modo de interconexão como RADIUS relay.
  7. Selecione o Purple_URL_Template criado anteriormente.
  8. No campo de URL de autenticação de terceiros, cole a URL exclusiva da sua splash page Purple.
  9. Selecione o modelo de servidor RADIUS Purple.
  10. Selecione a ACL Purple_Walled_Garden para a regra de permissão padrão.
  11. Salve e implante a configuração nos pontos de acesso AirEngine.

Melhores Práticas

Para garantir uma implantação segura e confiável, siga estas melhores práticas independentes de fornecedor:

  • Implemente 802.1X para Funcionários: Nunca use PSKs compartilhadas para redes de funcionários. Implante o 802.1X com EAP-TLS usando o add-on SecurePass da Purple para emitir certificados de cliente. Isso elimina vetores de phishing baseados em senha e se alinha aos requisitos da ISO 27001.
  • Consolide SSIDs: A transmissão de muitos SSIDs degrada a eficiência do tempo de transmissão (airtime) devido à sobrecarga de frames de gerenciamento. Use PPSK e direcionamento dinâmico de VLAN para consolidar redes multi-tenant em um único SSID.
  • Verifique as Configurações de Trunk: A atribuição dinâmica de VLAN falha silenciosamente se a VLAN atribuída não for permitida na porta trunk do switch que conecta o ponto de acesso. Sempre audite as configurações de switchport antes de testar o direcionamento RADIUS.
  • Monitore a Latência do RADIUS: Os tempos limite (timeouts) de autenticação geralmente decorrem da latência da WAN. Certifique-se de que seu controlador iMaster NCE-Campus tenha um caminho de baixa latência para a infraestrutura RADIUS regional da Purple.

Solução de Problemas e Mitigação de Riscos

Ao integrar o RADIUS em nuvem com controladores corporativos, os problemas geralmente se isolam em três áreas: o Walled Garden, o segredo compartilhado do RADIUS ou o trunking de VLAN.

A Splash Page Não Carrega

Sintoma: Um dispositivo se conecta ao WiFi de Visitantes, mas o navegador exibe um erro de tempo limite em vez da splash page da Purple. Causa Raiz: A ACL do Walled Garden está incompleta, bloqueando o acesso aos domínios do portal da Purple ou às CDNs necessárias. Mitigação: Conecte um dispositivo de teste ao SSID. Tente pingar purpleportal.net. Se o ping falhar, revise a configuração de ACL do iMaster NCE-Campus e garanta que ela seja aplicada ao estado de pré-autenticação do SSID.

Falhas Silenciosas de Autenticação

Sintoma: Um usuário insere credenciais válidas, mas a conexão cai sem uma mensagem de erro. Causa Raiz: Incompatibilidade no segredo compartilhado do RADIUS entre o iMaster NCE-Campus e a Purple. Mitigação: Copie o segredo compartilhado diretamente do painel da Purple e cole-o no modelo de servidor RADIUS da Huawei. Um único espaço em branco no final quebrará o hash MD5 usado nos pacotes RADIUS.

Tempo Limite de DHCP Após a Autenticação

Sintoma: Um membro da equipe se autentica com sucesso via 802.1X, mas o dispositivo recebe um endereço APIPA 169.254.x.x em vez de um IP válido. Causa Raiz: A Purple atribuiu com sucesso uma VLAN dinâmica via RADIUS, mas essa VLAN não está em trunk para o ponto de acesso AirEngine. Mitigação: Faça login no switch de acesso e verifique se o comando port trunk allow-pass vlan inclui o ID da VLAN de destino na interface conectada ao AP.

ROI e Impacto nos Negócios

A implantação do Huawei AirEngine com a Purple transforma uma infraestrutura de rede padrão em um ativo de negócios mensurável.

Para operadores de Varejo , essa integração captura dados primários (first-party data) dos compradores, permitindo campanhas de marketing direcionadas que atraem fluxo de visitantes e aumentam o valor médio das transações. O painel de WiFi Analytics da Purple fornece mapas de calor e métricas de tempo de permanência, permitindo que os gerentes de estabelecimentos otimizem o layout das lojas com base no comportamento real dos visitantes.

