Integração do Zyxel Nebula Cloud e USG com o Purple WiFi

Resumo executivo

Os Firewalls Zyxel Nebula Cloud e USG Flex são implantados em milhares de locais corporativos, desde redes de hotéis até propriedades de varejo. Ao integrar este hardware com a Purple, você adiciona uma camada de autenticação de convidados em conformidade e com captura de dados que transforma uma rede sem fio padrão em um ativo de dados primários (first-party data). Este guia aborda quatro cenários de implantação: redirecionamento de Captive Portal de convidados por meio de uma splash page externa, autenticação e bilhetagem baseadas em RADIUS, WiFi seguro para funcionários usando IEEE 802.1X e segmentação de rede multi-tenant usando Zyxel Dynamic Personal Pre-Shared Keys (DPPSK). A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos da Purple). Ela possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. A arquitetura de integração descrita aqui é agnóstica em termos de hardware no nível da plataforma, mas os caminhos e parâmetros de configuração específicos neste guia se aplicam ao Zyxel Nebula Control Center (NCC) e aos Firewalls USG Flex que executam o firmware atual.

Para uma visão mais ampla da arquitetura de segurança de WiFi corporativo, consulte nosso Guia Completo de Segurança de WiFi Corporativo para 2026 .

Visão técnica aprofundada

Arquitetura de integração

A integração da Zyxel com a Purple depende de três protocolos padrão funcionando em sequência: redirecionamento HTTP (detecção de Captive Portal), Autenticação RADIUS (UDP 1812) e Bilhetagem RADIUS (UDP 1813). Quando o dispositivo de um convidado se conecta ao SSID do Guest WiFi, o ponto de acesso Zyxel intercepta a primeira solicitação HTTP e emite um redirecionamento HTTP 302 para a URL externa do Captive Portal da Purple. O convidado se autentica na splash page da Purple — via e-mail, login social ou SMS — e a Purple envia uma mensagem RADIUS Access-Accept de volta ao controlador Zyxel. O controlador concede acesso à internet e começa a enviar pacotes RADIUS Accounting Start para registrar os dados da sessão.

O Firewall Zyxel USG Flex fica entre os segmentos sem fio e a WAN. Ele aplica políticas de segurança baseadas em zonas que isolam as VLANs de Guest, Staff e Multi-Tenant umas das outras e da LAN corporativa. O Nebula Control Center gerencia os pontos de acesso e as configurações de SSID de forma centralizada via HTTPS na porta 443 para a nuvem Nebula.

Parâmetros RADIUS

A tabela a seguir resume os parâmetros de configuração RADIUS que você precisará obter no console de administração da Purple.

Sempre configure os servidores RADIUS primário e secundário. Um único endpoint RADIUS é um ponto único de falha que bloqueará o acesso dos convidados se o servidor estiver inacessível.

Configuração do Walled Garden

O Walled Garden (também chamado de lista de permissões) define os domínios e intervalos de IP que um dispositivo pode acessar antes de concluir a autenticação. No Zyxel Nebula, você configura isso em Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Você deve incluir as seguintes categorias de entradas:

• O domínio do portal Purple e todos os subdomínios (use o formato curinga: *.purple.ai)
• Domínios de CDN que servem o CSS, JavaScript e recursos de imagem do portal
• Domínios de provedores de login social se você ativar o login com Facebook, Google ou Microsoft
• Detecção de Captive Portal da Apple: captive.apple.com
• Verificação de conectividade do Google: connectivitycheck.gstatic.com
• Microsoft NCSI: www.msftconnecttest.com

A ausência de qualquer uma dessas entradas fará com que a splash page não seja renderizada em tipos específicos de dispositivos. Os dispositivos iOS, em particular, exibirão um mininavegador em branco se o endpoint CNA da Apple não for tratado corretamente.

WiFi seguro para funcionários usando IEEE 802.1X

Para redes de funcionários, você não deve usar uma PSK compartilhada. O IEEE 802.1X (definido no padrão IEEE 802.1X-2020) fornece controle de acesso à rede baseado em porta usando credenciais individuais por usuário. No Nebula, você configura isso definindo a segurança do SSID como WPA2-Enterprise e apontando a autenticação para o Nebula Cloud Authentication Server (NCAS) ou para um servidor RADIUS externo, como o Microsoft Entra ID ou Okta, por meio de um proxy RADIUS.

Para implantações WPA3-Enterprise, o caminho de configuração é idêntico, mas você seleciona WPA3 nas opções de segurança. O WPA3 exige Protected Management Frames (PMF) e usa Simultaneous Authentication of Equals (SAE) para maior resistência a ataques de dicionário offline.

PPSK e atribuição dinâmica de VLAN para locais multi-tenant

O Zyxel DPPSK (Dynamic Personal Pre-Shared Key) permite que um único SSID atenda a múltiplos segmentos de rede isolados. Cada usuário ou dispositivo recebe uma senha exclusiva. Quando eles se autenticam, o controlador Nebula mapeia essa senha para um ID de VLAN definido no banco de dados DPPSK. Esta é a abordagem correta para espaços de coworking, alojamentos estudantis, empreendimentos build-to-rent (BTR) e unidades multifamiliares (MDUs) onde você precisa de isolamento de locatários sem transmitir dezenas de SSIDs.

O DPPSK requer a licença Nebula Pro Pack e a versão de firmware do ponto de acesso 6.00 ou posterior. Você configura o banco de dados DPPSK em Configure > Cloud authentication > DPPSK no Nebula Control Center. Cada entrada inclui a senha, uma data de expiração opcional, um endereço de e-mailreço para entrega e o ID da VLAN de destino.

O número máximo de entradas DPPSK autorizadas simultaneamente é 2.048. Para implantações com mais de 2.048 usuários simultâneos, você precisará gerenciar as datas de expiração com cuidado para garantir que as credenciais ativas permaneçam dentro desse limite.

Guia de implementação

Passo 1: Preparar a infraestrutura de rede

Antes de mexer no Nebula Control Center, configure suas VLANs no USG Flex Firewall e nos switches downstream.

1. Crie uma VLAN de Visitantes (exemplo: VLAN 10) com uma sub-rede dedicada (exemplo: 192.168.10.0/24). Configure um servidor DHCP nesta interface.
2. Crie uma VLAN de Funcionários (exemplo: VLAN 20) com uma sub-rede dedicada (exemplo: 192.168.20.0/24).
3. Para implantações multi-tenant, crie VLANs adicionais por locatário (exemplo: VLAN 30, 40, 50).
4. No USG Flex, crie uma Zona de Visitantes mapeada para a VLAN 10. Crie uma política de segurança permitindo o tráfego da Zona de Visitantes para a zona WAN. Crie uma política de bloqueio total (deny-all) impedindo o tráfego da Zona de Visitantes para a zona LAN.
5. Certifique-se de que as portas do switch que conectam os APs Zyxel estejam configuradas como trunks 802.1Q transportando todas as tags de VLAN necessárias.

Passo 2: Configurar o SSID de visitantes no Nebula Control Center

1. Faça login no Nebula Control Center em ncc.nebula.zyxel.com.
2. Navegue até Site-wide > Configure > Access points > SSID settings.
3. Ative o SSID de visitantes e habilite o Advanced mode.
4. Ative a Guest network para habilitar o isolamento de clientes de Camada 2. Isso impede que os dispositivos dos visitantes se comuniquem diretamente entre si no mesmo SSID.
5. Salve.

Passo 3: Configurar o Captive Portal externo

1. Navegue até Site-wide > Configure > Access points > SSID advanced settings.
2. Selecione o seu SSID de visitantes no menu suspenso.
3. Em Sign-in method, selecione Click-to-continue para o redirecionamento inicial ou selecione My RADIUS server se estiver usando a autenticação MAC baseada em RADIUS da Purple.
4. Navegue até Site-wide > Configure > Access points > Captive portal customisation.
5. Em External captive portal URL, insira a URL de redirecionamento da Purple obtida no console de administração da Purple. O formato é https://[your-purple-domain]/[venue-id].
6. Em Captive portal advance setting, insira todos os domínios de Walled Garden necessários.
7. Defina Strict policy como Block all access until sign-on para evitar que os visitantes ignorem o portal.
8. Defina o Reauth time para corresponder à política de sessão do seu estabelecimento (geralmente 24 horas para hotelaria, 30 dias para programas de fidelidade de varejo).
9. Salve.

