Pular para o conteúdo principal
Português (Brasil)

Integração do Alta Labs com o Purple WiFi: Configuração e Ajustes do Captive Portal

Este guia de referência técnica aborda a integração de ponta a ponta dos pontos de acesso Alta Labs AP6 e AP6 Pro com o captive portal hospedado na nuvem do Purple. Ele detalha a configuração de redirecionamento externo, autenticação RADIUS, requisitos de walled garden e segmentação multi-tenant usando as Chaves Pré-Compartilhadas Privadas (PPSK) do AltaPass. Operadores de locais e equipes de TI sairão com um manual de implantação replicável para ambientes de hospitalidade, varejo e escritórios inteligentes.

📖 8 min de leitura📝 1,844 palavras🔧 2 exemplos práticos3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
ROTEIRO DO PODCAST: Integração do Alta Labs com o Purple WiFi: Configuração e Ajustes do Captive Portal Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritário --- [INTRO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico do Purple. Eu sou o seu anfitrião e hoje estamos detalhando a integração entre os pontos de acesso do Alta Labs e a plataforma de inteligência Purple WiFi. Se você é um gerente de TI, arquiteto de rede ou diretor de operações de locais que busca implantar uma solução de WiFi para visitantes robusta e escalável, este briefing é para você. Vamos cobrir a configuração específica para o Alta Labs AP6 e AP6 Pro, como configurar o redirecionamento externo do captive portal e as configurações críticas de walled garden necessárias para fazer os logins sociais realmente funcionarem no mundo real. Também vamos nos aprofundar no AltaPass - a implementação de Chaves Pré-Compartilhadas Privadas (PPSK) do Alta Labs - e como você pode usá-lo para segmentar ambientes multi-tenant sem destruir seu desempenho de RF com o excesso de SSIDs. Vamos começar. --- [APROFUNDAMENTO TÉCNICO - 5 MINUTOS] A integração entre o Alta Labs e o Purple depende de dois conceitos fundamentais de rede: redirecionamento HTTP para o captive portal e RADIUS para autenticação e tarifação (accounting). Quando um visitante entra no seu estabelecimento - por exemplo, uma loja de varejo ou o lobby de um hotel - e se conecta à sua rede de visitantes aberta ou WPA3-OWE, o AP do Alta Labs atua como o guardião. Ele intercepta as solicitações HTTP iniciais do cliente e as redireciona para a sua splash page personalizada do Purple. Para configurar isso na plataforma Alta Labs Cloud Management, você navega até as configurações de WiFi, seleciona o SSID de visitantes e, em Configurações Avançadas, define o tipo de rede como Guest. Isso é crucial porque aplica automaticamente o isolamento de clientes, impedindo que os dispositivos se comuniquem lateralmente pela rede. Em seguida, na seção Hotspot, você seleciona External e insere a URL de redirecionamento do Purple fornecida nas configurações do seu local, junto com o seu Segredo de Autorização (Authorisation Secret). Mas é aqui que a maioria das implantações encontra um obstáculo: o walled garden. O walled garden é a lista de domínios e endereços IP que um dispositivo tem permissão para acessar antes de ser autenticado. Se você deseja que os visitantes façam login usando Google, Facebook ou Apple, os dispositivos deles precisam alcançar esses servidores OAuth enquanto ainda estão no estado pré-autenticado. Você deve incluir explicitamente na lista de permissões os domínios de infraestrutura do Purple - como region1.purpleportal.net e cloudfront.net. Em seguida, precisa adicionar os testes de captive portal do sistema operacional: captive.apple.com para iOS e connectivitycheck.gstatic.com para Android. Se você bloqueá-los, o telefone não saberá que está atrás de um captive portal e a splash page nunca será exibida. Por fim, você adiciona os domínios de login social. Para o Google, são accounts.google.com, oauth2.googleapis.com e gstatic.com. Para o Facebook, são facebook.com, graph.facebook.com e os domínios fbcdn.net. Uma lista de permissões de IP estático não funcionará aqui porque esses provedores usam redes de distribuição de conteúdo (CDNs) dinâmicas. Você deve usar nomes de domínio e garantir que seu controlador execute a resolução dinâmica de DNS. Assim que o usuário conclui o login na splash page do Purple, o