Pular para o conteúdo principal
Português (Brasil)

Integração de Access Points NETGEAR Insight e Enterprise com Purple WiFi

Este guia fornece aos gerentes de TI um roteiro técnico definitivo para integrar o NETGEAR Insight e os access points corporativos da série WAX com o Purple WiFi. Ele abrange configurações essenciais, incluindo Captive Portals para convidados, redes de funcionários 802.1X e segmentação multi-tenant usando PPSK e atribuição dinâmica de VLAN.

📖 6 min de leitura📝 1,295 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Informativo Técnico da Purple. Hoje estamos abordando um tema que surge constantemente em nossas conversas com gerentes de TI e arquitetos de rede nos setores de hotelaria, varejo e locais multi-tenant: como integrar os access points NETGEAR Insight e da série WAX com o Purple WiFi. Se você gerencia um hotel, um parque comercial, um centro de convenções ou um empreendimento de uso misto, este informativo é diretamente relevante para sua próxima decisão de implantação. Vamos contextualizar. A série WAX da NETGEAR — o WAX610, WAX620 e WAX630 — é composta por access points WiFi 6 gerenciados por meio da plataforma de nuvem Insight. Eles suportam até oito SSIDs separados por rádio, criptografia WPA3 e até seis gigabits de taxa de transferência no WAX630. Eles são alimentados por PoE, montáveis no teto e gerenciados a partir de uma única interface através do Insight Cloud Portal. Para um instalador de TI ou administrador de rede de PMEs, esta é uma plataforma genuinamente capaz a um preço bem abaixo do nível do Cisco Meraki ou HPE Aruba. A Purple é uma sobreposição de nuvem agnóstica de hardware. Nós atuamos sobre a sua infraestrutura existente e adicionamos a camada de experiência do convidado, a camada de captura de dados e a camada de analytics. Processamos 440 milhões de logins em 2024 em 80.000 locais ativos. A integração com o NETGEAR Insight é limpa e bem documentada, e abrange quatro casos de uso distintos que detalharemos hoje. Agora, vamos nos aprofundar na parte técnica. Os quatro casos de uso são: Guest WiFi com um Captive Portal da Purple, WiFi seguro para funcionários usando 802.1X, segmentação multi-tenant usando o recurso PPSK da NETGEAR e atribuição dinâmica de VLAN via RADIUS para Redes Baseadas em Identidade. Caso de uso um: Guest WiFi com um Captive Portal da Purple. Este é o ponto de partida mais comum. Você cria um SSID de convidado dedicado no NETGEAR Insight e o configura como uma rede aberta. A configuração principal está na seção Captive Portal das configurações do SSID. Você seleciona External Captive Portal e cola a URL da Splash Page fornecida pela Purple. Em seguida, você configura o tipo de autenticação. Para a maioria das implantações da Purple, você selecionará a autenticação RADIUS. A Purple fornece um endereço IP do servidor RADIUS principal, a porta 1812 para autenticação e a porta 1813 para contabilização, além de um segredo compartilhado. Você cola essas informações na configuração de Captive Portal externo do NETGEAR Insight. Você também define um NAS Identifier — esta é uma string que identifica este access point ou local específico para o servidor RADIUS. Use algo significativo, como o nome do seu estabelecimento e o código de localização. O walled garden é a parte que mais confunde os instaladores. Antes de um convidado se autenticar, o dispositivo dele precisa alcançar a splash page da Purple, os servidores de autenticação e quaisquer provedores de login social que você tenha ativado. O NETGEAR Insight possui uma seção dedicada de Walled Garden na configuração do Captive Portal externo, onde você adiciona essas URLs. A documentação de suporte da Purple fornece a lista exata de domínios para a lista de permissões. Se errar isso, os convidados verão uma página em branco em vez do seu portal personalizado. Depois de configurado, o fluxo funciona assim: um convidado se conecta ao SSID Hotel Guest. O access point intercepta sua primeira solicitação HTTP e o redireciona para a splash page da Purple. O convidado vê seu portal personalizado, aceita os termos e, opcionalmente, fornece seu endereço de e-mail ou faz login via redes sociais. O servidor RADIUS da Purple retorna uma mensagem Access-Accept para o access point, e o acesso à internet é concedido ao convidado. A Purple captura os dados de consentimento, registra a sessão e esses dados fluem para o seu painel de analytics da Purple. Caso de uso dois: WiFi seguro para funcionários usando 802.1X. É aqui que você abandona completamente as senhas compartilhadas. Para redes de funcionários, uma chave pré-compartilhada é um risco de segurança — quando um funcionário sai, você precisa