Saltar para o conteúdo principal
Português

EnGenius Cloud Access Points Integration with Purple WiFi

Esta referência técnica detalha a integração passo a passo dos EnGenius Cloud Access Points e switches ECS com a plataforma de WiFi de convidados da Purple. Abrange o redirecionamento do Captive Portal de convidados através de uma página de splash externa, a configuração de Walled Garden, WiFi seguro para funcionários utilizando IEEE 802.1X e o isolamento de redes multi-tenant utilizando EnGenius MyPSK com atribuição dinâmica de VLAN. Os instaladores de TI e arquitetos de rede encontrarão sequências de configuração acionáveis, casos de estudo reais e uma estrutura de resolução de problemas para implementar a Purple em parques de hardware EnGenius.

📖 9 min de leitura📝 2,239 palavras🔧 2 exemplos práticos3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
ARGUMENTO DE PODCAST: Integração de Access Points EnGenius Cloud com o Purple WiFi Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário [INTRODUÇÃO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico da Purple. Hoje abordamos algo que surge regularmente em implementações empresariais: a integração de access points EnGenius Cloud com a plataforma de guest WiFi da Purple. Se gere um parque EnGenius, quer sejam access points da série ECW num hotel, numa cadeia de retalho ou num edifício de escritórios multi-inquilino, e deseja adicionar um Captive Portal personalizado com a sua marca, recolher dados de visitantes primários (first-party) e impor uma segmentação de rede adequada, este briefing é para si. Nos próximos dez minutos, quero orientá-lo pelas quatro principais áreas de configuração: redirecionamento do Captive Portal de convidados, configuração do walled garden, WiFi seguro para colaboradores utilizando o 802.1X, e isolamento multi-inquilino utilizando o EnGenius MyPSK com atribuição dinâmica de VLAN. No final, terá uma imagem clara do que configurar exatamente, em que ordem, e onde estão as armadilhas comuns. Vamos a isto. [MERGULHO TÉCNICO PROFUNDO - 5 MINUTOS] Comecemos pelo Captive Portal de convidados, o ponto de partida mais comum para qualquer operador de espaço. O EnGenius Cloud suporta splash pages externas nativamente. Isso significa que, em vez de alojar uma página de início de sessão básica no próprio access point, redireciona os convidados não autenticados para o portal alojado na cloud da Purple. É aqui que vivem a marca, a recolha de dados, a gestão de consentimento e as análises. Eis a sequência de configuração no EnGenius Cloud. Inicie sessão no seu painel EnGenius Cloud e navegue para Configure e, em seguida, SSID. Selecione o seu SSID de convidados. No separador Wireless, defina o tipo de segurança como Open ou WPA2 PSK, dependendo da sua preferência. O modo Open é o padrão para a maioria das implementações de guest WiFi. Em seguida, mude para o separador Captive Portal. Ative o Captive Portal e defina o Authentication Type para Custom RADIUS. Esta é a configuração fundamental. Indica ao access point para encaminhar os pedidos de autenticação para um servidor RADIUS externo, que neste caso é o endpoint RADIUS na cloud da Purple. Agora introduza os dados do RADIUS da Purple. O IP do servidor RADIUS principal é fornecido no seu painel da Purple em Hardware Configuration. A porta de autenticação é a UDP 1812. A porta de accounting é a UDP 1813. Introduza o segredo partilhado. A Purple gera-o para si, e este deve ter pelo menos 22 carateres misturando maiúsculas, minúsculas, números e símbolos. Defina o identificador NAS para coincidir com o nome do seu espaço ou um identificador exclusivo que tenha definido na Purple. De seguida, mude para o separador Splash Page. Selecione External Splash Page URL e insira o URL do portal Purple. Este é o URL que a Purple fornece para o seu local específico. Quando um visitante se liga ao SSID e abre um navegador, o ponto de acesso intercepta o pedido e redireciona-o para este URL, transmitindo parâmetros que incluem o endereço MAC do cliente, o endereço MAC do AP e o URL original que o visitante estava a tentar aceder. Agora o walled garden. Esta é a lista de domínios e endereços IP que os visitantes podem aceder antes de se autenticarem. Sem ela, o próprio portal Purple não consegue carregar, porque o navegador do visitante não consegue aceder aos servidores da Purple. No EnGenius Cloud, o walled garden encontra-se em Captive Portal, depois em Advanced Settings e depois em Walled Garden. Precisa de adicionar o domínio do portal Purple, os endpoints de CDN da Purple e os endpoints de teste de captive portal do sistema operativo. Para dispositivos Apple, é captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Se falhar algum destes, os visitantes nessas plataformas não verão o portal de todo. Se estiver a disponibilizar o login social através do Google ou Facebook, também precisa de incluir na lista de permissões os endpoints de OAuth para esses fornecedores. O Google exige, no mínimo, accounts.google.com, oauth2.googleapis.com e apis.google.com. O Facebook exige www.facebook.com, graph.facebook.com e connect.facebook.net. A documentação de suporte da Purple disponibiliza uma lista de walled garden atualizada para cada método de autenticação. Utilize-a como referência, pois estes domínios sofrem alterações. Agora vamos passar para o WiFi seguro para colaboradores utilizando o 802.1X. Este é um SSID separado. O tipo de segurança aqui é WPA2 Enterprise ou WPA3 Enterprise. No EnGenius Cloud, no separador SSID Wireless, selecione WPA2 Enterprise e, em seguida, escolha Custom RADIUS. Insira os mesmos detalhes do servidor RADIUS. O endpoint RADIUS da Purple, a porta 1812 e o segredo partilhado. A diferença em relação à configuração de visitantes é que aqui não existe captive portal. Os dispositivos dos colaboradores autenticam-se silenciosamente utilizando o protocolo IEEE 802.1X. O dispositivo apresenta um certificado ou nome de utilizador e palavra-passe ao servidor RADIUS, que os valida e devolve uma mensagem Access-Accept juntamente com os atributos de atribuição de VLAN. Os atributos RADIUS que geram a atribuição dinâmica de VLAN são o Tunnel-Type definido como VLAN, o Tunnel-Medium-Type definido como 802 e o Tunnel-Private-Group-ID definido com o número da VLAN. Assim, se a VLAN dos seus colaboradores for a VLAN 20, o servidor RADIUS devolve o Tunnel-Private-Group-ID com o valor de 20. O ponto de acesso EnGenius lê este atributo e coloca automaticamente o dispositivo autenticado na VLAN 20. Isto significa que pode ter um único SSID a servir várias funções de colaboradores, finanças, operações, TI, prestadores de serviços, cada um a entrar numa VLAN diferente com base na sua pertença a grupos de diretório, tudo sem qualquer configuração manual de VLAN por dispositivo. Para o método EAP, o PEAP-MSCHAPv2 é a escolha mais comum para ambientes que utilizam o