servidor RADIUS do Purple envia uma mensagem Access-Accept de volta para o AP do Alta Labs. O AP então remove a restrição do walled garden e concede ao dispositivo acesso total à internet. É um fluxo limpo e seguro que captura dados primários (first-party data) enquanto mantém a integridade da rede. Agora, vamos falar sobre segmentação multi-tenant. Em ambientes como escritórios inteligentes, alojamentos estudantis ou condomínios residenciais, você frequentemente precisa fornecer redes seguras e isoladas para diferentes grupos. Historicamente, as equipes de TI transmitiam um SSID separado para cada tenant. Essa é uma prática terrível. Ela causa uma enorme sobrecarga de gerenciamento e destrói o desempenho do seu sem fio devido à sobrecarga de frames de beacon. O Alta Labs resolve isso com o AltaPass, a versão deles de Chaves Pré-Compartilhadas Privadas. Com o AltaPass, você transmite um único SSID - vamos chamá-lo de BuildingWiFi. Mas você gera senhas exclusivas para diferentes usuários ou dispositivos. Quando o Tenant A insere sua senha específica, o AP o atribui dinamicamente à VLAN 101 com um limite de largura de banda de 100 Megabits. Quando a equipe de gerenciamento insere sua senha no mesmo SSID, eles são direcionados para a VLAN 200 com largura de banda ilimitada. Você pode até criar uma senha para dispositivos IoT, como termostatos inteligentes, que os atribui a uma VLAN isolada e ignora completamente o captive portal. Um SSID. Senhas ilimitadas. Isolamento completo. Isso é Redes Baseadas em Identidade (Identity-Based Networking) na borda, e é uma solução genuinamente elegante para um problema que assombra implantações multi-tenant há anos. Deixe-me dar um exemplo concreto de como isso funciona na prática. Considere um complexo de apartamentos de 72 unidades - um tipo de implantação do mundo real para o qual o Alta Labs tem sido amplamente utilizado. Em vez de transmitir 72 SSIDs separados, o administrador de rede cria um único SSID e gera uma senha exclusiva para cada unidade. Cada senha é mapeada para uma VLAN e sub-rede dedicadas. Os moradores do plano básico recebem 100 Megabits. Os moradores que pagaram pelo plano premium recebem 300 Megabits. A equipe de administração do prédio tem acesso irrestrito. O sistema de automação predial - fechaduras de portas, HVAC, elevadores - recebe sua própria VLAN isolada com inspeção profunda de pacotes (DPI) ativada. Tudo a partir de um único SSID. O ambiente de RF fica mais limpo, o desempenho é maior e o gerenciamento é drasticamente mais simples. Agora, vamos passar para a configuração 802.1X para o WiFi seguro de funcionários. Para a rede de funcionários, você não deve usar uma chave pré-compartilhada de forma alguma. Você deve usar WPA2 ou WPA3 Enterprise com autenticação 802.1X. Na plataforma Alta Labs, você configura isso selecionando o SSID de funcionários, definindo o modo de segurança como WPA2-Enterprise ou WPA3-Enterprise e apontando o AP para o seu servidor RADIUS. Se você estiver integrando com o produto SecurePass do Purple, o Purple atua como o intermediário RADIUS, conectando-se ao seu provedor de identidade - seja o Microsoft Entra ID, Okta ou Google Workspace - e retornando a atribuição de VLAN apropriada na mensagem Access-Accept. O AP do Alta Labs lê o atributo Tunnel-Private-Group-Id da resposta RADIUS e coloca o dispositivo na VLAN correta automaticamente. Uma nota importante sobre a atribuição dinâmica de VLAN com o Alta Labs: ao configurar VLANs atribuídas por RADIUS, defina a VLAN padrão no SSID como VLAN 1 ou deixe-a não marcada (untagged). Existe um comportamento conhecido em que, se a VLAN padrão for definida para um valor específico, o AP pode substituir a VLAN atribuída pelo RADIUS pelo padrão configurado. Definir o padrão como VLAN 1 garante que a atribuição do RADIUS tenha precedência. --- [RECOMENDAÇÕES DE IMPLANTAÇÃO E ARMADILHAS - 2 MINUTOS] Quando você estiver implementando isso, há algumas recomendações importantes que quero destacar. Primeiro, sempre teste o fluxo do seu captive portal com um dispositivo novo. Não use seu próprio telefone se você já se conectou à rede durante os testes. Seu dispositivo lembra a autorização do endereço MAC ou possui entradas de DNS em cache, o que mascarará falhas