Ver transcrição do podcast
Bem-vindo à Série de Briefing Técnico da Purple. Sou o vosso anfitrião e hoje vamos abordar algo que surge em quase todas as implementações de WiFi empresarial que vemos - a configuração de um Captive Portal nos controladores Ruckus SmartZone e Ruckus Unleashed. Quer seja um MSP a implementar WiFi para convidados numa cadeia de hotéis, um responsável de TI na hotelaria a lançar uma nova propriedade, ou um engenheiro de redes sem fios a integrar a plataforma da Purple com uma infraestrutura Ruckus, este episódio é para si. Vamos a isso.
-
Então, primeiro - por que razão a integração do Captive Portal Ruckus é importante? A Ruckus, agora sob a alçada da CommScope, é uma das plataformas de WiFi empresarial dominantes a nível mundial. O SmartZone, em particular, é o controlador de eleição para ambientes de alta densidade - estádios, centros de congressos, grandes hotéis e cadeias de retalho. Quando se está a implementar WiFi para convidados a essa escala, precisa de mais do que apenas um SSID aberto. Precisa de um fluxo de autenticação estruturado, captura de dados em conformidade com o GDPR e a capacidade de enviar esses dados de convidados para a sua stack de marketing. É exatamente aí que entra uma plataforma externa de Captive Portal como a Purple.
A arquitetura aqui é um fluxo de hotspot baseado em WISPr. WISPr significa Wireless Internet Service Provider roaming - é um padrão da indústria que define como um controlador sem fios intercepta o tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado liga-se ao seu SSID, o seu dispositivo envia um pedido HTTP, o controlador SmartZone intercepta-o e emite um redirecionamento HTTP 302 para o URL do seu portal externo. O convidado autentica-se - seja através de login social, e-mail, SMS ou um formulário personalizado - e depois o portal comunica de volta com o controlador através da Northbound Interface, ou NBI, para conceder o acesso. Limpo, baseado em padrões e altamente fiável quando configurado corretamente.
-
Agora vamos entrar na configuração técnica. Vou começar pelo SmartZone e depois abordar as diferenças para o Unleashed.
No SmartZone - e isto aplica-se tanto a implementações físicas SZ300 como virtuais vSZ - a configuração tem quatro componentes principais: o perfil do servidor de autenticação RADIUS, o perfil do servidor de accounting RADIUS, o perfil de portal Hotspot WISPr e a própria WLAN.
Comece pelos seus servidores RADIUS. Navegue até Services and Profiles e depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol para RADIUS. O IP do seu servidor primário e o segredo partilhado serão fornecidos pelo seu fornecedor de portal - no caso da Purple, estes estão documentados na consola de administração do portal Purple. Porta 1812 para autenticação. Configure sempre um servidor RADIUS de backup para resiliência - porta 1812 também no secundário. Depois faça o mesmo para o accounting em Services and Profiles, Accounting - porta 1813, mesmo segredo partilhado.De seguida, o perfil Hotspot WISPr. Aceda a Serviços e Perfis, Hotspots e Portais, e selecione o separador Hotspot WISPr. Crie um novo perfil. Defina o URL de início de sessão para Externo e introduza o URL de redirecionamento do seu portal - este é o URL para o qual os seus convidados serão enviados antes de se autenticarem. Defina a Página Inicial para redirecionar para um URL pós-autenticação, normalmente uma página de sucesso ou a página inicial do seu estabelecimento.
Agora, o Walled Garden. É aqui que muitos engenheiros se perdem. O Walled Garden define quais os domínios e endereços IP que um convidado pode aceder antes de estar autenticado. Deve incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos de onde o seu portal carregue dados, e os endpoints padrão de deteção de Captive Portal do SO. No SmartZone, os caracteres universais são suportados utilizando o formato asterisco-ponto - por exemplo, *.purple.ai. Essa única entrada abrange todos os subdomínios. Também deve incluir os domínios de deteção de Captive Portal da Apple - captive.apple.com - e os endpoints de verificação de conectividade do Google para evitar que o mini-navegador CNA se comporte incorretamente em dispositivos iOS e Android.
Um passo crítico que é fácil de esquecer: por padrão, o SmartZone encripta o endereço MAC e o endereço IP que passa para o portal externo no URL de redirecionamento. O fornecedor do seu portal precisa de ver o endereço MAC real do cliente para realizar a gestão de sessões baseada em MAC. Deve desativar isto através do CLI. Aceda por SSH ao seu SmartZone, entre no modo de configuração e execute: no encrypt-mac-ip. Já está - apenas um comando, mas é um bloqueador se o saltar.
A Interface Northbound (NBI) é a outra peça. Esta é a API que permite à plataforma do seu portal comunicar de volta com o SmartZone para conceder ou recusar o acesso após a autenticação. Ative-a em Administração, Serviços Externos, Interface Northbound WISPr. Defina um nome de utilizador e palavra-passe, e forneça essas credenciais ao fornecedor do seu portal. A NBI funciona na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que a sua firewall permite ligações de entrada da gama de IP da plataforma do seu portal para estas portas.
Finalmente, crie a sua WLAN. Defina o Tipo de Autenticação para Hotspot WISPr, selecione o seu perfil de portal e atribua os seus serviços de autenticação e tarifação (accounting) RADIUS. Defina o NAS ID para Definido pelo utilizador se o fornecedor do seu portal exigir um valor específico, defina o Called Station ID para MAC do AP, e ative o SSID de Sessão Única. Esta última definição garante que a sessão de um convidado está associada a um único registo de sessão de controlador, o que é importante para uma tarifação precisa.
---
Agora para o Unleashed. A arquitetura é fundamentalmente diferente - o Unleashed é um modelo distribuído e sem controlador, onde um AP atua como master. A configuração encontra-se em Admin e Serviços, Serviços, Serviços de Hotspot. Os passos são amplamente semelhantes - crie um serviço de Hotspot, configure o URL do seu portal externo, configure o seu servidor de autenticação AAA, adicione as suas entradas de Walled Garden - mas existem diferenças fundamentais.
Primeiro, não há requisito de Interface Northbound no Unleashed. O modelo de comunicação do portal é mais simples. Segundo, a encriptação do endereço MAC não é aplicada por predefinição no Unleashed, por isso não necessita do comando CLI. Terceiro, o walled garden do Unleashed aceita entradas ao nível do domínio em vez da sintaxe completa de wildcard - por isso introduziria purple.ai em vez de star-dot-purple.ai. Verifique a documentação do seu fabricante para saber o formato exato que exigem.
O Unleashed escala até cerca de 50 pontos de acesso, tornando-o adequado para hotéis de média dimensão, filiais de retalho e implementações em PMEs. Para tudo o que seja maior - grupos hoteleiros com várias propriedades, estádios, grandes redes de retalho - o SmartZone é a plataforma certa.
---
Deixe-me cobrir os dois modos de falha mais comuns que vejo no terreno.
O primeiro é a configuração incorreta do walled garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios que a página do seu portal referencia estão no walled garden. As páginas de portal modernas carregam recursos de múltiplos domínios de CDN, scripts de analítica, SDKs de login social. Se algum deles estiver bloqueado na pré-autenticação, a página não irá carregar ou irá carregar com erros. Utilize as ferramentas de programador do seu browser num dispositivo de teste ligado ao SSID de convidados para identificar quais os pedidos que estão a ser bloqueados.
O segundo é o problema de conectividade NBI. Se os convidados conseguem ver o portal e autenticar-se, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber a chamada de retorno NBI da sua plataforma de portal. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gestão do SmartZone a partir do intervalo de IPs do fornecedor do seu portal. Verifique também se as credenciais NBI que configurou coincidem com as que o fornecedor do seu portal tem registadas.
Um terceiro que vale a pena mencionar - o Apple CNA, o Captive Network Assistant. No iOS, quando um dispositivo se liga a uma rede, envia um teste para captive.apple.com. Se esse teste obtiver uma resposta que não seja 200, o iOS abre o mini-browser. Se o captive.apple.com estiver no seu walled garden, o teste é bem-sucedido, o iOS pensa que há internet e o CNA não aparece. Isso parece uma coisa boa, mas significa que os seus convidados não verão o portal automaticamente. Precisa de decidir: quer que o CNA apareça ou quer que os convidados abram um browser manualmente? A maioria das implementações na hotelaria mantém o captive.apple.com fora do walled garden para acionar o CNA.
---
Perguntas rápidas. Três perguntas que me fazem constantemente.
Preciso de uma VLAN para a minha WLAN de convidados? Sim. Isole sempre o tráfego de convidados numa VLAN dedicada. Este é um requisito de segurança e uma consideração de conformidade PCI-DSS se o seu espaço processar pagamentos com cartão na mesma rede.
Posso usar o Purple com o Ruckus Cloud em vez do SmartZone? Sim, mas o caminho de configuração é diferente - está em Redes WiFi, definições de Acesso de Convidados. Os princípios de configuração do walled garden e do RADIUS são os mesmos.
O Purple suporta implementações multi-zona SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zona, e pode definir o âmbito das configurações do portal para zonas individuais para diferentes locais ou pisos.
---
Para concluir. A integração do Captive Portal Ruckus SmartZone com o Purple é um padrão de implementação maduro e bem documentado que oferece autenticação de convidados fiável à escala. Os pontos-chave de configuração são: RADIUS nas portas 1812 e 1813 com um servidor de cópia de segurança, o perfil Hotspot WISPr com um URL de início de sessão externo, um walled garden corretamente configurado utilizando entradas wildcard, o comando CLI no encrypt-mac-ip, e a Northbound Interface ativada com as credenciais corretas. Acerte nestes cinco aspetos e terá uma base sólida.
Para implementações Unleashed, aplicam-se os mesmos princípios com um modelo de configuração mais simples e sem requisitos de NBI.
Se está a implementar o Purple em Ruckus e deseja validar a sua configuração antes de entrar em produção, a equipa de integração técnica do Purple pode guiá-lo através de uma lista de verificação pré-lançamento. A plataforma Purple também fornece análises em tempo real sobre tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - dando-lhe a visibilidade para detetar problemas antes que os seus convidados o façam.
Obrigado por nos ouvir. No próximo episódio iremos cobrir a autenticação 802.1X com Cloud RADIUS - outra integração que combina bem com Ruckus SmartZone para acesso de convidados corporativos. Até lá.
