Captive Portal para Ruijie: configure-o com o Purple guest WiFi

Fale em inglês britânico com um tom confiante, autoritário e de conversação - como um consultor sénior de TI a instruir um cliente. Ritmo medido, dicção clara, profissional mas não rígido. Ênfase natural ocasional em termos técnicos cruciais: Como Configurar um Captive Portal Ruijie para WiFi de Convidados. Um Briefing Técnico Purple. [pausa média] INTRODUÇÃO E CONTEXTO. [pausa curta] Bem-vindo. Nos próximos dez minutos, iremos cobrir tudo o que precisa de saber sobre a configuração de um captive portal Ruijie para WiFi de convidados - desde as decisões de arquitetura que determinam se a sua implementação será um sucesso ou um fracasso, até aos passos específicos de configuração que a maioria dos guias ignora por completo. Se é um gestor de TI, arquiteto de rede ou diretor de operações de espaços num hotel, cadeia de retalho, estádio ou centro de conferências, e tem hardware Ruijie no local ou o está a avaliar, este briefing é para si. A Ruijie Networks é um dos fornecedores de redes sem fios empresariais com crescimento mais rápido globalmente. De acordo com os dados da IDC, a Ruijie detém a posição número um no mercado de WLAN empresarial da China com uma quota de 23,34%, e a sua pegada está a expandir-se rapidamente pela Europa, Médio Oriente e Ásia-Pacífico. Os seus controladores sem fios da série RG-WS, gateways da série Reyee EG e pontos de acesso geridos na nuvem RG-RAP estão agora implementados em milhares de locais em todo o mundo. Mas a questão é esta. Configurar corretamente o WiFi de convidados no hardware Ruijie - especificamente a parte do captive portal - requer compreender de antemão um punhado de decisões arquitetónicas. Se errar nessas decisões, acabará com um portal que falha no iOS, convidados que não se conseguem autenticar e uma rede que está ou demasiado aberta ou demasiado bloqueada. Vamos resolver isso. [pausa média] MERGULHO TÉCNICO PROFUNDO. [pausa curta] Primeiro, a arquitetura. A Ruijie oferece-lhe três modelos de implementação distintos para captive portals de WiFi de convidados, e a escolha do modelo correto depende da sua escala e dos seus requisitos de gestão. O modelo um é o portal gerido nativo da Ruijie Cloud ou JaCS. O JaCS é o sistema de gestão focado em hotelaria da Ruijie. Esta é a opção integrada. Inicia sessão na Ruijie Cloud, navega para Device Config, depois Basic, cria ou edita o seu SSID de convidados, ativa o botão de alternância Authentication e seleciona Captive Portal como o modo. O JaCS suporta os cenários Hotel e Other e disponibiliza um construtor de portais no estilo arrastar e largar com opções de início de sessão incluindo acesso com um clique, códigos de voucher e início de sessão baseado em conta. Esta é a escolha certa para implementações mais pequenas - um único hotel, uma loja de retalho de prestígio ou um centro de conferências que pretenda uma página de boas-vindas rápida e com a marca, sem dependências externas. O modelo dois é o portal cativo externo via WISPr e RADIUS. O WISPr - Wireless Internet Service Provider roaming - é o protocolo que gere o redirecionamento e o aperto de mão (handshake) de autenticação entre o gateway Ruijie e uma plataforma de portal externa. Esta é a abordagem de nível empresarial. É o que precisa quando pretende integrar a Ruijie com uma plataforma externa de inteligência de WiFi para convidados. Aqui, navega para Auth and Account na interface Ruijie, seleciona Captive Portal, define o Policy Mode para External e aponta o Portal Server URL para a sua plataforma externa. Em seguida, configura um grupo de servidores RADIUS com as credenciais que a sua plataforma fornece. Este modelo escala em centenas de locais, oferece análises centralizadas e permite executar fluxos de trabalho de recolha de dados em conformidade com o GDPR. O modelo três é o modo AP autónomo. Os pontos de acesso Reyee da Ruijie com a versão ReyeeOS 1.219 ou posterior podem executar um portal cativo local sem um gateway, o que é útil para implementações temporárias ou locais