Saltar para o conteúdo principal
Português

Aruba Central e Purple WiFi: Integração Gerida na Nuvem

Um guia de referência técnica abrangente para integrar o Aruba Central com a plataforma de inteligência de WiFi para convidados alojada na nuvem da Purple. Este guia abrange a arquitetura, a configuração passo a passo de portais cativos externos e RADIUS, e estratégias de implementação multi-site para equipas de TI empresariais.

📖 7 min de leitura📝 1,633 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Aruba Central e Purple WiFi: Integração Gerida na Nuvem. Um briefing para líderes de TI. Bem-vindos. Se gerem WiFi de convidados em múltiplos locais e utilizam o Aruba Central, este episódio é diretamente relevante para vocês. Vou explicar-vos exatamente como a Purple se integra com o Aruba Central — a arquitetura, os passos de configuração, os padrões de implementação multi-site e as armadilhas que costumam apanhar as equipas de surpresa. Este é um briefing prático, não uma apresentação de vendas. Vamos a isso. Secção um: Contexto e por que razão isto é importante. O Aruba Central é a plataforma de gestão de rede na nuvem da HPE. É o plano de controlo para dezenas de milhares de Aruba Instant Access Points implementados em hotéis, cadeias de retalho, estádios, centros de conferências e edifícios do setor público. Se migraram de controladores Aruba locais — os Mobility Controllers ou Mobility Conductors — para o Central, já experimentaram a transição de uma configuração pesada em CLI e específica de cada site para uma gestão de políticas baseada em grupos e enviada a partir da nuvem. Essa mudança altera fundamentalmente a forma como integram uma plataforma de WiFi de convidados como a Purple. Num controlador Aruba local tradicional, configurariam o redirecionamento do portal cativo e a autenticação RADIUS diretamente no próprio controlador. O controlador era o ponto de aplicação de políticas e residia no vosso centro de dados ou sala de comunicações. Com o Aruba Central, a aplicação de políticas ainda acontece no Access Point — mas a configuração é enviada a partir da nuvem. Isso significa que os vossos pontos de contacto de integração são diferentes. Estão a trabalhar com templates de grupo, perfis de SSID e objetos de perfil de portal cativo externo que vivem na hierarquia de configuração do Central, e não numa caixa num bastidor. A Purple posiciona-se acima de tudo isto como uma plataforma de inteligência de WiFi de convidados alojada na nuvem. Fornece o portal cativo — a página de splash que os convidados veem —, lida com a lógica de autenticação, recolhe dados primários com consentimento e envia análises de volta para as vossas equipas de marketing e operações. A questão é: como interligar estas duas plataformas de nuvem de forma limpa, à escala, em potencialmente centenas de sites? Secção dois: A arquitetura técnica. Deixem-me descrever o fluxo de dados quando um convidado se liga. O dispositivo de um convidado associa-se ao vosso SSID de convidados — vamos chamar-lhe Hotel-Guest — que é transmitido por um AP Aruba Instant. O AP foi configurado, através do Aruba Central, com um perfil de Captive Portal externo. Esse perfil contém duas informações críticas: o URL de redirecionamento, que aponta para o servidor de portal cativo da Purple, e os detalhes do servidor RADIUS, que apontam para o endpoint RADIUS-as-a-Service da Purple. Quando o convidado abre um navegador, o AP intercepta o pedido HTTP e redireciona-o para a página de splash da Purple. O convidado autentica-se — via login social, e-mail, SMS ou um formulário personalizado, dependendo da vossa configuração da Purple. O backend da Purple envia então uma mensagem RADIUS Access-Accept de volta para o AP, que concede ao convidado acesso à internet e o move da função de pré-autenticação para a função de convidado autenticado. Os pacotes de contabilização RADIUS fluem ao longo da sessão, dando à Purple visibilidade sobre a duração da sessão e a utilização de dados. Agora, a principal diferença em relação ao modelo local: no Aruba Central, configuram o perfil de Captive Portal externo uma vez, ao nível do grupo, e este propaga-se para todos os APs nesse grupo. Não tocam em APs individuais. Isto é incrivelmente poderoso para implementações multi-site, mas exige que definam a estrutura de grupos corretamente antes de começar. O Aruba Central organiza os dispositivos em Grupos e, dentro dos grupos, podem ter Sites. Um Grupo é a unidade de configuração — SSIDs, perfis de rádio, políticas de segurança vivem todos ao nível do grupo. Os Sites são a unidade de localização e monitorização. Para uma cadeia de hotéis, uma estrutura sensata é um grupo por tipo de propriedade — por exemplo, Hotéis de Serviço Completo e Propriedades Económicas — com cada hotel físico como um site separado dentro do grupo apropriado. A configuração da Purple mapeia-se então para os grupos: um perfil de Captive Portal externo por grupo, apontando para o mesmo endpoint RADIUS da Purple, mas potencialmente com diferentes temas de página de splash por site utilizando a personalização ao nível do local da Purple. O walled garden é