alterar a senha para todos. O 802.1X, definido no padrão IEEE 802.1X, fornece a cada usuário uma credencial individual. Quando eles saem, você desativa a conta deles no seu diretório e o acesso é revogado instantaneamente. No NETGEAR Insight, você configura um SSID de funcionários separado com segurança WPA2 Enterprise. Isso instrui o access point a usar a autenticação 802.1X em vez de uma chave pré-compartilhada. Em seguida, você configura as definições do servidor RADIUS no nível do local da rede. Vá para as configurações de localização da rede, selecione RADIUS, ative a Autenticação de Acesso 802.1X e insira o IP, a porta e o segredo compartilhado do seu servidor RADIUS. O intervalo padrão de reautenticação é de 3.600 segundos — uma hora —, o que é um ponto de partida razoável para a maioria dos locais. O método EAP mais comum em implantações de PMEs é o PEAP-MSCHAPv2, que usa um certificado do lado do servidor para criar um túnel criptografado dentro do qual o usuário se autentica com seu nome de usuário e senha do Active Directory. O EAP-TLS é mais seguro — usa certificados em ambos os lados —, mas requer uma infraestrutura PKI e MDM para enviar os certificados para os dispositivos. Um ponto crítico: force a validação de certificado em cada dispositivo cliente. Configure seus dispositivos Windows via Objetos de Diretiva de Grupo (GPO) e seus dispositivos móveis via perfis de MDM para validar o certificado do servidor RADIUS. Se você pular esta etapa, os dispositivos ficarão vulneráveis a ataques de access points invasores (rogue AP), onde um invasor apresenta um certificado falso e captura as credenciais. Caso de uso três: NETGEAR PPSK para locais multi-tenant. A Private Pre-Shared Key resolve um problema específico em parques comerciais, empreendimentos de uso misto e espaços de co-working. Você tem múltiplos lojistas compartilhando a mesma infraestrutura física de WiFi. Você não quer executar SSIDs separados para cada lojista — isso gera congestionamento de radiofrequência e complexidade de gerenciamento. Mas você também não pode dar a todos a mesma senha, porque assim o Lojista A poderia ver o tráfego do Lojista B. O PPSK resolve isso de forma elegante. Você cria um único SSID e cria múltiplas chaves pré-compartilhadas no NETGEAR Insight em Wireless, Settings, Advanced, Multi PSK Settings. Cada chave é associada a uma VLAN específica. O Lojista A recebe uma senha exclusiva de 16 caracteres que mapeia para a VLAN 30. O Lojista B recebe uma senha diferente que mapeia para a VLAN 40. A equipe de gestão do local recebe uma terceira senha que mapeia para a VLAN 20, que tem acesso aos sistemas de gerenciamento. Quando os dispositivos do Lojista A se conectam usando sua senha, o access point os coloca automaticamente na VLAN 30. Eles não conseguem ver nenhum tráfego na VLAN 40 ou VLAN 20. Do ponto de vista do lojista, eles têm apenas uma senha de WiFi. Do seu ponto de vista como administrador de rede, você tem isolamento total de tráfego entre os lojistas com zero hardware adicional. Existem duas limitações importantes a serem observadas. Primeiro, o PPSK no NETGEAR Insight requer criptografia WPA2 Personal ou WPA2 Personal Mixed. Ele não funciona na banda de 6 GHz. Segundo, o PPSK não pode ser combinado com um Captive Portal no mesmo SSID. Se você precisar de ambos, precisará de dois SSIDs separados — o que não é um problema, pois os access points da série WAX suportam até oito. Caso de uso quatro: atribuição dinâmica de VLAN via RADIUS. Esta é a configuração mais sofisticada e a que serve de base para o recurso de Redes Baseadas em Identidade da Purple. Em vez de atribuir estaticamente uma VLAN a uma senha ou a um SSID, você deixa o servidor RADIUS decidir qual VLAN atribuir com base em quem está se autenticando. O mecanismo usa três atributos RADIUS padrão: Tunnel-Type, que deve ser definido com o valor 13 para VLAN; Tunnel-Medium-Type, que deve ser definido com o valor 6 para IEEE 802; e Tunnel-Private-Group-ID, que carrega o ID da VLAN como uma string. Quando um usuário se autentica com sucesso, o servidor RADIUS retorna esses três atributos na mensagem Access-Accept. O access point os lê e coloca o cliente na VLAN especificada. Na prática, isso significa que você pode ter um único SSID WPA2 Enterprise onde um gerente de hotel se autentica e cai na VLAN 20 com acesso aos sistemas de gestão da propriedade, um recepcionista se autentica e cai na VLAN 21 com acesso apenas ao sistema de check-in, e um prestador de serviços se autentica e cai na VLAN 50 com acesso apenas à internet. Tudo a partir do mesmo SSID, tudo aplicado automaticamente pelo servidor RADIUS com base na associação de grupo do Active Directory. Agora vamos falar sobre recomendações de implantação e armadilhas comuns. A primeira armadilha é o walled garden. Quase toda implantação de Captive Portal externo falha no walled garden pelo menos uma vez. O sintoma é o convidado se conectar ao SSID, mas ver um erro no navegador em vez da splash page. A correção é metódica: abra a documentação de suporte da Purple, copie todos os domínios da lista do walled garden e cole-os na seção Walled Garden do NETGEAR Insight. Teste com um dispositivo que não tenha credenciais em cache. A segunda armadilha é a acessibilidade do RADIUS. O access point NETGEAR precisa alcançar seu servidor RADIUS. O RADIUS usa a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilização. Abra essas portas do IP de gerenciamento do access point para o IP do servidor RADIUS. Teste com uma ferramenta de teste de RADIUS antes de entrar em operação. A terceira armadilha é o conflito entre PPSK e Captive Portal. O NETGEAR Insight não permite PPSK e Captive Portal no mesmo SSID. Se precisar de ambos, crie dois SSIDs. Nomeie-os claramente — um para os lojistas com PPSK e outro para os convidados do Captive Portal. A quarta armadilha é a validação de certificado em clientes 802.1X. Todo dispositivo Windows precisa de um Objeto de Diretiva de Grupo (GPO) que especifique a Autoridade de Certificação confiável e o nome esperado do servidor RADIUS. Todo dispositivo móvel precisa de um perfil de MDM com as mesmas configurações. Sem isso, um usuário poderia, sem saber, se autenticar em um access point invasor e entregar suas credenciais do Active Directory. Agora, uma sessão rápida de perguntas e respostas. Pergunta um: Posso usar a Purple com o NETGEAR Insight sem um servidor RADIUS? Sim, para implantações de Captive Portal de convidados, você pode usar o modo de autenticação web da Purple em vez do RADIUS. O access point redireciona para a splash page via HTTP, e a Purple lida com a autenticação por meio de uma sessão web. O RADIUS oferece mais controle e melhores dados de contabilização, mas não é obrigatório para implantações básicas de portal de convidados. Pergunta dois: Quantas chaves PPSK posso criar no NETGEAR Insight? O NETGEAR Insight suporta até 64 chaves PPSK por SSID nos access points da série WAX. Para a maioria dos locais multi-tenant, isso é mais do que suficiente. Se você tiver mais de 64 lojistas, precisará migrar para uma solução de VLAN dinâmica baseada em RADIUS. Pergunta três: O NETGEAR Insight suporta WPA3 Enterprise para 802.1X? Sim, os access points da série WAX suportam WPA3 Enterprise. Para a maioria das implantações de PMEs, o WPA2 Enterprise é suficiente e possui maior compatibilidade com dispositivos clientes. Vale a pena considerar o WPA3 Enterprise para ambientes que lidam com dados confidenciais, como serviços de saúde ou financeiros. Pergunta quatro: O que acontece se o servidor RADIUS da Purple estiver inacessível? O NETGEAR Insight suporta uma opção de failsafe na configuração do Captive Portal externo. Se você ativar o failsafe, os convidados terão acesso à internet por um curto período, mesmo se os servidores do Captive Portal estiverem inacessíveis. A Purple mantém 99,999% de uptime em toda a nossa infraestrutura, mas ativar o failsafe é uma boa prática para qualquer implantação em produção. Para resumir os principais pontos do informativo de hoje. Os access points da série NETGEAR WAX se integram à Purple por meio do mecanismo de Captive Portal externo no NETGEAR Insight. Você configura a URL da splash page, as credenciais do servidor RADIUS e os domínios do walled garden no Insight Cloud Portal. Para redes de funcionários, use WPA2 Enterprise com 802.1X e force a validação de certificado em cada dispositivo cliente. Para locais multi-tenant, o recurso PPSK da NETGEAR oferece isolamento de VLAN por lojista a partir de um único SSID com até 64 chaves exclusivas. Para as implantações mais sofisticadas, a atribuição dinâmica de VLAN via atributos RADIUS oferece uma segmentação de rede orientada por identidade que se adapta a quem está se conectando, e não apenas de onde está se conectando. Se você está planejando uma implantação da NETGEAR com a Purple, o próximo passo é solicitar suas credenciais RADIUS da Purple e a lista de domínios do walled garden à equipe de suporte da Purple, e testar o redirecionamento do Captive Portal em um SSID de testes antes de implementar em produção. A configuração leva menos de 30 minutos assim que você tiver essas credenciais em mãos. Obrigado por ouvir o Informativo Técnico da Purple. Para obter o guia escrito completo, incluindo detalhes de configuração passo a passo e exemplos práticos, visite purple.ai.

header_image.png

Executive Summary

Relying on pre-shared keys for enterprise WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device. This guide provides IT managers and network architects with a definitive roadmap for integrating NETGEAR Insight and WAX series enterprise access points with Purple.

We detail four core deployment architectures: Guest WiFi with a captive portal, Secure Staff WiFi using 802.1X, Multi-Tenant segmentation via NETGEAR Private Pre-Shared Keys (PPSK), and Identity-Based Networks using dynamic VLAN assignment. Whether you operate Hospitality venues, Retail spaces, or public-sector environments, these configurations eliminate shared passwords, enforce strict network segmentation, and capture actionable WiFi Analytics .

Listen to our technical briefing podcast below for a comprehensive overview of the architecture and common deployment pitfalls.

Technical Deep-Dive

NETGEAR WAX series access points (WAX610, WAX620, WAX630) are cloud-managed WiFi 6 devices designed for high-density environments. Managed via the NETGEAR Insight portal, they support up to eight separate SSIDs per radio, WPA3 encryption, and multi-gigabit throughput. Purple acts as a hardware-agnostic cloud overlay, integrating with NETGEAR Insight to deliver enterprise-grade access control and data capture.

1. Guest WiFi with Captive Portal

For public-facing environments, you must deploy an External Captive Portal. This configuration intercepts guest HTTP requests and redirects them to a Purple-hosted splash page.

Architecture:

  1. Access Point: NETGEAR WAX access point broadcasts an open or WPA2 Personal Guest SSID.
  2. Walled Garden: NETGEAR Insight permits pre-authentication traffic to Purple's servers and social login providers.
  3. Authentication: Purple handles the user session via RADIUS or HTTP web authentication.

When a guest connects, they are presented with a branded portal. Upon accepting the terms and providing details, Purple's RADIUS server returns an Access-Accept message, granting internet access. This approach guarantees compliance with data privacy regulations like GDPR while capturing valuable first-party data.

2. Secure Staff WiFi (802.1X)

Pre-shared keys are unacceptable for staff networks. You must implement IEEE 802.1X authentication. In this model, every user has an individual credential. When an employee departs, you disable their directory account, and their access is revoked instantly.

In NETGEAR Insight, you configure a Staff SSID with WPA2 Enterprise or WPA3 Enterprise security. The access point acts as the authenticator, relaying Extensible Authentication Protocol (EAP) messages to the RADIUS server. The RADIUS server validates the credentials against your directory (e.g., Microsoft Entra ID or Okta) and returns the authorisation decision.

3. Multi-Tenant Segmentation (PPSK)

Mixed-use developments and retail parks face a specific challenge: multiple tenants sharing physical WiFi infrastructure. Deploying separate SSIDs for each tenant creates radio frequency congestion. Providing a single shared password compromises security.

NETGEAR Private Pre-Shared Key (PPSK) solves this. You broadcast a single SSID. In NETGEAR Insight, you generate unique passwords for each tenant. Crucially, each password maps to a specific VLAN.

ppsk_vlan_infographic.png

When a device connects using the retail unit's password, the access point places it on the isolated retail VLAN. When venue management connects using their password, they land on the management VLAN. You achieve complete traffic isolation with zero additional hardware. Note that PPSK requires WPA2 Personal and cannot be combined with a captive portal on the same SSID.

4. Dynamic VLAN Assignment via RADIUS

For sophisticated Identity-Based Networks, you must use dynamic VLAN assignment. Instead of statically assigning a VLAN to an SSID or a password, the RADIUS server dictates the VLAN based on the user's directory profile.

The RADIUS server returns three standard attributes in the Access-Accept message:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

A single WPA2 Enterprise SSID can serve the entire organisation. A hotel manager authenticates and lands on VLAN 20. A front desk agent lands on VLAN 21. A contractor lands on VLAN 50. The network adapts to the identity of the user. For a broader look at securing your environment, review our Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementation Guide

Follow these steps to deploy NETGEAR Insight with Purple Guest WiFi .

Step 1: Configure the Guest SSID

  1. Log in to the NETGEAR Insight Cloud Portal.
  2. Select your network location and navigate to Wireless > Settings.
  3. Create a new SSID (e.g., "Venue Guest WiFi").
  4. Select Captive Portal and choose External Captive Portal.

Step 2: Configure the Captive Portal

  1. In the Splash Page URL field, enter the URL provided by Purple.
  2. Select the Radius radio button.
  3. Enter the Primary Authentication Server IP, port (1812), and shared secret provided by Purple.
  4. Enter the Primary Accounting Server IP, port (1813), and shared secret.
  5. Set a descriptive NAS-Identifier (e.g., "London-Retail-01").

Step 3: Configure the Walled Garden

This is the most critical step. If the walled garden is incorrect, guests will see a blank screen.

  1. Scroll to the Walled Garden section in the Captive Portal settings.
  2. Add every domain provided in Purple's integration documentation. This includes Purple's CDN domains, authentication servers, and any enabled social login providers (e.g., Facebook, Google).
  3. Click Save.

Step 4: Verify RADIUS Reachability

Ensure your firewall permits UDP ports 1812 and 1813 outbound from the access point management IP addresses to the Purple RADIUS servers.

Best Practices

  • Enforce Certificate Validation: For 802.1X deployments, you must enforce strict certificate validation on all client devices via Group Policy Objects (GPO) or Mobile Device Management (MDM). If clients do not validate the RADIUS server certificate, they are vulnerable to rogue access point attacks.
  • Isolate Management Traffic: Always place access point management IP addresses on a dedicated management VLAN, isolated from guest and staff traffic.
  • Enable Failsafe: In the NETGEAR Insight Captive Portal settings, enable the FailSafe option. If the RADIUS servers become unreachable, guests are granted temporary internet access, preventing a total WiFi outage.
  • Separate SSIDs for PPSK: Because NETGEAR Insight does not support PPSK and Captive Portal on the same SSID, you must create dedicated SSIDs (e.g., "Venue-Guest" and "Venue-Tenant").

