Pular para o conteúdo principal
Português (Brasil)

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os access points Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Ele aborda a configuração de Captive Portal, autenticação de funcionários via 802.1X e direcionamento dinâmico de VLAN por PPSK para redes corporativas.

📖 6 min de leitura📝 1,408 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série técnica da Purple. Sou seu anfitrião e hoje vamos analisar uma das integrações de WiFi corporativo mais detalhadas que vemos em campo: os access points Huawei AirEngine e o controlador CloudCampus iMaster NCE-Campus, integrados com a Purple para WiFi de visitantes, autenticação de funcionários e segmentação de rede multi-tenant. Se você é um arquiteto de rede ou gerente de TI que administra uma infraestrutura Huawei — seja um grupo de hotéis, uma rede de varejo, um centro de convenções ou um campus do setor público — este episódio é para você. Abordaremos toda a estrutura: redirecionamento de Captive Portal, ACLs de pré-autenticação, WiFi seguro para funcionários usando 802.1X e o recurso Private Pre-Shared Key da Huawei para direcionamento dinâmico de VLAN em vários locatários. Vamos começar. Seção um: Contexto e arquitetura. O portfólio AirEngine da Huawei — que abrange as séries 5700, 6700, 8700 e 9700 — roda em WiFi 6 e WiFi 6E, com a série topo de linha 9700 suportando WiFi 7. Esses são access points corporativos robustos. A camada de gerenciamento é o iMaster NCE-Campus, o controlador de rede baseado em nuvem da Huawei, que lida com tudo, desde o provisionamento de SSID e relay RADIUS até a aplicação de políticas e encaminhamento de syslog. A Purple atua acima disso como uma sobreposição em nuvem (cloud overlay). Operamos em mais de 80.000 locais ativos e processamos 440 milhões de logins apenas em 2024. Somos agnósticos em relação ao hardware — o que significa que nos integramos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e, sim, Huawei AirEngine — usando os mesmos padrões de RADIUS e Captive Portal que todos os controladores corporativos suportam. O modelo de integração aqui é simples. O iMaster NCE-Campus atua como o relay RADIUS, encaminhando solicitações de autenticação dos access points para os servidores RADIUS da Purple. A Purple lida com a lógica de autenticação — seja uma splash page de visitante, uma verificação de credenciais 802.1X ou uma consulta PPSK — e retorna a resposta RADIUS apropriada, incluindo quaisquer atributos de atribuição dinâmica de VLAN. Seção dois: Configuração de WiFi de visitantes e Captive Portal. Vamos começar com a implantação mais comum: WiFi de visitantes com um Captive Portal da Purple. No iMaster NCE-Campus, você navega até Design, depois Network Design e, em seguida, Template Management. Você cria um modelo de Servidor de Relay RADIUS. Os principais parâmetros são: definir o serviço de autenticação como Portal authentication, adicionar os endereços IP do servidor RADIUS da Purple na porta UDP 1812 para autenticação e 1813 para bilhetagem (accounting), definir o identificador NAS como Device MAC e configurar o segredo compartilhado. A Purple fornece essas credenciais RADIUS na tela de configuração do local no painel da Purple. Em seguida, você cria uma ACL — este é o seu Walled Garden. Antes de um visitante se autenticar, ele precisa acessar a splash page da Purple e quaisquer domínios de suporte. Suas regras de ACL devem permitir DNS em UDP 53, permitir HTTPS para o domínio do portal da Purple e permitir quaisquer provedores de login social que você tenha ativado — por exemplo, os endpoints da API Graph do Facebook se você estiver usando login social. Todo o resto é negado antes da autenticação. Depois, configure o SSID. Defina o tipo de rede como Open, selecione Open plus Portal authentication, defina o tipo de autenticação como Relay authentication by cloud platform e escolha RADIUS relay como o modo de interconexão. Defina o protocolo de envio de página (page push protocol) como HTTPS. Nos parâmetros de autenticação de portal de terceiros, cole a URL de redirecionamento da Purple — esta é a URL da splash page que você copia do painel de locais da Purple, com o sufixo modificado para incluir os parâmetros específicos da Huawei: ap-mac, uaddress, umac, ssid e redirect-url. Por fim, crie um modelo de URL no iMaster NCE-Campus que mapeie esses nomes de parâmetros para os valores que a Huawei passa no redirecionamento. O mapeamento de parâmetros é: redirect-url para redirect-url, loginurl para login-url, device-mac