DrayTek Vigor Routers and Access Points Integration with Purple WiFi

Este guia fornece instruções técnicas passo a passo para integrar routers DrayTek Vigor e pontos de acesso VigorAP com a plataforma cloud da Purple. Abrange a configuração do Captive Portal DrayTek para Guest WiFi, autenticação 802.1X para Staff WiFi seguro, configuração de Walled Garden e configuração DrayTek Multiple PSK (PPSK) para segmentação de rede Multi-Tenant com atribuição dinâmica de VLAN. Concebido para instaladores de TI e administradores de rede de PMEs que implementam a Purple em ambientes de hotelaria, retalho e espaços multi-tenant.

📖 10 min de leitura📝 2,500 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Briefing de Integração da Purple. Hoje vamos analisar os routers DrayTek Vigor e os pontos de acesso VigorAP, e especificamente como integrá-los com a Purple WiFi. Este briefing destina-se a gestores de TI e arquitetos de rede que implementam redes de convidados, funcionários e multi-tenant em espaços de PME e de mercado médio.

Comecemos pelo contexto. O hardware DrayTek é incrivelmente popular no retalho, hotelaria e unidades multi-residenciais porque oferece capacidades robustas de encaminhamento, VPN e sem fios a um preço competitivo. Ao emparelhar um router DrayTek Vigor com a Purple, transforma uma ligação de internet padrão numa Rede Baseada em Identidade. A Purple tem mais de 80.000 espaços ativos e processa 440 milhões de inícios de sessão por ano. Nós fornecemos o Captive Portal, a análise e a camada de segurança. A DrayTek fornece a infraestrutura de borda fiável.

Vamos entrar na análise técnica detalhada. Como é que fazemos isto funcionar na prática? O núcleo da integração baseia-se na autenticação RADIUS e no redirecionamento externo do Captive Portal.

Primeiro, a configuração do WiFi de Convidados. Irá configurar o router DrayTek Vigor como um gateway de Hotspot Web Portal. Na interface do DrayOS, em Applications e RADIUS, adiciona o IP do servidor RADIUS da Purple e o segredo partilhado. Depois, em Hotspot Web Portal, define o Portal Method para External Server e cola o seu URL de acesso específico da Purple. O router DrayTek intercepta o tráfego de convidados, redireciona-o para a sobreposição de nuvem da Purple para autenticação e, em seguida, utiliza o RADIUS para conceder o acesso.

Um passo crítico aqui é o Walled Garden. Os convidados precisam de aceder aos servidores da Purple antes de serem autenticados. Deve configurar o separador Destination Domain no perfil de Hotspot da DrayTek para permitir o tráfego para os domínios de autenticação da Purple. Se falhar este passo, a página de splash simplesmente não irá carregar. Este é um dos erros mais comuns durante a implementação inicial.

E quanto ao WiFi de Funcionários? Para um acesso seguro dos funcionários, não utiliza um Captive Portal. Utiliza a autenticação 802.1X, que é a norma IEEE para controlo de acesso à rede baseado em portas. Nas definições de Wireless LAN Security da DrayTek, seleciona WPA2 barra 802.1X e aponta para o servidor RADIUS da Purple. Os dispositivos dos funcionários autenticam-se de forma transparente utilizando PEAP e MS-CHAPv2. Isto elimina completamente as palavras-passe partilhadas e permite-lhe revogar o acesso instantaneamente quando um funcionário sai. Não há necessidade de alterar uma palavra-passe em todo o espaço.

Vamos falar sobre ambientes Multi-Tenant. Pense em alojamentos de estudantes, espaços de coworking ou concessões de retalho. Precisa de segmentação de rede. A DrayTek lida com isto através de VLANs e Multiple PSK, também conhecido como PPSK ou Private Pre-Shared Key. Configura as VLANs no router DrayTek. Por exemplo, VLAN 10 para Convidados, VLAN 20 para Funcionários e VLAN 30 para Inquilinos. Utilizando a funcionalidade WPA2-PPSK da DrayTek nos VigorAPs, cada inquilino recebe uma frase de passe única. Quando se ligam, o ponto de acesso associa essa frase de passe ao seu endereço MAC e coloca-os na sua VLAN isolada. Isto significa que um inquilino de uma cafetaria no rés-do-chão de um hotel não consegue ver a rede interna do hotel, mesmo partilhando o mesmo ponto de acesso físico.

A atribuição dinâmica de VLAN leva isto mais longe. O servidor RADIUS da Purple pode retornar atributos RADIUS específicos quando um utilizador se autentica. Estes são os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O router DrayTek lê estes valores e atribui dinamicamente o cliente autenticado à VLAN correta. Isto é o Identity-Based Networking na prática: a rede adapta-se à identidade do utilizador, e não o contrário.

Passando para as Recomendações de Implementação e Erros Comuns.

Recomendação um: Utilize sempre um backhaul com fios para os seus VigorAPs. Os sistemas de distribuição sem fios, ou repetidores universais, não conseguem transmitir as etiquetas VLAN 802.1Q necessárias para uma segmentação de rede adequada. Se deseja uma rede de convidados isolada da sua LAN interna, precisa que essas etiquetas VLAN permaneam intactas, o que significa um cabo Ethernet físico de cada ponto de acesso de volta ao router DrayTek ou a um switch gerido.

Recomendação dois: Ative a Mobilidade Assistida por AP (AP-Assisted Mobility) nos VigorAPs. Esta funcionalidade desassocia de forma inteligente os clientes com sinal fraco, forçando-os a fazer roaming para um ponto de acesso mais próximo. Resolve o problema do "sticky client" que afeta muitas implementações em PMEs. Num ambiente de retalho, um cliente que caminha da frente para a parte de trás da loja deve transitar perfeitamente entre pontos de acesso. Sem a Mobilidade Assistida por AP, o seu dispositivo pode agarrar-se ao ponto de acesso frontal mesmo quando o sinal é fraco.

Recomendação três: Planeie o seu esquema de numeração de VLAN antes de começar. Alterar os IDs de VLAN após a implementação exige a reconfiguração do router, de todos os pontos de acesso e, potencialmente, de quaisquer switches geridos no caminho. Documente o seu esquema claramente.

O maior erro comum? Esquecer-se de reiniciar o router DrayTek após aplicar as configurações de RADIUS e Hotspot. O DrayOS requer um reinício para aplicar estas alterações específicas. Se ignorar este passo, passará horas a tentar resolver problemas numa configuração que está, na verdade, correta, mas que simplesmente ainda não está ativa. Isto está documentado no guia de suporte oficial da Purple para hardware DrayTek.

Vamos fazer uma sessão rápida de Perguntas e Respostas.

Pergunta: Posso utilizar o servidor RADIUS interno do router Vigor?
Resposta: Pode fazê-lo para autenticação local 802.1X, mas para a integração com a Purple, deve utilizar os servidores RADIUS externos da Purple. É isto que permite a gestão centralizada de políticas e as análises que a Purple fornece.

Pergunta: O DrayTek suporta o encaminhamento dinâmico de VLAN via RADIUS?
Resposta: Sim. O servidor RADIUS da Purple devolve os atributos Tunnel-Type e Tunnel-Private-Group-ID na autenticação. O router DrayTek lê estes atributos e atribui dinamicamente o cliente à VLAN correta.

Pergunta: O que acontece se o dispositivo iOS de um utilizador utilizar um endereço MAC privado com PPSK?
Resposta: A autenticação irá falhar. O perfil PPSK associa-se a um endereço MAC específico. Deve instruir os utilizadores a desativar o Endereço Wi-Fi Privado para a sua rede específica nas definições do iOS para garantir uma conectividade estável.

Pergunta: Quais são os modelos DrayTek suportados com a Purple?
Resposta: Os modelos atualmente suportados incluem as séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Consulte a documentação de suporte da Purple para obter a lista mais recente.

Para resumir. O DrayTek e a Purple juntos oferecem-lhe um controlo de rede de nível empresarial a preços de PME. Utiliza o Captive Portal de Hotspot para convidados, o 802.1X para funcionários e o PPSK com VLANs para inquilinos. Mapeie as suas VLANs cuidadosamente, configure os seus walled gardens e reinicie sempre após aplicar as definições de RADIUS. Utilize backhaul com fios para os seus pontos de acesso, ative a Mobilidade Assistida por AP e planeie a aleatorização de MAC em dispositivos iOS.

Obrigado por ouvir este briefing técnico. Configure o seu hardware e encontramo-nos na plataforma Purple.

Principais Conclusões

✓Os routers DrayTek Vigor utilizam a funcionalidade Hotspot Web Portal com o modo External Server para redirecionar o tráfego de convidados para a splash page alojada na cloud da Purple para recolha de dados em conformidade com o GDPR.
✓A Walled Garden (separador Dest Domain) deve listar todos os domínios de autenticação da Purple antes da implementação - as entradas em falta são a causa mais comum de falhas na splash page.
✓O WiFi dos funcionários deve utilizar a segurança WPA2/802.1X Enterprise, autenticando contra o servidor RADIUS da Purple, para eliminar palavras-passe partilhadas e permitir a revogação instantânea de acessos por utilizador.
✓Os ambientes multi-tenant utilizam DrayTek WPA2-PPSK nos VigorAPs para atribuir frases de acesso exclusivas por tenant, etiquetando dinamicamente o tráfego em VLANs isoladas no router Vigor.
✓Todos os VigorAPs devem ligar-se ao router através de Ethernet com fios - os modos de repetidor sem fios removem as etiquetas VLAN 802.1Q e quebram a segmentação da rede.
✓O DrayOS requer um reinício do router para aplicar quaisquer alterações às configurações do RADIUS ou do Hotspot Web Portal - este é um passo obrigatório, não opcional.
✓Ative a AP-Assisted Mobility nos VigorAPs para evitar o comportamento de clientes persistentes e garantir sessões estáveis de Captive Portal à medida que os utilizadores se deslocam pelo local.

Resumo executivo

Os routers DrayTek Vigor e os pontos de acesso VigorAP estão implementados em dezenas de milhares de locais de PME, retalho e hotelaria no Reino Unido e na Europa. Quando integrado com a sobreposição de nuvem da Purple, este hardware torna-se a base de uma Rede Baseada em Identidade - capturando dados primários, protegendo recursos internos e segmentando o tráfego de vários inquilinos, tudo a partir de uma única plataforma.

Este guia abrange quatro cenários de implementação: Guest WiFi com uma splash page personalizada e autenticação RADIUS, Staff WiFi seguro utilizando IEEE 802.1X Enterprise, configuração de Walled Garden para permitir tráfego de pré-autenticação e Multi-Tenant WiFi utilizando a funcionalidade WPA2-PPSK da DrayTek com atribuição dinâmica de VLAN. A Purple opera em mais de 80.000 locais ativos com 99,999% de tempo de atividade e possui as certificações ISO 27001, GDPR e Cyber Essentials - pelo que os requisitos de segurança e conformidade que o seu local enfrenta já estão integrados na plataforma.

Os modelos DrayTek suportados incluem as séries Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 e 3910. Todos os pontos de acesso VigorAP geridos através de Central AP Management (APM) são compatíveis com esta integração.

Análise técnica aprofundada

Como funciona a integração

A integração entre a DrayTek e a Purple baseia-se em dois mecanismos que funcionam em conjunto: redirecionamento de Captive Portal externo e autenticação RADIUS (Remote Authentication Dial-In User Service). A Purple atua como o fornecedor de identidade centralizado e motor de políticas. O router DrayTek Vigor atua como o Network Access Server (NAS), aplicando as decisões de acesso devolvidas pelos servidores RADIUS da Purple.

Quando um convidado se liga ao SSID de WiFi, o router DrayTek coloca o dispositivo num estado de pré-autenticação. Intervém no tráfego HTTP do dispositivo e redireciona-o para a splash page alojada na nuvem da Purple através da funcionalidade Hotspot Web Portal no DrayOS. O utilizador conclui o fluxo de início de sessão na plataforma da Purple - utilizando início de sessão social, e-mail, SMS ou um fornecedor de identidade gerido como o Microsoft Entra ID, Okta ou Google Workspace. O servidor RADIUS da Purple devolve então uma mensagem Access-Accept ao router DrayTek, que concede acesso à Internet e inicia a monitorização RADIUS na porta 1813.

Guest WiFi e o Captive Portal DrayTek

O DrayTek Hotspot Web Portal é o mecanismo central para a autenticação de convidados. No DrayOS, configura um Hotspot Profile que define o método do portal, o servidor de autenticação, os limites de sessão e a página de destino. Definir o Portal Method para External Server indica ao DrayOS para redirecionar clientes não autenticados para um URL externo - neste caso, o seu URL de acesso Purple - em vez de apresentar uma página alojada localmente.

A configuração de RADIUS no Hotspot Profile aponta para o IP do servidor RADIUS da Purple na porta 1812 para autenticação e na porta 1813 para contabilização (accounting). O segredo partilhado deve corresponder exatamente ao que é apresentado no painel de controlo do seu espaço Purple. Uma divergência neste ponto é a causa mais comum de falhas de autenticação.

A gestão de sessões é controlada pela definição Expired Time After Activation. Para a maioria das implementações em hotelaria e retalho, seis horas é um valor predefinido prático. Pode alinhar este valor com o tempo limite de sessão da Purple para garantir um comportamento consistente em ambos os sistemas.

Configuração do Walled Garden

Antes de um convidado se autenticar, o seu dispositivo não tem acesso à internet. No entanto, o dispositivo deve conseguir aceder aos servidores da Purple para carregar a splash page. O Walled Garden - configurado através do separador Dest Domain no DrayTek Hotspot Profile - define quais os domínios que estão acessíveis antes da autenticação.

Deve adicionar os domínios de autenticação da Purple a esta lista, um por índice. Se estiver a utilizar fornecedores de login social (como o Google ou o Facebook) ou um fornecedor de identidade gerido como o Microsoft Entra ID, os domínios destes também devem ser incluídos. A falha na configuração correta do Walled Garden é a razão mais comum pela qual um Captive Portal DrayTek não apresenta a splash page. A documentação de suporte da Purple fornece a lista atual de domínios necessários para cada método de login.

WiFi seguro para funcionários utilizando 802.1X

Para funcionários internos, um Captive Portal é a ferramenta errada. As palavras-passe WPA2 partilhadas são um risco de segurança: quando um funcionário sai, é necessário atualizar a palavra-passe em todos os dispositivos. A autenticação IEEE 802.1X Enterprise elimina este problema por completo.

No DrayOS, navegue até Wireless LAN > Security e selecione WPA2/802.1X para o SSID dos seus funcionários. Clique na ligação do Servidor RADIUS e introduza o IP do servidor da Purple, a porta e o segredo partilhado. Os dispositivos dos funcionários autenticam-se utilizando PEAP (Protected Extensible Authentication Protocol) com MS-CHAPv2 como método interno. Esta é a configuração necessária para dispositivos Windows, macOS, iOS e Android que se ligam a uma rede sem fios empresarial.

A Purple revoga o acesso ao nível da identidade. Quando um funcionário sai, desativa a sua conta no seu fornecedor de identidade (Microsoft Entra ID, Okta ou Google Workspace). O servidor RADIUS da Purple deixa imediatamente de aceitar pedidos de autenticação dessa conta. Não é necessária qualquer alteração de palavra-passe no espaço.

Para saber mais sobre a arquitetura de segurança sem fios empresarial, consulte o nosso Enterprise WiFi Security: A Complete Guide for 2026 .

Segmentação de rede Multi-Tenant com DrayTek Multiple PSKs

Os ambientes multi-tenant - hotéis com espaços de restauração ou retalho arrendados, espaços de coworking, alojamento de estudantes e empreendimentos build-to-rent - exigem um isolamento de rede rigoroso entre os inquilinos. Um cliente numa loja concessionada não deve conseguir aceder à rede interna do hotel, e dois inquilinos de retalho não devem conseguir ver o tráfego um do outro.

A DrayTek resolve este problema com duas funcionalidades complementares: etiquetagem VLAN e WPA2-PPSK (Private Pre-Shared Key).

A configuração de VLAN no router Vigor atribui cada inquilino a uma rede lógica separada. Aceda a LAN > VLAN, ative a Configuração de VLAN e atribua um ID de VLAN exclusivo a cada segmento de inquilino. Todas as portas LAN que ligam aos VigorAPs devem ser membros de todas as VLANs relevantes, operando eficazmente como portas trunk 802.1Q. A Tabela de Encaminhamento Inter-LAN em LAN > General Setup controla se o tráfego pode passar entre VLANs - para isolamento de inquilinos, esta opção deve estar desativada.

O WPA2-PPSK no VigorAP atribui uma frase-passe exclusiva a cada inquilino. O ponto de acesso associa esta frase-passe ao endereço MAC do dispositivo. Quando um dispositivo se liga, o AP identifica a frase-passe utilizada e etiqueta o tráfego com o ID de VLAN correspondente. Isto permite que um único SSID sirva várias redes de inquilinos isoladas em simultâneo, reduzindo a sobrecarga sem fios e simplificando a experiência do utilizador final.

Atribuição dinâmica de VLAN via RADIUS

Para implementações onde a atribuição de VLAN deve ser orientada pela identidade do utilizador e não por uma frase-passe estática, o servidor RADIUS da Purple suporta o direcionamento dinâmico de VLAN. Quando um utilizador se autentica, a Purple devolve três atributos RADIUS na mensagem Access-Accept:

Atributo RADIUS	Valor
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	ID de VLAN (ex. "20")

O router DrayTek lê estes atributos e atribui o cliente autenticado à VLAN especificada, independentemente do SSID ao qual se ligou. Isto é Redes Baseadas em Identidade (Identity-Based Networking): o segmento de rede é determinado por quem é o utilizador, e não pela palavra-passe que introduziu.

Guia de implementação

Lista de verificação pré-implementação

Antes de começar, confirme o seguinte:

Item	Requisito
Firmware DrayTek	Versão estável mais recente do DrayOS
Local Purple	Criado e ativo no painel da Purple
Credenciais RADIUS	URL de acesso, IP do servidor RADIUS, segredo partilhado, identificador NAS obtidos da Purple
Plano de VLAN	IDs de VLAN documentados para Guest, Staff e cada inquilino
Backhaul do VigorAP	Ethernet com fios confirmada para todos os pontos de acesso

Passo 1: Configurar o RADIUS no router DrayTek

Aceda a Applications > RADIUS/TACACS+ na interface web do DrayOS. No separador External RADIUS, ative o perfil e introduza o endereço IP do servidor RADIUS da Purple, a porta (1812) e o segredo partilhado. Clique em OK para guardar. O router requer um reinício para aplicar esta alteração - não salte este passo.

Passo 2: Criar o perfil do Captive Portal (Hotspot Web Portal)

Aceda a Hotspot Web Portal > Profile Setup e selecione um índice disponível. Configure o perfil da seguinte forma:

Definição	Valor
Ativar este perfil	Sim
Método de Portal	Servidor Externo
URL do Captive Portal	O seu URL de acesso Purple
URL de Redirecionamento	http://portal.draytek.com
Método de Autenticação	Servidor RADIUS Externo
Endereço IP do Servidor	IP do servidor RADIUS Purple
Porta de Destino	1812
Segredo Partilhado	O seu segredo partilhado Purple
Ativar Accounting	Sim
Porta de Accounting	1813
Formato do Endereço MAC	AA-BB-CC-DD-EE-FF

Clique em OK para guardar.

Passo 3: Configurar o Walled Garden

Clique em Save and Next para avançar para o separador Dest Domain. Adicione cada domínio Purple necessário, um por índice. Consulte a Lista Branca de Domínios do Walled Garden da Purple na documentação de suporte para obter a lista atual. Clique em Save and Next para continuar.

Passo 4: Configurar as definições de sessão e página de destino

No ecrã de configuração final, defina:

Definição	Valor
Tempo Expirado Após Ativação	0 dias, 6 horas, 0 min (ou a sua duração preferida)
Redirecionamento HTTPS	Não
Deteção de Captive Portal	Sim
Página de Destino Após Autenticação	O seu URL de redirecionamento Purple
Interfaces Aplicadas	Selecione o(s) SSID(s) de WiFi de Convidados

Clique em Finish para guardar. Reinicie o router antes de testar.

Passo 5: Configurar VLANs para segmentação de rede

Navegue até LAN > VLAN e ative a Configuração de VLAN. Crie uma entrada de VLAN para cada segmento de rede. Atribua todas as portas LAN que se ligam aos VigorAPs como membros de todas as VLANs relevantes (configuração de trunk). Navegue até LAN > General Setup e utilize a Tabela de Encaminhamento Inter-LAN para bloquear o acesso entre VLANs onde for necessário.

Passo 6: Configurar 802.1X para WiFi de Funcionários

Navegue até Wireless LAN > Security e selecione o SSID de Funcionários. Defina o modo de segurança para WPA2/802.1X. Clique na ligação RADIUS Server e introduza o IP do servidor da Purple, a porta 1812 e o segredo partilhado. Guarde a configuração.

Passo 7: Configurar PPSK para isolamento multi-tenant

Em cada VigorAP, navegue até Wireless LAN > Security Settings e selecione WPA2PPSK. Clique no botão PPSK para adicionar entradas. Para cada tenant, crie uma entrada PPSK com o endereço MAC do dispositivo do tenant e uma frase de acesso exclusiva. Certifique-se de que a frase de acesso está associada à VLAN correta na configuração do seu router. Note que os perfis PPSK para 2.4GHz e 5GHz são geridos separadamente nos VigorAPs.

Melhores práticas

As seguintes recomendações refletem a experiência de implementação da Purple em mais de 80.000 locais, incluindo ambientes de hotelaria , retalho , saúde e transportes .

Utilize backhaul com fios para todos os VigorAPs. Os Sistemas de Distribuição Sem Fios (WDS) e os modos de repetidor universal não conseguem passar etiquetas VLAN 802.1Q. Se necessitar de segmentação de rede - e em qualquer local multi-tenant ou de utilização mista necessita - cada ponto de acesso deve ligar-se ao router ou a um switch gerido via Ethernet.

Ative a Mobilidade Assistida por AP. Os DrayTek VigorAPs suportam Pré-Autenticação e PMK Caching para acelerar a reautenticação 802.1X quando um cliente faz roaming entre pontos de acesso. Ative a Mobilidade Assistida por AP para desassociar ativamente clientes com sinal fraco, forçando-os a ligarem-se ao AP mais próximo. Isto é particularmente importante em ambientes de retalho onde os clientes se movem continuamente pelo espaço.

Planeie o seu esquema de VLAN antes da implementação. Alterar os IDs de VLAN após a implementação exige a reconfiguração do router, de todos os pontos de acesso e de quaisquer switches geridos no caminho. Documente o seu esquema - VLAN 10 para Guest, VLAN 20 para Staff, VLAN 30+ para inquilinos - antes de tocar no hardware.

Alinhe os tempos de expiração de sessão entre a DrayTek e a Purple. Se o perfil de Hotspot da DrayTek expirar uma sessão após seis horas, mas a sessão da Purple estiver definida para 24 horas, os utilizadores serão redirecionados para a splash page a meio da sessão. Defina ambos com o mesmo valor.

Desative a randomização de MAC para implementações PPSK. Os dispositivos iOS e macOS utilizam Endereços WiFi Privados (MACs randomizados) por predefinição. Como o DrayTek PPSK vincula uma frase de acesso a um endereço MAC específico, a randomização causará falhas de autenticação. Instrua os utilizadores a desativar esta definição para a sua rede ou documente o processo claramente no seu fluxo de integração.

Utilize Band Steering nos VigorAPs. Ative o Band Steering para orientar os dispositivos compatíveis com banda dupla para a banda de 5GHz. Isto reduz o congestionamento na banda de 2.4GHz e melhora o rendimento de todos os dispositivos ligados.

Para uma visão mais ampla da arquitetura de segurança sem fios empresarial, consulte o nosso guia sobre Enterprise WiFi Security: A Complete Guide for 2026 . Se estiver a implementar em vários locais com diferentes fornecedores de hardware, o nosso guia SonicWall TZ and SonicWave Integration with Purple WiFi abrange um padrão de integração comparável.

Resolução de problemas e mitigação de riscos

A splash page não carrega. A causa mais comum é um Walled Garden incompleto. Verifique se todos os domínios obrigatórios da Purple estão listados no separador Dest Domain. Confirme também se o pool de DHCP de convidados está ativo e se a resolução de DNS está a funcionar para clientes pré-autenticados. Teste ligando um dispositivo e tentando navegar para um URL HTTP conhecido.

A autenticação RADIUS falha. Verifique se existem erros de digitação no segredo partilhado - este diferencia maiúsculas de minúsculas. Confirme se o router DrayTek tem uma rota para a internet e não está a bloquear o tráfego UDP de saída nas portas 1812 e 1813. Verifique se reiniciou o router após aplicar a configuração RADIUS. Verifique o painel da Purple para consultar os registos de autenticação e identificar se o pedido está a chegar aos servidores da Purple.

Clientes atribuídos à VLAN errada. Verifique a configuração da porta trunk entre o router DrayTek e os VigorAPs. As portas do switch devem permitir as tags de VLAN específicas. Se estiver a utilizar um switch não gerido, confirme se este passa tramas etiquetadas 802.1Q sem remover as tags. Verifique o perfil PPSK para confirmar o mapeamento correto de palavra-passe para VLAN.

Clientes "sticky" que não fazem roaming. Se os dispositivos não estiverem a fazer roaming entre VigorAPs como esperado, verifique se a Mobilidade Assistida por AP está ativada e se o limiar de RSSI está definido adequadamente para o seu espaço. Confirme também se todos os VigorAPs estão a executar a mesma versão de firmware, pois as inconsistências podem afetar o comportamento de roaming.

Dispositivos iOS a falhar a autenticação PPSK. Confirme se o utilizador desativou a opção Private WiFi Address para a sua rede específica em Definições > WiFi > [Nome da Rede] > Private WiFi Address. O perfil PPSK deve conter o endereço MAC de hardware real do dispositivo.

ROI e impacto comercial

A implementação de hardware DrayTek com a Purple proporciona retornos mensuráveis em três áreas: eficiência operacional, captura de dados e conformidade.

Eficiência operacional. A autenticação 802.1X elimina a sobrecarga de gerir palavras-passe de WiFi partilhadas. Quando um membro da equipa sai, desativa a sua conta no Microsoft Entra ID, Okta ou Google Workspace. O servidor RADIUS da Purple deixa de aceitar as suas credenciais imediatamente. Não é necessária qualquer rotação de palavras-passe em todo o espaço. Para uma cadeia de retalho de 50 lojas, isto por si só elimina centenas de horas de sobrecarga de TI por ano.

Captura de dados e ROI de marketing. Cada convidado que se liga através do Captive Portal da Purple fornece uma identidade verificada - endereço de e-mail, número de telefone ou perfil social. Estes dados primários alimentam diretamente a plataforma de WiFi Analytics da Purple, onde pode monitorizar o tempo de permanência, as taxas de visitas repetidas e o envolvimento em campanhas. A Purple já recolheu 29 mil milhões de pontos de dados em toda a sua rede. Os espaços que utilizam o plano Engage da Purple reportam aumentos mensuráveis nas taxas de visitas repetidas através de comunicações direcionadas pós-visita.

Conformidade. A Purple possui certificação ISO 27001, está em conformidade com o GDPR e CCPA, e tem certificação Cyber Essentials. O Captive Portal impõe consentimentos de escolha consciente, garantindo que a recolha de dados cumpre os requisitos do GDPR. A segmentação de VLAN isola os ambientes de cartões de pagamento do tráfego de convidados, apoiando a conformidade com o PCI DSS. Para espaços de saúde, o isolamento da rede de doentes e visitantes cumpre as orientações do NHS e do ICO sobre o tratamento de dados.

Para uma visão detalhada de como a Purple impulsiona a tomada de decisões baseada em dados analíticos em ambientes de espaços físicos, consulte a nossa visão geral da plataforma WiFi Analytics .

Definições Principais

Captive Portal

Uma página web que intercepta o tráfego HTTP de um utilizador e exige uma interação - início de sessão, aceitação de termos ou envio de dados - antes de conceder acesso à rede.

O mecanismo que a Purple utiliza para recolher dados primários de convidados no DrayTek Hotspot Web Portal. Configurado através do método de portal External Server no DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece autenticação, autorização e contabilização (AAA) centralizadas para acesso à rede.

O router DrayTek envia pedidos de autenticação para o servidor RADIUS da Purple na porta UDP 1812 e dados de faturação/contabilização na porta 1813. O segredo partilhado deve coincidir em ambos os lados.

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas. Exige que os dispositivos se autentiquem num servidor RADIUS antes de lhes ser concedido acesso à rede.

Utilizado para o WiFi de Colaboradores em hardware DrayTek. Elimina palavras-passe partilhadas e permite a revogação de acessos por utilizador através do fornecedor de identidade.

VLAN

Virtual Local Area Network. Um segmento de rede lógico que isola o tráfego na Camada 2, mesmo quando os dispositivos partilham a mesma infraestrutura física.

Utilizado em routers DrayTek Vigor para separar o tráfego de Convidados, Colaboradores e Inquilinos. Requer portas trunk 802.1Q entre o router e os VigorAPs.

Walled Garden

Um conjunto de domínios ou intervalos de IP aos quais os utilizadores não autenticados podem aceder antes de concluírem o fluxo do Captive Portal.

Configurado no separador Dest Domain do DrayTek Hotspot Profile. Deve incluir os servidores de autenticação da Purple e quaisquer domínios de fornecedores de identidade utilizados para o início de sessão.

PPSK

Private Pre-Shared Key. Um método de segurança onde é atribuída uma frase de acesso exclusiva a cada utilizador ou dispositivo, em vez de partilharem uma única palavra-passe de rede.

Utilizado em DrayTek VigorAPs para atribuir dispositivos multi-inquilino a VLANs específicas. A frase de acesso está vinculada ao endereço MAC do dispositivo.

AP-Assisted Mobility

Uma funcionalidade do DrayTek VigorAP que monitoriza a força do sinal do cliente e desassocia ativamente os clientes abaixo de um limite de RSSI definido, incentivando-os a fazer roaming para um ponto de acesso mais próximo.

Crítico para implementações de retalho e hotelaria onde os utilizadores se deslocam pelo espaço. Evita o comportamento de clientes persistentes (sticky clients) que causa quebras de sessão no Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Um método EAP 802.1X que encapsula a troca de autenticação num túnel TLS, protegendo as credenciais em trânsito.

O método EAP utilizado para o WiFi de Colaboradores em hardware DrayTek. Combinado com MS-CHAPv2 como o método de autenticação interna para dispositivos Windows, macOS, iOS e Android.

Dynamic VLAN assignment

Um mecanismo onde o servidor RADIUS devolve atributos de VLAN na mensagem Access-Accept, e o dispositivo de rede atribui automaticamente o cliente autenticado à VLAN especificada.

O servidor RADIUS da Purple devolve os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O router DrayTek aplica a atribuição de VLAN com base na identidade do utilizador.

Exemplos Práticos

Um hotel boutique de 150 quartos está a implementar um router DrayTek Vigor 2865 com seis pontos de acesso VigorAP 903. Necessitam de fornecer Guest WiFi de marca com captura de dados, Staff WiFi seguro para 40 funcionários e uma rede isolada para um restaurante arrendado no rés-do-chão. O gestor de TI do hotel nunca configurou o 802.1X anteriormente.

O gestor de TI cria três VLANs no Vigor 2865: VLAN 10 para convidados (192.168.10.0/24), VLAN 20 para funcionários (192.168.20.0/24) e VLAN 30 para o restaurante (192.168.30.0/24). O encaminhamento inter-LAN é desativado entre todos os três segmentos. Todos os seis equipamentos VigorAP 903 estão ligados via Ethernet e são geridos através do Central AP Management no router. São transmitidos três SSIDs: 'Hotel Guest' (VLAN 10, Captive Portal apontando para a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X apontando para o RADIUS da Purple) e 'Restaurant' (VLAN 30, WPA2-PPSK com uma frase-passe específica para os dispositivos POS do restaurante). A entrada PPSK do restaurante associa os endereços MAC dos POS à VLAN 30. O gestor de TI regista o inquilino Microsoft Entra ID do hotel na Purple, permitindo que os funcionários se autentiquem com as suas credenciais de empresa existentes. O Walled Garden é configurado com todos os domínios Purple necessários. Após reiniciar o router, o gestor de TI testa cada SSID e confirma a atribuição correta de VLAN através da tabela de concessão DHCP do router.

Comentário do Examinador: Esta configuração separa corretamente três populações de utilizadores distintas, utilizando o método de autenticação adequado para cada uma. Os convidados utilizam um Captive Portal para captura de dados e consentimento em conformidade com o GDPR. Os funcionários utilizam 802.1X para acesso baseado em credenciais associadas ao seu fornecedor de identidade existente, eliminando a necessidade de uma palavra-passe separada. O restaurante utiliza PPSK para isolar os dispositivos POS sem exigir a configuração de cliente 802.1X em hardware sem ecrã. O backhaul com fios garante que as etiquetas VLAN são preservadas em todo o percurso.

Uma cadeia de retalho com 80 lojas está a registar taxas de conclusão de Captive Portal baixas. As análises mostram que 40% dos compradores que se ligam ao SSID de Guest WiFi nunca chegam à splash page. A cadeia utiliza routers DrayTek Vigor 2865 e pontos de acesso VigorAP 912C. O layout das lojas é amplo, com pontos de acesso em ambas as extremidades do piso.

O administrador de rede investiga duas causas de raiz. Primeiro, audita a configuração do Walled Garden em todos os 80 locais utilizando o VigorACS 3, a plataforma de gestão centralizada da DrayTek. Descobre que faltam dois dos domínios de autenticação Purple necessários em 23 locais, fazendo com que a splash page expire para os compradores nessas redes. Atualiza os perfis de Hotspot centralmente através do VigorACS 3. Segundo, ativa a Mobilidade Assistida por AP em todos os VigorAPs com um limiar de RSSI de -75 dBm. Isto força os dispositivos dos compradores a fazer roaming para o AP mais próximo à medida que se deslocam pela loja, evitando o problema de clientes persistentes (sticky clients) que estava a causar a queda das sessões do Captive Portal a meio da autenticação. Após ambas as alterações, a taxa de conclusão do portal sobe de 60% para 89% em todo o parque de lojas.

Comentário do Examinador: Este exemplo ilustra dois modos de falha distintos que se apresentam ambos como taxas de conclusão de portal baixas. A configuração incorreta do Walled Garden impede totalmente o carregamento da splash page. O comportamento de cliente persistente causa quebras de sessão a meio do fluxo. A gestão centralizada via VigorACS 3 é a abordagem correta para um parque de lojas multi-site - auditar manualmente 80 routers individualmente seria impraticável. A Mobilidade Assistida por AP é o mecanismo específico da DrayTek que resolve o problema de roaming; depender de decisões de roaming do lado do cliente não é fiável em ambientes de retalho.

Perguntas de Prática

Q1. Configurou o DrayTek Hotspot Web Portal e apontou-o para o URL de acesso da Purple. As definições de RADIUS estão corretas. No entanto, quando os clientes se ligam ao SSID do Guest WiFi, os seus browsers reportam um timeout de ligação e a splash page nunca carrega. Qual é a causa mais provável e qual é o primeiro passo para a diagnosticar?

Dica: Os clientes num estado de pré-autenticação têm um acesso à rede fortemente restrito. Considere que tráfego o router permite antes de a autenticação ser concluída.

Ver resposta modelo

A causa mais provável é uma configuração de Walled Garden incompleta ou em falta. O router DrayTek bloqueia todo o tráfego de clientes não autenticados, exceto para os domínios explicitamente listados no separador Dest Domain. Se os domínios de autenticação da Purple não estiverem listados, o browser do cliente não consegue aceder ao servidor da splash page. O primeiro passo de diagnóstico é navegar até ao Hotspot Profile, clicar no separador Dest Domain e verificar se todos os domínios exigidos pela Purple estão presentes. Cruze as informações com a Walled Garden Domain Whitelist da Purple na documentação de suporte. Uma verificação secundária consiste em confirmar se o DNS está a resolver corretamente para clientes pré-autenticados.

Q2. Um espaço de coworking tem 12 empresas membros que partilham um único DrayTek Vigor 2865 e quatro pontos de acesso VigorAP 912C. Cada empresa precisa de estar isolada das outras, mas o gestor do espaço quer transmitir apenas um SSID para evitar sobrecarregar a lista de WiFi nos dispositivos dos membros. Como projeta esta arquitetura?

Dica: Considere como a DrayTek lida com passphrases exclusivas num único SSID e que configuração adicional é necessária para impor o isolamento entre empresas.

Ver resposta modelo

Configure WPA2-PPSK nos VigorAPs com um único SSID. Crie 12 VLANs no Vigor 2865, uma por empresa. Para cada empresa, crie uma entrada PPSK que associe uma passphrase exclusiva aos endereços MAC dos dispositivos dessa empresa e os atribua à sua VLAN dedicada. Desative o encaminhamento inter-VLAN na Inter-LAN Routing Table para impedir o tráfego entre empresas. Os dispositivos de cada empresa ligam-se ao mesmo SSID utilizando a sua passphrase exclusiva, e o VigorAP coloca-os automaticamente na sua VLAN isolada. Para empresas com múltiplos dispositivos, cada dispositivo precisa da sua própria entrada PPSK com o seu endereço MAC específico e a passphrase partilhada da empresa.

Q3. Após uma atualização de firmware de rotina num DrayTek Vigor 2865, os membros da equipa reportam que os seus portáteis já não se conseguem ligar ao SSID do Staff WiFi. O SSID está visível, mas a autenticação falha. O Guest WiFi continua a funcionar normalmente. Quais são as três causas mais prováveis e em que ordem as deve investigar?

Dica: O Guest WiFi utiliza um mecanismo de autenticação diferente do Staff WiFi. Isole qual a camada da pilha 802.1X que falhou.

Ver resposta modelo

As três causas mais prováveis são: (1) A atualização de firmware repôs a configuração do servidor RADIUS para o SSID WPA2/802.1X - navegue até Wireless LAN > Security, confirme se o IP do servidor RADIUS e o segredo partilhado continuam corretos e reinicie se fizer alterações. (2) A atualização de firmware alterou o método EAP ou as definições de porta RADIUS - verifique se a porta 1812 continua configurada e se o router consegue aceder ao servidor RADIUS da Purple nessa porta. (3) A atualização de firmware introduziu uma alteração de certificado que está a fazer com que a validação EAP-TLS falhe nos dispositivos dos clientes - verifique o painel da Purple para encontrar registos de autenticação e ver se os pedidos estão a chegar ao servidor. Investigue nesta ordem: primeiro a configuração RADIUS (mais comum após uma atualização de firmware), depois a conectividade de rede ao servidor RADIUS e, por fim, problemas de certificado ou do método EAP.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.