Troubleshooting & Risk Mitigation

Symptom: Guests connect to the SSID but the splash page does not load.

  • Cause: Incomplete Walled Garden configuration.
  • Resolution: Verify that all Purple domains and social login domains are entered correctly in the NETGEAR Insight Walled Garden settings. Test with a device that has no cached credentials.

Symptom: Staff devices fail to authenticate via 802.1X.

  • Cause: RADIUS timeout or incorrect shared secret.
  • Resolution: Verify that UDP ports 1812 and 1813 are open outbound. Confirm the shared secret matches exactly between the NETGEAR Insight portal and the RADIUS server. Check the RADIUS server logs for Access-Reject messages.

Symptom: PPSK clients are placed on the wrong VLAN.

  • Cause: Incorrect VLAN mapping or missing VLAN configuration on the switch.
  • Resolution: Ensure the VLAN is created in NETGEAR Insight under Wired settings. Verify the Multi PSK Settings map the correct password to the correct VLAN ID. Ensure the switch port connecting the access point is configured as a trunk port allowing the target VLAN.

ROI & Business Impact

Deploying NETGEAR Insight with Purple transforms your wireless infrastructure from a cost centre into a revenue-generating asset. By implementing Identity-Based Networks and captive portals, you achieve:

  • Reduced IT Overhead: PPSK and 802.1X eliminate the need to manually manage shared passwords or dispatch engineers for routine access changes.
  • Actionable Analytics: Capture demographic data, dwell times, and return rates to optimise venue operations and tenant mix.
  • Marketing ROI: Build a high-intent, GDPR-compliant CRM database. Venues typically see a significant reduction in customer acquisition costs when leveraging first-party data collected via WiFi.
  • Enhanced Security: Dynamic VLAN assignment isolates IoT devices, point-of-sale systems, and guest traffic, significantly reducing the attack surface and ensuring PCI DSS compliance.

Definições principais

802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

Essencial para a segurança corporativa; substitui senhas compartilhadas por credenciais de usuário individuais.

Captive Portal

Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

Usado pela Purple para capturar dados primários (first-party data) e garantir a aceitação dos termos de serviço.

PPSK (Private Pre-Shared Key)

Um recurso que permite múltiplas senhas exclusivas em um único SSID, onde cada senha atribui o usuário a uma VLAN específica.

Ideal para edifícios multi-tenant ou para isolar dispositivos IoT sem criar múltiplos SSIDs.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA).

O servidor central que valida as credenciais e informa ao AP NETGEAR se deve conceder o acesso.

Walled Garden

Um ambiente limitado que controla o acesso do usuário a conteúdos e serviços web antes da autenticação completa.

Deve ser configurado no NETGEAR Insight para permitir que os dispositivos alcancem a splash page da Purple e os provedores de login social.

Dynamic VLAN Assignment

O processo no qual um servidor RADIUS instrui um access point a colocar um usuário autenticado em uma VLAN específica com base em sua identidade.

Habilita Redes Baseadas em Identidade, permitindo que um único SSID atenda a múltiplos departamentos de forma segura.

NAS-Identifier

Network Access Server Identifier; uma string usada para identificar a origem de uma solicitação de acesso RADIUS.

Configurado no NETGEAR Insight para que a Purple saiba de qual local ou access point o usuário está se conectando.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação que exige certificados digitais tanto no cliente quanto no servidor.

O método 802.1X mais seguro, eliminando totalmente as senhas, embora exija MDM para implantar certificados.

Exemplos práticos

Um parque comercial de 40 unidades precisa fornecer WiFi seguro e isolado para os sistemas de ponto de venda de cada lojista, além de uma rede WiFi pública personalizada para os compradores. Eles implantaram access points NETGEAR WAX630. Como a rede deve ser configurada?

