Saltar para o conteúdo principal

Guia Passo a Passo: Configurar Controladores Sem Fios Ruijie para Captive Portals de WiFi de Convidados

Este guia fornece um passo a passo técnico completo para configurar controladores e gateways sem fios Ruijie para implementar captive portals de WiFi de convidados de nível empresarial. Abrange a segmentação de VLAN, autenticação RADIUS externa através do protocolo WISPr, configuração de walled garden e integração perfeita com a plataforma Identity-Based Networks da Purple para capturar dados primários e gerar valor comercial mensurável em ambientes de hotelaria, retalho e setor público.

📖 8 min de leitura📝 1,834 palavras🔧 2 exemplos práticos4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje estamos a abordar um dos tópicos mais pesquisados no setor de redes sem fios corporativas: como configurar controladores sem fios Ruijie para portais cativos de WiFi para convidados seguros. Sou o vosso anfitrião, e este é um briefing de dez minutos concebido para gestores de TI, arquitetos de rede e diretores de operações de recintos que precisam de fazer isto bem, à primeira. Comecemos pelo contexto. Se gere as TI de um hotel, uma cadeia de retalho, um centro de conferências ou um grande recinto público, o WiFi para convidados já não é apenas uma comodidade. É um requisito operacional fundamental. Os convidados esperam-no. Os reguladores exigem que trate os dados deles de forma responsável. E a sua equipa de marketing quer os dados primários que este gera. O desafio é implementá-lo de forma segura numa propriedade distribuída, em escala, sem criar uma dor de cabeça de conformidade. A Ruijie Networks é um dos maiores fornecedores mundiais de redes corporativas, com uma base instalada significativa nos setores da hotelaria, retalho e setor público. Os seus controladores sem fios da série RG-WS e gateways da série RG-EG são plataformas capazes para WiFi de convidados corporativo, mas a configuração do Captive Portal requer uma execução precisa. Se errar, acabará com uma lacuna de segurança ou com um portal que simplesmente não funciona. Agora vamos entrar na arquitetura técnica. A base absoluta de qualquer rede de convidados segura é o isolamento de tráfego. Não pode ter dispositivos de convidados no mesmo segmento de rede que os seus terminais de pagamento, os portáteis dos funcionários ou os seus servidores administrativos. O mecanismo para isto é a segmentação por VLAN. Num ambiente Ruijie, cria uma VLAN de convidados dedicada no seu switch principal, atribui-lhe uma sub-rede IP separada e faz o trunking para os seus pontos de acesso. Uma implementação típica pode utilizar a VLAN dez para fins corporativos, a VLAN vinte para voz, a VLAN trinta para convidados e a VLAN noventa e nove para gestão. Isto é inegociável. Se saltar este passo, terá um WiFi conveniente, não um WiFi seguro. Assim que a rede estiver corretamente segmentada, passamos para a autenticação. Uma chave pré-partilhada partilhada não é segurança corporativa. Não oferece responsabilização, nem rastreio de sessões individuais, nem forma de revogar o acesso de um único utilizador sem alterar a palavra-passe para todos. Em vez disso, utilizamos um Captive Portal externo com autenticação RADIUS. Eis como funciona o fluxo. Um convidado liga-se ao SSID aberto transmitido pelo ponto de acesso Ruijie. O gateway Ruijie interseta o seu tráfego HTTP e emite um redirecionamento para uma splash page externa - neste caso alojada pela Purple. O convidado vê uma página de início de sessão personalizada com a marca. Autentica-se, talvez através de registo por e-mail, início de sessão social ou aceitação com um clique. Os servidores da Purple processam essa autenticação e enviam uma mensagem RADIUS Accept de volta para o controlador Ruijie. O controlador concede então acesso à Internet ao dispositivo. Todo este fluxo utiliza o protocolo WISPr, que é a estrutura padrão para autenticação de Captive Portal externo em redes sem fios corporativas. O valor comercial aqui é significativo. Cada evento de autenticação regista um registo de consentimento. A plataforma da Purple armazena esses dados de forma a cumprir o GDPR e a CCPA, cria uma base de dados de marketing primária e fornece análises de volta à sua equipa. O Harrods utilizou esta abordagem para promover o seu programa de fidelização e obteve um retorno do investimento de cinquenta e sete vezes. A c2c Rail alcançou um retorno do investimento de cento e vinte e um por cento e poupou setenta e seis mil libras em custos operacionais. Esse é o argumento comercial para fazer isto corretamente. Agora, vamos percorrer os passos de configuração específicos no Ruijie Cloud ou na interface do controlador local. Passo um: criar o SSID de convidados. Inicie sessão no Ruijie Cloud ou no seu controlador local. Navegue até Device Config, selecione Wi-Fi em Wireless e crie um novo SSID. Atribua-lhe um nome claro, como Free Guest WiFi. Defina o modo de segurança como Open e associe-o à sua VLAN de convidados. Passo dois: definir a política de Captive Portal. Navegue até Auth and Account e, em seguida, selecione Captive Portal em Authentication. Crie uma nova política. Defina o Policy Mode como External. Defina o Authentication Device para o seu gateway ou access point Ruijie. Selecione o SSID de convidados. No campo Portal Server URL, introduza o URL da sua splash page da Purple. Introduza os endereços IP do servidor RADIUS da Purple. Passo três: configurar o Walled Garden, que a Ruijie designa por Allowlist. Este é o elemento mais frequentemente mal configurado em qualquer implementação de Captive Portal. O Walled Garden define qual o tráfego que pode passar antes de o utilizador se autenticar. Se não permitir explicitamente os domínios da Purple, a splash page não será carregada. Se disponibilizar o início de sessão através do Facebook ou Google, mas não permitir os seus domínios OAuth, a autenticação irá falhar no botão de início de sessão social. Adicione todos os domínios de infraestrutura da Purple necessários e todos os domínios de fornecedores sociais que pretende suportar. Passo quatro: configurar o RADIUS. Adicione os endereços IP principal e secundário do servidor RADIUS da Purple. Introduza o segredo partilhado do seu painel de controlo da Purple. Certifique-se de que a contabilidade RADIUS está ativada na porta 1813. Isto permite que a Purple monitorize a duração da sessão e a utilização de dados com precisão, o que alimenta diretamente os seus relatórios analíticos. Passo cinco: aplicar políticas de QoS. O acesso não restrito de convidados pode saturar a sua ligação à Internet. Defina limites estritos de largura de banda por utilizador no gateway Ruijie - normalmente de cinco a dez megabits de download e de dois a cinco de upload para uma implementação de hotelaria padrão. Isto protege a experiência de todos os convidados e evita que um único dispositivo degrade a rede. Agora vamos abordar os erros críticos de implementação. O primeiro é o Walled Garden. Nunca é demais realçar a frequência com que este é a causa raiz de uma implementação falhada. Teste o seu portal a partir de um dispositivo limpo e sem credenciais em cache. Se a página não carregar, verifique primeiro a sua allowlist. O segundo erro comum é a definição de Portal Escape. Esta funcionalidade da Ruijie liberta automaticamente o tráfego do utilizador se o ponto de acesso e o servidor de portal ficarem inacessíveis. Parece útil, mas significa que utilizadores não autenticados ganham acesso à internet durante uma interrupção. Num ambiente empresarial onde a recolha de consentimento é um requisito legal, deve desativar esta opção para impor uma autenticação rigorosa em todos os momentos. O terceiro erro comum são as versões de firmware. Algumas funcionalidades de Captive Portal - particularmente no que diz respeito a controlos de largura de banda e atribuição dinâmica de VLAN - requerem versões de firmware específicas no gateway Ruijie. Verifique as notas de lançamento da Ruijie antes de implementar e garanta que os seus dispositivos estão a executar uma versão de firmware suportada. Agora, passamos a perguntas rápidas. Devo gerir o Captive Portal no ponto de acesso ou no gateway? Numa implementação empresarial da Ruijie, gira-o no gateway. Os gateways da série RG-EG foram concebidos para gerir a interceção do portal externo e aplicar políticas de QoS. Os pontos de acesso concentram-se no desempenho de RF e na transmissão de SSID. Posso executar vários Captive Portals em diferentes SSIDs? Sim. A Ruijie suporta múltiplas políticas de Captive Portal mapeadas para diferentes SSIDs. Pode ter um portal de convidados padrão num SSID e um portal premium pago noutro, cada um com limites de largura de banda e métodos de autenticação diferentes. Como faço a gestão de uma implementação multi-site? Utilize a Ruijie Cloud para gerir a configuração de forma centralizada. Pode aplicar políticas de portal em todos os sites em simultâneo, garantindo a consistência e eliminando desvios de configuração por site. Para resumir os pontos-chave. Segmente o seu tráfego com VLANs antes de fazer qualquer outra coisa. Utilize a autenticação RADIUS externa para recolher dados primários em conformidade. Configure o seu Walled Garden meticulosamente e teste-o a partir de um dispositivo limpo. Tome uma decisão deliberada sobre o Portal Escape com base nos seus requisitos de conformidade. Aplique QoS para proteger a experiência do utilizador. E integre a sua infraestrutura Ruijie com as Redes Baseadas em Identidade da Purple para transformar uma ligação básica num ativo seguro, orientado por dados e gerador de receitas. A Purple opera em mais de oitenta mil locais ativos, processou quatrocentos e quarenta milhões de logins em 2024 e possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Somos agnósticos em relação ao hardware, o que significa que o seu investimento na Ruijie é totalmente compatível com a nossa plataforma cloud overlay. Obrigado por nos ouvir. Se quiser explorar como a Purple se integra com a sua infraestrutura Ruijie, visite purple.ai/guest-wifi. Implemente com segurança e ver-nos-emos no próximo briefing.

header_image.png

Resumo Executivo

Implementar guest WiFi em empresas distribuídas envolve mais do que apenas fornecer um SSID aberto. Para gestores de TI e arquitetos de rede, o desafio reside em equilibrar o acesso contínuo com segurança rigorosa, conformidade com o GDPR e necessidades de aquisição de dados. Este guia detalha os passos de configuração específicos necessários para implementar um Captive Portal seguro e escalável usando controladores e gateways sem fios Ruijie, ilustrando como a integração desta infraestrutura com a plataforma Guest WiFi da Purple transforma a conectividade sem fios básica num ativo em conformidade e gerador de receita.

Abordaremos os pré-requisitos técnicos, estratégias de isolamento de VLAN, autenticação RADIUS externa via protocolo WISPr, configuração de Walled Garden e as definições específicas de QoS necessárias para uma implementação de nível de produção. Quer faça a gestão de um hotel de 200 quartos, uma cadeia de retalho com 50 lojas ou um estádio com capacidade para 40 000 pessoas, este guia fornece o modelo de referência autoritário para uma configuração segura de Captive Portal Ruijie. Operando em mais de 80 000 locais ativos em todo o mundo e processando 440 milhões de inícios de sessão em 2024 (dados internos da Purple), os padrões de integração aqui descritos estão comprovados à escala.

architecture_overview.png

Arquitetura Técnica e Pré-requisitos

Antes de modificar o seu controlador Ruijie, estabeleça a arquitetura de rede correta. Uma rede de convidados segura requer isolamento total do tráfego corporativo na Camada 2 (nível do switch).

Segmentação de Rede

A pedra angular de um guest WiFi seguro é o isolamento de VLAN. Deve criar uma VLAN de convidados dedicada no gateway ou switch central Ruijie. Isto garante que o tráfego de convidados nunca se cruza com sistemas internos, terminais de pagamento ou dispositivos de funcionários. Um esquema padrão de VLAN empresarial para implementações Ruijie é apresentado abaixo:

ID da VLAN Finalidade Notas
10 Corporativa Dispositivos de funcionários, servidores internos
20 Voz Telefones VoIP
30 Convidados Captive Portal, apenas Internet
40 IoT Impressoras, smart TVs, sensores
99 Gestão Controlador, gestão de switches

For more information on why consumer-grade approaches fail here, read Why consumer-grade WiFi gear is not for your guest network .

Componentes Necessários

Para concluir esta implementação, precisará de:

  • Uma conta Ruijie Cloud ou um controlador sem fios Ruijie da série RG-WS local (por exemplo, RG-WS6008 ou RG-WS7110).
  • Um gateway Ruijie da série RG-EG - essencial para autenticação de portal externo via WISPr.
  • Pontos de acesso Ruijie da série RG-AP (por exemplo, RG-AP820-I, RG-AP850-AR).
  • Uma licença Purple Connect, Capture ou Engage.
  • Acesso UDP de saída permitido do gateway para os servidores Purple para a porta 1812 (autenticação RADIUS) e 1813 (accounting RADIUS).

Visão Geral do Protocolo de Autenticação

A Ruijie suporta múltiplos métodos de autenticação. Implementações de nível empresarial devem utilizar autenticação RADIUS externa. Este método utiliza o protocolo WISPr (Wireless Internet Service Provider Roaming) para redirecionar de forma segura utilizadores não autenticados para a Splash Page da Purple, processar as suas credenciais e devolver uma mensagem RADIUS Accept ou Reject para o controlador Ruijie.

comparison_chart.png

A tabela acima resume os cinco métodos de autenticação oferecidos pela plataforma Ruijie. Os registos por email e os logins de redes sociais são as escolhas mais comuns para ambientes de hotelaria e retalho, pois capturam dados primários estruturados e em conformidade com o GDPR. Os códigos de voucher são adequados para salas de reuniões e níveis de acesso pago. O RADIUS com 802.1X está reservado exclusivamente para redes de funcionários que requerem autenticação baseada em diretório.

Guia de Implementação Passo a Passo

Execute os seguintes passos na interface do controlador Ruijie Cloud ou local. Os caminhos de UI abaixo aplicam-se à nova interface Ruijie Cloud (pós-2024) e à plataforma Ruijie JaCS.

Passo 1: Configurar o SSID de Convidados

Estabeleça a rede de transmissão sem fios.

  1. Inicie sessão na interface web do controlador Ruijie Cloud ou local.
  2. Navegue até Device Config e selecione Wi-Fi na secção Wireless.
  3. Clique em + para criar um novo SSID, ou edite um SSID existente.
  4. Defina o SSID Name (ex: "Free Guest WiFi").
  5. Defina o Security Mode como Open - sem chave pré-partilhada.
  6. Atribua o SSID à sua VLAN de convidados dedicada (ex: VLAN 30).
  7. Guarde a configuração do SSID.

Passo 2: Definir a Política de Captive Portal

Instrua o controlador a intercetar o tráfego de convidados e a redirecioná-lo para a Purple.

  1. Navegue até Auth & Account e selecione Captive Portal em Authentication.
  2. Crie uma nova política. Defina um Policy Name descritivo (ex: "Purple-Guest-Portal").
  3. Defina o Policy Mode como External.
  4. Defina o Authentication Device para o seu gateway Ruijie (série RG-EG) ou ponto de acesso.
  5. Selecione o SSID de convidados criado no Passo 1.
  6. No campo Portal Server URL, introduza o seu URL exclusivo da Splash Page Purple (encontrado no painel de controlo Purple em 'Hardware Configuration').
  7. Introduza os endereços IP do servidor RADIUS Purple nos campos designados.
  8. Defina a duração de Seamless Online para corresponder à sua política de limite de tempo de sessão (ex: 24 horas para hotelaria, 1 hora para retalho).
  9. Determine o comportamento de Portal Escape - consulte a secção "Melhores Práticas" abaixo.

Passo 3: Configurar o Walled Garden (Lista de Permissões)

Um Captive Portal intercepta todo o tráfego até que um utilizador seja autenticado. Determinado tráfego deve ser permitido na fase de pré-autenticação para carregar a página de início de sessão e processar os inícios de sessão das redes sociais. Esta é a parte configurada incorretamente mais comum em qualquer implementação de Captive Portal.

  1. Navegue até Auth & Account e selecione Allowlist.
  2. Adicione todos os domínios de infraestrutura Purple necessários. O seu painel Purple fornece a lista específica para a sua região.
  3. Se oferecer inícios de sessão por redes sociais, adicione os domínios OAuth para cada fornecedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: o domínio específico do seu inquilino Okta
  4. Se oferecer planos de WiFi pagos, adicione os domínios dos processadores de pagamento.
  5. Guarde e aplique a lista de permissões.

Passo 4: Configurar a Autenticação RADIUS

Configure o canal de comunicação seguro entre a Ruijie e a Purple.

  1. Navegue até às definições do servidor RADIUS no seu controlador ou gateway Ruijie.
  2. Adicione o endereço IP do servidor RADIUS principal da Purple e a porta 1812 para autenticação.
  3. Adicione o endereço IP do servidor RADIUS secundário da Purple para redundância.
  4. Introduza o Shared Secret do seu painel Purple. Este deve coincidir exatamente.
  5. Adicione o servidor de accounting na porta 1813 e ative o RADIUS accounting. Isto monitoriza a duração da sessão e a utilização de dados, alimentando diretamente os relatórios de WiFi Analytics da Purple.
  6. Defina o NAS Identifier para uma cadeia de caracteres significativa (por exemplo, o nome do seu espaço) para diferenciar o tráfego nas análises da Purple.

Passo 5: Aplicar Políticas de QoS

O acesso de convidados sem restrições pode saturar a sua ligação à Internet durante as horas de ponta.

  1. Navegue até à secção de QoS ou gestão de largura de banda do seu gateway Ruijie.
  2. Defina limites de transferência por utilizador (por exemplo, 10 Mbps para hóspedes de hotéis, 5 Mbps para clientes de retalho).
  3. Defina limites de carregamento por utilizador (por exemplo, 2 a 5 Mbps).
  4. Desative o Client Escape para garantir que os utilizadores não autenticados não conseguem aceder à rede se o servidor do portal estiver temporariamente inacessível.
  5. Guarde e envie a configuração para todos os dispositivos relevantes.

Passo 6: Testar a Implementação

Teste sempre utilizando um dispositivo limpo sem credenciais em cache.

  1. Ligue um dispositivo móvel ao SSID de convidados.
  2. Abra um browser e navegue até um URL não HTTPS (por exemplo, http://example.com). A página do portal deve redirecionar.
  3. Verifique se a splash page da Purple carrega corretamente.
  4. Conclua o processo de autenticação.
  5. Confirme se o acesso à Internet é concedido após a autenticação.
  6. Aceda ao painel Purple para confirmar se a sessão aparece nas suas análises.

Melhores Práticas para Implementação Empresarial

Segurança e Conformidade

Nunca dependa de PSKs partilhadas para o acesso de convidados. As palavras-passe partilhadas não oferecem um registo de auditoria e não podem ser revogadas individualmente. Ao utilizar um Purple Captive Portal com autenticação individual, pode exigir o consentimento explícito para o processamento de dados, cumprindo os requisitos do Artigo 7 do GDPR. A Purple possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials, garantindo que o próprio mecanismo de captura de dados é auditável.

Para uma análise mais aprofundada da arquitetura de segurança, leia o nosso Enterprise WiFi Security: Complete Guide for 2026 e What is Secure WiFi: The Essential Enterprise Guide for 2026 .

Portal Escape: Uma Decisão Deliberada

A funcionalidade Portal Escape da Ruijie permite automaticamente a passagem de tráfego do utilizador se o AP não se conseguir ligar ao Portal Server. Num ambiente de hotelaria, pode optar por ativar esta opção - os convidados que não se consigam ligar ao WiFi devido a uma breve falha do servidor causarão reclamações. Em ambientes de retalho ou de saúde, pode optar por desativá-la - o acesso não autenticado representa um risco de conformidade e segurança. Documente a sua decisão e fundamentação nos manuais de procedimentos da sua rede.

Consistência Multi-Site

Utilize a Ruijie Cloud para gerir a configuração de forma centralizada em todos os locais. Implemente políticas de portal simultaneamente para eliminar desvios de configuração entre locais - a causa mais comum de experiências de convidados inconsistentes em propriedades distribuídas. A sobreposição de nuvem da Purple opera com base no mesmo princípio: um único painel de controlo, todos os locais.

Gestão de Firmware

Certas funcionalidades do Ruijie Captive Portal, particularmente o controlo de largura de banda e a atribuição dinâmica de VLAN, requerem versões específicas de firmware em execução nos seus gateways. A Ruijie documenta estas dependências nas suas notas de lançamento. Certifique-se de que os seus gateways RG-EG executam a versão de firmware RGOS11.9(6)B17T1 ou superior para obter suporte completo de QoS em implementações geridas na nuvem.

Resolução de Problemas e Mitigação de Riscos

A Página do Portal Não Carrega

Se o Captive Portal não aparecer quando um dispositivo se liga, verifique primeiro as suas definições de Walled Garden. O dispositivo deve ser capaz de resolver o DNS e aceder ao URL do Purple Portal antes de se poder autenticar. Verifique se a sua lista de permissões Ruijie inclui todos os domínios necessários e se os seus servidores DNS estão acessíveis a partir da VLAN de convidados.

Limites de Tempo de Autenticação (Timeouts)

Se os utilizadores visualizarem o Portal mas não conseguirem iniciar sessão, o problema reside geralmente na configuração do RADIUS. Verifique os IPs do servidor RADIUS, as portas (1812 para autenticação, 1813 para contabilidade) e o segredo partilhado. Certifique-se de que as suas firewalls permitem tráfego UDP de entrada e saída nestas portas a partir do IP de gestão do gateway Ruijie.

Inícios de Sessão de Redes Sociais Bloqueados

Se os utilizadores clicarem num botão de início de sessão de redes sociais e nada acontecer, o redirecionamento OAuth está bloqueado. Adicione os domínios do fornecedor de redes sociais necessários à sua lista de permissões Ruijie. Teste isto permitindo temporariamente todo o tráfego antes da autenticação para confirmar se o portal funciona e, em seguida, restrinja a lista de permissões gradualmente.### Falha na Atribuição Dinâmica de VLAN

Se utiliza RADIUS para atribuir utilizadores dinamicamente a VLANs, certifique-se de que a resposta RADIUS inclui os atributos de VLAN corretos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). O RG-EG310GH-E da Ruijie e gateways semelhantes suportam a atribuição dinâmica de VLAN, mas esta funcionalidade requer uma configuração explícita tanto no servidor RADIUS como no gateway.

ROI e Impacto no Negócio

A implementação de um Captive Portal seguro transforma o WiFi de convidados de um centro de custos num ativo estratégico. A plataforma de WiFi Analytics da Purple integra-se com a sua infraestrutura Ruijie para capturar dados primários (first-party data), construir listas de contactos de elevada intenção e fornecer informações acionáveis sobre o comportamento dos convidados nos seus locais.

A Harrods utilizou o Guest WiFi da Purple para promover o seu programa de fidelização, alcançando uma taxa de adesão líder no setor e um ROI de 57x (dados de clientes Purple). A c2c Rail utilizou a Purple para incentivar reservas diretas, alcançando um retorno do investimento de 121% e poupando £76.000 em custos operacionais (dados de clientes Purple). A Pizza Express implementou a Purple em mais de 470 restaurantes para construir perfis de clientes mais ricos.

Para operadores de hotelaria , os dados capturados no início de sessão (e-mail, dados demográficos, frequência de visitas) podem ser enviados diretamente para sistemas de CRM e programas de fidelização. Para ambientes de retalho , as análises de visitas repetidas identificam os seus compradores de maior valor. Para hubs de transportes , os dados de fluxo de passageiros otimizam o planeamento de pessoal e do espaço comercial.

A Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, Fortinet e Ruijie, tornando-se uma sobreposição de nuvem agnóstica em termos de hardware que funciona com o seu equipamento existente sem necessidade de substituição.


Guia Relacionado: Integração de Access Points Grandstream GWN e Purple WiFi

Definições Principais

Captive portal

Uma página web que um utilizador de uma rede de acesso público deve visualizar e com a qual deve interagir antes de lhe ser concedido acesso à internet. Interceta todo o tráfego HTTP e redireciona o navegador do utilizador para a página do portal.

O mecanismo central para impor a autenticação em redes WiFi de convidados. Utilizado em hotéis, retalho, estádios e locais do setor público para controlar o acesso e capturar o consentimento.

Walled garden

Uma lista de permissões de pré-autenticação (walled garden) que permite que domínios e endereços IP específicos contornem a interceção do Captive Portal. O tráfego para estes destinos é permitido antes de o utilizador se autenticar.

Essencial para permitir que os dispositivos carreguem a página inicial, acedam a fornecedores de login social e processem fluxos de pagamento antes de o utilizador estar totalmente autenticado. A configuração incorreta nesta secção é a principal causa de falhas no Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilidade para utilizadores que se ligam a um serviço de rede.

O protocolo seguro que os controladores Ruijie utilizam para comunicar com os servidores da Purple. Os pedidos de autenticação vão para a porta 1812 (UDP); os registos de contabilidade (accounting) vão para a porta 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Uma especificação de protocolo que define como um Captive Portal redireciona utilizadores não autenticados para uma página de login e como o controlador de acesso recebe o resultado da autenticação.

A estrutura de protocolo específica utilizada pela Ruijie e pela Purple para gerir o redirecionamento externo do Captive Portal e o fluxo de autenticação. Obrigatório para o modo de portal externo em gateways Ruijie.

VLAN isolation

A prática de separar o tráfego de rede em redes locais virtuais distintas ao nível do switch, impedindo que os dispositivos em VLAN diferentes comuniquem diretamente.

Não negociável para redes de convidados. Garante que os dispositivos dos convidados não conseguem comunicar com servidores corporativos, portáteis de funcionários ou terminais de pagamento, mesmo que estejam ligados à mesma infraestrutura física.

Portal Escape

Uma funcionalidade da Ruijie que liberta automaticamente o tráfego do utilizador se o ponto de acesso e o servidor do portal ficarem inacessíveis, permitindo o acesso não autenticado à internet durante uma falha de serviço.

Um compromisso deliberado entre disponibilidade e segurança. Os operadores de hotelaria podem ativá-lo para evitar reclamações de convidados durante falhas. Os operadores de saúde e retalho normalmente desativam-no para impor uma autenticação rigorosa em todos os momentos.

SSID

Service Set Identifier. O nome público de uma rede sem fios que os dispositivos apresentam na sua lista de redes disponíveis.

O nome de rede que os convidados selecionam nos seus dispositivos, o que aciona o redirecionamento do Captive Portal. Cada SSID numa implementação Ruijie é mapeado para uma VLAN específica e política de autenticação.

QoS

Quality of Service. Um conjunto de tecnologias que gerem o tráfego de dados para reduzir a perda de pacotes, a latência e o jitter, e para garantir um desempenho previsível para tipos de tráfego específicos.

Utilizado em redes de convidados para limitar a largura de banda por utilizador, evitando que um único dispositivo sature a ligação à internet e degrade a experiência de todos os outros utilizadores ligados.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que se ligam a uma LAN ou WLAN.

Utilizado para redes de funcionários que requerem identidade baseada em diretório (por exemplo, através do Microsoft Entra ID ou Okta). Normalmente não é utilizado para redes de convidados, onde um Captive Portal com RADIUS é o modelo apropriado.

Exemplos Práticos

Um hotel de 250 quartos utiliza pontos de acesso Ruijie RG-AP820-I e um gateway RG-EG310GH-E. Exigem que os convidados se autentiquem por e-mail para construir uma base de dados de marketing. A gerência está preocupada com a possibilidade de os convidados contornarem o portal e com a saturação da largura de banda em horas de ponta durante eventos de conferências.

A equipa de TI cria uma VLAN de convidados dedicada (VLAN 40) no switch principal e faz o trunking para o gateway e APs Ruijie. No Ruijie Cloud, criam um SSID aberto mapeado para a VLAN 40. Configuram uma política de Captive Portal Externo a apontar para o URL da splash page da Purple, com o URL do Portal Server e as credenciais RADIUS do painel de controlo da Purple. Crucialmente, configuram o Walled Garden para permitir tráfego apenas para os domínios da Purple e desativam a funcionalidade Portal Escape no gateway Ruijie, impedindo o acesso não autenticado durante qualquer falha no portal. Aplicam uma política de QoS que limita cada cliente a 10 Mbps de download e 3 Mbps de upload. Para eventos de conferências, criam um SSID separado na VLAN 50 com um portal baseado em vouchers e limites de largura de banda mais restritos de 5 Mbps por dispositivo.

Comentário do Examinador: Esta abordagem isola corretamente o tráfego de convidados na Camada 2, impõe a autenticação RADIUS externa para a captura de dados em conformidade com o GDPR e aplica controlos de largura de banda proporcionais ao caso de utilização. Desativar o Portal Escape é uma decisão de segurança deliberada que impede o acesso não autenticado durante interrupções na rede. O SSID de conferência separado com autenticação por voucher é um padrão prático para locais que acolhem tanto convidados transitórios como participantes de eventos com requisitos de acesso diferentes.

Uma cadeia de retalho com 50 localizações utiliza controladores Ruijie WS6008. Implementam o início de sessão social (Facebook e Google Workspace) para os clientes que acedem ao WiFi, mas a página do portal bloqueia quando os utilizadores clicam nos botões de início de sessão social. O problema afeta as 50 localizações em simultâneo.

O gestor de TI identifica que a configuração da Lista de Permissões (Walled Garden) nos controladores Ruijie não tem os domínios de OAuth exigidos pelo Facebook e Google. Embora o URL do portal da Purple estivesse corretamente permitido, os domínios do fornecedor social necessários para o handshake de OAuth estavam a ser bloqueados pela interceção do captive portal. A equipa adiciona os domínios wildcard necessários - especificamente *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - à Lista de Permissões da Ruijie. Enviam a configuração atualizada para as 50 localizações em simultâneo através do Ruijie Cloud, resolvendo o problema em toda a rede numa única operação.

Comentário do Examinador: A configuração incorreta do walled garden é a causa mais comum de falhas no início de sessão social em implementações de captive portal. O captive portal deve permitir explicitamente o tráfego de pré-autenticação para os domínios de OAuth dos fornecedores de identidade, caso contrário o processo de redirecionamento não pode ser concluído. A utilização do Ruijie Cloud para o envio centralizado da configuração é a abordagem correta para uma rede de várias localizações - a configuração manual por localização em 50 locais seria propensa a erros e demorada.

Perguntas de Prática

Q1. Configurou um Captive Portal externo num gateway Ruijie RG-EG. Os convidados ligam-se ao SSID, mas os seus dispositivos reportam "Sem Ligação à Internet" e a página do portal nunca carrega. Qual é o erro de configuração mais provável e como o resolve?

Dica: Considere que operações de rede devem ser bem-sucedidas antes de o utilizador conseguir ver a página de login.

Ver resposta modelo

O walled garden (lista de permissões) está mal configurado. O gateway Ruijie está a bloquear a resolução de DNS ou o tráfego HTTP necessário para alcançar o URL externo da splash page da Purple. Antes da autenticação, o dispositivo deve ser capaz de resolver o domínio do portal e efetuar uma ligação HTTP ao mesmo. Adicione os domínios específicos da Purple à lista de permissões de pré-autenticação na secção Auth & Account da Ruijie. Verifique também se a VLAN de convidados tem um servidor DNS válido atribuído via DHCP.

Q2. Um diretor de TI de um estádio deseja implementar APs Ruijie para WiFi de adeptos durante eventos. Eles pretendem recolher dados de marketing, mas estão preocupados que a autenticação RADIUS cause atrasos quando 10.000 adeptos se ligarem simultaneamente durante os primeiros 30 minutos da abertura de portas. Como devem desenhar o fluxo de autenticação para equilibrar a recolha de dados com a experiência do utilizador?

Dica: Considere o compromisso entre a riqueza de dados e a fricção de autenticação em grande escala.

Ver resposta modelo

Devem utilizar o One-Click Login da Purple para adeptos recorrentes que já se autenticaram anteriormente, o que ignora o preenchimento do formulário e reduz a carga do RADIUS. Para novos adeptos, um formulário de recolha de email minimalista é preferível ao login social, que requer round-trips de OAuth adicionais. O gateway Ruijie deve ser dimensionado para lidar com pedidos RADIUS simultâneos - para 10.000 ligações simultâneas, é necessário um gateway de alta capacidade da série RG-EG. Ativar o Seamless Online com uma duração de sessão de 30 dias significa que os adeptos recorrentes se ligam automaticamente em eventos subsequentes. Os limites de QoS devem ser rigorosos (5 Mbps por dispositivo) para evitar que as chegadas antecipadas saturem a ligação antes da chegada da multidão principal.

Q3. Durante uma auditoria de segurança, um penetration tester acede ao servidor de ficheiros corporativo enquanto está ligado ao SSID 'Guest WiFi' transmitido por um AP Ruijie. A rede de convidados utiliza um Captive Portal corretamente configurado. Como resolve esta vulnerabilidade crítica?

Dica: A autenticação e a segmentação de rede são preocupações distintas. Uma não implica a outra.

Ver resposta modelo

O Captive Portal está a funcionar corretamente, mas a isolação de VLAN está em falta ou mal configurada. O SSID de convidados está a colocar os utilizadores autenticados na VLAN corporativa ou na VLAN nativa, que tem acesso de encaminhamento aos servidores internos. Precisa de: (1) criar uma VLAN de convidados dedicada (ex. VLAN 50) no switch principal; (2) atribuir o SSID de Convidados à VLAN 50 no controlador Ruijie; (3) configurar as portas do switch que ligam os APs como trunks 802.1Q permitindo a VLAN 50; (4) configurar o gateway Ruijie para bloquear o encaminhamento entre a VLAN 50 e todas as subredes corporativas, permitindo apenas tráfego com destino à internet a partir da VLAN de convidados. A autenticação e a segmentação de rede são controlos independentes - ambos devem ser configurados corretamente.

Q4. A sua implementação Ruijie tem o Portal Escape ativo. Durante uma janela de manutenção planeada nos servidores RADIUS da Purple, nota que os convidados estão a aceder à internet sem se autenticarem. Este é o comportamento esperado e quais são as implicações de conformidade?

Dica: Considere o objetivo do Portal Escape e as suas obrigações sob o GDPR.

Ver resposta modelo

Sim, este é o comportamento esperado do Portal Escape. Quando o servidor do portal está inacessível, o Ruijie liberta automaticamente o tráfego para manter a conectividade. No entanto, isto cria uma lacuna de conformidade: os utilizadores estão a aceder à internet sem fornecer consentimento para o processamento de dados, o que pode violar os requisitos do GDPR se os seus termos de serviço ou recolha de dados estiverem vinculados ao evento de autenticação. Para locais onde a recolha de consentimento é um requisito legal ou comercial, o Portal Escape deve ser desativado. Agende a manutenção do servidor RADIUS durante períodos de atividade mínima de convidados e comunique a janela de manutenção à gestão do local. Considere implementar um servidor RADIUS secundário da Purple como failover para eliminar completamente este cenário.