Saltar para o conteúdo principal
Português

Captive Portal vs Splash Page

Este guia de referência analisa a distinção crítica entre captive portals e splash pages em redes WiFi de convidados. Clarifica como o mecanismo subjacente de interceção de rede funciona em conjunto com a interface visual do convidado, ajudando os líderes de TI e os operadores de espaços a tomar decisões informadas de arquitetura e aquisição.

📖 8 min de leitura📝 1,872 palavras🔧 3 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
CAPTIVE PORTAL VS SPLASH PAGE — A PURPLE TECHNICAL BRIEFING Podcast Script — Approximately 10 Minutes UK English Voice --- SEGMENT 1: INTRODUCTION AND CONTEXT (approximately 1 minute) Welcome to the Purple Technical Briefing series. I'm your host, and today we're cutting through one of the most persistent sources of confusion in guest WiFi procurement and deployment: the difference between a captive portal and a splash page. If you've ever sat in a vendor meeting and heard these two terms used interchangeably, you're not alone. It happens constantly — in RFP documents, in IT strategy decks, even in conversations between network engineers who really should know better. And the confusion matters, because when you conflate the two, you end up either over-specifying the wrong component, under-investing in the right one, or worse — deploying a guest WiFi solution that looks great but has no proper network control underneath it, or one that's technically solid but drives guests away with a clunky, unbranded login screen. So let's fix that today. By the end of this briefing, you'll have a clear mental model of what each component does, how they interact, and what to look for when you're evaluating solutions for your venue — whether that's a hotel, a retail estate, a stadium, or a public-sector building. --- SEGMENT 2: TECHNICAL DEEP-DIVE (approximately 5 minutes) Let's start with the captive portal, because it's the foundation everything else sits on. A captive portal is a network-layer mechanism. Its job is to intercept all outbound traffic from a newly connected device and hold it in a kind of digital waiting room until that device has been authenticated. When a guest connects to your WiFi SSID, their device gets an IP address via DHCP — that part works normally. But before any actual internet traffic is allowed through, the captive portal intercepts it. Here's the technical sequence. The guest's device sends an HTTP or HTTPS request — it might be trying to load a website, or it might be the operating system's own connectivity check, which modern devices like iPhones and Android phones run automatically. The captive portal controller — which sits either on your wireless controller, your router, or a cloud-based platform — intercepts that DNS query or HTTP request and redirects it. Instead of reaching the internet, the device receives a redirect response pointing it to a specific URL. That URL is where the splash page lives. Now, the redirection mechanism itself uses one of two primary techniques. The first is DNS hijacking — the captive portal intercepts DNS queries and returns the IP address of the portal server instead of the real destination. The second is HTTP redirect — the portal intercepts the HTTP request at the gateway and issues a 302 redirect response. For HTTPS traffic, this is more complex, because you can't intercept an encrypted session without triggering a certificate warning. That's why most captive portal implementations rely on the operating system's built-in Captive Network Assistant — the pop-up that appears on your phone when you connect to a new network — which uses a known HTTP endpoint to detect captive portals before attempting HTTPS connections. At the network layer, the captive portal is enforcing access control using firewall rules. Unauthenticated devices are placed in a restricted VLAN or subnet where all traffic except DNS and HTTP to the portal server is blocked. Once authentication is confirmed — whether that's a simple click-through, a social login, an email capture, or a full 802.1X credential exchange — the portal controller updates the firewall rules for that device's MAC address, moving it from the restricted zone to the authorised zone with full internet access. This is important: the captive portal is invisible to the guest. They never see it directly. What they see is the splash page. The splash page is the application layer — it's the HTML, CSS, and JavaScript that renders in the guest's browser or in the Captive Network Assistant pop-up. It's the visual interface: your brand, your logo, your welcome message, your terms and conditions, your social login buttons, your marketing opt-in checkboxes. It's what turns a cold network authentication event into a branded guest experience. Think of it this way. The captive portal is the bouncer at the door — it decides who gets in and enforces the rules. The splash page is the reception desk — it's the face of your venue, it collects information, and it makes the guest feel welcome. You need both, and they need to work together seamlessly. Now, why does this distinction matter commercially? Because when you're evaluating a guest WiFi solution, you need to ask different questions about each component. For the captive portal, you're asking: What authentication methods does it support? Can it handle 802.1X for corporate devices alongside social login for guests? Does it support MAC address bypass for devices that can't display a browser? How does it handle session timeouts and re-authentication? Is it compliant with your data protection obligations under GDPR? Does it integrate with your RADIUS infrastructure? Can it segment traffic by user type — separating guest traffic from staff traffic at the network layer? For the splash page, you're asking: How customisable is it? Can your marketing team edit it without touching the network configuration? Does it support A/B testing? Can it serve different content to different user segments — loyalty members versus first-time visitors, for example? Does it support video backgrounds, promotional banners, or post-connection redirect pages? How does it perform on mobile? Is it accessible? These are fundamentally different procurement criteria, and conflating the two leads to poor decisions. We've seen organisations invest heavily in a beautiful splash page design and then discover that the underlying captive portal doesn't support the authentication methods required by their IT security policy. We've also seen the reverse — technically robust captive portal deployments with splash pages so poorly designed that guest adoption rates are in the thirties. Let's talk about the standards underpinning all of this. The captive portal mechanism doesn't have a single governing standard, but it operates within the framework of several important ones. IEEE 802.1X is the port-based network access control standard that governs how devices authenticate to a network using credentials, certificates, or tokens. It's the foundation of enterprise WiFi security and is increasingly relevant even in guest WiFi contexts where you want to offer seamless, credential-based access to returning visitors. WPA3, the latest WiFi security protocol, introduces Opportunistic Wireless Encryption, which encrypts traffic even on open networks — relevant to captive portal deployments because it changes how the initial connection handshake works. From a compliance perspective, GDPR has significant implications for splash page design. If your splash page collects personal data — an email address, a name, a social login — you need explicit, informed consent, a clear privacy notice, and a lawful basis for processing. The splash page is where that consent is captured, but the captive portal is what enforces the connection between consent and access. If a guest declines your marketing opt-in, the captive portal still needs to grant them internet access — consent to marketing cannot be a condition of accessing the network under GDPR. PCI DSS is relevant if your guest WiFi network is in scope for card data environments — typically in retail or hospitality. Network segmentation enforced by the captive portal is a key control here, ensuring guest traffic is isolated from payment systems. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Let me give you two real-world scenarios that illustrate how this plays out in practice. First, a 200-room hotel group. They deployed a guest WiFi solution where the splash page was beautifully branded — their logo, a welcome message, a promotional offer for the spa. But the underlying captive portal was a basic open-source implementation that used DNS hijacking without any session management. The result: guests who returned to the hotel were prompted to log in again on every visit, even within the same stay. The splash page looked great, but the captive portal had no MAC address persistence, no session timeout configuration, and no integration with the property management system. The fix required replacing the captive portal controller entirely — the splash page was fine. Second, a national retail chain. They deployed an enterprise-grade captive portal with full 802.1X support, RADIUS integration, and sophisticated traffic segmentation. But their splash page was a default template — plain white, no branding, a generic "Connect to WiFi" message. Guest adoption was 34%. After they invested in a properly designed, branded splash page with a single-click social login option, adoption rose to 71% within three months. The captive portal hadn't changed at all. The lesson from both scenarios: these separate components require separate investment and separate expertise. Don't let your network team own the splash page design, and don't let your marketing team make decisions about captive portal architecture. Common pitfalls to avoid: first, assuming that a splash page is a captive portal. It isn't. A splash page without a captive portal is just a web page that nobody is forced to visit. Second, deploying a captive portal without HTTPS support for the splash page. Any data collected on an unencrypted splash page — email addresses, login credentials — is transmitted in plaintext. That's a GDPR and security risk. Third, ignoring the mobile experience. Over 80% of guest WiFi connections are from mobile devices. If your splash page isn't optimised for mobile, you're creating friction at exactly the moment you should be creating a positive brand impression. --- SEGMENT 4: RAPID-FIRE Q AND A (approximately 1 minute) Let me run through a few questions we hear regularly. Can I have a splash page without a captive portal? Technically yes — you can host a web page and direct people to it — but without the captive portal enforcing the redirect, guests have no reason to visit it. You'd have no data capture, no consent management, and no network access control. Can I have a captive portal without a splash page? Yes, and this is common in enterprise environments where 802.1X handles authentication silently. But for guest-facing deployments, you almost always want a splash page to handle the user experience and data capture. Does WPA3 break captive portals? Not if implemented correctly. WPA3 with Opportunistic Wireless Encryption is compatible with captive portal deployments, but it requires the portal to use HTTPS and the network to advertise the portal URL correctly. Some older client devices have compatibility issues, which is why many venues run dual SSID configurations. Is social login via the splash page secure? It depends on the implementation. OAuth 2.0-based social login — via Google, Facebook, or Apple — is secure when implemented correctly. The splash page handles the OAuth flow, and the captive portal receives a token confirming authentication. The key risk is in how that token is validated and how the session is managed. --- SEGMENT 5: SUMMARY AND NEXT STEPS (approximately 1 minute) Let's wrap up with the key takeaways. One: a captive portal and a splash page are not the same thing. The captive portal is the network control mechanism — it intercepts traffic and enforces access rules. The splash page is the visual interface — it's what the guest sees and interacts with. Two: they work together. The captive portal redirects the guest to the splash page. The splash page collects authentication or consent. The captive portal then grants access based on that outcome. Three: evaluate them separately. Ask different questions, apply different expertise, and budget for both independently. Four: compliance lives at the intersection. GDPR consent is captured on the splash page but enforced by the captive portal. Get both right. Five: Purple provides both. If you're looking for a platform that handles enterprise-grade captive portal control alongside rich, customisable splash page design — with full analytics, GDPR compliance tooling, and integrations with your existing infrastructure — that's exactly what Purple is built for. For your next steps, I'd recommend reviewing the Purple implementation guides on 802.1X authentication and guest WiFi analytics. Links are in the show notes. And if you're in the middle of a procurement process, reach out to the Purple team for a technical assessment — it's worth getting the architecture right before you commit to a deployment. Thanks for listening. Until next time. --- END OF SCRIPT

📚 Part of our core series: O Guia Definitivo para Captive Portals

header_image.png

Resumo Executivo

Para gestores de TI, arquitetos de rede e diretores de operações de espaços, o WiFi de convidados já não é apenas uma comodidade; é um ponto de contacto crítico para a recolha de dados primários (first-party data), envolvimento de marketing e segurança de rede. No entanto, uma fonte persistente de confusão em RFPs e discussões de implementação é a fusão de captive portals e splash pages.

Este guia clarifica esta distinção fundamental. Um captive portal é um mecanismo de controlo ao nível da camada de rede que interceta o tráfego, bloqueia o acesso à internet e gere a autenticação segura. Uma splash page é a interface visual ao nível da camada de aplicação — a página web que os convidados veem, com a qual interagem e utilizam para se autenticarem.

Confundir estes dois componentes leva a riscos significativos de aquisição e implementação, tais como comprar uma splash page com um design apelativo mas com controlos de backend inseguros, ou implementar um captive portal altamente seguro com uma interface de utilizador obsoleta e sem marca que afasta a adesão dos convidados. Ao compreender como estas tecnologias funcionam em conjunto, as organizações podem tirar partido de plataformas como a Purple para fornecer uma experiência de WiFi de convidados segura, em conformidade e altamente envolvente que gera valor comercial mensurável.

comparison_chart.png

Análise Técnica Detalhada

O Captive Portal: Interceção de Tráfego ao Nível da Camada de Rede

O captive portal opera nas camadas inferiores do modelo OSI (normalmente Camada 2 e Camada 3) para impor o controlo de acessos. Quando um dispositivo de convidado se liga a um SSID aberto, o servidor DHCP local atribui-lhe um endereço IP, uma máscara de sub-rede e um gateway predefinido. No entanto, o ponto de acesso sem fios (AP) ou o controlador de gateway coloca o endereço MAC do dispositivo num estado não autenticado dentro da tabela de sessões da firewall.

Neste estado, a firewall bloqueia todo o tráfego IP de saída, exceto os serviços de rede essenciais como DNS e DHCP. Quando o convidado tenta aceder a um website externo, o captive portal interceta o tráfego utilizando um de dois métodos principais:

  1. Redirecionamento HTTP (Redirecionamento 302): O gateway interceta o pedido HTTP inicial e devolve uma resposta HTTP 302 Found, redirecionando o navegador do cliente para o URL da splash page.
  2. DNS Hijacking: O gateway interceta as consultas DNS e resolve todos os nomes de domínio para o endereço IP do servidor local da splash page. Embora simples, este método é cada vez mais descontinuado devido ao DNSSEC e aos avisos de segurança ao nível do navegador.

Os sistemas operativos móveis modernos utilizam um daemon integrado chamado Captive Network Assistant (CNA). Ao ligar-se a uma rede, o CNA tenta aceder a um endpoint HTTP não encriptado conhecido (por exemplo, captive.apple.com da Apple ou connectivitycheck.gstatic.com da Google). Se a resposta for intercetada e redirecionada, o SO reconhece que está atrás de um captive portal e apresenta automaticamente a splash page numa janela dedicada do navegador do sistema, evitando a necessidade de o utilizador abrir manualmente um navegador web.

Assim que o utilizador conclui o fluxo de autenticação na splash page, o servidor de autenticação (normalmente um servidor RADIUS) envia um pacote Access-Accept para o controlador de rede. O controlador atualiza então as suas regras de firewall para permitir ao endereço MAC do dispositivo acesso total à internet, utilizando frequentemente o MAC Address Bypass (MAB) para memorizar o dispositivo durante uma duração de sessão especificada.

A Splash Page: Experiência de Utilizador ao Nível da Camada de Aplicação

Em contraste com o captive portal, a splash page é uma aplicação web padrão que opera na Camada 7 (a Camada de Aplicação). É desenvolvida utilizando tecnologias web padrão (HTML, CSS e JavaScript) e é alojada localmente no controlador de gateway ou, mais frequentemente, numa plataforma baseada na nuvem como a Purple.

A splash page serve como interface visual e ponto de contacto da marca para o convidado. As suas principais funções técnicas incluem:

  • Federação de Identidade: Facilitar inícios de sessão sociais (Google, Facebook, Apple) utilizando protocolos OAuth 2.0.
  • Recolha de Dados: Recolher dados dos convidados, tais como endereços de email, nomes e números de programas de fidelização.
  • Gestão de Consentimento: Registar consentimentos explícitos (opt-ins) para marketing e aceitação dos Termos de Serviço e Políticas de Privacidade, garantindo a conformidade com regulamentos como o GDPR [1] e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
  • Serviço de Anúncios e Branding: Disponibilizar banners promocionais direcionados, anúncios em vídeo ou páginas de redirecionamento pós-ligação para rentabilizar o espaço físico.

Como a splash page é uma aplicação web, deve ser altamente responsiva e otimizada para dispositivos móveis, que representam mais de 80% das ligações WiFi de convidados.

architecture_overview.png

Guia de Implementação

A implementação de uma solução de WiFi de convidados de nível empresarial requer uma coordenação cuidadosa entre a infraestrutura de rede e o software baseado na nuvem. Abaixo encontra-se um guia de arquitetura neutro em termos de fornecedor para implementar um sistema de captive portal e splash page.

Arquitetura de Implementação Passo a Passo

  1. Segmentação de Rede: Configure uma VLAN de Convidados dedicada nos seus switches e pontos de acesso para isolar o tráfego de convidados das redes corporativas internas, terminais de ponto de venda (POS) e dispositivos IoT. Este é um requisito crítico para a conformidade com o PCI DSS [2].
  2. Configuração de SSID: Configure um SSID aberto com Opportunistic Wireless Encryption (OWE), se suportado pelo seu hardware, ou um SSID aberto padrão. Ative o redirecionamento de captive portal no perfil do SSID dentro do seu controlador sem fios (por exemplo, Cisco Catalyst, Aruba Instant On ou Ruckus SmartZone).
  3. Configuração de Walled Garden (ACL): Antese autenticação, o dispositivo do convidado deve ter permissão para aceder a determinados domínios externos para renderizar a splash page corretamente. Isto é conhecido como "Walled Garden" ou Lista de Controlo de Acesso (ACL). Deve incluir:
    • O domínio da sua splash page alojada na nuvem (ex.: *.purple.ai).
    • Endpoints de OAuth para fornecedores de início de sessão social (ex.: *.facebook.com, *.google.com, *.apple.com).
    • Redes de Distribuição de Conteúdo (CDNs) que alojam os recursos necessários (tipos de letra, folhas de estilo, imagens).
  4. Integração com Servidor RADIUS: Configure o controlador sem fios para utilizar um servidor RADIUS externo (como o RADIUS na nuvem da Purple) para autenticação e contabilização (802.1X / AAA) [3].
  5. Personalização da Splash Page: Desenhe a splash page no portal da Purple, garantindo a consistência da marca, a capacidade de resposta móvel e caixas de seleção de consentimento legal claras.
  6. Políticas de Sessão e Largura de Banda: Defina tempos limite de sessão (ex.: 8 horas), tempos limite de inatividade (ex.: 30 minutos) e limites de largura de banda por utilizador (ex.: 5 Mbps de download, 2 Mbps de upload) no controlador de rede para evitar abusos na rede e garantir um acesso justo para todos os convidados.
Parâmetro Técnico Captive Portal (Gateway de Rede) Splash Page (Aplicação na Nuvem)
Camada OSI Camada 2 / Camada 3 (Rede/Ligação de Dados) Camada 7 (Aplicação)
Protocolo Principal RADIUS, DHCP, HTTP (Redirecionamento 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Função Principal Interceção de tráfego, controlo de acesso, modelação de largura de banda Interface do utilizador, recolha de dados, consentimento, imagem de marca
Visibilidade do Utilizador Completamente invisível (mecanismo de backend) 100% visível (o ecrã de boas-vindas visual)
Normas de Segurança IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
Hardware Típico APs sem fios, Routers Gateway, Controladores Servidores na Nuvem, CDNs

Melhores Práticas

Para garantir uma rede WiFi de convidados de alto desempenho, segura e em conformidade legal, as equipas de TI devem aderir às seguintes melhores práticas do setor:

1. Impor Certificados HTTPS e SSL/TLS

Todo o tráfego entre o dispositivo do convidado e a splash page deve ser encriptado utilizando HTTPS. Executar uma splash page através de HTTP não encriptado expõe os dados dos convidados (incluindo credenciais de início de sessão e endereços de e-mail) a packet sniffing e ataques man-in-the-middle. Certifique-se de que o domínio da sua splash page tem um certificado SSL/TLS válido e publicamente fidedigno. Os certificados autoassinados irão acionar avisos graves no navegador, fazendo com que os convidados abandonem a ligação.

2. Implementar Segmentação de Rede

Nunca encaminhe o tráfego de WiFi de convidados através da mesma VLAN ou sub-rede que os ativos corporativos. O tráfego de convidados deve ser isolado numa VLAN "apenas para convidados" com regras de firewall estritas que impeçam qualquer encaminhamento inter-VLAN para sub-redes internas. Isto mitiga o risco de propagação de malware e de acesso não autorizado a dados corporativos confidenciais.

3. Garantir a Conformidade com o GDPR e CCPA

Se o seu espaço opera ou serve cidadãos do Reino Unido, UE ou Califórnia, a sua splash page deve cumprir leis estritas de privacidade de dados:

  • Consentimento Livremente Dado: As caixas de seleção de aceitação de marketing devem estar desmarcadas por predefinição. O acesso à internet não pode ser condicionado ao consentimento de comunicações de marketing.
  • Política de Privacidade Clara: Forneça uma ligação direta e facilmente acessível para a sua política de privacidade na splash page.
  • Direito ao Apagamento: Garanta que a sua plataforma de WiFi de convidados (como a Purple) suporta fluxos de trabalho automatizados para que os convidados solicitem a eliminação dos seus dados pessoais.

4. Otimizar para Dispositivos Móveis e CNAs

Garanta que a splash page é leve e altamente responsiva. Evite fundos de vídeo pesados ou imagens grandes não comprimidas que diminuam o tempo de carregamento da página, especialmente em ambientes com elevada densidade de utilizadores (ex.: estádios ou centros de conferências). Teste a splash page em vários sistemas operativos móveis para garantir uma renderização perfeita no navegador nativo do Captive Network Assistant (CNA).

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns e Estratégias de Mitigação

  • O Pop-up do CNA Não Aparece: Se o redirecionamento do Captive Portal não acionar o CNA do dispositivo, os convidados podem permanecer ligados ao SSID sem acesso à internet e sem uma forma óbvia de iniciar sessão.
    • Mitigação: Certifique-se de que o servidor DNS atribuído aos convidados via DHCP está totalmente funcional e consegue resolver domínios externos. Se a resolução de DNS falhar, o CNA não conseguirá realizar a sua verificação de conectividade e o redirecionamento nunca será acionado.
  • Má Configuração do Walled Garden: Os convidados não conseguem concluir o início de sessão social porque a página de início de sessão OAuth não carrega ou apresenta um erro de ligação.
    • Mitigação: Verifique novamente a ACL do Walled Garden do seu gateway. Os fornecedores de início de sessão social alteram frequentemente as suas gamas de IP e domínios. Utilizar uma plataforma de WiFi de convidados gerida na nuvem como a Purple garante que os domínios do Walled Garden são atualizados e sincronizados automaticamente com o seu hardware.
  • Restrições do Navegador CNA: O navegador CNA nativo em dispositivos móveis tem capacidades limitadas em comparação com os navegadores padrão (ex.: Safari ou Chrome). Pode bloquear cookies, pop-ups ou redirecionamentos externos.
    • Mitigação: Evite JavaScript complexo ou integrações de terceiros na splash page que exijam persistência de cookies ou pop-ups do navegador. Mantenha o fluxo de autenticação o mais simples e direto possível.

ROI e Impacto no Negócio

Compreender a distinção entre Captive Portals e splash pages permite às organizações maximizar o seu retorno do investimento (ROI), otimizando tanto o desempenho técnico como a utilidade comercial da sua rede WiFi de convidados.

Valor de Negócio de uma Solução Duplamente Otimizada

  • Maior Envolvimento dos Convidados: Uma splash page desenhada profissionalmente, alinhada com os produtos principais da Purple, como Guest WiFi e WiFi Analytics [4] [5], pode aumentar as taxas de login de convidados em até 40% em comparação com ecrãs de boas-vindas genéricos e sem marca.
  • Captura Rica de Dados First-Party: Ao oferecer um login social simplificado e campos de formulário estruturados, os espaços em setores como o Retalho , Hotelaria , Saúde e Transportes podem capturar endereços de email limpos e verificados, dados demográficos e dados de frequência de visitas.
  • Oportunidades de Monetização: Aproveitar a splash page para monetização de media de retalho permite que os espaços apresentem anúncios direcionados aos convidados no momento da ligação, entrando num mercado de publicidade digital em rápido crescimento.
  • Eficiência Operacional: Um Captive Portal robusto reduz os pedidos de suporte de TI ao automatizar a integração de dispositivos, gerir tempos de expiração de sessão e aplicar limites de largura de banda para evitar a congestão da rede.

Ao implementar a solução de nível empresarial da Purple, os espaços podem garantir que a sua arquitetura de rede é segura e está em conformidade, ao mesmo tempo que dão às suas equipas de marketing a liberdade criativa para desenhar splash pages deslumbrantes e de alta conversão que impulsionam a fidelização dos clientes e a receita.

Referências

Definições Principais

Captive Portal

A network-layer mechanism that intercepts client traffic and restricts internet access until authentication criteria are met.

Encountered by IT teams when configuring wireless controllers, gateways, or firewalls to redirect unauthenticated MAC addresses.

Splash Page

The visual, web-based landing page rendered in a guest's browser that facilitates authentication, data capture, and brand engagement.

Managed by marketing and venue operations teams to design the user onboarding experience and collect customer data.

Captive Network Assistant (CNA)

A built-in operating system feature on mobile devices that automatically detects a captive portal and opens the splash page in a system browser window.

Crucial for user experience, as it bypasses the need for guests to manually open a browser to log in.

Walled Garden (ACL)

A list of IP addresses or domains that an unauthenticated user is permitted to access before logging into the network.

Must be configured correctly on the wireless gateway to allow the splash page and social login OAuth flows to load.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA) management for users connecting to a network.

Used by the captive portal to verify guest credentials against a database and grant network access.

MAC Address Bypass (MAB)

A mechanism that allows a device to bypass the captive portal login screen on subsequent connections by remembering its hardware MAC address.

Used to create a seamless experience for returning guests by eliminating the need to log in repeatedly.

Opportunistic Wireless Encryption (OWE)

A WiFi standard (part of WPA3) that provides encryption on open networks without requiring a shared password.

Enables secure data transmission on public guest networks while still allowing captive portal redirection.

VLAN Segmentation

The practice of dividing a physical network into multiple logical networks at Layer 2 to isolate traffic.

Essential for guest WiFi deployments to ensure guest traffic is completely isolated from secure corporate networks.

Exemplos Práticos

A national retail chain with 150 stores wants to implement a guest WiFi network that captures customer emails for marketing purposes, but their IT security team is concerned about guest traffic accessing corporate Point-of-Sale (POS) systems. How should this be architected?

  1. Configure a dedicated Guest VLAN (e.g., VLAN 50) on all switches and access points across all 150 stores, completely isolated from the corporate POS VLAN (VLAN 10) using firewall ACLs. 2. Enable captive portal redirection on the Guest SSID, pointing the redirect URL to Purple's secure cloud-hosted splash page. 3. Configure the network gateway to restrict all pre-authenticated traffic on VLAN 50, allowing access only to DNS, DHCP, and Purple's Walled Garden domains. 4. Utilize Purple's integration with the wireless controller to authenticate guests via RADIUS, granting internet access only after the guest provides a verified email address and accepts the terms of service on the splash page.
Comentário do Examinador: This architecture achieves the dual goals of marketing and security. By separating the network layers (VLAN segmentation at Layer 2/3) from the application layer (email capture on the splash page at Layer 7), the retail chain ensures PCI DSS compliance for their POS systems while maximizing marketing data capture.

A 50,000-seat sports stadium wants to offer free WiFi during events. The operations team wants a seamless login experience to prevent network congestion at the start of games, while the marketing team wants to display sponsor video ads on the splash page. How do you balance these requirements?

  1. Deploy high-density access points and configure a captive portal with MAC Address Bypass (MAB) set to 30 days, so returning fans do not have to see the splash page on every visit. 2. For new connections, design an ultra-lightweight splash page optimized for fast loading on mobile devices. 3. Embed a short, 5-second sponsor video ad that plays directly on the splash page, with a 'Skip and Connect' button that immediately triggers the captive portal authentication. 4. Configure the captive portal to allocate a generous bandwidth profile (e.g., 10 Mbps) per user to ensure smooth video streaming and web browsing.
Comentário do Examinador: In high-density environments, performance is paramount. Using MAB for returning fans drastically reduces the load on the captive portal and RADIUS servers during peak times. The lightweight splash page design and short video ad ensure that the marketing team achieves their sponsorship goals without causing network frustration or onboarding delays.

A large public hospital wants to provide guest WiFi for patients and visitors. The compliance team requires that the network comply with healthcare data privacy standards and that patients cannot access malicious or inappropriate web content. What is the recommended deployment strategy?

  1. Configure the captive portal to redirect users to a splash page that contains a clear healthcare-specific privacy notice and terms of service. 2. Integrate the captive portal gateway with a cloud-based DNS filtering service (such as Cisco Umbrella or Webroot) to automatically block access to adult content, malware, and phishing sites. 3. Disable social login options to prevent the collection of unnecessary personal data, relying instead on a simple 'Accept and Connect' button or a basic email verification form. 4. Enforce strict bandwidth shaping on the captive portal to prioritize clinical applications and hospital IoT devices over guest streaming traffic.
Comentário do Examinador: Healthcare environments require a conservative approach to data privacy and content filtering. By omitting social login, the hospital minimizes its compliance footprint under healthcare data regulations. Integrating DNS filtering directly at the captive portal gateway ensures that content policies are enforced network-wide, regardless of what the user does on the splash page.

Perguntas de Prática

Q1. An IT manager notices that guests are connecting to the guest WiFi SSID, but the branded splash page is not appearing, and users cannot access the internet. What is the most likely technical cause of this issue, and how should it be diagnosed?

Dica: Consider the role of DNS in the captive portal redirection process.

Ver resposta modelo

The most likely cause is a failure in the DNS resolution process. When a device connects, it must resolve the splash page domain name to load the welcome screen. If the DNS server assigned to the guest VLAN is down, misconfigured, or blocked by the gateway's pre-authentication firewall rules, the device cannot resolve the domain, and the redirect will fail. To diagnose, connect a test device to the SSID, verify that it receives a valid IP and DNS server address via DHCP, and attempt to ping or resolve a public domain. If DNS fails, check the DNS server status and ensure that DNS traffic (UDP port 53) is allowed in the gateway's pre-authentication ACL.

Q2. A retail venue wants to allow guests to log in using their Facebook accounts. However, when users click the Facebook login button on the splash page, they receive a 'Connection Refused' error. The rest of the splash page loads perfectly. What is the issue, and how do you resolve it?

Dica: Think about what external resources a pre-authenticated device is allowed to access.

Ver resposta modelo

The issue is that the Facebook authentication domains are not included in the gateway's pre-authentication Walled Garden Access Control List (ACL). Because the user is not yet authenticated, the captive portal blocks all external traffic. When the user clicks the Facebook button, the browser attempts to reach Facebook's OAuth servers, which is blocked by the gateway. To resolve this, the IT team must add the required Facebook OAuth domains (e.g., *.facebook.com, *.facebook.net) to the Walled Garden ACL on the wireless controller or gateway.

Q3. A hospitality venue has deployed a guest WiFi network. The marketing team wants to collect guest email addresses and immediately send a welcome newsletter. However, the legal team is concerned about GDPR compliance regarding consent. How should the splash page and captive portal be configured to satisfy both teams?

Dica: GDPR requires that consent for marketing must be freely given and not a condition of service.

Ver resposta modelo

To satisfy both marketing and legal teams under GDPR: 1. The splash page must feature a clear, un-checked checkbox for the marketing opt-in ('I consent to receive marketing emails'). 2. Agreeing to the Terms of Service and Privacy Policy must be a separate checkbox or clearly stated as a condition of using the free network. 3. The underlying captive portal and splash page system must be configured to grant internet access regardless of whether the marketing checkbox is checked or unchecked. If a user leaves the marketing box unchecked but accepts the Terms of Service, the system must still send an Access-Accept packet to the network controller. This ensures consent is freely given, satisfying GDPR, while still allowing marketing to collect emails from users who do opt-in.

Continue a ler esta série

Como Configurar um Hotspot WiFi para o Seu Negócio

Este guia autorizado fornece a líderes de TI, arquitetos de rede e diretores de operações de espaços um plano prático e neutro em relação a fornecedores para implementar hotspots WiFi para convidados seguros, conformes e que melhoram o negócio. Abrange decisões arquitetónicas críticas — desde a segmentação de VLAN e configuração de Captive Portal até à conformidade com o GDPR e modelagem de tráfego — e demonstra como transformar a infraestrutura de rede de um centro de custos numa plataforma de análise geradora de receita, utilizando as capacidades de Guest WiFi e análise da Purple.

Ler o guia →

Purple vs. Cisco Spaces (DNA Spaces): Quando Escolher Cada Um

Este guia de referência técnica fornece uma comparação abrangente entre Purple e Cisco Spaces (anteriormente DNA Spaces) para implementações de Captive Portal empresarial e WiFi para convidados. Avalia as diferenças arquitetónicas, a profundidade da automação de marketing e a questão crítica do bloqueio de fornecedor de hardware para ajudar os líderes de TI a tomar decisões informadas sobre infraestruturas.

Ler o guia →

Purple vs. GlobalReach Technology: Comparação de WiFi de Nível de Operadora

Este guia oferece uma comparação técnica autoritária entre a Purple e a GlobalReach Technology, abrangendo as capacidades de Captive Portal, a prontidão para WBA OpenRoaming, a arquitetura de offload de operadora e os modelos comerciais. É destinado a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e municípios que precisam de tomar uma decisão sobre a plataforma neste trimestre. A principal conclusão é que, embora a GlobalReach lidere no offload profundo de operadoras MNO e na autoria de padrões, a Purple revoluciona o mercado com uma sobreposição agnóstica de hardware e um nível de OpenRoaming Identity Provider genuinamente gratuito, tornando o WiFi de nível de operadora acessível a qualquer local sem custos iniciais de licenciamento de software.

Ler o guia →