Arista Cognitive Wi-Fi Integration with Purple WiFi

Resumo executivo

A implementação de um Captive Portal Arista para acesso de convidados não é apenas uma tarefa de conectividade. É uma interseção crítica de segurança de rede, conformidade regulatória e estratégia de dados. Para os líderes de TI que gerem locais distribuídos, a integração do Arista CloudVision Cognitive Unified Edge (CV-CUE) com a Purple transforma o tráfego de convidados não gerido num ativo seguro, segmentado e mensurável.

Esta referência fornece um modelo definitivo para configurar o Arista Cognitive Wi-Fi com a Purple. Detalhamos os mecanismos exatos necessários para implementar splash pages alojadas em terceiros, construir listas de controlo de acesso Walled Garden precisas e implementar a autenticação RADIUS. Também cobrimos o isolamento avançado de Multi-Tenant WiFi utilizando Arista Private Pre-Shared Keys (PPSK) e direcionamento dinâmico de VLAN - a arquitetura que elimina a proliferação de SSID em espaços de coworking, centros comerciais e edifícios residenciais.

A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple). A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e CCPA, e detém as certificações Cyber Essentials e B Corp. Este guia reflete configurações testadas em produção e validadas em implementações nos setores da hotelaria, retalho e setor público.

Análise técnica aprofundada

A arquitetura de integração do Captive Portal Arista

O fluxo de integração de convidados dita como os dispositivos interagem com o ponto de acesso (AP) Arista antes e depois da autenticação. Quando um dispositivo se associa ao SSID de convidados aberto, o AP Arista atribui-o a uma VLAN de pré-autenticação. Neste estado, o AP restringe o tráfego DNS e HTTP a uma lista de permissões definida. O sistema operativo do dispositivo deteta o Captive Portal e tenta aceder a um endpoint conhecido - o iOS envia um pedido HTTP para captive.apple.com, o Android para connectivitycheck.gstatic.com e o Windows para www.msftconnecttest.com. O AP Arista intercepta este pedido e emite um redirecionamento HTTP 302 para o URL da splash page da Purple.

{{asset:captive_portal_flow.png}}

Para garantir que este fluxo é executado sem erros, o controlador Arista CV-CUE deve ser configurado para apontar para a Purple como um portal alojado em terceiros. Isto requer a definição dos servidores RADIUS da Purple (Porta de Autenticação 1812, Porta de Accounting 1813) nos Perfis de Rede do CV-CUE. Assim que o convidado submete as suas credenciais ou aceita os termos no portal Purple, a Purple atua como o servidor RADIUS e envia uma mensagem Access-Accept de volta para o AP Arista. Esta mensagem inclui atributos RADIUS Change of Authorization (CoA) definidos na RFC 3576, instruindo o AP a transitar o endereço MAC do cliente do estado restrito de pré-autenticação para o acesso total à internet na VLAN pós-autenticação.

Design de ACL de Walled Garden no CV-CUE

O Walled Garden é uma lista de permissões (whitelist) de domínios e endereços IP que os dispositivos não autenticados devem conseguir aceder para carregar a splash page e concluir a autenticação. No Arista CV-CUE, configura isto nas definições do Captive Portal como "Websites que os utilizadores podem aceder antes de iniciar sessão".

O Walled Garden é uma lista de permissões explícita. Deve incluir os domínios principais da Purple para renderizar o portal. Se disponibilizar login social, também deve incluir na lista de permissões os domínios do Fornecedor de Identidade (IdP). A não manutenção desta lista faz com que os convidados não consigam carregar o ecrã de login do fornecedor de autenticação, resultando no abandono imediato.

Entradas mínimas obrigatórias no Walled Garden para a Purple:

• region1.purpleportal.net
• venuewifi.com
• cloudfront.net
• openweathermap.org
• stripe.com (se o acesso pago estiver ativado)

Entradas adicionais para login social:

• Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
• Google Workspace: accounts.google.com, googleapis.com
• Twitter/X: twitter.com, twimg.com
• LinkedIn: linkedin.com, licdn.net

Configuração de PPSK da Arista para isolamento multi-tenant

Para ambientes como espaços de coworking, edifícios residenciais ou centros comerciais, o 802.1X padrão é frequentemente demasiado complexo para dispositivos não geridos, mas as redes abertas carecem da segurança necessária. As Chaves Pré-Partilhadas Privadas (PPSK) da Arista resolvem isto ao permitir múltiplas palavras-passe exclusivas num único SSID, cada uma mapeada para uma política de rede distinta.

Quando integrado com o Purple RADIUS, o PPSK da Arista permite o direcionamento dinâmico de VLAN. Um residente ou inquilino comercial liga-se ao SSID unificado utilizando a sua PPSK específica. O AP da Arista autentica a chave no servidor Purple RADIUS. A Purple devolve o Access-Accept padrão, mas anexa três atributos RADIUS que orientam a atribuição de VLAN:

O AP Arista atribui dinamicamente o dispositivo a essa VLAN. Isto proporciona um isolamento rigoroso de Camada 2 entre inquilinos sem transmitir dezenas de SSIDs separados, otimizando a utilização de RF e mantendo limites de segurança absolutos.

WiFi seguro para funcionários com IEEE 802.1X

Para redes de funcionários, as palavras-passe partilhadas são um risco de segurança. O IEEE 802.1X (definido na norma IEEE Std 802.1X-2020) fornece controlo de acesso à rede baseado em portas utilizando credenciais por utilizador. No CV-CUE, configura um SSID Corporativo com segurança WPA2-Enterprise ou WPA3-Enterprise. O AP atua como o autenticador, encaminhando as credenciais para o servidor RADIUS via EAP (Extensible Authentication Protocol). O Purple suporta EAP-PEAP para autenticação de utilizador/palavra-passe e EAP-TLS para autenticação baseada em certificados.

Para implementações EAP-TLS, integra-se com o Microsoft Entra ID, Okta ou Google Workspace como autoridade de certificação. Quando o dispositivo de um funcionário apresenta um certificado de cliente válido, o servidor RADIUS valida-o em relação ao diretório e devolve um Access-Accept. Isto elimina totalmente o roubo de credenciais como vetor de ataque.

Integração com Arista Cloud WIPS

O Wireless Intrusion Prevention System (WIPS) da Arista opera continuamente em segundo plano, procurando pontos de acesso não autorizados, APs mal configurados e clientes não autorizados. No CV-CUE, navegue até Configure > WIPS > Automatic Intrusion Prevention para configurar o nível de prevenção. A Arista oferece quatro níveis: Degrade, Interrupt, Disrupt e Block. Para implementações empresariais, comece em Disrupt, que interrompe a comunicação não autorizada sem a bloquear completamente, reduzindo o risco de falsos positivos durante a implementação inicial.

Ative o SSID VLAN Monitoring em Configure > Device > Access Point > Security tab para garantir que os APs monitorizam ativamente as suas VLANs atribuídas contra atividades não autorizadas. Os modelos da série Arista AP-3xx suportam a monitorização de até 42 VLANs em simultâneo (documentação Arista WIPS, 2025).

Guia de implementação

Fase 1: Segmentação de rede e configuração do RADIUS

1. Inicie sessão no Arista CV-CUE e navegue até Configure > Network Profiles > RADIUS.
2. Clique em Add RADIUS Server.
3. Introduza os detalhes do servidor RADIUS Purple Primário: Endereço IP, Porta de Autenticação (1812), Porta de Accounting (1813) e o Segredo Partilhado da página de configuração de hardware do portal Purple.
4. Repita o processo para o servidor RADIUS Purple Secundário para garantir alta disponibilidade.
5. Verifique se as portas UDP 1812 e 1813 estão abertas na sua firewall entre os APs Arista e os servidores RADIUS Purple.

Fase 2: Configuração do SSID de convidados e do Captive Portal

1. Navegue até Configure > WiFi > SSID e clique em Add New SSID.
2. Defina o Nome do SSID (ex. Guest_WiFi) e defina o Tipo de SSID para Guest.
3. No separador Security, defina o nível de segurança para Open.
4. No separador Network, configure a VLAN de pré-autenticação (ex. VLAN 10) com um âmbito DHCP dedicado.
5. No separador Captive Portal, ative a caixa de seleção do Captive Portal.
6. Selecione Third-Party Hosted no menu suspenso Cloud Hosted.
7. Selecione With RADIUS Authentication e escolha o perfil RADIUS da Purple.
8. Introduza o URL da Splash Page da Purple (ex.: https://region1.purpleportal.net/access/) e o URL de Redirecionamento (ex.: https://region1.purpleportal.net/access/?res=success).
9. Defina o formato do Called Station ID para %m (formato de endereço MAC exigido pela Purple).
10. Defina o Accounting Interval para 2 minutos.
11. Desmarque a caixa de seleção HTTPS Redirection.

Fase 3: Implementação do Walled Garden

1. No separador Captive Portal, localize a secção Websites que os utilizadores podem aceder antes de iniciar sessão.
2. Adicione todos os domínios obrigatórios da Purple e domínios do Fornecedor de Identidade listados acima.
3. Guarde a configuração do SSID e aplique-a aos grupos de AP Arista de destino.

Fase 4: Configuração multi-tenant PPSK

1. No portal Purple, navegue até à configuração de hardware do local e obtenha as definições de RADIUS do PPSK.
2. No CV-CUE, crie um novo SSID com segurança WPA2-Personal e ative o modo PPSK.
3. Configure o SSID para autenticar no perfil RADIUS da Purple.
4. No portal Purple, crie uma frase de acesso PPSK para cada tenant e mapeie-a para o ID de VLAN correspondente.
5. Verifique se as portas do switch que ligam aos APs Arista estão configuradas para trunking das VLANs de tenant necessárias.

Fase 5: WiFi Seguro para Colaboradores (802.1X)

1. Crie um novo SSID Corporativo no CV-CUE.
2. No separador Segurança, selecione WPA2-Enterprise ou WPA3-Enterprise.
3. Selecione o perfil RADIUS que aponta para o seu fornecedor de identidade corporativo (Microsoft Entra ID, Okta ou Google Workspace).
4. Configure o tipo de EAP: PEAP para nome de utilizador/palavra-passe, EAP-TLS para autenticação baseada em certificados.
5. Atribua o SSID de Colaboradores a uma VLAN dedicada (ex.: VLAN 20) isolada da VLAN de Convidados.

Boas práticas

Automatize as atualizações do Walled Garden. Os fornecedores de identidade alteram frequentemente os seus domínios CDN. Agende uma revisão trimestral da sua configuração de Walled Garden no Arista CV-CUE em relação às listas de domínios atualizadas da Purple. Uma única entrada de CDN em falta irá interromper o início de sessão social para todos os convidados.

Otimize os temporizadores de sessão por tipo de local. Configure tempos limite de inatividade no Arista CV-CUE para corresponder ao perfil de tráfego do seu local. Os ambientes de retalho beneficiam de um tempo limite de inatividade de 10 minutos para recuperar endereços IP de dispositivos que saíram da loja. As implementações em hotéis devem utilizar tempos limite mais longos (4 a 8 horas) para evitar reativar o portal durante a estadia de um hóspede.

Imponha o Isolamento de Clientes. Ative sempre o Isolamento de Clientes no SSID de Convidados dentro do Arista CV-CUE. Isto impede que os dispositivos dos convidados comuniquem entre si, mitigando riscos de movimento lateral e cumprindo os requisitos de segmentação de rede PCI DSS. Ative o RADIUS Accounting. Certifique-se de que o RADIUS Accounting está ativado com um intervalo de 2 minutos. Isto fornece à Purple métricas precisas de duração de sessão e transferência de dados, alimentando o painel de WiFi Analytics e permitindo uma análise precisa do tempo de permanência dos visitantes.

Segmente por tipo de SSID, não por AP. Aplique SSIDs de Guest, Staff e Multi-Tenant aos mesmos grupos de APs. O Arista CV-CUE lida com a marcação de VLAN por SSID, pelo que não necessita de APs separados para cada tipo de utilizador. Isto simplifica a sua implementação de hardware, mantendo uma separação lógica rigorosa.

Para uma visão mais ampla da arquitetura de segurança de WiFi empresarial, consulte o nosso Enterprise WiFi Security: A Complete Guide for 2026 .

Casos de estudo

Caso de estudo 1: Cadeia hoteleira de 350 quartos

Uma cadeia hoteleira de média dimensão com 12 propriedades implementou APs Arista Wi-Fi 6E em todos os locais, geridos através de uma única instância CV-CUE. O requisito era fornecer um Guest WiFi personalizado com recolha de e-mails para marketing, isolado da rede do sistema de gestão hoteleira (PMS), ao mesmo tempo que suportava 802.1X para dispositivos da equipa.

A equipa configurou três SSIDs por propriedade: um Guest SSID (VLAN 10) a apontar para a Purple, um Staff SSID (VLAN 20) utilizando 802.1X contra o Microsoft Entra ID, e um IoT SSID (VLAN 30) para dispositivos de gestão do edifício. O Captive Portal da Purple recolheu os endereços de e-mail e o consentimento dos hóspedes no momento do check-in. Em 90 dias, a cadeia tinha recolhido dados primários verificados de 68% dos hóspedes (dados internos da Purple), permitindo campanhas de reativação direcionadas. A rede PMS permaneceu completamente isolada, cumprindo os requisitos do PCI DSS para a segmentação do ambiente de dados de titulares de cartões.

Caso de estudo 2: Espaço de coworking multi-tenant

Um operador de coworking que gere oito localizações precisava de fornecer WiFi isolado a 35 empresas membros por local, sem transmitir 35 SSIDs. O ambiente de RF já estava congestionado e a proliferação de SSIDs estava a degradar o desempenho de todos os membros.

A solução foi um único SSID por local utilizando Arista PPSK com Purple RADIUS. Cada empresa membro recebeu uma frase-passe PPSK única. A Purple mapeou cada frase-passe para uma VLAN dedicada (VLAN 100 a VLAN 3500). Quando um membro se ligava, o AP Arista direcionava-o dinamicamente para a sua VLAN com base no Tunnel-Private-Group-ID devolvido pelo Purple RADIUS. O resultado foi uma redução de 35 SSIDs para um por local, uma melhoria mensurável na eficiência do tempo de antena e um isolamento completo de Camada 2 entre as empresas membros. Quando o contrato de um membro terminava, o operador revogava a sua frase-passe no portal da Purple, terminando o acesso em segundos.

Resolução de problemas e mitigação de riscos

Issue: Splash page fails to load on Apple devices. O iOS utiliza um mecanismo específico para detetar captive portals. Se a splash page não carregar automaticamente, verifique se o Arista Walled Garden inclui todos os domínios CDN da Purple. Se o Walled Garden for excessivamente restritivo, o dispositivo iOS não conseguirá carregar os recursos do portal e abortará a ligação.

Issue: MAC address randomization breaks returning guest recognition. Os dispositivos iOS 14+ e Android 10+ randomizam o seu endereço MAC por SSID. Isto impede a Purple de reconhecer um visitante recorrente com base apenas no seu endereço MAC. Confie na identidade autenticada (e-mail ou login social) para a monitorização a longo prazo. Para uma religação segura e contínua sem um captive portal, migre para arquiteturas Passpoint/Hotspot 2.0.

Issue: Dynamic VLAN steering fails with PPSK. Se for atribuída aos inquilinos a VLAN predefinida em vez da sua VLAN específica, verifique a resposta RADIUS utilizando as ferramentas de resolução de problemas do Arista CV-CUE. Certifique-se de que a Purple está a retornar os atributos Tunnel-Private-Group-ID, Tunnel-Type e Tunnel-Medium-Type corretos, e que a VLAN especificada existe na porta do switch ligada ao AP Arista.

Issue: DHCP pool exhaustion on the Guest VLAN. Reduza o tempo limite de inatividade para 5-10 minutos em ambientes de elevado fluxo de pessoas. Aumente o tamanho do intervalo DHCP se o local exceder regularmente os 80% de utilização do pool. Considere a utilização de uma sub-rede /22 ou superior para locais de alta densidade, tais como estádios ou centros de conferências.

Issue: RADIUS accounting data shows zero-second sessions. Verifique se a porta UDP 1813 está aberta na firewall entre os APs Arista e os servidores RADIUS da Purple. Confirme se o Intervalo de Accounting está definido para 2 minutos nas definições de SSID do CV-CUE.

Para obter orientações relacionadas com a visualização sem fios e as melhores práticas de protocolo em ambientes empresariais, consulte What Is Wireless Display: Protocols and Best Practices 2026 .

ROI and business impact

A implementação do Arista Cognitive Wi-Fi com a Purple transforma um centro de custos de rede num ativo empresarial mensurável. Ao impor um captive portal em conformidade, mitiga o risco de coimas do GDPR, que podem atingir 4% do volume de negócios anual global. Mais importante ainda, o portal de Guest WiFi recolhe dados primários (first-party) verificados. A Purple já recolheu 29 mil milhões de pontos de dados em toda a sua rede (dados internos da Purple), demonstrando a escala do que uma arquitetura de guest WiFi devidamente implementada pode gerar.

Para espaços de Retalho , estes dados alimentam diretamente os sistemas de CRM, permitindo campanhas de marketing direcionadas com base na frequência de visitas e no tempo de permanência. Para operadores de Hotelaria e Restauração , permite uma nova interação personalizada com os clientes que regressam. Para centros de Transporte , fornece dados precisos sobre o fluxo de passageiros que fundamentam as decisões operacionais. Para instalações de Saúde , garante que os doentes e visitantes recebem o acesso adequado à rede, enquanto os sistemas clínicos permanecem completamente isolados.

A plataforma Purple opera com um tempo de atividade de 99,999% (dados internos da Purple), garantindo que o acesso de convidados nunca é interrompido por problemas de disponibilidade da plataforma. Combinado com a infraestrutura gerida na nuvem da Arista, obtém uma arquitetura de ponta a ponta que se dimensiona desde um único espaço até mais de 80.000 locais sem alterações arquitetónicas.

Para obter contexto de integração adicional, consulte o nosso guia sobre Integração de Access Points NETGEAR Insight e Enterprise com a Purple WiFi . Para operadores de espaços que avaliam ferramentas de inquérito para complementar as suas análises de WiFi, consulte Design de um Inquérito: Um Guia Prático para Espaços .