Pular para o conteúdo principal
Português (Brasil)

Integração de Access Points NETGEAR Insight e Enterprise com Purple WiFi

Este guia fornece aos gerentes de TI um roteiro técnico definitivo para integrar o NETGEAR Insight e os access points corporativos da série WAX com o Purple WiFi. Ele abrange configurações essenciais, incluindo Captive Portals para convidados, redes de funcionários 802.1X e segmentação multi-tenant usando PPSK e atribuição dinâmica de VLAN.

📖 6 min de leitura📝 1,295 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Informativo Técnico da Purple. Hoje estamos abordando um tema que surge constantemente em nossas conversas com gerentes de TI e arquitetos de rede nos setores de hotelaria, varejo e locais multi-tenant: como integrar os access points NETGEAR Insight e da série WAX com o Purple WiFi. Se você gerencia um hotel, um parque comercial, um centro de convenções ou um empreendimento de uso misto, este informativo é diretamente relevante para sua próxima decisão de implantação. Vamos contextualizar. A série WAX da NETGEAR — o WAX610, WAX620 e WAX630 — é composta por access points WiFi 6 gerenciados por meio da plataforma de nuvem Insight. Eles suportam até oito SSIDs separados por rádio, criptografia WPA3 e até seis gigabits de taxa de transferência no WAX630. Eles são alimentados por PoE, montáveis no teto e gerenciados a partir de uma única interface através do Insight Cloud Portal. Para um instalador de TI ou administrador de rede de PMEs, esta é uma plataforma genuinamente capaz a um preço bem abaixo do nível do Cisco Meraki ou HPE Aruba. A Purple é uma sobreposição de nuvem agnóstica de hardware. Nós atuamos sobre a sua infraestrutura existente e adicionamos a camada de experiência do convidado, a camada de captura de dados e a camada de analytics. Processamos 440 milhões de logins em 2024 em 80.000 locais ativos. A integração com o NETGEAR Insight é limpa e bem documentada, e abrange quatro casos de uso distintos que detalharemos hoje. Agora, vamos nos aprofundar na parte técnica. Os quatro casos de uso são: Guest WiFi com um Captive Portal da Purple, WiFi seguro para funcionários usando 802.1X, segmentação multi-tenant usando o recurso PPSK da NETGEAR e atribuição dinâmica de VLAN via RADIUS para Redes Baseadas em Identidade. Caso de uso um: Guest WiFi com um Captive Portal da Purple. Este é o ponto de partida mais comum. Você cria um SSID de convidado dedicado no NETGEAR Insight e o configura como uma rede aberta. A configuração principal está na seção Captive Portal das configurações do SSID. Você seleciona External Captive Portal e cola a URL da Splash Page fornecida pela Purple. Em seguida, você configura o tipo de autenticação. Para a maioria das implantações da Purple, você selecionará a autenticação RADIUS. A Purple fornece um endereço IP do servidor RADIUS principal, a porta 1812 para autenticação e a porta 1813 para contabilização, além de um segredo compartilhado. Você cola essas informações na configuração de Captive Portal externo do NETGEAR Insight. Você também define um NAS Identifier — esta é uma string que identifica este access point ou local específico para o servidor RADIUS. Use algo significativo, como o nome do seu estabelecimento e o código de localização. O walled garden é a parte que mais confunde os instaladores. Antes de um convidado se autenticar, o dispositivo dele precisa alcançar a splash page da Purple, os servidores de autenticação e quaisquer provedores de login social que você tenha ativado. O NETGEAR Insight possui uma seção dedicada de Walled Garden na configuração do Captive Portal externo, onde você adiciona essas URLs. A documentação de suporte da Purple fornece a lista exata de domínios para a lista de permissões. Se errar isso, os convidados verão uma página em branco em vez do seu portal personalizado. Depois de configurado, o fluxo funciona assim: um convidado se conecta ao SSID Hotel Guest. O access point intercepta sua primeira solicitação HTTP e o redireciona para a splash page da Purple. O convidado vê seu portal personalizado, aceita os termos e, opcionalmente, fornece seu endereço de e-mail ou faz login via redes sociais. O servidor RADIUS da Purple retorna uma mensagem Access-Accept para o access point, e o acesso à internet é concedido ao convidado. A Purple captura os dados de consentimento, registra a sessão e esses dados fluem para o seu painel de analytics da Purple. Caso de uso dois: WiFi seguro para funcionários usando 802.1X. É aqui que você abandona completamente as senhas compartilhadas. Para redes de funcionários, uma chave pré-compartilhada é um risco de segurança — quando um funcionário sai, você precisa alterar a senha para todos. O 802.1X, definido no padrão IEEE 802.1X, fornece a cada usuário uma credencial individual. Quando eles saem, você desativa a conta deles no seu diretório e o acesso é revogado instantaneamente. No NETGEAR Insight, você configura um SSID de funcionários separado com segurança WPA2 Enterprise. Isso instrui o access point a usar a autenticação 802.1X em vez de uma chave pré-compartilhada. Em seguida, você configura as definições do servidor RADIUS no nível do local da rede. Vá para as configurações de localização da rede, selecione RADIUS, ative a Autenticação de Acesso 802.1X e insira o IP, a porta e o segredo compartilhado do seu servidor RADIUS. O intervalo padrão de reautenticação é de 3.600 segundos — uma hora —, o que é um ponto de partida razoável para a maioria dos locais. O método EAP mais comum em implantações de PMEs é o PEAP-MSCHAPv2, que usa um certificado do lado do servidor para criar um túnel criptografado dentro do qual o usuário se autentica com seu nome de usuário e senha do Active Directory. O EAP-TLS é mais seguro — usa certificados em ambos os lados —, mas requer uma infraestrutura PKI e MDM para enviar os certificados para os dispositivos. Um ponto crítico: force a validação de certificado em cada dispositivo cliente. Configure seus dispositivos Windows via Objetos de Diretiva de Grupo (GPO) e seus dispositivos móveis via perfis de MDM para validar o certificado do servidor RADIUS. Se você pular esta etapa, os dispositivos ficarão vulneráveis a ataques de access points invasores (rogue AP), onde um invasor apresenta um certificado falso e captura as credenciais. Caso de uso três: NETGEAR PPSK para locais multi-tenant. A Private Pre-Shared Key resolve um problema específico em parques comerciais, empreendimentos de uso misto e espaços de co-working. Você tem múltiplos lojistas compartilhando a mesma infraestrutura física de WiFi. Você não quer executar SSIDs separados para cada lojista — isso gera congestionamento de radiofrequência e complexidade de gerenciamento. Mas você também não pode dar a todos a mesma senha, porque assim o Lojista A poderia ver o tráfego do Lojista B. O PPSK resolve isso de forma elegante. Você cria um único SSID e cria múltiplas chaves pré-compartilhadas no NETGEAR Insight em Wireless, Settings, Advanced, Multi PSK Settings. Cada chave é associada a uma VLAN específica. O Lojista A recebe uma senha exclusiva de 16 caracteres que mapeia para a VLAN 30. O Lojista B recebe uma senha diferente que mapeia para a VLAN 40. A equipe de gestão do local recebe uma terceira senha que mapeia para a VLAN 20, que tem acesso aos sistemas de gerenciamento. Quando os dispositivos do Lojista A se conectam usando sua senha, o access point os coloca automaticamente na VLAN 30. Eles não conseguem ver nenhum tráfego na VLAN 40 ou VLAN 20. Do ponto de vista do lojista, eles têm apenas uma senha de WiFi. Do seu ponto de vista como administrador de rede, você tem isolamento total de tráfego entre os lojistas com zero hardware adicional. Existem duas limitações importantes a serem observadas. Primeiro, o PPSK no NETGEAR Insight requer criptografia WPA2 Personal ou WPA2 Personal Mixed. Ele não funciona na banda de 6 GHz. Segundo, o PPSK não pode ser combinado com um Captive Portal no mesmo SSID. Se você precisar de ambos, precisará de dois SSIDs separados — o que não é um problema, pois os access points da série WAX suportam até oito. Caso de uso quatro: atribuição dinâmica de VLAN via RADIUS. Esta é a configuração mais sofisticada e a que serve de base para o recurso de Redes Baseadas em Identidade da Purple. Em vez de atribuir estaticamente uma VLAN a uma senha ou a um SSID, você deixa o servidor RADIUS decidir qual VLAN atribuir com base em quem está se autenticando. O mecanismo usa três atributos RADIUS padrão: Tunnel-Type, que deve ser definido com o valor 13 para VLAN; Tunnel-Medium-Type, que deve ser definido com o valor 6 para IEEE 802; e Tunnel-Private-Group-ID, que carrega o ID da VLAN como uma string. Quando um usuário se autentica com sucesso, o servidor RADIUS retorna esses três atributos na mensagem Access-Accept. O access point os lê e coloca o cliente na VLAN especificada. Na prática, isso significa que você pode ter um único SSID WPA2 Enterprise onde um gerente de hotel se autentica e cai na VLAN 20 com acesso aos sistemas de gestão da propriedade, um recepcionista se autentica e cai na VLAN 21 com acesso apenas ao sistema de check-in, e um prestador de serviços se autentica e cai na VLAN 50 com acesso apenas à internet. Tudo a partir do mesmo SSID, tudo aplicado automaticamente pelo servidor RADIUS com base na associação de grupo do Active Directory. Agora vamos falar sobre recomendações de implantação e armadilhas comuns. A primeira armadilha é o walled garden. Quase toda implantação de Captive Portal externo falha no walled garden pelo menos uma vez. O sintoma é o convidado se conectar ao SSID, mas ver um erro no navegador em vez da splash page. A correção é metódica: abra a documentação de suporte da Purple, copie todos os domínios da lista do walled garden e cole-os na seção Walled Garden do NETGEAR Insight. Teste com um dispositivo que não tenha credenciais em cache. A segunda armadilha é a acessibilidade do RADIUS. O access point NETGEAR precisa alcançar seu servidor RADIUS. O RADIUS usa a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilização. Abra essas portas do IP de gerenciamento do access point para o IP do servidor RADIUS. Teste com uma ferramenta de teste de RADIUS antes de entrar em operação. A terceira armadilha é o conflito entre PPSK e Captive Portal. O NETGEAR Insight não permite PPSK e Captive Portal no mesmo SSID. Se precisar de ambos, crie dois SSIDs. Nomeie-os claramente — um para os lojistas com PPSK e outro para os convidados do Captive Portal. A quarta armadilha é a validação de certificado em clientes 802.1X. Todo dispositivo Windows precisa de um Objeto de Diretiva de Grupo (GPO) que especifique a Autoridade de Certificação confiável e o nome esperado do servidor RADIUS. Todo dispositivo móvel precisa de um perfil de MDM com as mesmas configurações. Sem isso, um usuário poderia, sem saber, se autenticar em um access point invasor e entregar suas credenciais do Active Directory. Agora, uma sessão rápida de perguntas e respostas. Pergunta um: Posso usar a Purple com o NETGEAR Insight sem um servidor RADIUS? Sim, para implantações de Captive Portal de convidados, você pode usar o modo de autenticação web da Purple em vez do RADIUS. O access point redireciona para a splash page via HTTP, e a Purple lida com a autenticação por meio de uma sessão web. O RADIUS oferece mais controle e melhores dados de contabilização, mas não é obrigatório para implantações básicas de portal de convidados. Pergunta dois: Quantas chaves PPSK posso criar no NETGEAR Insight? O NETGEAR Insight suporta até 64 chaves PPSK por SSID nos access points da série WAX. Para a maioria dos locais multi-tenant, isso é mais do que suficiente. Se você tiver mais de 64 lojistas, precisará migrar para uma solução de VLAN dinâmica baseada em RADIUS. Pergunta três: O NETGEAR Insight suporta WPA3 Enterprise para 802.1X? Sim, os access points da série WAX suportam WPA3 Enterprise. Para a maioria das implantações de PMEs, o WPA2 Enterprise é suficiente e possui maior compatibilidade com dispositivos clientes. Vale a pena considerar o WPA3 Enterprise para ambientes que lidam com dados confidenciais, como serviços de saúde ou financeiros. Pergunta quatro: O que acontece se o servidor RADIUS da Purple estiver inacessível? O NETGEAR Insight suporta uma opção de failsafe na configuração do Captive Portal externo. Se você ativar o failsafe, os convidados terão acesso à internet por um curto período, mesmo se os servidores do Captive Portal estiverem inacessíveis. A Purple mantém 99,999% de uptime em toda a nossa infraestrutura, mas ativar o failsafe é uma boa prática para qualquer implantação em produção. Para resumir os principais pontos do informativo de hoje. Os access points da série NETGEAR WAX se integram à Purple por meio do mecanismo de Captive Portal externo no NETGEAR Insight. Você configura a URL da splash page, as credenciais do servidor RADIUS e os domínios do walled garden no Insight Cloud Portal. Para redes de funcionários, use WPA2 Enterprise com 802.1X e force a validação de certificado em cada dispositivo cliente. Para locais multi-tenant, o recurso PPSK da NETGEAR oferece isolamento de VLAN por lojista a partir de um único SSID com até 64 chaves exclusivas. Para as implantações mais sofisticadas, a atribuição dinâmica de VLAN via atributos RADIUS oferece uma segmentação de rede orientada por identidade que se adapta a quem está se conectando, e não apenas de onde está se conectando. Se você está planejando uma implantação da NETGEAR com a Purple, o próximo passo é solicitar suas credenciais RADIUS da Purple e a lista de domínios do walled garden à equipe de suporte da Purple, e testar o redirecionamento do Captive Portal em um SSID de testes antes de implementar em produção. A configuração leva menos de 30 minutos assim que você tiver essas credenciais em mãos. Obrigado por ouvir o Informativo Técnico da Purple. Para obter o guia escrito completo, incluindo detalhes de configuração passo a passo e exemplos práticos, visite purple.ai.

header_image.png

Resumo Executivo

Depender de chaves pré-compartilhadas para acesso WiFi corporativo é um risco de segurança significativo. Uma única credencial comprometida expõe toda a rede, e revogar o acesso exige a alteração da senha em todos os dispositivos. Este guia fornece aos gerentes de TI e arquitetos de rede um roteiro definitivo para integrar o NETGEAR Insight e os access points corporativos da série WAX com a Purple.

Detalhamos quatro arquiteturas principais de implantação: Guest WiFi com um Captive Portal, WiFi seguro para funcionários usando 802.1X, segmentação multi-tenant via NETGEAR Private Pre-Shared Keys (PPSK) e Redes Baseadas em Identidade usando atribuição dinâmica de VLAN. Quer você opere locais de Hotelaria , espaços de Varejo ou ambientes do setor público, essas configurações eliminam senhas compartilhadas, aplicam uma segmentação de rede rigorosa e capturam WiFi Analytics acionáveis.

Ouça nosso podcast de informativo técnico abaixo para obter uma visão geral abrangente da arquitetura e das armadilhas comuns de implantação.

Análise Técnica Detalhada

Os access points da série NETGEAR WAX (WAX610, WAX620, WAX630) são dispositivos WiFi 6 gerenciados na nuvem, projetados para ambientes de alta densidade. Gerenciados por meio do portal NETGEAR Insight, eles suportam até oito SSIDs separados por rádio, criptografia WPA3 e taxa de transferência multi-gigabit. A Purple atua como uma sobreposição de nuvem agnóstica de hardware, integrando-se ao NETGEAR Insight para fornecer controle de acesso e captura de dados de nível corporativo.

1. Guest WiFi com Captive Portal

Para ambientes voltados ao público, você deve implantar um Captive Portal externo. Essa configuração intercepta as solicitações HTTP dos convidados e as redireciona para uma splash page hospedada pela Purple.

Arquitetura:

  1. Access Point: O access point NETGEAR WAX transmite um SSID de convidado aberto ou WPA2 Personal.
  2. Walled Garden: O NETGEAR Insight permite o tráfego de pré-autenticação para os servidores da Purple e provedores de login social.
  3. Autenticação: A Purple gerencia a sessão do usuário via RADIUS ou autenticação web HTTP.

Quando um convidado se conecta, ele se depara com um portal personalizado. Ao aceitar os termos e fornecer os detalhes, o servidor RADIUS da Purple retorna uma mensagem Access-Accept, concedendo acesso à internet. Essa abordagem garante a conformidade com regulamentos de privacidade de dados como a GDPR, ao mesmo tempo em que captura dados primários (first-party data) valiosos.

2. WiFi Seguro para Funcionários (802.1X)

Chaves pré-compartilhadas são inaceitáveis para redes de funcionários. Você deve implementar a autenticação IEEE 802.1X. Nesse modelo, cada usuário possui uma credencial individual. Quando um funcionário sai, você desativa sua conta de diretório e seu acesso é revogado instantaneamente.

No NETGEAR Insight, você configura um SSID de funcionários com segurança WPA2 Enterprise ou WPA3 Enterprise. O access point atua como o autenticador, retransmitindo mensagens EAP (Extensible Authentication Protocol) para o servidor RADIUS. O servidor RADIUS valida as credenciais em relação ao seu diretório (por exemplo, Microsoft Entra ID ou Okta) e retorna a decisão de autorização.

3. Segmentação Multi-Tenant (PPSK)

Empreendimentos de uso misto e parques comerciais enfrentam um desafio específico: múltiplos lojistas compartilhando a mesma infraestrutura física de WiFi. Implantar SSIDs separados para cada lojista gera congestionamento de radiofrequência. Fornecer uma única senha compartilhada compromete a segurança.

O recurso Private Pre-Shared Key (PPSK) da NETGEAR resolve isso. Você transmite um único SSID. No NETGEAR Insight, você gera senhas exclusivas para cada lojista. Crucialmente, cada senha é mapeada para uma VLAN específica.

ppsk_vlan_infographic.png

Quando um dispositivo se conecta usando a senha da unidade de varejo, o access point o coloca na VLAN de varejo isolada. Quando a gestão do local se conecta usando sua senha, ela cai na VLAN de gerenciamento. Você obtém isolamento total de tráfego com zero hardware adicional. Observe que o PPSK requer WPA2 Personal e não pode ser combinado com um Captive Portal no mesmo SSID.

4. Atribuição Dinâmica de VLAN via RADIUS

Para Redes Baseadas em Identidade sofisticadas, você deve usar a atribuição dinâmica de VLAN. Em vez de atribuir estaticamente uma VLAN a um SSID ou a uma senha, o servidor RADIUS dita a VLAN com base no perfil de diretório do usuário.

O servidor RADIUS retorna três atributos padrão na mensagem Access-Accept:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

Um único SSID WPA2 Enterprise pode atender a toda a organização. Um gerente de hotel se autentica e cai na VLAN 20. Um recepcionista cai na VLAN 21. A prestador de serviços cai na VLAN 50. A rede se adapta à identidade do usuário. Para uma visão mais ampla sobre como proteger seu ambiente, consulte nosso guia Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Guia de Implantação

Siga estas etapas para implantar o NETGEAR Insight com o Purple Guest WiFi .

Passo 1: Configurar o SSID de Convidado

  1. Faça login no NETGEAR Insight Cloud Portal.
  2. Selecione a localização da sua rede e navegue até Wireless > Settings.
  3. Crie um novo SSID (por exemplo, "Venue Guest WiFi").
  4. Selecione Captive Portal e escolha External Captive Portal.

Passo 2: Configurar o Captive Portal

  1. No campo Splash Page URL, insira a URL fornecida pela Purple.
  2. Selecione o botão de rádio Radius.
  3. Insira o IP do Servidor de Autenticação Primário, a porta (1812) e o segredo compartilhado fornecidos pela Purple.
  4. Insira o IP do Servidor de Contabilidade Primário, a porta (1813) e o segredo compartilhado.
  5. Defina um NAS-Identifier descritivo (ex: "London-Retail-01").

Passo 3: Configurar o Walled Garden

Este é o passo mais crítico. Se o walled garden estiver incorreto, os visitantes verão uma tela em branco.

  1. Role até a seção Walled Garden nas configurações do Captive Portal.
  2. Adicione todos os domínios fornecidos na documentação de integração da Purple. Isso inclui os domínios de CDN da Purple, servidores de autenticação e quaisquer provedores de login social ativados (ex: Facebook, Google).
  3. Clique em Salvar.

Passo 4: Verificar a Acessibilidade do RADIUS

Certifique-se de que seu firewall permita as portas UDP 1812 e 1813 de saída dos endereços IP de gerenciamento dos pontos de acesso para os servidores RADIUS da Purple.

Melhores Práticas

  • Forçar Validação de Certificado: Para implantações 802.1X, você deve forçar a validação estrita de certificados em todos os dispositivos clientes por meio de Objetos de Diretiva de Grupo (GPO) ou Gerenciamento de Dispositivos Móveis (MDM). Se os clientes não validarem o certificado do servidor RADIUS, eles estarão vulneráveis a ataques de pontos de acesso não autorizados (rogue access points).
  • Isolar o Tráfego de Gerenciamento: Sempre coloque os endereços IP de gerenciamento dos pontos de acesso em uma VLAN de gerenciamento dedicada, isolada do tráfego de visitantes e funcionários.
  • Ativar Failsafe: Nas configurações do Captive Portal do NETGEAR Insight, ative a opção FailSafe. Se os servidores RADIUS ficarem inacessíveis, os visitantes receberão acesso temporário à internet, evitando uma interrupção total do WiFi.
  • SSIDs Separados para PPSK: Como o NETGEAR Insight não suporta PPSK e Captive Portal no mesmo SSID, você deve criar SSIDs dedicados (ex: "Venue-Guest" e "Venue-Tenant").

Solução de Problemas e Mitigação de Riscos

Sintoma: Os visitantes se conectam ao SSID, mas a splash page não carrega.

  • Causa: Configuração incompleta do Walled Garden.
  • Resolução: Verifique se todos os domínios da Purple e domínios de login social foram inseridos corretamente nas configurações de Walled Garden do NETGEAR Insight. Teste com um dispositivo que não possua credenciais em cache.

Sintoma: Dispositivos de funcionários falham ao autenticar via 802.1X.

  • Causa: Tempo limite (timeout) do RADIUS ou segredo compartilhado incorreto.
  • Resolução: Verifique se as portas UDP 1812 e 1813 estão abertas para saída. Confirme se o segredo compartilhado corresponde exatamente entre o portal NETGEAR Insight e o servidor RADIUS. Verifique os logs do servidor RADIUS em busca de mensagens Access-Reject.

Sintoma: Clientes PPSK são colocados na VLAN errada.

  • Causa: Mapeamento de VLAN incorreto ou falta de configuração de VLAN no switch.
  • Resolução: Certifique-se de que a VLAN foi criada no NETGEAR Insight nas configurações de Rede Cabeada (Wired). Verifique se as Configurações de Multi PSK mapeiam a senha correta para o ID de VLAN correto. Certifique-se de que a porta do switch que conecta o ponto de acesso está configurada como uma porta de tronco (trunk port) que permite a VLAN de destino.

ROI e Impacto nos Negócios

A implantação do NETGEAR Insight com a Purple transforma sua infraestrutura sem fio de um centro de custo em um ativo gerador de receita. Ao implementar Redes Baseadas em Identidade e captive portals, você obtém:

  • Redução de Custos Operacionais de TI: O PPSK e o 802.1X eliminam a necessidade de gerenciar manualmente senhas compartilhadas ou enviar engenheiros para alterações rotineiras de acesso.
  • Análises Acionáveis: Capture dados demográficos, tempos de permanência e taxas de retorno para otimizar as operações do local e o mix de lojistas.
  • ROI de Marketing: Construa um banco de dados de CRM de alta intenção e em conformidade com o GDPR. Os estabelecimentos geralmente observam uma redução significativa nos custos de aquisição de clientes ao aproveitar dados primários (first-party data) coletados via WiFi.
  • Segurança Aprimorada: A atribuição dinâmica de VLAN isola dispositivos IoT, sistemas de ponto de venda (PDV) e tráfego de visitantes, reduzindo significativamente a superfície de ataque e garantindo a conformidade com o PCI DSS.

Definições principais

802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

Essencial para a segurança corporativa; substitui senhas compartilhadas por credenciais de usuário individuais.

Captive Portal

Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

Usado pela Purple para capturar dados primários (first-party data) e garantir a aceitação dos termos de serviço.

PPSK (Private Pre-Shared Key)

Um recurso que permite múltiplas senhas exclusivas em um único SSID, onde cada senha atribui o usuário a uma VLAN específica.

Ideal para edifícios multi-tenant ou para isolar dispositivos IoT sem criar múltiplos SSIDs.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA).

O servidor central que valida as credenciais e informa ao AP NETGEAR se deve conceder o acesso.

Walled Garden

Um ambiente limitado que controla o acesso do usuário a conteúdos e serviços web antes da autenticação completa.

Deve ser configurado no NETGEAR Insight para permitir que os dispositivos alcancem a splash page da Purple e os provedores de login social.

Dynamic VLAN Assignment

O processo no qual um servidor RADIUS instrui um access point a colocar um usuário autenticado em uma VLAN específica com base em sua identidade.

Habilita Redes Baseadas em Identidade, permitindo que um único SSID atenda a múltiplos departamentos de forma segura.

NAS-Identifier

Network Access Server Identifier; uma string usada para identificar a origem de uma solicitação de acesso RADIUS.

Configurado no NETGEAR Insight para que a Purple saiba de qual local ou access point o usuário está se conectando.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação que exige certificados digitais tanto no cliente quanto no servidor.

O método 802.1X mais seguro, eliminando totalmente as senhas, embora exija MDM para implantar certificados.

Exemplos práticos

Um parque comercial de 40 unidades precisa fornecer WiFi seguro e isolado para os sistemas de ponto de venda de cada lojista, além de uma rede WiFi pública personalizada para os compradores. Eles implantaram access points NETGEAR WAX630. Como a rede deve ser configurada?

Crie dois SSIDs no NETGEAR Insight. SSID 1: 'RetailPark-Guest'. Configure-o com um Captive Portal externo apontando para a splash page da Purple, com autenticação RADIUS e um walled garden abrangente. Mapeie-o para a VLAN 10 (apenas Internet). SSID 2: 'RetailPark-Tenants'. Configure-o com WPA2 Personal e ative o Multi PSK (PPSK). Crie 40 senhas exclusivas. Mapeie a senha do Lojista A para a VLAN 101, do Lojista B para a VLAN 102, etc. Certifique-se de que o switch principal faça o trunking de todas as VLANs para os access points.

Comentário do examinador: Esta abordagem equilibra perfeitamente a segurança e a experiência do usuário. Ao separar os SSIDs, evitamos a limitação do NETGEAR de não misturar PPSK e Captive Portals. A configuração do PPSK garante visibilidade zero entre os lojistas para conformidade com PCI, enquanto o portal Purple captura os dados dos compradores.

Uma sede corporativa deseja abandonar o uso de uma senha WPA2 compartilhada. Eles precisam que os funcionários se autentiquem com suas credenciais do Microsoft Entra ID e querem a equipe de finanças na VLAN 50 e a equipe de marketing na VLAN 60.

Implante um único SSID 'Corporate-Secure' configurado para WPA2 Enterprise. Aponte as configurações de RADIUS do NETGEAR Insight para um servidor RADIUS integrado ao Entra ID. Configure o servidor RADIUS para retornar os atributos de túnel padrão (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 ou 60) com base na associação de grupo de diretório do usuário. Force a validação de certificados em todos os laptops corporativos via MDM.

Comentário do examinador: Isso demonstra uma verdadeira Rede Baseada em Identidade (Identity-Based Networking). O access point atribui dinamicamente a VLAN com base na resposta do RADIUS. Crucialmente, forçar a validação de certificados evita ataques de AP invasor (rogue AP), o que é obrigatório para a segurança corporativa.

Questões práticas

Q1. Você implantou um Captive Portal da Purple em um NETGEAR WAX620. Os convidados conseguem se conectar ao WiFi, mas seus navegadores exibem um erro de 'Não é possível alcançar o destino' em vez da splash page. Qual é o erro de configuração mais provável?

Dica: Considere o que deve acontecer antes que o convidado seja totalmente autenticado para alcançar servidores externos.

Ver resposta modelo

O Walled Garden está mal configurado ou incompleto. O access point NETGEAR está bloqueando o tráfego inicial para os servidores da Purple. Você deve garantir que todos os domínios de CDN da Purple, URLs de autenticação e domínios de login social necessários sejam adicionados à lista do Walled Garden no portal Insight.

Q2. Um local exige tanto um Captive Portal para convidados quanto um WiFi seguro e isolado para 10 lojistas diferentes. Eles desejam minimizar a interferência de RF. Como você configura os access points NETGEAR?

Dica: O NETGEAR Insight possui limitações específicas quanto à mistura de Captive Portals e PPSK.

Ver resposta modelo

Você deve criar exatamente dois SSIDs. O NETGEAR não suporta PPSK e Captive Portal no mesmo SSID. Crie 'Venue-Guest' com um Captive Portal externo apontando para a Purple. Crie 'Venue-Retail' com WPA2 Personal e configure o Multi PSK (PPSK) com 10 senhas exclusivas, cada uma mapeando para uma VLAN diferente.

Q3. Ao configurar a atribuição dinâmica de VLAN para funcionários usando 802.1X, quais três atributos RADIUS o servidor deve retornar na mensagem Access-Accept?

Dica: Pense nos atributos padrão da RFC 2868 para configuração de túnel.

Ver resposta modelo

O servidor RADIUS deve retornar: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802) e [81] Tunnel-Private-Group-ID = [A string específica do ID da VLAN].

Continue a ler esta série

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os access points Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Ele aborda a configuração de Captive Portal, autenticação de funcionários via 802.1X e direcionamento dinâmico de VLAN por PPSK para redes corporativas.

Ler o guia →

EnGenius Cloud Access Points Integration with Purple WiFi

Esta referência técnica detalha a integração passo a passo dos Access Points EnGenius Cloud e switches ECS com a plataforma de guest WiFi da Purple. Ela cobre o redirecionamento do guest Captive Portal por meio de uma splash page externa, configuração de Walled Garden, WiFi seguro para funcionários usando IEEE 802.1X e isolamento de rede multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Instaladores de TI e arquitetos de rede encontrarão sequências de configuração práticas, estudos de caso reais e uma estrutura de solução de problemas para implantar a Purple em parques de hardware EnGenius.

Ler o guia →