Integração de Roteadores e Pontos de Acesso DrayTek Vigor com Purple WiFi

Este guia fornece instruções técnicas passo a passo para integrar roteadores DrayTek Vigor e pontos de acesso VigorAP com a plataforma de nuvem da Purple. Ele cobre a configuração do Captive Portal DrayTek para Guest WiFi, autenticação 802.1X para Staff WiFi seguro, configuração de Walled Garden e configuração de Multiple PSK (PPSK) DrayTek para segmentação de rede Multi-Tenant com atribuição dinâmica de VLAN. Projetado para instaladores de TI e administradores de rede de PMEs que implantam a Purple em locais de hospitalidade, varejo e multi-tenant.

📖 10 min de leitura📝 2,500 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Integration Briefing. Hoje estamos analisando os roteadores DrayTek Vigor e os pontos de acesso VigorAP e, especificamente, como integrá-los com a Purple WiFi. Este briefing é para gerentes de TI e arquitetos de rede que implantam redes de convidados, funcionários e multi-tenant em locais de PMEs e de médio porte.

Vamos começar com o contexto. O hardware da DrayTek é incrivelmente popular no varejo, na hospitalidade e em unidades habitacionais multifamiliares porque oferece recursos robustos de roteamento, VPN e sem fio a um preço competitivo. Quando você combina um roteador DrayTek Vigor com a Purple, você transforma uma conexão de internet padrão em uma Rede Baseada em Identidade. A Purple tem mais de 80.000 locais ativos e processa 440 milhões de logins por ano. Nós trazemos o Captive Portal, os relatórios analíticos e a camada de segurança. A DrayTek fornece a infraestrutura de borda confiável.

Vamos entrar na análise técnica detalhada. Como realmente fazemos isso funcionar? O núcleo da integração depende da autenticação RADIUS e do redirecionamento externo do Captive Portal.

Primeiro, a configuração do Guest WiFi. Você configurará o roteador DrayTek Vigor como um gateway de Hotspot Web Portal. Na interface do DrayOS, em Applications e RADIUS, você adiciona o IP do servidor RADIUS da Purple e o segredo compartilhado. Em seguida, em Hotspot Web Portal, você define o Portal Method como External Server e cola sua URL de acesso específica da Purple. O roteador DrayTek intercepta o tráfego de convidados, redireciona-o para a sobreposição de nuvem da Purple para autenticação e, em seguida, usa o RADIUS para conceder o acesso.

Uma etapa crítica aqui é o Walled Garden. Os convidados precisam alcançar os servidores da Purple antes de serem autenticados. Você deve configurar a guia Destination Domain no perfil de Hotspot da DrayTek para permitir o tráfego para os domínios de autenticação da Purple. Se você esquecer isso, a splash page simplesmente não carregará. Este é um dos erros mais comuns durante a implantação inicial.

Agora, e quanto ao Staff WiFi? Para acesso seguro da equipe, você não usa um Captive Portal. Você usa a autenticação 802.1X, que é o padrão IEEE para controle de acesso à rede baseado em porta. Nas configurações de Wireless LAN Security da DrayTek, você seleciona WPA2 barra 802.1X e aponta para o servidor RADIUS da Purple. Os dispositivos da equipe se autenticam perfeitamente usando PEAP e MS-CHAPv2. Isso elimina totalmente as senhas compartilhadas e permite revogar o acesso instantaneamente quando um funcionário sai. Não há necessidade de alterar a senha em todo o local.

Vamos falar sobre ambientes Multi-Tenant. Pense em acomodações estudantis, espaços de coworking ou concessões de varejo. Você precisa de segmentação de rede. A DrayTek lida com isso com VLANs e Multiple PSK, também conhecido como PPSK ou Private Pre-Shared Key. Você configura as VLANs no roteador DrayTek. Por exemplo, VLAN 10 para Guests, VLAN 20 para Staff e VLAN 30 para Tenants. Usando o recurso WPA2-PPSK da DrayTek nos VigorAPs, cada inquilino recebe uma senha exclusiva. Quando eles se conectam, o ponto de acesso vincula essa senha ao seu endereço MAC e os coloca em sua VLAN isolada. Isso significa que um inquilino de cafeteria no térreo de um hotel não consegue ver a rede interna do hotel, mesmo compartilhando o mesmo ponto de acesso físico.

La atribuição dinâmica de VLAN leva isso ainda mais longe. O servidor RADIUS da Purple pode retornar atributos RADIUS específicos quando um usuário se autentica. Esses são os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O roteador DrayTek lê esses valores e atribui dinamicamente o cliente autenticado à VLAN correta. Isso é Rede Baseada em Identidade na prática: a rede se adapta à identidade do usuário, e não o contrário.

Passando para as Recomendações de Implantação e Armadilhas.

Recomendação um: Sempre use um backhaul cabeado para seus VigorAPs. Sistemas de distribuição sem fio, ou repetidores universais, não conseguem passar as tags VLAN 802.1Q necessárias para uma segmentação de rede adequada. Se você deseja uma rede de convidados isolada de sua LAN interna, precisa dessas tags VLAN intactas, e isso significa um cabo Ethernet físico de cada ponto de acesso de volta ao roteador DrayTek ou a um switch gerenciado.

Recomendação dois: Ative o AP-Assisted Mobility nos VigorAPs. Esse recurso desassocia de forma inteligente os clientes com sinal fraco, forçando-os a fazer roaming para um ponto de acesso mais próximo. Ele resolve o problema de 'sticky client' que afeta muitas implantações de PMEs. Em um ambiente de varejo, um cliente que caminha da frente da loja para os fundos deve fazer a transição perfeita entre os pontos de acesso. Sem o AP-Assisted Mobility, seu dispositivo pode se prender ao ponto de acesso frontal, mesmo quando o sinal estiver fraco.

Recomendação três: Planeje seu esquema de numeração de VLAN antes de começar. Alterar os IDs de VLAN após a implantação exige a reconfiguração do roteador, de todos os pontos de acesso e, potencialmente, de quaisquer switches gerenciados no caminho. Documente seu esquema claramente.

A maior armadilha? Esquecer de reiniciar o roteador DrayTek após aplicar as configurações de RADIUS e Hotspot. O DrayOS requer uma reinicialização para aplicar essas alterações específicas. Se você pular essa etapa, passará horas solucionando problemas de uma configuração que na verdade está correta, mas simplesmente ainda não está ativa. Isso está documentado no guia de suporte oficial da Purple para hardware DrayTek.

Vamos para um perguntas e respostas rápido.

Pergunta: Posso usar o servidor RADIUS interno do roteador Vigor?
Resposta: Você pode para autenticação 802.1X local, mas para a integração com a Purple, você deve usar os servidores RADIUS externos da Purple. É isso que permite o gerenciamento centralizado de políticas e os relatórios analíticos que a Purple fornece.

Pergunta: A DrayTek suporta direcionamento dinâmico de VLAN via RADIUS?
Resposta: Sim. O servidor RADIUS da Purple retorna os atributos Tunnel-Type e Tunnel-Private-Group-ID na autenticação. O roteador DrayTek lê esses atributos e atribui dinamicamente o cliente à VLAN correta.

Pergunta: O que acontece se o dispositivo iOS de um usuário usar um endereço MAC privado com o PPSK?
Resposta: A autenticação falhará. O perfil PPSK se vincula a um endereço MAC específico. Você deve instruir os usuários a desativar o Endereço Wi-Fi Privado para sua rede específica nas configurações do iOS para garantir uma conectividade estável.

Pergunta: Quais modelos DrayTek são suportados com a Purple?
Resposta: Os modelos atualmente suportados incluem as séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Verifique a documentação de suporte da Purple para obter a lista mais recente.

Para resumir. DrayTek e Purple juntas oferecem controle de rede de nível empresarial a preços acessíveis para PMEs. Você usa o Hotspot Web Portal para convidados, 802.1X para funcionários e PPSK com VLANs para inquilinos. Planeje suas VLANs com cuidado, configure seus Walled Gardens e sempre reinicie após aplicar as configurações de RADIUS. Use backhaul cabeado para seus pontos de acesso, ative o AP-Assisted Mobility e planeje a randomização de MAC em dispositivos iOS.

Obrigado por ouvir este briefing técnico. Configure seu hardware e nos vemos na plataforma Purple.

Principais conclusões

✓Os roteadores DrayTek Vigor usam o recurso Hotspot Web Portal com o modo External Server para redirecionar o tráfego de convidados para a splash page hospedada na nuvem da Purple para captura de dados em conformidade com a GDPR.
✓O Walled Garden (guia Dest Domain) deve listar todos os domínios de autenticação da Purple antes da implantação — entradas ausentes são a causa mais comum de falhas na splash page.
✓O Staff WiFi deve usar segurança WPA2/802.1X Enterprise, autenticando contra o servidor RADIUS da Purple, para eliminar senhas compartilhadas e permitir a revogação instantânea de acesso por usuário.
✓Ambientes multi-tenant usam DrayTek WPA2-PPSK nos VigorAPs para atribuir senhas exclusivas por inquilino, marcando dinamicamente o tráfego em VLANs isoladas no roteador Vigor.
✓Todos os VigorAPs devem se conectar ao roteador via Ethernet cabeada — os modos de repetidor sem fio removem as tags VLAN 802.1Q e quebram a segmentação de rede.
✓O DrayOS requer a reinicialização do roteador para aplicar quaisquer alterações nas configurações de RADIUS ou do Hotspot Web Portal — esta é uma etapa obrigatória, não opcional.
✓Ative o AP-Assisted Mobility nos VigorAPs para evitar o comportamento de 'sticky client' e garantir sessões estáveis do Captive Portal à medida que os usuários se movem pelo local.