Em ambientes de Hotelaria , a autenticação automatizada via OpenRoaming ou Passpoint elimina o atrito dos logins manuais, aumentando as pontuações de satisfação dos hóspedes. Para edifícios multi-tenant, o direcionamento dinâmico de VLAN com PPSK reduz a sobrecarga de TI, eliminando a necessidade de provisionar e gerenciar manualmente SSIDs separados para cada novo locatário.

Ao unificar o engajamento de visitantes, a segurança da equipe e o isolamento de locatários em uma única infraestrutura de hardware, as organizações maximizam o retorno sobre seu investimento no Huawei CloudCampus.

Definições principais

iMaster NCE-Campus

Huawei's cloud-based or on-premises network automation and management platform.

IT teams use this as the central controller to configure SSIDs, push policies to AirEngine APs, and set up RADIUS relay to Purple.

PPSK (Private Pre-Shared Key)

A security feature that allows multiple unique passwords to be used on a single SSID, with each password tying the user to a specific network policy or VLAN.

Essential for multi-tenant environments (like coworking spaces or retail parks) where tenants need isolated networks without broadcasting dozens of SSIDs.

Dynamic VLAN Steering

The process of assigning a device to a specific Virtual Local Area Network based on its authenticated identity, rather than the SSID it connected to.

Used by Purple to ensure that a manager, a cashier, and a guest connecting to the same physical access point are placed on completely separate, secure network segments.

Walled Garden

An Access Control List (ACL) applied to unauthenticated users, permitting access only to specific IP addresses or domains required to complete the login process.

If the Walled Garden is misconfigured, guests will see a blank screen or a timeout error instead of the Purple splash page.

RADIUS Relay

A configuration where the local network controller forwards authentication requests from access points to an external RADIUS server.

Huawei iMaster NCE-Campus acts as the relay, securely passing credentials from the venue to Purple's cloud infrastructure for validation.

802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.

The enterprise standard for Staff WiFi. It replaces shared passwords with individual user credentials or digital certificates.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. An 802.1X authentication method that relies on client and server certificates rather than passwords.

The most secure authentication method available. Purple's SecurePass issues these certificates to employee devices to eliminate phishing risks.

Captive Portal

A web page that a user of a public-access network is obliged to view and interact with before access is granted.

The primary mechanism Purple uses to capture first-party data and consent from venue visitors.

Exemplos práticos

A 200-room hotel needs to provide secure, isolated WiFi for guests, staff, and a third-party coffee shop operating in the lobby, using only two SSIDs to preserve airtime.

Deploy one SSID named 'Hotel_Guest' configured with an Open+Portal authentication policy pointing to Purple's captive portal. Deploy a second SSID named 'Hotel_Secure' configured with WPA3-Enterprise and 802.1X authentication. Staff authenticate via EAP-TLS, and Purple returns a RADIUS attribute assigning them to VLAN 20. The coffee shop uses PPSK on the same 'Hotel_Secure' SSID; they enter a unique passphrase, and Purple returns a RADIUS attribute assigning them to VLAN 30.

Comentário do examinador: This approach optimises RF performance by limiting SSID overhead. By leveraging Purple as the central RADIUS authority, the hotel achieves complete Layer 2 isolation between staff and the tenant without deploying additional hardware or complex controller-side routing.

A large retail chain is migrating to Huawei AirEngine and needs to ensure their existing Purple splash page loads correctly across all stores without triggering security warnings on modern smartphones.

Configure the iMaster NCE-Campus URL template to map the required parameters (ap-mac, uaddress, umac, ssid, redirect-url) precisely. Build a comprehensive Walled Garden ACL that permits DNS (UDP 53) and HTTPS (TCP 443) traffic to Purple's domains and any required social login APIs. Ensure the controller intercepts HTTP traffic and redirects it to the HTTPS splash page.

Comentário do examinador: Modern OS implementations (iOS, Android) use strict captive portal detection mechanisms. If the Walled Garden blocks required CDNs or if the redirect relies on invalid SSL certificates, the OS will drop the connection. Precise ACL configuration is critical for a seamless user experience.

Questões práticas

Q1. You have configured the Guest SSID and the Walled Garden ACL on iMaster NCE-Campus. When you test the connection, your phone detects the captive portal, but the screen remains blank. What is the most likely cause?

Dica: Consider what the device needs to load a modern web page hosted on a cloud platform.

Ver resposta modelo

The Walled Garden ACL is likely missing permit rules for required domains. Specifically, DNS (UDP 53) must be permitted, along with HTTPS access to Purple's portal domains and any Content Delivery Networks (CDNs) hosting the page assets. If social login is enabled, those specific API endpoints must also be permitted pre-authentication.

Q2. A tenant using your PPSK network complains they cannot reach the internet. You check the iMaster NCE-Campus logs and see that Purple returned a RADIUS Access-Accept with Tunnel-Private-Group-ID set to 40. However, the client device has an IP address of 169.254.x.x. What is the configuration error?

Dica: Authentication succeeded, but network routing failed at the edge.

Ver resposta modelo

The switchport connecting the Huawei AirEngine access point to the network is not configured to trunk VLAN 40. While Purple successfully authorised the user and the controller instructed the AP to tag traffic with VLAN 40, the upstream switch dropped the packets because the VLAN is not permitted on the trunk. You must add VLAN 40 to the trunk allow-pass list on the access switch.

Q3. You are migrating from a legacy controller to Huawei iMaster NCE-Campus. You configure the RADIUS server template exactly as it was on the old system, but all authentication requests fail silently. What should you check first?

Dica: Silent failures in RADIUS usually indicate a cryptographic mismatch.

Ver resposta modelo

Verify the RADIUS Shared Secret. If the secret configured in iMaster NCE-Campus does not perfectly match the secret in the Purple dashboard, the RADIUS packets cannot be decrypted, resulting in silent failures or Access-Reject messages without clear error codes. Ensure there are no trailing spaces when copying the secret.

Continue a ler esta série

Integração do Alta Labs com o Purple WiFi: Configuração e Ajustes do Captive Portal

Este guia de referência técnica aborda a integração de ponta a ponta dos pontos de acesso Alta Labs AP6 e AP6 Pro com o captive portal hospedado na nuvem do Purple. Ele detalha a configuração de redirecionamento externo, autenticação RADIUS, requisitos de walled garden e segmentação multi-tenant usando as Chaves Pré-Compartilhadas Privadas AltaPass. Operadores de locais e equipes de TI sairão com um manual de implantação replicável para ambientes de hospitalidade, varejo e escritórios inteligentes.

Ler o guia →

Integração do Alcatel-Lucent Enterprise (ALE) OmniAccess com o Purple WiFi

Este guia detalha a integração técnica entre os pontos de acesso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar e o Purple WiFi. Ele aborda o redirecionamento de captive portal, autenticação RADIUS, configuração de Walled Garden, WiFi seguro para funcionários (Staff WiFi) via 802.1X e segmentação de WiFi multi-inquilino (Multi-Tenant WiFi) usando Chaves Privadas Pré-Compartilhadas (PPSK) com direcionamento dinâmico de VLAN — oferecendo aos gerentes de TI e arquitetos de rede uma referência completa e prática para implantar Redes Baseadas em Identidade em hardware ALE.

Ler o guia →

Aruba ClearPass e Purple WiFi: Guia de Integração e Implantação

Este guia fornece uma referência técnica completa para integrar o HPE Aruba ClearPass Policy Manager com a plataforma Purple WiFi, cobrindo a arquitetura de proxy RADIUS, configuração de Captive Portal e mapeamento dinâmico de função VLAN. Ele é projetado para gerentes de TI e arquitetos de rede em ambientes com forte presença Aruba que precisam manter o ClearPass para NAC enquanto implantam o Purple para autenticação de convidados e análises. A implementação desta integração preenche uma lacuna crítica de fornecedor, permitindo segurança e conformidade de nível empresarial juntamente com as capacidades líderes de mercado de inteligência de visitantes do Purple.

Ler o guia →