Active Directory ou o Microsoft Entra ID. Requer um certificado no lado do servidor no servidor RADIUS e credenciais de utilizador/palavra-passe no cliente. O EAP-TLS é mais seguro. Utiliza certificados em ambos os lados. Contudo, requer uma infraestrutura PKI e uma implementação MDM para enviar os certificados para os dispositivos. Para a maioria dos operadores de espaços, o PEAP-MSCHAPv2 com validação estrita de certificados imposta via Política de Grupo (GPO) ou MDM é a escolha prática. Agora, a parte tecnicamente mais interessante: EnGenius MyPSK e isolamento multi-tenant. O MyPSK, também designado por PPSK ou Private Pre-Shared Key, resolve um problema específico em ambientes multi-tenant. Num empreendimento de arrendamento de longa duração, num escritório partilhado ou numa residência de estudantes, pretende-se que cada inquilino ou residente tenha a sua própria palavra-passe de WiFi exclusiva. Mas não se pretende criar um SSID separado para cada inquilino. Isso criaria congestionamento de radiofrequência e sobrecarga de gestão. O MyPSK permite criar até 500 chaves pré-partilhadas exclusivas por SSID. Cada chave está associada a uma VLAN específica. Quando um residente se liga utilizando a sua chave exclusiva, o ponto de acesso coloca-o automaticamente na sua VLAN designada. O tráfego do Inquilino A nunca toca no segmento de rede do Inquilino B. A encriptação é também feita por utilizador. Cada chave gera uma Pairwise Master Key exclusiva, pelo que um inquilino não consegue desencriptar o tráfego de rede sem fios de outro inquilino, mesmo partilhando o mesmo SSID. Na EnGenius Cloud, configura o MyPSK nas definições de segurança do SSID. Selecione WPA2 PSK ou WPA3 Personal e, em seguida, ative o MyPSK. Pode depois criar PSKs individualmente ou gerar automaticamente lotes de até 50 de cada vez. Para cada PSK, atribui um ID de VLAN e, opcionalmente, define uma data de expiração. Quando um contrato de arrendamento termina ou um estudante se licencia, basta expirar ou eliminar a sua PSK. O acesso é revogado imediatamente sem afetar nenhum outro inquilino. Para a integração do Purple num ambiente MyPSK, os inquilinos virados para os visitantes ainda podem ser direcionados através de um Captive Portal na sua VLAN. Os funcionários e os inquilinos operacionais contornam o portal por completo. A segmentação de VLAN garante que os dados analíticos do Purple sejam corretamente atribuídos por segmento de rede. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS] Permita-me que lhe apresente a sequência de implementação que recomendo para uma primeira implementação sem falhas. Comece pela arquitetura de VLAN antes de mexer na configuração de WiFi. Defina a VLAN 10 para visitantes, a VLAN 20 para funcionários, a VLAN 30 para inquilinos, ou qualquer que seja a numeração que se ajuste ao seu esquema existente. Configure primeiro estas VLANs nos seus switches ECS, com as atribuições adequadas de portas trunk e de acesso. Os pontos de acesso precisam de receber tráfego etiquetado (tagged) na porta de uplink para cada VLAN que planeia utilizar. Depois configure os SSIDs no EnGenius Cloud por esta ordem: primeiro o SSID de convidados, porque é o mais simples. Valide o redirecionamento do Captive Portal para a Purple antes de prosseguir. A seguir, configure o SSID dos colaboradores com 802.1X. Teste com um dispositivo conhecido antes de implementar em toda a infraestrutura. Por fim, configure o MyPSK se necessitar de isolamento multi-tenant. As armadilhas. Primeiro, o walled garden. Esta é a principal causa de falhas na implementação de Captive Portals. Se os convidados não conseguirem aceder ao portal, verifique primeiro o walled garden. Segundo, a divergência no segredo partilhado do RADIUS. O segredo partilhado deve ser idêntico tanto na configuração do EnGenius Cloud como na configuração do servidor RADIUS da Purple. Uma diferença de um único caráter faz com que todas as autenticações falhem silenciosamente. Terceiro, a configuração do trunk de VLAN no switch. Se a porta do switch ECS que liga ao ponto de acesso não estiver configurada como trunk transportando todas as VLANs necessárias, a atribuição dinâmica de VLAN irá falhar. Quarto, a validação de certificados nos clientes 802.1X. Se os dispositivos dos colaboradores não estiverem configurados para validar o certificado do servidor RADIUS, ficam vulneráveis a roubo de credenciais através de pontos de acesso falsos. Imponha isto através de Política de Grupo para Windows e perfis MDM para todos os restantes. [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Algumas perguntas que ouço regularmente sobre implementações da EnGenius e Purple. Posso usar o RADIUS do EnGenius Cloud em vez do RADIUS da Purple? Sim, para autenticação interna. Mas para WiFi de convidados com as análises e o portal da Purple, precisa de apontar para o endpoint RADIUS da Purple. Ambos podem coexistir em SSIDs diferentes. O MyPSK funciona com WPA3? Sim. A EnGenius suporta WPA3 e o modo misto WPA2/WPA3 com MyPSK, para que os dispositivos compatíveis com WPA3 obtenham autenticação SAE enquanto os dispositivos mais antigos recorrem ao WPA2 PSK, tudo utilizando a mesma chave por utilizador. A Purple suporta a contabilidade (accounting) RADIUS para dados de sessão? Sim. Ative o servidor de accounting na configuração RADIUS do EnGenius Cloud, apontando para o endpoint de accounting da Purple em UDP 1813. Isto envia a duração da sessão e o volume de dados para as análises da Purple. [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para resumir. Os pontos de acesso EnGenius Cloud integram-se de forma limpa com a plataforma de WiFi de convidados da Purple através de quatro camadas de configuração. O redirecionamento do Captive Portal de convidados utiliza RADIUS Personalizado e um URL de splash page externo a apontar para a Purple. A lista de permissões do walled garden garante que o portal carrega antes da autenticação. O WiFi dos colaboradores utiliza WPA2 Enterprise com 802.1X e atribuição dinâmica de VLAN através de atributos RADIUS. E o isolamento multi-tenant utiliza o EnGenius MyPSK para atribuir chaves únicas por utilizador vinculadas a VLANs específicas, com datas de expiração opcionais para acessos com limite de tempo. A Purple opera em 80.000 locais e processou 440 milhões de inícios de sessão apenas em 2024. A plataforma é certificada pela norma ISO 27001, em conformidade com o GDPR, e independente do hardware, razão exata pela qual funciona perfeitamente com a EnGenius a par de Cisco Meraki, HPE Aruba, Ruckus e o resto do ecossistema de hardware empresarial. Se está pronto para implementar, comece com o guia de configuração do walled garden na documentação de suporte da Purple e, em seguida, conclua a configuração do SSID no EnGenius Cloud. O guia passo a passo completo está disponível em purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

A dependência de uma chave pré-partilhada comum para o WiFi corporativo expõe os locais a riscos de segurança significativos e impede a recolha de dados primários (first-party data) valiosos. Este guia detalha a integração dos Pontos de Acesso EnGenius Cloud com a plataforma de Guest WiFi da Purple para fornecer redes sem fios seguras, segmentadas e mensuráveis em ambientes de hotelaria , retalho e multi-inquilino. Ao implementar a autenticação IEEE 802.1X para funcionários, atribuição dinâmica de VLAN através do EnGenius MyPSK para residentes e inquilinos, e um Captive Portal alojado na nuvem para convidados, as equipas de TI podem impor controlos de acesso rigorosos, transformando simultaneamente a infraestrutura sem fios num ativo de business intelligence.

A Purple processa 440 milhões de inícios de sessão anualmente em mais de 80.000 locais ativos (dados internos da Purple, 2024). A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e CCPA, e é agnóstica em termos de hardware - razão pela qual se integra perfeitamente com a EnGenius, a par da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Este guia abrange as quatro camadas de configuração necessárias para implementar a Purple no hardware EnGenius Cloud: redirecionamento do Captive Portal de convidados, configuração de Walled Garden, WiFi seguro para funcionários e isolamento de múltiplos inquilinos utilizando o EnGenius MyPSK.

Análise Técnica Detalhada

Visão Geral da Arquitetura

A integração entre a EnGenius Cloud e a Purple baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Quando um convidado se liga a um ponto de acesso EnGenius ECW num SSID com Captive Portal ativado, o AP intercepta o primeiro pedido HTTP e redireciona o browser para a página de splash alojada na nuvem da Purple. Este redirecionamento passa vários parâmetros para o portal - incluindo client_mac, ap_mac e userurl - que a Purple utiliza para monitorizar a sessão e devolver uma decisão de autenticação.

Para funcionários e dispositivos operacionais, a arquitetura muda do redirecionamento do Captive Portal para o controlo de acesso à rede baseado em porta IEEE 802.1X. O ponto de acesso EnGenius atua como o autenticador, encaminhando mensagens de Extensible Authentication Protocol (EAP) para o servidor RADIUS da Purple através da porta UDP 1812. Após uma autenticação bem-sucedida, o servidor RADIUS devolve uma mensagem Access-Accept contendo atributos de atribuição de VLAN, instruindo o AP a colocar o dispositivo no segmento de rede correto.

architecture_overview.png

Camada Tipo de SSID Método de Autenticação Atribuição de VLAN
Guest WiFi Aberto ou WPA2 PSK Captive Portal Purple via RADIUS Personalizado Estática (ex. VLAN 10)
WiFi de Funcionários WPA2/WPA3 Enterprise 802.1X (PEAP ou EAP-TLS) Dinâmica via atributos RADIUS
Multi-Tenant WPA2/WPA3 PSK com MyPSK PSK por utilizador Associação de VLAN por chave

Plataforma EnGenius Cloud

A EnGenius Cloud é uma plataforma de gestão de rede na nuvem que suporta os pontos de acesso da série ECW (incluindo os modelos WiFi 7 ECW220, ECW230 e ECW520) e os switches geridos da série ECS. A plataforma fornece um painel centralizado para a gestão de SSID, configuração RADIUS, etiquetagem de VLAN e definições de Captive Portal em todos os dispositivos de uma organização. A EnGenius Cloud suporta três tipos de autenticação de Captive Portal baseados em RADIUS: EnGenius Authentication (utilizando o Cloud RADIUS integrado), Custom RADIUS (apontando para um servidor externo como a Purple) e Voucher Service.

Para implementações empresariais, o Custom RADIUS é o tipo de autenticação correto para a integração com a Purple. Este modo instrui o ponto de acesso a encaminhar os pedidos de autenticação para o endpoint RADIUS da Purple, ativando o portal, as análises e as capacidades de recolha de dados da Purple.

EnGenius MyPSK e isolamento multi-tenant

Em ambientes como propriedades destinadas a arrendamento (build-to-rent), alojamento de estudantes, escritórios de serviços ou espaços de coworking, a transmissão de um SSID separado para cada inquilino degrada o desempenho da radiofrequência. Cada SSID adicional gera tramas de sinalização (beacon frames) que consomem tempo de antena e reduzem a capacidade disponível para o tráfego de dados. O EnGenius MyPSK (também designado por PPSK ou Private Pre-Shared Key) resolve este problema ao permitir até 500 PSKs exclusivas num único SSID.

Cada chave está associada a uma VLAN específica. Quando um residente se liga utilizando a sua chave exclusiva, o ponto de acesso coloca-o automaticamente no segmento de rede designado. A encriptação é feita por utilizador: cada chave gera uma Pairwise Master Key (PMK) única, pelo que um inquilino não consegue desencriptar o tráfego aéreo de outro inquilino, mesmo partilhando o mesmo SSID. Esta é uma vantagem de segurança fundamental face a uma única PSK partilhada, onde qualquer utilizador que conheça a palavra-passe pode desencriptar todo o tráfego da rede.

mypsk_vlan_infographic.png

As chaves MyPSK suportam datas de expiração, o que as torna ideais para cenários de acesso por tempo limitado: a chave de um estudante expira no final do ano letivo, a chave de um prestador de serviços expira quando o seu contrato termina e a chave de um participante numa conferência expira à meia-noite do último dia do evento.

Guia de implementação

Passo 1: Definir a arquitetura de VLAN

Antes de configurar qualquer SSID, defina a estrutura de VLAN nos seus switches ECS. Uma implementação típica utiliza três VLANs:

ID da VLAN Finalidade Política de Acesso
VLAN 10 WiFi de Convidados Apenas Internet, isolada da LAN empresarial
VLAN 20 WiFi de Funcionários Acesso total à LAN empresarial
VLAN 30 WiFi de Inquilinos/Residentes Segmentos isolados por inquilino
Configure a porta do switch ECS que liga a cada ponto de acesso ECW como uma porta trunk, permitindo as três VLANs. A VLAN nativa no trunk deve ser a VLAN de gestão. Se o trunk não estiver configurado corretamente, a atribuição dinâmica de VLAN falhará silenciosamente.

Passo 2: Configurar o Captive Portal de convidados (configuração do Captive Portal EnGenius)

Esta é a configuração principal para implementar a splash page da EnGenius com o Purple.

  1. Inicie sessão no seu painel EnGenius Cloud em cloud.engenius.ai .
  2. Navegue até Configure > SSID e selecione a sua rede de convidados (ex.: "VenueGuest").
  3. No separador Wireless, defina o Security Type como Open. Isto é o padrão para WiFi de convidados; os convidados são identificados e autenticados na camada do portal, não na camada de associação.
  4. Mude para o separador Captive Portal e ative o portal.
  5. Defina o Authentication Type como Custom RADIUS.
  6. Introduza os detalhes do servidor RADIUS do Purple:
Campo Valor
IP do Servidor RADIUS Fornecido no painel do Purple em Hardware Configuration
Porta de Autenticação UDP 1812
Porta de Accounting UDP 1813
Segredo Partilhado Cadeia de mais de 22 caracteres gerada pelo Purple
Identificador NAS Nome do seu espaço ou ID de espaço do Purple
  1. Mude para o separador Splash Page.
  2. Selecione External Splash Page URL.
  3. Introduza o URL do portal Purple para o seu espaço (formato: https://portal.purple.ai/[venue-id]).
  4. Clique em Apply.

Passo 3: Configurar o Walled Garden

O Walled Garden (lista branca de WiFi de convidados do EnGenius) deve ser configurado para permitir o acesso pré-autenticação aos domínios necessários para o carregamento do portal. Navegue até Captive Portal > Advanced Settings > Walled Garden e adicione as seguintes entradas:

Infraestrutura Purple:

  • *.purple.ai
  • *.purpleportal.net

Sondas de Captive Portal do SO (obrigatório):

  • captive.apple.com (iOS e macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Início de sessão social (se ativado):

  • Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
  • Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
  • Microsoft Entra ID: login.microsoftonline.com, login.live.com

Utilize sempre nomes de domínio em vez de endereços IP estáticos. Os fornecedores de início de sessão social utilizam intervalos de IP dinâmicos e encaminhamento anycast; uma lista branca de IP estático degradar-se-á com o tempo à medida que os endereços CDN mudam.

Passo 4: Configurar WiFi seguro para colaboradores (802.1X)

A configuração RADIUS da EnGenius para WiFi de colaboradores utiliza WPA2 Enterprise para fornecer autenticação baseada em certificados e sem palavra-passe.

  1. Crie um novo SSID (ex.: "VenueStaff").
  2. No separador Wireless, defina o Security Type como WPA2 Enterprise.
  3. Selecione Custom RADIUS e introduza o IP do servidor RADIUS, a porta 1812 e o segredo partilhado.
  4. Não é necessário nenhum Captive Portal. Os dispositivos dos colaboradores autenticam-se silenciosamente através de 802.1X.
  5. Configure o seu servidor RADIUS para devolver os seguintes atributos em Access-Accept:
Atributo RADIUS Valor
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (802)
Tunnel-Private-Group-ID 20 (ou o seu VLAN ID de equipa)

Para a seleção do método EAP: PEAP-MSCHAPv2 é a escolha prática para ambientes que utilizam o Microsoft Entra ID ou Active Directory. O EAP-TLS oferece uma segurança mais robusta ao eliminar totalmente as palavras-passe, mas requer uma Infraestrutura de Chaves Públicas e uma solução de MDM para implementar os certificados de cliente. Force a validação rigorosa dos certificados de servidor em todos os dispositivos cliente através de Política de Grupo (Windows) ou de perfis MDM (macOS, iOS, Android) para evitar o roubo de credenciais por parte de pontos de acesso falsos.

Passo 5: Configurar o EnGenius MyPSK para isolamento multi-tenant

Configuração do EnGenius MyPSK para um ambiente multi-tenant:

  1. Crie um novo SSID (ex. "VenueResident").
  2. No separador Wireless, defina o Tipo de Segurança para WPA2 PSK ou WPA3 Personal.
  3. Ative o MyPSK (Private PSK).
  4. Clique em Add PSK para criar chaves individuais, ou utilize o Auto-Generate para criar lotes de até 50 de cada vez.
  5. Para cada PSK, atribua um VLAN ID e, opcionalmente, defina uma Start Date e uma Expiration Date.
  6. Distribua cada PSK exclusivo ao inquilino ou residente correspondente.

Quando o contrato de arrendamento de um inquilino terminar, elimine ou expire o respetivo PSK. O acesso é revogado imediatamente sem afetar nenhum outro inquilino na rede.

Melhores práticas

Force a validação rigorosa de certificados em clientes 802.1X. O PEAP-MSCHAPv2 só é seguro se os clientes estiverem configurados para validar o certificado do servidor RADIUS em relação a uma CA fidedigna. Sem isso, um ponto de acesso falso pode apresentar um certificado fraudulento e recolher credenciais. Implemente as definições de validação através de Objetos de Política de Grupo para Windows e perfis de configuração MDM para todas as outras plataformas. Isto é inegociável para qualquer implementação num ambiente regulado.

Utilize a resolução de DNS dinâmico na Walled Garden. A Google, a Apple e a Meta utilizam gamas de IP dinâmicas para os seus endpoints OAuth e CDN. Configure as entradas da Walled Garden como nomes de domínio e garanta que o seu controlador EnGenius Cloud os resolve de forma dinâmica. Uma whitelist de IPs estáticos causará falhas de autenticação à medida que os IPs da CDN rodam.

Segmente dispositivos IoT com o MAC Authentication Bypass. Os dispositivos headless, tais como impressoras, ecrãs e sensores IoT, não conseguem autenticar-se através de 802.1X. Utilize o MAC Authentication Bypass (MAB) para os identificar e colocar numa VLAN restrita com regras de firewall que impeçam o movimento lateral. O MAB não é um controlo de segurança - é um mecanismo de identificação de dispositivos. Trate os dispositivos autenticados por MAB como não fidedignos.

Implemente a monitorização (accounting) RADIUS. Ative o servidor de accounting na configuração RADIUS do EnGenius Cloud, apontando para o endpoint de accounting da Purple no UDP 1813. Isto envia a duração da sessão, o volume de dados e a informação do dispositivo para a plataforma WiFi Analytics da Purple, fornecendo os dados de utilização do espaço que justificam o investimento na infraestrutura. Reveja o Walled Garden trimestralmente. Os fornecedores de OAuth e as CDNs alteram as suas estruturas de domínio. A Apple atualizou os seus domínios de Sign In duas vezes em 2023. Inclua uma revisão trimestral do Walled Garden no seu calendário operacional. Para obter mais orientações sobre práticas de segurança de WiFi empresarial, consulte o nosso Guia de Segurança de WiFi Empresarial .

Resolução de problemas e mitigação de riscos

Sintoma: O Captive Portal não carrega em dispositivos iOS. Causa: captive.apple.com não está no Walled Garden. O iOS utiliza este endpoint para detetar a presença de um Captive Portal e acionar o Captive Network Assistant. Sem ele, o dispositivo reporta "Sem Ligação à Internet" e nunca abre o navegador do portal. Resolução: Adicione captive.apple.com ao Walled Garden no EnGenius Cloud em Captive Portal > Advanced Settings.

Sintoma: A autenticação falha silenciosamente - o RADIUS não devolve resposta. Causa: Incompatibilidade de segredo partilhado (shared secret) entre o EnGenius Cloud e a configuração do servidor RADIUS Purple. A diferença de um único caráter faz com que todos os pedidos de autenticação sejam descartados. Resolução: Introduza novamente o segredo partilhado em ambos os sistemas. Copie e cole a partir de uma fonte de texto simples para evitar a substituição por carateres invisíveis.

Sintoma: O cliente 802.1X autentica-se mas não recebe endereço IP. Causa: A porta de uplink do switch ECS não está configurada como trunk, ou a VLAN devolvida pelo servidor RADIUS não é permitida no trunk. Resolução: Verifique a configuração da porta do switch. A porta deve ser um trunk que transporte todas as VLANs referenciadas nas respostas do RADIUS.

Sintoma: O cliente MyPSK liga-se mas consegue aceder a dispositivos de outros inquilinos (tenants). Causa: O isolamento de clientes (client isolation) não está ativado no SSID, ou a configuração da VLAN no switch não está a isolar corretamente os segmentos. Resolução: Ative o isolamento de clientes no SSID no EnGenius Cloud. Verifique se cada VLAN está configurada com as regras de encaminhamento inter-VLAN adequadas no router ou firewall a montante.

Sintoma: O botão de login social carrega mas a autenticação falha. Causa: Falta um ou mais subdomínios do fornecedor de OAuth no Walled Garden. A Google e a Meta utilizam múltiplos subdomínios para os seus fluxos de autenticação. Resolução: Capture a saída da consola do navegador a partir de um dispositivo não autenticado para identificar qual o domínio que está a ser bloqueado. Adicione o domínio em falta ao Walled Garden. Consulte a documentação da Lista de Permissões de Domínios do Walled Garden da Purple para obter a lista atualizada.

ROI e impacto empresarial

A implementação da Purple com o EnGenius Cloud transforma a infraestrutura sem fios de um centro de custos num ativo de dados. Os operadores dos espaços recolhem dados demográficos de primeira parte totalmente em conformidade com o GDPR de convidados através de opt-ins de escolha consciente, permitindo campanhas de marketing direcionadas e uma interação mensurável. Para as equipas de TI, a transição para o 802.1X e MyPSK elimina a sobrecarga operacional de gerir palavras-passe partilhadas, reduz os pedidos de suporte relacionados com problemas de acesso e fornece visibilidade granular sobre a utilização da rede.

Para operadores de hotelaria , o Premier Inn - um cliente Purple - utiliza os dados de WiFi dos hóspedes para impulsionar a adesão ao programa de fidelização e personalizar as comunicações pós-visita. Para ambientes de retalho , a combinação de análises de tráfego pedonal da plataforma de WiFi Analytics da Purple e os dados de tempo de permanência fornece informações de merchandising que justificam o investimento na infraestrutura independentemente dos benefícios de segurança.

Em ambientes multi-inquilino, o MyPSK elimina a necessidade de infraestruturas de rede física separadas por inquilino. Um único ponto de acesso EnGenius ECW pode servir 500 inquilinos isolados num único SSID, reduzindo os custos de hardware e simplificando a gestão contínua. Quando um inquilino se muda, a sua PSK é eliminada em segundos - sem necessidade de alteração de palavra-passe, sem qualquer impacto nos restantes residentes.

A plataforma da Purple é agnóstica em termos de hardware, o que significa que a mesma configuração Purple, análises e camada de recolha de dados funcionam em hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se as suas instalações incluem uma mistura de EnGenius e outros fornecedores, a Purple fornece um painel de controlo único para a gestão de WiFi de convidados em todos eles. Para obter orientações de implementação relacionadas, consulte o nosso guia de integração DrayTek Vigor .

Definições Principais

Captive portal

Uma página web que interseta o primeiro pedido HTTP de um utilizador após se ligar a uma rede WiFi e que exige a sua autenticação ou a aceitação de termos antes de conceder acesso à Internet.

O mecanismo principal para a integração de convidados, recolha de dados e gestão de consentimento em conformidade com o GDPR nas implementações da Purple. A EnGenius Cloud suporta páginas de Captive Portal internas e externas.

Walled Garden

A lista de permissões explícita de domínios e endereços IP com os quais um dispositivo cliente pode comunicar antes de se autenticar com sucesso através do Captive Portal.

Necessário para permitir que os dispositivos alcancem os servidores do portal Purple, os pontos de extremidade de deteção do SO e os fornecedores de identidade de terceiros, tais como o Google ou o Microsoft Entra ID, antes da conclusão da autenticação.

EnGenius MyPSK

Uma funcionalidade que permite aos administradores de rede criar várias Pre-Shared Keys exclusivas num único SSID, cada uma vinculada a uma VLAN específica para isolamento de rede.

Utilizado em ambientes multi-tenant para fornecer segmentos de rede seguros e isolados sem transmitir múltiplos SSIDs. Suporta até 500 chaves exclusivas por SSID com datas de expiração opcionais.

Atribuição dinâmica de VLAN

O processo no qual um servidor RADIUS instrui um ponto de acesso a colocar um dispositivo autenticado numa VLAN específica com base na pertença a um grupo de diretório, utilizando o atributo Tunnel-Private-Group-ID.

Permite que um único SSID 802.1X segmente o tráfego de forma segura para diferentes funções de funcionários automaticamente, sem configuração manual de VLAN por dispositivo.

IEEE 802.1X

Uma norma IEEE para Network Access Control baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN, utilizando EAP para transportar credenciais para um servidor RADIUS.

A base da segurança WiFi empresarial para redes de funcionários, substituindo palavras-passe partilhadas vulneráveis por validações de credenciais ou certificados individualizados.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Faturação para acesso à rede.

O protocolo utilizado pelos pontos de acesso EnGenius para comunicar com os servidores de autenticação da Purple. A autenticação utiliza a porta UDP 1812; a faturação utiliza a porta UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2; um método 802.1X que cria um túnel TLS utilizando um certificado do lado do servidor, no qual as credenciais de utilizador e palavra-passe são trocadas.

O método de implementação 802.1X mais comum para ambientes que utilizam Active Directory ou Microsoft Entra ID. Requer uma validação rigorosa de certificados de servidor nos clientes para evitar o roubo de credenciais.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação 802.1X que requer certificados digitais tanto no servidor RADIUS como em cada dispositivo cliente, eliminando totalmente as palavras-passe.

O método 802.1X mais seguro, recomendado para ambientes de alta segurança. Requer uma Infraestrutura de Chaves Públicas e uma solução MDM para implementar certificados de cliente.

Identificador NAS

Network Access Server Identifier; um atributo de string incluído nos pedidos RADIUS para identificar o ponto de acesso ou controlador que origina o pedido de autenticação.

Configurado na EnGenius Cloud para corresponder ao identificador do local na plataforma Purple, garantindo que os dados de análise e de sessão sejam atribuídos à localização correta.

PMK

Pairwise Master Key; a chave criptográfica derivada de um PSK e do nome do SSID, utilizada para encriptar a sessão sem fios entre um cliente específico e um ponto de acesso.

Nas implementações MyPSK, cada PSK exclusivo gera um PMK distinto, impedindo que um inquilino decifre o tráfego de outro, mesmo no mesmo SSID.

Exemplos Práticos

Um hotel de 200 quartos necessita de fornecer acesso WiFi contínuo aos convidados, acesso seguro aos funcionários do hotel e redes isoladas para três concessões de retalho no lobby, tudo utilizando os mesmos access points EnGenius ECW e switches ECS.

Implementar três SSIDs no mesmo hardware. SSID 1 (VenueGuest): Segurança aberta com RADIUS personalizado a apontar para o endpoint RADIUS da Purple. URL da página de splash externa configurado para o portal Purple. Walled Garden preenchido com sondas de SO, domínios CDN da Purple e endpoints Google OAuth. VLAN 10 atribuída estaticamente. SSID 2 (VenueStaff): WPA2 Enterprise com RADIUS personalizado. Sem Captive Portal. O servidor RADIUS devolve o Tunnel-Private-Group-ID 20 para todos os funcionários, com subgrupos (finanças, operações, manutenção) mapeados para as VLANs 21, 22 e 23, respetivamente. SSID 3 (VenueRetail): WPA2 PSK com MyPSK ativado. Três PSKs exclusivas criadas, cada uma vinculada às VLANs 31, 32 e 33. Datas de expiração definidas para coincidir com o período de arrendamento de cada concessão. A porta de uplink do switch ECS está configurada como um trunk que transporta as VLANs 10, 20-23 e 31-33.

Comentário do Examinador: Esta abordagem minimiza o overhead de SSIDs para três transmissões, reduzindo a interferência de canais partilhados, enquanto impõe um isolamento rigoroso de Layer 2 entre convidados, funcionários e inquilinos terceiros. A atribuição dinâmica de VLAN para funcionários elimina a reconfiguração manual quando os funcionários mudam de função. As datas de expiração do MyPSK automatizam a revogação de acesso para as concessões de retalho sem necessitar de intervenção de TI.

Um campus universitário que está a implementar a EnGenius Cloud relata que os estudantes que tentam iniciar sessão no portal de convidados da Purple utilizando as suas contas Google Workspace estão a receber um erro no browser após clicarem no botão de início de sessão da Google. A página do portal em si carrega corretamente.

O carregamento da página do portal confirma que os domínios CDN da Purple estão corretamente na lista de permissões. A falha no passo de início de sessão da Google indica que um ou mais domínios Google OAuth estão em falta no Walled Garden. Navegue até EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden e adicione: accounts.google.com, oauth2.googleapis.com, apis.google.com e *.gstatic.com. O wildcard gstatic.com é necessário porque a Google serve as suas bibliotecas JavaScript do lado do cliente a partir deste CDN. Após atualizar o Walled Garden, teste com um dispositivo não autenticado e capture a saída da consola do browser para confirmar que nenhum outro domínio está bloqueado.

Comentário do Examinador: As falhas de OAuth no passo do fornecedor (em vez de no passo de carregamento do portal) são quase universalmente causadas por configurações incompletas do Walled Garden. O Captive Portal intercepta a chamada HTTPS para o fornecedor de identidade, a menos que o domínio seja explicitamente contornado. A utilização de entradas wildcard (*.gstatic.com) é a abordagem pragmática para fornecedores que utilizam múltiplos subdomínios CDN, desde que a sua versão da EnGenius Cloud suporte entradas wildcard no Walled Garden.

Perguntas de Prática

Q1. Implementa um Captive Portal da Purple em pontos de acesso EnGenius ECW. Os convidados com Android reportam que os seus dispositivos mostram "Ligado, sem internet" e o portal nunca aparece. Os convidados com iOS no mesmo SSID veem o portal corretamente. Qual é o erro de configuração mais provável e como o resolve?

Dica: O Android e o iOS utilizam diferentes endpoints de verificação de Captive Portal.

Ver resposta modelo

O Android utiliza o connectivitycheck.gstatic.com como o seu endpoint de verificação de Captive Portal. O iOS utiliza o captive.apple.com. Se os convidados com iOS veem o portal mas os convidados com Android não, o connectivitycheck.gstatic.com está em falta no Walled Garden. Adicione-o no EnGenius Cloud em Captive Portal > Advanced Settings > Walled Garden. Adicione também o connectivitycheck.android.com e o www.google.com , uma vez que o Android utiliza múltiplos URLs de verificação dependendo da versão do dispositivo.

Q2. Um espaço configura o 802.1X num SSID EnGenius. Os dispositivos dos funcionários autenticam-se com sucesso (os registos do servidor RADIUS mostram Access-Accept), mas os dispositivos recebem um endereço APIPA 169.x.x.x em vez de um IP corporativo. Qual é a causa mais provável?

Dica: O servidor RADIUS está a aceitar a autenticação, pelo que o problema ocorre a jusante da autenticação.

Ver resposta modelo

O servidor RADIUS está a devolver um atributo Tunnel-Private-Group-ID que especifica um ID de VLAN. O ponto de acesso EnGenius está a tentar etiquetar o tráfego do cliente com essa VLAN, mas a porta de uplink no switch ECS não está configurada como uma porta trunk que transporte essa VLAN. O dispositivo é colocado numa VLAN sem servidor DHCP acessível. Correção: configure a porta de uplink do switch ECS como trunk, permitindo explicitamente o ID de VLAN devolvido pelo servidor RADIUS.

Q3. Um gestor de propriedades build-to-rent pergunta por que razão recomenda o EnGenius MyPSK em vez de criar um SSID separado para cada uma das 80 unidades residenciais. Apresente uma justificação técnica.

Dica: Considere o impacto dos beacons de SSID no desempenho de WiFi.

Ver resposta modelo

Cada SSID transmite pacotes beacon em intervalos regulares (normalmente a cada 100ms). Num ambiente denso, 80 SSIDs gerariam uma sobrecarga constante de beacons, consumindo um tempo de antena significativo, reduzindo a capacidade disponível para o tráfego de dados real e degradando o desempenho para todos os utilizadores. A maioria dos pontos de acesso empresariais também impõe um limite prático de 8 a 16 SSIDs por rádio. O MyPSK oferece o mesmo isolamento (cada residente numa VLAN exclusiva com uma chave de encriptação exclusiva) utilizando um único SSID, eliminando totalmente a sobrecarga de beacons. O PMK por utilizador também impede que os residentes decifrem o tráfego uns dos outros, o que um único PSK partilhado não consegue evitar.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →