Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi

Este guia definitivo detalha a integração dos access points Cambium Networks cnPilot e do controlador de nuvem cnMaestro com a plataforma de inteligência Purple WiFi. Ele aborda arquitetura, configuração de Captive Portal, requisitos de walled garden, Staff WiFi 802.1X e segmentação dinâmica de VLAN usando Cambium ePSK para ambientes multi-tenant.

📖 5 min de leitura📝 1,178 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi. Um Briefing para Consultores.

Bem-vindo. Se você gerencia um ambiente Cambium Networks e precisa entregar uma experiência de guest WiFi que capture dados, impulsione o marketing e mantenha a conformidade — este briefing é exatamente o que você precisa.

Vou orientá-lo sobre como os access points Cambium cnPilot, o controlador de nuvem cnMaestro e o Purple WiFi se integram. Abordaremos a arquitetura, o fluxo de autenticação RADIUS, a configuração de walled garden, o Staff WiFi seguro usando 802.1X e a segmentação multi-tenant usando o recurso ePSK da Cambium com atribuição dinâmica de VLAN.

Quer você esteja gerenciando uma rede de hotéis, um portfólio de varejo, um centro de conferências ou um campus do setor público, os princípios são os mesmos. Vamos começar.

Primeiro, uma rápida orientação sobre as duas plataformas.

A Cambium Networks produz a linha cnPilot de access points WiFi corporativos — o e410, e425H, e430H e e505 para implantações internas e externas. Esses APs são gerenciados centralmente por meio do cnMaestro, a plataforma de gerenciamento em nuvem da Cambium. O cnMaestro oferece visibilidade centralizada, gerenciamento de configuração e atualizações de firmware em todo o seu parque de APs — seja um punhado de dispositivos em um único local ou milhares de APs em um território nacional.

O Purple WiFi é uma plataforma de inteligência de guest WiFi corporativo. Ele lida com o Captive Portal — a tela de login personalizada com a sua marca que os hóspedes veem ao se conectar — e também atua como um servidor de autenticação RADIUS, um mecanismo de captura de dados e uma plataforma de automação de marketing. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins apenas em 2024. A combinação do Cambium cnMaestro com a Purple oferece uma pilha de guest WiFi de nível de produção que é tecnicamente sólida e comercialmente valiosa.

Agora, vamos falar sobre a arquitetura de integração.

O mecanismo principal é um redirecionamento de Captive Portal combinado com autenticação RADIUS. Veja como o fluxo funciona na prática.

Um dispositivo de hóspede se associa ao seu SSID de hóspedes. Esse SSID é configurado no cnMaestro como uma rede aberta — sem chave pré-compartilhada para hóspedes. O AP Cambium intercepta a primeira solicitação HTTP do dispositivo e a redireciona para a URL do Captive Portal da Purple. Esse redirecionamento é configurado no cnMaestro nas configurações de Guest Access da WLAN, onde você define a URL da Página Externa (External Page URL) para o endpoint do portal do seu local na Purple.

O hóspede então interage com o portal da Purple. Ele pode se autenticar via login social, e-mail, verificação por SMS ou um formulário personalizado. Assim que conclui o fluxo de autenticação, o backend da Purple envia uma mensagem RADIUS Access-Accept de volta ao AP Cambium na porta UDP 1812. O AP então move o dispositivo do estado de pré-autenticação para o acesso total à rede.

Deixe-me orientá-lo pelas etapas exatas de configuração no cnMaestro.

Navegue até Configuration, depois WiFi Profiles e WLANs. Crie uma nova WLAN para sua rede de hóspedes. Defina o nome do SSID — algo como "Hotel Guest WiFi" — e defina a segurança como Open. Em Guest Access, habilite a opção External Hotspot. Essa é a configuração principal que instrui o cnMaestro a redirecionar clientes não autenticados para um portal externo.

Defina a URL da Página Externa para a URL do portal do seu local na Purple. Habilite a autenticação RADIUS e insira o endereço IP do servidor RADIUS da Purple, o segredo compartilhado (shared secret) e defina a porta de autenticação como UDP 1812. Habilite a bilhetagem RADIUS (RADIUS accounting) na porta UDP 1813 — isso é fundamental para que o analytics da Purple funcione corretamente. Sem os registros de bilhetagem, a Purple não consegue gerar dados de sessão, métricas de tempo de permanência ou análises de frequência de visitas.

Agora, o walled garden. Esta é a lista de domínios e endereços IP que os dispositivos dos hóspedes podem alcançar antes de se autenticarem. Você precisa incluir na lista de permissões o domínio do portal da Purple e quaisquer endpoints de CDN usados para fornecer os recursos do portal. Você também precisa incluir na lista de permissões os domínios de provedores de autenticação — se estiver usando login social via Google ou Facebook, os domínios de OAuth deles precisam estar no walled garden. Um walled garden mal configurado é a causa mais comum de falhas no Captive Portal. O dispositivo do hóspede precisa resolver o DNS e alcançar o portal da Purple via HTTPS antes de poder se autenticar.

No cnMaestro, o walled garden é configurado nas configurações de External Hotspot. Adicione entradas para o domínio do portal da Purple, domínios de provedores de login social e domínios de gateways de pagamento, caso esteja operando planos de WiFi pagos.

Agora vamos falar sobre Staff WiFi seguro usando IEEE 802.1X.

Para redes de funcionários, você não quer um Captive Portal. Você quer uma autenticação baseada em certificados ou credenciais que ocorra silenciosamente no nível do dispositivo. No cnMaestro, crie uma WLAN separada para os funcionários. Defina a segurança como WPA2-Enterprise. Configure os detalhes do servidor RADIUS — novamente, o IP do servidor RADIUS da Purple na porta UDP 1812. Os dispositivos dos funcionários se autenticam usando EAP-PEAP com credenciais de usuário e senha, ou EAP-TLS com certificados de dispositivo para obter o nível máximo de segurança.

A Purple se integra ao Microsoft Entra ID, Okta e Google Workspace as identity providers. Isso significa que seus funcionários podem se autenticar no WiFi usando suas credenciais corporativas existentes — sem a necessidade de gerenciar uma senha de WiFi separada. A Purple valida as credenciais no seu provedor de identidade e retorna um Access-Accept para o AP Cambium. A atribuição dinâmica de VLAN coloca o dispositivo do funcionário autenticado na VLAN de funcionários correta, isolando-o do tráfego de hóspedes.

Agora, a segmentação multi-tenant usando o Cambium ePSK.

ePSK — enhanced pre-shared key — é a implementação da Cambium para o que o setor chama de PPSK ou iPSK. O conceito é simples: em vez de uma senha compartilhada para todo um SSID, cada usuário ou cliente recebe sua própria senha exclusiva. Todos se conectam ao mesmo SSID, mas cada chave exclusiva é mapeada para uma VLAN específica, proporcionando isolamento de rede sem a complexidade de executar múltiplos SSIDs.

o cnMaestro suporta até 2.000 entradas ePSK por WLAN. Cada ePSK pode receber um ID de VLAN específico, um limite de taxa de transmissão e uma data de expiração. Isso o torna ideal para ambientes multi-tenant — pense em um centro de conferências onde cada expositor recebe seu próprio segmento de rede isolado, ou um edifício residencial multifamiliar onde cada morador tem sua própria rede privada local.

Para configurar o ePSK no cnMaestro, navegue até Configuration, WiFi Profiles, WLANs. Crie uma nova WLAN. Defina a segurança como WPA2 Pre-Shared Key. Habilite a opção ePSK. Você pode adicionar entradas ePSK individuais manualmente ou usar a API do cnMaestro para provisioná-las programaticamente — que é a abordagem recomendada para implantações em larga escala.

Para cada entrada ePSK, defina a senha, o ID da VLAN atribuída e, opcionalmente, o limite de taxa e a expiração. Quando um dispositivo se conecta usando essa senha, o AP Cambium o coloca automaticamente na VLAN atribuída. Não é necessário RADIUS para o fluxo ePSK em si — a atribuição de VLAN é tratada localmente pelo AP com base na senha utilizada.

A Purple se integra a esse modelo gerenciando o ciclo de vida do ePSK por meio da API do cnMaestro. A Purple pode provisionar novas entradas ePSK quando um novo cliente é integrado, atualizar a atribuição de VLAN, definir datas de expiração e revogar o acesso quando um cliente sai. Isso elimina o trabalho manual de gerenciar centenas ou milhares de chaves individuais.

Certo, vamos falar sobre o que pode dar errado e como evitar.

O erro mais comum é o walled garden. Se as entradas do seu walled garden estiverem incompletas, o redirecionamento do Captive Portal nunca é concluído. Os hóspedes veem um tempo limite de conexão, não uma página de login. Sempre teste com um dispositivo novo — não um que já tenha se conectado anteriormente — e verifique se o portal da Purple carrega antes da autenticação. Verifique se a resolução de DNS funciona para o domínio do portal da Purple a partir do estado de pré-autenticação.

Segundo: divergências no segredo compartilhado (shared secret) do RADIUS. Em grandes implantações com múltiplos locais, é fácil ter um segredo compartilhado configurado de forma diferente no cnMaestro em comparação com o que a Purple tem registrado. Sempre verifique o segredo compartilhado em ambos os lados antes de entrar em operação. Use um segredo forte, gerado aleatoriamente — com pelo menos 32 caracteres — e armazene-o em um gerenciador de segredos, não em uma planilha.

Terceiro: bilhetagem RADIUS (RADIUS accounting). Não pule esta etapa. Os registros de bilhetagem são o que a Purple usa para criar análises de sessão — tempo de permanência, frequência de visitas, tipo de dispositivo. Configure a bilhetagem RADIUS na porta UDP 1813 no cnMaestro. Sem isso, você perde o valor de analytics que a Purple oferece. É uma etapa de configuração de cinco minutos.

Quarto: trunking de VLAN. Para que a atribuição dinâmica de VLAN funcione, as VLANs devem estar em modo trunk nas portas do switch que se conectam aos seus APs Cambium. Se a VLAN 100 para hóspedes não for permitida no trunk, os hóspedes autenticados não receberão um endereço IP e parecerão não ter acesso à internet, mesmo após a autenticação bem-sucedida. Verifique a configuração de trunk do seu switch antes de testar.

Quinto: conflitos de intervalo de VLAN do ePSK. Certifique-se de que o intervalo de VLAN do seu ePSK não entre em conflito com as VLANs existentes na sua rede — especialmente VLANs de gerenciamento ou de infraestrutura. Documente sua alocação de VLAN antes de começar.

Sexto: versão do firmware. Certifique-se de que seus APs cnPilot estejam executando a versão de firmware 6.0 ou posterior para suporte completo a hotspot externo e funcionalidade ePSK. Versões anteriores de firmware apresentam problemas conhecidos com o comportamento de redirecionamento do Captive Portal.

Agora, algumas perguntas rápidas.

Posso usar a Purple com a Cambium sem RADIUS — apenas com um redirecionamento simples? Sim, mas você perde a atribuição dinâmica de VLAN e os dados de bilhetagem de sessão. Para qualquer coisa além de uma tela de login básica, o RADIUS é altamente recomendado.

A Purple suporta WPA3 em APs Cambium? Sim. A autenticação baseada em portal da Purple é compatível com WPA3-SAE no SSID. O fluxo RADIUS é independente do protocolo de segurança sem fio.

Posso executar a Purple em múltiplos locais da Cambium a partir de uma única conta da Purple? Com certeza. A arquitetura multi-venue da Purple foi projetada exatamente para isso. Cada local é mapeado para um ponto de presença (venue) na Purple, e as políticas de rede do cnMaestro escalam de forma limpa em todo o território nacional.

Quantas entradas ePSK o cnMaestro pode suportar? Até 2.000 por WLAN. Para implantações que exigem mais, use uma abordagem baseada em RADIUS para o gerenciamento de chaves.

Para resumir: a integração do Cambium cnMaestro com o Purple WiFi é uma arquitetura comprovada que oferece guest WiFi com captura de dados, autenticação RADIUS, segmentação dinâmica de VLAN e analytics completo — tudo gerenciado centralmente por meio do console em nuvem do cnMaestro.

As etapas principais para colocar isso em operação: configure sua WLAN de hóspedes no cnMaestro com o External Hotspot habilitado e a URL do portal da Purple definida, adicione os detalhes do servidor RADIUS da Purple para autenticação e bilhetagem, configure as entradas do seu walled garden, verifique o trunking de VLAN nos seus switches e teste com um dispositivo novo antes de entrar em operação.

Para implantações multi-tenant, configure o ePSK em uma WLAN dedicada, atribua IDs de VLAN por cliente e use a API do cnMaestro para o gerenciamento do ciclo de vida em escala.

O caso de ROI é direto. A plataforma de analytics da Purple transforma seu guest WiFi de um centro de custo em um ativo de dados primários (first-party data). A Harrods alcançou um ROI de marketing de 57 vezes com a implantação do guest WiFi da Purple. A AGS Airports gerou um ROI de 842%. Combinado com a infraestrutura de nível corporativo da Cambium, você obtém uma solução que escala de um único local para uma rede nacional sem alterações arquitetônicas.

Para as próximas etapas: obtenha os detalhes do servidor RADIUS da Purple com o seu gerente de conta da Purple, acesse a configuração de WLAN do cnMaestro para o seu SSID de hóspedes e siga a lista de verificação de configuração. A maioria das implantações em um único local entra em operação em um dia.

Obrigado por ouvir. Se você quiser se aprofundar no design de Captive Portal, estratégia de segmentação de VLAN ou gerenciamento de ciclo de vida de ePSK, a documentação da Purple e a equipe de suporte são o próximo passo ideal.

Principais conclusões

✓Integre APs Cambium cnPilot com o Purple WiFi usando redirecionamento HTTP padrão e protocolos RADIUS.
✓Configure o redirecionamento de Captive Portal no cnMaestro nas configurações de Guest Access da WLAN.
✓Garanta que o walled garden inclua os domínios da Purple e quaisquer endpoints de provedores de identidade necessários.
✓Habilite a bilhetagem RADIUS (RADIUS Accounting) na porta UDP 1813 para preencher os painéis de analytics da Purple com dados de sessão.
✓Proteja as redes de funcionários usando autenticação 802.1X, vinculando o acesso WiFi a identidades corporativas.
✓Use o Cambium ePSK para ambientes multi-tenant para segmentar o tráfego de forma segura em um único SSID.
✓Automatize o gerenciamento do ciclo de vida do ePSK por meio da integração da Purple com a API do cnMaestro.

Resumo Executivo

Para locais corporativos que padronizam sua infraestrutura na Cambium Networks, a implantação de uma solução de guest WiFi de nível de produção exige uma integração estreita entre a camada de acesso sem fio e a plataforma de gerenciamento de identidade. Este guia fornece um roteiro definitivo para integrar os access points Cambium cnPilot e o controlador de nuvem cnMaestro com o Purple WiFi. Ao combinar o hardware escalável da Cambium com o Captive Portal, a autenticação RADIUS e os recursos de analytics da Purple, as equipes de TI podem transformar suas redes sem fio de um centro de custo em um ativo estratégico. A arquitetura detalhada aqui oferece suporte desde o acesso básico de hóspedes até a segmentação multi-tenant complexa usando Cambium Private Pre-Shared Keys (PPSK), fornecendo conectividade segura, em conformidade e rica em dados em ambientes de hotelaria, varejo e setor público.

Análise Técnica Detalhada

A integração entre a Cambium Networks e a Purple baseia-se em protocolos padrão de redirecionamento HTTP e RADIUS. Essa abordagem independente de fornecedor garante segurança robusta, compatibilidade entre plataformas e gerenciamento centralizado via cnMaestro.

Arquitetura de Integração

O mecanismo principal envolve um redirecionamento de Captive Portal gerenciado pelo AP Cambium, combinado com a autenticação RADIUS gerenciada pela Purple.

Quando um dispositivo de hóspede se associa a um SSID de Hóspedes aberto, o AP Cambium intercepta a solicitação HTTP inicial. Em vez de rotear o tráfego para a internet, o AP redireciona o dispositivo para a URL do Captive Portal hospedado da Purple. O hóspede conclui o fluxo de autenticação na tela de login da Purple, que oferece suporte a login social, registro por e-mail e formulários personalizados de captura de dados.

Após a autenticação bem-sucedida, o backend da Purple envia uma mensagem RADIUS Access-Accept para o AP Cambium na porta UDP 1812. Essa mensagem sinaliza ao AP para fazer a transição do dispositivo cliente do estado de walled garden de pré-autenticação para o acesso total à rede. Simultaneamente, o AP envia dados de bilhetagem RADIUS para a Purple na porta UDP 1813, preenchendo os painéis de analytics da Purple com informações de duração da sessão, uso de dados e tipo de dispositivo.

Requisitos de Walled Garden

O walled garden é um componente crítico do fluxo do Captive Portal. Ele define os endereços IP e domínios específicos que um dispositivo não autenticado pode alcançar. Se o walled garden estiver mal configurado, o dispositivo não conseguirá carregar o portal da Purple, resultando em um tempo limite de conexão (timeout).

Para que a integração funcione, o walled garden deve incluir os domínios de portal da Purple, quaisquer endpoints de Content Delivery Network (CDN) que hospedem recursos do portal e os domínios de quaisquer provedores de identidade suportados (como Facebook, Google ou Microsoft Entra ID).

Segmentação Multi-Tenant com Cambium ePSK

A implementação da Cambium de Private Pre-Shared Keys, sob a marca ePSK, permite que os arquitetos de rede segmentem o tráfego de forma segura sem transmitir múltiplos SSIDs.

Com o ePSK, um único SSID suporta até 2.000 senhas exclusivas. Cada senha é mapeada para uma VLAN específica. Quando um usuário se conecta usando sua chave exclusiva, o AP Cambium coloca automaticamente seu tráfego na VLAN atribuída. Esse recurso é inestimável para ambientes multi-tenant, como espaços de coworking ou edifícios residenciais, onde cada cliente exige um segmento de rede isolado. A Purple se integra a essa arquitetura gerenciando o ciclo de vida do ePSK por meio da API do cnMaestro, automatizando o provisionamento, a atribuição de VLAN e a revogação de credenciais de clientes.

Guia de Implementação

A implantação da integração entre Cambium e Purple exige uma configuração precisa no console em nuvem do cnMaestro. Siga estas etapas para estabelecer o serviço básico de Guest WiFi.

1. Configurar a WLAN de Hóspedes

Navegue até o menu Configuration no cnMaestro, selecione WiFi Profiles e abra a guia WLANs. Crie um novo perfil de WLAN.

Name / SSID: Defina o nome da rede de hóspedes (ex: "Venue Guest WiFi").
Security: Defina como Open.
Client Isolation: Defina como Enable para evitar que os dispositivos dos hóspedes se comuniquem entre si na sub-rede local.

2. Habilitar o Hotspot Externo

Na configuração da WLAN, localize a seção Guest Access.

Enable Guest Access: Marque esta caixa.
Portal Type: Selecione External Hotspot.
External Page URL: Insira a URL específica do Captive Portal fornecida pelo seu gerente de conta da Purple.

3. Configurar Autenticação e Bilhetagem RADIUS

Na mesma seção Guest Access, configure os parâmetros RADIUS.

Authentication Server: Insira o endereço IP do servidor RADIUS principal da Purple.
Authentication Port: 1812
Accounting Server: Insira o endereço IP do servidor RADIUS principal da Purple.
Accounting Port: 1813
Shared Secret: Insira o segredo compartilhado complexo fornecido pela Purple. Certifique-se de que ele corresponda exatamente em ambas as plataformas.

4. Definir o Walled Garden

Nas configurações de External Hotspot, preencha a lista de walled garden. Você deve adicionar os domínios principais da Purple e os domínios específicos exigidos pelos métodos de autenticação escolhidos (ex: provedores de login social).

5. Configurar 802.1X para Staff WiFi

Para proteger o acesso dos funcionários, crie um perfil de WLAN separado no cnMaestro.

Security: Defina como WPA2-Enterprise.
RADIUS Server: Aponte para o IP do servidor RADIUS da Purple na porta 1812.

Os funcionários se autenticam usando suas credenciais corporativas via Microsoft Entra ID ou Google Workspace, que a Purple validates. A Purple então retorna um atributo RADIUS Tunnel-Private-Group-ID, instruindo o AP Cambium a colocar o dispositivo do funcionário na VLAN corporativa segura.

Melhores Práticas

VLAN Trunking: Certifique-se de que todas as VLANs necessárias (Guest, Staff, Management) estejam em trunk nas portas do switch que se conectam aos APs Cambium. Se a VLAN estiver ausente do trunk, os clientes autenticados não conseguirão obter um endereço IP via DHCP.
Consistência de Firmware: Padronize seu parque de APs na versão de firmware cnPilot 6.0 ou posterior. Esta versão oferece o suporte mais estável para redirecionamento de hotspot externo e funcionalidade ePSK.
Accounting é Obrigatório: Nunca desative o accounting do RADIUS. A Purple depende inteiramente do fluxo de accounting UDP 1813 para gerar métricas de tempo de permanência, dados de frequência de visitas e logs de conformidade.
Evite PSKs Locais para Funcionários: Substitua as senhas compartilhadas legadas pela autenticação 802.1X para redes de funcionários. Essa abordagem se alinha aos requisitos da ISO 27001, vinculando o acesso à rede a identidades individuais e auditáveis.

Solução de Problemas e Mitigação de Riscos

Quando surgem problemas de integração, eles normalmente se manifestam durante o redirecionamento inicial do Captive Portal ou na fase de autenticação RADIUS.

Falha ao Carregar o Portal: Quase sempre se trata de um problema de walled garden. Se um dispositivo de convidado se conectar ao SSID, mas receber um tempo limite de conexão (timeout) em vez da página de login (splash page), o AP está bloqueando o acesso ao domínio do portal Purple. Verifique suas entradas de walled garden no cnMaestro e garanta que a resolução de DNS seja permitida antes da autenticação.
Falha na Autenticação (Erro de Credenciais Inválidas): Verifique o segredo compartilhado (shared secret) do RADIUS. Uma incompatibilidade entre o cnMaestro e a Purple fará com que o servidor RADIUS descarte silenciosamente as solicitações de autenticação.
O Dispositivo Autentica, mas Não Tem Acesso à Internet: Isso indica uma falha na atribuição dinâmica de VLAN ou no processo DHCP. Verifique se a Purple está retornando o ID de VLAN correto na resposta do RADIUS e confirme se a configuração de trunking da porta do switch permite essa VLAN.

ROI e Impacto nos Negócios

A implantação do Purple WiFi na infraestrutura da Cambium Networks transforma um utilitário de rede padrão em um ativo de negócios mensurável. Ao capturar dados primários (first-party data) no momento da autenticação, os estabelecimentos podem criar perfis de visitantes abrangentes e direcionar campanhas de marketing segmentadas.

Por exemplo, a Harrods implementou o Purple Guest WiFi e alcançou um ROI de marketing de 57x ao integrar os dados capturados com seu programa de fidelidade. Da mesma forma, a AGS Airports gerou um ROI de 842% utilizando largura de banda em camadas e engajamento direcionado de passageiros. Ao padronizar no Cambium cnMaestro e na Purple, os líderes de TI podem fornecer conectividade segura e em conformidade, enquanto fornecem simultaneamente à organização de marketing os dados necessários para impulsionar a receita.

Definições principais

Captive Portal

Uma página de login personalizada que exige que os usuários se autentiquem ou aceitem os termos antes de obter acesso a uma rede WiFi pública ou corporativa.

Usado em implantações de Guest WiFi para capturar dados primários (first-party data), aplicar políticas de uso aceitável e apresentar a marca do local antes de conceder acesso à internet.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA).

O protocolo que os APs Cambium usam para se comunicar com a Purple para verificar as credenciais do usuário e relatar os dados da sessão.

Walled Garden

Um ambiente limitado que controla o acesso do usuário a conteúdos e serviços da web antes da autenticação.

Necessário no cnMaestro para permitir que os dispositivos dos hóspedes alcancem a tela de login da Purple e os domínios dos provedores de identidade (como Facebook ou Google) antes de terem acesso total à internet.

ePSK

Enhanced Pre-Shared Key; a implementação da Cambium de chaves privadas pré-compartilhadas, permitindo senhas exclusivas para usuários individuais em um único SSID.

Usado para fornecer segmentos de rede seguros e isolados para ambientes multi-tenant sem a transmissão de inúmeros SSIDs.

Dynamic VLAN Assignment

O processo de colocar um dispositivo autenticado em uma Virtual Local Area Network específica com base em atributos RADIUS, em vez da porta física ou SSID.

Permite que a TI use um único SSID enquanto separa com segurança o tráfego de hóspedes do tráfego de funcionários ou de gerenciamento.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, fornecendo um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O padrão usado para Staff WiFi seguro, substituindo senhas compartilhadas por credenciais corporativas individuais validadas em um provedor de identidade.

cnMaestro

A plataforma de gerenciamento baseada em nuvem ou local da Cambium Networks para controle centralizado de infraestrutura de rede com e sem fio.

A interface onde os arquitetos de rede configuram os perfis de WLAN, configurações de RADIUS e walled gardens necessários para a integração com a Purple.

First-Party Data

Informações que uma empresa coleta diretamente de seus clientes e possui inteiramente.

O principal resultado de negócios de uma implantação de Guest WiFi da Purple, usado para impulsionar campanhas de marketing e entender o comportamento dos visitantes.

Exemplos práticos

Um hotel de 200 quartos precisa implantar WiFi seguro para hóspedes, funcionários e um centro de conferências. Os hóspedes exigem um Captive Portal personalizado com a marca, os funcionários precisam de acesso seguro aos sistemas internos e o centro de conferências exige redes isoladas para diferentes organizadores de eventos. Como o arquiteto de rede deve configurar o ambiente Cambium cnMaestro para suportar isso usando a Purple?

O arquiteto deve implantar três perfis de WLAN distintos no cnMaestro.

WLAN de Hóspedes: Configurada como uma rede Aberta com 'External Hotspot' habilitado. A URL de redirecionamento aponta para o Captive Portal da Purple. A autenticação RADIUS (UDP 1812) e a bilhetagem (UDP 1813) apontam para os servidores da Purple. O walled garden inclui os domínios da Purple.
WLAN de Funcionários: Configurada como WPA2-Enterprise (802.1X). O RADIUS aponta para a Purple, que se integra ao Microsoft Entra ID do hotel. Os funcionários se autenticam com credenciais corporativas, e a Purple os atribui à VLAN de Funcionários.
WLAN de Conferência: Configurada com WPA2 Pre-Shared Key e Cambium ePSK habilitado. A Purple provisiona senhas ePSK exclusivas para cada organizador de eventos por meio da API do cnMaestro, atribuindo cada chave a uma VLAN isolada (ex: VLAN 301, 302).

Comentário do examinador: Esta abordagem mapeia corretamente os recursos técnicos da Cambium e da Purple para os requisitos de negócios. Ela isola o tráfego de forma segura usando atribuição dinâmica de VLAN e ePSK, evitando a degradação do espectro causada pela transmissão de múltiplos SSIDs para cada cliente de conferência.

Uma rede de varejo implantou APs Cambium e410 e configurou o Captive Portal da Purple. No entanto, os clientes relatam que a tela de login nunca aparece em seus smartphones; em vez disso, o navegador exibe um tempo limite de conexão (timeout). Qual é a causa raiz e como isso é resolvido?

A causa raiz é uma configuração incompleta de walled garden no cnMaestro. O AP Cambium está bloqueando o tráfego HTTP/HTTPS necessário para carregar o portal da Purple antes que o usuário seja autenticado.

Para resolver isso, o engenheiro de rede deve fazer login no cnMaestro, navegar até o perfil de WLAN de Hóspedes e atualizar a lista de walled garden do External Hotspot. Ele deve adicionar os domínios de portal específicos da Purple e quaisquer endpoints de CDN associados. Uma vez aplicado, os dispositivos não autenticados poderão alcançar o portal e concluir o fluxo de login.

Comentário do examinador: Configurações incorretas de walled garden são a causa mais frequente de falhas no Captive Portal. Esta solução identifica corretamente as restrições do estado de pré-autenticação e fornece o caminho exato de configuração no cnMaestro para corrigir o problema.

Questões práticas

Q1. Você está implantando o Guest WiFi da Purple em 50 lojas de varejo usando APs Cambium e505. Os usuários conseguem se conectar ao SSID e ver a tela de login, mas após o login, não conseguem acessar a internet. Você verifica que a Purple está enviando a mensagem Access-Accept. Qual é o problema de infraestrutura mais provável?

Dica: Considere o que acontece no nível do switch quando um dispositivo tenta obter um endereço IP após a autenticação.

Ver resposta modelo

O problema mais provável é a falta de trunking de VLAN nas portas do switch que se conectam aos APs Cambium. Embora o AP autorize o dispositivo, se a VLAN de Hóspedes atribuída não for permitida no trunk do switch, o dispositivo não conseguirá alcançar o servidor DHCP para obter um endereço IP, resultando na falta de acesso à internet.

Q2. Um campus universitário deseja usar um único SSID para todos os estudantes nos dormitórios, mas exige que os dispositivos de cada estudante sejam isolados em seu próprio segmento de rede privado para permitir a transmissão (casting) para sua smart TV específica. Como você implementa isso usando Cambium e Purple?

Dica: Observe a implementação da Cambium de chaves privadas pré-compartilhadas.

Ver resposta modelo

Implemente o Cambium ePSK (Enhanced Pre-Shared Key) na WLAN do dormitório. A Purple gerenciará o ciclo de vida do ePSK por meio da API do cnMaestro, gerando uma senha exclusiva para cada estudante. Quando um estudante conecta seus dispositivos usando sua chave específica, o AP Cambium os atribui a uma VLAN exclusiva, criando uma rede de área privada isolada.

Q3. Durante uma implantação piloto, o painel de analytics da Purple mostra zero tempo de permanência ou métricas de uso de dados para o site de teste da Cambium, embora os usuários estejam se autenticando e navegando na internet com sucesso. Qual etapa de configuração foi esquecida no cnMaestro?

Dica: A análise de dados (analytics) exige dados de sessão, que são tratados por uma porta UDP específica na configuração AAA.

Ver resposta modelo

A bilhetagem RADIUS (RADIUS Accounting) não foi configurada. O engenheiro de rede deve habilitar a bilhetagem RADIUS no perfil de WLAN de Hóspedes do cnMaestro e apontá-la para o servidor RADIUS da Purple na porta UDP 1813. Sem isso, a Purple trata apenas a autenticação e não recebe dados do ciclo de vida da sessão.

Continue a ler esta série

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os access points Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Ele aborda a configuração de Captive Portal, autenticação de funcionários via 802.1X e direcionamento dinâmico de VLAN por PPSK para redes corporativas.

EnGenius Cloud Access Points Integration with Purple WiFi

Esta referência técnica detalha a integração passo a passo dos Access Points EnGenius Cloud e switches ECS com a plataforma de guest WiFi da Purple. Ela cobre o redirecionamento do guest Captive Portal por meio de uma splash page externa, configuração de Walled Garden, WiFi seguro para funcionários usando IEEE 802.1X e isolamento de rede multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Instaladores de TI e arquitetos de rede encontrarão sequências de configuração práticas, estudos de caso reais e uma estrutura de solução de problemas para implantar a Purple em parques de hardware EnGenius.