Saltar para o conteúdo principal
Português

Guia Passo a Passo: Configurar Controladores Ruijie Wireless para Captive Portals de Guest WiFi

Este guia fornece um passo a passo técnico completo para configurar controladores e gateways sem fios Ruijie para implementar Captive Portals de guest WiFi de nível empresarial. Abrange a segmentação de VLAN, autenticação RADIUS externa através do protocolo WISPr, configuração de walled garden e integração perfeita com a plataforma de Redes Baseadas em Identidade da Purple para capturar dados primários (first-party data) e gerar valor de negócio mensurável em ambientes de hotelaria, retalho e setor público.

📖 8 min de leitura📝 1,834 palavras🔧 2 exemplos práticos4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje vamos abordar um dos temas mais pesquisados no setor de redes sem fios empresariais: como configurar controladores wireless Ruijie para captive portals de WiFi seguro para convidados. Eu sou o vosso anfitrião, e este é um briefing de dez minutos concebido para gestores de TI, arquitetos de rede e diretores de operações de espaços que precisam de acertar à primeira. Comecemos pelo contexto. Se gere as TI de um hotel, de uma cadeia de retalho, de um centro de conferências ou de um grande espaço público, o WiFi para convidados já não é apenas uma comodidade. É um requisito operacional fundamental. Os convidados esperam-no. Os reguladores exigem que trate os dados deles de forma responsável. E a sua equipa de marketing quer os dados primários (first-party data) que este gera. O desafio é implementá-lo de forma segura numa infraestrutura distribuída, à escala, sem criar uma dor de cabeça de conformidade. A Ruijie Networks é um dos maiores fornecedores mundiais de redes empresariais, com uma base instalada significativa nos setores da hotelaria, retalho e setor público. Os seus controladores wireless da série RG-WS e gateways da série RG-EG são plataformas capazes para WiFi empresarial para convidados, mas a configuração do Captive Portal exige uma execução precisa. Se errar, acabará com uma falha de segurança ou com um portal que simplesmente não funciona. Passemos agora à arquitetura técnica. A base absoluta de qualquer rede de convidados segura é o isolamento do tráfego. Não pode ter dispositivos de convidados no mesmo segmento de rede que os seus terminais de pagamento, os computadores portáteis dos funcionários ou os servidores administrativos. O mecanismo para isso é a segmentação por VLAN. Num ambiente Ruijie, cria uma VLAN dedicada para convidados no seu switch principal, atribui-lhe uma sub-rede IP separada e faz o trunking para os seus pontos de acesso. Uma implementação típica pode utilizar a VLAN dez para a rede corporativa, a VLAN vinte para voz, a VLAN trinta para convidados e a VLAN noventa e nove para gestão. Isto é inegociável. Se saltar este passo, terá um WiFi conveniente, não um WiFi seguro. Assim que a rede estiver corretamente segmentada, passamos à autenticação. Uma chave pré-partilhada (PSK) comum não é segurança empresarial. Não oferece responsabilidade, não permite o rastreio de sessões individuais e não oferece forma de revogar o acesso de um único utilizador sem alterar a palavra-passe de todos. Em vez disso, utilizamos um Captive Portal externo com autenticação RADIUS. Eis como funciona o fluxo. Um convidado liga-se ao SSID aberto transmitido pelo ponto de acesso Ruijie. O gateway Ruijie intercepta o seu tráfego HTTP e emite um redirecionamento para uma splash page externa - neste caso, alojada pela Purple. O convidado vê uma página de login personalizada com a marca. Autentica-se, talvez através de registo por e-mail, login social ou aceitação com um clique. Os servidores da Purple processam essa autenticação e enviam uma mensagem RADIUS Accept de volta para o controlador Ruijie. O controlador concede então acesso à Internet ao dispositivo. Todo este fluxo utiliza o protocolo WISPr, que é a estrutura padrão para autenticação de Captive Portal externo em redes sem fios empresariais. O valor comercial aqui é significativo. Cada evento de autenticação regista um consentimento. A plataforma da Purple armazena esses dados em conformidade com o GDPR e a CCPA, cria uma base de dados de marketing primária (first-party) e fornece análises à sua equipa. O Harrods utilizou esta abordagem para promover o seu programa de fidelização e obteve um retorno do investimento de cinquenta e sete vezes. A c2c Rail alcançou um retorno do investimento de cento e vinte e um por cento e poupou setenta e seis mil libras em custos operacionais. Este é o argumento comercial para fazer isto corretamente. Agora, vamos analisar os passos de configuração específicos na interface do Ruijie Cloud ou do controlador local. Passo um: criar o SSID de convidados. Inicie sessão no Ruijie Cloud ou no seu controlador local. Navegue até Device Config, selecione Wi-Fi em Wireless e crie um novo SSID. Atribua-lhe um nome claro, como Free Guest WiFi. Defina o modo de segurança como Open e associe-o à sua VLAN de convidados. Passo dois: definir a política do Captive Portal. Navegue até Auth and Account e, em seguida, selecione Captive Portal em Authentication. Crie uma nova política. Defina o Policy Mode como External. Defina o Authentication Device para o seu gateway ou access point Ruijie. Selecione o SSID de convidados. No campo Portal Server URL, introduza o URL da sua splash page da Purple. Introduza os endereços IP do servidor RADIUS da Purple. Passo três: configurar o Walled Garden, que a Ruijie designa por Allowlist. Este é o elemento configurado incorretamente com mais frequência em qualquer implementação de Captive Portal. O Walled Garden define que tráfego pode passar antes de o utilizador se autenticar. Se não permitir explicitamente os domínios da Purple, a splash page não irá carregar. Se disponibilizar o início de sessão com o Facebook ou Google mas não permitir os respetivos domínios OAuth, a autenticação irá falhar no botão de início de sessão social. Adicione todos os domínios de infraestrutura da Purple necessários e todos os domínios de fornecedores sociais que pretende suportar. Passo quatro: configurar o RADIUS. Adicione os endereços IP primário e secundário do servidor RADIUS da Purple. Introduza o segredo partilhado do seu painel da Purple. Certifique-se de que a monitorização (accounting) RADIUS está ativada na porta 1813. Isto permite à Purple monitorizar a duração da sessão e a utilização de dados com precisão, o que alimenta diretamente os seus relatórios analíticos. Passo cinco: aplicar políticas de QoS. O acesso não restrito de convidados pode saturar a sua ligação à Internet. Defina limites estritos de largura de banda por utilizador no gateway Ruijie - normalmente, cinco a dez megabits de download e dois a cinco de upload para uma implementação padrão em hotelaria. Isto protege a experiência de todos os convidados e evita que um único dispositivo degrade a rede. Agora, vamos abordar os erros críticos de implementação. O primeiro é o Walled Garden. É impossível exagerar a frequência com que este é o motivo de uma implementação falhada. Teste o seu portal a partir de um dispositivo limpo, sem credenciais em cache. Se a página não carregar, verifique primeiro a sua allowlist. O segundo erro comum é a configuração do Portal Escape. Esta funcionalidade da Ruijie liberta automaticamente o tráfego do utilizador se o ponto de acesso e o servidor do portal ficarem inacessíveis. Parece útil, mas significa que os utilizadores não autenticados obtêm acesso à internet durante uma falha. Num ambiente empresarial onde a recolha de consentimento é um requisito legal, deve desativar esta opção para impor uma autenticação rigorosa em todos os momentos. O terceiro erro comum são as versões de firmware. Algumas funcionalidades do Captive Portal - particularmente em torno dos controlos de largura de banda e atribuição dinâmica de VLAN - requerem versões de firmware específicas no gateway Ruijie. Verifique as notas de lançamento da Ruijie antes de implementar e garanta que os seus dispositivos estão a executar uma versão de firmware suportada. Agora, passamos para as perguntas rápidas. Devo gerir o Captive Portal no ponto de acesso ou no gateway? Numa implementação empresarial Ruijie, gira-o no gateway. Os gateways da série RG-EG foram concebidos para gerir a interceção do portal externo e aplicar políticas de QoS. Os pontos de acesso focam-se no desempenho de RF e na transmissão de SSID. Posso executar múltiplos Captive Portals em SSIDs diferentes? Sim. A Ruijie suporta múltiplas políticas de Captive Portal mapeadas para diferentes SSIDs. Pode ter um portal de convidados padrão num SSID e um portal premium pago noutro, cada um com limites de largura de banda e métodos de autenticação diferentes. Como faço para gerir uma implementação multi-site? Utilize a Ruijie Cloud para gerir a configuração de forma centralizada. Pode aplicar políticas de portal em todos os sites em simultâneo, garantindo a consistência e eliminando desvios de configuração por site. Para resumir os pontos-chave. Segmente o seu tráfego com VLANs antes de fazer qualquer outra coisa. Utilize a autenticação RADIUS externa para recolher dados primários em conformidade. Configure o seu Walled Garden meticulosamente e teste-o a partir de um dispositivo limpo. Tome uma decisão deliberada sobre o Portal Escape com base nos seus requisitos de conformidade. Aplique QoS para proteger a experiência do utilizador. E integre a sua infraestrutura Ruijie com as Redes Baseadas em Identidade da Purple para transformar uma ligação básica num ativo seguro, orientado por dados e gerador de receitas. A Purple opera em mais de oitenta mil locais ativos, processou quatrocentos e quarenta milhões de inícios de sessão em 2024 e possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Somos agnósticos em termos de hardware, o que significa que o seu investimento na Ruijie é totalmente compatível com a nossa plataforma cloud overlay. Obrigado por ouvir. Se quiser explorar como a Purple se integra com a sua infraestrutura Ruijie, visite purple dot ai slash guest dash wifi. Implemente com segurança e encontramo-nos no próximo briefing.

header_image.png

Resumo executivo

A implementação de WiFi para convidados numa empresa distribuída exige mais do que um SSID aberto. Para gestores de TI e arquitetos de rede, o desafio consiste em equilibrar o acesso contínuo com uma segurança rigorosa, conformidade com o GDPR e requisitos de captura de dados. Este guia detalha os passos exatos de configuração para implementar um Captive Portal seguro e escalável utilizando controladores e gateways sem fios Ruijie - e mostra como a integração dessa infraestrutura com a plataforma Guest WiFi da Purple transforma uma ligação sem fios básica num ativo em conformidade e gerador de receitas.

Abordamos os pré-requisitos técnicos, estratégias de segmentação de VLAN, autenticação RADIUS externa através do protocolo WISPr, configuração de walled garden e as definições específicas de QoS necessárias para uma implementação em ambiente de produção. Quer faça a gestão de um hotel de 200 quartos, de uma cadeia de retalho com 50 lojas ou de um estádio com 40.000 espetadores, este guia fornece o modelo de referência autoritário para uma configuração segura de Captive Portal Ruijie. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple), pelo que os padrões de integração aqui descritos estão comprovados à escala.

architecture_overview.png

Arquitetura técnica e pré-requisitos

Antes de modificar o seu controlador Ruijie, estabeleça a arquitetura de rede correta. Uma rede de convidados segura exige um isolamento total do tráfego corporativo na Camada 2 - ao nível do switch.

Segmentação de rede

A base de um WiFi para convidados seguro é o isolamento de VLAN. Deve criar uma VLAN de convidados dedicada no seu gateway ou switch principal Ruijie. Isto garante que o tráfego de convidados nunca se cruza com sistemas internos, terminais de pagamento ou dispositivos dos funcionários. Um esquema padrão de VLAN empresarial para uma implementação Ruijie assemelha-se a este:

ID da VLAN Finalidade Notas
10 Corporativa Dispositivos de funcionários, servidores internos
20 Voz Telefones VoIP
30 Convidados Captive Portal, apenas internet
40 IoT Impressoras, smart TVs, sensores
99 Gestão Controlador, gestão de switches

Para saber mais sobre o motivo pelo qual as abordagens de consumo falham neste aspeto, leia Why Consumer WiFi Gear Doesn't Belong on Your Guest Network .

Componentes necessários

Para concluir esta implementação, necessita de:

  • Uma conta Ruijie Cloud ou um Controlador Sem Fios Ruijie RG-WS Series local (por exemplo, RG-WS6008 ou RG-WS7110).
  • Um Gateway Ruijie RG-EG Series - necessário para autenticação de portal externo via WISPr.
  • Pontos de Acesso Ruijie RG-AP Series (por exemplo, RG-AP820-I, RG-AP850-AR).
  • Uma licença Purple Connect, Capture ou Engage.
  • Acesso UDP de saída nas portas 1812 (autenticação RADIUS) e 1813 (accounting RADIUS) do gateway para os servidores da Purple.

Visão geral do protocolo de autenticação

A Ruijie suporta vários métodos de autenticação. As implementações empresariais devem utilizar a autenticação RADIUS externa. Esta abordagem utiliza o protocolo WISPr (Wireless Internet Service Provider roaming) para redirecionar de forma segura os utilizadores não autenticados para a splash page da Purple, processar as suas credenciais e devolver uma mensagem RADIUS Accept ou Reject para o controlador Ruijie.

comparison_chart.png

A tabela acima resume os cinco métodos de autenticação disponíveis nas plataformas Ruijie. O registo por e-mail e o login social são as escolhas mais comuns para ambientes de hotelaria e retalho, pois capturam dados primários estruturados e em conformidade com o GDPR. Os códigos de voucher são adequados para salas de conferências e níveis de acesso pago. O RADIUS com 802.1X está reservado para redes de funcionários onde é necessária uma identidade baseada em diretório.

Guia de implementação passo a passo

Siga estes passos na interface do Ruijie Cloud ou do controlador local. Os caminhos de interface de utilizador abaixo aplicam-se à nova interface do Ruijie Cloud (pós-2024) e à plataforma Ruijie JaCS.

Passo 1: Configurar o SSID de convidados

Estabeleça a rede de transmissão sem fios.

  1. Inicie sessão no Ruijie Cloud ou na interface web do controlador local.
  2. Navegue até Device Config e selecione Wi-Fi na secção Wireless.
  3. Clique em + para criar um novo SSID ou edite um existente.
  4. Defina o SSID Name (por exemplo, "Free Guest WiFi").
  5. Defina o Security Mode para Open - sem chave pré-partilhada.
  6. Atribua o SSID à sua VLAN de convidados dedicada (por exemplo, VLAN 30).
  7. Guarde a configuração do SSID.

Passo 2: Definir a política de Captive Portal

Instrua o controlador a intercetar o tráfego de convidados e a redirecioná-lo para a Purple.

  1. Navegue até Auth & Account e selecione Captive Portal em Authentication.
  2. Crie uma nova política. Defina um Policy Name descritivo (por exemplo, "Purple-Guest-Portal").
  3. Defina o Policy Mode para External.
  4. Defina o Authentication Device para o seu gateway Ruijie (série RG-EG) ou ponto de acesso.
  5. Selecione o SSID de convidados criado no Passo 1.
  6. No campo Portal Server URL, introduza o URL específico da sua splash page da Purple (disponível no seu painel da Purple em Hardware Configuration).
  7. Introduza os endereços IP do servidor RADIUS da Purple nos campos designados.
  8. Defina a duração de Seamless Online para corresponder à sua política de limite de tempo de sessão (por exemplo, 24 horas para hotelaria, uma hora para retalho).
  9. Decida o comportamento do Portal Escape - consulte a secção de Melhores Práticas abaixo.

Passo 3: Configurar o walled garden (lista de permissões)

Um Captive Portal intercetará todo o tráfego até que o utilizador se autentique. Determinado tráfego deve passar pela pré-autenticação para permitir que a página de login seja carregada e processe os logins sociais. Este é o elemento configurado incorretamente com maior frequência em qualquer implementação de Captive Portal.

  1. Navegue até Auth & Account e selecione Allowlist.
  2. Adicione todos os domínios de infraestrutura Purple necessários. O seu painel Purple fornece a lista exata para a sua região.
  3. Se disponibilizar login social, adicione os domínios OAuth para cada fornecedor:
    • Para Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Para Google Workspace: *.google.com, accounts.google.com
    • Para Okta: o domínio específico do seu inquilino Okta
  4. Adicione os domínios do processador de pagamentos se disponibilizar planos de WiFi pagos.
  5. Guarde e aplique a allowlist.

Passo 4: Configurar a autenticação RADIUS

Configure o canal de comunicação seguro entre a Ruijie e a Purple.

  1. Navegue até às definições do servidor RADIUS no seu controlador ou gateway Ruijie.
  2. Adicione o endereço IP do servidor RADIUS principal da Purple e a porta 1812 para autenticação.
  3. Adicione o endereço IP do servidor RADIUS secundário da Purple como failover.
  4. Introduza o Shared Secret do seu painel Purple. Este deve coincidir exatamente.
  5. Adicione o servidor de accounting na porta 1813 e ative o RADIUS accounting. Isto monitoriza a duração da sessão e a utilização de dados, alimentando diretamente os relatórios de WiFi Analytics da Purple.
  6. Defina o NAS Identifier para uma string significativa (por exemplo, o nome do seu espaço) para distinguir o tráfego nas análises da Purple.

Passo 5: Aplicar políticas de QoS

O acesso de convidados sem restrições pode saturar a sua ligação à Internet durante os períodos de pico.

  1. Navegue até à secção de QoS ou gestão de largura de banda do seu gateway Ruijie.
  2. Defina limites de download por utilizador (por exemplo, 10 Mbps para hóspedes de hotéis, 5 Mbps para clientes de retalho).
  3. Defina limites de upload por utilizador (por exemplo, 2-5 Mbps).
  4. Desative o Client Escape para garantir que os utilizadores não autenticados não conseguem aceder à rede se o servidor do portal estiver temporariamente inacessível.
  5. Guarde e envie a configuração para todos os dispositivos relevantes.

Passo 6: Testar a implementação

Teste sempre a partir de um dispositivo limpo e sem credenciais em cache.

  1. Ligue um dispositivo móvel ao SSID de convidados.
  2. Abra um navegador e navegue para um URL não HTTPS (por exemplo, http://example.com). O portal deverá redirecionar.
  3. Verifique se a splash page da Purple é carregada corretamente.
  4. Conclua o fluxo de autenticação.
  5. Confirme se o acesso à Internet é concedido após a autenticação.
  6. Verifique o painel da Purple para confirmar se a sessão aparece nas suas análises.

Melhores práticas para implementação empresarial

Segurança e conformidade

Nunca dependa de uma PSK partilhada para o acesso de convidados. As palavras-passe partilhadas não oferecem qualquer responsabilização e são impossíveis de revogar para um único utilizador. Ao utilizar o Captive Portal da Purple com autenticação individual, impõe o consentimento explícito para o processamento de dados, cumprindo os requisitos do Artigo 7.º do GDPR. A Purple possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials, garantindo que o próprio mecanismo de captura de dados é auditável.

Para uma análise mais aprofundada da arquitetura de segurança, leia o nosso Enterprise WiFi Security: A Complete Guide for 2026 e What Is Secure WiFi: Essential Guide for Business 2026 .

Portal Escape: uma decisão deliberada

A funcionalidade Portal Escape da Ruijie liberta automaticamente o tráfego do utilizador se o AP e o servidor do portal ficarem inacessíveis. Num ambiente de hotelaria, pode optar por ativá-la - um convidado impedido de aceder ao WiFi durante uma falha temporária do servidor gera reclamações. Num ambiente de retalho ou de saúde, pode optar por desativá-la - o acesso não autenticado representa um risco de conformidade e segurança. Documente a sua decisão e a respetiva fundamentação no manual de procedimentos da sua rede.

Consistência multi-site

Utilize a Ruijie Cloud para gerir a configuração de forma centralizada em todos os locais. Implemente políticas de portal em simultâneo para eliminar desvios de configuração por local - a causa mais comum de experiências de convidado inconsistentes numa propriedade distribuída. A sobreposição de nuvem da Purple funciona com base no mesmo princípio: um painel, todos os locais.

Gestão de firmware

Algumas funcionalidades do Captive Portal da Ruijie - em particular os controlos de largura de banda e a atribuição dinâmica de VLAN - requerem versões de firmware específicas no gateway. As notas de lançamento da Ruijie documentam estas dependências. Certifique-se de que os seus gateways RG-EG executam o firmware RGOS11.9(6)B17T1 ou superior para suporte total de QoS em implementações geridas na nuvem.

Resolução de problemas e mitigação de riscos

Falha no carregamento da página do portal

Se o Captive Portal não aparecer quando um dispositivo se liga, verifique primeiro as definições do seu walled garden. O dispositivo deve resolver o DNS e alcançar o URL do portal da Purple antes da autenticação. Verifique se a sua lista de permissões Ruijie inclui todos os domínios necessários e se o seu servidor DNS está acessível a partir da VLAN de convidados.

Limites de tempo de autenticação (timeouts)

Se os utilizadores virem o portal mas não conseguirem iniciar sessão, o problema reside normalmente na configuração do RADIUS. Verifique os endereços IP do servidor RADIUS, as portas (1812 para autenticação, 1813 para contabilidade) e o segredo partilhado. Certifique-se de que a sua firewall permite o tráfego UDP de saída nestas portas a partir do IP de gestão do gateway Ruijie.

O início de sessão social bloqueia

Se os utilizadores clicarem num botão de início de sessão social e nada acontecer, o redirecionamento OAuth está a ser bloqueado. Adicione os domínios do fornecedor social necessários à sua lista de permissões Ruijie. Teste permitindo temporariamente todo o tráfego antes da autenticação para confirmar que o portal funciona e, em seguida, restrinja a lista de permissões de forma incremental.

Falhas na atribuição dinâmica de VLAN

Se estiver a utilizar RADIUS para atribuir utilizadores a VLANs dinamicamente, certifique-se de que a resposta RADIUS inclui os atributos de VLAN corretos (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). O RG-EG310GH-E da Ruijie e gateways semelhantes suportam a atribuição dinâmica de VLAN, mas a funcionalidade requer uma configuração explícita tanto no servidor RADIUS como no gateway.

ROI e impacto empresarial

A implementação de um Captive Portal seguro transforma o WiFi de convidados de um centro de custos num ativo estratégico. A plataforma de WiFi Analytics da Purple, integrada na sua infraestrutura Ruijie, recolhe dados primários (first-party data), constrói listas de contactos com elevada intenção de compra e fornece informações práticas sobre o comportamento dos visitantes em todo o seu património.

A Harrods utilizou o Guest WiFi da Purple para promover o seu programa de fidelização, alcançando uma taxa de adesão líder de mercado e um ROI de 57x (dados de clientes Purple). A c2c Rail utilizou a Purple para incentivar reservas diretas, obtendo um retorno do investimento de 121% e poupando £76.000 em custos operacionais (dados de clientes Purple). A Pizza Express implementou a Purple em mais de 470 restaurantes para construir perfis de clientes mais ricos.

Para operadores de hotelaria , os dados recolhidos no início de sessão - e-mail, dados demográficos, frequência de visitas - alimentam diretamente os sistemas de CRM e os programas de fidelização. Para ambientes de retalho , as análises de visitas repetidas identificam os seus compradores de maior valor. Para interfaces de transportes , os dados de fluxo de passageiros otimizam a gestão de pessoal e o planeamento do espaço comercial.

A Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet - bem como Ruijie - tornando-se a camada de nuvem agnóstica em termos de hardware que funciona com a sua infraestrutura existente em vez de a substituir.

Guias relacionados: Grandstream GWN Access Points Integration with Purple WiFi

Definições Principais

Captive Portal

Uma página web que o utilizador de uma rede de acesso público deve visualizar e com a qual deve interagir antes de lhe ser concedido acesso à internet. Intervém em todo o tráfego HTTP e redireciona o navegador do utilizador para a página do portal.

O mecanismo principal para impor a autenticação em redes WiFi de convidados. Utilizado em hotéis, retalho, estádios e locais do setor público para controlar o acesso e recolher o consentimento.

Walled garden

Uma lista de permissões de pré-autenticação que permite a domínios e endereços IP específicos contornar a interceção do Captive Portal. O tráfego para estes destinos é permitido antes de o utilizador se autenticar.

Essencial para permitir que os dispositivos carreguem a splash page, acedam a fornecedores de login social e processem fluxos de pagamento antes de o utilizador estar totalmente autenticado. A configuração incorreta nesta área é a principal causa de falhas no Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilidade (Accounting) para utilizadores que se ligam a um serviço de rede.

O protocolo seguro que os controladores Ruijie utilizam para comunicar com os servidores da Purple. Os pedidos de autenticação vão para a porta 1812 (UDP); os registos de contabilidade (accounting) vão para a porta 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Uma especificação de protocolo que define como um Captive Portal redireciona utilizadores não autenticados para uma página de login e como o controlador de acesso recebe o resultado da autenticação.

O enquadramento de protocolo específico utilizado pela Ruijie e pela Purple para gerir o redirecionamento externo do Captive Portal e o fluxo de autenticação. Necessário para o modo de portal externo nos gateways Ruijie.

Isolamento de VLAN

A prática de separar o tráfego de rede em redes locais virtuais distintas ao nível do switch, impedindo que os dispositivos em VLANs diferentes comuniquem diretamente.

Não negociável para redes de convidados. Garante que os dispositivos dos convidados não conseguem comunicar com servidores corporativos, portáteis de funcionários ou terminais de pagamento, mesmo que estejam ligados à mesma infraestrutura física.

Portal Escape

Uma funcionalidade da Ruijie que liberta automaticamente o tráfego do utilizador se o ponto de acesso e o servidor do portal ficarem inacessíveis, permitindo o acesso não autenticado à internet durante uma interrupção de serviço.

Um compromisso deliberado entre disponibilidade e segurança. Os operadores de hotelaria podem ativá-lo para evitar reclamações de clientes durante interrupções de serviço. Os operadores de saúde e retalho normalmente desativam-no para impor uma autenticação rigorosa em todos os momentos.

SSID

Service Set Identifier. O nome público de uma rede sem fios que os dispositivos apresentam na sua lista de redes disponíveis.

O nome de rede que os convidados selecionam nos seus dispositivos, o qual despoleta o redirecionamento do Captive Portal. Cada SSID numa implementação Ruijie é mapeado para uma VLAN e política de autenticação específicas.

QoS

Quality of Service. Um conjunto de tecnologias que gerem o tráfego de dados para reduzir a perda de pacotes, a latência e o jitter, e para garantir um desempenho previsível para tipos de tráfego específicos.

Utilizado em redes de convidados para limitar a largura de banda por utilizador, impedindo que um único dispositivo sature a ligação à internet e degrade a experiência de todos os outros utilizadores ligados.

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que se ligam a uma LAN ou WLAN.

Utilizado para redes de funcionários que requerem identidade suportada por diretório (por exemplo, via Microsoft Entra ID ou Okta). Não é normalmente utilizado para redes de convidados, onde um Captive Portal com RADIUS é o modelo adequado.

Exemplos Práticos

Um hotel de 250 quartos utiliza pontos de acesso Ruijie RG-AP820-I e um gateway RG-EG310GH-E. Exigem que os hóspedes se autentiquem por e-mail para construir uma base de dados de marketing. A gerência está preocupada com a possibilidade de os hóspedes contornarem o portal e com a saturação da largura de banda nas horas de ponta durante eventos de conferências.

A equipa de TI cria uma VLAN de convidados dedicada (VLAN 40) no switch principal e faz o trunking para o gateway e APs Ruijie. No Ruijie Cloud, criam um SSID aberto mapeado para a VLAN 40. Configuram uma política de Captive Portal Externo a apontar para o URL da splash page da Purple, com o URL do Portal Server e as credenciais RADIUS do painel da Purple. Crucialmente, configuram o Walled Garden para permitir tráfego apenas para os domínios da Purple e desativam a funcionalidade Portal Escape no gateway Ruijie, impedindo o acesso não autenticado durante qualquer falha do portal. Aplicam uma política de QoS que limita cada cliente a 10 Mbps de download e 3 Mbps de upload. Para eventos de conferências, criam um SSID separado na VLAN 50 com um portal baseado em vouchers e limites de largura de banda mais estritos de 5 Mbps por dispositivo.

Comentário do Examinador: Esta abordagem isola corretamente o tráfego de convidados na Camada 2, impõe a autenticação RADIUS externa para a captura de dados em conformidade com o GDPR e aplica controlos de largura de banda proporcionais ao caso de utilização. Desativar o Portal Escape é uma decisão de segurança deliberada que impede o acesso não autenticado durante interrupções de rede. O SSID de conferência separado com autenticação por voucher é um padrão prático para locais que acolhem tanto hóspedes transitórios como participantes de eventos com requisitos de acesso diferentes.

Uma cadeia de retalho com 50 localizações utiliza controladores Ruijie WS6008. Implementam o login social (Facebook e Google Workspace) para os clientes que acedem ao WiFi, mas a página do portal bloqueia quando os utilizadores clicam nos botões de login social. O problema afeta as 50 localizações em simultâneo.

O gestor de TI identifica que a configuração da Lista de Permissões (Walled Garden) nos controladores Ruijie não inclui os domínios OAuth exigidos pelo Facebook e Google. Embora o URL do portal Purple estivesse corretamente permitido, os domínios dos fornecedores sociais necessários para o handshake OAuth estavam bloqueados pela interceção do Captive Portal. A equipa adiciona os domínios wildcard necessários - especificamente *.facebook.com, *.fbcdn.net, accounts.google.com e *.googleapis.com - à Lista de Permissões da Ruijie. Enviam a configuração atualizada para as 50 localizações em simultâneo através do Ruijie Cloud, resolvendo o problema em toda a rede numa única operação.

Comentário do Examinador: A configuração incorreta do walled garden é a causa mais comum de falhas no login social em implementações de Captive Portal. O Captive Portal deve permitir explicitamente o tráfego de pré-autenticação para os domínios OAuth dos fornecedores de identidade, caso contrário, o processo de redirecionamento não poderá ser concluído. A utilização do Ruijie Cloud para o envio centralizado da configuração é a abordagem correta para uma rede multi-site - a configuração manual por local em 50 localizações seria propensa a erros e demorada.

Perguntas de Prática

Q1. Configurou um Captive Portal externo num gateway Ruijie RG-EG. Os convidados ligam-se ao SSID, mas os seus dispositivos reportam 'Sem Ligação à Internet' e a página do portal nunca carrega. Qual é o erro de configuração mais provável e como o resolve?

Dica: Considere que operações de rede devem ser bem-sucedidas antes de o utilizador conseguir ver a página de login.

Ver resposta modelo

O walled garden (Allowlist) está mal configurado. O gateway Ruijie está a bloquear a resolução de DNS ou o tráfego HTTP necessário para aceder ao URL externo da splash page da Purple. Antes da autenticação, o dispositivo deve ser capaz de resolver o domínio do portal e estabelecer uma ligação HTTP com o mesmo. Adicione os domínios específicos da Purple à allowlist de pré-autenticação na secção Ruijie Auth & Account. Verifique também se a VLAN de convidados tem um servidor DNS válido atribuído via DHCP.

Q2. O diretor de TI de um estádio quer implementar APs Ruijie para o WiFi dos adeptos durante os eventos. Pretende recolher dados de marketing, mas teme que a autenticação RADIUS cause atrasos quando 10.000 adeptos se ligarem em simultâneo nos primeiros 30 minutos após a abertura das portas. Como deve desenhar o fluxo de autenticação para equilibrar a recolha de dados com a experiência do utilizador?

Dica: Considere o equilíbrio entre a riqueza de dados e a fricção de autenticação em grande escala.

Ver resposta modelo

Deve utilizar o One-Click Login da Purple para os adeptos que regressam e que já se autenticaram anteriormente, o que ignora o preenchimento do formulário e reduz a carga do RADIUS. Para novos adeptos, um formulário minimalista de recolha de e-mail é preferível ao login social, que requer round-trips de OAuth adicionais. O gateway Ruijie deve ser dimensionado para lidar com pedidos RADIUS concorrentes - para 10.000 ligações simultâneas, é necessário um gateway da série RG-EG de alta capacidade. Ativar o Seamless Online com uma duração de sessão de 30 dias significa que os adeptos que regressam se ligam automaticamente nos eventos seguintes. Os limites de QoS devem ser rigorosos (5 Mbps por dispositivo) para evitar que as primeiras chegadas saturem o link antes da chegada da multidão principal.

Q3. Durante uma auditoria de segurança, um penetration tester acede ao servidor de ficheiros corporativo enquanto está ligado ao SSID 'Guest WiFi' transmitido por um AP Ruijie. A rede de convidados utiliza um Captive Portal corretamente configurado. Como resolve esta vulnerabilidade crítica?

Dica: A autenticação e a segmentação de rede são preocupações distintas. Uma não implica a outra.

Ver resposta modelo

O Captive Portal está a funcionar corretamente, mas a isolação de VLAN está em falta ou mal configurada. O SSID de convidados está a colocar os utilizadores autenticados na VLAN corporativa ou na VLAN nativa, que tem acesso de encaminhamento (routing) aos servidores internos. Precisa de: (1) criar uma VLAN de convidados dedicada (ex. VLAN 50) no switch principal; (2) atribuir o SSID de Convidados à VLAN 50 no controlador Ruijie; (3) configurar as portas do switch que ligam aos APs como trunks 802.1Q permitindo a VLAN 50; (4) configurar o gateway Ruijie para bloquear o encaminhamento entre a VLAN 50 e todas as sub-redes corporativas, permitindo apenas tráfego com destino à internet a partir da VLAN de convidados. A autenticação e a segmentação de rede são controlos independentes - ambos devem estar corretamente configurados.

Q4. A sua implementação Ruijie tem o Portal Escape ativado. Durante uma janela de manutenção planeada nos servidores RADIUS da Purple, nota que os convidados estão a aceder à internet sem se autenticarem. Este é o comportamento esperado e quais são as implicações de conformidade?

Dica: Considere o propósito do Portal Escape e as suas obrigações de GDPR.

Ver resposta modelo

Sim, este é o comportamento esperado do Portal Escape. Quando o servidor do portal está inacessível, o Ruijie liberta automaticamente o tráfego para manter a conectividade. No entanto, isto cria uma lacuna de conformidade: os utilizadores estão a aceder à internet sem fornecer consentimento para o processamento de dados, o que pode violar os requisitos do GDPR se os seus termos de serviço ou recolha de dados estiverem vinculados ao evento de autenticação. Para locais onde a recolha de consentimento é um requisito legal ou comercial, o Portal Escape deve ser desativado. Agende a manutenção do servidor RADIUS durante períodos de atividade mínima de convidados e comunique a janela de manutenção à gestão do local. Considere implementar um servidor RADIUS secundário da Purple como failover para eliminar totalmente este cenário.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, impor a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.

Ler o guia →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Este guia técnico oferece aos gestores de TI, arquitetos de rede e diretores de operações de espaços comerciais um plano completo para implementar portais cativos que equilibram a segurança de rede com uma elevada conversão de utilizadores. Abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até ao design de consentimento em conformidade com o GDPR e à seleção do método de autenticação. Com base na experiência operacional da Purple em mais de 80.000 locais e 440 milhões de inícios de sessão em 2024, cada recomendação é fundamentada em dados reais de implementação.

Ler o guia →

Como Otimizar Captive Portals para a Máxima Segurança de Rede e Conversão de Utilizadores

Este guia fornece um plano técnico completo para otimizar captive portals em locais empresariais, abrangendo a arquitetura de segmentação de rede, a seleção do método de autenticação, o design de consentimento em conformidade com o GDPR e a otimização da conversão. Foi escrito para gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e organizações do setor público que precisam de equilibrar a segurança de rede com a captura de dados primários (first-party). A Purple opera infraestruturas de captive portal em mais de 80.000 locais com 440 milhões de inícios de sessão em 2024, e as estruturas aqui apresentadas refletem essa experiência operacional.

Ler o guia →