Resumo executivo

Os roteadores DrayTek Vigor e pontos de acesso VigorAP são implantados em dezenas de milhares de locais de PMEs, varejo e hospitalidade em todo o Reino Unido e Europa. Quando integrado com a sobreposição de nuvem da Purple, este hardware se torna a base de uma Rede Baseada em Identidade — capturando dados primários, protegendo recursos internos e segmentando o tráfego multi-tenant, tudo a partir de uma única plataforma.

Este guia cobre quatro cenários de implantação: Guest WiFi com uma splash page personalizada e autenticação RADIUS, Staff WiFi seguro usando IEEE 802.1X Enterprise, configuração de Walled Garden para permitir tráfego de pré-autenticação e WiFi Multi-Tenant usando o recurso WPA2-PPSK da DrayTek com atribuição dinâmica de VLAN. A Purple opera em mais de 80.000 locais ativos com 99,999% de tempo de atividade e possui certificações ISO 27001, GDPR e Cyber Essentials — de modo que os requisitos de segurança e conformidade que seu local enfrenta já estão integrados à plataforma.

Os modelos DrayTek suportados incluem as séries Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 e 3910. Todos os pontos de acesso VigorAP gerenciados via Central AP Management (APM) são compatíveis com esta integração.

Análise técnica detalhada

Como funciona a integração

A integração entre DrayTek e Purple depende de dois mecanismos funcionando em conjunto: redirecionamento externo do Captive Portal e autenticação RADIUS (Remote Authentication Dial-In User Service). A Purple atua como o provedor de identidade e mecanismo de políticas centralizado. O roteador DrayTek Vigor atua como o Servidor de Acesso à Rede (NAS), aplicando as decisões de acesso retornadas pelos servidores RADIUS da Purple.

Quando um convidado se conecta ao SSID de WiFi, o roteador DrayTek coloca o dispositivo em um estado de pré-autenticação. Ele intercepta o tráfego HTTP do dispositivo e o redireciona para a splash page hospedada na nuvem da Purple por meio do recurso Hotspot Web Portal no DrayOS. O usuário conclui o fluxo de login na plataforma da Purple — usando login social, e-mail, SMS ou um provedor de identidade gerenciado, como Microsoft Entra ID, Okta ou Google Workspace. O servidor RADIUS da Purple retorna uma mensagem Access-Accept para o roteador DrayTek, que concede acesso à internet e inicia a bilhetagem (accounting) RADIUS na porta 1813.

Guest WiFi e o Captive Portal DrayTek

O Hotspot Web Portal da DrayTek é o mecanismo principal para autenticação de convidados. No DrayOS, você configura um Perfil de Hotspot que define o método do portal, o servidor de autenticação, os limites de sessão e a página de destino. Definir o Portal Method como External Server instrui o DrayOS a redirecionar clientes não autenticados para uma URL externa — neste caso, sua URL de acesso da Purple — em vez de exibir uma página hospedada localmente.

A configuração do RADIUS dentro do Perfil de Hotspot aponta para o IP do servidor RADIUS da Purple na porta 1812 para autenticação e na porta 1813 para bilhetagem. O segredo compartilhado deve corresponder exatamente ao que é exibido no painel do seu local na Purple. Uma divergência aqui é a causa mais comum de falhas de autenticação.

O gerenciamento de sessão é controlado pela configuração Expired Time After Activation. Para a maioria das implantações de hospitalidade e varejo, seis horas é um padrão prático. Você pode alinhar isso com o tempo limite de sessão da Purple para garantir um comportamento consistente em ambos os sistemas.

Configuração de Walled Garden

Antes de um convidado se autenticar, seu dispositivo não tem acesso à internet. No entanto, o dispositivo deve ser capaz de alcançar os servidores da Purple para carregar a splash page. O Walled Garden — configurado por meio da guia Dest Domain no Perfil de Hotspot da DrayTek — define quais domínios estão acessíveis antes da autenticação.

Você deve adicionar os domínios de autenticação da Purple a esta lista, um por índice. If você estiver usando provedores de login social (como Google ou Facebook) ou um provedor de identidade gerenciado como o Microsoft Entra ID, os domínios deles também devem ser incluídos. A falha ao configurar o Walled Garden corretamente é o motivo mais comum para um Captive Portal DrayTek não exibir a splash page. A documentação de suporte da Purple fornece a lista atual de domínios necessários para cada método de login.

Staff WiFi seguro usando 802.1X

Para a equipe interna, um Captive Portal é a ferramenta errada. Senhas WPA2 compartilhadas são um risco de segurança: quando um funcionário sai, você deve atualizar a senha em todos os dispositivos. A autenticação IEEE 802.1X Enterprise elimina totalmente esse problema.

No DrayOS, navegue até Wireless LAN > Security e selecione WPA2/802.1X para o SSID da sua equipe. Clique no link RADIUS Server e insira o IP do servidor, a porta e o segredo compartilhado da Purple. Os dispositivos da equipe se autenticam usando PEAP (Protected Extensible Authentication Protocol) com MS-CHAPv2 como o método interno. Esta é a configuração necessária para dispositivos Windows, macOS, iOS e Android que se conectam a uma rede sem fio corporativa.

A Purple revoga o acesso no nível de identidade. Quando um funcionário sai, você desativa a conta dele no seu provedor de identidade (Microsoft Entra ID, Okta ou Google Workspace). O servidor RADIUS da Purple interrompe imediatamente a aceitação de solicitações de autenticação daquela conta. Nenhuma alteração de senha é necessária em todo o local.

Para saber mais sobre arquitetura de segurança sem fio corporativa, consulte nosso Enterprise WiFi Security: A Complete Guide for 2026 .

Segmentação de rede Multi-Tenant com Multiple PSKs da DrayTek

Ambientes multi-tenant — hotéis com restaurante ou espaço de varejo arrendados, espaços de coworking, acomodações estudantis e empreendimentos build-to-rent — exigem isolamento estrito de rede entre os inquilinos. Um cliente em uma unidade de concessão não deve conseguir alcançar a rede interna do hotel, e dois inquilinos de varejo não devem conseguir ver o tráfego um do outro.

DrayTek enderesses isso com dois recursos complementares: marcação de VLAN e WPA2-PPSK (Private Pre-Shared Key).

A configuração de VLAN no roteador Vigor atribui cada locatário a uma rede lógica separada. Navegue até LAN > VLAN, habilite a Configuração de VLAN (VLAN Configuration) e atribua um ID de VLAN exclusivo para cada segmento de locatário. Todas as portas LAN que se conectam aos VigorAPs devem ser membros de todas as VLANs relevantes, operando efetivamente como portas de tronco 802.1Q. A Tabela de Roteamento Inter-LAN (Inter-LAN Routing Table) em LAN > Configuração Geral (General Setup) controla se o tráfego pode cruzar entre VLANs - para isolamento de locatários, isso deve ser desabilitado.

O WPA2-PPSK no VigorAP atribui uma senha exclusiva para cada locatário. O ponto de acesso vincula essa senha ao endereço MAC do dispositivo. Quando um dispositivo se conecta, o AP identifica a senha usada e marca o tráfego com o ID de VLAN correspondente. Isso permite que um único SSID atenda a várias redes de locatários isoladas simultaneamente, reduzindo a sobrecarga sem fio e simplificando a experiência do usuário final.

Atribuição dinâmica de VLAN via RADIUS

Para implantações onde a atribuição de VLAN deve ser orientada pela identidade do usuário em vez de uma senha estática, o servidor RADIUS da Purple suporta o direcionamento dinâmico de VLAN. Quando um usuário se autentica, a Purple retorna três atributos RADIUS na mensagem Access-Accept:

Atributo RADIUS	Valor
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	ID da VLAN (ex: "20")

O roteador DrayTek lê esses atributos e atribui o cliente autenticado à VLAN especificada, independentemente de qual SSID ele se conectou. Isso é Rede Baseada em Identidade (Identity-Based Networking): o segmento de rede é determinado por quem o usuário é, não por qual senha ele digitou.

Guia de implementação

Lista de verificação pré-implantação

Antes de começar, confirme o seguinte:

Item	Requisito
Firmware DrayTek	Versão mais recente e estável do DrayOS
Local da Purple	Criado e ativo no painel da Purple
Credenciais RADIUS	URL de acesso, IP do servidor RADIUS, segredo compartilhado, identificador NAS obtido da Purple
Plano de VLAN	IDs de VLAN documentados para Guest, Staff e cada locatário
Backhaul do VigorAP	Ethernet cabeada confirmada para todos os pontos de acesso

Passo 1: Configurar o RADIUS no roteador DrayTek

Navegue até Applications > RADIUS/TACACS+ na interface web do DrayOS. Na guia External RADIUS, habilite o perfil e insira o endereço IP do servidor RADIUS da Purple, a porta (1812) e o segredo compartilhado. Clique em OK para salvar. O roteador requer uma reinicialização para aplicar essa alteração - não pule esta etapa.

Passo 2: Criar o perfil do Hotspot Web Portal

Navegue até Hotspot Web Portal > Profile Setup e selecione um índice disponível. Configure o perfil da seguinte forma:

Configuração	Valor
Enable this profile	Yes
Portal Method	External Server
Captive Portal URL	Sua URL de acesso da Purple
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	IP do servidor RADIUS da Purple
Destination Port	1812
Shared Secret	Seu segredo compartilhado da Purple
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

Clique em OK para salvar.

Passo 3: Configurar o Walled Garden

Clique em Save and Next para prosseguir para a guia Dest Domain. Adicione cada domínio obrigatório da Purple, um por índice. Consulte a Lista de Permissões de Domínios do Walled Garden da Purple na documentação de suporte para obter a lista atual. Clique em Save and Next para continuar.

Passo 4: Configurar as definições de sessão e página de destino

Na tela de configuração final, defina:

Configuração	Valor
Expired Time After Activation	0 dias, 6 horas, 0 min (ou sua duração de preferência)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	Sua URL de redirecionamento da Purple
Applied Interfaces	Selecione o(s) SSID(s) de WiFi de Guest

Clique em Finish para salvar. Reinicie o roteador antes de testar.

Passo 5: Configurar VLANs para segmentação de rede

Navegue até LAN > VLAN e habilite a Configuração de VLAN. Crie uma entrada de VLAN para cada segmento de rede. Atribua todas as portas LAN que se conectam aos VigorAPs como membros de todas as VLANs relevantes (configuração de tronco). Navegue até LAN > General Setup e use a Tabela de Roteamento Inter-LAN para bloquear o acesso entre VLANs onde for necessário.

Passo 6: Configurar 802.1X para o WiFi de Staff

Navegue até Wireless LAN > Security e selecione o SSID de Staff. Defina o modo de segurança como WPA2/802.1X. Clique no link RADIUS Server e insira o IP do servidor da Purple, a porta 1812 e o segredo compartilhado. Salve a configuração.

Passo 7: Configurar PPSK para isolamento de múltiplos locatários

Em cada VigorAP, navegue até Wireless LAN > Security Settings e selecione WPA2PPSK. Clique no botão PPSK para adicionar entradas. Para cada locatário, crie uma entrada PPSK com o endereço MAC do dispositivo do locatário e uma senha exclusiva. Certifique-se de que a senha esteja associada à VLAN correta na configuração do seu roteador. Observe que os perfis PPSK para 2,4 GHz e 5 GHz são gerenciados separadamente nos VigorAPs.

Melhores práticas

As recomendações a seguir refletem a experiência de implantação da Purple em mais de 80.000 locais, incluindo ambientes de hotelaria , varejo , saúde e transporte .

Use backhaul cabeado para todos os VigorAPs. Sistemas de Distribuição Sem Fio (WDS) e modos de repetidor universal não conseguem passar tags de VLAN 802.1Q. Se você precisa de segmentação de rede — e em qualquer local multi-locatário ou de uso misto você precisa —, cada ponto de acesso deve se conectar ao roteador ou a um switch gerenciado via Ethernet.

Habilite a Mobilidade Assistida por AP. Os DrayTek VigorAPs suportam Pré-Autenticação e Cache PMK para acelerar a reautenticação 802.1X quando um cliente faz roamingentre pontos de acesso. Ative o AP-Assisted Mobility para desassociar ativamente clientes com sinal fraco, forçando-os a se conectar ao AP mais próximo. Isso é particularmente importante em ambientes de varejo onde os clientes se movem continuamente pelo espaço.

Planeje seu esquema de VLAN antes da implantação. Alterar IDs de VLAN após a implantação exige a reconfiguração do roteador, de todos os pontos de acesso e de quaisquer switches gerenciados no caminho. Documente seu esquema — VLAN 10 para Guest, VLAN 20 para Staff, VLAN 30+ para inquilinos — antes de tocar no hardware.

Alinhe os limites de tempo de sessão (session timeouts) entre a DrayTek e a Purple. Se o perfil de Hotspot da DrayTek expirar uma sessão após seis horas, mas a sessão da Purple estiver configurada para 24 horas, os usuários serão redirecionados para a splash page no meio da sessão. Defina ambos com o mesmo valor.

Desative a randomização de MAC para implantações PPSK. Dispositivos iOS e macOS usam Endereços de WiFi Privados (MACs randomizados) por padrão. Como o PPSK da DrayTek vincula uma senha a um endereço MAC específico, a randomização causará falhas de autenticação. Instrua os usuários a desativar essa configuração em sua rede ou documente o processo claramente em seu fluxo de integração (onboarding).

Use Band Steering nos VigorAPs. Ative o Band Steering para direcionar dispositivos compatíveis com dual-band para a banda de 5GHz. Isso reduz o congestionamento na banda de 2,4GHz e melhora o rendimento (throughput) de todos os dispositivos conectados.

Para uma visão mais ampla da arquitetura de segurança sem fio corporativa, consulte nosso guia sobre Segurança de WiFi Corporativo: Um Guia Completo para 2026 . Se você estiver implantando em vários locais com diferentes fornecedores de hardware, nosso guia de Integração do SonicWall TZ e SonicWave com a Purple WiFi aborda um padrão de integração comparável.

Solução de problemas e mitigação de riscos

A splash page não carrega. A causa mais comum é um Walled Garden incompleto. Verifique se todos os domínios obrigatórios da Purple estão listados na guia Dest Domain. Confirme também se o pool DHCP de visitantes está ativo e se a resolução de DNS está funcionando para clientes pré-autenticados. Teste conectando um dispositivo e tentando navegar para uma URL HTTP conhecida.

A autenticação RADIUS falhou. Verifique se há erros de digitação no segredo compartilhado (shared secret) — ele diferencia maiúsculas de minúsculas. Confirme se o roteador DrayTek tem uma rota para a internet e não está bloqueando o tráfego UDP de saída nas portas 1812 e 1813. Verifique se você reiniciou o roteador após aplicar a configuração do RADIUS. Verifique o painel da Purple para ver os logs de autenticação e identificar se a solicitação está chegando aos servidores da Purple.

Clientes atribuídos à VLAN errada. Verifique a configuração da porta trunk entre o roteador DrayTek e os VigorAPs. As portas do switch devem permitir as tags de VLAN específicas. Se estiver usando um switch não gerenciado, confirme se ele transmite quadros marcados com 802.1Q sem remover as tags. Verifique o perfil PPSK para confirmar o mapeamento correto de senha para VLAN.

Clientes "sticky" não estão fazendo roaming. Se os dispositivos não estiverem fazendo roaming entre os VigorAPs conforme o esperado, verifique se o AP-Assisted Mobility está ativado e se o limite de RSSI está configurado adequadamente para o seu local. Confirme também se todos os VigorAPs estão executando a mesma versão de firmware, pois inconsistências podem afetar o comportamento de roaming.

Dispositivos iOS falhando na autenticação PPSK. Confirme se o usuário desativou o Endereço de WiFi Privado para sua rede específica em Ajustes > WiFi > [Nome da Rede] > Endereço de WiFi Privado. O perfil PPSK deve conter o endereço MAC de hardware real do dispositivo.

ROI e impacto nos negócios

A implantação do hardware DrayTek com a Purple oferece retornos mensuráveis em três áreas: eficiência operacional, captura de dados e conformidade.

Eficiência operacional. A autenticação 802.1X elimina a sobrecarga de gerenciar senhas de WiFi compartilhadas. Quando um membro da equipe sai, você desativa a conta dele no Microsoft Entra ID, Okta ou Google Workspace. O servidor RADIUS da Purple para de aceitar suas credenciais imediatamente. Não é necessária a rotação de senhas em todo o local. Para uma rede de varejo com 50 locais, isso por si só elimina centenas de horas de sobrecarga de TI por ano.

Captura de dados e ROI de marketing. Cada visitante que se conecta por meio do captive portal da Purple fornece uma identidade verificada — endereço de e-mail, número de telefone ou perfil de rede social. Esses dados primários (first-party data) alimentam diretamente a plataforma WiFi Analytics da Purple, onde você pode acompanhar o tempo de permanência, as taxas de visitas repetidas e o engajamento em campanhas. A Purple já coletou 29 bilhões de pontos de dados em sua rede. Os locais que usam o plano Engage da Purple relatam aumentos mensuráveis nas taxas de visitas repetidas por meio de comunicações direcionadas pós-visita.

Conformidade. A Purple possui certificação ISO 27001, conformidade com GDPR e CCPA, e certificação Cyber Essentials. O captive portal impõe opt-ins de escolha consciente, garantindo que a coleta de dados atenda aos requisitos do GDPR. A segmentação de VLAN isola os ambientes de cartões de pagamento do tráfego de visitantes, apoiando a conformidade com o PCI DSS. Para estabelecimentos de saúde, o isolamento da rede de pacientes e visitantes atende às diretrizes do NHS e do ICO sobre o manuseio de dados.

Para uma visão detalhada de como a Purple impulsiona a tomada de decisões baseada em análises em ambientes físicos, consulte nossa visão geral da plataforma WiFi Analytics .

Definições principais

Captive portal

Uma página web que intercepta o tráfego HTTP do usuário e exige interação — login, aceitação de termos ou envio de dados — antes de conceder acesso à rede.

O mecanismo que a Purple usa para capturar dados primários de convidados no Hotspot Web Portal da DrayTek. Configurado por meio do método de portal External Server no DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece autenticação, autorização e bilhetagem (AAA) centralizadas para acesso à rede.

O roteador DrayTek envia solicitações de autenticação para o servidor RADIUS da Purple na porta UDP 1812 e dados de bilhetagem (accounting) na porta 1813. O segredo compartilhado deve ser idêntico em ambos os lados.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta. Exige que os dispositivos se autentiquem com um servidor RADIUS antes de receberem acesso à rede.

Usado para Staff WiFi em hardware DrayTek. Elimina senhas compartilhadas e permite a revogação de acesso por usuário por meio do provedor de identidade.

VLAN

Virtual Local Area Network. Um segmento de rede lógico que isola o tráfego na Camada 2, mesmo quando os dispositivos compartilham a mesma infraestrutura física.

Usado em roteadores DrayTek Vigor para separar o tráfego de Guest, Staff e Tenant. Requer portas de tronco 802.1Q entre o roteador e os VigorAPs.

Walled Garden

Um conjunto de domínios ou intervalos de IP que usuários não autenticados podem acessar antes de concluir o fluxo do Captive Portal.

Configurado na guia Dest Domain do Perfil de Hotspot da DrayTek. Deve incluir os servidores de autenticação da Purple e quaisquer domínios de provedores de identidade usados para login.

PPSK

Private Pre-Shared Key. Um método de segurança no qual cada usuário ou dispositivo recebe uma senha exclusiva, em vez de compartilhar uma única senha de rede.

Usado em DrayTek VigorAPs para atribuir dispositivos multi-tenant a VLANs específicas. A senha é vinculada ao endereço MAC do dispositivo.

AP-Assisted Mobility

Um recurso do DrayTek VigorAP que monitora a força do sinal do cliente e desassocia ativamente os clientes abaixo de um limite de RSSI definido, incentivando-os a fazer roaming para um ponto de acesso mais próximo.

Crítico para implantações de varejo e hospitalidade onde os usuários se movem pelo local. Evita o comportamento de 'sticky client' que causa quedas de sessão do Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Um método EAP 802.1X que encapsula a troca de autenticação em um túnel TLS, protegendo as credenciais em trânsito.

O método EAP usado para Staff WiFi em hardware DrayTek. Combinado com MS-CHAPv2 como o método de autenticação interno para dispositivos Windows, macOS, iOS e Android.

Dynamic VLAN assignment

Um mecanismo no qual o servidor RADIUS retorna atributos de VLAN na mensagem Access-Accept, e o dispositivo de rede atribui automaticamente o cliente autenticado à VLAN especificada.

O servidor RADIUS da Purple retorna os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O roteador DrayTek aplica a atribuição de VLAN com base na identidade do usuário.

Exemplos práticos

Um hotel boutique de 150 quartos está implantando um roteador DrayTek Vigor 2865 com seis pontos de acesso VigorAP 903. Eles precisam fornecer Guest WiFi personalizado com captura de dados, Staff WiFi seguro para 40 funcionários e uma rede isolada para um restaurante arrendado no térreo. O gerente de TI do hotel nunca configurou o 802.1X antes.

O gerente de TI cria três VLANs no Vigor 2865: VLAN 10 para convidados (192.168.10.0/24), VLAN 20 para funcionários (192.168.20.0/24) e VLAN 30 para o restaurante (192.168.30.0/24). O roteamento inter-LAN é desativado entre todos os três segmentos. Todas as seis unidades VigorAP 903 são conectadas via Ethernet e gerenciadas por meio do Central AP Management no roteador. Três SSIDs são transmitidos: 'Hotel Guest' (VLAN 10, Hotspot Web Portal apontando para a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X apontando para o RADIUS da Purple) e 'Restaurant' (VLAN 30, WPA2-PPSK com uma senha específica para os dispositivos de PDV do restaurante). A entrada PPSK do restaurante vincula os endereços MAC dos PDVs à VLAN 30. O gerente de TI registra o tenant do Microsoft Entra ID do hotel com a Purple, permitindo que a equipe se autentique com suas credenciais corporativas existentes. O Walled Garden é configurado com todos os domínios necessários da Purple. Após reiniciar o roteador, o gerente de TI testa cada SSID e confirma a atribuição correta de VLAN por meio da tabela de concessão DHCP do roteador.

Comentário do examinador: Esta configuração separa corretamente três populações distintas de usuários usando o método de autenticação apropriado para cada uma. Os convidados usam um Captive Portal para captura de dados e consentimento em conformidade com a GDPR. A equipe usa 802.1X para acesso baseado em credenciais vinculado ao seu provedor de identidade existente, eliminando a necessidade de uma senha separada. O restaurante usa PPSK para isolar dispositivos de PDV sem exigir a configuração de cliente 802.1X em hardware headless. O backhaul cabeado garante que as tags VLAN sejam preservadas em todo o processo.

Uma rede de varejo com 80 lojas está enfrentando baixas taxas de conclusão do Captive Portal. Os relatórios analíticos mostram que 40% dos clientes que se conectam ao SSID de Guest WiFi nunca chegam à splash page. A rede usa roteadores DrayTek Vigor 2865 e pontos de acesso VigorAP 912C. O layout das lojas é grande, com pontos de acesso em ambas as extremidades do piso.

O administrador de rede investiga duas causas raiz. Primeiro, ele audita a configuração do Walled Garden em todos os 80 sites usando o VigorACS 3, a plataforma de gerenciamento central da DrayTek. Ele descobre que 23 sites não possuem dois dos domínios de autenticação exigidos pela Purple, fazendo com que a splash page expire para os clientes nessas redes. Ele atualiza os perfis de Hotspot centralmente via VigorACS 3. Segundo, ele ativa o AP-Assisted Mobility em todos os VigorAPs com um limite de RSSI de -75 dBm. Isso força os dispositivos dos clientes a fazer roaming para o AP mais próximo enquanto se movem pela loja, evitando o problema de 'sticky client' (cliente persistente) que fazia com que as sessões do Captive Portal caíssem no meio da autenticação. Após ambas as alterações, a taxa de conclusão do portal sobe de 60% para 89% em toda a rede de lojas.

Comentário do examinador: Este exemplo ilustra dois modos de falha distintos que se apresentam como baixas taxas de conclusão do portal. A configuração incorreta do Walled Garden impede totalmente o carregamento da splash page. O comportamento de 'sticky client' causa quedas de sessão no meio do fluxo. O gerenciamento central via VigorACS 3 é a abordagem correta para uma rede de vários sites — auditar manualmente 80 roteadores individualmente seria inviável. O AP-Assisted Mobility é o mecanismo específico da DrayTek que resolve o problema de roaming; depender de decisões de roaming do lado do cliente não é confiável em ambientes de varejo.

Questões práticas

Q1. Você configurou o Hotspot Web Portal da DrayTek e o apontou para a URL de acesso da Purple. As configurações de RADIUS estão corretas. No entanto, quando os clientes se conectam ao SSID de Guest WiFi, seus navegadores relatam um tempo limite de conexão (timeout) e a splash page nunca carrega. Qual é a causa mais provável e qual é o primeiro passo para diagnosticá-la?

Dica: Clientes em estado de pré-autenticação têm acesso à rede altamente restrito. Considere qual tráfego o roteador permite antes que a autenticação seja concluída.

Ver resposta modelo

A causa mais provável é uma configuração incompleta ou ausente do Walled Garden. O roteador DrayTek bloqueia todo o tráfego de clientes não autenticados, exceto para os domínios explicitamente listados na guia Dest Domain. Se os domínios de autenticação da Purple não estiverem listados, o navegador do cliente não conseguirá alcançar o servidor da splash page. O primeiro passo de diagnóstico é navegar até o Perfil de Hotspot, acessar a guia Dest Domain e verificar se todos os domínios exigidos pela Purple estão presentes. Faça o cruzamento de informações com a Lista de Permissões de Domínios do Walled Garden da Purple na documentação de suporte. Uma verificação secundária é confirmar se o DNS está resolvendo corretamente para clientes pré-autenticados.

Q2. Um espaço de coworking tem 12 empresas membros compartilhando um único DrayTek Vigor 2865 e quatro pontos de acesso VigorAP 912C. Cada empresa precisa ser isolada das outras, mas o gerente do local deseja transmitir apenas um SSID para evitar poluir a lista de WiFi nos dispositivos dos membros. Como você projeta essa arquitetura?

Dica: Considere como a DrayTek lida com senhas exclusivas em um único SSID e qual configuração adicional é necessária para impor o isolamento entre as empresas.

Ver resposta modelo

Configure o WPA2-PPSK nos VigorAPs com um único SSID. Crie 12 VLANs no Vigor 2865, uma para cada empresa. Para cada empresa, crie uma entrada PPSK que vincule uma senha exclusiva aos endereços MAC dos dispositivos dessa empresa e os atribua à sua VLAN dedicada. Desative o roteamento inter-VLAN na Tabela de Roteamento Inter-LAN para evitar o tráfego entre empresas. Os dispositivos de cada empresa se conectam ao mesmo SSID usando sua senha exclusiva, e o VigorAP os coloca automaticamente em sua VLAN isolada. Para empresas com vários dispositivos, cada dispositivo precisa de sua própria entrada PPSK com seu endereço MAC específico e a senha compartilhada da empresa.

Q3. Após uma atualização de firmware de rotina em um DrayTek Vigor 2865, os membros da equipe relatam que seus laptops não conseguem mais se conectar ao SSID de Staff WiFi. O SSID está visível, mas a autenticação falha. O Guest WiFi continua funcionando normalmente. Quais são as três causas mais prováveis e em que ordem você deve investigá-las?

Dica: O Guest WiFi usa um mecanismo de autenticação diferente do Staff WiFi. Isole qual camada da pilha 802.1X apresentou falha.

Ver resposta modelo

As três causas mais prováveis são: (1) A atualização de firmware redefiniu a configuração do servidor RADIUS para o SSID WPA2/802.1X — navegue até Wireless LAN > Security, confirme se o IP do servidor RADIUS e o segredo compartilhado ainda estão corretos e reinicie se fizer alguma alteração. (2) A atualização de firmware alterou o método EAP ou as configurações de porta RADIUS — verifique se a porta 1812 ainda está configurada e se o roteador consegue alcançar o servidor RADIUS da Purple nessa porta. (3) A atualização de firmware introduziu uma alteração de certificado que está fazendo com que a validação EAP-TLS falhe nos dispositivos clientes — verifique o painel da Purple em busca de entradas de log de autenticação para ver se as solicitações estão chegando ao servidor. Investigue nesta ordem: primeiro a configuração do RADIUS (mais comum após uma atualização de firmware), depois a conectividade de rede com o servidor RADIUS e, por fim, problemas de certificado ou método EAP.

Continue a ler esta série

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os access points Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Ele aborda a configuração de Captive Portal, autenticação de funcionários via 802.1X e direcionamento dinâmico de VLAN por PPSK para redes corporativas.

EnGenius Cloud Access Points Integration with Purple WiFi

Esta referência técnica detalha a integração passo a passo dos Access Points EnGenius Cloud e switches ECS com a plataforma de guest WiFi da Purple. Ela cobre o redirecionamento do guest Captive Portal por meio de uma splash page externa, configuração de Walled Garden, WiFi seguro para funcionários usando IEEE 802.1X e isolamento de rede multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Instaladores de TI e arquitetos de rede encontrarão sequências de configuração práticas, estudos de caso reais e uma estrutura de solução de problemas para implantar a Purple em parques de hardware EnGenius.