Zyxel Nebula e guest WiFi: configuração do captive portal com a Purple

Bem-vindo à Série de Briefings Técnicos da Purple. Eu sou o seu anfitrião e hoje abordaremos um cenário de implantação crucial para gerentes de TI e arquitetos de rede: a integração do Zyxel Nebula Cloud e dos Firewalls USG Flex com o Purple WiFi. Se você está implantando WiFi para convidados em uma rede de hotéis, em propriedades de varejo ou em um ambiente multi-inquilino, este episódio é para você. Vamos direto para a arquitetura. Primeiro, por que esta integração? A Zyxel oferece hardware robusto e o Nebula oferece gerenciamento em nuvem centralizado. Mas quando você implanta WiFi em escala - digamos, em 50 filiais de varejo ou em um hotel de 200 quartos - você precisa de mais do que conectividade básica. Você precisa de um fluxo de autenticação estruturado, captura de dados em conformidade e segmentação de rede dinâmica. É aí que a Purple entra. Nós nos integramos à Zyxel via RADIUS e redirecionamento de Captive Portal externo para fornecer Redes Baseadas em Identidade. Vamos passar pela configuração principal no Zyxel Nebula. O processo começa com as configurações do seu SSID. Você navega para Site-wide, Configure, Access points e depois SSID advanced settings. Aqui, você ativa a URL do Captive Portal externo. Você inserirá a URL de redirecionamento específica da Purple fornecida no seu portal Purple. Mas o redirecionamento por si só não é suficiente; você deve configurar o Walled Garden. O Walled Garden define quais domínios um dispositivo de convidado pode acessar antes da autenticação. Este é um erro comum. Você deve colocar na lista de permissões os domínios do portal Purple, quaisquer CDNs de ativos e os endpoints padrão de detecção de Captive Portal do sistema operacional. No Nebula, você adiciona esses domínios linha por linha. Se você esquecer de um domínio, a splash page não carregará corretamente e seus convidados ficarão travados. Em seguida, configuramos o servidor RADIUS. Nas configurações avançadas do SSID, você seleciona WPA2-Enterprise com My RADIUS server ou configura a autenticação baseada em MAC, dependendo do seu fluxo. Você insere o endereço IP do RADIUS da Purple, define a porta de autenticação como 1812, a porta de tarifação como 1813 e insere o segredo compartilhado. Sempre configure o servidor RADIUS de backup para garantir alta disponibilidade. Agora, vamos discutir um cenário mais avançado: segmentação Multi-Tenant usando Zyxel Private Pre-Shared Keys, ou PPSK. Em ambientes como alojamentos estudantis ou espaços de coworking, você deseja um único SSID, mas precisa isolar o tráfego por inquilino. O Zyxel PPSK permite que você emita uma senha de WiFi exclusiva para cada usuário. Quando eles se conectam, o controlador Nebula os atribui dinamicamente a uma VLAN específica com base nessa senha. Você configura isso em Cloud Authentication selecionando DPPSK e atribuindo o VLAN ID correspondente. Isso reduz a sobrecarga de SSID e melhora significativamente a segurança. E quanto ao firewall USG Flex? Se você estiver executando o gateway localmente, deve garantir que suas regras de firewall e políticas de zona estejam alinhadas com seus segmentos sem fio. Normalmente, você cria zonas dedicadas para o tráfego de Convidados, Funcionários e Multi-Tenant. A zona de Convidados deve ter apenas acesso de saída à internet, com regras rígidas que bloqueiam o acesso às zonas LAN ou DMZ. Vamos passar para as recomendações de implementação e armadilhas comuns. O problema mais frequente que vemos é a configuração incorreta do walled garden. Se um convidado se conectar e vir uma página em branco, verifique sua lista de permissões. Use as ferramentas do desenvolvedor do navegador para identificar requisições de CDN bloqueadas. O segundo problema são os tempos limite de RADIUS. Certifique-se de que seus firewalls upstream permitam as portas UDP 1812 e 1813 de saída para a plataforma em nuvem do Purple. Hora de um Perguntas e Respostas rápido. Pergunta um: Preciso de uma VLAN dedicada para o WiFi de Convidados? Resposta: Sim. Sempre isole o tráfego de convidados em uma VLAN dedicada. Isso é obrigatório para a conformidade com o PCI-DSS se o seu estabelecimento processar pagamentos na mesma infraestrutura física. Pergunta dois: Posso usar o Purple com APs Zyxel autônomos sem o Nebula? Resposta: Sim, mas gerenciar as configurações de RADIUS e portal por AP é ineficiente. Recomendamos fortemente o uso do Nebula Control Centre para gerenciamento centralizado. Pergunta três: Como o Purple lida com a randomização de endereços MAC? Resposta: O Purple depende do endereço MAC fornecido pela controladora Zyxel por meio de autenticação RADIUS. Embora os dispositivos randomizem os MACs por rede, eles mantêm o mesmo MAC para o seu SSID específico, permitindo a persistência da sessão durante a visita. Para resumir: A integração do Zyxel Nebula com o Purple requer uma configuração precisa da URL do portal cativo externo, um Walled Garden abrangente e configurações de RADIUS precisas. Para estabelecimentos multi-tenant, aproveite o Zyxel PPSK para direcionamento dinâmico de VLAN. Acerte esses elementos e você entregará uma experiência de WiFi segura e escalável que captura dados primários valiosos. Se você estiver planejando uma implantação, consulte o guia técnico completo para obter instruções passo a passo e diagramas de arquitetura. Obrigado por ouvir e nos vemos no próximo briefing técnico.