Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implantação
Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e do Purple WiFi. Abrange a configuração de RADIUS proxy, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e baseadas em análise de dados em conjunto com o NAC corporativo.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- Arquitetura Principal
- Fluxo de Proxy RADIUS
- Atribuição Dinâmica de VLAN Baseada em Funções
- Guia de Implementação
- Passo 1: Configurar Servidores RADIUS Purple no ClearPass
- Passo 2: Criar uma Política de Encaminhamento RADIUS
- Passo 3: Definir o Serviço de Convidados
- Passo 4: Configure o Walled Garden no Controller
- Passo 5: Configure o RADIUS Accounting
- Melhores Práticas
- Resolução de Problemas e Mitigação de Riscos
- Configuração incorreta do Walled Garden
- Erros de Limite de Tempo (Timeout) do RADIUS
- Incompatibilidade de Segredo Partilhado (Shared Secret Mismatch)
- Sensibilidade a Maiúsculas e Minúsculas no Nome da Função (Role Name)
- ROI e Impacto no Negócio
- Referências

Resumo Executivo
Para ambientes empresariais com forte investimento em infraestrutura HPE Aruba, gerir políticas complexas de acesso à rede ao mesmo tempo que se oferece uma experiência de WiFi para convidados fluida e rica em dados apresenta um desafio arquitetónico significativo. Embora o Aruba ClearPass Policy Manager se destaque no Network Access Control (NAC) e na segurança 802.1X para dispositivos corporativos, o seu Captive Portal integrado carece frequentemente da automatização de marketing avançada e das análises exigidas pelos espaços modernos. Este guia detalha como integrar o Purple WiFi com o ClearPass, permitindo que cada plataforma se foque nos seus pontos fortes.
Ao implementar o ClearPass como um RADIUS proxy, mantém um registo de auditoria de segurança unificado e uma atribuição dinâmica de VLAN para dispositivos corporativos e IoT, enquanto delega a experiência de integração de convidados no Purple. Esta abordagem permite a recolha de dados primários em conformidade com o GDPR, análises detalhadas de tráfego de visitantes e integrações com mais de 400 conectores de marketing - tudo isto sem substituir o seu investimento existente em Aruba NAC. Este documento fornece o plano técnico para esta co-implementação, abrangendo a arquitetura, os fluxos de trabalho de configuração e as melhores práticas.
Análise Técnica Detalhada
A integração do Aruba ClearPass e do Purple WiFi baseia-se em protocolos RADIUS padrão e mecanismos de redirecionamento HTTP, estruturados em torno de uma arquitetura RADIUS proxy. Este design garante que o ClearPass permaneça como o ponto central de decisão de políticas para todo o acesso à rede, enquanto o Purple gere o Captive Portal voltado para os convidados e a recolha de dados.
Arquitetura Principal
Numa co-implementação padrão, os seus Aruba Mobility Controllers ou Aruba Instant Access Points transmitem múltiplos SSIDs. Um padrão de design típico, conforme detalhado em Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza três redes dedicadas:
- SSID Corporativo: Utiliza 802.1X com EAP-TLS. Os dispositivos autenticam-se utilizando certificados provisionados através do ClearPass Onboard. O ClearPass avalia o estado do dispositivo, consulta o Microsoft Entra ID ou o Active Directory e atribui o dispositivo à VLAN corporativa (por exemplo, VLAN 10). O Purple não está envolvido neste fluxo.
- SSID de IoT: Utiliza MAC Authentication Bypass (MAB). O ClearPass traça o perfil do dispositivo utilizando o seu Identificador Único de Organização (OUI) e atribui-o a uma VLAN de IoT isolada (por exemplo, VLAN 30) sem acesso à internet.
- SSID de Convidados: Uma rede aberta ou com Opportunistic Wireless Encryption (OWE) que ativa o Captive Portal do Purple.

Fluxo de Proxy RADIUS
Quando um visitante se liga ao SSID de convidados e abre um browser, o controlador Aruba intercetará o tráfego HTTP e redirecionará a sessão para o URL do Captive Portal da Purple. O visitante autentica-se através da Purple utilizando o início de sessão social, formulários personalizados ou OpenRoaming (onde a Purple atua como um fornecedor de identidade gratuito ao abrigo do plano Connect).
Assim que a Purple valida o visitante, envia uma mensagem RADIUS Access-Accept. No entanto, em vez de o controlador Aruba contactar diretamente os servidores RADIUS na nuvem da Purple, o ClearPass é integrado como um proxy RADIUS:
- O controlador Aruba envia todos os pedidos RADIUS para o ClearPass.
- O ClearPass avalia o pedido em relação às suas Regras de Serviço. Se o pedido coincidir com o SSID de convidados (identificado pelo
Called-Station-Idou identificador NAS), a Política de Encaminhamento RADIUS reencaminha o pedido para os servidores RADIUS da Purple. - A Purple responde com uma mensagem Access-Accept.
- O ClearPass recebe esta resposta e aplica a sua própria Política de Imposição, anexando Atributos Específicos do Fabricante (VSAs) específicos antes de reencaminhar a resposta final para o controlador.
Atribuição Dinâmica de VLAN Baseada em Funções
O VSA principal nesta arquitetura é o Aruba-User-Role. Quando o ClearPass reencaminha a mensagem Access-Accept para o controlador, inclui este atributo para definir precisamente que função o visitante deve assumir na rede sem fios.
Por exemplo, o ClearPass pode retornar Aruba-User-Role = guest-authenticated. No controlador Aruba, esta função é mapeada para a VLAN 20, que está configurada com políticas de firewall que permitem o acesso à Internet mas bloqueiam o encaminhamento para sub-redes corporativas internas. Esta segmentação é essencial para a conformidade com normas como o PCI-DSS [1].

Guia de Implementação
A implementação desta arquitetura requer uma configuração precisa tanto na infraestrutura Aruba como no ClearPass. Siga estes passos genéricos para estabelecer a integração.
Passo 1: Configurar Servidores RADIUS Purple no ClearPass
Navegue até Configuration > Network > Devices no ClearPass e adicione os servidores RADIUS principal e secundário da Purple como dispositivos de rede. Irá necessitar dos endereços IP e do segredo partilhado fornecidos no seu painel de configuração de locais da Purple.
Passo 2: Criar uma Política de Encaminhamento RADIUS
Crie uma nova Política de Encaminhamento RADIUS no ClearPass. Esta política irá determinar em que condições os pedidos são enviados por proxy para a Purple. Defina os destinos principal e secundário para os servidores RADIUS da Purple que configurou no Passo 1.
Passo 3: Definir o Serviço de Convidados
Crie um novo Serviço no ClearPass para autenticação de convidados.
- Tipo: RADIUS Enforcement (Generic)
- Service Rules: Faça a correspondência do
Radius:IETF:Called-Station-Idcontendo o nome do seu SSID de visitantes. - Routing Policy: Selecione a política criada no Passo 2.
- Enforcement Policy: Configure uma política para retornar o VSA
Aruba-User-Rolecom o valor correspondente à sua função de visitante no Aruba Controller.
Passo 4: Configure o Walled Garden no Controller
O walled garden é uma lista de domínios aos quais um dispositivo pode aceder antes da autenticação. Isto é configurado no Aruba Controller (ou através de regras de acesso no ArubaOS 10). Deve incluir os domínios principais da Purple:
*.purple.ai*.cloudfront.net*.venuewifi.com
Se estiver a ativar inícios de sessão social, deve também adicionar os domínios de OAuth para cada fornecedor (por exemplo, *.facebook.com, *.google.com, *.microsoftonline.com).
Passo 5: Configure o RADIUS Accounting
Certifique-se de que o RADIUS accounting também está a ser encaminhado via ClearPass para a Purple. A Purple utiliza dados de accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) para monitorizar a duração da sessão e preencher o seu painel de WiFi Analytics . Defina o intervalo de accounting para 5 minutos no Aruba Controller.
Melhores Práticas
Para garantir uma implementação robusta e consistente, siga estas recomendações padrão do setor.
- Segregue Rigorosamente o Tráfego: Coloque sempre o tráfego de visitantes numa VLAN dedicada, sem caminho para os recursos corporativos. Este é um requisito fundamental para a PCI DSS e segurança de rede geral.
- Encaminhe Dados de Accounting: Não negligencie o RADIUS accounting. Se os pacotes de accounting não chegarem à Purple, as suas análises de visitas e relatórios de tempo de permanência estarão incompletos.
- Ative o WISPr: No perfil de Captive Portal do Aruba Controller, certifique-se de que o WISPr (Wireless Internet Service Provider roaming) está ativado. Este protocolo permite que os sistemas operativos móveis detetem automaticamente o Captive Portal e apresentem o ecrã de início de sessão de forma fluida.
- Utilize Opções de Consentimento Ativo: Para conformidade com o GDPR, configure o seu portal Purple para utilizar caixas de seleção de consentimento explícito para comunicações de marketing, em vez de caixas pré-selecionadas ou consentimento presumido [2].
Resolução de Problemas e Mitigação de Riscos
Mesmo com uma configuração cuidadosa, as integrações podem falhar. Seguem-se os modos de falha mais comuns e como resolvê-los.
Configuração incorreta do Walled Garden
Se o Captive Portal não carregar no dispositivo de um visitante, a causa raiz é quase sempre o walled garden. Os fornecedores de início de sessão social atualizam frequentemente os seus intervalos de IPs de CDN e nomes de domínio. Trate o walled garden como uma configuração em constante mudança. Se um início de sessão social específico falhar, utilize uma captura de pacotes para identificar qual o domínio que o dispositivo está a tentar aceder e adicione-o à lista de permissões.
Erros de Limite de Tempo (Timeout) do RADIUS
O limite de tempo (timeout) predefinido do RADIUS na maioria dos controladores Aruba é de 3 segundos. Numa arquitetura proxy, o pedido de autenticação tem de viajar do AP para o controlador, para o ClearPass, através da internet para a infraestrutura de nuvem da Purple, e voltar. Numa rede congestionada, esta viagem de ida e volta pode facilmente exceder os 3 segundos, fazendo com que o controlador descarte o pedido. Aumente o limite de tempo do RADIUS no controlador Aruba para pelo menos 10 segundos e configure a lógica de tentativa (retry).
Incompatibilidade de Segredo Partilhado (Shared Secret Mismatch)
O RADIUS baseia-se em segredos partilhados para a segurança. Se o segredo partilhado entre o controlador Aruba e o ClearPass, ou entre o ClearPass e a Purple, não coincidir exatamente, a autenticação falhará silenciosamente. Não será apresentada qualquer mensagem de erro útil ao visitante. Verifique sempre estes segredos carácter por carácter se a autenticação estiver a falhar.
Sensibilidade a Maiúsculas e Minúsculas no Nome da Função (Role Name)
O valor do VSA Aruba-User-Role devolvido pelo ClearPass deve coincidir exatamente com o nome da função definido no controlador Aruba, incluindo maiúsculas e minúsculas. Se o ClearPass devolver guest-authenticated mas o controlador esperar Guest-Authenticated, o visitante reverterá para a função de início de sessão predefinida e não obterá acesso à internet.
ROI e Impacto no Negócio
A implementação do Purple WiFi em vez de um portal cativo local básico proporciona um valor comercial mensurável em vários departamentos.
- Impacto de Marketing: Ao capturar dados primários (first-party) através do portal, os espaços registam um aumento significativo nas suas bases de dados de marketing. Por exemplo, o Harrods alcançou um ROI de marketing de 57x utilizando a Purple para impulsionar as inscrições no programa de fidelização [3].
- Eficiência Operacional: A arquitetura proxy RADIUS reduz a carga operacional nas TI. As equipas de segurança mantêm um painel único no ClearPass para todos os eventos de acesso à rede, simplificando os relatórios de conformidade e a resolução de problemas.
- Monetização: Para espaços nos setores de transportes ou hotelaria , a Purple permite modelos de largura de banda por níveis. A AGS Airports gerou um ROI de 842% ao implementar um nível de WiFi premium pago a par de um nível básico gratuito [4].
Ao implementar esta co-implantação, transforma a sua rede de convidados de um centro de custos num ativo gerador de receitas, mantendo ao mesmo tempo a postura de segurança rigorosa exigida pelas TI empresariais.
Referências
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."
Definições Principais
RADIUS Proxy
Uma arquitetura onde um servidor intermediário (ClearPass) recebe pedidos de autenticação de um dispositivo de rede (controlador Aruba) e os encaminha para o servidor de backend apropriado (Purple), permitindo ao proxy inspecionar, registar ou modificar o tráfego.
Utilizado para manter um único registo de auditoria de segurança no ClearPass, permitindo ao mesmo tempo que a Purple faça a gestão da autenticação de convidados.
Walled Garden
Um ambiente limitado que controla o acesso de um utilizador a conteúdos web antes de este estar totalmente autorizado na rede.
Essencial para Captive Portals; o walled garden deve permitir o acesso aos domínios de alojamento do portal e aos fornecedores de início de sessão social para que a página de início de sessão possa carregar.
Vendor-Specific Attribute (VSA)
Campos de dados personalizados dentro do protocolo RADIUS que permitem aos fornecedores de hardware suportar funcionalidades proprietárias não definidas nos RFCs padrão do RADIUS.
O ClearPass utiliza o VSA "Aruba-User-Role" para indicar ao controlador Aruba exatamente qual a função de firewall e a VLAN a atribuir a um utilizador convidado.
802.1X
Uma norma IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.
O principal protocolo utilizado pelo ClearPass para proteger dispositivos corporativos, utilizando tipicamente EAP-TLS com certificados.
Captive Portal
Uma página web que o utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido o acesso.
A Purple fornece a interface do Captive Portal para capturar dados dos visitantes, exibir a identidade da marca e recolher consentimento de marketing.
MAC Authentication Bypass (MAB)
Uma técnica que utiliza o endereço MAC de um dispositivo para o autenticar na rede quando o dispositivo não suporta suplicantes 802.1X.
Utilizado pelo ClearPass para traçar o perfil e autenticar dispositivos IoT sem interface de utilizador, como smart TVs ou termóstatos, colocando-os numa VLAN isolada.
Atribuição Dinâmica de VLAN
O processo de atribuição automática de um dispositivo a uma Virtual Local Area Network específica com base nas suas credenciais de autenticação ou função, em vez do SSID ao qual se ligou.
Permite que uma única infraestrutura de rede física segmente de forma segura o tráfego corporativo, de convidados e de IoT.
WISPr
Roaming de Fornecedor de Serviços de Internet Sem Fios; um protocolo que permite aos dispositivos detetar automaticamente portais cativos.
Deve ser ativado no controlador Aruba para que os dispositivos móveis apresentem automaticamente o ecrã de login do Purple ao ligarem-se ao WiFi de convidados.
Exemplos Práticos
Um hotel com 500 quartos necessita de implementar WiFi corporativo seguro para os funcionários e um portal de convidados personalizado para captura de dados para os visitantes, utilizando os controladores Aruba e o ClearPass existentes.
Implemente dois SSIDs: "Hotel_Corp" e "Hotel_Guest". Configure o "Hotel_Corp" para autenticação 802.1X contra o Active Directory através do ClearPass, atribuindo os funcionários à VLAN 10. Configure o "Hotel_Guest" como uma rede aberta que redireciona para o Captive Portal da Purple. Configure o ClearPass como um RADIUS proxy para o SSID de convidados, encaminhando os pedidos para a Purple. Configure o ClearPass para devolver o VSA "Aruba-User-Role" após a autenticação bem-sucedida na Purple, atribuindo os convidados a uma VLAN 20 isolada.
Os visitantes estão a ligar-se ao SSID de convidados, mas a página do Captive Portal da Purple não está a carregar nos seus dispositivos.
Reveja e atualize a configuração do walled garden no controlador Aruba. Certifique-se de que os domínios principais da Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estão explicitamente autorizados. Se o início de sessão social estiver ativado, verifique se todos os domínios OAuth necessários (por exemplo, *.facebook.com, *.google.com) também estão incluídos na lista de permissões de pré-autenticação.
Perguntas de Prática
Q1. Configurou o ClearPass para fazer proxy da autenticação de convidados para o Purple. O convidado autentica-se com sucesso no portal Purple, mas o controlador Aruba coloca-o na função predefinida 'logon' sem acesso à internet, em vez da função 'guest-access' pretendida. Qual é o erro de configuração mais provável?
Dica: Verifique como o ClearPass comunica a atribuição de funções de volta ao controlador.
Ver resposta modelo
Existe uma incompatibilidade na sensibilidade a maiúsculas e minúsculas no nome da função. O valor do VSA Aruba-User-Role devolvido pelo ClearPass deve coincidir exatamente com o nome da função definido no controlador Aruba. Se houver um erro tipográfico ou diferença de maiúsculas/minúsculas (ex: 'Guest-Access' vs 'guest-access'), o controlador não reconhecerá a função e colocará o utilizador no estado restrito predefinido.
Q2. Uma cadeia de lojas de retalho quer implementar o Purple WiFi para análise de dados de convidados, mas a sua equipa de segurança exige que todos os eventos de autenticação de rede sejam registados centralmente no sistema Aruba ClearPass existente para conformidade. Como deve ser desenhada a arquitetura?
Dica: Considere como o tráfego RADIUS flui entre os pontos de acesso, o ClearPass e o Purple.
Ver resposta modelo
Implemente uma arquitetura de proxy RADIUS. Configure os controladores Aruba para enviar todos os pedidos RADIUS para o ClearPass. No ClearPass, crie uma política de encaminhamento que reencaminhe os pedidos do SSID de convidados para os servidores RADIUS na nuvem do Purple. Isto garante que o Purple gere o portal de convidados e a análise de dados, enquanto o ClearPass mantém um registo de auditoria completo e centralizado de todos os eventos de autenticação.
Q3. Após a implementação da integração, a equipa de marketing reporta que o painel de análise do Purple mostra zero dados para o 'tempo de permanência' dos visitantes, embora os convidados se estejam a ligar e a utilizar a internet com sucesso. Que passo de configuração foi esquecido?
Dica: Os cálculos do tempo de permanência requerem atualizações contínuas sobre o estado da sessão, e não apenas a autenticação inicial.
Ver resposta modelo
O accounting RADIUS não está a ser enviado via proxy para o Purple. Embora o proxy de autenticação permita o acesso dos utilizadores à rede, o Purple necessita de pacotes de accounting RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular a duração da sessão e o tempo de permanência. Deve garantir que o ClearPass está configurado para fazer proxy dos dados de accounting para o Purple, e que o controlador está definido para enviar atualizações provisórias (ex: a cada 5 minutos).
Continue a ler esta série
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.
Passpoint e OpenRoaming: Guia Completo
Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.
Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.