Integração do Cisco WLC e Catalyst com o Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia detalha a integração passo a passo do Cisco WLC e do Catalyst 9800 Wireless com a Purple, cobrindo o redirecionamento do Captive Portal do Guest WiFi via Central Web Authentication, WiFi seguro para funcionários usando 802.1X EAP-TLS e segmentação Multi-Tenant usando Cisco Identity Pre-Shared Keys (iPSK) com atribuição de VLAN dinâmica. Ele foi escrito para arquitetos de rede corporativa e diretores de segurança de TI que implantam infraestrutura Cisco em hotéis, varejo e grandes locais públicos.

📖 9 min de leitura📝 2,116 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje abordaremos um cenário definitivo de implantação para arquitetos de rede corporativa: a integração dos Cisco Wireless LAN Controllers e hardware Catalyst 9800 com a plataforma Purple WiFi. Se você gerencia a TI de uma rede de hotéis, de uma rede de varejo ou de um grande espaço público, sabe que depender de Pre-Shared Keys básicas é um risco de segurança inaceitável. Hoje, apresentaremos passo a passo a arquitetura para segmentar sua rede, proteger seus funcionários e transformar o seu WiFi de visitantes em um ativo orientado a dados.

Vamos estabelecer o contexto. Um ambiente sem fio corporativo deve lidar com três perfis distintos: Visitantes, Funcionários e dispositivos sem interface (Headless) ou de Locatários. Você não pode tratá-los da mesma forma e não pode transmitir vinte SSIDs diferentes para acomodá-los. A solução é uma infraestrutura unificada de hardware que aproveita diferentes mecanismos de autenticação em um único Cisco Catalyst 9800 Wireless LAN Controller.

Agora vamos mergulhar na arquitetura técnica. O primeiro nível é o Guest WiFi. O objetivo aqui é o acesso com o mínimo de atrito combinado com a captura de dados. Conseguimos isso usando um SSID aberto e Central Web Authentication, ou CWA. Quando um visitante se conecta, o Cisco WLC aplica uma lista de controle de acesso de pré-autenticação. Esse é o seu walled garden. Ele bloqueia o acesso geral à internet, mas permite o tráfego para os domínios da Purple e serviços essenciais. Quando o visitante tenta navegar, o WLC intercepta a requisição HTTP e o redireciona para a página de Captive Portal da Purple. Assim que ele se autentica, seja por meio de um formulário de cadastro, login social ou código de uso único, a Purple atua como o servidor RADIUS. Ela envia uma mensagem de Change of Authorization, conhecida como CoA, para o WLC. Isso move o cliente para uma VLAN de visitantes isolada e concede acesso à internet. Todo o fluxo é automatizado e cada login é registrado na plataforma de analytics da Purple.

O segundo nível é o Staff WiFi. Para dispositivos corporativos, exigimos autenticação 802.1X. Especificamente, EAP-TLS, que significa Extensible Authentication Protocol Transport Layer Security. Esse método usa certificados digitais instalados nos dispositivos corporativos por meio de sua plataforma de Mobile Device Management, seja ela o Microsoft Intune, Jamf ou outra solução. O WLC atua como o autenticador, passando mensagens EAP para o servidor RADIUS. Como usamos certificados, não há senhas para serem roubadas. Se um dispositivo for perdido ou um funcionário sair da empresa, você revoga o certificado. O acesso é encerrado instantaneamente, sem a necessidade de alterar uma senha global ou interromper o trabalho de qualquer outra pessoa. O EAP-TLS é o padrão ouro para a segurança corporativa.

O terceiro nível é o Wi-Fi Multi-Tenant ou IoT. Pense em lojistas de shoppings, membros de espaços de coworking ou sensores de edifícios inteligentes que não suportam 802.1X. Para isso, implantamos o Cisco Identity PSK, ou iPSK. Todos se conectam ao mesmo SSID, mas o servidor RADIUS atribui uma senha exclusiva e uma VLAN exclusiva para cada locatário com base em seu endereço MAC. Quando o dispositivo de um locatário se conecta, o WLC envia uma solicitação de autenticação MAC para o servidor RADIUS. O servidor retorna a PSK específica para aquele locatário como um atributo Cisco AV-Pair, junto com três atributos RADIUS IETF padrão para atribuir dinamicamente o cliente à VLAN correta. Esses atributos são: Tunnel-Type, configurado como VLAN; Tunnel-Medium-Type, configurado como 802; e Tunnel-Private-Group-ID, configurado como o ID da VLAN de destino. O WLC processa esses atributos e coloca o dispositivo no segmento de rede isolado correto. O iPSK oferece segmentação corporativa com simplicidade de consumo.

Agora, vamos discutir as recomendações de implementação e as armadilhas que vemos com mais frequência em implantações de produção.

O ponto de falha mais comum em implantações de visitantes é a ACL do walled garden. Se os visitantes se conectarem, mas a splash page não aparecer, verifique primeiro a configuração do seu DNS. Se a sua ACL de pré-autenticação bloquear a porta UDP 53, o cliente não conseguirá resolver os nomes de domínio. O sistema operacional não acionará o mini-navegador do Captive Portal, e o visitante verá um erro de Sem Internet. Sempre permita explicitamente o tráfego de DNS em sua ACL de walled garden. Este é o problema de suporte mais comum que encontramos.

A segunda armadilha está nas implantações para funcionários. Se você optar por implantar PEAP-MSCHAPv2 em vez de EAP-TLS, porque ainda não possui uma solução de MDM para distribuir certificados, deverá configurar os dispositivos dos clientes para validar explicitamente o certificado do servidor RADIUS. Isso significa especificar a Autoridade Certificadora exata em que se deve confiar e o nome do servidor esperado no perfil do WiFi. Se você deixar isso para o usuário final configurar manualmente, um invasor pode criar um ponto de acesso invasor, apresentar um certificado fraudulento e capturar credenciais corporativas. Este não é um ataque teórico. É uma ameaça real e bem documentada. Force a validação de certificado via Política de Grupo para dispositivos Windows e via perfis MDM para macOS e dispositivos móveis.