um elemento de configuração crítico que as equipas frequentemente erram. Antes de um convidado se autenticar, o AP apenas permite tráfego de DNS e DHCP, além de quaisquer domínios que coloquem explicitamente na lista de permissões. Para que a Purple funcione, devem incluir na lista de permissões o domínio do portal cativo da Purple, quaisquer domínios de CDN que a Purple utilize para recursos e quaisquer domínios de fornecedores de login social se estiverem a utilizar autenticação social — Facebook, Google, Apple. Se faltar um domínio, a página de splash carregará parcialmente ou a autenticação falhará silenciosamente. A documentação de suporte da Purple fornece a lista atual do walled garden, e vale a pena tratar essa lista como um documento vivo que reveem sempre que a Purple atualiza a sua plataforma. Secção três: A superfície da API do Aruba Central para automação. Se estão a fazer a implementação em mais de vinte sites, a configuração manual através da UI do Central torna-se um obstáculo. O Aruba Central expõe uma API REST abrangente — a API do Central — que permite automatizar a criação de SSIDs, a atribuição de perfis de portal cativo e a configuração do walled garden. A API é autenticada via OAuth 2.0 e precisarão de gerar credenciais de API a partir do portal do Central. Os principais endpoints de API para uma integração com a Purple são: o endpoint de configuração de WLAN, que permite criar e atualizar perfis de SSID; o endpoint de perfil de portal cativo externo, que é onde definem o URL de redirecionamento da Purple e os detalhes do servidor RADIUS; e os endpoints de gestão de sites e grupos, que permitem atribuir dispositivos a sites e grupos de forma programática. Se estiverem a integrar um novo local, podem escrever um script que cria o site no Central, atribui os APs ao site, aplica o template de grupo correto e configura o perfil de portal cativo específico da Purple — tudo sem tocar na UI. A Purple também expõe a sua própria API, que permite criar registos de locais, configurar temas de páginas de splash e extrair dados analíticos. Uma integração madura utilizará ambas as APIs em conjunto: a API do Central para gerir a camada de rede e a API da Purple para gerir a camada de experiência do convidado. Este é o padrão que as grandes cadeias de retalho e grupos hoteleiros utilizam quando integram dezenas de novos sites por trimestre. Secção quatro: Configuração passo a passo. Deixem-me guiar-vos pela sequência de configuração para um único site, que depois automatizariam para escala. Primeiro, no Aruba Central, naveguem até ao vosso grupo-alvo e abram a configuração de WLAN. Criem um novo SSID — por exemplo, Venue-Guest — e definam o nível de segurança para Visitors. Esta é a terminologia da Aruba para uma rede aberta ou autenticada por portal cativo. Segundo, no separador Security, definam o tipo de Splash Page para External Captive Portal. Criem um novo perfil de Captive Portal externo. Atribuam-lhe um nome descritivo — Purple-Guest-Portal funciona bem. Definam o Tipo de Autenticação para RADIUS Authentication. Introduzam o hostname do servidor de portal cativo da Purple no campo IP ou Hostname. Introduzam o URL de redirecionamento. Ativem o HTTPS. Definam o comportamento de Captive Portal Failure para Deny Internet, que é o padrão mais seguro. Terceiro, configurem o servidor RADIUS. No Central, acedam às definições do servidor de autenticação e adicionem o servidor RADIUS-as-a-Service da Purple. Precisarão do IP ou hostname do servidor, do segredo partilhado — que geram na plataforma da Purple — e da porta de autenticação, que é a padrão 1812, com contabilização na 1813. Adicionem este servidor como o Servidor Primário para o vosso SSID de convidados. Quarto, configurem o walled garden. Nas regras de acesso do SSID, adicionem o domínio do portal cativo da Purple e quaisquer domínios de login social à lista de permissões. Testem isto cuidadosamente — um domínio em falta é a causa mais comum de falhas na página de splash. Quinto, guardem e enviem a configuração. O Central enviará a configuração para todos os APs no grupo. Verifiquem num dispositivo de teste se o redirecionamento funciona corretamente e se a autenticação é concluída. Secção cinco: Padrões de implementação multi-site. Para uma implementação em cinquenta ou mais sites, precisam de uma abordagem disciplinada. O padrão que recomendo é: piloto, template, automação, validação. Façam um piloto num único site. Obtenham a configuração exatamente correta — walled garden completo, RADIUS a funcionar, página de splash a carregar de forma limpa, contabilização a fluir. Documentem o valor de cada parâmetro. Em seguida, construam essa configuração num template de grupo do Central. O template torna-se a vossa fonte de verdade. Para a implementação, utilizem a API do Central para enviar o template para novos grupos à medida que integram os sites. Se a vossa implementação da Purple utilizar diferentes temas de página de splash por marca ou região, parametrizem o perfil de portal cativo — o URL de redirecionamento pode incluir parâmetros de consulta que a Purple utiliza para servir o tema