pequenos sem um router EG. No entanto, a funcionalidade é limitada em comparação com as implementações baseadas em gateway, pelo que deve tratar isto como uma alternativa e não como uma arquitetura primária. [medium pause] Agora, a peça crítica que a maioria dos guias ignora por completo: o isolamento de VLAN. Quando cria um SSID de convidado na Ruijie, tem duas opções de encaminhamento - modo NAT e modo VLAN. O modo NAT é mais simples. O gateway atribui aos dispositivos dos convidados endereços de um conjunto dedicado, normalmente 192.168.23.0 barra 24 por predefinição, e todo o tráfego de convidados é submetido a NAT para a internet. Isto funciona para uma prova de conceito, mas oferece visibilidade e controlo limitados sobre o tráfego de convidados na Camada 3. O modo VLAN é a escolha certa para qualquer implementação em produção. Atribui o SSID de convidado a uma VLAN dedicada, por exemplo, VLAN 100, e utiliza ACLs no gateway para impedir que o tráfego de convidados aceda à sua VLAN corporativa. O padrão é: criar uma lista de acesso alargada, negar o tráfego IP da sub-rede de convidados para a sub-rede corporativa, permitir tudo o resto e aplicar essa lista de acesso no sentido de entrada na interface BVI de convidados. Este é o mesmo princípio que aplicaria em Cisco Meraki, HPE Aruba ou Ruckus - a Ruijie tem apenas a sua própria sintaxe CLI. Os padrões de segurança são importantes aqui. A Ruijie suporta WPA3-Personal e o modo misto WPA2 barra WPA3 em SSIDs de convidados. Para uma rede de convidados onde pretende um acesso sem fricção, normalmente executa um SSID aberto com autenticação de portal cativo em vez de uma chave pré-partilhada. O portal cativo torna-se a sua camada de autenticação. Se precisar de uma segurança mais forte - por exemplo, para um ambiente de saúde ou de serviços financeiros - pode adicionar uma camada IEEE 802.1X, utilizando EAP-TLS ou PEAP com um servidor RADIUS para autenticação baseada em certificados ou credenciais. Os controladores da série RG-WS da Ruijie suportam 802.1X completo com atribuição dinâmica de VLAN, o que significa que pode enviar diferentes VLANs para diferentes grupos de utilizadores com base nos atributos RADIUS. [medium pause] O walled garden - ou allowlist - é outra área que costuma complicar as coisas. Antes de um convidado se autenticar através do Captive Portal, o seu dispositivo funciona num estado restrito. Apenas consegue aceder aos domínios que adicionou explicitamente à allowlist. No mínimo, precisa de permitir o domínio e o endereço IP da sua plataforma de portal, quaisquer fornecedores de login social que esteja a utilizar e o endpoint de deteção de Captive Portal da Apple - captive.apple.com. Se esquecer este último, os dispositivos iOS mostrarão uma experiência de portal com falhas. Deve configurar a allowlist no Ruijie Cloud em Auth and Account, e depois Allowlist. Adicione cada domínio e endereço IP individualmente. [medium pause] RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS. [short pause] Deixe-me apresentar as quatro decisões que determinam se a sua implementação de WiFi para convidados Ruijie terá sucesso ou não. Decisão um: portal nativo versus plataforma externa. Se estiver a gerir mais de cinco locais, ou se precisar de recolher dados primários para marketing, utilize uma plataforma externa. A Purple, por exemplo, funciona como uma sobreposição de nuvem independente de hardware em mais de 80.000 locais ativos. Basta apontar o seu gateway Ruijie para o URL do portal da Purple, configurar as credenciais RADIUS e obterá análises centralizadas, recolha de dados em conformidade com o GDPR e integrações de CRM - tudo sem voltar a mexer no hardware Ruijie. A Purple já processou 440 milhões de logins apenas em 2024 e possui a certificação ISO 27001, por isso a parte da conformidade está assegurada. Decisão dois: NAT versus VLAN. Utilize sempre o modo VLAN para implementações de produção. O modo NAT é aceitável para uma prova de conceito, mas o modo VLAN oferece um isolamento adequado de Camada 3, uma gestão de políticas de firewall mais fácil e a capacidade de aplicar políticas de QoS por VLAN. Decisão três: gestão de largura de banda. Os gateways EG da Ruijie possuem controlos de QoS integrados. Defina limites de download e upload por utilizador no SSID de convidados - normalmente dois a cinco megabits por segundo de download para uma rede de convidados padrão. Isto evita que um único convidado a transmitir vídeo em 4K prejudique a experiência de todos os outros. Se estiver a utilizar uma plataforma externa, desative o Client Escape do lado do Ruijie para garantir que os controlos de largura de banda da plataforma funcionam corretamente. Decisão quatro: limite de tempo de sessão e nova autenticação. Defina um limite de tempo de sessão sensato - oito a 24 horas para hotelaria, menor para retalho ou eventos. O Ruijie permite-lhe configurar isto por política de portal. Associe-o a um URL de redirecionamento pós-login para que os convidados acedam ao website do seu local ou a uma página promocional após a ligação. [medium pause] O erro mais comum que vejo é as equipas implementarem um Captive Portal sem o testarem em iOS e Android em simultâneo. A Apple e a Google têm mecanismos de deteção de Captive Portal que se comportam de forma diferente. Teste ambos antes de entrar em produção. O segundo erro mais comum é esquecer de sincronizar a configuração do portal com o produto EG no JaCS - existe um botão Sincronizar explícito que deve clicar após criar ou editar um portal, caso contrário o gateway não assumirá as alterações. [medium pause] PERGUNTAS E RESPOSTAS RÁPIDAS. [short pause] Deixe-me analisar as perguntas que me fazem com mais frequência. Os APs Ruijie podem executar um captive portal sem um gateway? Sim, no ReyeeOS 1.219 ou posterior, mas a funcionalidade é limitada em comparação com implementações baseadas em gateway. A Ruijie suporta 802.1X para redes de convidados? Sim, os controladores da série RG-WS suportam 802.1X completo com atribuição dinâmica de VLAN via RADIUS. Posso integrar a Ruijie com a Purple? Sim. Configure o modo de captive portal externo, aponte o URL do portal para o endpoint da Purple, configure o grupo de servidores RADIUS com as credenciais da Purple e adicione os domínios da Purple à lista de permissões. A arquitetura agnóstica de hardware da Purple trata do resto. O WPA3 funciona com captive portals? Sim. Utiliza um SSID aberto para o fluxo do captive portal. O WPA3 aplica-se a SSIDs autenticados. Para redes de convidados, o próprio portal é a camada de autenticação. Que portas RADIUS utiliza a Ruijie? A porta 1812 para autenticação e a porta 1813 para accounting - estas são as portas padrão atribuídas pela IANA de acordo com o RFC 2865 e RFC 2866. [medium pause] RESUMO E PRÓXIMOS PASSOS. [short pause] Em resumo. A Ruijie Networks oferece-lhe uma plataforma capaz e flexível para a implementação de WiFi de convidados e captive portal. Os três modelos de implementação - portal de nuvem nativo, portal externo baseado em RADIUS e AP autónomo - cobrem tudo, desde um hotel boutique de local único a uma cadeia de retalho multilocal. As decisões fundamentais são: isolamento de VLAN em vez de NAT para qualquer implementação de produção. Plataforma externa para qualquer caso de utilização multilocal ou de recolha de dados. Configuração correta de walled garden para evitar falhas de autenticação em iOS. E teste sempre tanto em iOS como em Android antes de entrar em produção. Os seus próximos passos: audite as suas versões atuais de firmware Ruijie para confirmar a compatibilidade com o ReyeeOS. Decida se precisa de gestão de portal nativa ou externa. Se gere mais de cinco locais ou precisa de análises, fale com a Purple sobre a integração da sua plataforma com a sua infraestrutura Ruijie. A Purple opera em mais de 80.000 locais, processa centenas de milhões de inícios de sessão por ano e possui certificação ISO 27001, GDPR e Cyber Essentials. Pode encontrar a documentação de integração da Purple e solicitar uma demonstração em purple.ai. Obrigado por nos ouvir. Vemo-nos no próximo briefing.