Cambium cnPilot e WiFi de convidados: configuração do captive portal com a Purple

Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi. Um Briefing para Consultores. Bem-vindo. Se gere um ambiente Cambium Networks e lhe foi solicitado o fornecimento de uma experiência de guest WiFi que recolha dados, impulsione o marketing e garanta a conformidade - este briefing é exatamente o que precisa. Vou explicar-lhe como os pontos de acesso Cambium cnPilot, o controlador de nuvem cnMaestro e o Purple WiFi se articulam. Abordaremos a arquitetura, o fluxo de autenticação RADIUS, a configuração de walled garden, o WiFi seguro para colaboradores utilizando 802.1X, e a segmentação multi-inquilino através da funcionalidade ePSK da Cambium com atribuição dinâmica de VLAN. Quer esteja a gerir um complexo hoteleiro, uma carteira de lojas de retalho, um centro de conferências ou um campus do setor público, os princípios são os mesmos. Vamos a isto. Primeiro, uma rápida contextualização sobre as duas plataformas. A Cambium Networks produz a gama cnPilot de pontos de acesso WiFi empresariais - o e410, e425H, e430H e e505 para implementações em interiores e exteriores. Estes APs são geridos centralmente através do cnMaestro, a plataforma de gestão na nuvem da Cambium. O cnMaestro oferece-lhe visibilidade centralizada, gestão de configuração e atualizações de firmware em todo o seu parque de APs - quer se trate de um punhado de dispositivos num único local ou de milhares de APs numa rede nacional. O Purple WiFi é uma plataforma empresarial de inteligência para guest WiFi. Gere o Captive Portal - a splash page personalizada que os seus convidados veem quando se ligam - e atua também como um servidor de autenticação RADIUS, um motor de captura de dados e uma plataforma de automatização de marketing. O Purple opera em 80.000 locais ativos e processou 440 milhões de inícios de sessão apenas em 2024. A combinação do Cambium cnMaestro e do Purple oferece-lhe uma solução de guest WiFi de nível de produção que é tecnicamente sólida e comercialmente valiosa. Agora, vamos falar sobre a arquitetura de integração. O mecanismo principal é um redirecionamento de Captive Portal combinado com autenticação RADIUS. Eis como o fluxo funciona na prática. Um dispositivo de convidado associa-se ao seu SSID de convidados. Esse SSID está configurado no cnMaestro como uma rede aberta - sem chave pré-partilhada para convidados. O AP Cambium interjeta o primeiro pedido HTTP do dispositivo e redireciona-o para o URL do Captive Portal do Purple. Este redirecionamento é configurado no cnMaestro nas definições de Guest Access da WLAN, onde define o External Page URL para o endpoint do portal do local do Purple. O convidado interage então com o portal Purple. Pode autenticar-se através de login social, e-mail, verificação por SMS ou um formulário personalizado. Assim que conclui o fluxo de autenticação, o backend do Purple envia uma mensagem RADIUS Access-Accept de volta para o AP Cambium na porta UDP 1812. O AP move então o dispositivo do estado de pré-autenticação para o acesso total à rede. Vou guiá-lo pelos passos exatos de configuração no cnMaestro. Navegue até Configuration, depois WiFi Profiles, e a seguir WLANs. Crie uma nova WLAN para a sua rede de convidados. Defina o nome do SSID - algo como "Hotel Guest WiFi" - e defina a segurança para Open. Em Guest Access, ative a opção External Hotspot. Esta é a definição principal que diz ao cnMaestro para redirecionar clientes não autenticados para um portal externo. Defina o External Page URL para o URL do portal de estabelecimento do Purple. Ative a autenticação RADIUS e introduza o endereço IP do servidor RADIUS do Purple, o segredo partilhado, e defina a porta de autenticação para UDP 1812. Ative a contabilidade RADIUS em UDP 1813 - isto é crítico para que as análises do Purple funcionem corretamente. Sem registos de contabilidade, o Purple não consegue criar dados de sessão, métricas de tempo de permanência ou análises de frequência de visitas. Agora, o walled garden. Esta é a lista de domínios e endereços IP que os dispositivos dos convidados podem aceder antes de se autenticarem. Precisa de colocar na lista branca o domínio do portal do Purple e quaisquer endpoints de CDN utilizados para servir recursos do portal. Também precisa de colocar na lista branca quaisquer domínios de fornecedores de autenticação - se estiver a utilizar o início de sessão social via Google ou Facebook, os domínios de OAuth deles precisam de estar no walled garden. Um walled garden mal configurado é a causa mais comum de falhas no Captive Portal. O dispositivo do convidado precisa de resolver o DNS e aceder ao portal do Purple através de HTTPS antes de se poder autenticar. No cnMaestro, o walled garden é configurado nas definições de External Hotspot. Adicione entradas para o domínio do portal do Purple, quaisquer domínios de fornecedores de início de sessão social e quaisquer domínios de gateways de pagamento, caso esteja a executar planos de WiFi pagos. Agora vamos falar sobre WiFi seguro para funcionários utilizando IEEE 802.1X. Para redes de funcionários, não deseja um Captive Portal. Deseja uma autenticação baseada em certificados ou em credenciais que ocorra silenciosamente ao nível do dispositivo. No cnMaestro, crie uma WLAN separada para os funcionários. Defina a segurança para WPA2-Enterprise. Configure os detalhes do servidor RADIUS - novamente, o IP do servidor RADIUS do Purple em UDP 1812. Os dispositivos dos funcionários autenticam-se utilizando EAP-PEAP com credenciais de utilizador e palavra-passe, ou EAP-TLS com certificados de dispositivo para o nível de segurança mais elevado. O Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace como fornecedores de identidade. Isto significa que os seus funcionários podem autenticar-se no WiFi utilizando as suas credenciais corporativas existentes - sem necessidade de gerir uma palavra-passe de WiFi separada. O Purple valida as credenciais com o seu fornecedor de identidade e devolve um Access-Accept ao AP da Cambium. A atribuição dinâmica de VLAN coloca então o dispositivo do funcionário autenticado na VLAN de funcionários correta, isolando-o do tráfego de convidados. Agora, a segmentação multi-inquilino utilizando ePSK da Cambium. ePSK - enhanced pre-shared key - é a implementação da Cambium do que a indústria chama de PPSK ou iPSK. O conceito é simples: em vez de uma palavra-passe partilhada para todo um SSID, cada utilizador ou inquilino obtém a sua própria frase de acesso exclusiva. Todos se ligam ao mesmo SSID, mas cada chave exclusiva mapeia para uma VLAN específica, proporcionando isolamento de rede sem a complexidade de executar múltiplos SSIDs. O cnMaestro suporta até 2.000 entradas ePSK por WLAN. Cada ePSK pode ser atribuído a um ID de VLAN específico, a um limite de taxa e a uma data de expiração. Isto torna-o ideal para ambientes multi-inquilino - pense num centro de conferências onde cada expositor tem o seu próprio segmento de rede isolado, ou num edifício residencial build-to-rent onde cada residente tem a sua própria rede de área privada. Para configurar o ePSK no cnMaestro, navegue até Configuration, WiFi Profiles, WLANs. Crie uma nova WLAN. Defina a segurança para WPA2 Pre-Shared Key. Ative a opção ePSK. Pode então adicionar entradas ePSK individuais manualmente ou utilizar a API do cnMaestro para as provisionar programaticamente - que é a abordagem pretendida para implementações em grande escala. Para cada entrada ePSK, defina a frase de acesso, o ID de VLAN atribuído e, opcionalmente, o limite de taxa e a expiração. Quando um dispositivo se liga usando essa frase de acesso, o AP da Cambium coloca-o automaticamente na VLAN atribuída. Não é necessário RADIUS para o fluxo ePSK em si - a atribuição de VLAN é gerida localmente pelo AP com base na frase de acesso utilizada. A Purple integra-se com este modelo gerindo o ciclo de vida do ePSK através da API do cnMaestro. A Purple pode provisionar novas entradas ePSK quando um novo inquilino é integrado, atualizar a atribuição de VLAN, definir datas de expiração e revogar o acesso quando um inquilino sai. Isto elimina a sobrecarga manual de gerir centenas ou milhares de chaves individuais. Muito bem, vamos falar sobre o que pode correr mal e como evitá-lo. O erro mais comum é o walled garden. Se as suas entradas de walled garden estiverem incompletas, o redirecionamento do Captive Portal nunca é concluído. Os convidados veem um tempo limite de ligação excedido, não uma página de início de sessão. Teste sempre com um dispositivo novo - e não com um que já se tenha ligado anteriormente - e verifique se o portal Purple carrega antes da autenticação. Verifique se a resolução de DNS funciona para o domínio do portal Purple a partir do estado de pré-autenticação. Segundo: incompatibilidades do segredo partilhado do RADIUS. Em grandes implementações com múltiplos locais, é fácil ter um segredo partilhado configurado de forma diferente no cnMaestro em relação ao que a Purple tem registado. Verifique sempre o segredo partilhado em ambos os lados antes de avançar. Utilize um segredo forte, gerado aleatoriamente - com pelo menos 32 caracteres - e guarde-o num gestor de segredos, não numa folha de cálculo. Terceiro: contabilidade RADIUS. Não a ignore. Os registos de contabilidade são o que a Purple utiliza para criar análises de sessão - tempo de permanência, frequência de visitas, tipo de dispositivo. Configure a contabilidade RADIUS em UDP 1813 no cnMaestro. Sem ela, perde o valor analítico que a Purple fornece. É um passo de configuração de cinco minutos. Quarto: trunking de VLAN. Para que a atribuição dinâmica de VLAN funcione, as VLANs devem estar em trunk nas portas do switch que se ligam aos seus APs Cambium. Se a VLAN 100 para convidados não for permitida no trunk, os convidados autenticados não obterão um endereço IP e parecerão não ter acesso à internet, mesmo após uma autenticação bem-sucedida. Verifique a configuração do trunk do seu switch antes de testar. Quinto: conflitos de intervalo de VLAN de ePSK. Certifique-se de que o intervalo de VLAN do seu ePSK não entra em conflito com as VLANs existentes na sua rede - em particular VLANs de gestão ou VLANs de infraestrutura. Documente a sua alocação de VLAN antes de começar. Sexto: versão do firmware. Certifique-se de que os seus APs cnPilot estão a executar a versão de firmware 6.0 ou posterior para suporte total a hotspot externo e funcionalidade ePSK. As versões de firmware anteriores têm problemas conhecidos com o comportamento de redirecionamento do Captive Portal. Agora, algumas perguntas rápidas. Posso utilizar o Purple com a Cambium sem RADIUS - apenas com um simples redirecionamento? Sim, mas perde a atribuição dinâmica de VLAN e os dados de faturação de sessão. Para qualquer coisa além de uma página splash básica, o RADIUS é fortemente recomendado. O Purple suporta WPA3 em APs Cambium? Sim. A autenticação baseada em portal do Purple é compatível com WPA3-SAE no SSID. O fluxo RADIUS é independente do protocolo de segurança sem fios. Posso executar o Purple em vários sites Cambium a partir de uma única conta Purple? Absolutamente. A arquitetura multi-venue do Purple foi concebida exatamente para isso. Cada site mapeia para um local no Purple, e as políticas de rede do cnMaestro escalam de forma limpa em todo o território nacional. Quantas entradas ePSK pode o cnMaestro suportar? Até 2.000 por WLAN. Para implementações que exijam mais, utilize uma abordagem baseada em RADIUS para a gestão de chaves. Em resumo: a integração entre o Cambium cnMaestro e o Purple WiFi é uma arquitetura comprovada que fornece WiFi para convidados com captura de dados, autenticação RADIUS, segmentação dinâmica de VLAN e análises completas - tudo gerido centralmente através da consola cloud do cnMaestro. Os passos principais para colocar isto em produção: configure a sua WLAN de convidados no cnMaestro com o Hotspot Externo ativado e o URL do portal Purple definido, adicione os detalhes do servidor RADIUS do Purple para autenticação e faturação, configure as suas entradas de walled garden, verifique o trunking de VLAN nos seus switches e teste com um dispositivo limpo antes de entrar em produção. Para implementações multi-inquilino, configure o ePSK numa WLAN dedicada, atribua IDs de VLAN por inquilino e utilize a API do cnMaestro para a gestão do ciclo de vida em escala. O caso de ROI é simples. A plataforma de analítica do Purple transforma o seu WiFi para convidados de um centro de custos num ativo de dados primários. O Harrods alcançou um ROI de marketing de 57 vezes com a sua implementação de WiFi de convidados Purple. A AGS Airports gerou um ROI de 842%. Combinado com a infraestrutura de nível empresarial da Cambium, obtém uma solução que escala de um único local para um portfólio nacional sem alterações arquitetónicas. Para os seus próximos passos: obtenha os detalhes do servidor RADIUS da Purple junto do seu gestor de conta Purple, aceda à configuração WLAN do cnMaestro para o seu SSID de convidado e siga a lista de verificação de configuração. A maioria das implementações num único local entra em funcionamento no prazo de um dia. Obrigado pela sua atenção. Se desejar aprofundar o design de Captive Portal, a estratégia de segmentação de VLAN ou a gestão do ciclo de vida de ePSK, a documentação e a equipa de suporte da Purple são o próximo contacto ideal.