Crie dois SSIDs no NETGEAR Insight. SSID 1: 'RetailPark-Guest'. Configure-o com um Captive Portal externo apontando para a splash page da Purple, com autenticação RADIUS e um walled garden abrangente. Mapeie-o para a VLAN 10 (apenas Internet). SSID 2: 'RetailPark-Tenants'. Configure-o com WPA2 Personal e ative o Multi PSK (PPSK). Crie 40 senhas exclusivas. Mapeie a senha do Lojista A para a VLAN 101, do Lojista B para a VLAN 102, etc. Certifique-se de que o switch principal faça o trunking de todas as VLANs para os access points.

Comentário do examinador: Esta abordagem equilibra perfeitamente a segurança e a experiência do usuário. Ao separar os SSIDs, evitamos a limitação do NETGEAR de não misturar PPSK e Captive Portals. A configuração do PPSK garante visibilidade zero entre os lojistas para conformidade com PCI, enquanto o portal Purple captura os dados dos compradores.

Uma sede corporativa deseja abandonar o uso de uma senha WPA2 compartilhada. Eles precisam que os funcionários se autentiquem com suas credenciais do Microsoft Entra ID e querem a equipe de finanças na VLAN 50 e a equipe de marketing na VLAN 60.

Implante um único SSID 'Corporate-Secure' configurado para WPA2 Enterprise. Aponte as configurações de RADIUS do NETGEAR Insight para um servidor RADIUS integrado ao Entra ID. Configure o servidor RADIUS para retornar os atributos de túnel padrão (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 ou 60) com base na associação de grupo de diretório do usuário. Force a validação de certificados em todos os laptops corporativos via MDM.

Comentário do examinador: Isso demonstra uma verdadeira Rede Baseada em Identidade (Identity-Based Networking). O access point atribui dinamicamente a VLAN com base na resposta do RADIUS. Crucialmente, forçar a validação de certificados evita ataques de AP invasor (rogue AP), o que é obrigatório para a segurança corporativa.

Questões práticas

Q1. Você implantou um Captive Portal da Purple em um NETGEAR WAX620. Os convidados conseguem se conectar ao WiFi, mas seus navegadores exibem um erro de 'Não é possível alcançar o destino' em vez da splash page. Qual é o erro de configuração mais provável?

Dica: Considere o que deve acontecer antes que o convidado seja totalmente autenticado para alcançar servidores externos.

Ver resposta modelo

O Walled Garden está mal configurado ou incompleto. O access point NETGEAR está bloqueando o tráfego inicial para os servidores da Purple. Você deve garantir que todos os domínios de CDN da Purple, URLs de autenticação e domínios de login social necessários sejam adicionados à lista do Walled Garden no portal Insight.

Q2. Um local exige tanto um Captive Portal para convidados quanto um WiFi seguro e isolado para 10 lojistas diferentes. Eles desejam minimizar a interferência de RF. Como você configura os access points NETGEAR?

Dica: O NETGEAR Insight possui limitações específicas quanto à mistura de Captive Portals e PPSK.

Ver resposta modelo

Você deve criar exatamente dois SSIDs. O NETGEAR não suporta PPSK e Captive Portal no mesmo SSID. Crie 'Venue-Guest' com um Captive Portal externo apontando para a Purple. Crie 'Venue-Retail' com WPA2 Personal e configure o Multi PSK (PPSK) com 10 senhas exclusivas, cada uma mapeando para uma VLAN diferente.

Q3. Ao configurar a atribuição dinâmica de VLAN para funcionários usando 802.1X, quais três atributos RADIUS o servidor deve retornar na mensagem Access-Accept?

Dica: Pense nos atributos padrão da RFC 2868 para configuração de túnel.

Ver resposta modelo

O servidor RADIUS deve retornar: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802) e [81] Tunnel-Private-Group-ID = [A string específica do ID da VLAN].

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

Ler o guia →

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →