Integração de Access Points EnGenius Cloud com Purple WiFi

Esta referência técnica detalha a integração passo a passo dos Access Points EnGenius Cloud e switches ECS com a plataforma de guest WiFi da Purple. Ela abrange o redirecionamento do Captive Portal de visitantes por meio de uma página de splash externa, configuração de Walled Garden, Wi-Fi seguro para funcionários usando IEEE 802.1X e isolamento de rede multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Instaladores de TI e arquitetos de rede encontrarão sequências de configuração práticas, estudos de caso do mundo real e uma estrutura de solução de problemas para implantar a Purple em toda a infraestrutura de hardware EnGenius.

📖 9 min de leitura📝 2,239 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

ROTEIRO DO PODCAST: Integração dos Access Points EnGenius Cloud com o Purple WiFi
Purple WiFi Intelligence Platform - Série de Briefing Técnico
Duração: Aproximadamente 10 minutos
Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritativo

[INTRODUÇÃO - 1 MINUTO]

Bem-vindo à Série de Briefing Técnico da Purple. Hoje abordaremos algo que surge regularmente em implantações corporativas: a integração de access points EnGenius Cloud com a plataforma de WiFi para convidados da Purple.

Se você gerencia uma infraestrutura EnGenius, sejam access points da série ECW em um hotel, em uma rede de varejo ou em um edifício de escritórios multi-tenant, e deseja adicionar um captive portal personalizado com sua marca, coletar dados primários de visitantes e aplicar a segmentação de rede adequada, este briefing é para você.

Nos próximos dez minutos, quero guiar você pelas quatro principais áreas de configuração: redirecionamento de captive portal de convidados, configuração de walled garden, WiFi seguro para funcionários usando 802.1X e isolamento multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Ao final, você terá uma visão clara de exatamente o que configurar, em qual ordem e quais são as armadilhas comuns.

Vamos começar.

[IMERSÃO TÉCNICA - 5 MINUTOS]

Vamos começar com o captive portal para convidados, o ponto de partida mais comum para qualquer operador de local de evento.

O EnGenius Cloud oferece suporte nativo a splash pages externas. Isso significa que, em vez de hospedar uma página de login básica no próprio access point, você redireciona os convidados não autenticados para o portal hospedado na nuvem da Purple. É aqui que ficam a personalização da marca, a captura de dados, o gerenciamento de consentimento e as análises.

Aqui está a sequência de configuração no EnGenius Cloud. Faça login no painel do EnGenius Cloud e navegue até Configurar e depois SSID. Selecione seu SSID de convidados. Na guia Sem fio, defina o tipo de segurança como Aberto ou WPA2 PSK, dependendo de sua preferência. O modo Aberto é o padrão para a maioria das implantações de WiFi de convidados. Em seguida, mude para a guia Captive Portal. Ative o captive portal e defina o Tipo de Autenticação como RADIUS Personalizado. Esta é a configuração principal. Ela instrui o access point a encaminhar as solicitações de autenticação para um servidor RADIUS externo, que neste caso é o endpoint RADIUS na nuvem da Purple.

Agora insira os detalhes do RADIUS da Purple. O IP do servidor RADIUS principal é fornecido no painel da Purple em Configuração de Hardware. A porta de autenticação é UDP 1812. A porta de bilhetagem (accounting) é UDP 1813. Insira o segredo compartilhado (shared secret). A Purple gera isso para você, e ele deve ter pelo menos 22 caracteres, misturando maiúsculas, minúsculas, números e símbolos. Defina o identificador NAS para corresponder ao nome do seu local de evento ou a um identificador exclusivo que você definiu na Purple.
Em seguida, acesse a guia Splash Page. Selecione External Splash Page URL e insira a URL do portal Purple. Essa é a URL que a Purple fornece para o seu local específico. Quando um convidado se conecta ao SSID e abre um navegador, o ponto de acesso intercepta a solicitação e os redireciona para essa URL, passando parâmetros que incluem o endereço MAC do cliente, o endereço MAC do AP e a URL original que o convidado estava tentando acessar.

Agora, o walled garden. Essa é a lista de domínios e endereços IP que os convidados podem acessar antes de se autenticarem. Sem isso, o próprio portal Purple não pode ser carregado, porque o navegador do convidado não consegue acessar os servidores da Purple. No EnGenius Cloud, o walled garden fica em Captive Portal, depois Advanced Settings e, em seguida, Walled Garden. Você precisa adicionar o domínio do portal Purple, os endpoints da CDN da Purple e os endpoints de teste de portal cativo do sistema operacional. Para dispositivos Apple, é captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Se esquecer de algum desses, os convidados nessas plataformas não verão o portal de forma alguma.

Se você estiver oferecendo login social por meio do Google ou Facebook, também precisará colocar na lista de permissões os endpoints OAuth desses provedores. O Google exige accounts.google.com, oauth2.googleapis.com e apis.google.com, no mínimo. O Facebook exige www.facebook.com, graph.facebook.com e connect.facebook.net. A documentação de suporte da Purple fornece uma lista atualizada de walled garden para cada método de autenticação. Use-a como referência, pois esses domínios mudam.

Agora vamos passar para o WiFi seguro da equipe usando 802.1X.

Este é um SSID separado. O tipo de segurança aqui é WPA2 Enterprise ou WPA3 Enterprise. No EnGenius Cloud, na guia SSID Wireless, selecione WPA2 Enterprise e escolha Custom RADIUS. Insira os mesmos detalhes do servidor RADIUS: o endpoint RADIUS da Purple, porta 1812 e o segredo compartilhado. A diferença em relação à configuração de convidados é que não há Captive Portal aqui. Os dispositivos da equipe se autenticam silenciosamente usando o protocolo IEEE 802.1X. O dispositivo apresenta um certificado ou nome de usuário e senha ao servidor RADIUS, que os valida e retorna uma mensagem Access-Accept junto com os atributos de atribuição de VLAN.

Os atributos RADIUS que geram a atribuição dinâmica de VLAN são Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o número da VLAN. Portanto, se a VLAN da sua equipe for a VLAN 20, o servidor RADIUS retornará Tunnel-Private-Group-ID com o valor 20. O ponto de acesso EnGenius lê esse atributo e coloca o dispositivo autenticado na VLAN 20 automaticamente. Isso significa que você pode ter um único SSID atendendo a várias funções da equipe (finanças, operações, TI, prestadores de serviços), cada um entrando em uma VLAN diferente com base em sua associação ao grupo de diretório, tudo sem nenhuma configuração manual de VLAN por dispositivo.

Para o método EAP, o PEAP-MSCHAPv2 é a escolha mais comum para ambientes que usam Active Directory ou Microsoft Entra ID. Ele requer um certificado no lado do servidor no servidor RADIUS e credenciais de usuário-senha no cliente. O EAP-TLS é mais seguro. Ele usa certificados em ambos os lados. Mas requer uma infraestrutura PKI e implantação de MDM para enviar os certificados para os dispositivos. Para a maioria dos operadores de locais, o PEAP-MSCHAPv2 com validação estrita de certificado aplicada via Política de Grupo ou MDM é a escolha prática.

Agora, a parte tecnicamente mais interessante: EnGenius MyPSK e isolamento multi-tenant.

O MyPSK, também chamado de PPSK ou Private Pre-Shared Key, resolve um problema específico em ambientes multi-tenant. Em um empreendimento de aluguel residencial (build-to-rent), em um escritório compartilhado ou em um condomínio estudantil, você deseja que cada inquilino ou residente tenha sua própria senha de WiFi exclusiva. Mas você não quer criar um SSID separado para cada inquilino. Isso gera congestionamento de radiofrequência e sobrecarga de gerenciamento.

O MyPSK permite criar até 500 chaves pré-compartilhadas exclusivas por SSID. Cada chave é vinculada a uma VLAN específica. Quando um residente se conecta usando sua chave exclusiva, o ponto de acesso o coloca automaticamente em sua VLAN designada. O tráfego do Inquilino A nunca toca o segmento de rede do Inquilino B. A criptografia também é por usuário. Cada chave gera uma Pairwise Master Key exclusiva, de modo que um inquilino não consegue decodificar o tráfego aéreo de outro inquilino, mesmo compartilhando o mesmo SSID.

No EnGenius Cloud, você configura o MyPSK nas configurações de segurança do SSID. Selecione WPA2 PSK ou WPA3 Personal e, em seguida, ative o MyPSK. Você pode então criar PSKs individualmente ou gerar automaticamente lotes de até 50 por vez. Para cada PSK, você atribui um ID de VLAN e, opcionalmente, define uma data de expiração. Quando um contrato de aluguel termina ou um estudante se forma, você simplesmente expira ou exclui o PSK dele. O acesso é revogado imediatamente sem afetar nenhum outro inquilino.

Para a integração com a Purple em um ambiente MyPSK, os inquilinos voltados para convidados ainda podem ser direcionados através de um Captive Portal em sua VLAN. Os funcionários e inquilinos operacionais ignoram o portal completamente. A segmentação de VLAN garante que os dados analíticos da Purple sejam atribuídos corretamente por segmento de rede.

[RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS]

Deixe-me apresentar a sequência de implementação que recomendo para uma primeira implantação limpa.

Comece com sua arquitetura de VLAN antes de tocar na configuração de WiFi. Defina a VLAN 10 para convidados, a VLAN 20 para funcionários, a VLAN 30 para inquilinos ou a numeração que melhor se ajuste ao seu esquema existente. Configure essas VLANs em seus switches ECS primeiro, com as atribuições apropriadas de porta trunk e acesso. Os pontos de acesso precisam receber tráfego marcado (tagged) na porta de uplink para cada VLAN que você planeja usar.

Em seguida, configure os SSIDs no EnGenius Cloud nesta ordem: primeiro o SSID de convidados, pois é o mais simples. Valide o redirecionamento do Captive Portal para o Purple antes de prosseguir. Depois, configure o SSID de funcionários com 802.1X. Teste com um dispositivo conhecido antes de implementar em toda a infraestrutura. Por fim, configure o MyPSK se precisar de isolamento multi-tenant.

As armadilhas. Primeiro, o walled garden. Esta é a principal causa de falhas em implantações de Captive Portal. Se os convidados não conseguirem acessar o portal, verifique o walled garden primeiro. Segundo, divergência no segredo compartilhado do RADIUS. O segredo compartilhado deve ser idêntico tanto na configuração do EnGenius Cloud quanto na configuração do servidor RADIUS do Purple. Uma diferença de um único caractere faz com que todas as autenticações falhem silenciosamente. Terceiro, configuração de trunk de VLAN no switch. Se a porta do switch ECS que conecta ao access point não estiver configurada como trunk transportando todas as VLANs necessárias, a atribuição dinâmica de VLAN falhará. Quarto, validação de certificado em clientes 802.1X. Se os dispositivos dos funcionários não estiverem configurados para validar o certificado do servidor RADIUS, eles estarão vulneráveis ao roubo de credenciais por meio de access points invasores. Force isso via Diretiva de Grupo para Windows e perfis de MDM para todos os outros sistemas.

[PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO]

Algumas perguntas que ouço regularmente sobre implantações do EnGenius e Purple.

Posso usar o RADIUS do EnGenius Cloud em vez do RADIUS do Purple? Sim, para autenticação interna. Mas para WiFi de convidados com os analytics e portal do Purple, você precisa apontar para o endpoint RADIUS do Purple. Ambos podem coexistir em SSIDs diferentes.

O MyPSK funciona com WPA3? Sim. O EnGenius suporta WPA3 e o modo misto WPA2/WPA3 com MyPSK, de modo que os dispositivos compatíveis com WPA3 obtêm autenticação SAE enquanto os dispositivos mais antigos utilizam o WPA2 PSK como alternativa, todos usando a mesma chave por usuário.

O Purple suporta accounting RADIUS para dados de sessão? Sim. Ative o servidor de accounting na configuração RADIUS do EnGenius Cloud, apontando para o endpoint de accounting do Purple na porta UDP 1813. Isso envia a duração da sessão e o volume de dados para o analytics do Purple.

[RESUMO E PRÓXIMOS PASSOS - 1 MINUTO]

Para resumir. Os access points do EnGenius Cloud se integram perfeitamente com a plataforma de WiFi de convidados do Purple por meio de quatro camadas de configuração. O redirecionamento do Captive Portal de convidados usa RADIUS Personalizado e uma URL externa de splash page apontando para o Purple. A lista de permissões do walled garden garante que o portal seja carregado antes da autenticação. O WiFi de funcionários usa WPA2 Enterprise com 802.1X e atribuição dinâmica de VLAN via atributos RADIUS. E o isolamento multi-tenant usa o EnGenius MyPSK para atribuir chaves exclusivas por usuário vinculadas a VLANs específicas, com datas de expiração opcionais para acesso por tempo limitado.

O Purple opera em 80.000 locais e processou 440 milhões de logins apenas em 2024. A plataforma possui certificação ISO 27001, é em conformidade com a GDPR e é independente de hardware, o que é exatamente o motivo pelo qual ela funciona perfeitamente com o EnGenius, juntamente com Cisco Meraki, HPE Aruba, Ruckus e o restante do ecossistema de hardware corporativo.

Se você estiver pronto para a implantação, comece com o guia de configuração de walled garden na documentação de suporte da Purple e, em seguida, realize a configuração do SSID no EnGenius Cloud. O guia passo a passo completo está disponível em purple.ai. Obrigado por ouvir.

Principais conclusões

✓O EnGenius Cloud integra-se ao Purple via RADIUS personalizado (UDP 1812/1813) e uma URL de splash page externa configurada nas configurações de Captive Portal do SSID.
✓Um Walled Garden configurado corretamente é o elemento mais crítico para implantações de Captive Portal — ele deve incluir endpoints de teste de SO, domínios de CDN da Purple e todos os domínios OAuth de login social.
✓O IEEE 802.1X com WPA2/WPA3 Enterprise oferece autenticação segura e sem senha para funcionários com atribuição dinâmica de VLAN baseada em atributos RADIUS Tunnel-Private-Group-ID.
✓O EnGenius MyPSK oferece isolamento multilocatário em um único SSID, atribuindo PSKs e VLANs exclusivas a usuários individuais, suportando até 500 chaves por SSID com datas de expiração opcionais.
✓Configure as portas trunk do switch ECS antes de configurar os SSIDs — a atribuição dinâmica de VLAN falha silenciosamente se o switch não puder trafegar a VLAN atribuída.
✓O PEAP-MSCHAPv2 só é seguro com validação estrita de certificado de servidor aplicada via Diretiva de Grupo ou MDM — implante isso antes de qualquer lançamento de 802.1X.
✓A Purple processa 440 milhões de logins anualmente em mais de 80.000 locais e possui certificação ISO 27001, é compatível com GDPR e é agnóstica em termos de hardware em equipamentos Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

執行摘要

企業 WiFi 若依賴共用的預先共用金鑰，會使場域面臨重大的安全性風險，且無法收集有價值的首方數據。本指南詳細說明 EnGenius Cloud Access Points 與 Purple 的 Guest WiFi 平台的整合，旨在為旅宿餐飲、零售及多租戶環境提供安全、隔離且可衡量的無線網路。透過為員工實施 IEEE 802.1X 驗證、透過 EnGenius MyPSK 為住戶與租戶進行動態 VLAN 分配，以及為訪客提供雲端託管的 Captive Portal，IT 團隊可以執行嚴格的存取控制，同時將無線基礎設施轉化為商業智慧資產。

Purple 每年在 80,000 多個實體場域處理 4.4 億次登入（Purple 內部數據，2024 年）。該平台已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，且不受硬體品牌限制，這也正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 完美整合的原因。本指南涵蓋在 EnGenius Cloud 硬體上部署 Purple 所需的四個配置層：訪客 Captive Portal 重導向、Walled Garden 設定、安全員工 WiFi，以及使用 EnGenius MyPSK 的多租戶隔離。

技術深度解析

架構概述

EnGenius Cloud 與 Purple 之間的整合依賴於標準 RADIUS 協定與 HTTP 重導向。當訪客在啟用 Captive Portal 的 SSID 上連線至 EnGenius ECW 存取點（AP）時，AP 會攔截第一個 HTTP 請求，並將瀏覽器重導向至 Purple 的雲端託管歡迎頁面。此重導向會向該入口網站傳遞多個參數（包括 client_mac、ap_mac 與 userurl），Purple 會使用這些參數來追蹤工作階段並回傳驗證決策。

針對員工與營運設備，其架構則從 Captive Portal 重導向轉變為基於 IEEE 802.1X 連接埠的網路存取控制。EnGenius 存取點作為驗證器，透過 UDP 連接埠 1812 將可延伸驗證協定（EAP）訊息轉發至 Purple 的 RADIUS 伺服器。驗證成功後，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，指示 AP 將該裝置放置在正確的網路區段中。

層級	SSID 類型	驗證方法	VLAN 分配
Guest WiFi	Open 或 WPA2 PSK	透過自訂 RADIUS 的 Purple Captive Portal	靜態（例如 VLAN 10）
Staff WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP 或 EAP-TLS)	透過 RADIUS 屬性動態分配
多租戶	搭配 MyPSK 的 WPA2/WPA3 PSK	每使用者 PSK	每金鑰 VLAN 綁定

EnGenius Cloud 平台

EnGenius Cloud 是一個雲端管理的網路平台，支援 ECW 系列無線基地台（包括 ECW220、ECW230 和 ECW520 WiFi 7 機型）以及 ECS 系列管理型交換器。此平台為組織內所有裝置提供了一個集中式儀表板，用於管理 SSID、RADIUS 設定、VLAN 標記以及 Captive Portal 設定。EnGenius Cloud 支援三種基於 RADIUS 的 Captive Portal 認證類型：EnGenius Authentication（使用內建的 Cloud RADIUS）、Custom RADIUS（指向外部伺服器，例如 Purple）以及憑證服務（Voucher Service）。

對於企業級部署，與 Purple 進行整合時，正確的認證類型為 Custom RADIUS。此模式會指示無線基地台將認證請求代理傳送至 Purple 的 RADIUS 端點，從而啟用 Purple 的入口網站、分析和數據擷取功能。

EnGenius MyPSK 與多租戶隔離

在建案出租住宅、學生宿舍、服務式辦公室或共享工作空間等環境中，為每個租戶廣播獨立的 SSID 會降低無線射頻效能。每增加一個 SSID 都會產生信標訊框（beacon frames），消耗空中傳輸時間並減少可用於數據流量的容量。EnGenius MyPSK（亦稱為 PPSK 或個人預共用金鑰）透過在單一 SSID 上允許高達 500 個不重複的 PSK 來解決此問題。

每個金鑰都綁定至特定的 VLAN。當住戶使用其專屬金鑰連線時，無線基地台會自動將其置於指定的網路區段中。加密是針對每位使用者的：每個金鑰都會產生一個不重複的成對主金鑰（PMK），因此即使租戶共用相同的 SSID，其中一個租戶也無法解密另一個租戶的空中傳輸流量。相較於單一共用 PSK（任何知道密碼的使用者都可以解密網路上所有流量），這是一個根本上的安全性優勢。

MyPSK 金鑰支援到期日設定，非常適合有時間限制的存取情境：學生的金鑰在學年結束時過期、承包商的金鑰在其約期結束時過期，而會議出席者的金鑰則在活動最後一天的午夜過期。

實作指南

步驟 1：定義您的 VLAN 架構

在設定任何 SSID 之前，請先在您的 ECS 交換器上定義 VLAN 結構。典型的部署會使用三個 VLAN：

VLAN ID	用途	存取原則
VLAN 10	訪客 WiFi	僅限網際網路，與企業區域網路隔離
VLAN 20	員工 WiFi	完整企業區域網路存取權限
VLAN 30	租戶/住戶 WiFi	獨立的每租戶區段

步驟 2：配置訪客 Captive Portal（EnGenius Captive Portal 設定）

這是部署帶有 Purple 的 EnGenius Splash Page 的主要配置。

登入您的 EnGenius Cloud 控制面板： cloud.engenius.ai 。
導覽至 Configure > SSID 並選擇您的訪客網路（例如 "VenueGuest"）。
在 Wireless 索引標籤下，將安全性類型（Security Type）設定為 Open。這是訪客 WiFi 的標準設定；訪客是在 Portal 層進行識別與驗證，而非在關聯層。
切換至 Captive Portal 索引標籤並啟用 Portal。
將驗證類型（Authentication Type）設定為 Custom RADIUS。
輸入 Purple RADIUS 伺服器詳細資訊：

欄位	值
RADIUS 伺服器 IP	於 Purple 控制面板的硬體配置（Hardware Configuration）中提供
驗證連接埠 (Authentication Port)	UDP 1812
計費連接埠 (Accounting Port)	UDP 1813
共用金鑰 (Shared Secret)	由 Purple 產生的 22 個以上字元的字串
NAS 識別碼 (NAS Identifier)	您的場地名稱或 Purple 場地 ID

切換至 Splash Page 索引標籤。
選擇 External Splash Page URL。
輸入您場地的 Purple Portal URL（格式：https://portal.purple.ai/[venue-id]）。
按一下 Apply。

步驟 3：配置 Walled Garden

必須配置 Walled Garden（EnGenius 訪客 WiFi 白名單），以允許在驗證前存取載入 Portal 所需的網域。導覽至 Captive Portal > Advanced Settings > Walled Garden 並新增以下項目：

Purple 基礎架構：

*.purple.ai
*.purpleportal.net

作業系統 Captive Portal 探測（強制性）：

captive.apple.com (iOS 和 macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

社群登入（若啟用）：

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

請務必使用網域名稱而非靜態 IP 位址。社群登入供應商使用動態 IP 範圍和任播（Anycast）路由；隨著 CDN 位址的變更，靜態 IP 白名單效能將會逐漸下降。

步驟 4：配置安全員工 WiFi (802.1X)

用於員工 WiFi 的 EnGenius RADIUS 設定採用 WPA2 Enterprise，以提供憑證型、無密碼的驗證。

建立新的 SSID（例如 "VenueStaff"）。
在 Wireless 索引標籤下，將安全性類型設定為 WPA2 Enterprise。
選擇 Custom RADIUS 並輸入 RADIUS 伺服器 IP、連接埠 1812 以及共用金鑰。
不需要 Captive Portal。員工裝置會透過 802.1X 自動在背景完成驗證。
配置您的 RADIUS 伺服器，使其在 Access-Accept 上傳回以下屬性：

RADIUS 屬性	值
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (或您的員工 VLAN ID)

關於 EAP 方法的選擇：對於使用 Microsoft Entra ID 或 Active Directory 的環境，PEAP-MSCHAPv2 是最實用的選擇。EAP-TLS 透過完全消除密碼來提供更強的安全性，但需要公開金鑰基礎建設（PKI）和 MDM 解決方案來部署用戶端憑證。請務必透過群組原則（Windows）或 MDM 設定檔（macOS、iOS、Android），在所有用戶端裝置上強制執行嚴格的伺服器憑證驗證，以防止惡意存取點竊取憑證。

步驟 5：配置 EnGenius MyPSK 以實現多租戶隔離

適用於多租戶環境的 EnGenius MyPSK 設定：

建立一個新的 SSID（例如 "VenueResident"）。
在 Wireless 索引標籤下，將安全類型設定為 WPA2 PSK 或 WPA3 Personal。
啟用 MyPSK（Private PSK）。
按一下 Add PSK 建立個別的金鑰，或使用 Auto-Generate 一次批次產生最多 50 個金鑰。
為每個 PSK 分配一個 VLAN ID，並可選擇設定 Start Date（開始日期）和 Expiration Date（過期日期）。
將每個唯一的 PSK 分發給對應的租戶或住戶。

當租戶的租約結束時，刪除或使其 PSK 過期。存取權限會立即被撤銷，且不會影響網路上的任何其他租戶。

最佳實踐

在 802.1X 用戶端上強制執行嚴格的憑證驗證。 只有當用戶端設定為針對信任的 CA 驗證 RADIUS 伺服器的憑證時，PEAP-MSCHAPv2 才是安全的。如果沒有此設定，惡意存取點可能會呈現欺詐性憑證並竊取認證資訊。請透過 Windows 的群組原則物件（GPO）以及所有其他平台的 MDM 組態設定檔來部署驗證設定。對於任何受法規監管環境中的部署，這是不可妥協的要求。

在 Walled Garden 中使用動態 DNS 解析。 Google、Apple 和 Meta 的 OAuth 和 CDN 端點使用的是動態 IP 範圍。請將 Walled Garden 條目配置為網域名稱，並確保您的 EnGenius Cloud 控制器能對其進行動態解析。隨著 CDN IP 的更替，靜態 IP 白名單將會導致驗證失敗。

使用 MAC 驗證繞過（MAB）隔離 IoT 裝置。 印表機、顯示器和 IoT 感測器等無介面裝置無法透過 802.1X 進行驗證。請使用 MAC 驗證繞過（MAB）來識別它們，並將其放入受限制的 VLAN 中，同時配合防火牆規則以防止橫向移動。MAB並非一種安全控制手段，而是一種裝置識別機制。請將經 MAB 驗證的裝置視為不受信任的裝置。

實作 RADIUS 計費。 在 EnGenius Cloud 的 RADIUS 配置中啟用計費伺服器，將其指向 Purple 在 UDP 1813 上的計費端點。這會將工作階段持續時間、數據量和裝置資訊傳送到 Purple 的 WiFi Analytics 平台，提供證明基礎建設投資價值的場地使用率數據。

每季審查 Walled Garden。 OAuth 提供商與 CDN 會變更其網域結構。Apple 在 2023 年曾兩次更新其登入網域。請將 Walled Garden 的每季審查納入您的營運行事曆。如需企業 WiFi 安全實務的進一步指引，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

症狀：Captive Portal 無法在 iOS 裝置上載入。 原因：captive.apple.com 未加入 Walled Garden。iOS 使用此端點來偵測 Captive Portal 的存在並觸發 Captive Network Assistant。若缺少此端點，裝置會報告「無網際網路連線」，且永遠不會開啟 Portal 瀏覽器。解決方法：在 EnGenius Cloud 的「Captive Portal > 進階設定」中，將 captive.apple.com 新增至 Walled Garden。

症狀：驗證無聲無息地失敗 - RADIUS 沒有傳回回應。 原因：EnGenius Cloud 與 Purple RADIUS 伺服器設定之間的共用金鑰（Shared Secret）不一致。單一字元的差異就會導致所有驗證請求被捨棄。解決方法：在兩個系統中重新輸入共用金鑰。請從純文字來源複製貼上，以避免隱形字元的置換。

症狀：802.1X 用戶端已驗證，但未收到 IP 地址。 原因：ECS 交換器上行鏈路連接埠未設定為 Trunk 埠，或者 RADIUS 伺服器傳回的 VLAN 在該 Trunk 上不被允許。解決方法：驗證交換器連接埠設定。該連接埠必須是 Trunk 埠，且承載 RADIUS 回應中所參照的所有 VLAN。

症狀：MyPSK 用戶端已連線，但可以接觸到其他租戶的裝置。 原因：SSID 上未啟用用戶端隔離（Client Isolation），或者交換器上的 VLAN 設定未能正確隔離各個區段。解決方法：在 EnGenius Cloud 的 SSID 中啟用用戶端隔離。驗證上游路由器或防火牆上，每個 VLAN 是否都設定了適當的跨 VLAN 路由規則。

症狀：社群媒體登入按鈕有載入，但驗證失敗。 原因：Walled Garden 中遺漏了一個或多個 OAuth 提供商的子網域。Google 與 Meta 在其驗證流程中使用了多個子網域。解決方法：從未驗證的裝置上擷取瀏覽器主控台（Console）輸出，以識別哪個網域被封鎖。將遺漏的網域新增至 Walled Garden。請參閱 Purple 的 Walled Garden 網域白名單文件以取得最新列表。

投資報酬率（ROI）與業務影響

將 Purple 與 EnGenius Cloud 協同部署，能將無線基礎設施從成本中心轉變為數據資產。場地營運商可透過訪客自願同意的選擇，收集完全合規的第一方人口統計數據，進而實現精準的行銷活動與可衡量的參與度。對於 IT 團隊而言，轉向 802.1X 與 MyPSK 消除了管理共用密碼的營運開銷，減少了與存取問題相關的支援工單，並提供了網路使用狀況的精細可視性。

對於旅宿業營運商而言，Premier Inn（Purple 的知名客戶）利用顧客 WiFi 數據來提高忠誠度計劃的參與度，並個性化發送訪問後的溝通訊息。對於零售環境，結合來自 Purple 的 WiFi Analytics 平台的客流量分析與停留時間數據，可提供商品陳列洞察，獨立於安全效益之外，證明了基礎設施投資的合理性。

在多租戶環境中，MyPSK 消除了解決每個租戶需要獨立實體網路基礎設施的需求。單台 EnGenius ECW 基地台即可在單一 SSID 上為 500 個隔離的租戶提供服務，從而降低硬體成本並簡化日常管理。當租戶搬離時，其 PSK 會在幾秒鐘內被刪除，無需更改密碼，也不會對其他住戶造成影響。

Purple 的平台與硬體無關，這意味著相同的 Purple 設定、分析和數據擷取層可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上運行。如果您的資產中混合了 EnGenius 和其他廠商，Purple 可為所有設備提供單一管理介面來進行顧客 WiFi 管理。如需相關部署指南，請參閱我們的 DrayTek Vigor 整合指南。

Definições principais

Captive Portal

Uma página web que intercepta a primeira requisição HTTP de um usuário após se conectar a uma rede WiFi e exige que ele se autentique ou aceite os termos antes de conceder acesso à internet.

O mecanismo primário para integração de convidados, captura de dados e gerenciamento de consentimento em conformidade com a GDPR em implantações do Purple. O EnGenius Cloud suporta páginas de Captive Portal internas e externas.

Walled Garden

A lista de permissões (whitelist) explícita de domínios e endereços IP com os quais um dispositivo cliente pode se comunicar antes de se autenticar com sucesso através do Captive Portal.

Necessário para permitir que os dispositivos alcancem os servidores do portal do Purple, endpoints de sondagem de SO e provedores de identidade de terceiros, como Google ou Microsoft Entra ID, antes que a autenticação seja concluída.

EnGenius MyPSK

Um recurso que permite aos administradores de rede criar múltiplas Pre-Shared Keys exclusivas em um único SSID, cada uma vinculada a uma VLAN específica para isolamento de rede.

Usado em ambientes de múltiplos inquilinos (multi-tenant) para fornecer segmentos de rede seguros e isolados sem transmitir múltiplos SSIDs. Suporta até 500 chaves exclusivas por SSID com datas de expiração opcionais.

Atribuição dinâmica de VLAN

O processo no qual um servidor RADIUS instrui um ponto de acesso a colocar um dispositivo autenticado em uma VLAN específica com base na associação de grupo de diretório, usando o atributo Tunnel-Private-Group-ID.

Permite que um único SSID 802.1X segmente o tráfego de forma segura para diferentes funções de funcionários automaticamente, sem configuração manual de VLAN por dispositivo.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN, usando EAP para transportar credenciais para um servidor RADIUS.

A base da segurança WiFi corporativa para redes de funcionários, substituindo senhas compartilhadas vulneráveis por validação individualizada de credenciais ou certificados.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Bilhetagem para acesso à rede.

O protocolo usado pelos pontos de acesso EnGenius para se comunicar com os servidores de autenticação do Purple. A autenticação usa a porta UDP 1812; a bilhetagem (accounting) usa a porta UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2; um método 802.1X que cria um túnel TLS usando um certificado do lado do servidor, dentro do qual as credenciais de usuário e senha são trocadas.

O método de implantação 802.1X mais comum para ambientes que usam Active Directory ou Microsoft Entra ID. Exige validação estrita de certificado de servidor nos clientes para evitar o roubo de credenciais.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação 802.1X que exige certificados digitais tanto no servidor RADIUS quanto em cada dispositivo cliente, eliminando completamente o uso de senhas.

O método 802.1X mais seguro, recomendado para ambientes de alta segurança. Requer uma infraestrutura de chaves públicas (PKI) e uma solução de MDM para implantar certificados de cliente.

NAS Identifier

Network Access Server Identifier; um atributo de string incluído nas requisições RADIUS para identificar o ponto de acesso ou controladora que originou a solicitação de autenticação.

Configurado no EnGenius Cloud para corresponder ao identificador de local na plataforma do Purple, garantindo que os dados de análise e sessão sejam atribuídos ao local correto.

PMK

Pairwise Master Key; a chave criptográfica derivada de uma PSK e do nome do SSID, usada para criptografar a sessão sem fio entre um cliente específico e o ponto de acesso.

Em implantações MyPSK, cada PSK exclusivo gera uma PMK distinta, impedindo que um inquilino decifre o tráfego de outro, mesmo no mesmo SSID.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer acesso Wi-Fi contínuo aos hóspedes, acesso seguro à equipe do hotel e redes isoladas para três concessões de varejo no lobby, tudo usando os mesmos access points EnGenius ECW e switches ECS.

Implante três SSIDs no mesmo hardware. SSID 1 (VenueGuest): Segurança aberta com RADIUS personalizado apontando para o endpoint RADIUS da Purple. URL da página de splash externa configurada para o portal Purple. Walled Garden preenchido com sondas de SO, domínios CDN da Purple e endpoints do Google OAuth. VLAN 10 atribuída estaticamente. SSID 2 (VenueStaff): WPA2 Enterprise com RADIUS personalizado. Sem Captive Portal. O servidor RADIUS retorna Tunnel-Private-Group-ID de 20 para todos os funcionários, com subgrupos (finanças, operações, manutenção) mapeados para as VLANs 21, 22 e 23, respectivamente. SSID 3 (VenueRetail): WPA2 PSK com MyPSK ativado. Três PSKs exclusivos criados, cada um vinculado às VLANs 31, 32 e 33. Datas de expiração configuradas para corresponder ao prazo de locação de cada concessão. A porta de uplink do switch ECS está configurada como um trunk que transporta as VLANs 10, 20-23 e 31-33.

Comentário do examinador: Essa abordagem minimiza a sobrecarga de SSID para apenas três transmissões, reduzindo a interferência de canal compartilhado, ao mesmo tempo em que impõe um isolamento estrito de Camada 2 entre hóspedes, funcionários e locatários terceirizados. A atribuição dinâmica de VLAN para a equipe elimina a reconfiguração manual quando os funcionários mudam de função. As datas de expiração do MyPSK automatizam a revogação de acesso para as concessões de varejo sem exigir intervenção de TI.

Um campus universitário que implanta o EnGenius Cloud relata que os alunos que tentam fazer login no portal de visitantes da Purple usando suas contas do Google Workspace estão recebendo um erro no navegador após clicar no botão de login do Google. A página do portal em si carrega corretamente.

O carregamento da página do portal confirma que os domínios CDN da Purple estão corretamente na lista de permissões. A falha na etapa de login do Google indica que um ou mais domínios do Google OAuth estão ausentes do Walled Garden. Navegue até EnGenius Cloud > Captive Portal > Configurações Avançadas > Walled Garden e adicione: accounts.google.com, oauth2.googleapis.com, apis.google.com e *.gstatic.com. O caractere curinga gstatic.com é necessário porque o Google serve suas bibliotecas JavaScript do lado do cliente a partir desta CDN. Após atualizar o Walled Garden, teste com um dispositivo não autenticado e capture a saída do console do navegador para confirmar que nenhum outro domínio está bloqueado.

Comentário do examinador: Falhas de OAuth na etapa do provedor (e não na etapa de carregamento do portal) são quase universalmente causadas por configurações incompletas de Walled Garden. O Captive Portal intercepta a chamada HTTPS para o provedor de identidade, a menos que o domínio seja explicitamente liberado. O uso de entradas curinga (*.gstatic.com) é a abordagem pragmática para provedores que usam múltiplos subdomínios CDN, desde que a sua versão do EnGenius Cloud suporte entradas curinga no Walled Garden.

Questões práticas

Q1. Você implanta um Captive Portal da Purple em pontos de acesso EnGenius ECW. Convidados usando Android relatam que seus dispositivos mostram 'Conectado, sem internet' e o portal nunca aparece. Convidados usando iOS no mesmo SSID visualizam o portal corretamente. Qual é o erro de configuração mais provável e como você o corrige?

Dica: Android e iOS usam endpoints de teste de Captive Portal diferentes.

Ver resposta modelo

O Android usa connectivitycheck.gstatic.com como seu endpoint de teste de Captive Portal. O iOS usa captive.apple.com. Se os convidados com iOS veem o portal mas os com Android não, o connectivitycheck.gstatic.com está faltando no Walled Garden. Adicione-o no EnGenius Cloud em Captive Portal > Advanced Settings > Walled Garden. Adicione também connectivitycheck.android.com e www.google.com , pois o Android usa múltiplas URLs de teste dependendo da versão do dispositivo.

Q2. Um local configura 802.1X em um SSID EnGenius. Os dispositivos da equipe autenticam com sucesso (os logs do servidor RADIUS mostram Access-Accept), mas os dispositivos recebem um endereço APIPA 169.x.x.x em vez de um IP corporativo. Qual é a causa mais provável?

Dica: O servidor RADIUS está aceitando a autenticação, então o problema está após a autenticação.

Ver resposta modelo

O servidor RADIUS está retornando um atributo Tunnel-Private-Group-ID especificando um ID de VLAN. O ponto de acesso EnGenius está tentando marcar o tráfego do cliente com essa VLAN, mas a porta de uplink no switch ECS não está configurada como uma porta trunk que trafega essa VLAN. O dispositivo é colocado em uma VLAN sem servidor DHCP alcançável. Correção: configure a porta de uplink do switch ECS como trunk, permitindo explicitamente o ID de VLAN retornado pelo servidor RADIUS.

Q3. Um administrador de propriedade build-to-rent pergunta por que você está recomendando o EnGenius MyPSK em vez de criar um SSID separado para cada uma das 80 unidades residenciais. Apresente uma justificativa técnica.

Dica: Considere o impacto dos beacons de SSID no desempenho do WiFi.

Ver resposta modelo

Cada SSID transmite frames de beacon em intervalos regulares (geralmente a cada 100ms). Em um ambiente denso, 80 SSIDs gerariam um overhead constante de beacons, consumindo um tempo de antena significativo, reduzindo a capacidade disponível para o tráfego de dados real e degradando o desempenho para todos os usuários. A maioria dos pontos de acesso corporativos também impõe um limite prático de 8 a 16 SSIDs por rádio. O MyPSK oferece o mesmo isolamento (cada residente em uma VLAN exclusiva com uma chave de criptografia exclusiva) usando um único SSID, eliminando totalmente o overhead de beacons. O PMK por usuário também impede que os residentes decodifiquem o tráfego uns dos outros, o que um único PSK compartilhado não consegue evitar.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).