Ruckus Unleashed e WiFi de visitantes: configuração do Captive Portal com a Purple

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos abordar um padrão de implantação que surge em quase todos os projetos de WiFi corporativo em grande escala que vemos - a integração do CommScope Ruckus com a plataforma de nuvem da Purple. Quer você gerencie um grupo hoteleiro, uma rede de varejo, um estádio ou um centro de convenções, este episódio fornecerá o roteiro de configuração de que você precisa. Vamos contextualizar primeiro. A Ruckus - agora sob a CommScope - é uma das plataformas de WiFi corporativo mais dominantes no mundo. O SmartZone, em particular, é o controlador preferido para ambientes de alta densidade. Hotéis como o Premier Inn, grandes redes de varejo, estádios e centros de convenções utilizam a infraestrutura Ruckus. Quando você implanta um WiFi para convidados nessa escala, precisa de mais do que um SSID aberto. Você precisa de autenticação estruturada, captura de dados em conformidade com o GDPR e a capacidade de enviar esses dados de convidados para o seu stack de marketing. É exatamente aí que a Purple entra. A Purple opera em mais de 80.000 locais ativos, processou 440 milhões de logins apenas em 2024 e possui as certificações ISO 27001, GDPR e Cyber Essentials. A integração com a Ruckus é um dos nossos padrões de implantação mais maduros. Agora, a Ruckus possui três plataformas de controladores distintas que você precisa entender antes de tocar em uma tela de configuração. O SmartZone - disponível como um hardware físico SZ300 ou um vSZ virtual - é o controlador corporativo para implantações de grande porte e de múltiplos locais. Ele gerencia milhares de pontos de acesso em várias zonas, oferece controle de políticas detalhado e suporta toda a gama de métodos de autenticação que abordaremos hoje. O ZoneDirector é o controlador local legado - ainda amplamente implantado, especialmente no setor de hotelaria - e suporta o mesmo fluxo de Captive Portal baseado em WISPr, embora com um caminho de configuração ligeiramente diferente. E o Unleashed é o modelo sem controlador, onde um AP atua como master para até 128 outros. É ideal para implantações menores de um único local - hotéis independentes, filiais de varejo, escritórios de PMEs. Certo. Vamos entrar nos detalhes técnicos. Vou cobrir três casos de uso distintos: WiFi para convidados com redirecionamento de Captive Portal, WiFi seguro para funcionários usando 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK. Começando com o WiFi para convidados. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. O WISPr - Wireless Internet Service Provider roaming - é um padrão do setor que define como um controlador sem fio intercepta o tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado se conecta ao seu SSID. O dispositivo dele envia uma requisição HTTP. O SmartZone a intercepta e emite um redirecionamento HTTP 302 para o URL do seu portal externo - neste caso, o Captive Portal da Purple. O convidado se autentica - via login social, e-mail, SMS ou um formulário personalizado - e então o portal se comunica de volta com o controlador através da Interface Northbound, ou NBI, para liberar o acesso. No SmartZone, a configuração tem quatro componentes principais. Primeiro, o perfil do servidor de autenticação RADIUS. Navegue até Services and Profiles, depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol como RADIUS. O IP do seu servidor primário e o segredo compartilhado são fornecidos no console de administração do Purple. Porta 1812 para autenticação. Sempre configure um servidor RADIUS de backup para resiliência. Em seguida, crie o servidor de tarifação em Services and Profiles, Accounting - porta 1813, mesmo segredo compartilhado. Segundo, o perfil do Hotspot WISPr. Vá para Services and Profiles, Hotspots and Portals, e selecione a aba Hotspot WISPr. Crie um novo perfil. Defina a Login URL para External, e insira a URL de redirecionamento do seu portal. Defina a Start Page para redirecionar para a sua URL pós-autenticação - normalmente uma página de sucesso ou a página inicial do seu estabelecimento. Agora, o Walled Garden. É aqui que os engenheiros mais se confundem. O Walled Garden define quais domínios e endereços IP um convidado pode acessar antes de se autenticar. Você precisa incluir o domínio do seu portal, quaisquer domínios de CDN ou ativos de onde seu portal carrega, e endpoints padrão de detecção de Captive Portal do sistema operacional. No SmartZone, os caracteres curinga são suportados usando o formato asterisco-ponto - assim, star-dot-purple-dot-ai cobre todos os subdomínios. Você também precisa do domínio de detecção de Captive Portal da Apple - captive.apple.com - e dos endpoints de verificação de conectividade do Google para evitar que o mini-navegador CNA se comporte mal em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer. Por padrão, o SmartZone criptografa o endereço MAC e o endereço IP que ele passa para o portal externo na URL de redirecionamento. O Purple precisa ver o endereço MAC real do cliente para realizar o gerenciamento de sessão baseado em MAC. Você deve desabilitar isso via CLI. Acesse seu SmartZone via SSH, entre no modo de configuração e execute: no encrypt-mac-ip. Esse é apenas um comando, mas é um bloqueio total se você o ignorar. A Interface Northbound é a outra peça essencial. Esta é a API que permite ao Purple se comunicar de volta com o SmartZone para conceder ou negar acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um usuário e senha, e forneça essas credenciais ao Purple. A NBI roda na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que seu firewall permite conexões de entrada da faixa de IP do Purple para essas portas. Finalmente, crie sua WLAN. Defina o Authentication Type como Hotspot WISPr, selecione o perfil do seu portal e atribua seus serviços de autenticação e tarifação RADIUS. Defina o NAS ID como User-defined se o Purple exigir um valor específico, defina Called Station ID como AP MAC e ative Single Session ID. Para o Unleashed, a arquitetura é fundamentalmente diferente - é um modelo distribuído e sem controladora. A configuração fica em Admin and Services, Services, Hotspot Services. Os passos são amplamente semelhantes - criar um serviço de Hotspot, configurar a URL do portal externo, configurar seu servidor de autenticação AAA, adicionar suas entradas de Walled Garden - mas existem duas diferenças principais. Não há requisito de Interface Northbound no Unleashed. E a criptografia de endereço MAC não é aplicada por padrão, portanto você não precisa do comando CLI. O walled garden do Unleashed também aceita entradas no nível do domínio em vez da sintaxe de wildcard completa. Agora vamos passar para o Secure Staff WiFi usando 802.1X. Este é um modelo de autenticação completamente diferente. Em vez de um Captive Portal, os dispositivos da equipe autenticam-se diretamente usando o Extensible Authentication Protocol - EAP. O método mais comum em ambientes corporativos é o PEAP-MSCHAPv2, onde o usuário insere suas credenciais do Active Directory, ou EAP-TLS, onde o dispositivo apresenta um certificado. O add-on SecurePass da Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace para agir como o backend RADIUS para este fluxo. No SmartZone, crie uma nova WLAN e defina o Authentication Type como 802.1X EAP. Nas configurações de AAA, aponte para o seu servidor RADIUS - o endpoint do SecurePass da Purple. A principal diferença em relação ao fluxo de convidados é que você também configura a atribuição dinâmica de VLAN aqui. Quando o servidor RADIUS da Purple retorna um Access-Accept, ele inclui três atributos padrão IETF: Tunnel-Type definido como VLAN, valor 13; Tunnel-Medium-Type definido como IEEE-802, valor 6; e Tunnel-Private-Group-ID contendo a string de ID da VLAN - por exemplo, vinte para a VLAN da equipe. O SmartZone lê esses atributos e marca dinamicamente o tráfego do membro da equipe com a VLAN correta, independentemente de qual AP ele esteja conectado. Isso é o direcionamento dinâmico de VLAN, e é o que permite que um único SSID atenda a múltiplos perfis de usuários com diferentes políticas de acesso à rede. Habilite o AAA Override nas configurações avançadas da WLAN para garantir que o SmartZone processe os atributos de VLAN retornados pelo RADIUS. Sem essa caixa de seleção, a atribuição dinâmica não funcionará, mesmo que o servidor RADIUS esteja enviando os atributos corretos. O terceiro caso de uso é o isolamento Multi-Tenant usando o Ruckus Dynamic PSK - ou DPSK. Esta é uma tecnologia proprietária da Ruckus que atribui uma senha WPA2 exclusiva para cada usuário ou tenant, tudo em um único SSID. Ao contrário de uma PSK compartilhada onde todos usam a mesma senha, o DPSK significa que o Tenant A tem uma chave exclusiva de 62 caracteres, o Tenant B tem uma diferente, e assim por diante. Cada chave é vinculada a uma VLAN específica, de modo que o tráfego do Tenant A vai para a VLAN 101 e o do Tenant B vai para a VLAN 102 - isolamento completo, sem risco de senha compartilhada e revogação instantânea sem afetar outros tenants. Isso é particularmente poderoso em espaços de co-working, edifícios residenciais build-to-rent, acomodações estudantis e parques comerciais multi-inquilinos. A Purple se integra ao Ruckus DPSK via API do SmartZone para automatizar o provisionamento de chaves - quando um novo inquilino é integrado na Purple, um DPSK é gerado, vinculado à VLAN correta e entregue ao inquilino automaticamente. Para configurar o DPSK no SmartZone: navegue até WLANs, adicione uma nova WLAN e, em Security, defina o método como Dynamic PSK. Defina o comprimento do DPSK para 62 caracteres para entropia máxima. Em VLAN, habilite a atribuição Per-DPSK VLAN. Em seguida, use a API do SmartZone ou a interface de gerenciamento DPSK para criar chaves individuais por inquilino, cada uma mapeada para seu próprio VLAN ID. No Unleashed, o mesmo recurso está disponível em WiFi Networks, Advanced Options, Dynamic PSK. O DPSK3 é a variante WPA3, oferecendo criptografia mais forte baseada em SAE. Se a sua frota de APs suporta WPA3 - o que todos os APs Ruckus série R atuais fazem - o DPSK3 é a escolha preferida para novas implantações. Deixe-me orientar você por dois cenários reais de implementação que ilustram como esses três casos de uso se combinam. Primeiro cenário: um hotel de 250 quartos. A propriedade executa o Ruckus SmartZone com pontos de acesso R750 em todas as áreas. Eles precisam de três tipos de rede: guest WiFi para hóspedes do hotel, staff WiFi seguro para funcionários da recepção e do operacional, e uma rede IoT para controles de quartos inteligentes e CFTV. A WLAN de convidados usa o fluxo WISPr Captive Portal com a Purple. Os hóspedes se conectam, são redirecionados para um portal personalizado da Purple, autenticam-se via e-mail ou login social e entram na VLAN 10. O portal captura dados primários - e-mail, consentimento de marketing, preferências de estadia - que alimentam diretamente o CRM do hotel. O painel de análise da Purple mostra ao hotel quais andares têm as maiores taxas de conexão, horários de pico de uso e taxas de visitantes recorrentes. O Premier Inn implantou esse modelo em todas as suas propriedades no Reino Unido e viu melhorias mensuráveis nas pontuações de satisfação dos hóspedes diretamente ligadas à experiência de WiFi. A WLAN da equipe usa 802.1X com o SecurePass da Purple. A equipe se autentica com suas credenciais do Active Directory via PEAP-MSCHAPv2. A equipe da recepção entra na VLAN 20 com acesso ao sistema de gerenciamento de propriedades. A equipe operacional entra na VLAN 21 com acesso apenas aos sistemas de RH e agendamento. A atribuição de VLAN é orientada inteiramente pelos atributos RADIUS que a Purple retorna - nenhuma configuração manual de porta é necessária. Quando um membro da equipe sai, sua conta é desativada no Microsoft Entra ID e o acesso é revogado instantaneamente em todas as propriedades. A WLAN de IoT usa um PSK estático, isolado na VLAN 30, com o isolamento de clientes ativado. Termostatos inteligentes, fechaduras de portas e câmeras de CFTV ficam aqui, completamente separados do tráfego de hóspedes e funcionários. Segundo cenário: um espaço de co-working com 15 empresas locatárias. É aqui que o DPSK realmente mostra seu valor. O operador executa o Ruckus Unleashed em três andares. Cada empresa locatária recebe um DPSK exclusivo vinculado à sua própria VLAN. Os 20 funcionários da Empresa A usam a mesma senha DPSK-A, mas essa senha é exclusiva da Empresa A e mapeia apenas para a VLAN 101. A Empresa B usa o DPSK-B, mapeando para a VLAN 102. Os locatários estão completamente isolados uns dos outros na camada de rede. Quando um locatário sai, o operador revoga seu DPSK no SmartZone - ou por meio da interface de gerenciamento da Purple - e pronto. Nenhum outro locatário é afetado, nenhuma alteração de SSID é necessária, sem redefinições de senha em todo o edifício. A camada de gerenciamento de multi-inquilinos da Purple fica acima disso, oferecendo ao operador de co-working um único painel para gerenciar a integração, a revogação de acesso e a análise de uso de todos os 15 locatários. Agora, deixe-me abordar os modos de falha mais comuns e como evitá-los. Número um: configuração incorreta do Walled Garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios que a página do seu portal faz referência estão no walled garden. As páginas de portal modernas carregam recursos de vários domínios de CDN, scripts de análise e SDKs de login social. Se qualquer um deles for bloqueado antes da autenticação, a página não carregará ou carregará com erros. Use as ferramentas de desenvolvedor do seu navegador em um dispositivo de teste conectado ao SSID de convidados para identificar quais solicitações estão sendo bloqueadas. A Purple fornece uma lista documentada de walled garden para SmartZone e Unleashed - use-a como sua linha de base e adicione quaisquer domínios específicos do local por cima. Número dois: o problema de conectividade NBI. Se os convidados conseguem ver o portal e se autenticar, mas nunca conseguem acesso à internet, a causa provável é que o SmartZone não consegue receber o callback NBI da Purple. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gerenciamento do SmartZone a partir da faixa de IP da Purple. Verifique também se as credenciais NBI configuradas correspondem ao que a Purple tem registrado. Número três: a falta do comando no encrypt-mac-ip. Este é o erro mais comum específico do SmartZone. Se a Purple está recebendo solicitações de redirecionamento, mas não consegue associar a sessão a um endereço MAC, esta é quase certamente a causa. É uma correção de uma linha de CLI, mas é fácil de esquecer porque não é exibida na GUI. Número quatro: AAA Override não ativado para VLAN dinâmica. Se os funcionários estão se autenticando com sucesso no 802.1X, mas todos estão caindo na mesma VLAN padrão em vez de sua VLAN específica de função, verifique se o AAA Override está ativado nas configurações avançadas de WLAN. Essa é a chave que diz ao SmartZone para respeitar os atributos de VLAN retornados pelo servidor RADIUS.Número cinco: VLAN de DPSK não se propagando. Se os usuários de DPSK estão se autenticando, mas não estão caindo na VLAN correta, verifique se a atribuição de VLAN por DPSK (Per-DPSK VLAN) está habilitada nas configurações de WLAN e se as portas do switch conectadas aos seus APs estão configuradas como portas trunk que transmitem todas as VLANs de DPSK. Se a porta do switch for uma porta de acesso, a marcação de VLAN será removida. Agora, três perguntas rápidas que recebo em todas as implantações de Ruckus e Purple. Preciso de uma VLAN dedicada para o WiFi de convidados? Sim, sempre. Isole o tráfego de convidados em uma VLAN dedicada. Isso é tanto um requisito de segurança quanto uma consideração de conformidade com o PCI-DSS se o seu estabelecimento processa pagamentos com cartão na mesma rede. Habilite o isolamento de clientes na WLAN de convidados para evitar que os dispositivos dos convidados se comuniquem entre si. Posso usar o Purple com o Ruckus One - a plataforma gerenciada em nuvem - em vez do SmartZone? Sim. O caminho de configuração é diferente - fica em WiFi Networks, configurações de Guest Access no portal Ruckus One - mas os princípios do walled garden e da configuração do RADIUS são idênticos. O Purple suporta implantações multi-zone do SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zone, e você pode direcionar as configurações do portal para zonas individuais para diferentes locais ou andares dentro de uma única instância do SmartZone. Para resumir. A integração entre Ruckus e Purple cobre três casos de uso distintos, cada um com seu próprio modelo de configuração. O WiFi de convidados usa o fluxo de Captive Portal WISPr - cinco pontos-chave de configuração: RADIUS nas portas 1812 e 1813 com um servidor de backup, o perfil Hotspot WISPr com uma URL de login externa, um walled garden com escopo correto usando entradas wildcard, o comando de CLI no encrypt-mac-ip e a Northbound Interface habilitada com as credenciais corretas. O WiFi seguro para funcionários usa o 802.1X EAP com direcionamento dinâmico de VLAN por meio de atributos RADIUS - o habilitador crítico é o AAA Override nas configurações avançadas de WLAN. O isolamento Multi-Tenant usa o Ruckus DPSK - chaves exclusivas por locatário, cada uma vinculada a uma VLAN dedicada, com revogação instantânea e risco zero de senha compartilhada. Acerte esses três padrões e você terá uma arquitetura de rede que escala de um hotel independente de 50 quartos no Unleashed a um estádio de 5.000 assentos no SmartZone, com a mesma plataforma Purple acima de tudo, fornecendo análises unificadas, captura de dados em conformidade com o GDPR e gerenciamento de acesso centralizado. Se você está planejando uma implantação de Ruckus com o Purple, a equipe de integração técnica pode orientá-lo por meio de uma lista de verificação pré-lançamento e validar sua configuração antes do go-live. A plataforma Purple também fornece análises em tempo real sobre tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - oferecendo a visibilidade necessária para detectar problemas antes que seus convidados percebam. Obrigado por ouvir. Até a próxima.