Integração de Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Convidados

Este guia detalha a integração passo a passo do Cisco WLC e Catalyst 9800 Wireless com a Purple, abrangendo o redirecionamento do Captive Portal de Guest WiFi via Central Web Authentication, Secure Staff WiFi usando 802.1X EAP-TLS e segmentação Multi-Tenant usando Cisco Identity Pre-Shared Keys (iPSK) com atribuição dinâmica de VLAN. Foi escrito para arquitetos de redes empresariais e diretores de segurança de TI que implementam infraestrutura Cisco em hotelaria, retalho e grandes espaços públicos.

📖 9 min de leitura📝 2,116 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e hoje vamos abordar um cenário de implementação definitivo para arquitetos de redes empresariais: a integração de Cisco Wireless LAN Controllers e hardware Catalyst 9800 com a plataforma Purple WiFi. Se gere o departamento de TI de uma cadeia de hotéis, de uma rede de retalho ou de um grande espaço público, sabe que depender de Pre-Shared Keys básicas é um risco de segurança inaceitável. Hoje, vamos delinear a arquitetura passo a passo para segmentar a sua rede, proteger a sua equipa e transformar o seu WiFi de convidados num ativo orientado por dados.

Vamos contextualizar. Um ambiente sem fios empresarial deve gerir três perfis distintos: Convidados, Staff e dispositivos Headless ou de Inquilinos. Não pode tratá-los da mesma forma e não pode transmitir vinte SSIDs diferentes para os acomodar. A solução é uma infraestrutura de hardware unificada que tira partido de diferentes mecanismos de autenticação num único Cisco Catalyst 9800 Wireless LAN Controller.

Agora, vamos aprofundar a arquitetura técnica. O primeiro nível é o Guest WiFi. O objetivo aqui é o acesso com o mínimo de fricção combinado com a recolha de dados. Conseguimos isto utilizando um SSID aberto e Central Web Authentication, ou CWA. Quando um convidado se liga, o Cisco WLC aplica uma Access Control List de pré-autenticação. Este é o seu "walled garden". Bloqueia o acesso geral à internet, mas permite o tráfego para os domínios da Purple e serviços essenciais. Quando o convidado tenta navegar, o WLC intercetará o pedido HTTP e redireciona-o para a splash page do Captive Portal da Purple. Assim que se autenticam, talvez através de um formulário de registo, de um login social ou de um código único, a Purple atua como o servidor RADIUS. Envia uma mensagem de Change of Authorization, conhecida como CoA, para o WLC. Isto move o cliente para uma VLAN de convidados isolada e concede acesso à internet. Todo o fluxo é automatizado e cada login é registado na plataforma de analytics da Purple.

O segundo nível é o Staff WiFi. Para dispositivos corporativos, exigimos autenticação 802.1X. Especificamente, EAP-TLS, que significa Extensible Authentication Protocol Transport Layer Security. Este método utiliza certificados digitais instalados nos dispositivos corporativos através da sua plataforma de Mobile Device Management, quer seja o Microsoft Intune, Jamf ou outra solução. O WLC atua como o autenticador, transmitindo mensagens EAP para o servidor RADIUS. Como utilizamos certificados, não existem palavras-passe para roubar. Se um dispositivo for perdido ou um colaborador sair, revoga o certificado. O acesso é terminado instantaneamente, sem alterar uma palavra-passe global ou interromper o trabalho de qualquer outra pessoa. O EAP-TLS é o padrão de excelência para a segurança empresarial.

O terceiro nível é o WiFi Multi-Tenant ou IoT. Pense em lojistas de centros comerciais, membros de espaços de coworking ou sensores de edifícios inteligentes que não suportam 802.1X. Para isto, implementamos o Cisco Identity PSK, ou iPSK. Todos se ligam ao mesmo SSID, mas o servidor RADIUS atribui uma palavra-passe única e uma VLAN única a cada inquilino com base no seu endereço MAC. Quando o dispositivo de um inquilino se liga, o WLC envia um pedido de autenticação MAC para o servidor RADIUS. O servidor devolve a PSK específica para esse inquilino como um atributo Cisco AV-Pair, juntamente com três atributos RADIUS IETF padrão para atribuir dinamicamente o cliente à VLAN correta. Esses atributos são: Tunnel-Type, definido como VLAN; Tunnel-Medium-Type, definido como 802; e Tunnel-Private-Group-ID, definido como o ID da VLAN de destino. O WLC processa estes atributos e coloca o dispositivo no segmento de rede isolado correto. O iPSK oferece segmentação empresarial com a simplicidade do mercado de consumo.

Agora vamos discutir as recomendações de implementação e as armadilhas que vemos com mais frequência em implementações de produção.

O ponto de falha mais comum em implementações de convidados é a ACL do walled garden. Se os convidados se ligarem mas a página de splash não aparecer, verifique primeiro a sua configuração de DNS. Se a sua ACL de pré-autenticação bloquear a porta UDP 53, o cliente não conseguirá resolver nomes de domínio. O sistema operativo não irá acionar o mini-browser do Captive Portal e o convidado verá um erro de Sem Internet. Permita sempre explicitamente o tráfego DNS na sua ACL do walled garden. Este é o problema de suporte mais comum que encontramos.

A segunda armadilha reside nas implementações para colaboradores. Se optar por implementar PEAP-MSCHAPv2 em vez de EAP-TLS, por ainda não ter uma solução MDM para distribuir certificados, deve configurar os seus dispositivos clientes para validarem explicitamente o certificado do servidor RADIUS. Isto significa especificar a Autoridade de Certificação exata em que deve confiar e o nome do servidor esperado no perfil de WiFi. Se deixar isto para o utilizador final configurar manualmente, um atacante pode criar um ponto de acesso não autorizado, apresentar um certificado fraudulento e capturar credenciais corporativas. Este não é um ataque teórico. É uma ameaça real e bem documentada. Force a validação de certificados através de Política de Grupo para dispositivos Windows e através de perfis MDM para macOS e dispositivos móveis.

A terceira armadilha reside nas implementações de iPSK. Se um cliente se ligar mas receber a VLAN errada, ou falhar totalmente a ligação, a causa mais provável é que o ID da VLAN de destino especificado no atributo Tunnel-Private-Group-ID não exista no WLC. A VLAN deve ser criada e estar ativa no controlador antes de o servidor RADIUS poder direcionar os clientes para ela. Utilize o comando debug radius no WLC para verificar se os atributos estão a ser recebidos corretamente a partir do servidor RADIUS.

Agora vamos fazer uma sessão rápida de perguntas e respostas sobre as questões que ouvimos com mais frequência.

Pergunta um: Posso utilizar o MAC Authentication Bypass em vez do iPSK para dispositivos IoT?

Pode fazê-lo, mas não deve. Os endereços MAC são transmitidos em texto simples e são fáceis de falsificar. O MAC Authentication Bypass fornece identificação de dispositivos, não segurança. O iPSK fornece segurança criptográfica real para dispositivos sem ecrã/interface (headless). Se o dispositivo suportar qualquer forma de PSK, utilize iPSK.

Segunda pergunta: A Purple suporta controladores Cisco Catalyst 9800 IOS-XE?

Sim. A Purple suporta totalmente os controladores modernos Catalyst 9800 IOS-XE, bem como os WLCs AireOS legados. A integração de RADIUS e Change of Authorization está totalmente validada para ambas as plataformas.

Terceira pergunta: Como posso gerir a redundância do servidor RADIUS?

Configure sempre um servidor RADIUS primário e secundário nas suas listas de métodos AAA do WLC. O WLC fará automaticamente o failover para o servidor secundário se o primário não responder dentro do tempo limite configurado. A Purple fornece dois endereços IP de servidor RADIUS exatamente para este propósito. Nunca implemente um único servidor RADIUS num ambiente de produção.

Quarta pergunta: Quais são as portas RADIUS que a Purple utiliza?

A Purple utiliza a porta UDP 1812 para autenticação e a porta UDP 1813 para monitorização (accounting). Estas são as portas padrão registadas pela IANA para RADIUS, conforme definido no RFC 2865 e RFC 2866.

Para resumir as principais conclusões do briefing de hoje: Audite a sua arquitetura sem fios atual. Se estiver a utilizar palavras-passe partilhadas para os funcionários, planeie uma migração para 802.1X. Se estiver a transmitir múltiplos SSIDs para diferentes inquilinos, consolide-os utilizando Cisco iPSK. Se o seu WiFi de convidados é apenas uma rede aberta sem captura de dados, integre-o com a Purple para recolher dados primários (first-party data), impulsionar o retorno do investimento em marketing e garantir a conformidade com os requisitos do GDPR e PCI DSS.

Ao combinar a infraestrutura de classe empresarial da Cisco com a sobreposição de nuvem da Purple, oferece uma conectividade segura, segmentada e inteligente em todo o seu espaço. A Purple opera em mais de 80.000 espaços ativos e registou 440 milhões de inícios de sessão em 2024. A plataforma é agnóstica em termos de hardware, certificada pela norma ISO 27001 e concebida para a escala empresarial.

O seu próximo passo é claro. Reveja o guia de configuração passo a passo completo no website da Purple, obtenha as suas credenciais de servidor RADIUS no portal da Purple e inicie hoje mesmo a integração com o seu Cisco WLC. Para guias de configuração detalhados e documentação específica de hardware, visite o portal de suporte da Purple em support ponto purple ponto ai.

Obrigado por ouvir este Briefing Técnico da Purple. Até à próxima, mantenha-se seguro.

Principais Conclusões

✓Substitua as Pre-Shared Keys partilhadas e inseguras por uma arquitetura de três níveis: Guest WiFi via Captive Portal, Staff WiFi via 802.1X EAP-TLS e Tenant/IoT WiFi via Cisco iPSK.
✓Integre o Cisco WLC com a Purple utilizando Central Web Authentication (CWA) e RADIUS CoA para automatizar o registo de convidados e capturar dados primários em escala.
✓Configure ACLs de pré-autenticação precisas (walled garden) no WLC, permitindo sempre DNS (UDP 53), caso contrário o redirecionamento do Captive Portal irá falhar.
✓Implemente EAP-TLS para Staff WiFi para eliminar totalmente as palavras-passe e confiar em certificados digitais distribuídos por MDM para obter a postura de segurança mais forte disponível.
✓Utilize Cisco iPSK com atribuição dinâmica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar ambientes multi-tenant e IoT através de um único SSID.
✓Exija sempre a validação do certificado do servidor RADIUS nos dispositivos clientes ao utilizar PEAP-MSCHAPv2 para evitar o roubo de credenciais por pontos de acesso fraudulentos.
✓A Purple opera em mais de 80.000 locais, possui certificação ISO 27001 e GDPR, e fornece infraestrutura RADIUS redundante - configure os servidores primário e secundário no WLC.

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলোকে অবশ্যই একই সাথে বিভিন্ন ব্যবহারকারী গ্রুপকে পরিষেবা দিতে হবে: অতিথি যাদের নিরবচ্ছিন্ন ইন্টারনেট অ্যাক্সেস প্রয়োজন, স্টাফ যাদের কর্পোরেট রিসোর্সে নিরাপদ অ্যাক্সেস প্রয়োজন, এবং হেডলেস বা টেন্যান্ট ডিভাইস যেগুলোর একে অপরের থেকে আইসোলেশন প্রয়োজন। এই গ্রুপগুলোর যেকোনো একটির জন্য একটি একক শেয়ার্ড প্রি-শেয়ার্ড কি-এর (Pre-Shared Key) ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। একটি মাত্র আপোসকৃত শংসাপত্র পুরো সেগমেন্টটিকে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় যা নেটওয়ার্কের প্রতিটি ডিভাইসকে ব্যাহত করে।

এই নির্দেশিকাটি Cisco ওয়্যারলেস ল্যান কন্ট্রোলার (WLC) এবং Catalyst 9800 সিরিজের হার্ডওয়্যারের সাথে Purple-এর ক্লাউড ওভারলে-র ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। আমরা তিনটি ভিন্ন অথেন্টিকেশন স্তরের জন্য ধাপে ধাপে কনফিগারেশন প্রদান করি: Purple দ্বারা চালিত Captive Portal রিডাইরেকশন সহ একটি ওপেন Guest WiFi নেটওয়ার্ক, 802.1X EAP-TLS সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে একটি সিকিউর স্টাফ WiFi নেটওয়ার্ক, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco আইডেন্টিটি প্রি-শেয়ার্ড কি (iPSK) ব্যবহার করে একটি মাল্টি-টেন্যান্ট WiFi পরিবেশ। এই আর্কিটেকচারটি স্থাপন করার মাধ্যমে, আপনি ভিজিটর ট্রাফিক থেকে কর্পোরেট রিসোর্সগুলোকে আইসোলেট করতে পারেন, আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন এবং Purple-এর WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন রেকর্ড করেছে (Purple-এর অভ্যন্তরীণ ডেটা), যা এটিকে স্কেলে Cisco অবকাঠামোর জন্য একটি প্রমাণিত ক্লাউড ওভারলে করে তোলে।

টেকনিক্যাল ডিপ-ডাইভ: থ্রি-টিয়ার আর্কিটেকচার

Cisco হার্ডওয়্যারে একটি আধুনিক এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টকে অবশ্যই ভিন্ন ভিন্ন নিরাপত্তা এবং অ্যাক্সেসের প্রয়োজনীয়তা সহ বিভিন্ন ব্যবহারকারীর প্রোফাইল পূরণ করতে হবে। Cisco WLC এবং Purple-এর মধ্যে ইন্টিগ্রেশন একটি একক Catalyst 9800 কন্ট্রোলার থেকে পরিচালিত বিভিন্ন অথেন্টিকেশন মেকানিজমের মাধ্যমে এই প্রোফাইলগুলোকে পরিষেবা দেওয়ার জন্য একটি ইউনিফাইড হার্ডওয়্যার ফুটপ্রিন্ট সক্ষম করে।

টিয়ার ১: Guest WiFi - সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA)

Hospitality এবং Retail পরিবেশের ভিজিটরদের জন্য, উদ্দেশ্য হলো কম-ঝামেলাপূর্ণ অনবোর্ডিংয়ের সাথে কমপ্লায়েন্ট ডেটা ক্যাপচারের সমন্বয় করা। এটি সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA) এর সাথে যুক্ত একটি ওপেন SSID ব্যবহার করে অর্জন করা হয়। যখন একজন অতিথি সংযোগ করেন, তখন Cisco WLC একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে - যা ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত। এই ACL সাধারণ ইন্টারনেট ট্রাফিক ব্লক করে এবং Purple-এর Captive Portal ডোমেন, DNS এবং সোশ্যাল লগইন এন্ডপয়েন্টগুলোতে ট্রাফিকের অনুমতি দেয়। যখন গেস্ট ব্রাউজ করার চেষ্টা করেন, তখন WLC HTTP রিকোয়েস্টটিকে ইন্টারসেপ্ট করে এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট তাদের পছন্দের পদ্ধতির মাধ্যমে (সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, বা ভাউচার কোড) অথেন্টিকেট করেন। এরপর Purple RADIUS সার্ভার হিসেবে কাজ করে, WLC-তে একটি RADIUS Change of Authorization (CoA) মেসেজ ফেরত পাঠায়। CoA মেসেজটি WLC-কে নির্দেশ দেয় ক্লায়েন্টকে প্রি-অথেন্টিকেশন স্টেট থেকে একটি আইসোলেটেড গেস্ট VLAN-এ পোস্ট-অথেন্টিকেশন স্টেটে নিয়ে যেতে, যার ফলে ইন্টারনেট অ্যাক্সেস মঞ্জুর হয়। প্রতিটি লগইন Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে রেকর্ড করা হয়, যা GDPR এবং CCPA মেনে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে।

Tier 2: Staff WiFi - 802.1X EAP-TLS

কর্পোরেট ডিভাইসগুলোর জন্য সর্বোচ্চ স্তরের নিরাপত্তার প্রয়োজন। IEEE 802.1X পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে, এবং যখন এটি EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)-এর সাথে যুক্ত হয়, তখন এটি সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। Mobile Device Management (MDM) - Microsoft Intune, Jamf, বা সমমানের মাধ্যমে কর্পোরেট ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেট স্থাপন করা হয়। Cisco WLC অথেন্টিকেটর হিসেবে কাজ করে, যা সাপ্লিক্যান্ট (ডিভাইস) এবং RADIUS সার্ভারের মধ্যে EAP মেসেজ আদান-প্রদান করে। RADIUS সার্ভার সার্টিফিকেটটি যাচাই করে এবং ঐচ্ছিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট সহ একটি Access-Accept ফেরত পাঠায়।

যেহেতু অথেন্টিকেশন পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের ওপর নির্ভর করে, তাই চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। কোনো ডিভাইস হারিয়ে গেলে বা কোনো কর্মচারী চলে গেলে, আপনি সার্টিফিকেটটি রিভোক (বাতিল) করে দিতে পারেন। অন্য কোনো ব্যবহারকারীকে ব্যাহত না করেই তাৎক্ষণিকভাবে অ্যাক্সেস বন্ধ হয়ে যায়। WPA3 এবং Zero Trust সহ এন্টারপ্রাইজ সিকিউরিটি স্ট্যান্ডার্ডের বিস্তারিত আলোচনার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 গাইডটি দেখুন।

