Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Bem-vindo ao Purple Technical Briefing. Sou o vosso anfitrião e hoje vamos abordar um padrão de implementação que surge em quase todos os projetos de WiFi empresarial que vemos em grande escala - a integração do CommScope Ruckus com a plataforma de nuvem da Purple. Quer esteja a gerir um grupo hoteleiro, uma rede de retalho, um estádio ou um centro de conferências, este episódio dar-lhe-á o manual de configuração de que necessita. Vamos primeiro contextualizar. A Ruckus - agora sob a alçada da CommScope - é uma das plataformas de WiFi empresarial dominantes a nível global. O SmartZone, em particular, é o controlador de eleição para ambientes de alta densidade. Hotéis como o Premier Inn, grandes cadeias de retalho, estádios e centros de convenções utilizam todos a infraestrutura Ruckus. Quando se está a implementar Guest WiFi a essa escala, precisa de mais do que um SSID aberto. Precisa de autenticação estruturada, captura de dados em conformidade com o GDPR e a capacidade de alimentar esses dados de convidados na sua pilha de marketing. É exatamente aí que entra a Purple. A Purple opera em mais de 80.000 locais ativos, processou 440 milhões de inícios de sessão apenas em 2024 e possui as certificações ISO 27001, GDPR e Cyber Essentials. A integração com a Ruckus é um dos nossos padrões de implementação mais maduros. Ora, a Ruckus tem três plataformas de controladores distintas que precisa de compreender antes de tocar num ecrã de configuração. O SmartZone - disponível como um equipamento físico SZ300 ou um vSZ virtual - é o controlador empresarial para implementações de grande escala e multi-site. Gere milhares de pontos de acesso em múltiplas zonas, oferece-lhe um controlo profundo de políticas e suporta toda a gama de métodos de autenticação que vamos abordar hoje. O ZoneDirector é o controlador local legado - ainda amplamente implementado, particularmente na hotelaria - e suporta o mesmo fluxo de Captive Portal baseado em WISPr, embora com um caminho de configuração ligeiramente diferente. E o Unleashed é o modelo sem controlador, onde um AP funciona como mestre para até 128 outros. É ideal para implementações mais pequenas e de site único - hotéis independentes, filiais de retalho, escritórios de PMEs. Muito bem. Vamos aos detalhes técnicos. Vou abordar três casos de utilização distintos: Guest WiFi com redirecionamento de Captive Portal, WiFi seguro para funcionários utilizando 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK. Começando pelo Guest WiFi. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. O WISPr - Wireless Internet Service Provider roaming - é um padrão da indústria que define como um controlador sem fios interceta tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado liga-se ao seu SSID. O seu dispositivo envia um pedido HTTP. O SmartZone interceta-o e emite um redirecionamento HTTP 302 para o URL do seu portal externo - neste caso, o Captive Portal da Purple. O convidado autentica-se - através de início de sessão social, e-mail, SMS ou um formulário personalizado - e depois o portal comunica de volta com o controlador através da Northbound Interface, ou NBI, para conceder o acesso. No SmartZone, a configuração tem quatro componentes principais. Primeiro, o perfil do servidor de autenticação RADIUS. Navegue até Services and Profiles e depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol para RADIUS. O IP do seu servidor primário e o segredo partilhado são fornecidos na consola de administração da Purple. Porta 1812 para autenticação. Configure sempre um servidor RADIUS de cópia de segurança para resiliência. Em seguida, crie o servidor de contabilidade em Services and Profiles, Accounting - porta 1813, mesmo segredo partilhado. Segundo, o perfil Hotspot WISPr. Vá a Services and Profiles, Hotspots and Portals e selecione o separador Hotspot WISPr. Crie um novo perfil. Defina o Login URL para External e introduza o URL de redirecionamento do seu portal. Defina a Start Page para redirecionar para o seu URL pós-autenticação - normalmente uma página de sucesso ou a página inicial do seu local. Agora, o Walled Garden. É aqui que os engenheiros se baralham mais frequentemente. O Walled Garden define quais os domínios e endereços IP que um convidado pode aceder antes de se autenticar. Precisa de incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos que o seu portal carregue e os endpoints padrão de deteção de Captive Portal do SO. No SmartZone, os caracteres universais são suportados utilizando o formato asterisco-ponto - pelo que asterisco-ponto-purple-ponto-ai abrange todos os subdomínios. Também precisa do domínio de deteção de Captive Portal da Apple - captive.apple.com - e dos endpoints de verificação de conectividade da Google para evitar que o mini-navegador CNA se comporte mal em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer. Por predefinição, o SmartZone encripta o endereço MAC e o endereço IP que passa para o portal externo no URL de redirecionamento. A Purple precisa de ver o endereço MAC real do cliente para realizar a gestão de sessões baseada em MAC. Deve desativar isto através da CLI. Aceda por SSH ao seu SmartZone, entre no modo de configuração e execute: no encrypt-mac-ip. É apenas um comando, mas é um bloqueio absoluto se o ignorar. A Northbound Interface é a outra peça essencial. Esta é a API que permite à Purple comunicar de volta com o SmartZone para conceder ou negar o acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um nome de utilizador e uma palavra-passe e forneça essas credenciais à Purple. A NBI corre na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que a sua firewall permite ligações de entrada a partir do intervalo de IPs da Purple para estas portas. Por fim, crie a sua WLAN. Defina o Authentication Type para Hotspot WISPr, selecione o perfil do seu portal e atribua os seus serviços de autenticação e contabilidade RADIUS. Defina o NAS ID para User-defined se a Purple exigir um valor específico, defina o Called Station ID para AP MAC e ative o Single Session ID. Para o Unleashed, a arquitetura é fundamentalmente diferente - é um modelo distribuído e sem controlador. A configuração reside em Admin and Services, Services, Hotspot Services. Os passos são amplamente semelhantes - criar um serviço de Hotspot, configurar o URL do seu portal externo, configurar o seu servidor de autenticação AAA, adicionar as suas entradas de Walled Garden - mas existem duas diferenças fundamentais. Não há requisito de Northbound Interface no Unleashed. E a encriptação do endereço MAC não é aplicada por predefinição, pelo que não precisa do comando CLI. O walled garden do Unleashed também aceita entradas ao nível do domínio em vez da sintaxe completa de caracteres universais. Passemos agora para o WiFi seguro para funcionários utilizando 802.1X. Este é um modelo de autenticação completamente diferente. Em vez de um Captive Portal, os dispositivos dos funcionários autenticam-se diretamente utilizando o Extensible Authentication Protocol - EAP. O método mais comum em ambientes empresariais é o PEAP-MSCHAPv2, onde o utilizador introduz as suas credenciais do Active Directory, ou o EAP-TLS, onde o dispositivo apresenta um certificado. O suplemento SecurePass da Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace para funcionar como o backend RADIUS para este fluxo. No SmartZone, crie uma nova WLAN e defina o Authentication Type para 802.1X EAP. Nas definições de AAA, aponte para o seu servidor RADIUS - o endpoint SecurePass da Purple. A principal diferença em relação ao fluxo de convidados é que também configura a atribuição dinâmica de VLAN aqui. Quando o servidor RADIUS da Purple devolve um Access-Accept, inclui três atributos padrão da IETF: Tunnel-Type definido como VLAN, valor 13; Tunnel-Medium-Type definido como IEEE-802, valor 6; e Tunnel-Private-Group-ID contendo a string do ID da VLAN - por exemplo, vinte para a VLAN de funcionários. O SmartZone lê estes atributos e etiqueta dinamicamente o tráfego do funcionário com a VLAN correta, independentemente do AP ao qual esteja ligado. Isto é o direcionamento dinâmico de VLAN, e é o que permite que um único SSID sirva múltiplas funções de utilizador com diferentes políticas de acesso à rede. Ative o AAA Override nas definições avançadas da WLAN para garantir que o SmartZone processa os atributos de VLAN devolvidos pelo RADIUS. Sem essa caixa de seleção ativada, a atribuição dinâmica não funcionará, mesmo que o servidor RADIUS esteja a enviar os atributos corretos. O terceiro caso de utilização é o isolamento multi-tenant utilizando o Ruckus Dynamic PSK - ou DPSK. Esta é uma tecnologia proprietária da Ruckus que atribui uma frase de passe WPA2 exclusiva a cada utilizador ou inquilino, tudo num único SSID. Ao contrário de uma PSK partilhada onde todos utilizam a mesma palavra-passe, o DPSK significa que o Inquilino A tem uma chave exclusiva de 62 caracteres, o Inquilino B tem uma diferente, e assim por diante. Cada chave está associada a uma VLAN específica, pelo que o tráfego do Inquilino A entra na VLAN 101 e o do Inquilino B entra na VLAN 102 - isolamento completo, sem risco de palavra-passe partilhada e revogação instantânea sem afetar outros inquilinos. Isto é particularmente poderoso em espaços de co-working, edifícios residenciais de arrendamento (build-to-rent), alojamentos de estudantes e parques de retalho multi-tenant. A Purple integra-se com o Ruckus DPSK através da API do SmartZone para automatizar o fornecimento de chaves - quando um novo inquilino é integrado na Purple, é gerado um DPSK, associado à VLAN correta e entregue ao inquilino automaticamente. Para configurar o DPSK no SmartZone: navegue até WLANs, adicione uma nova WLAN e, em Security, defina o método para Dynamic PSK. Defina o comprimento do DPSK para 62 caracteres para obter a máxima entropia. Em VLAN, ative a atribuição de VLAN por DPSK. Em seguida, utilize a API do SmartZone ou a interface de gestão de DPSK para criar chaves individuais por inquilino, cada uma mapeada para o seu próprio ID de VLAN. No Unleashed, a mesma funcionalidade está disponível em WiFi Networks, Advanced Options, Dynamic PSK. O DPSK3 é a variante WPA3, oferecendo uma encriptação mais forte baseada em SAE. Se a sua frota de APs suportar WPA3 - o que todos os APs atuais da série R da Ruckus fazem -, o DPSK3 é a escolha preferida para novas implementações. Deixem-me apresentar dois cenários de implementação do mundo real que ilustram como estes três casos de utilização se conjugam. Primeiro cenário: um hotel de 250 quartos. A propriedade utiliza o Ruckus SmartZone com pontos de acesso R750 em todo o espaço. Precisam de três tipos de rede: Guest WiFi para os hóspedes do hotel, WiFi seguro para funcionários da receção e de apoio (back-of-house), e uma rede IoT para controlos inteligentes de quartos e videovigilância (CCTV). A WLAN de convidados utiliza o fluxo de Captive Portal WISPr com a Purple. Os convidados ligam-se, são redirecionados para um portal personalizado da Purple, autenticam-se por e-mail ou início de sessão social e entram na VLAN 10. O portal recolhe dados primários - e-mail, consentimento de marketing, preferências de estadia - que alimentam diretamente o CRM do hotel. O painel de análise da Purple mostra ao hotel quais os pisos com as taxas de ligação mais elevadas, as horas de pico de utilização e as taxas de visitantes recorrentes. O Premier Inn implementou este modelo em toda a sua rede no Reino Unido e registou melhorias mensuráveis nas pontuações de satisfação dos hóspedes diretamente ligadas à experiência de WiFi. A WLAN de funcionários utiliza 802.1X com o SecurePass da Purple. Os funcionários autenticam-se com as suas credenciais do Active Directory através de PEAP-MSCHAPv2. Os funcionários da receção entram na VLAN 20 com acesso ao sistema de gestão de propriedade. Os funcionários de apoio entram na VLAN 21 com acesso apenas aos sistemas de RH e de escalas. A atribuição de VLAN é inteiramente gerida pelos atributos RADIUS que a Purple devolve - sem necessidade de configuração manual de portas. Quando um funcionário sai, a sua conta é desativada no Microsoft Entra ID e o acesso é revogado instantaneamente em todas as propriedades. A IoT WLAN utiliza uma PSK estática, isolada na VLAN 30, com o isolamento de clientes ativado. Termóstatos inteligentes, fechaduras de portas e câmaras de videovigilância residem aqui, completamente separados do tráfego de convidados e funcionários. Segundo cenário: um espaço de co-working com 15 empresa inquilinas. É aqui que o DPSK realmente mostra o seu valor. O operador utiliza o Ruckus Unleashed em três pisos. Cada empresa inquilina recebe um DPSK exclusivo associado à sua própria VLAN. Os 20 funcionários do Inquilino A utilizam todos a mesma frase de passe DPSK-A, mas essa frase de passe é exclusiva do Inquilino A e mapeia apenas para a VLAN 101. O Inquilino B utiliza o DPSK-B, mapeando para a VLAN 102. Os inquilinos estão completamente isolados uns dos outros na camada de rede. Quando um inquilino sai, o operador revoga o seu DPSK no SmartZone - ou através da interface de gestão da Purple - e já está. Nenhum outro inquilino é afetado, não são necessárias alterações de SSID, nem reposições de palavras-passe em todo o edifício. A camada de gestão multi-tenant da Purple situa-se acima disto, oferecendo ao operador do co-working um único painel para gerir a integração, a revogação de acessos e a análise de utilização de todos os 15 inquilinos. Agora, permitam-me abordar os modos de falha mais comuns e como evitá-los. Número um: má configuração do Walled Garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios referenciados pela página do seu portal estão no walled garden. As páginas de portais modernas carregam recursos de múltiplos domínios de CDN, scripts de análise e SDKs de início de sessão social. Se algum destes for bloqueado antes da autenticação, a página falhará ou será carregada com erros. Utilize as ferramentas de programador do seu navegador num dispositivo de teste ligado ao SSID de convidados para identificar quais os pedidos que estão a ser bloqueados. A Purple fornece uma lista documentada de walled garden para o SmartZone e Unleashed - utilize-a como base e adicione quaisquer domínios específicos do local. Número dois: o problema de conectividade da NBI. Se os convidados conseguem ver o portal e autenticar-se, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o callback da NBI a partir da Purple. Verifique se as portas 9080 e 9443 estão obreiras para tráfego de entrada para o IP de gestão do SmartZone a partir do intervalo de IPs da Purple. Verifique também se as credenciais da NBI que configurou coincidem com as que a Purple tem registadas. Número três: a falta do comando no encrypt-mac-ip. Este é o erro específico do SmartZone mais comum. Se a Purple estiver a receber pedidos de redirecionamento mas não conseguir associar a sessão a um endereço MAC, esta é quase de certeza a causa. É uma correção de uma linha na CLI, mas é fácil de esquecer porque não é apresentada na interface gráfica (GUI). Número quatro: AAA Override não ativado para VLAN dinâmica. Se os funcionários se estão a autenticar com sucesso no 802.1X mas entram todos na mesma VLAN predefinida em vez da VLAN específica da sua função, verifique se o AAA Override está ativado nas definições avançadas da WLAN. Este é o interruptor que indica ao SmartZone para respeitar os atributos de VLAN devolvidos pelo servidor RADIUS. Número cinco: a VLAN do DPSK não está a propagar-se. Se os utilizadores do DPSK se estão a autenticar mas não entram na VLAN correta, verifique se a atribuição de VLAN por DPSK está ativada nas definições da WLAN e se as portas do switch ligadas aos seus APs estão configuradas como portas trunk que transportam todas as VLANs do DPSK. Se a porta do switch for uma porta de acesso, a etiquetação de VLAN será removida. Agora, três perguntas rápidas que me fazem em todas as implementações Ruckus-Purple. Preciso de uma VLAN dedicada para o Guest WiFi? Sim, sempre. Isole o tráfego de convidados numa VLAN dedicada. Isto é tanto um requisito de segurança como uma consideração de conformidade com o PCI DSS se o seu local processar pagamentos com cartão na mesma rede. Ative o isolamento de clientes na WLAN de convidados para impedir que os dispositivos dos convidados comuniquem entre si. Posso utilizar a Purple com o Ruckus One - a plataforma gerida na nuvem - em vez do SmartZone? Sim. O caminho de configuração é diferente - encontra-se nas definições de WiFi Networks, Guest Access no portal do Ruckus One - mas os princípios de configuração do walled garden e do RADIUS são idênticos. A Purple suporta implementações multi-zona do SmartZone? Sim. A integração da Purple lida com ambientes SmartZone multi-zona, e pode delimitar as configurações do portal para zonas individuais para diferentes locais ou pisos dentro de uma única instância do SmartZone. Para resumir. A integração da Ruckus e da Purple abrange três casos de utilização distinção, cada um com o seu próprio modelo de configuração. O Guest WiFi utiliza o fluxo de Captive Portal WISPr - cinco pontos de configuração fundamentais: RADIUS nas portas 1812 e 1813 com um servidor de cópia de segurança, o perfil Hotspot WISPr com um URL de início de sessão externo, um walled garden corretamente delimitado utilizando entradas de caracteres universais, o comando CLI no encrypt-mac-ip e a Northbound Interface ativada com as credenciais corretas. O WiFi seguro para funcionários utiliza 802.1X EAP com direcionamento dinâmico de VLAN através de atributos RADIUS - o elemento crítico é o AAA Override nas definições avançadas da WLAN. O isolamento multi-tenant utiliza o Ruckus DPSK - chaves exclusivas por inquilino, cada uma associada a uma VLAN dedicada, com revogação instantânea e zero risco de palavra-passe partilhada. Acerte nestes três padrões e terá uma arquitetura de rede que escala desde um hotel independente de 50 quartos no Unleashed até um estádio de 5.000 lugares no SmartZone, com a mesma plataforma Purple por cima de tudo a fornecer análises unificadas, captura de dados em conformidade com o GDPR e gestão de acessos centralizada. Se está a planear uma implementação Ruckus com a Purple, a equipa de integração técnica pode orientá-lo através de uma lista de verificação pré-lançamento e validar a sua configuração antes do arranque. A plataforma Purple também fornece análises em tempo real sobre os tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - dando-lhe a visibilidade para detetar problemas antes que os seus convidados o façam. Obrigado por ouvir. Até à próxima.