Pular para o conteúdo principal
Português (Brasil)

Integração do SonicWall TZ e SonicWave com o Purple WiFi

Este guia de referência técnica detalha a integração de firewalls SonicWall TZ e APs SonicWave com a plataforma Purple WiFi. Ele fornece etapas práticas de configuração para redirecionamento de Captive Portal, exceções de walled garden, autenticação 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK).

📖 6 min de leitura📝 1,263 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
INTEGRAÇÃO DO SONICWALL TZ E SONICWAVE COM O PURPLE WIFI Purple WiFi Intelligence Platform - Série de Briefings Técnicos Duração: Aproximadamente 10 minutes Voz: Inglês do Reino Unido, tom de consultor sênior - confiante, conversacional, autoritativo --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Boas-vindas à Série de Briefings Técnicos da Purple. Hoje abordaremos uma das integrações tecnicamente mais complexas no espaço de WiFi corporativo: firewalls SonicWall TZ e pontos de acesso SonicWave, implantados juntamente com a Purple para autenticação de visitantes, controle de acesso de funcionários e isolamento de rede multi-tenant. Se você é um engenheiro de segurança de TI ou um MSP gerenciando locais — hotéis, redes de varejo, centros de conferências ou empreendimentos de uso misto — este briefing é para você. Vamos passar rapidamente pela arquitetura, pelas etapas de configuração e pelos pontos onde as implantações costumam falhar. A SonicWall é uma excelente escolha no mercado de PMEs e empresas de médio porte. Os firewalls da série TZ são amplamente implantados, e os APs SonicWave integram-se nativamente por meio do SonicOS e do Wireless Network Manager. Ao adicionar a Purple, você obtém uma camada de WiFi para visitantes gerenciada na nuvem com splash pages personalizadas, autenticação baseada em RADIUS e captura de dados primários — tudo sem substituir sua infraestrutura SonicWall existente. Vamos entrar na arquitetura. --- SEGMENTO 2: MERGULHO TÉCNICO PROFUNDO (aproximadamente 5 minutos) Há quatro casos de uso distintos para cobrir aqui, e cada um tem um caminho de configuração diferente. WiFi para visitantes com redirecionamento de Captive Portal. Exceções de Walled Garden. WiFi seguro para funcionários usando 802.1X. E isolamento multi-tenant usando chaves pré-compartilhadas privadas (PPSK) da SonicWall com direcionamento de VLAN dinâmico. Vamos começar com o WiFi para visitantes e o Captive Portal da SonicWall. O SonicOS usa um mecanismo chamado Lightweight Hotspot Messaging (LHM) para lidar com redirecionamentos externos de Captive Portal. Quando um visitante se conecta ao seu SSID de visitantes e abre um navegador, o SonicWall intercepta essa solicitação HTTP e a redireciona para a URL da splash page da Purple. O visitante se autentica na plataforma da Purple — via login social, e-mail ou clique — e a Purple envia uma autorização LHM de volta ao SonicWall na porta TCP 4043. O SonicWall então libera o acesso à internet para o endereço MAC desse dispositivo. A configuração no SonicOS 7.x funciona da seguinte maneira. Primeiro, navegue até Object, depois Match Objects e Zones. Edite a zona atribuída ao seu WiFi de visitantes — normalmente uma WLAN ou zona personalizada. Em Guest Services, ative tanto "Enable Guest Services" e "External Guest Authentication". Em seguida, vá para Configure, Guest Services, General. Defina o Client Redirect Protocol como HTTP. Insira o hostname do portal da Purple como endereço do servidor web — que é portal.purple.ai. Defina o caminho de redirecionamento para a URL da splash page específica do seu local, que a Purple fornece no painel do cliente. A porta é 4043. Na guia Auth Pages, configure a URL de login para a URL do portal externo da Purple. Configure a URL de logout se desejar gerenciar o encerramento da sessão. Na guia Advanced, ative "Allow unauthenticated users to access HTTPS sites" apenas se precisar oferecer suporte a dispositivos que priorizam HTTPS - mas esteja ciente de que isso enfraquece a imposição do redirecionamento. Depois de salvo, o SonicOS cria automaticamente uma política de NAT e uma regra de acesso WAN-para-WAN permitindo TCP 4043. Não exclua essas regras geradas automaticamente. Elas são o que permite a conclusão do handshake do LHM. Agora, a configuração do Walled Garden. Antes que um visitante se autentique, o dispositivo dele precisa alcançar determinados domínios para que a splash page funcione. A plataforma da Purple depende de seus próprios endpoints de CDN e API. As investigações de detecção de Captive Portal do sistema operacional - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android e msftconnecttest.com para Windows - devem todas ser incluídas na lista de permissões. Se você estiver oferecendo login social, adicione accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com para o Google. Adicione www.facebook.com, graph.facebook.com, connect.facebook.net e o domínio de CDN fbcdn.net se estiver oferecendo login pelo Facebook. No SonicOS, adicione-os como objetos de endereço FQDN em Object, Match Objects, Addresses. Em seguida, crie regras de acesso na zona de convidados que permitam que dispositivos não autenticados alcancem esses FQDNs. Use a resolução de DNS dinâmico - o SonicOS resolve objetos FQDN em intervalos regulares - em vez de entradas de IP estático, que sofrerão desvios à medida que os intervalos de IP da CDN mudarem. Passando para o Secure Staff WiFi com 802.1X. É aqui que os APs SonicWave e o servidor RADIUS da Purple trabalham juntos. O AP SonicWave atua como o autenticador na troca 802.1X. O solicitante é o dispositivo da equipe. O servidor RADIUS da Purple é o servidor de autenticação. O método EAP que você escolher depende do seu provedor de identidade. Se você estiver usando o Microsoft Entra ID ou o Okta, o PEAP-MSCHAPv2 é a escolha mais comum porque funciona com credenciais de nome de usuário e senha. Se você implantou certificados de dispositivo - que é a abordagem recomendada para dispositivos gerenciados - use o EAP-TLS. No Wireless Network Manager, navegue até Policies, Policy Hierarchy, selecione sua política de AP e clique na guia 802.1X. Insira o endereço IP do servidor RADIUS da Purple - disponível no painel de controle do seu estabelecimento da Purple na seção de configurações de RADIUS. O segredo compartilhado é gerado pela Purple e deve corresponder exatamente em ambos os lados. Configure a porta de autenticação para 1812 e a porta de tarifação para 1813. Para as configurações de EAP, selecione o método que corresponda à configuração do seu provedor de identidade. Do lado da Purple, crie uma política de RADIUS para autenticação de funcionários. Mapeie o SSID de funcionários para uma VLAN específica - por exemplo, VLAN 200 para funcionários. O servidor RADIUS da Purple retorna a atribuição de VLAN usando três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o ID da VLAN como uma string - ou seja, "200" para a VLAN 200. O firewall SonicWall e o AP SonicWave honram esses atributos e colocam o dispositivo do funcionário autenticado na VLAN correta de forma automática. Agora, o caso de uso mais interessante em termos de arquitetura: PPSK e isolamento multi-tenant. As Private Pre-Shared Keys permitem que você execute um único SSID e atribua a cada tenant, residente ou grupo de usuários uma senha exclusiva. Quando um dispositivo se conecta usando uma PPSK específica, o AP SonicWave envia essa chave para o servidor RADIUS da Purple para validação. A Purple busca a chave, identifica o tenant ou grupo de usuários associado e retorna a atribuição de VLAN apropriada por meio do atributo Tunnel-Private-Group-ID. O SonicWall então direciona esse dispositivo para a VLAN correta - totalmente isolado de outros tenants no mesmo SSID. Isso é Redes Baseadas em Identidade na prática. Você não gerencia SSIDs por tenant. Você gerencia identidades por tenant. Em um empreendimento de uso misto com dez unidades comerciais, um único SSID transmite por todo o edifício. Cada tenant recebe sua própria PPSK. Cada PPSK mapeia para uma VLAN e sub-rede dedicadas. Os dispositivos do Tenant A nunca veem o tráfego do Tenant B, mesmo compartilhando os mesmos pontos de acesso físico. A configuração de PPSK no SonicOS requer o modo PPSK baseado em RADIUS no SSID. No Wireless Network Manager, edite o SSID, defina o modo de segurança como WPA2-Enterprise com PPSK e aponte o servidor RADIUS para a Purple. A Purple gerencia a tabela de mapeamento de PPSK para VLAN centralmente. Quando você adiciona um novo tenant, você cria uma nova PPSK na Purple, atribui a ela uma VLAN, e a alteração se propaga para todos os APs SonicWave naquele local sem alterar a configuração do firewall. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me apresentar as três coisas que mais costumam dar errado em implantações de SonicWall e Purple. Primeiro: a porta LHM. A porta TCP 4043 deve estar aberta da WAN para a interface WAN do SonicWall. Se o seu provedor de internet ou firewall de upstream bloquear essa porta, o handshake de autorização LHM nunca será concluído e os convidados ficarão travados na página de splash após a autenticação. Eles veem um login bem-sucedido no lado da Purple, mas o SonicWall nunca recebe o sinal de autorização. Teste isso com um telnet ou comando curl para a porta 4043 a partir de um IP externo antes do lançamento. Segundo: tempo de resolução de objetos FQDN. O SonicOS resolve os objetos de endereço FQDN na inicialização e, em seguida, em um intervalo configurável. Se você adicionar um novo domínio ao walled garden e a resolução ainda não tiver sido atualizada, os dispositivos não autenticados não conseguirão alcançá-lo. Force uma atualização manual após adicionar novos objetos FQDN ou defina o intervalo de atualização de DNS para 60 segundos em implantações de alto tráfego. Terceiro: configuração de subinterface VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se as VLANs de destino existirem como subinterfaces no SonicWall antes de o primeiro dispositivo se autenticar. Se uma resposta RADIUS retornar Tunnel-Private-Group-ID 110, mas a VLAN 110 não existir como uma subinterface no SonicWall, o dispositivo será desconectado ou retornará para a VLAN padrão. Crie e teste todas as subinterfaces VLAN antes de ativar a atribuição de VLAN por RADIUS. Para MSPs que gerenciam múltiplos locais, o painel em nuvem da Purple permite gerenciar políticas RADIUS, tabelas PPSK e configurações de splash page de forma centralizada. Você pode enviar alterações de configuração para todos os locais a partir de uma única interface. Essa é a vantagem operacional de uma abordagem de sobreposição em nuvem: o hardware SonicWall permanece no lugar e a Purple lida com a camada de identidade e política acima dele. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Algumas perguntas que surgem regularmente. "Posso usar APs SonicWave no modo autônomo com a Purple?" Sim, mas você perde algumas funcionalidades. No modo autônomo, os APs SonicWave gerenciam sua própria configuração de RADIUS localmente. Você ainda pode direcioná-los para o servidor RADIUS da Purple para 802.1X. Mas para PPSK com atribuição dinâmica de VLAN, você precisa do SonicWall TZ como proxy RADIUS ou do Wireless Network Manager gerenciando a política do AP de forma centralizada. "A Purple suporta WPA3 no SonicWave?" O suporte a WPA3 no SonicWave depende da versão do firmware e do modelo do AP. Os APs da série SonicWave 600 suportam WPA3. Para casos de uso de Captive Portal, o WPA3 com Opportunistic Wireless Encryption é compatível com o fluxo de redirecionamento LHM da Purple, mas teste em sua versão de firmware específica antes de implantar em escala. "Como a Purple lida com a GDPR para dados de convidados coletados pela splash page?" A Purple possui certificação ISO 27001, está em conformidade com a GDPR e possui certificação Cyber Essentials. O consentimento é capturado na splash page com caixas de seleção de opt-in configuráveis. A Purple armazena dados primários de acordo com sua política de retenção de dados. Os convidados podem acessar e excluir seus dados por meio do portal de autoatendimento da Purple. "Quais atributos RADIUS a Purple retorna para atribuição dinâmica de VLAN?" Três atributos: Tunnel-Type com valor VLAN, Tunnel-Medium-Type com valor 802 e Tunnel-Private-Group-ID com o ID da VLAN como uma string. Esses são os atributos padrão RFC 2868 suportados pelo SonicOS e SonicWave. --- SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Para resumir. Os firewalls SonicWall TZ e APs SonicWave se integram à Purple por meio de dois mecanismos principais: LHM para redirecionamento do Captive Portal de convidados e RADIUS para autenticação 802.1X de funcionários e isolamento multilocatário baseado em PPSK. As principais etapas de configuração são: ativar a Autenticação Externa de Convidados na zona de convidados, configurar a URL do portal Purple na porta 4043, criar seus objetos de FQDN de walled garden, configurar o RADIUS na política do AP SonicWave no Wireless Network Manager e criar suas subinterfaces VLAN no SonicWall antes de ativar a atribuição dinâmica de VLAN.Para implantações multi-tenant, o PPSK com direcionamento de VLAN baseado em RADIUS é a arquitetura ideal. Um SSID, um conjunto de APs, isolamento completo de tenants por meio de atribuição de VLAN baseada em identidade. Se você está planejando uma implantação ou revisando uma existente, a equipe técnica da Purple pode fornecer arquivos de configuração RADIUS específicos para o local e listas de domínios de walled garden. A plataforma Purple suporta 80.000 locais ativos e processou 440 milhões de logins em 2024 – os padrões de integração que cobrimos hoje são comprovados em escala. Obrigado por ouvir. O guia escrito completo, com tabelas de configuração passo a passo e diagramas de arquitetura Mermaid, está disponível no site da Purple. --- FIM DO SCRIPT

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Definições principais

Lightweight Hotspot Messaging (LHM)

Um protocolo usado pela SonicWall para se comunicar com Captive Portals externos. Ele gerencia o redirecionamento e o handshake de autorização.

Necessário para integrar o SonicOS com plataformas de WiFi de visitantes gerenciadas na nuvem, como o Purple.

Walled Garden

Um conjunto específico de domínios ou endereços IP que dispositivos não autenticados têm permissão para acessar.

Crucial para permitir que dispositivos de visitantes carreguem a splash page, acessem CDNs e concluam fluxos de OAuth de login social antes de obter acesso total à internet.

Private Pre-Shared Key (PPSK)

Um método de segurança no qual várias senhas exclusivas são válidas em um único SSID, com cada senha vinculada a um usuário ou política específica.

Usado em ambientes multi-tenant para isolar o tráfego sem transmitir múltiplos SSIDs.

Captive Network Assistant (CNA)

O mecanismo integrado do SO (no iOS, Android, Windows) que detecta um Captive Portal e abre automaticamente uma janela de navegador limitada para autenticação.

Se os domínios de teste do SO (ex: captive.apple.com) não estiverem no walled garden, o CNA não será acionado e os visitantes pensarão que o WiFi não está funcionando.

Direcionamento Dinâmico de VLAN (Dynamic VLAN Steering)

O processo de atribuir um dispositivo a uma VLAN específica com base em sua identidade ou credenciais, em vez do SSID ao qual ele se conectou.

Gerenciado pelo Purple RADIUS que retorna o atributo Tunnel-Private-Group-ID para o SonicWall.

Objeto de Endereço FQDN

Um objeto de firewall baseado em um Nome de Domínio Totalmente Qualificado (Fully Qualified Domain Name), em vez de um endereço IP estático.

O SonicOS resolve esses objetos dinamicamente, tornando-os essenciais para configurações robustas de walled garden.

Rede Baseada em Identidade

Uma arquitetura de rede onde as políticas de acesso e a segmentação são aplicadas com base no usuário ou dispositivo autenticado, em vez de portas físicas ou SSIDs.

Alcançada combinando o Purple RADIUS com SonicWall PPSK e 802.1X.

Tunnel-Private-Group-ID

O atributo RADIUS padrão RFC 2868 usado para especificar o ID da VLAN para um dispositivo de conexão.

Deve ser retornado pelo Purple como um valor de string (ex: '100') para instruir o SonicWall a direcionar o dispositivo.

Exemplos práticos

Um hotel de 150 quartos (Premier Inn) precisa fornecer WiFi de convidados gratuito por meio de uma splash page e uma rede WiFi de funcionários segura para dispositivos de governança. Eles possuem um SonicWall TZ570 e 40 APs SonicWave. Como eles devem segmentar esse tráfego?

Implante dois SSIDs. SSID 1: 'Guest-WiFi' mapeado para a VLAN 100. Configure a zona WLAN do SonicWall para Autenticação Externa de Convidados apontando para portal.purple.ai na porta TCP 4043. Configure os FQDNs de walled garden para o Purple e logins sociais. SSID 2: 'Staff-WiFi' mapeado para a VLAN 200 usando 802.1X. Aponte a política do AP SonicWave para o servidor RADIUS do Purple. Configure o Purple para autenticar dispositivos de governança via desvio de endereço MAC (MAB) ou PEAP-MSCHAPv2, retornando o Tunnel-Private-Group-ID '200'.

Comentário do examinador: Esta abordagem isola estritamente o tráfego não confiável de convidados dos sistemas operacionais. O uso do Purple tanto para o Captive Portal quanto para a autenticação RADIUS centraliza o gerenciamento de identidade. O MAB é adequado para dispositivos sem interface de usuário (como carrinhos de limpeza), enquanto o 802.1X protege os telefones da equipe.

Um espaço de coworking gerencia 15 empresas diferentes que compartilham um escritório em plano aberto. Eles desejam fornecer redes seguras e isoladas para cada empresa sem transmitir 15 SSIDs diferentes a partir de seus APs SonicWave.

Implante um único SSID chamado 'Workspace-Secure' usando WPA2-Enterprise com PPSK. Crie 15 subinterfaces VLAN no firewall SonicWall TZ (por exemplo, VLANs 101-115). No painel do Purple, gere um PPSK exclusivo para cada empresa e mapeie-o para o ID de VLAN específico correspondente. Quando um usuário se conecta usando o PPSK de sua empresa, o RADIUS do Purple retorna o Tunnel-Private-Group-ID correspondente, e o SonicWall direciona o dispositivo para a VLAN isolada.

Comentário do examinador: Este design de rede baseado em identidade (Identity-Based Network) escala de forma limpa. Transmitir 15 SSIDs causaria uma sobrecarga severa de quadros de gerenciamento e reduziria o desempenho do WiFi. O PPSK oferece a segurança de credenciais exclusivas e o isolamento de VLANs dedicadas sem o impacto de RF de múltiplos SSIDs.

Questões práticas

Q1. Você configurou a zona de convidados do SonicWall para Autenticação de Convidado Externa e definiu o servidor web como portal.purple.ai. Os convidados são redirecionados para a splash page e conseguem fazer login com sucesso, mas nunca obtêm acesso à internet. Qual é a causa mais provável?

Dica: Pense em como a Purple informa ao SonicWall que a autenticação foi bem-sucedida.

Ver resposta modelo

O pacote de autorização LHM está sendo bloqueado. A porta TCP 4043 deve estar aberta na interface WAN do SonicWall para receber o sinal de sucesso da Purple. Verifique os firewalls upstream ou as configurações do provedor de internet para bloqueio de portas.

Q2. Um estabelecimento deseja oferecer login do Facebook em sua splash page. Você adiciona www.facebook.com ao grupo de endereços FQDN do jardim murado (walled garden). Os convidados relatam que a página de login do Facebook carrega, mas a estilização está quebrada e o botão de login não funciona.

Dica: Os aplicativos web modernos carregam recursos de múltiplos domínios.

Ver resposta modelo

O jardim murado (walled garden) está incompleto. Você também deve incluir na lista de permissões os domínios que servem o CSS, JavaScript e chamadas de API do Facebook, especificamente graph.facebook.com, connect.facebook.net e o domínio da CDN (por exemplo, *.fbcdn.net).

Q3. Você está implantando PPSK para um escritório multi-inquilino. Você configura o SSID para WPA2-Enterprise com PPSK e aponta o servidor RADIUS para a Purple. Você cria uma chave PPSK na Purple mapeada para a VLAN 50. Quando um usuário se conecta com essa PPSK, ele recebe um endereço IP da VLAN 10. Por quê?

Dica: O SonicWall precisa saber para onde enviar o tráfego antes que a solicitação RADIUS seja concluída.

Ver resposta modelo

A VLAN 50 não foi criada como uma subinterface no firewall SonicWall TZ. O direcionamento dinâmico de VLAN exige que a VLAN de destino exista no firewall previamente; se ela não existir, o dispositivo reverte para a VLAN padrão sem marcação (neste caso, a VLAN 10).

Continue a ler esta série

Integração do Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Visitantes

Este guia definitivo detalha a integração passo a passo dos Cisco Catalyst 9800 WLCs com o Purple WiFi. Ele abrange a Autenticação Web Externa para portais cativos de visitantes, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK para segmentação dinâmica de VLAN multilocatário.

Ler o guia →

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →