Saltar para o conteúdo principal

Captive Portals vs. Redes Abertas: Equilibrar a Segurança e a UX

Este guia de referência técnica fornece aos arquitetos de rede e gestores de TI um plano abrangente para a implementação de redes WiFi de convidados. Analisa as compensações técnicas entre redes abertas e captive portals, detalhando como equilibrar os protocolos de segurança com a experiência do utilizador. Os leitores aprenderão a configurar mecanismos de redirecionamento resilientes, a gerir a randomização de MAC e a implementar fluxos de trabalho de autenticação integrados.

📖 6 min de leitura📝 1,484 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Resumo Executivo

Nos ambientes empresariais modernos, o WiFi para convidados já não é apenas uma utilidade operacional - é um ponto de contacto crítico para a interação com o cliente, a ligação à marca e a segurança da rede. Para os gestores de TI, arquitetos de rede e diretores de operações de espaços, o desafio fundamental reside em equilibrar a segurança da rede com a experiência do utilizador (UX).

Este guia fornece uma análise técnica autoritária das duas principais arquiteturas de WiFi para convidados: Captive Portals e Redes Abertas. Embora as redes abertas ofereçam um acesso sem fricção, expõem os utilizadores a vulnerabilidades de segurança e privam os espaços de valiosas oportunidades de captura de dados. Por outro lado, Captive Portals mal configurados introduzem fricção, levando ao abandono da ligação e ao aumento de pedidos de suporte.

Ao compreender os protocolos subjacentes - incluindo RADIUS AAA, Change of Authorization (CoA) e Opportunistic Wireless Encryption (OWE) - as organizações podem implementar sistemas de WiFi para convidados que protegem a periferia da rede, garantem a conformidade regulamentar e proporcionam uma experiência de utilizador fluida. Este documento descreve as diretrizes técnicas, os passos de configuração e as melhores práticas do setor necessárias para alcançar este equilíbrio.

Análise Técnica Detalhada

Mecânica de Redirecionamento do Captive Portal

Para compreender como funciona um Captive Portal, devemos examinar as interações ao nível dos pacotes que ocorrem quando um dispositivo cliente se associa a um SSID aberto configurado para redirecionamento web.

Quando um cliente se associa ao Access Point (AP) ou Wireless LAN Controller (WLC), é-lhe atribuído um endereço IP via DHCP. No entanto, o WLC coloca o endereço MAC do cliente num estado "não autenticado" dentro da sua tabela de associação. Neste estado, o WLC aplica uma Access Control List (ACL) de pré-autenticação que bloqueia todo o tráfego IP, exceto DNS (porta UDP 53), DHCP (portas UDP 67 e 68) e gamas de IP específicas definidas no "Walled Garden".

+-------------+          +------------+          +---------------+          +---------------+          +---------------+
|   Client    |          |   AP/WLC   |          |  DNS Server   |          | Purple Portal |          | RADIUS Server |
+-------------+          +------------+          +---------------+          +---------------+          +---------------+
       |                       |                         |                          |                          |
       |--- 1. Associate ----->|                         |                          |                          |
       |<-- 2. IP Assigned ----|                         |                          |                          |
       |                       |                         |                          |                          |
       |--- 3. DNS Query ----->|------------------------>|                          |                          |
       |    (captive.apple.com)|                         |                          |                          |
       |<-- 4. Resposta DNS ---|<------------------------|                          |                          |
       |                       |                         |                          |                          |
       |--- 5. HTTP GET ------>|                         |                          |                          |
       |    (Intercetado)      |                         |                          |                          |
       |<-- 6. HTTP 302 -------|                         |                          |                          |
       |    (Redirecionar para Purple)                   |                          |                          |
       |                       |                         |                          |                          |
       |--- 7. HTTPS GET ----------------------------------------------------------->|                          |
       |    (Solicitar Página do Portal)                                            |                          |
       |<-- 8. Servir Página -------------------------------------------------------|                          |
       |                       |                         |                          |                          |
       |--- 9. Submeter Formulário ------------------------------------------------>|                          |
       |                       |                         |                          |--- 10. Pedido de Aut. --->|
       |                       |<-- 11. RADIUS CoA (Autorizar MAC) -----------------|                          |
       |                       |                                                    |<-- 12. Aceitação de Aut. -|
       |<-- 13. Acesso Concedido-|                         |                        |                          |

Quando o utilizador tenta navegar para um website HTTP, ou quando o Captive Network Assistant (CNA) do sistema operativo aciona uma janela automática do browser, o cliente envia um pedido HTTP GET. O WLC interceta este pedido (normalmente na porta 80) e devolve um código de estado HTTP 302 Redirect. Este redirecionamento aponta o browser do cliente para o URL do portal cativo externo (por exemplo, a plataforma de alojamento do portal da Purple), anexando parâmetros de consulta essenciais, tais como:

  • client_mac: O endereço MAC do dispositivo convidado.
  • ap_mac: O endereço MAC do AP ao qual o cliente está associado.
  • ssid: O nome da rede de convidados.
  • redirect_url: O URL original que o utilizador tentou aceder.

O Papel do Captive Network Assistant (CNA)

Os sistemas operativos modernos (iOS, Android, macOS e Windows) utilizam processos em segundo plano que monitorizam a conectividade da rede. Ao associarem-se a uma rede WiFi, o SO envia um pedido HTTP para um URL de validação dedicado e fixado no código. Os exemplos incluem:

  • Apple: http://captive.apple.com/hotspot-detect.html
  • Google Android: http://connectivitycheck.gstatic.com/generate_204
  • Microsoft Windows: http://www.msftconnecttest.com/connecttest.txt

Se o OS receber a resposta HTTP 200 OK (ou HTTP 204 No Content) esperada, presume que o acesso direto à internet está disponível. Se receber um redirecionamento HTTP 302, deteta um Captive Portal e inicia o CNA - uma janela de navegador simplificada e isolada (sandbox).

Gerir o CNA é um aspeto crítico do design de WiFi para convidados. Como o navegador CNA está isolado, tem limitações severas: frequentemente não suporta cookies, armazenamento local ou certas APIs de JavaScript, e fecha imediatamente se o utilizador alternar de aplicação. Se a configuração do Captive Portal não tiver em conta estas limitações, a experiência do utilizador irá falhar.

RADIUS AAA e Change of Authorization (CoA)

Assim que o utilizador conclui a ação necessária no Captive Portal (por exemplo, introduzir um endereço de email, aceitar termos ou autenticar-se através de um fornecedor social), o servidor do portal deve notificar o WLC para conceder acesso à rede. Isto é alcançado utilizando o protocolo RADIUS (Remote Authentication Dial-In User Service), especificamente utilizando o RFC 3576 Change of Authorization (CoA).

  1. Pedido de Autenticação: O servidor do portal envia uma chamada de API ou um RADIUS Access-Request para o servidor RADIUS da organização (ou diretamente para o WLC se este atuar como cliente AAA), validando a sessão do utilizador.
  2. RADIUS CoA: O servidor RADIUS envia um pacote CoA-Request (porta UDP 3799) para o WLC. Este pacote contém o endereço MAC do cliente e instruções para atualizar o estado da sessão.
  3. Atualização do Estado da Sessão: O WLC processa o CoA-Request, transita o estado do cliente de "não autenticado" para "autenticado" e aplica a política pós-autenticação (por exemplo, mover o cliente para uma VLAN diferente, aplicar limites de largura de banda ou ativar o acesso irrestrito à internet).
  4. CoA-ACK: O WLC devolve um pacote CoA-ACK (Acknowledge) ao servidor RADIUS, confirmando a alteração da política.

Redes Abertas e Opportunistic Wireless Encryption (OWE)

As redes abertas tradicionais (sem Captive Portal, sem encriptação) transmitem todas as tramas sem fios em texto simples. Isto permite que agentes maliciosos dentro do alcance físico realizem escutas passivas, capturando dados confidenciais transmitidos através de protocolos não encriptados (HTTP, FTP, IMAP).

Para mitigar esta vulnerabilidade sem introduzir a fricção de uma chave pré-partilhada (PSK), a Wi-Fi Alliance introduziu o Opportunistic Wireless Encryption (OWE), padronizado no RFC 8110. O OWE utiliza uma troca de chaves Diffie-Hellman durante o processo de associação 802.11 para estabelecer uma chave de sessão emparelhada única e encriptada para cada cliente.

Embora o OWE proteja contra a escuta passiva, não fornece autenticação. É uma rede "aberta" em termos de controlo de acesso, mas encriptada em termos de transmissão. Para espaços públicos, o OWE representa um avanço significativo na segurança, embora não facilite a captura de dados ou a aceitação de termos de serviço, a menos que seja emparelhado com um mecanismo de redirecionamento baseado na web.

Guia de Implementação

Este guia de implementação passo a passo descreve como configurar uma rede WiFi de convidados de nível empresarial utilizando um Cisco Catalyst Wireless LAN Controller (WLC) integrado com o portal cativo externo e serviços RADIUS da Purple.

Passo 1: Configurar a VLAN de Convidados e o Escopo DHCP

Antes de configurar os parâmetros sem fios, estabeleça uma VLAN dedicada e isolada no seu switch principal e configure um escopo DHCP com um tempo de concessão curto (por exemplo, 2 a 4 horas) para evitar o esgotamento de endereços IP em ambientes de alta densidade.

! Core Switch Configuration
vlan 900
 name Guest_WiFi
!
interface Vlan900
 description Guest WiFi Gateway
 ip address 172.16.0.1 255.255.240.0
 ip helper-address 172.16.0.10
!
! DHCP Server Configuration (ISC DHCPD Example)
subnet 172.16.0.0 netmask 255.255.240.0 {
  range 172.16.0.50 172.16.15.254;
  option routers 172.16.0.1;
  option domain-name-servers 8.8.8.8, 1.1.1.1;
  default-lease-time 7200;
  max-lease-time 14400;
}

Passo 2: Definir o Walled Garden (ACL Pré-Autenticação)

Para permitir que clientes não autenticados resolvam DNS e acedam ao Captive Portal, deve configurar uma ACL de pré-autenticação no WLC. Esta ACL deve permitir o tráfego de e para a infraestrutura de alojamento da Purple e quaisquer CDNs ou endpoints de login social necessários.

! Cisco WLC CLI Configuration
ip access-list extended PRE_AUTH_ACL
 ! Permit DNS resolution
 permit udp any any eq domain
 permit udp any eq domain any
 ! Permit DHCP
 permit udp any any eq bootpc
 permit udp any eq bootps any
 ! Permit access to Purple Portal Servers
 permit tcp any host 54.246.117.243 eq www
 permit tcp any host 54.246.117.243 eq 443
 permit tcp any host 52.19.194.225 eq www
 permit tcp any host 52.19.194.225 eq 443
 ! Permit Apple CNA validation bypass (Optional - if you wish to bypass CNA)
 permit tcp any host 17.253.109.201 eq www
 deny ip any any

Passo 3: Configurar os Servidores de Autenticação e Accounting RADIUS

Configure o WLC para comunicar com os servidores RADIUS da Purple para autenticação, accounting e CoA.

! Configure RADIUS Authentication Server
radius-server host 54.246.117.243 auth-port 1812 acct-port 1813 key 7 
! Configure RADIUS Accounting Server
radius-server host 52.19.194.225 auth-port 1812 acct-port 1813 key 7 
!
! Enable RFC 3576 Change of Authorization (CoA)
aaa server radius dynamic-author
 client 54.246.117.243 server-key 7 
 client 52.19.194.225 server-key 7 
 port 3799

Passo 4: Configurar o SSID de Convidados (WLAN)

Crie o SSID de convidados, associe-o à VLAN de convidados e aplique as políticas de segurança e redirecionamento.

! Create WLAN
wlan Guest_WiFi 1 Guest_WiFi
 client vlan Guest_WiFi
 ip flow monitor wireless-input unicast
 ip flow monitor wireless-output unicast
 ! Configure Layer 2 Security to Open
 security wpa secondary none
 security wpa akm owe
 ! Configure Layer 3 Security for Web Redirect
 security web-auth
 security web-auth parameter-map PURPLE_MAP
 security web-auth authentication-list PURPLE_RADIUS_LIST
 ! Apply Pre-Authentication ACL
 security web-auth acl PRE_AUTH_ACL
 no shutdown

Passo 5: Configurar o Web Auth Parameter Map

Defina os parâmetros de redirecionamento, incluindo o URL do portal externo e a forma como o WLC deve gerir o endereço MAC do cliente.

! Parameter Map Configuration
parameter-map PURPLE_MAP
 type webauth
 redirect-server-url https://portal.purplewifi.net/auth
 redirect portal
 banner-page-disable
 logout-window-disable

Melhores Práticas

Otimização de Segurança

  1. Isolamento de Clientes: Ative sempre o isolamento de clientes (bloqueio peer-to-peer) na VLAN de convidados. Isto impede que os dispositivos de convidados associados comuniquem entre si, mitigando o risco de varreduras internas, ARP spoofing e propagação lateral de malware.
  2. Filtragem de DNS: Implemente segurança ao nível do DNS (por exemplo, Cisco Umbrella ou Cloudflare Gateway) na rede de convidados. Isto garante que, mesmo antes de um utilizador se autenticar, esteja protegido contra o acesso a domínios conhecidos de phishing, malware ou conteúdo adulto.
  3. Redirecionamento Seguro (HTTPS): Certifique-se de que o hostname de redirecionamento configurado no seu WLC utiliza um certificado SSL/TLS válido e publicamente confiável. Se o WLC redirecionar um pedido HTTPS utilizando um certificado autoassinado, o browser do utilizador apresentará um aviso de segurança grave, destruindo a confiança e aumentando as taxas de abandono.

Otimização da Experiência do Utilizador (UX)

  1. Otimizar a Velocidade de Redirecionamento: Mantenha a ACL de pré-autenticação (walled garden) o mais simples possível. Consultas de DNS excessivas ou verificações de IP dentro de uma ACL sobrecarregada podem atrasar o processo de redirecionamento, fazendo com que o dispositivo do cliente expire o tempo limite e assuma que a rede está com falhas.
  2. Minimizar os Campos do Formulário: Cada campo adicional num formulário de Captive Portal reduz as taxas de conversão em aproximadamente 10%. Limite a recolha de dados aos campos essenciais (por exemplo, endereço de email ou início de sessão social) e utilize perfis progressivos para recolher mais informações em visitas subsequentes.
  3. Implementar Caching de MAC: Para evitar que os convidados recorrentes tenham de se autenticar novamente sempre que entram no local, configure o caching de MAC (também conhecido como bypass de MAC). Quando um cliente se autentica com sucesso, o servidor RADIUS armazena em cache o seu endereço MAC por um período definido (por exemplo, 30 dias). Nas visitas subsequentes, o WLC realiza uma autenticação MAC silenciosa no servidor RADIUS, concedendo acesso imediato sem apresentar o portal.

Resolução de Problemas e Mitigação de Riscos

1. O Modo de Falha "CNA Loop"

  • Sintoma: O cliente liga-se ao SSID, a janela CNA abre-se, o utilizador conclui o processo de início de sessão, mas a janela CNA não se fecha ou abre-se imediatamente de novo, solicitando ao utilizador que inicie sessão novamente.* Causa Raiz: O navegador CNA determina a conetividade à internet através do envio contínuo de pedidos ao seu URL de validação (ex. captive.apple.com). Se o WLC conceder acesso à internet mas o walled garden ou a configuração de encaminhamento continuar a bloquear ou redirecionar o tráfego para o URL de validação, o SO considerará que ainda está em modo captive.
  • Mitigação: Certifique-se de que o RADIUS CoA faz a transição bem-sucedida do cliente para uma função sem restrições, onde todo o tráfego para os domínios de validação é permitido. Alternativamente, configure o WLC para contornar totalmente a deteção de CNA ao permitir o acesso aos domínios de validação na ACL de pré-autenticação, embora isso evite que o portal apareça automaticamente nalguns dispositivos.

2. Problemas de Randomização de MAC

  • Sintoma: Os visitantes recorrentes são obrigados a voltar a autenticar-se através do captive portal, apesar do caching de MAC estar ativo.
  • Causa Raiz: Os sistemas operativos modernos (iOS 14+, Android 10+, Windows 10/11) utilizam randomização de MAC por predefinição. O dispositivo gera um endereço MAC exclusivo e administrado localmente para cada SSID. Se o utilizador tiver a opção "Endereço Privado" ativa, o endereço MAC pode rodar periodicamente, quebrando a análise e o caching baseado em MAC.
  • Mitigação: Aceitar que a monitorização baseada em MAC está obsoleta para análises a longo prazo. Utilize identificadores alternativos, como contas de utilizador ou endereços de e-mail capturados através do portal, para associar sessões. Para um acesso contínuo, considere a implementação do Passpoint (Hotspot 2.0), que utiliza perfis seguros em vez de endereços MAC para a autenticação.

3. Falhas na Resolução de DNS

  • Sintoma: A página do captive portal não carrega, apresentando o erro "DNS_PROBE_FINISHED_NO_INTERNET" ou semelhante no navegador do cliente.
  • Causa Raiz: Os clientes não autenticados não conseguem resolver o hostname do captive portal externo porque o WLC está a bloquear o tráfego DNS, ou o servidor DNS atribuído está inacessível a partir da VLAN de visitantes.
  • Mitigação: Verifique novamente a ACL de pré-autenticação para garantir que a porta UDP 53 está explicitamente permitida de e para os servidores DNS. Confirme se o escopo DHCP está a distribuir servidores DNS válidos e acessíveis (como os resolvedores públicos 8.8.8.8 ou 1.1.1.1) que estão autorizados na ACL.

ROI e Impacto no Negócio

A implementação de uma solução avançada de WiFi para visitantes representa um investimento estratégico que gera valor de negócio mensurável em vários vetores.

Métrica Rede Aberta Captive Portal Básico Captive Portal Otimizado (Purple)
Taxa de Captura de Dados 0% 15% - 25% 45% - 65%
Atrito do Utilizador Zero Elevado (Todas as visitas) Baixo (Caching de MAC ativo)
Postura de Segurança Vulnerável (Sem encriptação) Moderada (Payload em texto simples) Alta (OWE + Isolamento de Clientes)
Conformidade (GDPR/DPA) Não conforme Básica (Termos estáticos) Totalmente Conforme (Consentimento dinâmico)
ROI de Marketing Nenhum Baixo Alto (Campanhas direcionadas)

Captura de Dados vs Atrito

Uma rede aberta oferece zero captura de dados, deixando o espaço às escuras sobre quem está a utilizar os seus serviços. Um captive portal básico captura dados, mas introduz um elevado atrito se exigir autenticação em cada visita.

Um captive portal otimizado, utilizando a plataforma de inteligência da Purple, equilibra este compromisso. Ao implementar o armazenamento de endereços MAC em cache, o espaço captura dados demográficos e comportamentais ricos na primeira visita, enquanto as visitas subsequentes são inteiramente sem fricção. Esta abordagem mantém uma elevada satisfação do utilizador ao mesmo tempo que constrói uma base de dados de marketing limpa e em conformidade.

Conformidade Regulamentar

Operar uma rede de convidados aberta e não monitorizada expõe as organizações a riscos legais significativos. Em muitas jurisdições (incluindo o Reino Unido ao abrigo do Data Protection Act 2018 e a UE ao abrigo do GDPR), os espaços devem ser capazes de identificar os utilizadores ou, pelo menos, demonstrar que tomaram medidas razoáveis para evitar atividades ilegais (como a violação de direitos de autor ou o acesso a conteúdos ilegais) nas suas redes.

Um captive portal empresarial mitiga este risco ao:

  • Apresentar Termos de Serviço e Políticas de Privacidade legalmente vinculativos.
  • Capturar consentimento explícito e granular para comunicações de marketing.
  • Registar dados de sessão (atribuição de IP, endereço MAC e carimbos de data/hora) para cumprir pedidos das autoridades de aplicação da lei (por exemplo, RIPA no Reino Unido).

Definições Principais

Captive Network Assistant (CNA)

Um browser web em sandbox ao nível do sistema que é iniciado automaticamente em dispositivos móveis e portáteis quando uma redireção de captive portal é detetada numa rede sem fios.

Compreender as limitações do CNA é crítico porque estes browsers não suportam cookies ou armazenamento persistente, o que afeta a forma como os formulários de início de sessão devem ser concebidos.

Walled Garden

Uma Lista de Controlo de Acesso (ACL) de pré-autenticação que define os endereços IP específicos, sub-redes ou nomes de domínio que um dispositivo de convidado pode aceder antes de iniciar sessão no captive portal.

Essencial para permitir o acesso a DNS, DHCP, recursos do portal e gateways de pagamento sem conceder acesso total à internet.

RADIUS CoA (Change of Authorization)

Uma extensão ao protocolo RADIUS (RFC 3576) que permite que os atributos de uma sessão ativa sejam modificados dinamicamente sem exigir que o cliente se desligue e se volte a associar.

Utilizado pelo captive portal para sinalizar ao WLC que conceda acesso total à internet a um cliente imediatamente após uma autenticação bem-sucedida.

Opportunistic Wireless Encryption (OWE)

Uma norma da Wi-Fi Alliance (RFC 8110) que fornece encriptação individual para ligações sem fios em redes abertas sem exigir uma palavra-passe partilhada ou início de sessão do utilizador.

Protege os utilizadores convidados de escuta sem fios passiva (sniffing), mantendo a facilidade de acesso associada a redes abertas.

MAC Randomisation

Uma funcionalidade de privacidade implementada em sistemas operativos modernos que roda o endereço MAC físico do dispositivo, gerando um MAC virtual exclusivo para diferentes SSIDs.

Desafia as análises tradicionais de guest WiFi e o caching de MAC a longo prazo, exigindo que as plataformas modernas utilizem identificadores alternativos, como e-mail ou contas de utilizador.

Passpoint (Hotspot 2.0)

Um programa de certificação da Wi-Fi Alliance que permite que dispositivos móveis descubram e se liguem automaticamente e de forma segura a redes WiFi utilizando perfis ou credenciais pré-provisionados.

Representa o futuro do guest WiFi sem fricção, eliminando totalmente os captive portals e mantendo a segurança WPA3 de nível empresarial.

DNS Redirection

Uma técnica em que um dispositivo de rede intercepta consultas DNS de clientes não autenticados e as resolve para o endereço IP do servidor do Captive Portal, forçando o navegador a redirecionar.

Frequentemente utilizado como alternativa ou complemento à redireção HTTP para acionar browsers CNA em dispositivos modernos.

Isolamento de Clientes

Uma definição de segurança em pontos de acesso sem fios que impede os clientes sem fios associados ao mesmo SSID de comunicarem diretamente entre si.

Um requisito de segurança não negociável para redes de convidados para evitar ataques peer-to-peer e a propagação de malware.

Exemplos Práticos

Um estádio multiusos de prestígio com capacidade para 60.000 pessoas necessita de uma solução de WiFi de convidados. O diretor de operações pretende recolher dados de marketing alinhados com os patrocinadores, mas está altamente preocupado com o congestionamento da rede e com a fricção no início de sessão durante o intervalo de 15 minutos, onde até 20.000 utilizadores simultâneos podem tentar ligar-se.

Para resolver este cenário de alta densidade, implementamos uma arquitetura híbrida que combina um captive portal leve com um caching de MAC agressivo e uma limitação de largura de banda rigorosa.

  1. Configuração de SSID: Implemente um único SSID designado por 'Stadium_Guest'. Configure a rede como Aberta com OWE (Opportunistic Wireless Encryption) ativado para proteger as transmissões sem fios sem necessitar de uma chave pré-partilhada.
  2. Otimização de Walled Garden: Minimize a ACL de pré-autenticação para incluir apenas os intervalos de IP essenciais do portal Purple e da aplicação local de bilheteira do estádio. Isto reduz a sobrecarga de resolução de DNS nos controladores locais.
  3. Design do Captive Portal: A página do portal é alojada numa CDN de elevado desempenho (Cloudflare) com todas as imagens comprimidas para menos de 50KB. O formulário de início de sessão está limitado a um único campo: 'Endereço de Email' com uma caixa de seleção opcional para aceitação de comunicações de marketing. O início de sessão social (Facebook, Google) está desativado para este evento para evitar que a latência das API externas abrande o processo de integração.
  4. Política de Sessão e Caching de MAC: Defina o tempo limite da sessão para 6 horas (cobrindo a duração do evento). Configure um TTL de caching de MAC de 7 dias. Quando um adepto se autentica uma vez, o seu MAC é armazenado em cache. Se perder temporariamente a ligação devido a roaming ou alta densidade, é autenticado silenciosamente através de bypass de MAC por RADIUS aquando da nova associação, ignorando completamente o portal.
  5. Atribuição de Largura de Banda: Aplique um contrato de largura de banda dinâmico através do WLC: 3 Mbps de download e 1 Mbps de upload por utilizador. Isto é suficiente para publicações em redes sociais e mensagens, mas impede que o streaming de vídeo sature o backhaul de 10 Gbps.
Comentário do Examinador: Esta solução equilibra com sucesso a UX e a estabilidade operacional. Ao desativar os inícios de sessão social durante eventos de alta densidade, eliminamos a dependência de API de terceiros que frequentemente limitam a taxa ou falham sob uma carga repentina. O caching de MAC de 7 dias garante que os adeptos que assistem a eventos em fins de semana consecutivos experimentem zero fricção, enquanto o tempo de concessão de DHCP curto de 2 horas garante que os endereços IP sejam reciclados de forma eficiente.

Uma cadeia de retalho nacional com 450 lojas pretende transitar de uma rede aberta não encriptada para um sistema seguro de WiFi de convidados. Necessitam de uma solução que rastreie o tempo de permanência dos clientes e as visitas repetidas em todos os locais, que cumpra o GDPR e que ofereça uma experiência integrada para os utilizadores recorrentes da aplicação de fidelização.

Implementamos uma arquitetura de guest WiFi centralizada e gerida na cloud, integrada com a API da aplicação de fidelização do retalhista.

  1. Arquitetura de Rede: Implementar Cisco Meraki APs em todos os 450 locais, geridos através de um único painel. Configurar um SSID unificado: 'Retail_Guest'.
  2. Integração RADIUS: Configurar os APs Meraki para utilizar os servidores RADIUS na cloud da Purple para autenticação e contabilização. Ativar atualizações intermédias de contabilização RADIUS a cada 10 minutos para monitorizar o tempo de permanência com precisão.
  3. Captive Portal em Conformidade com o GDPR: Configurar um captive portal multilíngue que detete dinamicamente o idioma do browser do utilizador. O portal apresenta caixas de seleção de consentimento claras e desmarcadas para marketing, separadas da aceitação dos Termos de Serviço. Os estados de consentimento são sincronizados em tempo real com o CRM do retalhista através de webhooks.
  4. Integração de Aplicação Baseada em API: Para utilizadores da aplicação de fidelização, implementamos um 'WiFi SDK' dentro da aplicação. Quando um cliente com a aplicação instalada entra numa loja, a aplicação deteta o SSID 'Retail_Guest' e autentica automaticamente o dispositivo utilizando um certificado digital pré-provisionado ou um token seguro via API, ignorando completamente o captive portal.
  5. Caching de MAC para Utilizadores Sem Aplicação: Para visitantes sem a aplicação, configurar uma política de caching de MAC de 30 dias. No primeiro registo através do portal, o seu MAC é colocado numa lista de permissões. Quando visitarem qualquer uma das 450 lojas no prazo de 30 dias, serão ligados automaticamente.
Comentário do Examinador: Esta implementação multi-site aproveita a integração de API para colmatar a lacuna entre os locais físicos e as aplicações digitais. Ao utilizar um WiFi SDK dentro da aplicação de fidelização, o retalhista ignora o captive portal para os seus clientes mais valiosos, proporcionando uma experiência ideal e sem fricção. O caching de MAC de 30 dias em todos os 450 locais garante a consistência da marca e a monitorização contínua de dados.

Perguntas de Prática

Q1. Um local de retalho relata que os utilizadores de WiFi de convidados em dispositivos iOS são desligados imediatamente após concluírem o início de sessão no Captive Portal. Os registos do WLC mostram uma autenticação bem-sucedida e um RADIUS CoA-ACK. Qual é a causa provável e como a resolve?

Dica: Considere como o Captive Network Assistant (CNA) do iOS determina se deve manter a ligação ativa ou fechar a janela.

Ver resposta modelo

A causa provável é que o navegador CNA do iOS não está a receber uma resposta HTTP 200 OK bem-sucedida do servidor de validação da Apple (captive.apple.com) imediatamente após a autenticação. Quando o utilizador conclui o início de sessão, o navegador CNA envia um pedido em segundo plano para este URL. Se a política pós-autenticação do WLC ainda bloquear ou redirecionar este pedido (talvez devido a um atraso de encaminhamento ou a uma ACL pós-auth mal configurada), o SO assume que a rede ainda está cativa mas com problemas, e desliga-se do SSID. Para resolver isto, verifique se o RADIUS CoA aplica instantaneamente uma política que permite o acesso sem restrições aos domínios de validação da Apple e garanta que não existem regras de firewall a montante a atrasar o tráfego para estes destinos.

Q2. Um arquiteto de rede pretende implementar OWE para WiFi de convidados, mas está preocupado com a compatibilidade de dispositivos antigos. Que estratégia de implementação deve utilizar para garantir que todos os convidados se conseguem ligar?

Dica: Consulte a especificação do Modo de Transição OWE definida pela Wi-Fi Alliance.

Ver resposta modelo

O arquiteto deve implementar o Modo de Transição OWE. Esta configuração requer a criação de dois SSID: um SSID aberto para dispositivos antigos e um SSID OWE oculto. O SSID aberto transmite um Elemento de Informação (IE) especial que anuncia a presença do SSID OWE seguro. Os dispositivos modernos que suportam OWE detetarão automaticamente este IE e farão a transição para o SSID OWE encriptado de forma transparente, enquanto os dispositivos antigos permanecerão ligados ao SSID aberto não encriptado. Isto garante 100% de compatibilidade, ao mesmo tempo que protege as ligações para dispositivos capazes.

Q3. Um gestor de TI num centro de conferências nota que o CPU do WLC sobe para 95% durante grandes eventos, quando milhares de utilizadores tentam ligar-se ao WiFi de convidados em simultâneo. Como pode a configuração do Captive Portal ser otimizada para mitigar isto?

Dica: Foque-se no mecanismo de redirecionamento e onde a carga criptográfica está a ser processada.

Ver resposta modelo

O pico de CPU é provavelmente causado pelo facto de o WLC estar a processar um elevado volume de redirecionamentos HTTPS locais, o que exige que o controlador execute handshakes SSL/TLS de uso intensivo de recursos para cada cliente não autenticado. Para mitigar isto: 1) Implemente a API de Captive Portal RFC 8910, que permite aos dispositivos modernos consultar o estado do Captive Portal via DHCP ou Router Advertisements, evitando a necessidade de interceção HTTP/HTTPS ativa. 2) Otimize a ACL pré-autenticação para permitir o acesso direto a domínios comuns de CDN e validação, reduzindo o número de pedidos interceptados. 3) Descarregue o processamento de redirecionamento utilizando o redirecionamento baseado em AP (comutação local) em vez de centralizar todo o processamento de autenticação web no WLC.