correto. Isto significa que podem ter um único endpoint RADIUS mas múltiplas experiências de página de splash, tudo gerido centralmente. Validem cada site após a integração. Um script de validação simples que associe um dispositivo de teste, verifique o redirecionamento, autentique e confirme o acesso à internet detetará desvios de configuração antes que os convidados os experimentem. O painel de análise da Purple também mostrará se as sessões estão a ser registadas — se um site ficar sem atividade nos relatórios da Purple, esse é o vosso sinal de que algo está partido na camada de rede. Secção seis: Armadilhas de implementação. O walled garden é o ponto de falha número um. Testem com um dispositivo que não tenha sessões de portal ou DNS em cache. Utilizem um perfil de navegador limpo ou o modo de navegação anónima. A segunda armadilha é a incompatibilidade do segredo partilhado do RADIUS. O segredo que configuram no Central deve corresponder exatamente ao segredo na plataforma da Purple. Uma diferença de um único caráter causará falhas de autenticação silenciosas — o AP não receberá resposta do servidor RADIUS e rejeitará o convidado ou, se tiverem definido o modo de falha do portal cativo para Allow Internet, concederá acesso sem autenticação, o que representa um risco de conformidade. A terceira armadilha é a configuração incorreta de VLAN. O tráfego de convidados deve estar numa VLAN dedicada, isolada da vossa rede corporativa. No Aruba Central, isto é configurado nas definições de VLAN do perfil de SSID. Se a vossa VLAN de convidados não estiver corretamente configurada em trunk na porta do switch de uplink, os APs iniciarão mas os convidados não obterão endereços DHCP. A quarta armadilha é a confiança no certificado no redirecionamento do portal cativo. Os navegadores e sistemas operativos modernos são cada vez mais agressivos em relação à aplicação de HTTPS. O servidor de portal cativo da Purple utiliza um certificado TLS válido, mas se o vosso walled garden bloquear os endpoints OCSP ou CRL que o cliente utiliza para validar o certificado, verão erros de certificado na página de splash. Adicionem esses endpoints ao vosso walled garden. Secção sete: Perguntas rápidas. A Purple funciona com a arquitetura AOS-10 do Aruba Central, bem como com a AOS-8? Sim. O mecanismo de portal cativo externo é consistente em ambas as versões de firmware. O caminho na UI difere ligeiramente, mas os objetos de configuração subjacentes são os mesmos. Posso utilizar o RADIUS-as-a-Service da Purple sem gerir a minha própria infraestrutura RADIUS? Sim, esse é o objetivo. O RADIUS-as-a-Service da Purple é um servidor RADIUS alojado na nuvem para o qual apontam os vossos APs Aruba. Não precisam de FreeRADIUS ou Cisco ISE localmente. Esta integração suporta WPA3? O Aruba Central suporta WPA3 em APs compatíveis e podem ativar o modo de transição WPA3 no vosso SSID de convidados. O mecanismo de portal cativo da Purple é agnóstico em relação à camada de encriptação — opera ao nível do redirecionamento HTTP, não ao nível da associação 802.11. Os dados que a Purple recolhe estão em conformidade com o GDPR? A Purple foi concebida tendo a conformidade com o GDPR como um requisito central. A página de splash apresenta um mecanismo de consentimento e o processamento de dados da Purple é regido pelo vosso acordo de processamento de dados com eles. Para locais na UE, garantam que a vossa configuração da Purple inclui o texto de consentimento apropriado e que o vosso DPA está em vigor antes do lançamento. Secção oito: Resumo e próximos passos. Para resumir: o Aruba Central e a Purple integram-se através do mecanismo de Captive Portal externo, com a autenticação RADIUS gerida pelo serviço RADIUS na nuvem da Purple. A configuração vive ao nível do grupo no Central e propaga-se para todos os APs no grupo — que é a principal diferença arquitetural em relação ao modelo Aruba local. Para implementações multi-site, utilizem a API do Central para automatizar o aprovisionamento e tratem a configuração do vosso site piloto como o template para tudo o que se segue. Os vossos próximos passos imediatos: primeiro, confirmem que a vossa estrutura de grupos do Aruba Central mapeia para a vossa hierarquia de locais da Purple. Segundo, obtenham a lista atual de domínios do walled garden da Purple e os detalhes do endpoint RADIUS no portal de suporte da Purple. Terceiro, realizem um piloto num único site e validem o fluxo completo de autenticação antes de escalar. Quarto, construam os vossos scripts de automação utilizando a API do Central e a API da Purple em paralelo. Se estão a avaliar a Purple pela primeira vez, as páginas de WiFi de convidados e de plataforma de análise em purple ponto ai dão-vos uma imagem clara do que obtêm além do portal cativo — a recolha de dados primários, a automação de marketing, a análise de tráfego de visitantes. Esse é o caso de negócio que garante o financiamento deste projeto. Obrigado por ouvirem. Se tiverem dúvidas sobre esta integração, a equipa de soluções da Purple pode guiar-vos através de uma prova de conceito adaptada ao vosso ambiente específico do Aruba Central.

header_image.png

Resumo Executivo

Para as equipas de TI empresariais que gerem redes sem fios distribuídas, a migração de controladores locais para plataformas geridas na nuvem, como o Aruba Central, altera fundamentalmente o modelo de implementação. Embora a mecânica central dos portais cativos e da autenticação RADIUS permaneça a mesma, o paradigma de configuração muda de uma gestão baseada em dispositivos para uma gestão de políticas baseada em grupos.

Este guia fornece uma referência técnica abrangente para integrar o Aruba Central com a plataforma de inteligência de WiFi de convidados alojada na nuvem da Purple. Abordamos as diferenças arquitetónicas entre implementações locais e geridas na nuvem, a configuração passo a passo para portais cativos externos e RADIUS-as-a-Service, e estratégias para automatizar implementações em vários locais utilizando a API do Aruba Central. Quer esteja a implementar o Guest WiFi em dezenas de escritórios regionais ou numa presença global de lojas de retalho, esta referência fornece a orientação prática necessária para garantir uma integração segura, escalável e em conformidade.

Análise Técnica Aprofundada

Mudança Arquitetónica: Do Controlador para a Nuvem

Numa implementação tradicional da Aruba, os Mobility Controllers funcionam como os pontos de aplicação de políticas. Os perfis de Captive Portal, as regras de walled garden e as definições de servidor RADIUS são configurados diretamente no controlador. Quando um convidado se associa a um AP, o seu tráfego é encaminhado através de um túnel de volta para o controlador, que lida com o redirecionamento HTTP para o Captive Portal e faz o proxy da autenticação RADIUS para o servidor de backend.

O Aruba Central opera num modelo de aplicação distribuída. A aplicação de políticas ocorre na extremidade do Instant Access Point (IAP), enquanto a configuração é enviada a partir da nuvem. Os pontos de contacto de integração mudam da configuração do dispositivo local para modelos de grupo, perfis de SSID e objetos de Captive Portal externos dentro da hierarquia de configuração do Central.

architecture_overview.png

A Purple posiciona-se acima desta camada de rede como uma plataforma de inteligência alojada na nuvem. Disponibiliza o motor de Captive Portal, lida com a lógica de autenticação (incluindo login social, SMS e autenticação baseada em formulários), recolhe dados primários e envia análises de volta para as suas equipas de marketing e operações através do painel de WiFi Analytics . A Purple também fornece RADIUS-as-a-Service, eliminando a necessidade de infraestrutura RADIUS local, como o FreeRADIUS ou o Cisco ISE, para a autenticação de convidados.

O Fluxo de Autenticação

  1. Associação: Um dispositivo de convidado associa-se ao SSID de convidado transmitido por um Aruba IAP.
  2. Função de Pré-Autenticação: O IAP atribui ao convidado uma função de pré-autenticação. Esta função permite apenas DNS, DHCP e tráfego destinado a domínios explicitamente permitidos no walled garden.
  3. Interceção HTTP: Quando o convidado abre um navegador e tenta aceder a um site HTTP, o IAP intercetará o pedido.
  4. Redirecionamento: O IAP consulta o seu perfil de External Captive Portal e redireciona o navegador do convidado para o URL da splash page da Purple, anexando parâmetros como o endereço MAC do AP e o endereço MAC do cliente.
  5. Autenticação: O convidado autentica-se através da splash page da Purple.
  6. RADIUS Access-Request: O backend da Purple envia um RADIUS Access-Request para o IAP (ou Virtual Controller) em nome do convidado.
  7. RADIUS Access-Accept: Após a autenticação bem-sucedida, a Purple envia uma mensagem RADIUS Access-Accept de volta para o IAP.
  8. Função Autenticada: O IAP move o convidado da função de pré-autenticação para a função de convidado autenticado, concedendo acesso total à internet.
  9. Contabilização (Accounting): O IAP envia pacotes RADIUS Accounting-Start e atualizações provisórias para a Purple ao longo da sessão, proporcionando visibilidade sobre a duração da sessão e a utilização de dados.

Guia de Implementação

Esta secção descreve a configuração passo a passo necessária para integrar um único local no Aruba Central. Para implementações em vários locais, esta configuração deve ser integrada num Modelo de Grupo.

Passo 1: Criar o SSID de Convidado

  1. Na WebUI do Aruba Central, navegue até ao contexto do grupo-alvo.
  2. Em Manage, clique em Devices > Access Points e, em seguida, clique no ícone Config.
  3. Selecione o separador WLANs e clique em + Add SSID.
  4. Introduza um nome para o SSID (ex. Venue-Guest).
  5. No separador Security, defina o Security Level para Visitors.

Passo 2: Configurar o Perfil de External Captive Portal

  1. Nas definições de segurança do SSID, selecione o tipo de Splash Page como External Captive Portal.
  2. Clique no ícone + para criar um novo Perfil de Captive Portal.
  3. Name: Introduza um nome descritivo (ex. Purple-Portal).
  4. Authentication Type: Selecione Radius Authentication.
  5. IP or Hostname: Introduza o hostname do servidor de Captive Portal da Purple fornecido nas definições do seu portal Purple.
  6. URL: Introduza o URL de redirecionamento fornecido pela Purple.
  7. Use HTTPS: Ative esta opção para impor uma comunicação segura.
  8. Captive Portal Failure: Selecione Deny Internet para garantir que os convidados não conseguem contornar a autenticação se o portal estiver inacessível.

Passo 3: Configurar o RADIUS-as-a-Service

  1. Ainda dentro das definições de segurança do SSID, localize o campo Primary Server na configuração do External Captive Portal.
  2. Clique no ícone + para adicionar um novo servidor de autenticação externo.
  3. IP Address: Introduza o endereço IP ou hostname do servidor RADIUS da Purple.
  4. Shared Key: Introduza o segredo partilhado RADIUS gerado no seu portal Purple. Crucial: Este valor deve coincidir exatamente.
  5. Auth Port: 1812
  6. Accounting Port: 1813
  7. Certifique-se de que o Accounting está ativado e definido para um intervalo razoável (ex. 5 minutos) para garantir uma monitorização precisa das sessões no painel da Purple.

Passo 4: Definir o Walled Garden

O walled garden é o elemento de configuração mais crítico. Define os domínios a que um convidado pode aceder antes de se autenticar. Se o walled garden estiver incompleto, a splash page não irá carregar ou a autenticação social irá falhar.

  1. Nas definições de SSID, navegue até às regras de Acesso.
  2. Adicione regras para permitir o tráfego para os domínios do Captive Portal da Purple e endpoints de CDN.
  3. Se estiver a utilizar o login social (ex. Facebook, Google, X), deve adicionar os respetivos domínios para esses fornecedores de identidade. A Purple mantém uma lista atualizada dos domínios de walled garden necessários na sua documentação de suporte.

Passo 5: Configuração de VLAN e DHCP

Certifique-se de que o SSID de convidados está mapeado para uma VLAN dedicada, isolada da sua rede corporativa.

  1. No separador VLANs na configuração do SSID, selecione External DHCP server assigned (se utilizar a sua própria infraestrutura de DHCP) ou Instant AP assigned (se o Virtual Controller estiver a gerir o DHCP e NAT para convidados).
  2. Especifique o ID de VLAN correto para a rede de convidados.

Boas Práticas para Implementações Multi-Site

Ao implementar em dezenas ou centenas de locais — seja em Retalho , Hotelaria ou Saúde — a configuração manual é propensa a erros. É necessária uma abordagem disciplinada e automatizada.

multisite_rollout.png

1. Estrutura de Grupo e Hierarquia

Alinhe a estrutura de grupos do Aruba Central com a hierarquia dos seus locais. Um padrão comum é criar grupos com base no tipo de local ou marca (ex. "Lojas Principais" vs. "Lojas Temporárias"). O perfil de External Captive Portal é aplicado ao nível do grupo, o que significa que todos os APs nesse grupo herdam as mesmas definições de integração da Purple.

2. Redirecionamentos Parametrizados

Se diferentes locais exigirem diferentes temas de splash page, não precisa de perfis de Captive Portal separados para cada local. A Purple permite-lhe utilizar um único URL de redirecionamento que serve dinamicamente o tema correto com base no endereço MAC do AP ou num parâmetro personalizado anexado ao URL pelo AP Aruba.

3. Aprovisionamento Baseado em API

Aproveite a REST API do Aruba Central para automatizar a integração de novos locais. A API do Central permite-lhe criar SSIDs programaticamente, atribuir perfis de Captive Portal e atualizar listas de walled garden. Quando combinada com a API da Purple, pode criar um fluxo de trabalho de aprovisionamento sem toque (zero-touch):

  • Gatilhos de script: Um novo local é adicionado ao seu CMDB.
  • API da Purple: Cria o registo do local na Purple e gera o segredo RADIUS.
  • API do Central: Cria o local no Aruba Central, atribui os APs, aplica o modelo de grupo e injeta o segredo RADIUS da Purple.

4. Consolidação de SSIDs

Evite a tentação de transmitir múltiplos SSIDs de convidados para diferentes tipos de utilizadores (ex. "Convidado", "Contratado", "Fornecedor"). Conforme detalhado no nosso guia sobre Indoor Positioning System: UWB, BLE, & WiFi Guide , SSIDs excessivos degradam o desempenho de RF ao consumir tempo de antena valioso com tramas de beacon. Transmita um único SSID e utilize a lógica de autenticação da Purple para atribuir diferentes funções ou limites de largura de banda com base na identidade do utilizador.

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

  • A Splash Page Não Carrega: Isto é quase sempre um problema de walled garden. O dispositivo do convidado está a tentar carregar um recurso (ex. uma fonte, uma imagem ou um ficheiro CSS) de um domínio que não é permitido antes da autenticação. Utilize as ferramentas de programador de um browser num dispositivo de teste para identificar pedidos bloqueados.
  • Falhas de Autenticação Silenciosas: Se a splash page carregar, o utilizador autenticar-se, mas não lhe for concedido acesso à internet, o problema é tipicamente uma incompatibilidade do segredo partilhado RADIUS ou uma firewall a bloquear as portas UDP 1812/1813 entre o AP e os servidores RADIUS da Purple.
  • Erros de Certificado no Redirecionamento: Os sistemas operativos modernos impõem uma validação HTTPS estrita. Se o seu walled garden bloquear o acesso aos endpoints de Certificate Revocation List (CRL) ou Online Certificate Status Protocol (OCSP) utilizados pelo dispositivo cliente para validar o certificado TLS da Purple, o browser apresentará um aviso de segurança. Certifique-se de que estes endpoints estão na lista de permissões.

Mitigação de Riscos: Conformidade e Privacidade

Ao implementar WiFi de convidados, está a processar dados pessoais. A integração deve ser concebida tendo em conta os regulamentos de privacidade.