Passo 4: Configurar o RADIUS no Nebula

1. Em SSID advanced settings, em Network access, selecione My RADIUS server.
2. Insira o Primary RADIUS server IP do seu console de administração da Purple.
3. Defina a Authentication port como 1812.
4. Insira o Shared secret.
5. Repita o processo para o servidor RADIUS secundário.
6. Ative o RADIUS accounting e defina a porta de tarifação como 1813.
7. Salve.

Passo 5: Configurar DPPSK para segmentação multi-tenant

1. Navegue até Configure > Access points > SSID advanced settings.
2. Selecione o SSID multi-tenant e defina Network access como Dynamic personal PSK.
3. Navegue até Configure > Cloud authentication > DPPSK.
4. Clique em Add e selecione Batch create DPPSK.
5. Defina o número de credenciais, a data de expiração e o VLAN ID de destino para cada grupo de locatários.
6. Insira o endereço de e-mail para receber o lote de credenciais.
7. Salve e distribua as credenciais para os locatários.

Passo 6: Validar a implantação

1. Conecte um dispositivo de teste ao SSID de WiFi de Visitantes.
2. Confirme se o dispositivo é redirecionado para a splash page da Purple.
3. Conclua a autenticação e confirme se o acesso à internet foi concedido.
4. No console de administração da Purple, verifique se a sessão aparece no painel de análise (analytics dashboard).
5. No Nebula, navegue até Access point > Monitor > Clients para confirmar se o cliente está associado e atribuído à VLAN correta.
6. Teste o DPPSK conectando-se com uma credencial de locatário e confirmando a atribuição correta da VLAN.

Melhores práticas

Segmente cada tipo de tráfego. O tráfego de Visitantes, Funcionários e IoT deve ocupar, cada um, uma VLAN dedicada. Isso não é opcional se o seu estabelecimento processa pagamentos com cartão na mesma infraestrutura física — o PCI DSS v4.0 exige a segmentação de rede entre ambientes de dados de portadores de cartão e redes de visitantes.

Use redundância de RADIUS. Configure os IPs primário e secundário do RADIUS da Purple no Nebula. Uma única falha no servidor RADIUS impedirá toda a autenticação de visitantes até que seja resolvida.

Audite o Walled Garden regularmente. Os fornecedores de portais atualizam suas configurações de CDN. Um domínio que funcionava na implantação pode parar de funcionar seis meses depois se o fornecedor migrar os recursos para uma nova CDN. Agende uma revisão trimestral das suas entradas de Walled Garden.

Ative o RADIUS accounting. Sem a tarifação (accounting), a Purple não pode rastrear a duração da sessão, o uso de dados ou aplicar limites de acesso baseados em tempo. Os dados de tarifação também alimentam o painel de WiFi Analytics .

Aplique WPA3 onde houver suporte de hardware. Os pontos de acesso Zyxel lançados a partir de 2021 oferecem suporte ao WPA3. Para o WiFi de Funcionários, o WPA3-Enterprise com modo de segurança de 192 bits alinha-se com as recomendações do NIST SP 800-187 para segurança sem fio corporativa.

Teste o comportamento do CNA antes de entrar em operação. No iOS, o mini-navegador Captive Network Assistant (CNA) possui funcionalidade limitada em comparação com um navegador completo. Teste sua splash page da Purple no ambiente CNA — especialmente fluxos de login social e JavaScript personalizado — antes de implantar para os visitantes.

Para implantações em hotelaria , consulte também nossas orientações sobre a segmentação de redes de visitantes e de back-of-house. Para ambientes de varejo , a mesma abordagem PPSK se aplica ao isolamento de sistemas de ponto de venda do WiFi dos clientes.

Solução de problemas e mitigação de riscos

A splash page não carrega

Symptom: O visitante se conecta ao SSID, mas vê uma página em branco ou um erro de navegador no CNA.

Cause: Um ou mais domínios exigidos pela splash page não estão no Walled Garden.

Resolução: Conecte um dispositivo de teste ao Guest SSID. Abra um navegador (não o CNA) e navegue até qualquer URL HTTP. Ao ser redirecionado para o portal, abra as ferramentas de desenvolvedor do navegador e inspecione a aba Network. Identifique quaisquer requisições que retornem erros 403 ou de conexão recusada. Adicione esses domínios ao Nebula Walled Garden.

Usuários se autenticam, mas não conseguem acesso à internet

Sintoma: O visitante preenche o formulário do portal e vê uma página de sucesso, mas a navegação na internet falha.

Causa: O controlador Zyxel não está recebendo o RADIUS Access-Accept do Purple, ou o firewall USG Flex está bloqueando a resposta RADIUS.

Resolução: Verifique se as portas UDP de saída 1812 e 1813 são permitidas do IP de gerenciamento do AP Zyxel para o IP do servidor RADIUS do Purple. Verifique os logs de política de segurança do USG Flex para tráfego bloqueado.

Dados de accounting do RADIUS ausentes no painel do Purple

Sintoma: As sessões aparecem no Nebula, mas o painel de analytics do Purple não mostra dados de duração da sessão.

Causa: O RADIUS Accounting não está ativado na configuração do SSID do Nebula, ou a porta UDP 1813 está bloqueada.

Resolução: Confirme se o RADIUS accounting está ativado nas configurações avançadas do SSID. Verifique se a porta de accounting está definida como 1813 e se o segredo compartilhado (shared secret) corresponde à configuração do Purple.

Usuários DPPSK atribuídos à VLAN errada

Sintoma: Um locatário se conecta com seu PPSK, mas é colocado no segmento de rede errado.

Causa: O ID da VLAN na entrada do banco de dados DPPSK não corresponde à VLAN configurada no trunk do switch ou na interface do USG Flex.

Resolução: Faça o cruzamento do ID da VLAN no banco de dados DPPSK do Nebula com a configuração da VLAN no switch upstream e no USG Flex. Certifique-se de que a porta do switch do AP seja um trunk que transporte todas as VLANs dos locatários.

ROI e impacto nos negócios

A integração da infraestrutura Zyxel com o Purple converte uma rede sem fio que antes era um centro de custo em um ativo de dados gerador de receita. Para um hotel de 200 quartos, capturar os endereços de e-mail dos hóspedes e o consentimento de marketing no login do WiFi cria um banco de dados de CRM que impulsiona campanhas de reservas diretas — reduzindo a dependência de comissões de OTAs. Para uma rede de varejo, a plataforma Guest WiFi do Purple fornece análises de fluxo de pedestres, dados de tempo de permanência e taxas de visitas repetidas que fundamentam as decisões de pessoal e merchandising.

Para operadoras multi-tenant — empreendimentos BTR, acomodações estudantis, espaços de coworking —, a implantação do Zyxel DPPSK com o Purple elimina a sobrecarga operacional de gerenciar SSIDs e credenciais separados por locatário. Um único SSID com atribuição dinâmica de VLAN reduz a interferência de RF, simplifica o onboarding e escala para centenas de residentes sem a necessidade de infraestrutura adicional.

O SLA de 99,999% de uptime do Purple garante que a camada de autenticação não se torne um gargalo para o acesso dos visitantes. Com 29 bilhões de pontos de dados coletados em toda a plataforma (dados internos do Purple), as análises fornecidas por meio do console de administração do Purple oferecem aos operadores de estabelecimentos inteligência acionável que justifica o investimento na integração logo no primeiro trimestre de implantação.

Para ambientes de saúde e transporte onde o WiFi para visitantes é um serviço regulamentado, a captura de dados em conformidade com a GDPR e o gerenciamento de consentimento integrados ao Captive Portal do Purple eliminam o risco de conformidade associado a redes abertas não gerenciadas.

Veja também: Arista Cognitive Wi-Fi Integration with Purple WiFi para um padrão de integração comparável em uma plataforma de hardware diferente.