de walled garden. Pegue um tablet que nunca viu a rede, conecte-o e verifique se o assistente de captive portal do sistema operacional é iniciado automaticamente. Segundo, cuidado com o excesso de liberação na lista de permissões (over-whitelisting). Vejo engenheiros ficarem frustrados com erros de login social e simplesmente liberarem domínios curinga inteiros ou blocos massivos de IP. Isso cria uma vulnerabilidade de segurança onde usuários experientes podem burlar completamente o seu captive portal. Limite-se aos domínios específicos exigidos para o fluxo de OAuth. Terceiro, ao implantar o AltaPass PPSK com VLANs dinâmicas, certifique-se de que toda a sua infraestrutura de switches esteja configurada corretamente. As portas do switch que se conectam aos seus APs Alta Labs devem ser configuradas como trunks, permitindo que todas as VLANs marcadas (tagged) passem para o gateway. Se o AP marcar o tráfego para a VLAN 101, mas a porta do switch estiver definida para o modo de acesso na VLAN 1, o tráfego será descartado e o cliente não receberá um endereço IP. Quarto, implemente uma revisão trimestral da sua configuração de walled garden. Os provedores de OAuth e as redes de distribuição de conteúdo alteram suas estruturas de domínio. A Apple atualizou seus domínios do Sign In duas vezes em 2023. Um walled garden que estava correto na implantação perderá o alinhamento sem uma manutenção ativa. --- [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Vamos passar por algumas perguntas rápidas que ouvimos em campo. Pergunta um: Posso usar WPA3 com o captive portal do Purple no hardware Alta Labs? Sim. Você deve usar WPA3-OWE, que significa Opportunistic Wireless Encryption. Isso criptografa os dados pelo ar, protegendo a privacidade dos visitantes, enquanto ainda funciona como uma rede aberta que aciona o redirecionamento do captive portal. É a escolha certa para qualquer nova implantação de WiFi de visitantes em 2026. Pergunta dois: Quais portas preciso abrir no meu firewall para o tráfego RADIUS? Os servidores RADIUS do Purple se comunicam pela porta UDP 1812 para autenticação e porta UDP 1813 para tarifação (accounting). Certifique-se de que seu firewall de borda permita o tráfego de saída nessas portas dos APs Alta Labs para a infraestrutura do Purple. Pergunta três: Can I use AltaPass PPSK alongside the Purple captive portal on the same SSID? Sim, e esta é realmente uma configuração muito útil. Você pode criar uma senha AltaPass que ignora o captive portal para dispositivos conhecidos - como seus terminais de ponto de venda ou sinalização digital - enquanto as conexões padrão para o mesmo SSID ainda passam pela splash page do Purple. Isso oferece um único SSID limpo que lida tanto com dispositivos autenticados quanto com usuários visitantes. --- [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para encerrar: A integração do Alta Labs com o Purple WiFi oferece uma plataforma segura e escalável para capturar dados primários e entregar uma experiência de visitante personalizada. Lembre-se dos três pilares de uma implantação bem-sucedida. Primeiro, configure o redirecionamento de hotspot externo e as configurações de RADIUS com precisão na plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente os domínios do seu walled garden para garantir que os testes do sistema operacional e os logins sociais funcionem corretamente. E terceiro, aproveite o AltaPass PPSK para implementar Redes Baseadas em Identidade (Identity-Based Networking), segmentando seu tráfego sem poluir seu espaço aéreo com SSIDs desnecessários. O Purple opera em 80.000 locais ativos e processou 440 milhões de logins em 2024. A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e foi desenvolvida para escalar de um único hotel boutique a uma rede de varejo nacional. Quando você combina isso com o desempenho e a flexibilidade do hardware Alta Labs, você tem uma pilha de WiFi corporativo robusta. Se você seguir este manual, entregará uma experiência de WiFi integrada e em conformidade com as regulamentações, que deixará tanto sua equipe de marketing quanto sua equipe de segurança satisfeitas. Obrigado por ouvir a Série de Briefing Técnico do Purple. Até a próxima, mantenha suas redes seguras e seus dados acionáveis.

header_image.png

Resumo executivo

Os pontos de acesso Alta Labs AP6 e AP6 Pro se integram ao captive portal na nuvem do Purple usando autenticação RADIUS padrão e redirecionamento HTTP. O AP intercepta o tráfego de visitantes não autenticado, redireciona-o para a sua splash page do Purple e concede acesso assim que o servidor RADIUS do Purple retorna um Access-Accept. Para ambientes multi-tenant, a tecnologia AltaPass da Alta Labs atribui cada dispositivo de conexão a uma VLAN e política de largura de banda exclusivas com base na senha usada - sem a necessidade de SSIDs adicionais. Este guia fornece as etapas exatas de configuração, listas de domínios de walled garden e parâmetros RADIUS para implantar a integração do zero. O Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos do Purple). O hardware da Alta Labs é uma excelente opção para MSPs e instaladores de escritórios inteligentes que precisam de segmentação de nível corporativo a um preço competitivo.

Arquitetura técnica

A integração está distribuída em três camadas: a plataforma de gerenciamento em nuvem Alta Labs, o hardware AP6 ou AP6 Pro na borda e a infraestrutura em nuvem do Purple que lida com autenticação e análise de dados (analytics).

Quando um visitante se conecta ao SSID aberto ou WPA3-OWE, o AP coloca o dispositivo em um estado restrito de pré-autenticação. Todo o tráfego HTTP de saída é interceptado e redirecionado para a URL da splash page do Purple. O dispositivo só pode acessar domínios explicitamente listados no walled garden até que a autenticação seja concluída. Assim que o visitante envia suas credenciais na splash page do Purple, o servidor RADIUS do Purple envia um Access-Accept para o AP, que remove a restrição e concede acesso total à internet. O Purple registra os dados da sessão - tipo de dispositivo, tempo de permanência, método de login - e os disponibiliza no painel do WiFi Analytics .

architecture_overview.png

Para redes de funcionários e administrativas (back-of-house), o mesmo hardware de AP lida com a autenticação WPA2/WPA3-Enterprise (IEEE 802.1X). O AP atua como o cliente RADIUS, encaminhando as solicitações de autenticação para a infraestrutura SecurePass do Purple, que por sua vez valida as credenciais no Microsoft Entra ID, Okta ou Google Workspace. A resposta RADIUS Access-Accept carrega o atributo Tunnel-Private-Group-Id, que o AP usa para colocar o dispositivo na VLAN correta dinamicamente.

Guia de implantação

Etapa 1: Adicionar o local e o hardware no Purple

Antes de mexer no controlador Alta Labs, registre a implantação no Purple.

  1. Faça login no portal de gerenciamento do Purple e navegue até Management > Locations.
  2. Selecione Venues and Groups > Add venue e conclua o assistente de local.
  3. No seu local, selecione Hardware > Add hardware > Add new hardware.
  4. Defina o tipo de hardware como WiFi AP e selecione o tipo de AP apropriado.
  5. Insira o endereço MAC de cada unidade Alta Labs AP6 ou AP6 Pro.
  6. Clique em View Manual Online para obter os endereços IP do servidor RADIUS, portas e o segredo compartilhado (shared secret) para este local. Anote esses valores - você precisará deles na Etapa 3.

Etapa 2: Configurar o SSID de visitantes no Alta Labs

Faça login na plataforma Alta Labs Cloud Management em manage.alta.inc.

  1. Navegue até Settings > WiFi e selecione o SSID destinado ao acesso de visitantes.
  2. Em Advanced Settings, defina o tipo de rede como Guest. Isso aplica o isolamento de clientes automaticamente.
  3. Role até a seção Hotspot e selecione External.
  4. No campo Redirect URL, cole a URL da splash page do Purple fornecida nas configurações de hardware do seu local (por exemplo, https://region1.purpleportal.net/access/).
  5. Insira o Authorisation Secret (segredo compartilhado do RADIUS) das configurações do seu local no Purple.
  6. Clique em Save.

Etapa 3: Configurar a autenticação RADIUS

Com o redirecionamento externo configurado, ajuste as configurações de RADIUS para que o AP possa se comunicar com a infraestrutura de autenticação do Purple.

Parâmetro Valor
IP do servidor de autenticação primário Fornecido pelas configurações de local do Purple
Porta de autenticação UDP 1812
IP do servidor de tarifação primário Fornecido pelas configurações de local do Purple
Porta de tarifação UDP 1813
Segredo compartilhado (Shared secret) Fornecido pelas configurações de local do Purple

Para implantações de alta disponibilidade, configure o servidor RADIUS secundário usando o endereço IP de backup fornecido pelo Purple.

Etapa 4: Definir o walled garden

O walled garden permite domínios específicos antes que a autenticação seja concluída. A ausência de entradas interromperá o fluxo do captive portal ou impedirá o carregamento de logins sociais. Insira os seguintes domínios no campo Additional Authorised Hosts / IPs na configuração de Hotspot do Alta Labs.

Infraestrutura do Purple (obrigatório)

Domínio Finalidade
region1.purpleportal.net Hospedagem da splash page
venuewifi.com Infraestrutura de redirecionamento do Purple
cloudfront.net CDN para ativos do portal

Testes de captive portal do SO (obrigatório)

Domínio SO
captive.apple.com iOS / macOS
connectivitycheck.gstatic.com Android
msftconnecttest.com Windows

Login social (adicionar por provedor ativado)

Provedor Domínios
Google accounts.google.com, oauth2.googleapis.com, apis.google.com, gstatic.com
Facebook facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple appleid.apple.com, idmsa.apple.com, *.apple.com

captive_portal_flow.png

AltaPass PPSK e segmentação multi-tenant

O AltaPass é a implementação com patente pendente de Chaves Pré-Compartilhadas Privadas (PPSK) da Alta Labs. Ele permite que um único SSID carregue várias senhas exclusivas, com cada senha mapeada para uma VLAN distinta, limite de largura de banda, agendamento e regra de desvio de hotspot. Isso elimina a necessidade de transmitir SSIDs separados para cada inquilino, grupo de funcionários ou categoria de dispositivo.