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

স্টুডেন্ট অ্যাকোমোডেশন, কোওয়ার্কিং স্পেস বা রিটেল মলের মতো পরিবেশে, ডজন ডজন SSID ব্রডকাস্ট না করেই বিভিন্ন টেন্যান্টের জন্য প্রাইভেট, সেগমেন্টেড নেটওয়ার্কের প্রয়োজন হয়। Cisco Identity PSK (iPSK) এই সমস্যার সমাধান করে। সমস্ত টেন্যান্ট একটি একক SSID-তে সংযুক্ত হন। WLC প্রতিটি সংযোগকারী ডিভাইসের জন্য RADIUS সার্ভারে একটি MAC অথেন্টিকেশন রিকোয়েস্ট পাঠায়। RADIUS সার্ভার সেই টেন্যান্টের জন্য নির্দিষ্ট PSK-টি একটি cisco-av-pair অ্যাট্রিবিউট হিসেবে ফেরত পাঠায়, সাথে ক্লায়েন্টকে ডাইনামিকভাবে সঠিক VLAN-এ অ্যাসাইন করার জন্য স্ট্যান্ডার্ড IETF RADIUS অ্যাট্রিবিউটও পাঠায়।

ডাইনামিক VLAN অ্যাসাইনমেন্ট পরিচালনাকারী তিনটি IETF RADIUS অ্যাট্রিবিউট হলো:

RADIUS Attribute	ID	Value
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Target VLAN ID (e.g., 31)

RFC 2868-এ সংজ্ঞায়িত নিয়ম অনুযায়ী Tunnel-Private-Group-ID একটি স্ট্রিং হিসেবে এনকোড করা হয়। অ্যাসাইনমেন্ট সফল হওয়ার জন্য VLAN ID-টি অবশ্যই WLC-তে থাকতে হবে।

Implementation guide: Cisco Catalyst 9800 WLC configuration

নিচের ধাপগুলোতে Guest WiFi রিডাইরেকশনের জন্য Purple-এর সাথে ইন্টিগ্রেট করতে IOS-XE চালিত একটি Cisco Catalyst 9800 WLC কনফিগার করার বিস্তারিত বিবরণ দেওয়া হয়েছে। লিগ্যাসি AireOS WLC ডেপ্লয়মেন্টের জন্য, সমমানের সেটিংস Purple সাপোর্ট পোর্টালে পাওয়া যাবে।

ধাপ ১: RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং কনফিগার করুন

গেস্ট অথেন্টিকেশন এবং সেশন অ্যাকাউন্টিং পরিচালনা করতে আপনাকে অবশ্যই WLC-কে Purple-এর RADIUS সার্ভারগুলোর দিকে নির্দেশ করতে হবে।

১. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add-এ যান। ২. প্রাইমারি Purple RADIUS সার্ভারের IP অ্যাড্রেস লিখুন, auth-port ১৮১২, acct-port ১৮১৩ সেট করুন এবং Purple পোর্টাল থেকে প্রাপ্ত শেয়ার্ড সিক্রেটটি লিখুন। ৩. Support for CoA সক্রিয় করুন - Captive Portal রিডাইরেকশনের জন্য এটি বাধ্যতামূলক। ৪. সেকেন্ডারি Purple RADIUS সার্ভারের জন্য এই প্রক্রিয়াটি পুনরাবৃত্তি করুন। ৫. RADIUS > Server Groups > + Add-এ যান এবং উভয় সার্ভার সম্বলিত একটি গ্রুপ তৈরি করুন। ৬. AAA Method List > Authorization > + Add-এ যান, Type সেট করুন network এবং এটিকে RADIUS সার্ভার গ্রুপের দিকে নির্দেশ করুন। ৭. AAA Method List > Accounting > + Add-এ যান, Type সেট করুন identity এবং এটিকে একই গ্রুপের দিকে নির্দেশ করুন।

IOS-XE-তে সমমানের CLI কমান্ডগুলো হলো:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

ধাপ ২: প্রি-অথেন্টিকেশন ACL (walled garden) নির্ধারণ করুন

প্রি-অথেন্টিকেশন ACL ব্যবহারকারী অথেন্টিকেট করার আগে Purple-এর স্প্ল্যাশ পেজ এবং প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। এটিই হলো walled garden।

১. Configuration > Security > ACL > + Add-এ যান। ২. Purple_Guest_Walled_Garden নামে একটি IPv4 Extended ACL তৈরি করুন। ৩. WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-তে ট্রাফিক deny করার জন্য নিয়ম যোগ করুন। ৪. আপনার DNS সার্ভারগুলোতে DNS (UDP port 53) permit করার জন্য নিয়ম যোগ করুন। ৫. Purple-এর walled garden IP রেঞ্জ এবং ডোমেনগুলোতে ট্রাফিক permit করার জন্য নিয়ম যোগ করুন (আপনার নির্দিষ্ট হার্ডওয়্যার টাইপের জন্য Purple সাপোর্ট পোর্টাল থেকে বর্তমান তালিকাটি সংগ্রহ করুন)। ৬. একটি চূড়ান্ত permit ip any any নিয়ম যোগ করুন - WLC অনুমোদিত ট্রাফিককে পোর্টাল প্রসেসিংয়ের জন্য CPU-তে রিডাইরেক্ট করবে।

৩. গেস্ট WLAN কনফিগার করুন

১. Configuration > Tags & Profiles > WLANs > + Add-এ যান। ২. আপনার পছন্দসই SSID দিয়ে Guest-WiFi নামে একটি WLAN তৈরি করুন। ৩. Security > Layer 2-এর অধীনে, সিকিউরিটি None (Open) সেট করুন। ৪. Security > Layer 3-এর অধীনে, Web Policy সক্রিয় করুন এবং Web Auth টাইপ External সেট করুন। ৫. রিডাইরেক্ট ফিল্ডে আপনার Purple অ্যাক্সেস URL লিখুন। ৬. Purple_Guest_Walled_Garden ACL-টি প্রয়োগ করুন। ৭. Security > AAA Servers-এর অধীনে, Authentication এবং Accounting উভয়ের জন্যই Purple RADIUS সার্ভারগুলো অ্যাসাইন করুন।### Step 4: Policy Profile কনফিগার করুন

Configuration > Tags & Profiles > Policy > + Add-এ নেভিগেট করুন।
Access Policies-এর অধীনে, VLAN 20 (অথবা আপনার নির্ধারিত গেস্ট VLAN) অ্যাসাইন করুন।
Advanced-এর অধীনে, Allow AAA Override এবং NAC State সক্রিয় করুন।
Purple অ্যাকাউন্টিং মেথড লিস্টটি অ্যাসাইন করুন।

CLI সমতুল্য:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: মাল্টি-টেন্যান্ট বা IoT ডেপ্লয়মেন্টের জন্য iPSK কনফিগার করুন

iPSK-এর জন্য, WLAN কনফিগারেশন গেস্ট সেটআপ থেকে ভিন্ন হয়। WLAN-টি MAC ফিল্টারিং সক্রিয় সহ WPA2-PSK ব্যবহার করে, এবং RADIUS সার্ভার থেকে প্রতি-ক্লায়েন্ট PSK এবং VLAN গ্রহণ করার জন্য Policy Profile-এ AAA Override সক্রিয় থাকে।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS সার্ভার (যা Purple বা আপনার RADIUS প্ল্যাটফর্মে কনফিগার করা হয়েছে) প্রতি টেন্যান্ট গ্রুপ অনুযায়ী নিম্নলিখিত অ্যাট্রিবিউটগুলো রিটার্ন করে:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

সর্বোত্তম অনুশীলন (Best practices)

প্রতিষ্ঠিত মানদণ্ড মেনে চললে আপনার ডেপ্লয়মেন্ট জুড়ে স্থায়িত্ব, নিরাপত্তা এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত হয়।

কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন। 802.1X ডেপ্লয় করার সময়, MDM-এর মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোকে এমনভাবে কনফিগার করুন যাতে তারা আপনার RADIUS সার্ভারের সার্টিফিকেট অথরিটিকে স্পষ্টভাবে বিশ্বাস করে এবং প্রত্যাশিত সার্ভারের নাম নির্দিষ্ট করে। এটি প্রয়োগ করতে ব্যর্থ হলে ক্লায়েন্টরা রোগ অ্যাক্সেস পয়েন্ট (rogue access point) আক্রমণের ঝুঁকিতে পড়ে, যেখানে আক্রমণকারী ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য একটি প্রতারণামূলক সার্টিফিকেট প্রদর্শন করে। এটি একটি কঠোর প্রয়োজনীয়তা, কোনো সাধারণ সুপারিশ নয়।

নেটওয়ার্ক লেয়ারে গেস্ট ট্রাফিক আইসোলেট করুন। গেস্ট WiFi অবশ্যই একটি ডেডিকেটেড VLAN-এ শেষ হতে হবে যা সমস্ত কর্পোরেট রিসোর্স থেকে ফায়ারওয়াল দ্বারা সুরক্ষিত। PCI DSS 4.0 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট পাবলিক নেটওয়ার্ক থেকে আইসোলেট করা আবশ্যক। VLAN 20-এ থাকা একজন গেস্টের যেন VLAN 10-এ থাকা কর্পোরেট নেটওয়ার্কে যাওয়ার কোনো রুট না থাকে।

IoT ডিভাইসের জন্য iPSK ব্যবহার করুন, MAC Authentication Bypass নয়। MAC অ্যাড্রেসগুলো প্লেইনটেক্সটে ব্রডকাস্ট হয় এবং এগুলো স্পুফ (spoof) করা অত্যন্ত সহজ। iPSK হেডলেস ডিভাইসগুলোর জন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। ডিসপ্লে এবং IoT ডিভাইসগুলো কীভাবে ওয়্যারলেস প্রোটোকলের সাথে ইন্টারঅ্যাক্ট করে সে সম্পর্কে নির্দেশনার জন্য, What Is Wireless Display: Protocols & Best Practices 2026 দেখুন।

ব্যবহারের স্পষ্ট শর্তাবলী (Terms of Use) নির্ধারণ করুন। অ্যাক্সেস দেওয়ার আগে আপনার Captive Portal-এ অবশ্যই একটি ব্যবহারের শর্তাবলীর চুক্তি প্রদর্শন করতে হবে। ডেটা সংগ্রহের জন্য এটি একটি GDPR প্রয়োজনীয়তা এবং নেটওয়ার্ক ব্যবহারের নীতিমালার জন্য একটি আইনি বাধ্যবাধকতা। অভ্যন্তরীণ স্টাফ নেটওয়ার্কের জন্য, Staff WiFi Terms and Conditions: Legal and Compliance Essentials দেখুন।RADIUS রিডানডেন্সি স্থাপন করুন। সর্বদা একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এই উদ্দেশ্যে দুটি সার্ভার IP অ্যাড্রেস প্রদান করে। একটি একক RADIUS সার্ভার ব্যর্থ হলে সমস্ত গেস্ট লগইন বন্ধ হয়ে যাবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সতর্কতার সাথে কনফিগার করার পরেও, ইন্টিগ্রেশন সংক্রান্ত সমস্যা দেখা দিতে পারে। সমস্যা আরও বড় হওয়ার আগে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো সুশৃঙ্খলভাবে সমাধান করুন।

সমস্যা: গেস্টরা কানেক্ট করছেন কিন্তু স্প্ল্যাশ পেজটি প্রদর্শিত হচ্ছে না।

এটি সবচেয়ে সাধারণ সমস্যা। প্রি-অথেনটিকেশন ACL মূলত DNS ব্লক করছে। DNS ছাড়া, ক্লায়েন্ট প্রাথমিক HTTP রিকোয়েস্ট সমাধান করতে পারে না এবং অপারেটিং সিস্টেম Captive Portal মিনি-ব্রাউজারটি ট্রিগার করবে না। আপনার ওয়াল্ড গার্ডেন ACL-এ DNS সার্ভারগুলোর জন্য UDP পোর্ট ৫৩ অনুমোদিত কিনা তা যাচাই করুন। WLC-তে, ক্লায়েন্টটি Run স্টেটের পরিবর্তে Webauth Pending স্টেটে আছে কিনা তা নিশ্চিত করতে show wireless client summary রান করুন।

সমস্যা: iPSK ক্লায়েন্টরা কানেক্ট হতে ব্যর্থ হচ্ছে বা ভুল VLAN-এ ল্যান্ড করছে।

Tunnel-Private-Group-ID-তে নির্দিষ্ট করা VLAN-টি WLC-তে নেই, অথবা cisco-av-pair অ্যাট্রিবিউটগুলো ত্রুটিপূর্ণ। র-RADIUS রেসপন্স পরীক্ষা করতে WLC-তে debug radius all রান করুন। VLAN ID-টি Configuration > Layer 2 > VLAN > VLAN List-এর অধীনে তৈরি করা হয়েছে কিনা তা যাচাই করুন।

সমস্যা: 802.1X স্টাফ ক্লায়েন্টরা মাঝে মাঝে অথেনটিকেট হতে ব্যর্থ হচ্ছে।

এটি সাধারণত একটি RADIUS সার্ভার টাইমআউট বা ক্লায়েন্টের সার্টিফিকেট ট্রাস্ট সংক্রান্ত সমস্যা। Access-Reject মেসেজগুলোর জন্য RADIUS সার্ভার লগ পরীক্ষা করুন। Windows ক্লায়েন্টগুলোতে, WiFi প্রোফাইলটি সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়েছে কিনা এবং সঠিক ট্রাস্টেড CA নির্দিষ্ট করে কিনা তা যাচাই করুন।

সমস্যা: Purple থেকে পাঠানো CoA, WLC দ্বারা প্রসেস হচ্ছে না।

CoA শেয়ার্ড সিক্রেট অবশ্যই WLC-তে কনফিগার করা RADIUS শেয়ার্ড সিক্রেটের সাথে মিলতে হবে। IOS-XE 17.4 এবং পরবর্তী সংস্করণগুলোতে, CoA কি (key) শেয়ার্ড সিক্রেট থেকে আলাদাভাবে কনফিগার করা হয়। উভয়ই Purple পোর্টালের মানগুলোর সাথে মিলছে কিনা তা যাচাই করুন।

ROI এবং ব্যবসায়িক প্রভাব

বেসিক PSK নেটওয়ার্ক থেকে Purple-এর সাথে একটি সুগঠিত, আইডেন্টিটি-ভিত্তিক আর্কিটেকচারে রূপান্তর Hospitality , Retail , Healthcare , এবং Transport ভার্টিক্যাল জুড়ে পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে।

প্রথমত, এই আর্কিটেকচারটি শেয়ার্ড পাসওয়ার্ড পরিচালনার অপারেশনাল খরচ দূর করে। যখন কর্মীরা চলে যান, আপনি তাদের সার্টিফিকেট রিভোক বা বাতিল করে দেন। আপনাকে একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় না এবং এস্টেটের প্রতিটি ডিভাইস আপডেট করতে হয় না। দ্বিতীয়ত, Purple-এর Captive Portal-এর সাথে ইন্টিগ্রেশন একটি IT কস্ট সেন্টারকে রেভিনিউ ড্রাইভারে পরিণত করে। Purple-এর প্ল্যাটফর্ম প্রতিটি লগইনে সম্মতিপূর্ণ ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা স্বয়ংক্রিয় মার্কেটিং ক্যাম্পেইন এবং ভিজিটর অ্যানালিটিক্স সক্ষম করে। Purple নেটওয়ার্ক জুড়ে সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্টের মাধ্যমে (Purple-এর অভ্যন্তরীণ ডেটা), প্ল্যাটফর্মটি ভিজিটরদের আচরণ, ডুয়েলিং টাইম এবং রিটার্ন রেট সম্পর্কে কার্যকরী ইনসাইট প্রদান করে।

ভিজিটরদের সন্তুষ্টি বোঝার জন্য যে সমস্ত ভেন্যু অপারেটররা সমীক্ষা বা সার্ভে পরিচালনা করছেন, তাদের জন্য Purple প্ল্যাটফর্মটি সরাসরি রিসার্চ ওয়ার্কফ্লো-এর সাথে একীভূত হয়। Captive Portal-এর মাধ্যমে বিতরণ করা কার্যকর ভেন্যু সমীক্ষাগুলো সাজানোর নির্দেশনার জন্য Design of a Survey: A Practical Guide for Venues দেখুন।

Cisco-এর এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যারকে Purple-এর ক্লাউড ওভারলে-র সাথে একীভূত করার মাধ্যমে, আপনি একটি সুরক্ষিত, স্কেলযোগ্য নেটওয়ার্ক লাভ করবেন যা ভেন্যুর বাণিজ্যিক লক্ষ্য অর্জনে সক্রিয়ভাবে অবদান রাখে। Purple হলো ISO 27001 সার্টিফাইড, GDPR এবং CCPA কমপ্লায়েন্ট, Cyber Essentials সার্টিফাইড এবং B Corp সার্টিফাইড - যা এন্টারপ্রাইজ প্রকিউরমেন্ট টিমের কমপ্লায়েন্স সংক্রান্ত প্রয়োজনীয়তাগুলো পূরণ করে।

Definições Principais

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para acesso à rede. Definido em RFC 2865 e RFC 2866.

As equipas de TI configuram o Cisco WLC para reencaminhar as credenciais do cliente para o servidor RADIUS, que as verifica num diretório e devolve uma resposta Access-Accept ou Access-Reject, juntamente com os atributos de política.

Captive Portal

Uma página web que um utilizador de uma rede de acesso público deve visualizar e com a qual deve interagir antes de lhe ser concedido acesso à Internet. Implementado através de redirecionamento HTTP pelo dispositivo de acesso à rede.

Utilizado em implementações de WiFi de convidados para recolher dados de visitantes, apresentar termos de utilização ou exibir conteúdos de marca antes de permitir o acesso à Internet. A Purple fornece a infraestrutura de Captive Portal alojada.

iPSK (Identity Pre-Shared Key)

Uma funcionalidade da Cisco que permite atribuir chaves pré-partilhadas (Pre-Shared Keys) exclusivas a diferentes utilizadores ou grupos de dispositivos no mesmo SSID, sendo a PSK fornecida por cliente através de um servidor RADIUS.

Essencial para dispositivos IoT ou ambientes multi-tenant onde o 802.1X não é viável, mas a segmentação de rede é necessária. Elimina a necessidade de transmitir múltiplos SSIDs.

IEEE 802.1X

Uma norma IEEE para Controlo de Acesso à Rede baseado em portas (PNAC). Fornece um mecanismo de autenticação que bloqueia todo o tráfego de dados de um dispositivo até que o servidor RADIUS confirme a autorização.

A base do WiFi corporativo para colaboradores, garantindo que apenas dispositivos corporativos autorizados com credenciais ou certificados válidos possam aceder aos recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação baseado em certificados que exige certificados digitais tanto no servidor RADIUS como no dispositivo cliente, eliminando totalmente as palavras-passe.

O método mais seguro para autenticar dispositivos corporativos. Os certificados são implementados via MDM. O acesso é revogado ao invalidar o certificado, e não ao alterar uma palavra-passe partilhada.

Walled garden

Um ambiente de rede limitado que controla o acesso do utilizador a conteúdos web antes de este estar totalmente autenticado. Implementado como uma ACL de pré-autenticação no WLC.

Configurado no Cisco WLC para permitir o acesso à página de entrada da Purple, DNS e fornecedores de login social antes de o convidado ter acesso total à Internet.

Atribuição dinâmica de VLAN

O processo de colocação automática de um dispositivo ligado numa Virtual LAN específica com base nos atributos de autorização RADIUS devolvidos no momento da autenticação.

Garante que colaboradores, convidados e dispositivos IoT sejam colocados em segmentos de rede isolados automaticamente após a ligação, sem necessidade de configuração manual por dispositivo.

Change of Authorization (CoA)

Uma extensão RADIUS (RFC 5176) que permite ao servidor RADIUS modificar dinamicamente os atributos de autorização de sessão de um cliente que já se encontra ligado.

Necessário para Captive Portals. Assim que o convidado se autentica na página de entrada da Purple, a Purple envia uma mensagem de CoA para o WLC para transitar o cliente do estado de walled garden de pré-autenticação para o acesso total à Internet.

Central Web Authentication (CWA)

Um método de autenticação da Cisco no qual o servidor RADIUS (em vez do WLC) aloja ou redireciona para o portal de autenticação web, permitindo soluções de Captive Portal alojadas na nuvem.

Utilizado para integrar o Cisco WLC com o Captive Portal alojado na nuvem da Purple, permitindo à Purple gerir a experiência de autenticação de convidados e a recolha de dados.

Exemplos Práticos

Um grande centro comercial necessita de fornecer WiFi seguro e privado a 50 lojistas utilizando um único Cisco Catalyst 9800 WLC e um único SSID de transmissão. Cada lojista deve ser isolado dos dispositivos de todos os outros lojistas. Como conseguem alcançar isto sem transmitir 50 SSIDs separados?

A equipa de TI implementa o Cisco iPSK. Configuram um único SSID chamado 'Mall-Tenant-WiFi' com WPA2-PSK e filtragem MAC ativada. No servidor RADIUS, criam 50 grupos de identidade de endpoint, um por lojista. A cada grupo é atribuída uma PSK exclusiva através do atributo cisco-av-pair psk= e um ID de VLAN exclusivo através do atributo IETF Tunnel-Private-Group-ID. Quando o dispositivo de ponto de venda de um lojista se liga utilizando a sua palavra-passe específica, o WLC envia um pedido de autenticação MAC para o servidor RADIUS. O servidor faz a correspondência do endereço MAC com o grupo do lojista e devolve a atribuição de PSK e VLAN. O WLC processa os atributos, valida a PSK e coloca o dispositivo na VLAN isolada do lojista. A definição peer-blocking allow-private-group garante que os dispositivos que partilham a mesma PSK podem comunicar entre si, enquanto os dispositivos com PSKs diferentes são impedidos de comunicar entre lojistas.

Comentário do Examinador: Esta abordagem escala de forma eficiente. A transmissão de 50 SSIDs separados causaria interferência severa de co-canal num ambiente denso e degradaria o desempenho para todos os utilizadores. Cada SSID adicional consome tempo de antena com tramas de gestão. O iPSK oferece a segurança e a segmentação de 50 redes separadas com a eficiência de RF de apenas uma. O compromisso é que o servidor RADIUS se torna uma dependência crítica - certifique-se de que está altamente disponível.

Uma propriedade Premier Inn de 300 quartos está a migrar de contas locais de convidados WLC para o Captive Portal na nuvem da Purple. Após a aplicação da configuração, os convidados relatam que se ligam ao SSID do WiFi, recebem um endereço IP, mas os seus dispositivos mostram 'Sem Internet' e a página de boas-vindas nunca aparece. Qual é o processo de diagnóstico?

Passo 1: Verifique o estado do cliente no WLC usando show wireless client detail <mac-address>. O cliente deve estar no estado 'Webauth Pending'. Se mostrar 'Run', a ACL de pré-autenticação não está aplicada corretamente. Passo 2: Verifique a ACL de pré-autenticação. A causa mais comum deste sintoma é que a ACL bloqueia o DNS (porta UDP 53). Sem DNS, o cliente não consegue resolver nenhum domínio e o mecanismo de deteção de Captive Portal do SO falha silenciosamente. Adicione uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do local. Passo 3: Verifique se os domínios de walled garden da Purple são permitidos na ACL. O cliente deve ser capaz de alcançar o URL da página de boas-vindas da Purple antes da autenticação. Passo 4: Confirme se o endereço IP virtual do WLC foi alterado do padrão 1.1.1.1 para um endereço não roteável, como 192.0.2.1, pois o endereço padrão pode entrar em conflito com o tráfego legítimo da Internet.

Comentário do Examinador: O sintoma de 'Sem Internet' sem redirecionamento é quase sempre um problema de DNS ou de ACL de walled garden. Os sistemas operativos modernos (iOS, Android, Windows, macOS) utilizam a deteção de Captive Portal fazendo pedidos HTTP para URLs conhecidos. Se o DNS falhar, estes pedidos não podem ser feitos e o SO nunca aciona o navegador do Captive Portal. Permita sempre o DNS na ACL de pré-autenticação - este é o erro de implementação mais comum que vemos.

Perguntas de Prática

Q1. Está a implementar Staff WiFi em 40 filiais de retalho utilizando Cisco Catalyst 9800 WLCs. Pretende utilizar 802.1X, mas a empresa ainda não tem uma solução de MDM para distribuir certificados pelos smartphones dos colaboradores. Qual é a abordagem viável mais segura e que mitigação de risco deve implementar?

Dica: Considere o equilíbrio entre a segurança das credenciais e a viabilidade de implementação quando os certificados ainda não são uma opção. Foque-se no risco específico que surge do método alternativo.

Ver resposta modelo

Implemente PEAP-MSCHAPv2 como medida provisória. Embora não seja tão seguro como o EAP-TLS, fornece autenticação de palavra-passe encriptada dentro de um túnel TLS. A mitigação de risco crítica é impor a validação do certificado do servidor em cada dispositivo cliente. Para portáteis Windows, implemente um Group Policy Object que especifique a Autoridade de Certificação fidedigna exata e o nome do servidor RADIUS esperado no perfil de WiFi. Para dispositivos iOS e Android, distribua um perfil de configuração de WiFi por e-mail ou através de uma ferramenta leve sem MDM que imponha a validação de certificados. Sem isto, um atacante pode implementar um rogue access point com um certificado fraudulento e capturar credenciais. Planeie a migração para EAP-TLS assim que o MDM estiver disponível.

Q2. Um diretor de TI de um estádio precisa de segmentar emissores de media, terminais de bilheteira e sensores IoT de AVAC em redes isoladas separadas. Os sensores IoT não suportam 802.1X. Todos os três grupos devem utilizar WiFi. Como deve ser configurada a WLC?

Dica: Procure uma solução que forneça credenciais exclusivas e atribuição de VLAN por grupo de dispositivos sem exigir suplicantes enterprise em dispositivos headless.

Ver resposta modelo

Implemente Cisco iPSK com um único SSID para as operações do recinto. Crie três grupos de identidade de endpoint no servidor RADIUS: Emissores, Bilheteira e AVAC. Atribua a cada grupo uma PSK exclusiva via cisco-av-pair e um VLAN ID exclusivo via Tunnel-Private-Group-ID. Configure a WLAN da WLC com WPA2-PSK, filtragem MAC ativada e AAA Override ativo. Os emissores recebem a PSK-A e a VLAN 31, a bilheteira recebe a PSK-B e a VLAN 32, e os sensores de AVAC recebem a PSK-C e a VLAN 33. Defina o peer-blocking para allow-private-group para que os dispositivos do mesmo grupo possam comunicar entre si (por exemplo, terminais de bilheteira com o seu servidor), enquanto a comunicação entre grupos é bloqueada. Isto evita o MAC Authentication Bypass, que seria facilmente falsificado.

Q3. Durante uma implementação de Guest WiFi num centro de conferências, os clientes ligam-se ao SSID e recebem um endereço IP, mas o redirecionamento do Captive Portal nunca ocorre. A ACL do walled garden permite o tráfego para todas as gamas de IP da Purple. Qual é o elemento de configuração em falta mais provável e como o verifica?

Dica: Pense nos protocolos necessários antes que um pedido HTTP possa ser feito pelo dispositivo cliente.

Ver resposta modelo

A causa mais provável é que a ACL de pré-autenticação bloqueia o tráfego DNS (porta UDP 53). Antes de um dispositivo cliente poder fazer o pedido HTTP que a WLC intercepta para acionar o redirecionamento, ele deve resolver o nome de domínio via DNS. Os mecanismos modernos de deteção de Captive Portal dos sistemas operativos (captive.apple.com da Apple, www.msftconnecttest.com da Microsoft, connectivitycheck.gstatic.com da Google) requerem todos resolução DNS. Para verificar: execute 'show wireless client detail ' na WLC e confirme se o cliente está no estado 'Webauth Pending'. Em seguida, reveja os contadores de correspondência da ACL para ver se o tráfego DNS está a ser negado. Corrija adicionando uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do recinto na ACL do walled garden.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Este guia de referência detalha a integração passo a passo de Cisco Catalyst 9800 WLCs com a Purple WiFi. Abrange a External Web Authentication para portais cativos de convidados, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK for segmentação de VLAN dinâmica multi-tenant.

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.