A terceira armadilha está nas implantações de iPSK. Se um cliente se conectar, mas receber a VLAN errada, ou falhar completamente ao se conectar, a causa mais provável é que o ID da VLAN de destino especificado no atributo Tunnel-Private-Group-ID não existe no WLC. A VLAN deve ser criada e estar ativa no controlador antes que o servidor RADIUS possa direcionar os clientes para ela. Use o comando debug radius no WLC para verificar se os atributos estão sendo recebidos corretamente do servidor RADIUS.

Agora, vamos fazer uma sessão de perguntas e respostas rápidas sobre as perguntas que ouvimos com mais frequência.

Pergunta um: Posso usar o MAC Authentication Bypass em vez do iPSK para dispositivos IoT?

Você pode, mas não deve. Os endereços MAC são transmitidos em texto simples e são fáceis de falsificar (spoof). O MAC Authentication Bypass fornece identificação do dispositivo, não segurança. O iPSK fornece segurança criptográfica real para dispositivos headless. Se o dispositivo suportar qualquer forma de PSK, use o iPSK.

Pergunta dois: A Purple suporta controladores Cisco Catalyst 9800 IOS-XE?

Sim. A Purple suporta totalmente os controladores modernos Catalyst 9800 IOS-XE, bem como os AireOS WLCs legados. A integração de RADIUS e Change of Authorization é totalmente validada para ambas as plataformas.

Pergunta três: Como faço para lidar com a redundância do servidor RADIUS?

Sempre configure um servidor RADIUS primário e um secundário em suas listas de métodos AAA no WLC. O WLC fará o failover automaticamente para o servidor secundário se o primário não responder dentro do tempo limite configurado. A Purple fornece dois endereços IP de servidor RADIUS exatamente para essa finalidade. Nunca implante um único servidor RADIUS em um ambiente de produção.

Pergunta quatro: Quais números de porta RADIUS a Purple usa?

A Purple usa a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilização (accounting). Essas são as portas padrão registradas pela IANA para RADIUS, conforme definido na RFC 2865 e RFC 2866.

Para resumir os principais pontos da instrução de hoje. Audite sua arquitetura sem fio atual. Se você estiver usando senhas compartilhadas para a equipe, planeje uma migração para o 802.1X. Se estiver transmitindo múltiplos SSIDs para diferentes inquilinos, consolide-os usando o Cisco iPSK. Se o seu WiFi de convidados é simplesmente uma rede aberta sem captura de dados, integre-o com a Purple para coletar dados primários (first-party data), impulsionar o retorno sobre o investimento em marketing e garantir a conformidade com os requisitos de GDPR e PCI DSS.

Ao combinar a infraestrutura de nível empresarial da Cisco com a sobreposição de nuvem da Purple, você oferece conectividade segura, segmentada e inteligente em todo o seu local. A Purple opera em mais de 80.000 locais ativos e registrou 440 milhões de logins em 2024. A plataforma é independente de hardware (hardware-agnostic), certificada pela ISO 27001 e desenvolvida para escala corporativa.

Seu próximo passo é claro. Revise o guia de configuração passo a passo completo no site da Purple, obtenha suas credenciais de servidor RADIUS no portal da Purple e inicie a integração com seu Cisco WLC hoje mesmo. Para guias de configuração detalhados e documentação específica de hardware, visite o portal de suporte da Purple em support ponto purple ponto ai.

Obrigado por ouvir esta Instrução Técnica da Purple. Até a próxima, mantenha-se seguro.

Principais conclusões

✓Substitua chaves compartilhadas inseguras (Pre-Shared Keys) por uma arquitetura de três níveis: WiFi para convidados via Captive Portal, WiFi corporativo via 802.1X EAP-TLS e WiFi para inquilinos/IoT via Cisco iPSK.
✓Integre o Cisco WLC com o Purple usando Autenticação Web Central (CWA) e RADIUS CoA para automatizar o onboarding de convidados e capturar dados primários em escala.
✓Configure ACLs de pré-autenticação precisas (walled garden) no WLC, sempre permitindo DNS (UDP 53), caso contrário, o redirecionamento do Captive Portal falhará.
✓Implante EAP-TLS para o WiFi corporativo para eliminar totalmente as senhas e depender de certificados digitais distribuídos por MDM para obter a postura de segurança mais robusta disponível.
✓Use Cisco iPSK com atribuição dinâmica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar ambientes multi-tenant e IoT em um único SSID.
✓Sempre force a validação de certificado de servidor RADIUS nos dispositivos clientes ao usar PEAP-MSCHAPv2 para evitar o roubo de credenciais por pontos de acesso falsos.
✓O Purple opera em mais de 80.000 locais, possui certificação ISO 27001 e GDPR, e fornece infraestrutura RADIUS redundante - configure os servidores primário e secundário no WLC.

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলোকে অবশ্যই একই সাথে বিভিন্ন ব্যবহারকারী গ্রুপকে পরিষেবা দিতে হবে: অতিথি যাদের নিরবচ্ছিন্ন ইন্টারনেট অ্যাক্সেস প্রয়োজন, স্টাফ যাদের কর্পোরেট রিসোর্সে নিরাপদ অ্যাক্সেস প্রয়োজন, এবং হেডলেস বা টেন্যান্ট ডিভাইস যেগুলোর একে অপরের থেকে আইসোলেশন প্রয়োজন। এই গ্রুপগুলোর যেকোনো একটির জন্য একটি একক শেয়ার্ড প্রি-শেয়ার্ড কি-এর (Pre-Shared Key) ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। একটি মাত্র আপোসকৃত শংসাপত্র পুরো সেগমেন্টটিকে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় যা নেটওয়ার্কের প্রতিটি ডিভাইসকে ব্যাহত করে।

এই নির্দেশিকাটি Cisco ওয়্যারলেস ল্যান কন্ট্রোলার (WLC) এবং Catalyst 9800 সিরিজের হার্ডওয়্যারের সাথে Purple-এর ক্লাউড ওভারলে-র ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। আমরা তিনটি ভিন্ন অথেন্টিকেশন স্তরের জন্য ধাপে ধাপে কনফিগারেশন প্রদান করি: Purple দ্বারা চালিত Captive Portal রিডাইরেকশন সহ একটি ওপেন Guest WiFi নেটওয়ার্ক, 802.1X EAP-TLS সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে একটি সিকিউর স্টাফ WiFi নেটওয়ার্ক, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco আইডেন্টিটি প্রি-শেয়ার্ড কি (iPSK) ব্যবহার করে একটি মাল্টি-টেন্যান্ট WiFi পরিবেশ। এই আর্কিটেকচারটি স্থাপন করার মাধ্যমে, আপনি ভিজিটর ট্রাফিক থেকে কর্পোরেট রিসোর্সগুলোকে আইসোলেট করতে পারেন, আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন এবং Purple-এর WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন রেকর্ড করেছে (Purple-এর অভ্যন্তরীণ ডেটা), যা এটিকে স্কেলে Cisco অবকাঠামোর জন্য একটি প্রমাণিত ক্লাউড ওভারলে করে তোলে।

টেকনিক্যাল ডিপ-ডাইভ: থ্রি-টিয়ার আর্কিটেকচার

Cisco হার্ডওয়্যারে একটি আধুনিক এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টকে অবশ্যই ভিন্ন ভিন্ন নিরাপত্তা এবং অ্যাক্সেসের প্রয়োজনীয়তা সহ বিভিন্ন ব্যবহারকারীর প্রোফাইল পূরণ করতে হবে। Cisco WLC এবং Purple-এর মধ্যে ইন্টিগ্রেশন একটি একক Catalyst 9800 কন্ট্রোলার থেকে পরিচালিত বিভিন্ন অথেন্টিকেশন মেকানিজমের মাধ্যমে এই প্রোফাইলগুলোকে পরিষেবা দেওয়ার জন্য একটি ইউনিফাইড হার্ডওয়্যার ফুটপ্রিন্ট সক্ষম করে।

টিয়ার ১: Guest WiFi - সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA)

Hospitality এবং Retail পরিবেশের ভিজিটরদের জন্য, উদ্দেশ্য হলো কম-ঝামেলাপূর্ণ অনবোর্ডিংয়ের সাথে কমপ্লায়েন্ট ডেটা ক্যাপচারের সমন্বয় করা। এটি সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA) এর সাথে যুক্ত একটি ওপেন SSID ব্যবহার করে অর্জন করা হয়। যখন একজন অতিথি সংযোগ করেন, তখন Cisco WLC একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে - যা ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত। এই ACL সাধারণ ইন্টারনেট ট্রাফিক ব্লক করে এবং Purple-এর Captive Portal ডোমেন, DNS এবং সোশ্যাল লগইন এন্ডপয়েন্টগুলোতে ট্রাফিকের অনুমতি দেয়। যখন গেস্ট ব্রাউজ করার চেষ্টা করেন, তখন WLC HTTP রিকোয়েস্টটিকে ইন্টারসেপ্ট করে এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট তাদের পছন্দের পদ্ধতির মাধ্যমে (সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, বা ভাউচার কোড) অথেন্টিকেট করেন। এরপর Purple RADIUS সার্ভার হিসেবে কাজ করে, WLC-তে একটি RADIUS Change of Authorization (CoA) মেসেজ ফেরত পাঠায়। CoA মেসেজটি WLC-কে নির্দেশ দেয় ক্লায়েন্টকে প্রি-অথেন্টিকেশন স্টেট থেকে একটি আইসোলেটেড গেস্ট VLAN-এ পোস্ট-অথেন্টিকেশন স্টেটে নিয়ে যেতে, যার ফলে ইন্টারনেট অ্যাক্সেস মঞ্জুর হয়। প্রতিটি লগইন Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে রেকর্ড করা হয়, যা GDPR এবং CCPA মেনে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে।

Tier 2: Staff WiFi - 802.1X EAP-TLS

কর্পোরেট ডিভাইসগুলোর জন্য সর্বোচ্চ স্তরের নিরাপত্তার প্রয়োজন। IEEE 802.1X পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে, এবং যখন এটি EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)-এর সাথে যুক্ত হয়, তখন এটি সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। Mobile Device Management (MDM) - Microsoft Intune, Jamf, বা সমমানের মাধ্যমে কর্পোরেট ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেট স্থাপন করা হয়। Cisco WLC অথেন্টিকেটর হিসেবে কাজ করে, যা সাপ্লিক্যান্ট (ডিভাইস) এবং RADIUS সার্ভারের মধ্যে EAP মেসেজ আদান-প্রদান করে। RADIUS সার্ভার সার্টিফিকেটটি যাচাই করে এবং ঐচ্ছিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট সহ একটি Access-Accept ফেরত পাঠায়।

যেহেতু অথেন্টিকেশন পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের ওপর নির্ভর করে, তাই চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। কোনো ডিভাইস হারিয়ে গেলে বা কোনো কর্মচারী চলে গেলে, আপনি সার্টিফিকেটটি রিভোক (বাতিল) করে দিতে পারেন। অন্য কোনো ব্যবহারকারীকে ব্যাহত না করেই তাৎক্ষণিকভাবে অ্যাক্সেস বন্ধ হয়ে যায়। WPA3 এবং Zero Trust সহ এন্টারপ্রাইজ সিকিউরিটি স্ট্যান্ডার্ডের বিস্তারিত আলোচনার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 গাইডটি দেখুন।

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

স্টুডেন্ট অ্যাকোমোডেশন, কোওয়ার্কিং স্পেস বা রিটেল মলের মতো পরিবেশে, ডজন ডজন SSID ব্রডকাস্ট না করেই বিভিন্ন টেন্যান্টের জন্য প্রাইভেট, সেগমেন্টেড নেটওয়ার্কের প্রয়োজন হয়। Cisco Identity PSK (iPSK) এই সমস্যার সমাধান করে। সমস্ত টেন্যান্ট একটি একক SSID-তে সংযুক্ত হন। WLC প্রতিটি সংযোগকারী ডিভাইসের জন্য RADIUS সার্ভারে একটি MAC অথেন্টিকেশন রিকোয়েস্ট পাঠায়। RADIUS সার্ভার সেই টেন্যান্টের জন্য নির্দিষ্ট PSK-টি একটি cisco-av-pair অ্যাট্রিবিউট হিসেবে ফেরত পাঠায়, সাথে ক্লায়েন্টকে ডাইনামিকভাবে সঠিক VLAN-এ অ্যাসাইন করার জন্য স্ট্যান্ডার্ড IETF RADIUS অ্যাট্রিবিউটও পাঠায়।

ডাইনামিক VLAN অ্যাসাইনমেন্ট পরিচালনাকারী তিনটি IETF RADIUS অ্যাট্রিবিউট হলো:

RADIUS Attribute	ID	Value
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Target VLAN ID (e.g., 31)

RFC 2868-এ সংজ্ঞায়িত নিয়ম অনুযায়ী Tunnel-Private-Group-ID একটি স্ট্রিং হিসেবে এনকোড করা হয়। অ্যাসাইনমেন্ট সফল হওয়ার জন্য VLAN ID-টি অবশ্যই WLC-তে থাকতে হবে।

Implementation guide: Cisco Catalyst 9800 WLC configuration

নিচের ধাপগুলোতে Guest WiFi রিডাইরেকশনের জন্য Purple-এর সাথে ইন্টিগ্রেট করতে IOS-XE চালিত একটি Cisco Catalyst 9800 WLC কনফিগার করার বিস্তারিত বিবরণ দেওয়া হয়েছে। লিগ্যাসি AireOS WLC ডেপ্লয়মেন্টের জন্য, সমমানের সেটিংস Purple সাপোর্ট পোর্টালে পাওয়া যাবে।

ধাপ ১: RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং কনফিগার করুন

গেস্ট অথেন্টিকেশন এবং সেশন অ্যাকাউন্টিং পরিচালনা করতে আপনাকে অবশ্যই WLC-কে Purple-এর RADIUS সার্ভারগুলোর দিকে নির্দেশ করতে হবে।

১. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add-এ যান। ২. প্রাইমারি Purple RADIUS সার্ভারের IP অ্যাড্রেস লিখুন, auth-port ১৮১২, acct-port ১৮১৩ সেট করুন এবং Purple পোর্টাল থেকে প্রাপ্ত শেয়ার্ড সিক্রেটটি লিখুন। ৩. Support for CoA সক্রিয় করুন - Captive Portal রিডাইরেকশনের জন্য এটি বাধ্যতামূলক। ৪. সেকেন্ডারি Purple RADIUS সার্ভারের জন্য এই প্রক্রিয়াটি পুনরাবৃত্তি করুন। ৫. RADIUS > Server Groups > + Add-এ যান এবং উভয় সার্ভার সম্বলিত একটি গ্রুপ তৈরি করুন। ৬. AAA Method List > Authorization > + Add-এ যান, Type সেট করুন network এবং এটিকে RADIUS সার্ভার গ্রুপের দিকে নির্দেশ করুন। ৭. AAA Method List > Accounting > + Add-এ যান, Type সেট করুন identity এবং এটিকে একই গ্রুপের দিকে নির্দেশ করুন।

IOS-XE-তে সমমানের CLI কমান্ডগুলো হলো:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

ধাপ ২: প্রি-অথেন্টিকেশন ACL (walled garden) নির্ধারণ করুন

প্রি-অথেন্টিকেশন ACL ব্যবহারকারী অথেন্টিকেট করার আগে Purple-এর স্প্ল্যাশ পেজ এবং প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। এটিই হলো walled garden।

১. Configuration > Security > ACL > + Add-এ যান। ২. Purple_Guest_Walled_Garden নামে একটি IPv4 Extended ACL তৈরি করুন। ৩. WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-তে ট্রাফিক deny করার জন্য নিয়ম যোগ করুন। ৪. আপনার DNS সার্ভারগুলোতে DNS (UDP port 53) permit করার জন্য নিয়ম যোগ করুন। ৫. Purple-এর walled garden IP রেঞ্জ এবং ডোমেনগুলোতে ট্রাফিক permit করার জন্য নিয়ম যোগ করুন (আপনার নির্দিষ্ট হার্ডওয়্যার টাইপের জন্য Purple সাপোর্ট পোর্টাল থেকে বর্তমান তালিকাটি সংগ্রহ করুন)। ৬. একটি চূড়ান্ত permit ip any any নিয়ম যোগ করুন - WLC অনুমোদিত ট্রাফিককে পোর্টাল প্রসেসিংয়ের জন্য CPU-তে রিডাইরেক্ট করবে।

৩. গেস্ট WLAN কনফিগার করুন

১. Configuration > Tags & Profiles > WLANs > + Add-এ যান। ২. আপনার পছন্দসই SSID দিয়ে Guest-WiFi নামে একটি WLAN তৈরি করুন। ৩. Security > Layer 2-এর অধীনে, সিকিউরিটি None (Open) সেট করুন। ৪. Security > Layer 3-এর অধীনে, Web Policy সক্রিয় করুন এবং Web Auth টাইপ External সেট করুন। ৫. রিডাইরেক্ট ফিল্ডে আপনার Purple অ্যাক্সেস URL লিখুন। ৬. Purple_Guest_Walled_Garden ACL-টি প্রয়োগ করুন। ৭. Security > AAA Servers-এর অধীনে, Authentication এবং Accounting উভয়ের জন্যই Purple RADIUS সার্ভারগুলো অ্যাসাইন করুন।### Step 4: Policy Profile কনফিগার করুন

Configuration > Tags & Profiles > Policy > + Add-এ নেভিগেট করুন।
Access Policies-এর অধীনে, VLAN 20 (অথবা আপনার নির্ধারিত গেস্ট VLAN) অ্যাসাইন করুন।
Advanced-এর অধীনে, Allow AAA Override এবং NAC State সক্রিয় করুন।
Purple অ্যাকাউন্টিং মেথড লিস্টটি অ্যাসাইন করুন।

CLI সমতুল্য:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: মাল্টি-টেন্যান্ট বা IoT ডেপ্লয়মেন্টের জন্য iPSK কনফিগার করুন

iPSK-এর জন্য, WLAN কনফিগারেশন গেস্ট সেটআপ থেকে ভিন্ন হয়। WLAN-টি MAC ফিল্টারিং সক্রিয় সহ WPA2-PSK ব্যবহার করে, এবং RADIUS সার্ভার থেকে প্রতি-ক্লায়েন্ট PSK এবং VLAN গ্রহণ করার জন্য Policy Profile-এ AAA Override সক্রিয় থাকে।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS সার্ভার (যা Purple বা আপনার RADIUS প্ল্যাটফর্মে কনফিগার করা হয়েছে) প্রতি টেন্যান্ট গ্রুপ অনুযায়ী নিম্নলিখিত অ্যাট্রিবিউটগুলো রিটার্ন করে:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

সর্বোত্তম অনুশীলন (Best practices)

প্রতিষ্ঠিত মানদণ্ড মেনে চললে আপনার ডেপ্লয়মেন্ট জুড়ে স্থায়িত্ব, নিরাপত্তা এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত হয়।

কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন। 802.1X ডেপ্লয় করার সময়, MDM-এর মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোকে এমনভাবে কনফিগার করুন যাতে তারা আপনার RADIUS সার্ভারের সার্টিফিকেট অথরিটিকে স্পষ্টভাবে বিশ্বাস করে এবং প্রত্যাশিত সার্ভারের নাম নির্দিষ্ট করে। এটি প্রয়োগ করতে ব্যর্থ হলে ক্লায়েন্টরা রোগ অ্যাক্সেস পয়েন্ট (rogue access point) আক্রমণের ঝুঁকিতে পড়ে, যেখানে আক্রমণকারী ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য একটি প্রতারণামূলক সার্টিফিকেট প্রদর্শন করে। এটি একটি কঠোর প্রয়োজনীয়তা, কোনো সাধারণ সুপারিশ নয়।

নেটওয়ার্ক লেয়ারে গেস্ট ট্রাফিক আইসোলেট করুন। গেস্ট WiFi অবশ্যই একটি ডেডিকেটেড VLAN-এ শেষ হতে হবে যা সমস্ত কর্পোরেট রিসোর্স থেকে ফায়ারওয়াল দ্বারা সুরক্ষিত। PCI DSS 4.0 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট পাবলিক নেটওয়ার্ক থেকে আইসোলেট করা আবশ্যক। VLAN 20-এ থাকা একজন গেস্টের যেন VLAN 10-এ থাকা কর্পোরেট নেটওয়ার্কে যাওয়ার কোনো রুট না থাকে।

IoT ডিভাইসের জন্য iPSK ব্যবহার করুন, MAC Authentication Bypass নয়। MAC অ্যাড্রেসগুলো প্লেইনটেক্সটে ব্রডকাস্ট হয় এবং এগুলো স্পুফ (spoof) করা অত্যন্ত সহজ। iPSK হেডলেস ডিভাইসগুলোর জন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। ডিসপ্লে এবং IoT ডিভাইসগুলো কীভাবে ওয়্যারলেস প্রোটোকলের সাথে ইন্টারঅ্যাক্ট করে সে সম্পর্কে নির্দেশনার জন্য, What Is Wireless Display: Protocols & Best Practices 2026 দেখুন।

ব্যবহারের স্পষ্ট শর্তাবলী (Terms of Use) নির্ধারণ করুন। অ্যাক্সেস দেওয়ার আগে আপনার Captive Portal-এ অবশ্যই একটি ব্যবহারের শর্তাবলীর চুক্তি প্রদর্শন করতে হবে। ডেটা সংগ্রহের জন্য এটি একটি GDPR প্রয়োজনীয়তা এবং নেটওয়ার্ক ব্যবহারের নীতিমালার জন্য একটি আইনি বাধ্যবাধকতা। অভ্যন্তরীণ স্টাফ নেটওয়ার্কের জন্য, Staff WiFi Terms and Conditions: Legal and Compliance Essentials দেখুন।RADIUS রিডানডেন্সি স্থাপন করুন। সর্বদা একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এই উদ্দেশ্যে দুটি সার্ভার IP অ্যাড্রেস প্রদান করে। একটি একক RADIUS সার্ভার ব্যর্থ হলে সমস্ত গেস্ট লগইন বন্ধ হয়ে যাবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সতর্কতার সাথে কনফিগার করার পরেও, ইন্টিগ্রেশন সংক্রান্ত সমস্যা দেখা দিতে পারে। সমস্যা আরও বড় হওয়ার আগে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো সুশৃঙ্খলভাবে সমাধান করুন।

সমস্যা: গেস্টরা কানেক্ট করছেন কিন্তু স্প্ল্যাশ পেজটি প্রদর্শিত হচ্ছে না।

এটি সবচেয়ে সাধারণ সমস্যা। প্রি-অথেনটিকেশন ACL মূলত DNS ব্লক করছে। DNS ছাড়া, ক্লায়েন্ট প্রাথমিক HTTP রিকোয়েস্ট সমাধান করতে পারে না এবং অপারেটিং সিস্টেম Captive Portal মিনি-ব্রাউজারটি ট্রিগার করবে না। আপনার ওয়াল্ড গার্ডেন ACL-এ DNS সার্ভারগুলোর জন্য UDP পোর্ট ৫৩ অনুমোদিত কিনা তা যাচাই করুন। WLC-তে, ক্লায়েন্টটি Run স্টেটের পরিবর্তে Webauth Pending স্টেটে আছে কিনা তা নিশ্চিত করতে show wireless client summary রান করুন।

সমস্যা: iPSK ক্লায়েন্টরা কানেক্ট হতে ব্যর্থ হচ্ছে বা ভুল VLAN-এ ল্যান্ড করছে।

Tunnel-Private-Group-ID-তে নির্দিষ্ট করা VLAN-টি WLC-তে নেই, অথবা cisco-av-pair অ্যাট্রিবিউটগুলো ত্রুটিপূর্ণ। র-RADIUS রেসপন্স পরীক্ষা করতে WLC-তে debug radius all রান করুন। VLAN ID-টি Configuration > Layer 2 > VLAN > VLAN List-এর অধীনে তৈরি করা হয়েছে কিনা তা যাচাই করুন।

সমস্যা: 802.1X স্টাফ ক্লায়েন্টরা মাঝে মাঝে অথেনটিকেট হতে ব্যর্থ হচ্ছে।

এটি সাধারণত একটি RADIUS সার্ভার টাইমআউট বা ক্লায়েন্টের সার্টিফিকেট ট্রাস্ট সংক্রান্ত সমস্যা। Access-Reject মেসেজগুলোর জন্য RADIUS সার্ভার লগ পরীক্ষা করুন। Windows ক্লায়েন্টগুলোতে, WiFi প্রোফাইলটি সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়েছে কিনা এবং সঠিক ট্রাস্টেড CA নির্দিষ্ট করে কিনা তা যাচাই করুন।

সমস্যা: Purple থেকে পাঠানো CoA, WLC দ্বারা প্রসেস হচ্ছে না।

CoA শেয়ার্ড সিক্রেট অবশ্যই WLC-তে কনফিগার করা RADIUS শেয়ার্ড সিক্রেটের সাথে মিলতে হবে। IOS-XE 17.4 এবং পরবর্তী সংস্করণগুলোতে, CoA কি (key) শেয়ার্ড সিক্রেট থেকে আলাদাভাবে কনফিগার করা হয়। উভয়ই Purple পোর্টালের মানগুলোর সাথে মিলছে কিনা তা যাচাই করুন।

ROI এবং ব্যবসায়িক প্রভাব

বেসিক PSK নেটওয়ার্ক থেকে Purple-এর সাথে একটি সুগঠিত, আইডেন্টিটি-ভিত্তিক আর্কিটেকচারে রূপান্তর Hospitality , Retail , Healthcare , এবং Transport ভার্টিক্যাল জুড়ে পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে।

প্রথমত, এই আর্কিটেকচারটি শেয়ার্ড পাসওয়ার্ড পরিচালনার অপারেশনাল খরচ দূর করে। যখন কর্মীরা চলে যান, আপনি তাদের সার্টিফিকেট রিভোক বা বাতিল করে দেন। আপনাকে একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় না এবং এস্টেটের প্রতিটি ডিভাইস আপডেট করতে হয় না। দ্বিতীয়ত, Purple-এর Captive Portal-এর সাথে ইন্টিগ্রেশন একটি IT কস্ট সেন্টারকে রেভিনিউ ড্রাইভারে পরিণত করে। Purple-এর প্ল্যাটফর্ম প্রতিটি লগইনে সম্মতিপূর্ণ ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা স্বয়ংক্রিয় মার্কেটিং ক্যাম্পেইন এবং ভিজিটর অ্যানালিটিক্স সক্ষম করে। Purple নেটওয়ার্ক জুড়ে সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্টের মাধ্যমে (Purple-এর অভ্যন্তরীণ ডেটা), প্ল্যাটফর্মটি ভিজিটরদের আচরণ, ডুয়েলিং টাইম এবং রিটার্ন রেট সম্পর্কে কার্যকরী ইনসাইট প্রদান করে।

ভিজিটরদের সন্তুষ্টি বোঝার জন্য যে সমস্ত ভেন্যু অপারেটররা সমীক্ষা বা সার্ভে পরিচালনা করছেন, তাদের জন্য Purple প্ল্যাটফর্মটি সরাসরি রিসার্চ ওয়ার্কফ্লো-এর সাথে একীভূত হয়। Captive Portal-এর মাধ্যমে বিতরণ করা কার্যকর ভেন্যু সমীক্ষাগুলো সাজানোর নির্দেশনার জন্য Design of a Survey: A Practical Guide for Venues দেখুন।

Cisco-এর এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যারকে Purple-এর ক্লাউড ওভারলে-র সাথে একীভূত করার মাধ্যমে, আপনি একটি সুরক্ষিত, স্কেলযোগ্য নেটওয়ার্ক লাভ করবেন যা ভেন্যুর বাণিজ্যিক লক্ষ্য অর্জনে সক্রিয়ভাবে অবদান রাখে। Purple হলো ISO 27001 সার্টিফাইড, GDPR এবং CCPA কমপ্লায়েন্ট, Cyber Essentials সার্টিফাইড এবং B Corp সার্টিফাইড - যা এন্টারপ্রাইজ প্রকিউরমেন্ট টিমের কমপ্লায়েন্স সংক্রান্ত প্রয়োজনীয়তাগুলো পূরণ করে।

Definições principais

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para acesso à rede. Definido nas normas RFC 2865 e RFC 2866.

As equipes de TI configuram o Cisco WLC para encaminhar as credenciais do cliente para o servidor RADIUS, que as verifica em um diretório e retorna uma resposta Access-Accept ou Access-Reject, juntamente com os atributos de política.

Captive Portal

Uma página web que o usuário de uma rede de acesso público deve visualizar e com a qual deve interagir antes que o acesso à internet seja concedido. Implementada via redirecionamento HTTP pelo dispositivo de acesso à rede.

Usado em implantações de WiFi de visitantes para capturar dados dos visitantes, apresentar termos de uso ou exibir conteúdo de marca antes de permitir o acesso à internet. A Purple fornece a infraestrutura de Captive Portal hospedada.

iPSK (Identity Pre-Shared Key)

Um recurso da Cisco que permite que Chaves Pré-Compartilhadas (PSKs) exclusivas sejam atribuídas a diferentes usuários ou grupos de dispositivos no mesmo SSID, com a PSK entregue por cliente através de um servidor RADIUS.

Essencial para dispositivos IoT ou ambientes multi-tenant onde o 802.1X não é viável, mas a segmentação de rede é necessária. Elimina a necessidade de transmitir múltiplos SSIDs.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC). Ele fornece um mecanismo de autenticação que bloqueia todo o tráfego de dados de um dispositivo até que o servidor RADIUS confirme a autorização.

A base do WiFi corporativo para funcionários, garantindo que apenas dispositivos corporativos autorizados com credenciais ou certificados válidos possam acessar os recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação baseado em certificado que exige certificados digitais tanto no servidor RADIUS quanto no dispositivo do cliente, eliminando completamente o uso de senhas.

O método mais seguro para autenticar dispositivos corporativos. Os certificados são implantados via MDM. O acesso é revogado invalidando o certificado, e não alterando uma senha compartilhada.

Walled garden

Um ambiente de rede limitado que controla o acesso do usuário ao conteúdo da web antes de ele estar totalmente autenticado. Implementado como uma ACL de pré-autenticação no WLC.

Configurado no Cisco WLC para permitir o acesso à splash page da Purple, DNS e provedores de login social antes que o visitante receba acesso total à internet.

Dynamic VLAN assignment

O processo de colocar automaticamente um dispositivo conectado em uma LAN Virtual específica com base nos atributos de autorização do RADIUS retornados no momento da autenticação.

Garante que funcionários, visitantes e dispositivos IoT sejam colocados em segmentos de rede isolados de forma automática no momento da conexão, sem a necessidade de configuração manual por dispositivo.

Change of Authorization (CoA)

Uma extensão do RADIUS (RFC 5176) que permite ao servidor RADIUS modificar dinamicamente os atributos de autorização de sessão de um cliente que já está conectado.

Necessário para captive portals. Assim que o visitante se autentica na splash page da Purple, a Purple envia uma mensagem CoA para o WLC para transicionar o cliente do estado de walled garden pré-autenticado para o acesso total à internet.

Central Web Authentication (CWA)

Um método de autenticação Cisco onde o servidor RADIUS (em vez do WLC) hospeda ou redireciona para o portal de autenticação web, viabilizando soluções de Captive Portal hospedadas na nuvem.

Usado para integrar o Cisco WLC com o Captive Portal hospedado na nuvem da Purple, permitindo que a Purple gerencie a experiência de autenticação de visitantes e a captura de dados.

Exemplos práticos

Um grande shopping center precisa fornecer WiFi seguro e privado para 50 lojistas usando um único Cisco Catalyst 9800 WLC e um único SSID de transmissão. Cada lojista deve ser isolado dos dispositivos de todos os outros lojistas. Como eles conseguem isso sem transmitir 50 SSIDs separados?

A equipe de TI implanta o Cisco iPSK. Eles configuram um único SSID chamado 'Mall-Tenant-WiFi' com WPA2-PSK e filtragem MAC ativada. No servidor RADIUS, eles criam 50 grupos de identidade de endpoint, um por lojista. Cada grupo recebe uma PSK exclusiva por meio do atributo cisco-av-pair psk= e um ID de VLAN exclusivo por meio do atributo IETF Tunnel-Private-Group-ID. Quando o dispositivo de ponto de venda de um lojista se conecta usando sua senha específica, o WLC envia uma solicitação de autenticação MAC ao servidor RADIUS. O servidor associa o endereço MAC ao grupo do lojista e retorna a atribuição de PSK e VLAN. O WLC processa os atributos, valida a PSK e coloca o dispositivo na VLAN isolada do lojista. A configuração peer-blocking allow-private-group garante que os dispositivos que compartilham a mesma PSK possam se comunicar entre si, enquanto os dispositivos em PSKs diferentes são bloqueados para comunicação entre lojistas.

Comentário do examinador: Essa abordagem escala com eficiência. A transmissão de 50 SSIDs separados causaria severa interferência de canal compartilhado em um ambiente denso e degradaria o desempenho para todos os usuários. Cada SSID adicional consome tempo de transmissão com quadros de gerenciamento. O iPSK oferece a segurança e a segmentação de 50 redes separadas com a eficiência de RF de apenas uma. A desvantagem é que o servidor RADIUS se torna uma dependência crítica — certifique-se de que ele seja altamente disponível.

Uma propriedade Premier Inn de 300 quartos está migrando de contas de visitantes locais do WLC para o Captive Portal em nuvem da Purple. Após a aplicação da configuração, os visitantes relatam que se conectam ao SSID do WiFi, recebem um endereço IP, mas seus dispositivos mostram 'Sem Internet' e a splash page nunca aparece. Qual é o processo de diagnóstico?

Passo 1: Verifique o estado do cliente no WLC usando show wireless client detail <mac-address>. O cliente deve estar no estado 'Webauth Pending'. Se mostrar 'Run', a ACL de pré-autenticação não foi aplicada corretamente. Passo 2: Verifique a ACL de pré-autenticação. A causa mais comum desse sintoma é que a ACL bloqueia o DNS (porta UDP 53). Sem o DNS, o cliente não consegue resolver nenhum domínio e o mecanismo de detecção de Captive Portal do sistema operacional falha silenciosamente. Adicione uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do local. Passo 3: Verifique se os domínios de walled garden da Purple são permitidos na ACL. O cliente deve ser capaz de alcançar a URL da splash page da Purple antes da autenticação. Passo 4: Confirme se o endereço IP virtual do WLC foi alterado do padrão 1.1.1.1 para um endereço não roteável, como 192.0.2.1, pois o endereço padrão pode entrar em conflito com o tráfego legítimo da internet.

Comentário do examinador: O sintoma de 'Sem Internet' sem redirecionamento quase sempre é um problema de DNS ou de ACL de walled garden. Os sistemas operacionais modernos (iOS, Android, Windows, macOS) usam a detecção de Captive Portal fazendo solicitações HTTP para URLs conhecidas. Se o DNS falhar, essas solicitações não podem ser feitas e o sistema operacional nunca aciona o navegador do Captive Portal. Sempre permita o DNS na ACL de pré-autenticação — este é o erro de implantação mais comum que vemos.

Questões práticas

Q1. Você está implantando Staff WiFi em 40 filiais de varejo usando Cisco Catalyst 9800 WLCs. Você deseja usar 802.1X, mas a empresa ainda não possui uma solução de MDM para distribuir certificados aos smartphones dos funcionários. Qual é a abordagem viável mais segura e qual mitigação de risco você deve implementar?

Dica: Considere o equilíbrio entre a segurança das credenciais e a viabilidade de implantação quando os certificados ainda não são uma opção. Foque no risco específico que surge do método alternativo.

Ver resposta modelo

Implante o PEAP-MSCHAPv2 como uma medida provisória. Embora não seja tão seguro quanto o EAP-TLS, ele fornece autenticação de senha criptografada dentro de um túnel TLS. A mitigação de risco crítica é impor a validação do certificado do servidor em cada dispositivo cliente. Para laptops Windows, implante um Group Policy Object que especifique a Autoridade Certificadora confiável exata e o nome do servidor RADIUS esperado no perfil de WiFi. Para dispositivos iOS e Android, distribua um perfil de configuração de WiFi via e-mail ou uma ferramenta leve sem MDM que imponha a validação de certificado. Sem isso, um invasor pode implantar um ponto de acesso invasor com um certificado fraudulento e capturar credenciais. Planeje a migração para EAP-TLS assim que o MDM estiver disponível.

Q2. O diretor de TI de um estádio precisa segmentar emissoras de mídia, terminais de bilheteria e sensores IoT de HVAC em redes isoladas separadas. Os sensores IoT não suportam 802.1X. Todos os três grupos devem usar WiFi. Como a WLC deve ser configurada?

Dica: Procure uma solução que forneça credenciais exclusivas e atribuição de VLAN por grupo de dispositivos sem exigir suplicantes corporativos em dispositivos sem interface gráfica (headless).

Ver resposta modelo

Implemente o Cisco iPSK com um único SSID para as operações do local. Crie três grupos de identidade de endpoint no servidor RADIUS: Emissoras, Bilheteria e HVAC. Atribua a cada grupo uma PSK exclusiva via cisco-av-pair e um ID de VLAN exclusivo via Tunnel-Private-Group-ID. Configure a WLAN da WLC com WPA2-PSK, filtragem MAC habilitada e AAA Override ativo. As emissoras recebem PSK-A e VLAN 31, a bilheteria recebe PSK-B e VLAN 32, e os sensores HVAC recebem PSK-C e VLAN 33. Defina o peer-blocking para allow-private-group para que os dispositivos dentro do mesmo grupo possam se comunicar (por exemplo, terminais de bilheteria com seu servidor), enquanto a comunicação entre grupos é bloqueada. Isso evita o MAC Authentication Bypass, que seria facilmente falsificado.

Q3. Durante a implantação de um Guest WiFi em um centro de conferências, os clientes se conectam ao SSID e recebem um endereço IP, mas o redirecionamento do Captive Portal nunca ocorre. A ACL do walled garden permite o tráfego para todas as faixas de IP da Purple. Qual é o elemento de configuração ausente mais provável e como você o verifica?

Dica: Pense nos protocolos necessários antes que uma solicitação HTTP possa ser feita pelo dispositivo cliente.

Ver resposta modelo

A causa mais provável é que a ACL de pré-autenticação bloqueia o tráfego DNS (porta UDP 53). Antes que um dispositivo cliente possa fazer a solicitação HTTP que a WLC intercepta para acionar o redirecionamento, ele deve resolver o nome de domínio via DNS. Os mecanismos modernos de detecção de Captive Portal de sistemas operacionais (captive.apple.com da Apple, www.msftconnecttest.com da Microsoft, connectivitycheck.gstatic.com do Google) exigem resolução DNS. Para verificar: execute 'show wireless client detail ' na WLC e confirme se o cliente está no estado 'Webauth Pending'. Em seguida, revise os contadores de acertos da ACL para ver se o tráfego DNS está sendo negado. Corrija adicionando uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do local na ACL do walled garden.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).