para ap-mac, user-ip para uaddress, user-mac para umac e ssid para ssid. Depois de configurado, o visitante se conecta ao SSID, obtém um endereço DHCP e seu tráfego HTTP é interceptado pelo controlador e redirecionado para a splash page da Purple. Ele se autentica — via e-mail, login social ou verificação por SMS — e o servidor RADIUS da Purple envia um Access-Accept de volta ao iMaster NCE-Campus, que concede ao visitante acesso total à internet. Do ponto de vista dos dados, a Purple captura dados de consentimento primários (first-party data) nesse momento. Cada login é um opt-in de escolha consciente, em conformidade com o GDPR e a CCPA. Esses dados alimentam a plataforma de análise da Purple, fornecendo a duração da sessão, o tipo de dispositivo, as taxas de visitantes recorrentes e o tempo de permanência — tudo sem qualquer rastreamento de terceiros. Seção três: WiFi seguro para funcionários com 802.1X. Agora vamos falar sobre o WiFi de funcionários. Essa é uma postura de segurança totalmente diferente. Você não quer funcionários no mesmo segmento de rede que os visitantes e não quer senhas PSK compartilhadas que saiam pela porta quando alguém se desliga da empresa. A resposta é a autenticação 802.1X, definida no padrão IEEE 802.1X-2020, usando EAP-TLS ou EAP-PEAP. No iMaster NCE-Campus, você cria um SSID separado para os funcionários — vamos chamá-lo de CorpNet. No perfil de autenticação para este SSID, você define o modo de autenticação como 802.1X, aponta para o servidor RADIUS da Purple e define o perfil de segurança como WPA2-Enterprise ou WPA3-Enterprise com criptografia AES-CCMP. A Purple também atua como o servidor RADIUS aqui, mas agora ela valida as credenciais em relação ao seu provedor de identidade. A Purple se integra nativamente com o Microsoft Entra ID, Okta e Google Workspace. Quando um funcionário se conecta à CorpNet, seu dispositivo envia credenciais EAP para o access point, que as transmite via RADIUS para a Purple, que por sua vez as valida no Entra ID usando SCIM ou SAML. Se as credenciais forem válidas, a Purple retorna um Access-Accept com um atributo RADIUS especificando a VLAN dos funcionários — por exemplo, VLAN 20. O iMaster NCE-Campus direciona o cliente para essa VLAN automaticamente. Os principais atributos RADIUS para atribuição dinâmica de VLAN são: Tunnel-Type definido como VLAN ou o valor 13, Tunnel-Medium-Type definido como 802 ou o valor 6 e Tunnel-Private-Group-ID definido como o ID da VLAN. Esses três atributos juntos informam ao controlador Huawei exatamente qual VLAN atribuir ao cliente autenticado. Para o EAP-TLS especificamente — que é o padrão ouro para autenticação de funcionários — você precisa de certificados de cliente. O add-on SecurePass da Purple lida com a emissão e o gerenciamento do ciclo de vida dos certificados, integrando-se à sua PKI existente ou atuando como uma autoridade de certificação leve. Isso elimina totalmente os ataques baseados em senha. Sem senha, sem vetor de phishing. Seção quatro: Segmentação multi-tenant com Huawei PPSK. É aqui que as coisas ficam realmente interessantes. Se você administra um local de uso misto — um shopping center com vários lojistas, um espaço de coworking com várias empresas associadas ou um centro de convenções que sedia eventos simultâneos — você precisa de isolamento de rede entre os locatários sem implantar um SSID separado para cada um deles. O recurso PPSK da Huawei — Private Pre-Shared Key — resolve isso. Às vezes, é chamado de iPSK em ecossistemas de outros fornecedores. O conceito é: um SSID, várias senhas exclusivas, cada senha mapeada para uma VLAN específica. O Locatário A recebe a senha Alpha, que mapeia para a VLAN 30. O Locatário B recebe a senha Beta, que mapeia para a VLAN 40. Ambos os locatários veem o mesmo SSID, mas estão completamente isolados na Camada 2. Na CLI da Huawei, você configura isso na visualização WLAN usando o comando ppsk-user. Para cada locatário, você executa: ppsk-user psk pass-phrase, seguido pela senha exclusiva, depois user-name, o identificador do locatário, depois vlan, o ID da VLAN, depois ssid, o nome do SSID. Você também pode definir uma data de expiração, um limite máximo de dispositivos e vincular a um endereço MAC específico se precisar de um controle mais rígido. No iMaster NCE-Campus, a consulta PPSK pode ser tratada localmente no controlador ou — para implantações em grande escala — via RADIUS. Quando o PPSK baseado em RADIUS é usado, a Purple se torna a fonte autoritativa para os mapeamentos de PPSK para VLAN. O dispositivo de um locatário se conecta com sua senha exclusiva, o controlador envia um Access-Request do RADIUS para a Purple com a senha como credencial, a Purple consulta o mapeamento e retorna um Access-Accept com os três atributos de túnel de VLAN. O controlador direciona o cliente para a VLAN correta. Essa arquitetura se expande para centenas de locatários em um único SSID. Isso também significa que você pode provisionar, rotacionar e revogar credenciais de locatários a partir do painel da Purple sem tocar na configuração do controlador. Seção cinco: Armadilhas de implementação e como evitá-las. Deixe-me apresentar os três modos de falha que vejo com mais frequência em implantações da Huawei e da Purple. Primeiro: o Walled Garden está incompleto. Os visitantes se conectam ao SSID, são redirecionados para a splash page, mas a página não carrega porque um domínio necessário — geralmente um endpoint de CDN ou uma API de login social — está bloqueado pela ACL de pré-autenticação. A solução é testar o fluxo da splash page a partir de um dispositivo novo antes de entrar em produção, capturar as consultas DNS e conexões HTTPS que ele faz e adicionar todos os domínios necessários à ACL. A Purple publica uma lista de domínios necessários na documentação de integração. Segundo: incompatibilidade do segredo compartilhado (shared secret) do RADIUS. O segredo configurado no iMaster NCE-Campus deve corresponder exatamente ao segredo no painel da Purple. A diferença de um único caractere causa falhas silenciosas de autenticação — os logs do controlador mostram Access-Reject sem nenhuma mensagem de erro útil. Sempre copie e cole o segredo, nunca o digite manualmente. Terceiro: má configuração do trunk de VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se a VLAN já estiver configurada como trunk na porta de uplink entre o access point e o switch de agregação. Se a VLAN 20 não estiver na lista de permissões (allow-pass) do trunk na interface do switch, os clientes dos funcionários autenticados receberão um tempo limite de DHCP e parecerá que a autenticação falhou. Audite suas configurações de trunk antes de testar as VLANs atribuídas pelo RADIUS. Seção seis: Perguntas rápidas. Pergunta: Posso usar o RADIUS integrado da Purple com a implantação local (on-premises) do iMaster NCE-Campus da Huawei, e não com a versão em nuvem? Sim. Os servidores RADIUS da Purple são hospedados na nuvem e acessíveis pela internet. Seu controlador local iMaster NCE-Campus precisa de acesso de saída UDP 1812 e 1813 para as faixas de IP do RADIUS da Purple. A Purple publica essas faixas de IP no painel, nas configurações do local. Pergunta: O Huawei PPSK suporta WPA3-SAE? A partir do firmware AirEngine V600R025, o WPA3-SAE-PPSK é suportado nas séries 6700 e 9700. Verifique a versão do seu firmware antes de ativar o WPA3 em SSIDs PPSK. Pergunta: Como a Purple lida com o consentimento do GDPR para WiFi de visitantes no hardware da Huawei? A splash page da Purple coleta o consentimento no momento da autenticação. O registro de consentimento — incluindo carimbo de data/hora, endereço IP e os termos específicos aceitos — é armazenado na plataforma da Purple e pode ser exportado para auditorias de conformidade. Isso se aplica independentemente do fornecedor de hardware subjacente. Seção sete: Resumo e próximos passos. Recapitulando: o Huawei AirEngine e o iMaster NCE-Campus se integram com a Purple via relay RADIUS para Captive Portal de visitantes, 802.1X para WiFi de funcionários e PPSK para segmentação de VLAN multi-tenant. A configuração fica no iMaster NCE-Campus em Design, Network Design, Template Management para a configuração de RADIUS e ACL, e em Provision, Device Configuration, Site Configuration para a vinculação de SSID e perfil de autenticação. Seus próximos passos: obtenha as credenciais RADIUS da Purple no painel do seu local, configure o modelo de servidor de relay RADIUS no iMaster NCE-Campus, crie sua ACL de Walled Garden, crie o SSID de visitantes com autenticação Open mais Portal e teste de ponta a ponta com um dispositivo novo antes de disponibilizar para uso geral. Se você estiver implantando o PPSK para isolamento multi-tenant, planeje seu esquema de VLAN primeiro — certifique-se de que cada VLAN de locatário esteja configurada como trunk de ponta a ponta antes de configurar um único usuário PPSK. Para obter o guia de configuração passo a passo completo, incluindo exemplos de CLI e diagramas de arquitetura, leia o guia escrito completo no site da Purple. Obrigado por ouvir.

