AP Allied Telesis TQ Series e WiFi de convidados: configuração do captive portal com a Purple

Está perante um consultor de redes sénior a falar com o diretor de TI de um cliente num briefing privado. Fale em português de Portugal com um tom confiante, autoritário e de conversação. Ritmo ponderado, dicção clara. Sem palavras de preenchimento. Pausas naturais ocasionais para ênfase: Bem-vindo a este briefing técnico sobre a integração de pontos de acesso Allied Telesis TQ-Series com o Purple WiFi. Vou orientá-lo em todo o cenário de implementação, desde o redirecionamento do Captive Portal de convidados até ao isolamento de PPSK multi-tenant. No final disto, terá um roteiro de implementação claro. [medium pause] Comecemos pelo contexto. A Allied Telesis produz a TQ-Series, incluindo os pontos de acesso Wi-Fi 6 TQ5403 e TQ6702 GEN2. Estes são APs de nível empresarial que executam o firmware AlliedWare Plus, e são amplamente implementados em ambientes de hotelaria, retalho e setor público. O Purple é uma plataforma de sobreposição na nuvem agnóstica em termos de hardware, que opera em 80.000 locais e processa 440 milhões de inícios de sessão em 2024. A integração entre estas duas plataformas é limpa, baseada em normas e pronta para produção. [medium pause] Agora, a primeira coisa que a maioria das equipas de TI precisa de configurar é o redirecionamento do Captive Portal de convidados. O AP Allied Telesis suporta três modos de Captive Portal: clique de ligação, autenticação RADIUS e redirecionamento de página externa. Para a integração com o Purple, utilizará o modo External Page Redirect. Eis como isso funciona na prática. Inicie sessão na GUI do dispositivo AP, navegue até Wireless, selecione o VAP relevante, aceda a Advanced Settings e, em seguida, ao separador Security. Defina o Captive Portal para External Page Redirect. No campo External Page URL, introduza o URL da splash page do Purple fornecido no seu dashboard do Purple. Esse é o URL que os seus convidados vão aceder quando se ligarem pela primeira vez. [short pause] Agora, o AP intercepta o primeiro pacote HTTP ou HTTPS de cada novo cliente e redireciona esse tráfego para a sua splash page do Purple. O convidado autentica-se através do Purple, e o servidor RADIUS do Purple envia um Access-Accept de volta para o AP. O AP concede então acesso à rede. [medium pause] Para a configuração RADIUS, o Purple fornece-lhe um endereço IP do servidor RADIUS, um segredo partilhado e a porta de autenticação, que é UDP 1812. A contabilidade corre em UDP 1813. Configura estes parâmetros em Network Services, depois RADIUS na GUI do AP. O identificador NAS deve ser definido para o IP de gestão do AP ou para um hostname descritivo. O RADIUS-as-a-Service do Purple trata do backend de autenticação, pelo que não precisa de gerir a sua própria infraestrutura RADIUS. [short pause] Uma coisa a acertar é o Walled Garden. Antes de um convidado se autenticar, o AP bloqueia todo o tráfego, exceto para destinos na lista branca. Precisa de adicionar os domínios da plataforma da Purple ao walled garden para que a página splash seja carregada corretamente. No mínimo, adicione à lista branca o domínio da página splash da Purple, quaisquer endpoints de CDN que a Purple utilize para recursos e quaisquer fornecedores de login social que tenha ativado, como o Google ou o Facebook. Configura isto no mesmo painel de Configurações Avançadas do VAP em Walled Garden. [medium pause] Passemos para o WiFi para colaboradores utilizando 802.1X. É aqui que configura o WPA Enterprise num VAP separado. Na GUI do AP, selecione WPA Enterprise no menu pendente de Segurança e, em seguida, aponte o Grupo de Autenticação RADIUS para o seu servidor RADIUS externo, que neste caso é o serviço SecurePass da Purple ou o seu próprio RADIUS baseado em Microsoft Entra ID ou Okta. Os dispositivos dos colaboradores autenticam-se utilizando EAP-PEAP com MSCHAPv2, ou EAP-TLS com certificados para ambientes de maior segurança. O AP atua como o autenticador 802.1X, encaminhando as credenciais para o servidor RADIUS e aplicando a resposta. [short pause] Para a atribuição dinâmica de VLAN na rede de colaboradores, ativa a VLAN Dinâmica nas configurações de Segurança Avançada do VAP. Quando o servidor RADIUS devolve um Access-Accept, inclui três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como IEEE 802 e Tunnel-Private-Group-Id definido como o ID da VLAN. O AP lê estes atributos e coloca o dispositivo autenticado na VLAN correta automaticamente. Este é o mecanismo definido na RFC 3580 e funciona de forma consistente em todo o hardware Allied Telesis. [medium pause] Agora vamos falar sobre a capacidade mais interessante para implementações multi-inquilino: o PPSK da Allied Telesis, ou Private Pre-Shared Key. Isto é por vezes designado por iPSK noutras plataformas. O conceito é simples. Tem um único SSID, mas cada inquilino ou grupo de utilizadores obtém uma frase-passe exclusiva. Quando um dispositivo se liga, o AP envia essa frase-passe para o servidor RADIUS como o campo de palavra-passe num Access-Request RADIUS. O servidor RADIUS associa a frase-passe a um registo de utilizador e devolve um Access-Accept com um atributo Tunnel-Private-Group-Id que especifica a VLAN para esse inquilino. [short pause] Assim, num edifício de uso misto, o Inquilino A na unidade de retalho liga-se com a sua frase-passe e vai parar à VLAN 100. O restaurante no rés-do-chão utiliza uma frase-passe diferente e vai parar à VLAN 300. O WiFi de convidados do edifício utiliza uma terceira frase-passe e vai parar à VLAN 400, onde o Captive Portal da Purple está ativo. Tudo isto funciona num único SSID. Sem proliferação de SSIDs. Limpo, escalável e fácil de gerir. [medium pause] Do lado da Purple, configura os registos de utilizador PPSK no painel da Purple ou através da interface RADIUS-as-a-Service. Cada inquilino recebe uma frase de passe única mapeada para um VLAN ID. O servidor RADIUS da Purple trata da correspondência e devolve o Tunnel-Private-Group-Id correto. Quando precisa de revogar o acesso de um inquilino, elimina ou desativa o seu registo PPSK na Purple. O AP aplica a alteração na tentativa de autenticação seguinte. [medium pause] Deixe-me dar-lhe dois cenários do mundo real onde isto é importante. Primeiro, um hotel de conferências com 250 quartos. O hotel gere três redes: WiFi para hóspedes com página de portal da Purple e início de sessão social, WiFi para funcionários em 802.1X associado ao Active Directory através do Microsoft Entra ID, e uma rede de delegados de conferência para eventos. Os APs Allied Telesis TQ6702 GEN2 gerem as três em VAPs separadas com VLANs separadas. A Purple gere o portal de hóspedes, recolhe dados primários para o CRM do hotel e fornece análises sobre os períodos de pico de utilização. A equipa de TI do hotel gere a rede de funcionários através do SecurePass da Purple sem manter um servidor RADIUS separado no local. [short pause] Segundo cenário: um parque comercial com 12 inquilinos independentes. O proprietário quer oferecer WiFi como serviço a cada inquilino sem lhes dar acesso ao tráfego uns dos outros. Implementam APs Allied Telesis em todo o local com um único SSID. Cada inquilino recebe um PPSK único. O servidor RADIUS da Purple mapeia cada PPSK para uma VLAN dedicada. O proprietário pode integrar um novo inquilino em menos de dez minutos, criando um novo registo PPSK na Purple e entregando a frase de passe ao inquilino. Não é necessária qualquer reconfiguração do AP. [medium pause] Agora, alguns erros a evitar. O problema mais comum que vemos são os jardins murados mal configurados. Se se esquecer de incluir um endpoint de CDN da Purple na whitelist, o portal irá carregar parcialmente ou falhar em determinados dispositivos. Teste com um dispositivo novo que não tenha DNS em cache antes de entrar em funcionamento. Segundo, incompatibilidades de segredo partilhado RADIUS. O segredo configurado no AP deve corresponder exatamente ao segredo na configuração do servidor RADIUS da Purple. A diferença de um único caráter causa falhas silenciosas de autenticação. Utilize um gestor de palavras-passe para gerar e armazenar o segredo. Terceiro, a VLAN Dinâmica não ativar. Nos APs Allied Telesis, a VLAN Dinâmica está desativada por predefinição, mesmo quando o WPA Enterprise está ativo. Tem de a ativar explicitamente nas definições de Segurança Avançada do VAP. Vemos isto ser esquecido regularmente. Quarto, conflito de autenticação PPSK e MAC. Se tiver a autenticação MAC ativada na mesma VAP que o PPSK, a ordem de autenticação importa. Verifique a documentação do AP para a sua versão de firmware para confirmar qual o método que tem precedência. [medium pause] Perguntas rápidas que recebo das equipas de TI. Posso utilizar o servidor RADIUS da Purple tanto para o Captive Portal de hóspedes como para o 802.1X de funcionários na mesma implementação? Sim. O RADIUS-as-a-Service da Purple suporta ambos os fluxos de autenticação. Configura grupos ou políticas RADIUS separados na Purple para cada caso de utilização.Os APs Allied Telesis suportam WPA3 com Captive Portal? O TQ6702 GEN2 com firmware 5.5.4-2.3 ou posterior suporta cifra WPA3 CCMP. No entanto, o Captive Portal com redirecionamento externo funciona tipicamente num SSID aberto ou WPA2 Personal. O 802.1X do pessoal pode utilizar WPA3 Enterprise. O que acontece se o servidor RADIUS da Purple estiver inacessível? O AP rejeitará novas tentativas de autenticação. As sessões existentes continuam até expirarem. Deve configurar um servidor RADIUS secundário no grupo RADIUS do AP para redundância. A plataforma da Purple mantém 99.999% de uptime, mas a defesa em profundidade é uma boa prática. [medium pause] Para resumir. Os APs Allied Telesis TQ-Series integram-se com a Purple através de três mecanismos principais: redirecionamento de Captive Portal externo para WiFi de convidados, WPA Enterprise com RADIUS para 802.1X de pessoal, e PPSK com VLAN dinâmica para isolamento multi-tenant. Os atributos RADIUS de que necessita são Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 e Tunnel-Private-Group-Id contendo o ID da VLAN. A Purple fornece o back-end RADIUS-as-a-Service, a plataforma de splash page e a camada de analytics. [short pause] Os seus próximos passos: obtenha as credenciais RADIUS da Purple no seu painel de controlo, configure o redirecionamento de página externa no seu VAP de convidados, adicione as entradas de walled garden, ative a VLAN Dinâmica no seu VAP de pessoal e execute um teste de autenticação para cada segmento de rede antes de entrar em produção. Se estiver a implementar PPSK para multi-tenant, planeie o seu esquema de numeração de VLAN antes de começar, porque alterar os IDs de VLAN após os inquilinos estarem ativos requer coordenação. [medium pause] Esta é a apresentação. Para a referência de configuração passo a passo completa, o diagrama de arquitetura Mermaid e a tabela de atributos RADIUS, consulte o guia escrito. Obrigado pelo seu tempo.