Configurando o AltaPass no painel da Alta Labs

  1. Selecione seu SSID e navegue até a seção de gerenciamento de senhas.
  2. Clique no botão de tipo de rede purple à esquerda de cada entrada de senha.
  3. Atribua um ID de VLAN à senha. Os clientes que se conectarem com esta senha serão colocados na sub-rede VLAN especificada.
  4. Defina os limites de largura de banda (upload e download) por senha, conforme necessário.
  5. Ative ou desative o desvio de hotspot por senha. Dispositivos IoT e terminais POS normalmente ignoram o Captive Portal.
  6. Aplique restrições de agendamento, se necessário (por exemplo, restringir o acesso à internet para determinados dispositivos fora do horário comercial).

altapass_ppsk_segmentation.png

Para um edifício residencial de 72 unidades, isso significa um SSID e mais de 72 senhas exclusivas - uma por unidade, uma para a administração, uma para o sistema de automação predial. Cada senha é mapeada para uma VLAN e sub-rede isoladas. Os moradores do plano padrão recebem 100 Mbps. Os moradores premium recebem 300 Mbps. A equipe de administração do edifício não tem restrições. Os dispositivos IoT são isolados em uma VLAN dedicada com inspeção profunda de pacotes ativada. Este é o modelo de implantação que reduz a contagem de SSIDs de 72 para um.

Atribuição dinâmica de VLAN via RADIUS

Para redes corporativas 802.1X, a atribuição de VLAN funciona por meio de atributos RADIUS em vez de PPSK. A resposta RADIUS Access-Accept deve incluir:

Atributo Valor
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (IEEE-802)
Tunnel-Private-Group-Id ID da VLAN de destino (ex: "20")

Importante: defina a VLAN padrão no SSID como VLAN 1 (ou deixe-a não marcada) ao usar VLANs atribuídas por RADIUS. Se a VLAN padrão for definida para um valor específico, o AP poderá substituir a atribuição do RADIUS pelo padrão configurado. Este é um comportamento conhecido no firmware atual da Alta Labs.

Melhores práticas

As seguintes recomendações se aplicam a qualquer implantação da Alta Labs com a Purple, independentemente do tipo de local.

Use resolução DNS dinâmica para entradas de walled garden. Provedores de OAuth e CDNs rotacionam endereços IP com frequência. Uma lista de permissões de IP estático se tornará obsoleta com o tempo. Configure a controladora Alta Labs para resolver domínios de walled garden dinamicamente e defina um TTL de DNS não inferior a 30 segundos para evitar carga excessiva de consultas.

Defina o escopo do walled garden com precisão. Adicione à lista de permissões apenas os domínios necessários para o fluxo de autenticação. A liberação excessiva — especialmente a adição de entradas curinga para grandes domínios — cria um vetor de desvio que compromete o propósito do Captive Portal.

Teste com dispositivos não autenticados antes do lançamento. Use um dispositivo que nunca tenha se conectado à rede. Dispositivos previamente autenticados podem ter autorizações MAC ou entradas DNS em cache que mascaram falhas no walled garden. Teste cada método de login que você pretende oferecer.

Revise os domínios do walled garden trimestralmente. Apple, Google e Meta atualizam suas estruturas de domínio OAuth periodicamente. Inclua uma revisão trimestral em seu calendário operacional para identificar desvios antes que afetem os usuários.

Segmente os dispositivos IoT desde o início. Use o AltaPass para atribuir dispositivos IoT a uma VLAN dedicada com o desvio de hotspot ativado. Misturar o tráfego de IoT com o tráfego de convidados ou funcionários cria riscos desnecessários e complica a resposta a incidentes.

Para uma visão mais ampla da arquitetura de segurança de WiFi corporativo, consulte nosso guia sobre Enterprise WiFi Security: A Complete Guide for 2026 .

Solução de problemas e mitigação de riscos

A splash page não aparece no iOS. A causa mais comum é a ausência da entrada captive.apple.com no walled garden. O iOS usa esse domínio para detectar Captive Portals. Se a verificação for bloqueada, o Captive Network Assistant nunca é iniciado e o usuário vê um erro genérico de conectividade.

O login social retorna uma tela em branco ou erro de CORS. Verifique o walled garden para identificar subdomínios de CDN ou API ausentes. O *.fbcdn.net do Facebook e o gstatic.com do Google são as entradas omitidas com mais frequência. Use as ferramentas de desenvolvedor do navegador em uma sessão não autenticada para identificar quais solicitações de domínio estão falhando.

A atribuição de VLAN falha com o AltaPass. Verifique se a porta do switch upstream que se conecta ao AP está configurada como uma porta de tronco (trunk) e permite as VLANs marcadas. Uma porta de switch em modo de acesso descartará quadros marcados silenciosamente, deixando o cliente sem um endereço IP.

A autenticação RADIUS expira (timeout). Confirme se as portas UDP 1812 e 1813 estão abertas para saída no firewall de borda. Verifique se o segredo compartilhado na configuração da Alta Labs corresponde exatamente ao valor nas configurações de local da Purple - uma diferença de um único caractere fará com que todas as solicitações de autenticação falhem.

A atribuição dinâmica de VLAN coloca os usuários na VLAN errada. Defina a VLAN padrão no SSID 802.1X como VLAN 1. Se a VLAN padrão for definida para um valor específico, o AP poderá substituir a VLAN atribuída pelo RADIUS. Este é um comportamento em nível de firmware confirmado no fórum da comunidade Alta Labs.

ROI e impacto nos negócios

A implantação do hardware da Alta Labs com o Purple Guest WiFi oferece retornos mensuráveis em três dimensões: eficiência operacional, captura de dados e postura de segurança.

Do lado operacional, a consolidação de múltiplos SSIDs em uma única rede gerenciada pelo AltaPass reduz a sobrecarga de gerenciamento e melhora o desempenho sem fio. Menos SSIDs significam menos sobrecarga de quadros de beacon, o que se traduz diretamente em maior taxa de transferência (throughput) para todos os dispositivos conectados.

Do lado dos dados, o Captive Portal da Purple captura dados primários verificados a cada login. Os locais que usam os planos Capture e Engage da Purple relatam um aumento de 40% nas adesões à base de dados de marketing em comparação com o WiFi de convidados não gerenciado (dados internos da Purple). Esses dados falimenta diretamente o WiFi Analytics , oferecendo às equipes de marketing visibilidade sobre padrões de fluxo de pessoas, tempo de permanência e taxas de visitas recorrentes.

No aspecto de segurança, a atribuição dinâmica de VLAN isola o tráfego de convidados, funcionários e IoT na borda. Combinada com a infraestrutura certificada ISO 27001 da Purple e o tratamento de dados em conformidade com a GDPR, essa arquitetura atende aos requisitos de segmentação de rede PCI DSS para locais que processam pagamentos com cartão.

Para implantações em hotelaria especificamente, a combinação de splash pages personalizadas, integrações com programas de fidelidade e controles de largura de banda por dispositivo cria uma experiência diferenciada para o convidado sem adicionar complexidade para a equipe de operações de rede.

Para ambientes de varejo , a capacidade de segmentar terminais de PDV do WiFi de convidados na mesma infraestrutura física — usando regras de bypass AltaPass — elimina a necessidade de cabeamento ou hardware separados, reduzindo tanto as despesas de capital quanto as operacionais.

Guias relacionados: Integração do Arista Cognitive Wi-Fi com o Purple WiFi | Configuração de Walled Garden para WiFi de Convidados

Definições principais

Captive portal

Uma página da web que intercepta o tráfego de rede não autenticado e exige que o usuário interaja - faça login, aceite os termos ou pague - antes de conceder acesso à internet. O Purple hospeda a splash page na nuvem; o AP do Alta Labs lida com o redirecionamento.

O principal mecanismo para captura de dados de visitantes em implantações de WiFi em hotelaria, varejo e setor público.

Walled garden

Uma lista definida de domínios e endereços IP que um dispositivo cliente pode acessar antes de concluir a autenticação do captive portal. Tudo fora da lista é bloqueado até que o usuário faça login.

Crítico para permitir que APIs de login social, testes de detecção de SO e ativos de CDN do portal funcionem antes que a autenticação seja concluída.

PPSK (Private Pre-Shared Key)

Um método de segurança no qual várias senhas exclusivas podem ser usadas em um único SSID, com cada senha atribuindo o dispositivo de conexão a uma VLAN específica, política de largura de banda e cronograma de acesso.

O Alta Labs implementa isso como AltaPass. Usado em MDUs, escritórios inteligentes e estádios para fornecer acesso isolado sem proliferação de SSIDs.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e tarifação (AAA). O Purple atua como o servidor RADIUS; o AP do Alta Labs atua como o cliente RADIUS.

O mecanismo que informa ao AP que um visitante foi autenticado com sucesso e deve receber acesso à internet.

Identity-Based Networking

Uma rede arquitetada onde direitos de acesso, VLANs e limites de largura de banda são aplicados com base na identidade autenticada do usuário ou dispositivo, em vez da porta física ou SSID ao qual eles se conectam.

Termo do Purple para a combinação de atribuição de RADIUS, PPSK e VLAN que permite políticas consistentes em uma propriedade distribuída.

Dynamic VLAN assignment

O processo de colocar um dispositivo cliente em uma Rede Local Virtual (VLAN) específica com base nas credenciais de autenticação retornadas por um servidor RADIUS, em vez de um mapeamento estático de SSID para VLAN.

Essencial para isolar o tráfego de funcionários, visitantes e IoT em uma infraestrutura sem fio compartilhada. Requer atributos RADIUS corretos: Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

O mecanismo integrado do sistema operacional no iOS, Android e Windows que detecta um captive portal testando uma URL conhecida. Se o teste for redirecionado, o sistema operacional inicia um pseudo-navegador para o usuário fazer login.

Se os domínios de teste do CNA estiverem bloqueados no walled garden, o usuário nunca verá a splash page. Este é o modo de falha de captive portal mais comum.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Um padrão que criptografa dados em trânsito em redes abertas sem exigir uma senha, protegendo a privacidade dos visitantes e, ao mesmo tempo, permitindo o redirecionamento do captive portal.

O modo de segurança recomendado para SSIDs de visitantes em 2026. Fornece criptografia sem o atrito de uma chave pré-compartilhada.

AltaPass

A implementação com patente pendente da tecnologia de SSID com múltiplas senhas da Alta Labs. Permite que um único SSID carregue senhas exclusivas ilimitadas, cada uma com sua própria VLAN, limite de largura de banda, cronograma e configuração de desvio de hotspot (hotspot bypass).

A principal ferramenta para segmentação multi-tenant no hardware Alta Labs. Substitui a necessidade de múltiplos SSIDs em implantações residenciais, de hotelaria e escritórios inteligentes.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer acesso WiFi em camadas: uma camada básica gratuita (10 Mbps) para hóspedes padrão, uma camada paga premium (50 Mbps) para membros do programa de fidelidade e uma rede segura para a equipe de governança. Eles querem evitar a transmissão de múltiplos SSIDs para manter o desempenho de RF em 40 unidades Alta Labs AP6 Pro.

Implante um único SSID chamado 'Hotel Guest WiFi' com o AltaPass ativado. Crie três perfis de senha no painel do Alta Labs: (1) uma senha de hóspede padrão atribuída à VLAN 10 com limite de download de 10 Mbps e redirecionamento de hotspot externo para a splash page do Purple; (2) uma senha de membro de fidelidade atribuída à VLAN 20 com limite de 50 Mbps - o Purple pode distribuir essa senha pós-autenticação por meio de sua automação de marketing; (3) uma senha para a equipe de governança atribuída à VLAN 30 com limite de largura de banda ilimitado, desvio de hotspot (hotspot bypass) ativado e isolamento de cliente desativado para que os dispositivos da equipe possam se comunicar com os sistemas internos. Configure os uplinks do switch como trunks permitindo as VLANs 10, 20 e 30. As VLANs de hóspedes e fidelidade roteiam para a internet via NAT. A VLAN da equipe roteia para a sub-rede do sistema de gerenciamento de propriedade (PMS).

Comentário do examinador: Essa abordagem usa o AltaPass para obter Redes Baseadas em Identidade (Identity-Based Networking) sem a proliferação de SSIDs. O ponto principal é que o desvio de hotspot (hotspot bypass) é uma configuração por senha, não por SSID. Isso permite que o mesmo SSID atenda simultaneamente a hóspedes do captive portal e à equipe com desvio ativado. A distribuição da camada de fidelidade por meio do fluxo pós-autenticação do Purple é um padrão comum na hotelaria - o hóspede faz login na camada padrão e o mecanismo de marketing do Purple envia um código de acesso premium se ele atender aos critérios de fidelidade.

Uma rede de varejo está implantando o Purple Guest WiFi em 50 lojas usando hardware Alta Labs. Durante os testes, a splash page carrega corretamente em dispositivos Android, mas os dispositivos Apple iOS mostram um erro genérico de 'Sem Conexão com a Internet' e não exibem a tela de login. O walled garden inclui o domínio do portal Purple e entradas do Google OAuth.

Adicione captive.apple.com ao walled garden na configuração de Hotspot do Alta Labs. O iOS usa esse domínio como seu teste do Assistente de Rede Cativa (Captive Network Assistant). Quando o dispositivo se conecta a uma nova rede, o iOS envia uma solicitação HTTP para captive.apple.com. Se receber a resposta esperada, ele assume que a rede está aberta. Se receber um redirecionamento, ele inicia o pseudo-navegador. Se o domínio estiver totalmente bloqueado, o iOS não conseguirá detectar o captive portal e exibirá um erro de conectividade. Assim que o domínio for incluído na lista de permissões (whitelist), os dispositivos iOS detectarão o redirecionamento e iniciarão a tela de login automaticamente.

Comentário do examinador: Este é o modo de falha de captive portal mais comum em campo. O Android usa connectivitycheck.gstatic.com e o Windows usa msftconnecttest.com para a mesma finalidade. Todos os três devem estar no walled garden para uma implantação multiplataforma. A falha é particularmente confusa porque se apresenta como um erro de conectividade de rede em vez de um erro de portal, levando os engenheiros a investigar o DHCP e o DNS antes de verificar o walled garden.

Questões práticas

Q1. Você está implantando pontos de acesso Alta Labs AP6 Pro em um centro de conferências. O cliente exige um captive portal para os participantes, mas também precisa que os terminais de ponto de venda (PDV) se conectem com segurança aos mesmos pontos de acesso sem exibir a splash page. Ambos os tipos de dispositivos devem usar o mesmo SSID para simplificar a sinalização. Como você configura isso?

Dica: O AltaPass permite configurações de desvio de hotspot (hotspot bypass) por senha no mesmo SSID.

Ver resposta modelo

Ative o AltaPass no único SSID. Crie uma senha para os terminais de PDV que os atribua a uma VLAN segura (por exemplo, VLAN 50) com o desvio de hotspot (hotspot bypass) ativado - esses dispositivos se conectam diretamente à rede sem ver o captive portal. Crie uma senha separada (ou use uma conexão aberta) para os participantes que acione o redirecionamento externo para a splash page do Purple na VLAN 10. Ambos os tipos de dispositivos se conectam ao mesmo SSID, mas recebem políticas de rede diferentes com base em suas senhas.

Q2. Após configurar o captive portal do Purple em uma rede Alta Labs, os dispositivos Android exibem com sucesso a splash page, mas os dispositivos Apple iOS mostram um erro genérico de 'Sem Conexão com a Internet' e não abrem a tela de login. O walled garden inclui o domínio do portal Purple e as entradas do Google OAuth. Qual é a causa mais provável e a solução?

Dica: O iOS usa um domínio específico para detectar captive portals. Se não conseguir alcançar esse domínio, ele assume que a rede não tem acesso à internet.

Ver resposta modelo

O walled garden está sem o captive.apple.com. O iOS envia um teste HTTP para esse domínio ao se conectar a uma nova rede. Se o teste for bloqueado, o iOS não conseguirá detectar o captive portal e exibirá um erro de conectividade em vez de iniciar o Assistente de Rede Cativa (Captive Network Assistant). Adicione captive.apple.com ao walled garden na configuração de Hotspot do Alta Labs. Adicione também connectivitycheck.gstatic.com para o Android e msftconnecttest.com para o Windows para garantir a compatibilidade multiplataforma.

Q3. Um diretor de TI de um estádio configurou VLANs atribuídas por RADIUS em uma rede de funcionários Alta Labs 802.1X. O servidor RADIUS está enviando o atributo Tunnel-Private-Group-Id correto (VLAN 20), mas todos os dispositivos dos funcionários estão caindo na VLAN 5, que é a VLAN padrão configurada no SSID. O que está causando isso e como você resolve?

Dica: Existe um comportamento conhecido no firmware do Alta Labs relacionado à interação entre a VLAN padrão do SSID e as VLANs atribuídas por RADIUS.

Ver resposta modelo

O AP do Alta Labs está substituindo a VLAN atribuída pelo RADIUS pelo valor da VLAN padrão do SSID. Este é um comportamento conhecido do firmware: quando a VLAN padrão no SSID é definida para um valor específico (VLAN 5 neste caso), o AP usa esse valor em vez da VLAN retornada pelo RADIUS. A solução é definir a VLAN padrão no SSID 802.1X como VLAN 1 (ou deixá-la não marcada/untagged). Com o padrão definido como VLAN 1, o AP respeita corretamente a VLAN atribuída pelo RADIUS para cada usuário autenticado.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.

Ler o guia →