header_image.png

Resumo Executivo

As redes corporativas exigem hardware confiável combinado com gerenciamento inteligente de identidade. Os access points Huawei AirEngine e o controlador iMaster NCE-Campus oferecem conectividade de alta densidade, enquanto a Purple fornece a sobreposição em nuvem (cloud overlay) para autenticação, análise e aplicação de políticas. Este guia detalha a arquitetura de integração necessária para implantar WiFi de Visitantes , WiFi seguro para funcionários e WiFi multi-tenant usando um único controlador Huawei.

Ao integrar o Huawei CloudCampus com a Purple, você substitui silos de autenticação distintos por uma Rede Baseada em Identidade unificada. Operamos em mais de 80.000 locais ativos e processamos 440 milhões de logins em 2024. Nossa plataforma agnóstica de hardware se integra nativamente com a Huawei por meio de protocolos padrão RADIUS e Captive Portal. Essa integração permite opt-ins de escolha consciente para visitantes, validação de certificados 802.1X para funcionários e direcionamento dinâmico de VLAN via Private Pre-Shared Keys (PPSK) para locatários.

Quer você gerencie um estádio, um campus universitário ou uma rede de varejo, este documento fornece as etapas exatas de configuração, atributos RADIUS e listas de controle de acesso necessários para proteger sua borda sem fio e capturar dados primários (first-party data) em escala.

Ouça o podcast de briefing técnico:

Aprofundamento Técnico

A integração depende de protocolos padrão: RADIUS (UDP 1812/1813) para autenticação e bilhetagem (accounting), e HTTPS (TCP 443) para redirecionamento de Captive Portal. O iMaster NCE-Campus atua como o servidor de acesso à rede (NAS) e relay RADIUS, encaminhando solicitações dos access points AirEngine para a infraestrutura RADIUS em nuvem da Purple.

Visão Geral da Arquitetura

architecture_overview.png

A Purple suporta três modelos principais de autenticação no hardware da Huawei:

  1. WiFi de Visitantes (Captive Portal): O tráfego não autenticado é interceptado pelo controlador Huawei e redirecionado para a splash page da Purple. O acesso antes da autenticação é restrito por uma ACL de Walled Garden. Após o login bem-sucedido, a Purple envia um Access-Accept do RADIUS, concedendo ao cliente acesso total à rede.
  2. WiFi de Funcionários (802.1X): Os funcionários se autenticam usando credenciais corporativas via EAP-PEAP ou EAP-TLS. A Purple valida essas credenciais em relação a provedores de identidade como Microsoft Entra ID, Okta ou Google Workspace.
  3. WiFi Multi-Tenant (PPSK): Os locatários se conectam a um único SSID compartilhado usando senhas exclusivas. A Purple valida a senha e retorna atributos RADIUS específicos para direcionar dinamicamente o locatário para sua VLAN isolada.

Walled Garden e ACLs de Pré-Autenticação

Um Captive Portal requer um Walled Garden — uma Lista de Controle de Acesso (ACL) que permite o tráfego para serviços essenciais antes que o usuário se autentique. Se o Walled Garden estiver incompleto, a splash page não será carregada, resultando em uma experiência ruim para o visitante.

Para o Huawei iMaster NCE-Campus, a ACL de pré-autenticação deve permitir:

  • Resolução de DNS (UDP 53)
  • Domínios de Captive Portal da Purple (*.purpleportal.net, *.purple.ai)
  • Redes de Distribuição de Conteúdo (CDNs) que hospedam recursos da splash page
  • Domínios de provedores de identidade se o login social (Apple, Google, Facebook) estiver ativado

Todo o outro tráfego deve ser negado até que a Purple retorne o Access-Accept do RADIUS.

Direcionamento Dinâmico de VLAN e Atributos RADIUS

Para isolar o tráfego de rede, a Purple usa a atribuição dinâmica de VLAN. Em vez de transmitir vários SSIDs, você transmite um único SSID e atribui a VLAN dinamicamente com base na identidade do usuário.

Quando a Purple autentica um usuário (via 802.1X ou PPSK), ela retorna um pacote Access-Accept contendo três atributos RADIUS padrão IETF obrigatórios:

  • Tunnel-Type = VLAN (ou 13)
  • Tunnel-Medium-Type = 802 (ou 6)
  • Tunnel-Private-Group-ID = [VLAN ID]

O controlador Huawei recebe esses atributos e instrui o access point AirEngine a marcar o tráfego do cliente com o ID da VLAN especificado.

ppsk_vlan_segmentation.png

Guia de Implantação

Esta seção aborda as etapas exatas para configurar o iMaster NCE-Campus para a integração com a Purple.

Passo 1: Configurar o Servidor de Relay RADIUS

Primeiro, defina a Purple como o servidor de autenticação externo.

  1. No iMaster NCE-Campus, navegue até Design > Network Design > Template Management.
  2. Selecione RADIUS Server e clique em Create.
  3. Defina o Authentication service como Portal authentication.
  4. Insira os endereços IP primário e secundário do RADIUS da Purple (disponíveis no painel da Purple).
  5. Defina a porta de autenticação como 1812 e a porta de bilhetagem (accounting) como 1813.
  6. Insira o Segredo Compartilhado (Shared Secret) do RADIUS fornecido pela Purple.
  7. Defina o NAS identifier como Device MAC.

Passo 2: Criar a ACL de Walled Garden

Crie a ACL para permitir o tráfego antes da autenticação.

  1. Navegue até Design > Network Design > Template Management > ACL.
  2. Crie uma nova ACL chamada Purple_Walled_Garden.
  3. Defina o ACL Type como User.
  4. Adicione regras de permissão para DNS e domínios necessários da Purple (por exemplo, *.purpleportal.net).
  5. Salve o modelo de ACL.

Passo 3: Configurar o Modelo de URL do Captive Portal

A Huawei exige um modelo de URL para mapear os parâmetros de redirecionamento padrão para o formato exigido pela Purple.

  1. Navegue até Design > Network Design > Template Management > URL Template.
  2. Crie um novo modelo chamado Purple_URL_Template.
  3. Defina o Template Type como Cloud platform-based relay authentication.
  4. Configure o mapeamento de parâmetros exatamente como a seguir:
    • redirect-url mapeia para redirect-url
    • loginurl mapeia para login-url
    • device-mac mapeia para ap-mac
    • user-ip mapeia para uaddress
    • user-mac mapeia para umac
    • ssid mapeia para ssid

Etapa 4: Provisionar o SSID de Visitantes

Vincule o servidor RADIUS, ACL e o template de URL ao SSID.

  1. Navegue até Provision > Device Configuration > Site Configuration.
  2. Selecione AP e crie um novo SSID.
  3. Defina o Network Type como Open.
  4. Selecione Open+Portal authentication.
  5. Defina o tipo de autenticação como Relay authentication by cloud platform.
  6. Defina o modo de interconexão como RADIUS relay.
  7. Selecione o Purple_URL_Template criado anteriormente.
  8. No campo de URL de autenticação de terceiros, cole a URL exclusiva da sua splash page do Purple.
  9. Selecione o template de servidor RADIUS do Purple.
  10. Selecione a ACL Purple_Walled_Garden para a regra de permissão padrão.
  11. Salve e implante a configuração nos pontos de acesso AirEngine.

Melhores Práticas

Para garantir uma implantação segura e confiável, siga estas melhores práticas neutras de fornecedor:

  • Implemente 802.1X para Funcionários: Nunca use PSKs compartilhadas para redes de funcionários. Implante 802.1X com EAP-TLS usando o add-on SecurePass do Purple para emitir certificados de cliente. Isso elimina vetores de phishing baseados em senha e se alinha aos requisitos da ISO 27001.
  • Consolide SSIDs: A transmissão de muitos SSIDs degrada a eficiência do tempo de transmissão (airtime) devido à sobrecarga de frames de gerenciamento. Use PPSK e direcionamento dinâmico de VLAN para consolidar redes multi-tenant em um único SSID.
  • Verifique as Configurações de Trunk: A atribuição dinâmica de VLAN falha silenciosamente se a VLAN atribuída não for permitida na porta trunk do switch que conecta o ponto de acesso. Sempre audite as configurações de switchport antes de testar o direcionamento RADIUS.
  • Monitore a Latência do RADIUS: Os limites de tempo (timeouts) de autenticação geralmente decorrem da latência da WAN. Certifique-se de que seu controlador iMaster NCE-Campus tenha um caminho de baixa latência para a infraestrutura RADIUS regional do Purple.

Resolução de Problemas e Mitigação de Riscos

Ao integrar o RADIUS em nuvem com controladores corporativos, os problemas normalmente se isolam em três áreas: o Walled Garden, o segredo compartilhado (shared secret) do RADIUS ou o trunking de VLAN.

A Splash Page Falha ao Carregar

Sintoma: Um dispositivo se conecta ao WiFi de Visitantes, mas o navegador exibe um erro de timeout em vez da splash page do Purple. Causa Raiz: A ACL do Walled Garden está incompleta, bloqueando o acesso aos domínios do portal do Purple ou às CDNs necessárias. Mitigação: Conecte um dispositivo de teste ao SSID. Tente pingar purpleportal.net. Se o ping falhar, revise a configuração de ACL do iMaster NCE-Campus e garanta que ela seja aplicada ao estado de pré-autenticação do SSID.

Falhas Silenciosas de Autenticação

Sintoma: Um usuário insere credenciais válidas, mas a conexão cai sem uma mensagem de erro. Causa Raiz: Uma incompatibilidade no segredo compartilhado (shared secret) do RADIUS entre o iMaster NCE-Campus e o Purple. Mitigação: Copie o segredo compartilhado diretamente do painel do Purple e cole-o no template de servidor RADIUS da Huawei. Um único espaço em branco no final quebrará o hash MD5 usado nos pacotes RADIUS.

Timeout de DHCP Após a Autenticação

Sintoma: Um membro da equipe se autentica com sucesso via 802.1X, mas o dispositivo recebe um endereço APIPA 169.254.x.x em vez de um IP válido. Causa Raiz: O Purple atribuiu com sucesso uma VLAN dinâmica via RADIUS, mas essa VLAN não está em trunk para o ponto de acesso AirEngine. Mitigação: Faça login no switch de acesso e verifique se o comando port trunk allow-pass vlan inclui o ID da VLAN de destino na interface conectada ao AP.

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

A implantação do Huawei AirEngine com o Purple transforma uma infraestrutura de rede padrão em um ativo de negócios mensurável.

Para operadores de Varejo , essa integração captura dados primários (first-party data) dos compradores, permitindo campanhas de marketing direcionadas que atraem visitantes e aumentam o valor médio das transações. O painel de WiFi Analytics do Purple fornece mapas de calor e métricas de tempo de permanência, permitindo que os gerentes de estabelecimentos otimizem o layout das lojas com base no comportamento real dos visitantes.

Em ambientes de Hospitalidade , a autenticação automatizada via OpenRoaming ou Passpoint elimina o atrito dos logins manuais, aumentando as pontuações de satisfação dos hóspedes. Para edifícios multi-tenant, o direcionamento dinâmico de VLAN por PPSK reduz a sobrecarga de TI, eliminando a necessidade de provisionar e gerenciar manualmente SSIDs separados para cada novo locatário.

Ao unificar o engajamento de visitantes, a segurança da equipe e o isolamento de locatários em uma única infraestrutura de hardware, organizações maximizam o retorno sobre seu investimento no Huawei CloudCampus.

Definições principais

iMaster NCE-Campus

A plataforma de automação e gerenciamento de rede baseada em nuvem ou local da Huawei.

As equipes de TI usam isso como o controlador central para configurar SSIDs, aplicar políticas aos APs AirEngine e configurar o relay RADIUS para a Purple.

PPSK (Private Pre-Shared Key)

Um recurso de segurança que permite o uso de várias senhas exclusivas em um único SSID, com cada senha vinculando o usuário a uma política de rede ou VLAN específica.

Essencial para ambientes multi-tenant (como espaços de coworking ou centros comerciais) onde os locatários precisam de redes isoladas sem a transmissão de dezenas de SSIDs.

Dynamic VLAN Steering

O processo de atribuição de um dispositivo a uma Rede Local Virtual (VLAN) específica com base em sua identidade autenticada, em vez do SSID ao qual ele se conectou.

Usado pela Purple para garantir que um gerente, um caixa e um convidado que se conectam ao mesmo access point físico sejam colocados em segmentos de rede totalmente separados e seguros.

Walled Garden

Uma Lista de Controle de Acesso (ACL) aplicada a usuários não autenticados, permitindo o acesso apenas a endereços IP ou domínios específicos necessários para concluir o processo de login.

Se o Walled Garden estiver mal configurado, os visitantes verão uma tela em branco ou um erro de tempo limite em vez da splash page da Purple.

RADIUS Relay

Uma configuração na qual o controlador de rede local encaminha solicitações de autenticação dos access points para um servidor RADIUS externo.

O Huawei iMaster NCE-Campus atua como o relay, transmitindo credenciais com segurança do local para a infraestrutura em nuvem da Purple para validação.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O padrão corporativo para WiFi de funcionários. Ele substitui senhas compartilhadas por credenciais de usuário individuais ou certificados digitais.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação 802.1X que depende de certificados de cliente e servidor em vez de senhas.

O método de autenticação mais seguro disponível. O SecurePass da Purple emite esses certificados para dispositivos de funcionários para eliminar riscos de phishing.

Captive Portal

Uma página da web que um usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

O principal mecanismo que a Purple usa para capturar dados primários (first-party data) e consentimento dos visitantes do local.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer WiFi seguro e isolado para hóspedes, funcionários e uma cafeteria terceirizada que opera no lobby, usando apenas dois SSIDs para preservar o tempo de transmissão (airtime).

Implante um SSID chamado 'Hotel_Guest' configurado com uma política de autenticação Open+Portal apontando para o Captive Portal da Purple. Implante um segundo SSID chamado 'Hotel_Secure' configurado com autenticação WPA3-Enterprise e 802.1X. Os funcionários se autenticam via EAP-TLS, e a Purple retorna um atributo RADIUS atribuindo-os à VLAN 20. A cafeteria usa PPSK no mesmo SSID 'Hotel_Secure'; eles inserem uma senha exclusiva e a Purple retorna um atributo RADIUS atribuindo-os à VLAN 30.

Comentário do examinador: Essa abordagem otimiza o desempenho de RF ao limitar a sobrecarga de SSID. Ao aproveitar a Purple como a autoridade RADIUS central, o hotel alcança isolamento completo de Camada 2 entre os funcionários e o locatário, sem a necessidade de implantar hardware adicional ou roteamento complexo no lado do controlador.

Uma grande rede de varejo está migrando para o Huawei AirEngine e precisa garantir que sua página de login (splash page) existente da Purple seja carregada corretamente em todas as lojas, sem acionar avisos de segurança em smartphones modernos.

Configure o modelo de URL do iMaster NCE-Campus para mapear os parâmetros necessários (ap-mac, uaddress, umac, ssid, redirect-url) com precisão. Crie uma ACL de Walled Garden abrangente que permita o tráfego DNS (UDP 53) e HTTPS (TCP 443) para os domínios da Purple e quaisquer APIs de login social necessárias. Certifique-se de que o controlador intercepte o tráfego HTTP e o redirecione para a splash page HTTPS.

Comentário do examinador: As implementações modernas de sistemas operacionais (iOS, Android) usam mecanismos rígidos de detecção de Captive Portal. Se o Walled Garden bloquear as CDNs necessárias ou se o redirecionamento depender de certificados SSL inválidos, o sistema operacional interromperá a conexão. A configuração precisa da ACL é fundamental para uma experiência de usuário perfeita.

Questões práticas

Q1. Você configurou o SSID de Visitantes e a ACL de Walled Garden no iMaster NCE-Campus. Ao testar a conexão, seu telefone detecta o Captive Portal, mas a tela permanece em branco. Qual é a causa mais provável?

Dica: Considere o que o dispositivo precisa para carregar uma página da web moderna hospedada em uma plataforma de nuvem.

Ver resposta modelo

A ACL do Walled Garden provavelmente não possui regras de permissão para os domínios necessários. Especificamente, o DNS (UDP 53) deve ser permitido, juntamente com o acesso HTTPS aos domínios do portal da Purple e a quaisquer Redes de Distribuição de Conteúdo (CDNs) que hospedem os recursos da página. Se o login social estiver ativado, esses endpoints de API específicos também deverão ser permitidos antes da autenticação.

Q2. Um locatário que usa sua rede PPSK reclama que não consegue acessar a internet. Você verifica os logs do iMaster NCE-Campus e vê que a Purple retornou um Access-Accept do RADIUS com o Tunnel-Private-Group-ID definido como 40. No entanto, o dispositivo cliente tem um endereço IP de 169.254.x.x. Qual é o erro de configuração?

Dica: A autenticação foi bem-sucedida, mas o roteamento de rede falhou na borda.

Ver resposta modelo

A porta do switch que conecta o access point Huawei AirEngine à rede não está configurada para trunking da VLAN 40. Embora a Purple tenha autorizado o usuário com sucesso e o controlador tenha instruído o AP a marcar o tráfego com a VLAN 40, o switch upstream descartou os pacotes porque a VLAN não é permitida no trunk. Você deve adicionar a VLAN 40 à lista de permissões (allow-pass) do trunk no switch de acesso.

Q3. Você está migrando de um controlador legado para o Huawei iMaster NCE-Campus. Você configura o modelo de servidor RADIUS exatamente como estava no sistema antigo, mas todas as solicitações de autenticação falham silenciosamente. O que você deve verificar primeiro?

Dica: Falhas silenciosas no RADIUS geralmente indicam uma incompatibilidade criptográfica.

Ver resposta modelo

Verifique o Segredo Compartilhado (Shared Secret) do RADIUS. Se o segredo configurado no iMaster NCE-Campus não corresponder perfeitamente ao segredo no painel da Purple, os pacotes RADIUS não poderão ser descriptografados, resultando em falhas silenciosas ou mensagens de Access-Reject sem códigos de erro claros. Certifique-se de que não haja espaços extras ao copiar o segredo.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.

Ler o guia →