  • GDPR e CCPA: Certifique-se de que a sua splash page da Purple apresenta termos e condições claros e mecanismos de consentimento explícitos para a recolha de dados. Para mais contexto sobre os impactos regulamentares, consulte o nosso briefing sobre o EU AI Act and Guest WiFi: What Marketers Need to Know .
  • PCI DSS: O tráfego de convidados deve ser logicamente separado das redes de processamento de pagamentos. Verifique se a VLAN atribuída ao SSID de convidados no Aruba Central não consegue encaminhar tráfego para a sua infraestrutura de ponto de venda (POS).

ROI e Impacto no Negócio

A transição para uma integração gerida na nuvem entre o Aruba Central e a Purple proporciona um valor de negócio mensurável:

  • TCO Reduzido: A eliminação de controladores locais e servidores RADIUS locais reduz os custos de hardware e as despesas de manutenção.
  • Agilidade Operacional: A gestão de políticas baseada em grupos e o aprovisionamento orientado por API permitem que as equipas de TI implementem novos locais em minutos, em vez de dias.
  • Inteligência Acionável: Ao ligar perfeitamente a extremidade da rede à plataforma de analítica da Purple, os locais obtêm visibilidade imediata sobre o fluxo de visitantes, tempos de permanência e dados demográficos dos clientes, transformando um centro de custos (WiFi de convidados) num ativo gerador de receitas.

Oiça o nosso podcast de análise aprofundada para mais informações:

Definições Principais

External Captive Portal Profile

Um objeto de configuração no Aruba Central que define o URL de redirecionamento e os detalhes do servidor de autenticação para uma plataforma de WiFi de convidados de terceiros como a Purple.

Este é o principal ponto de integração onde as equipas de TI ligam a sua rede Aruba aos serviços de nuvem da Purple.

Walled Garden

Um conjunto de regras de acesso que permitem o tráfego para endereços IP ou domínios específicos antes de um utilizador se autenticar.

Essencial para permitir que os dispositivos dos convidados carreguem a página de splash da Purple, acedam a fornecedores de login social e validem certificados TLS antes de obterem acesso total à internet.

RADIUS-as-a-Service

Um servidor RADIUS alojado na nuvem fornecido pela Purple que lida com a autenticação e contabilização de sessões de WiFi de convidados.

Elimina a necessidade de as equipas de TI empresariais implementarem e manterem infraestrutura RADIUS local para acesso de convidados.

Pre-Authentication Role

O estado inicial atribuído a um dispositivo de convidado após a associação com o SSID, restringindo o acesso apenas a destinos de DNS, DHCP e walled garden.

Garante a segurança ao impedir que dispositivos não autenticados acedam à internet ou à rede corporativa.

Group Template

Uma estrutura de configuração hierárquica no Aruba Central que permite que políticas e definições de SSID sejam aplicadas uniformemente em múltiplos pontos de acesso.

O mecanismo fundamental para alcançar implementações multi-site escaláveis e consistentes.

RADIUS Accounting

O processo pelo qual o ponto de acesso envia dados de sessão (hora de início, duração, dados transferidos) para o servidor RADIUS.

Crítico para a Purple fornecer análises precisas sobre o tempo de permanência e o consumo de largura de banda no painel de WiFi Analytics.

OCSP/CRL Endpoints

Endpoints de Online Certificate Status Protocol e Certificate Revocation List utilizados pelos navegadores para verificar a validade de um certificado SSL/TLS.

Se estes endpoints forem bloqueados pelo walled garden, os dispositivos modernos apresentarão avisos de segurança em vez da página de splash da Purple.

OAuth 2.0

O protocolo padrão da indústria para autorização, utilizado para proteger o acesso à API REST do Aruba Central.

As equipas de TI devem gerar credenciais OAuth para programar e automatizar o aprovisionamento de novos sites e perfis de portais cativos.

Exemplos Práticos

Um hotel de 200 quartos está a migrar de Aruba Mobility Controllers locais para o Aruba Central. Eles precisam de replicar a sua integração existente com o Purple WiFi, que utiliza uma página de splash personalizada e login social, em 45 pontos de acesso. Como deve a equipa de TI abordar a configuração?

A equipa de TI deve primeiro criar um Grupo dedicado no Aruba Central para o hotel. Dentro deste grupo, configuram um novo SSID de convidados com o nível de segurança definido para 'Visitors'. Devem então criar um perfil de Captive Portal externo a apontar para o URL de redirecionamento da Purple e configurar o endpoint RADIUS-as-a-Service da Purple como o servidor de autenticação primário. Crucialmente, como utilizam o login social, a equipa deve configurar as regras de acesso do SSID (o walled garden) para permitir explicitamente o tráfego para os domínios da Purple, endpoints de CDN e os domínios específicos exigidos pelos fornecedores de identidade social (ex. Facebook, Google) antes da autenticação. Finalmente, os APs são atribuídos ao grupo, herdando automaticamente a configuração.

Comentário do Examinador: Esta abordagem tira partido corretamente da arquitetura baseada em grupos do Aruba Central. Ao aplicar a configuração ao nível do grupo em vez de por AP, a implementação é escalável e consistente. A menção explícita à configuração do walled garden para domínios de login social demonstra uma compreensão do ponto de falha mais comum em integrações de portais cativos geridos na nuvem.

Uma cadeia de retalho está a implementar o Purple WiFi em 150 lojas geridas pelo Aruba Central. Eles querem um tema de página de splash diferente para as suas lojas principais em comparação com as suas lojas padrão, mas querem minimizar o esforço de configuração. Como podem alcançar isto?

Em vez de criar Grupos do Aruba Central separados e perfis de Captive Portal externos separados para cada tipo de loja, a cadeia pode utilizar um único Group Template e um único URL de redirecionamento. A plataforma da Purple permite que o URL de redirecionamento sirva dinamicamente diferentes temas de página de splash com base em parâmetros anexados pelo AP Aruba, tais como o endereço MAC do AP ou o ID do Site. A equipa de TI configura um perfil de Captive Portal externo no Central e gere o mapeamento de temas inteiramente dentro da plataforma Purple.

Comentário do Examinador: Esta solução demonstra um conhecimento avançado das capacidades de integração. A utilização de redirecionamentos parametrizados reduz a carga de configuração no Aruba Central e centraliza a gestão da experiência do convidado dentro da Purple, alinhando-se com as melhores práticas para a escala empresarial.

Perguntas de Prática

Q1. Configurou um perfil de Captive Portal externo no Aruba Central a apontar para a Purple. Os convidados ligam-se ao SSID, mas os seus navegadores apresentam um erro genérico de 'Não é possível aceder ao servidor' em vez da página de splash. Qual é a causa mais provável?

Dica: Considere que tráfego é permitido antes de um convidado se autenticar com sucesso.

Ver resposta modelo

A causa mais provável é uma configuração de walled garden incompleta ou em falta. Antes da autenticação, o AP descarta todo o tráfego exceto DNS, DHCP e tráfego destinado a domínios explicitamente permitidos nas regras de acesso. Deve garantir que os domínios do portal cativo da Purple e os endpoints de CDN estão na lista de permissões.

Q2. A sua organização está a implementar o Purple WiFi em 50 escritórios regionais. Quer garantir que, se o servidor RADIUS da Purple ficar temporariamente inacessível, os convidados não tenham acesso não autenticado à internet. Que definição deve configurar no perfil de Captive Portal externo?

Dica: Procure o parâmetro de configuração que dita o comportamento quando o servidor externo falha.

Ver resposta modelo

Deve definir o comportamento de 'Captive Portal Failure' para 'Deny Internet'. Esta abordagem de falha segura garante a segurança e a conformidade, impedindo o acesso não autenticado se o servidor RADIUS não puder ser alcançado.

Q3. Após uma implementação bem-sucedida, a equipa de marketing relata que o painel de análise da Purple mostra os logins dos convidados, mas todas as sessões mostram uma duração de 0 minutos e 0 bytes de dados utilizados. Que passo de configuração de rede foi esquecido?

Dica: Pense em como a duração da sessão e a utilização de dados são comunicadas do AP para o servidor de autenticação.

Ver resposta modelo

O RADIUS Accounting provavelmente não foi ativado, ou a porta de contabilização (1813) está bloqueada por uma firewall. O AP utiliza pacotes RADIUS Accounting-Start, Interim-Update e Stop para reportar métricas de sessão à Purple. Sem estes, a Purple sabe que ocorreu um login, mas não tem visibilidade sobre os detalhes da sessão.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →