Saltar para o conteúdo principal
Português

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os pontos de acesso Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Abrange a configuração do Captive Portal, a autenticação de funcionários por 802.1X e o direcionamento dinâmico de VLAN por PPSK para redes empresariais.

📖 6 min de leitura📝 1,408 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série técnica do Purple. Sou o vosso anfitrião e hoje vamos analisar uma das integrações de WiFi empresarial mais detalhadas que vemos no terreno: os pontos de acesso Huawei AirEngine e o controlador CloudCampus iMaster NCE-Campus, integrados com o Purple para WiFi de convidados, autenticação de funcionários e segmentação de rede multi-inquilino. Se é um arquiteto de rede ou gestor de TI que gere um parque Huawei — seja um grupo hoteleiro, uma cadeia de retalho, um centro de conferências ou um campus do setor público — este episódio é para si. Vamos cobrir toda a infraestrutura: redirecionamento de Captive Portal, ACLs de pré-autenticação, WiFi seguro para funcionários utilizando 802.1X e a funcionalidade Private Pre-Shared Key da Huawei para direcionamento dinâmico de VLAN em múltiplos inquilinos. Vamos a isso. Secção um: Contexto e arquitetura. O portfólio AirEngine da Huawei — que abrange as séries 5700, 6700, 8700 e 9700 — funciona com WiFi 6 e WiFi 6E, sendo que a série topo de gama 9700 suporta WiFi 7. Estes são pontos de acesso empresariais de alto desempenho. A camada de gestão é o iMaster NCE-Campus, o controlador de rede baseado na nuvem da Huawei, que lida com tudo, desde o aprovisionamento de SSID e retransmissão RADIUS até à aplicação de políticas e encaminhamento de syslog. O Purple posiciona-se acima disto como uma sobreposição na nuvem. Operamos em mais de 80.000 locais ativos e processámos 440 milhões de inícios de sessão apenas em 2024. Somos independentes de hardware — o que significa que nos integramos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e, sim, Huawei AirEngine — utilizando os mesmos padrões de RADIUS e Captive Portal que todos os controladores empresariais suportam. O modelo de integração aqui é simples. O iMaster NCE-Campus atua como o retransmissor RADIUS, encaminhando os pedidos de autenticação dos pontos de acesso para os servidores RADIUS do Purple. O Purple lida com a lógica de autenticação — seja uma página de boas-vindas de convidados, uma verificação de credenciais 802.1X ou uma consulta PPSK — e devolve a resposta RADIUS apropriada, incluindo quaisquer atributos de atribuição dinâmica de VLAN. Secção dois: Configuração de WiFi de convidados e Captive Portal. Comecemos pela implementação mais comum: WiFi de convidados com um Captive Portal do Purple. No iMaster NCE-Campus, navegue até Design, depois Network Design e, em seguida, Template Management. Crie um modelo de Servidor de Retransmissão RADIUS (RADIUS Relay Server). Os parâmetros principais são: definir o serviço de autenticação para autenticação de Portal (Portal authentication), adicionar os endereços IP do servidor RADIUS do Purple na porta UDP 1812 para autenticação e 1813 para contabilidade (accounting), definir o identificador NAS para MAC do Dispositivo (Device MAC) e configurar o segredo partilhado. O Purple fornece estas credenciais RADIUS a partir do ecrã de configuração do local no painel do Purple. Em seguida, crie uma ACL — este é o seu Walled Garden. Antes de um convidado se autenticar, ele precisa de aceder à página de boas-vindas do Purple e a quaisquer domínios de suporte. As suas regras de ACL devem permitir DNS em UDP 53, permitir HTTPS para o domínio do portal do Purple e permitir quaisquer fornecedores de início de sessão social que tenha ativado — por exemplo, os endpoints da API Graph do Facebook se estiver a utilizar o início de sessão social. Tudo o resto é recusado antes da autenticação. Depois, configure o SSID. Defina o tipo de rede para Open, selecione Open plus Portal authentication, defina o tipo de autenticação para Relay authentication by cloud platform e escolha RADIUS relay como o modo de interligação. Defina o protocolo de envio de página para HTTPS. Nos parâmetros de autenticação de portal de terceiros, cole o URL de redirecionamento do Purple — este é o URL da página de boas-vindas que copia do painel do local do Purple, com o sufixo modificado para incluir os parâmetros específicos da Huawei: ap-mac, uaddress, umac, ssid e redirect-url. Por fim, crie um modelo de URL no iMaster NCE-Campus que mapeie estes nomes de parâmetros para os valores que a Huawei passa no redirecionamento. O mapeamento de parâmetros é: redirect-url para redirect-url, loginurl para login-url, device-mac para ap-mac, user-ip para uaddress, user-mac para umac e ssid para ssid. Assim que estiver configurado, um convidado liga-se ao SSID, obtém um endereço DHCP e o seu tráfego HTTP é intercetado pelo controlador e redirecionado para a página de boas-vindas do Purple. Autentica-se — via e-mail, início de sessão social ou verificação por SMS — e o servidor RADIUS do Purple envia um Access-Accept de volta para o iMaster NCE-Campus, que concede ao convidado acesso total à Internet. Do ponto de vista dos dados, o Purple recolhe dados de consentimento primários neste momento. Cada início de sessão é uma opção de consentimento explícito, em conformidade com o GDPR e a CCPA. Esses dados alimentam a plataforma de análise do Purple, fornecendo-lhe a duração da sessão, o tipo de dispositivo, as taxas de visitantes recorrentes e o tempo de permanência — tudo sem qualquer rastreio de terceiros. Secção três: WiFi seguro para funcionários com 802.1X. Agora vamos falar sobre o WiFi de funcionários. Esta é uma postura de segurança totalmente diferente. Não quer os funcionários no mesmo segmento de rede que os convidados, e não quer palavras-passe PSK partilhadas que saem pela porta fora quando alguém se demite. A resposta é a autenticação 802.1X, definida na norma IEEE 802.1X-2020, utilizando EAP-TLS ou EAP-PEAP. No iMaster NCE-Campus, crie um SSID separado para os funcionários — vamos chamar-lhe CorpNet. No perfil de autenticação para este SSID, defina o modo de autenticação para 802.1X, aponte-o para o servidor RADIUS do Purple e defina o perfil de segurança para WPA2-Enterprise ou WPA3-Enterprise com encriptação AES-CCMP. O Purple também atua aqui como o servidor RADIUS, mas agora está a validar credenciais contra o seu fornecedor de identidade. O Purple integra-se nativamente com o Microsoft Entra ID, Okta e Google Workspace. Quando um funcionário se liga à CorpNet, o seu dispositivo envia credenciais EAP para o ponto de acesso, que as retransmite via RADIUS para o Purple, que as valida no Entra ID utilizando SCIM ou SAML. Se as credenciais forem válidas, o Purple devolve um Access-Accept com um atributo RADIUS que especifica a VLAN dos funcionários — por exemplo, a VLAN 20. O iMaster NCE-Campus direciona o cliente para essa VLAN automaticamente. Os atributos RADIUS principais para a atribuição dinâmica de VLAN são: Tunnel-Type definido para VLAN ou o valor 13, Tunnel-Medium-Type definido para 802 ou o valor 6 e Tunnel-Private-Group-ID definido para o ID da VLAN. Estes três atributos em conjunto indicam ao controlador Huawei exatamente qual a VLAN a atribuir ao cliente autenticado. Para o EAP-TLS especificamente — que é o padrão de excelência para a autenticação de funcionários — precisa de certificados de cliente. O suplemento SecurePass do Purple lida com a emissão e gestão do ciclo de vida dos certificados, integrando-se com a sua PKI existente ou atuando como uma autoridade de certificação leve. Isto elimina completamente os ataques baseados em palavras-passe. Sem palavra-passe, sem vetor de phishing. Secção quatro: Segmentação multi-inquilino com Huawei PPSK. É aqui que as coisas se tornam verdadeiramente interessantes. Se gere um espaço de utilização mista — um centro comercial com múltiplos lojistas, um espaço de coworking com várias empresas parceiras ou um centro de conferências que acolhe eventos simultâneos — precisa de isolamento de rede entre inquilinos sem implementar um SSID separado para cada um. A funcionalidade PPSK da Huawei — Private Pre-Shared Key — resolve isto. Por vezes é chamada de iPSK noutros ecossistemas de fabricantes. O conceito é: um SSID, múltiplas palavras-passe únicas, com cada palavra-passe mapeada para uma VLAN específica. O Inquilino A recebe a palavra-passe Alpha, que mapeia para a VLAN 30. O Inquilino B recebe a palavra-passe Beta, que mapeia para a VLAN 40. Ambos os inquilinos veem o mesmo SSID, mas estão completamente isolados na Camada 2. Na CLI da Huawei, configura isto na vista WLAN utilizando o comando ppsk-user. Para cada inquilino, execute: ppsk-user psk pass-phrase, seguido da frase de passe única, depois user-name, o identificador do inquilino, depois vlan, o ID da VLAN, e depois ssid, o nome do SSID. Também pode definir uma data de expiração, um limite máximo de dispositivos e associar a um endereço MAC específico se precisar de um controlo mais rigoroso. No iMaster NCE-Campus, a consulta PPSK pode ser processada localmente no controlador ou — para implementações em grande escala — via RADIUS. Quando é utilizado o PPSK baseado em RADIUS, o Purple torna-se a fonte autoritária para os mapeamentos de PPSK para VLAN. O dispositivo de um inquilino liga-se com a sua frase de passe única, o controlador envia um RADIUS Access-Request para o Purple com a frase de passe como credencial, o Purple consulta o mapeamento e devolve um Access-Accept com os três atributos de túnel de VLAN. O controlador direciona o cliente para a VLAN correta. Esta arquitetura escala para centenas de inquilinos num único SSID. Também significa que pode aprovisionar, rodar e revogar credenciais de inquilinos a partir do painel do Purple sem tocar na configuração do controlador. Secção cinco: Armadilhas de implementação e como evitá-las. Deixe-me apresentar-lhe os três modos de falha que vejo com mais frequência em implementações da Huawei e do Purple. Primeiro: o Walled Garden está incompleto. Os convidados ligam-se ao SSID, são redirecionados para a página de boas-vindas, mas a página não carrega porque um domínio necessário — frequentemente um endpoint de CDN ou uma API de início de sessão social — está bloqueado pela ACL de pré-autenticação. A solução é testar o fluxo da página de boas-vindas a partir de um dispositivo limpo antes de entrar em produção, registar as consultas DNS e as ligações HTTPS que este faz e adicionar todos os domínios necessários à ACL. O Purple publica uma lista de domínios necessários na documentação de integração. Segundo: incompatibilidade do segredo partilhado do RADIUS. O segredo configurado no iMaster NCE-Campus deve corresponder exatamente ao segredo no painel do Purple. Uma diferença de um único caráter causa falhas de autenticação silenciosas — os registos do controlador mostram Access-Reject sem qualquer mensagem de erro útil. Copie e cole sempre o segredo, nunca o escreva manualmente. Terceiro: má configuração do trunk de VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se a VLAN já estiver configurada como trunk na porta de uplink entre o ponto de acesso e o switch de agregação. Se a VLAN 20 não estiver na lista de permissões (allow-pass) do trunk na interface do switch, os clientes dos funcionários autenticados sofrerão um limite de tempo esgotado de DHCP e parecerá que falharam a autenticação. Audite as suas configurações de trunk antes de testar as VLANs atribuídas por RADIUS. Secção seis: Perguntas rápidas. Pergunta: Posso utilizar o RADIUS integrado do Purple com a implementação local (on-premises) do iMaster NCE-Campus da Huawei, e não com a versão na nuvem? Sim. Os servidores RADIUS do Purple são alojados na nuvem e estão acessíveis através da Internet. O seu controlador iMaster NCE-Campus local precisa de acesso de saída UDP 1812 e 1813 para as gamas de IP RADIUS do Purple. O Purple publica estas gamas de IP no painel de controlo, nas definições do local. Pergunta: O PPSK da Huawei suporta WPA3-SAE? A partir do firmware AirEngine V600R025, o WPA3-SAE-PPSK é suportado nas séries 6700 e 9700. Verifique a sua versão de firmware antes de ativar o WPA3 em SSIDs PPSK. Pergunta: Como é que o Purple lida com o consentimento do GDPR para o WiFi de convidados em hardware Huawei? A página de boas-vindas do Purple recolhe o consentimento no momento da autenticação. O registo de consentimento — incluindo o carimbo de data/hora, o endereço IP e os termos específicos aceites — é armazenado na plataforma do Purple e pode ser exportado para auditorias de conformidade. Isto aplica-se independentemente do fabricante do hardware subjacente. Secção sete: Resumo e próximos passos. Recapitulando: o Huawei AirEngine e o iMaster NCE-Campus integram-se com o Purple através de retransmissão RADIUS para o Captive Portal de convidados, 802.1X para o WiFi de funcionários e PPSK para a segmentação de VLAN multi-inquilino. A configuração reside no iMaster NCE-Campus em Design, Network Design, Template Management para a configuração de RADIUS e ACL, e em Provision, Device Configuration, Site Configuration para a associação do SSID e do perfil de autenticação. Os seus próximos passos: obtenha as credenciais RADIUS do Purple no painel do seu local, configure o modelo de servidor de retransmissão RADIUS no iMaster NCE-Campus, construa a sua ACL de Walled Garden, crie o SSID de convidados com autenticação Open plus Portal e teste de ponta a ponta com um dispositivo limpo antes de implementar no terreno. Se está a implementar PPSK para isolamento multi-inquilino, planeie primeiro o seu esquema de VLAN — certifique-se de que cada VLAN de inquilino está configurada como trunk de ponta a ponta antes de configurar um único utilizador PPSK. Para obter o guia de configuração passo a passo completo, incluindo exemplos de CLI e diagramas de arquitetura, leia o guia escrito completo no website do Purple. Obrigado por nos ouvir.

header_image.png

Resumo Executivo

As redes empresariais exigem hardware fiável combinado com uma gestão de identidade inteligente. Os pontos de acesso Huawei AirEngine e o controlador iMaster NCE-Campus oferecem conectividade de alta densidade, enquanto o Purple fornece a sobreposição na nuvem para autenticação, análise e aplicação de políticas. Este guia detalha a arquitetura de integração necessária para implementar WiFi de Convidados , WiFi de Funcionários seguro e WiFi Multi-Inquilino utilizando um único controlador Huawei.

Ao integrar o Huawei CloudCampus com o Purple, substitui silos de autenticação díspares por uma Rede Baseada em Identidade unificada. Operamos em mais de 80.000 locais ativos e processámos 440 milhões de inícios de sessão em 2024. A nossa plataforma independente de hardware integra-se nativamente com a Huawei através de protocolos padrão RADIUS e Captive Portal. Esta integração permite opções de consentimento explícito para os visitantes, validação de certificados 802.1X para os colaboradores e direcionamento dinâmico de VLAN através de Private Pre-Shared Keys (PPSK) para os inquilinos.

Quer gira um estádio, um campus universitário ou uma cadeia de retalho, este documento fornece os passos exatos de configuração, atributos RADIUS e listas de controlo de acesso necessários para proteger a sua periferia sem fios e recolher dados primários à escala.

Ouça o podcast de apresentação técnica:

Análise Técnica Detalhada

A integração baseia-se em protocolos padrão: RADIUS (UDP 1812/1813) para autenticação e contabilidade, e HTTPS (TCP 443) para redirecionamento de Captive Portal. O iMaster NCE-Campus atua como o servidor de acesso à rede (NAS) e retransmissor RADIUS, encaminhando os pedidos dos pontos de acesso AirEngine para a infraestrutura RADIUS na nuvem do Purple.

Visão Geral da Arquitetura

architecture_overview.png

O Purple suporta três modelos de autenticação principais no hardware Huawei:

  1. WiFi de Convidados (Captive Portal): O tráfego não autenticado é intercetado pelo controlador Huawei e redirecionado para a página de boas-vindas do Purple. O acesso antes da autenticação é limitado por uma ACL de Walled Garden. Após o início de sessão bem-sucedido, o Purple envia um RADIUS Access-Accept, concedendo ao cliente acesso total à rede.
  2. WiFi de Funcionários (802.1X): Os colaboradores autenticam-se utilizando credenciais corporativas via EAP-PEAP ou EAP-TLS. O Purple valida estas credenciais junto de fornecedores de identidade como o Microsoft Entra ID, Okta ou Google Workspace.
  3. WiFi Multi-Inquilino (PPSK): Os inquilinos ligam-se a um único SSID partilhado utilizando frases de passe únicas. O Purple valida a frase de passe e devolve atributos RADIUS específicos para direcionar dinamicamente o inquilino para a sua VLAN isolada.

Walled Garden e ACLs de Pré-Autenticação

Um Captive Portal requer um Walled Garden — uma Lista de Controlo de Acesso (ACL) que permite o tráfego para serviços essenciais antes de o utilizador se autenticar. Se o Walled Garden estiver incompleto, a página de boas-vindas não irá carregar, resultando numa má experiência para o visitante.

Para o Huawei iMaster NCE-Campus, a ACL de pré-autenticação deve permitir:

  • Resolução de DNS (UDP 53)
  • Domínios do Captive Portal do Purple (*.purpleportal.net, *.purple.ai)
  • Redes de Distribuição de Conteúdo (CDNs) que alojam os recursos da página de boas-vindas
  • Domínios de fornecedores de identidade se o início de sessão social (Apple, Google, Facebook) estiver ativado

Todo o restante tráfego deve ser recusado até que o Purple devolva o RADIUS Access-Accept.

Direcionamento Dinâmico de VLAN e Atributos RADIUS

Para isolar o tráfego de rede, o Purple utiliza a atribuição dinâmica de VLAN. Em vez de transmitir múltiplos SSIDs, transmite um único SSID e atribui a VLAN dinamicamente com base na identidade do utilizador.

Quando o Purple autentica um utilizador (via 802.1X ou PPSK), devolve um pacote Access-Accept contendo três atributos RADIUS padrão IETF obrigatórios:

  • Tunnel-Type = VLAN (ou 13)
  • Tunnel-Medium-Type = 802 (ou 6)
  • Tunnel-Private-Group-ID = [VLAN ID]

O controlador Huawei recebe estes atributos e instrui o ponto de acesso AirEngine a etiquetar o tráfego do cliente com o ID de VLAN especificado.

ppsk_vlan_segmentation.png

Guia de Implementação

Esta secção abrange os passos exatos para configurar o iMaster NCE-Campus para a integração com o Purple.

Passo 1: Configurar o Servidor de Retransmissão RADIUS

Primeiro, defina o Purple como o servidor de autenticação externo.

  1. No iMaster NCE-Campus, navegue até Design > Network Design > Template Management.
  2. Selecione RADIUS Server e clique em Create.
  3. Defina o Authentication service para Portal authentication.
  4. Introduza os endereços IP RADIUS principal e secundário do Purple (disponíveis no seu painel do Purple).
  5. Defina a porta de autenticação para 1812 e a porta de contabilidade para 1813.
  6. Introduza o Segredo Partilhado RADIUS fornecido pelo Purple.
  7. Defina o NAS identifier para Device MAC.

Passo 2: Construir a ACL de Walled Garden

Crie a ACL para permitir o tráfego antes da autenticação.

  1. Navegue até Design > Network Design > Template Management > ACL.
  2. Crie uma nova ACL com o nome Purple_Walled_Garden.
  3. Defina o ACL Type para User.
  4. Adicione regras de permissão para DNS e para os domínios necessários do Purple (por exemplo, *.purpleportal.net).
  5. Guarde o modelo de ACL.

Passo 3: Configurar o Modelo de URL do Captive Portal

A Huawei exige um modelo de URL para mapear os parâmetros padrão de redirecionamento para o formato exigido pelo Purple.

  1. Navegue até Design > Network Design > Template Management > URL Template.
  2. Crie um novo modelo com o nome Purple_URL_Template.
  3. Defina o Tipo de Modelo para Autenticação de retransmissão baseada em plataforma cloud.
  4. Configure o mapeamento de parâmetros exatamente da seguinte forma:
    • redirect-url mapeia para redirect-url
    • loginurl mapeia para login-url
    • device-mac mapeia para ap-mac
    • user-ip mapeia para uaddress
    • user-mac mapeia para umac
    • ssid mapeia para ssid

Passo 4: Aprovisionar o SSID de Visitantes

Associe o servidor RADIUS, a ACL e o modelo de URL ao SSID.

  1. Navegue para Aprovisionamento > Configuração do Dispositivo > Configuração do Site.
  2. Selecione AP e crie um novo SSID.
  3. Defina o Tipo de Rede para Aberta.
  4. Selecione Autenticação Aberta+Portal.
  5. Defina o tipo de autenticação para Autenticação relay por plataforma cloud.
  6. Defina o modo de interligação para Relay RADIUS.
  7. Selecione o Purple_URL_Template criado anteriormente.
  8. No campo de URL de autenticação de terceiros, cole o seu URL exclusivo da splash page da Purple.
  9. Selecione o modelo de servidor RADIUS da Purple.
  10. Selecione a ACL Purple_Walled_Garden para a regra de permissão predefinida.
  11. Guarde e implemente a configuração nos pontos de acesso AirEngine.

Boas Práticas

Para garantir uma implementação segura e fiável, siga estas boas práticas independentes de fabricante:

  • Implementar 802.1X para Colaboradores: Nunca utilize PSKs partilhados para redes de funcionários. Implemente 802.1X com EAP-TLS utilizando o suplemento SecurePass da Purple para emitir certificados de cliente. Isto elimina os vetores de phishing baseados em palavras-passe e alinha-se com os requisitos da norma ISO 27001.
  • Consolidar SSIDs: A transmissão de demasiados SSIDs degrada a eficiência do tempo de antena devido à sobrecarga das tramas de gestão. Utilize PPSK e direcionamento dinâmico de VLAN para consolidar redes multi-tenant num único SSID.
  • Verificar Configurações de Trunk: A atribuição dinâmica de VLAN falha silenciosamente se a VLAN atribuída não for permitida na porta trunk do switch que liga o ponto de acesso. Audite sempre as configurações das portas do switch antes de testar o direcionamento RADIUS.
  • Monitorizar a Latência do RADIUS: Os tempos limite de autenticação resultam frequentemente da latência da WAN. Certifique-se de que o seu controlador iMaster NCE-Campus tem um caminho de baixa latência para a infraestrutura regional de RADIUS da Purple.

Resolução de Problemas e Mitigação de Riscos

Ao integrar o RADIUS cloud com controladores empresariais, os problemas isolam-se normalmente em três áreas: o Walled Garden, o segredo partilhado do RADIUS ou o trunking de VLAN.

A Splash Page Falha ao Carregar

Sintoma: Um dispositivo liga-se ao WiFi de Visitantes, mas o navegador apresenta um erro de tempo limite em vez da splash page da Purple. Causa Raiz: A ACL do Walled Garden está incompleta, bloqueando o acesso aos domínios do portal da Purple ou às CDNs necessárias. Mitigação: Ligue um dispositivo de teste ao SSID. Tente efetuar um ping para purpleportal.net. Se o ping falhar, reveja a configuração da ACL do iMaster NCE-Campus e certifique-se de que a mesma é aplicada ao estado de pré-autenticação do SSID.

Falhas de Autenticação Silenciosas

Sintoma: Um utilizador introduz credenciais válidas, mas a ligação cai sem qualquer mensagem de erro. Causa Raiz: Uma incompatibilidade no segredo partilhado do RADIUS entre o iMaster NCE-Campus e a Purple. Mitigação: Copie o segredo partilhado diretamente do painel de controlo da Purple e cole-o no modelo de servidor RADIUS da Huawei. Um único espaço no final quebrará o hash MD5 utilizado nos pacotes RADIUS.

Tempo Limite de DHCP Após Autenticação

Sintoma: Um funcionário autentica-se com sucesso via 802.1X, mas o dispositivo recebe um endereço APIPA 169.254.x.x em vez de um IP válido. Causa Raiz: A Purple atribuiu com sucesso uma VLAN dinâmica via RADIUS, mas essa VLAN não está em modo trunk para o ponto de acesso AirEngine. Mitigação: Inicie sessão no switch de acesso e verifique se o comando port trunk allow-pass vlan inclui o ID da VLAN de destino na interface ligada ao AP.

Retorno do Investimento (ROI) e Impacto no Negócio

A implementação do Huawei AirEngine com a Purple transforma uma infraestrutura de rede padrão num ativo de negócio mensurável.

Para os operadores de Retalho , esta integração recolhe dados primários dos compradores, permitindo campanhas de marketing direcionadas que aumentam a afluência de público e o valor médio das transações. O painel de controlo de WiFi Analytics da Purple fornece mapas de calor e métricas de tempo de permanência, permitindo aos gestores de espaços otimizar o layout das lojas com base no comportamento real dos visitantes.

Em ambientes de Hotelaria , a autenticação automatizada via OpenRoaming ou Passpoint elimina a fricção dos inícios de sessão manuais, aumentando as pontuações de satisfação dos hóspedes. Para edifícios multi-tenant, o direcionamento dinâmico de VLAN por PPSK reduz a sobrecarga de TI, eliminando a necessidade de aprovisionar e gerir manualmente SSIDs separados para cada novo inquilino.

Ao unificar o envolvimento dos visitantes, a segurança dos funcionários e o isolamento de inquilinos numa única infraestrutura de hardware, as organizações maximizam o retorno do seu investimento no Huawei CloudCampus.

Definições Principais

iMaster NCE-Campus

A plataforma de gestão e automação de rede baseada na nuvem ou local da Huawei.

As equipas de TI utilizam-no como o controlador central para configurar SSIDs, aplicar políticas aos APs AirEngine e configurar a retransmissão RADIUS para o Purple.

PPSK (Private Pre-Shared Key)

Uma funcionalidade de segurança que permite a utilização de múltiplas palavras-passe únicas num único SSID, associando cada palavra-passe ao utilizador a uma política de rede ou VLAN específica.

Essencial para ambientes multi-inquilino (como espaços de coworking ou parques comerciais) onde os lojistas precisam de redes isoladas sem transmitir dezenas de SSIDs.

Dynamic VLAN Steering

O processo de atribuição de um dispositivo a uma Rede Local Virtual específica com base na sua identidade autenticada, em vez do SSID ao qual se ligou.

Utilizado pelo Purple para garantir que um gerente, um operador de caixa e um convidado que se ligam ao mesmo ponto de acesso físico sejam colocados em segmentos de rede completamente separados e seguros.

Walled Garden

Uma Lista de Controlo de Acesso (ACL) aplicada a utilizadores não autenticados, permitindo o acesso apenas a endereços IP ou domínios específicos necessários para concluir o processo de início de sessão.

Se o Walled Garden estiver mal configurado, os convidados verão um ecrã em branco ou um erro de limite de tempo esgotado em vez da página de boas-vindas do Purple.

RADIUS Relay

Uma configuração onde o controlador de rede local encaminha os pedidos de autenticação dos pontos de acesso para um servidor RADIUS externo.

O Huawei iMaster NCE-Campus atua como o retransmissor, transmitindo de forma segura as credenciais do local para a infraestrutura na nuvem do Purple para validação.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que pretendem ligar-se a uma LAN ou WLAN.

O padrão empresarial para WiFi de funcionários. Substitui as palavras-passe partilhadas por credenciais de utilizador individuais ou certificados digitais.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação 802.1X que depende de certificados de cliente e servidor em vez de palavras-passe.

O método de autenticação mais seguro disponível. O SecurePass do Purple emite estes certificados para os dispositivos dos funcionários para eliminar os riscos de phishing.

Captive Portal

Uma página web que um utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso.

O principal mecanismo que o Purple utiliza para recolher dados primários e consentimento dos visitantes do local.

Exemplos Práticos

Um hotel de 200 quartos precisa de fornecer WiFi seguro e isolado para hóspedes, funcionários e uma cafetaria externa a operar no lobby, utilizando apenas dois SSIDs para preservar o tempo de antena.

Implemente um SSID com o nome 'Hotel_Guest' configurado com uma política de autenticação Open+Portal a apontar para o Captive Portal do Purple. Implemente um segundo SSID com o nome 'Hotel_Secure' configurado com autenticação WPA3-Enterprise e 802.1X. Os funcionários autenticam-se via EAP-TLS, e o Purple devolve um atributo RADIUS que os atribui à VLAN 20. A cafetaria utiliza PPSK no mesmo SSID 'Hotel_Secure'; introduzem uma frase de passe única e o Purple devolve um atributo RADIUS que os atribui à VLAN 30.

Comentário do Examinador: Esta abordagem otimiza o desempenho de RF ao limitar a sobrecarga de SSID. Ao tirar partido do Purple como autoridade RADIUS central, o hotel obtém um isolamento completo de Camada 2 entre os funcionários e o lojista, sem implementar hardware adicional ou encaminhamento complexo do lado do controlador.

Uma grande cadeia de retalho está a migrar para o Huawei AirEngine e precisa de garantir que a sua página de boas-vindas existente do Purple carrega corretamente em todas as lojas, sem acionar avisos de segurança nos smartphones modernos.

Configure o modelo de URL do iMaster NCE-Campus para mapear com precisão os parâmetros necessários (ap-mac, uaddress, umac, ssid, redirect-url). Construa uma ACL de Walled Garden abrangente que permita o tráfego DNS (UDP 53) e HTTPS (TCP 443) para os domínios do Purple e quaisquer APIs de início de sessão social necessárias. Garanta que o controlador interceta o tráfego HTTP e o redireciona para a página de boas-vindas HTTPS.

Comentário do Examinador: As implementações modernas de SO (iOS, Android) utilizam mecanismos rigorosos de deteção de Captive Portal. Se o Walled Garden bloquear as CDNs necessárias ou se o redirecionamento depender de certificados SSL inválidos, o SO irá desligar a ligação. A configuração precisa da ACL é fundamental para uma experiência de utilizador fluida.

Perguntas de Prática

Q1. Configurou o SSID de Convidados e a ACL de Walled Garden no iMaster NCE-Campus. Quando testa a ligação, o seu telemóvel deteta o Captive Portal, mas o ecrã permanece em branco. Qual é a causa mais provável?

Dica: Considere o que o dispositivo precisa para carregar uma página web moderna alojada numa plataforma na nuvem.

Ver resposta modelo

É provável que faltem regras de permissão na ACL de Walled Garden para os domínios necessários. Especificamente, o DNS (UDP 53) deve ser permitido, juntamente com o acesso HTTPS aos domínios do portal do Purple e a quaisquer Redes de Distribuição de Conteúdo (CDNs) que alojem os recursos da página. Se o início de sessão social estiver ativado, esses endpoints de API específicos também devem ser permitidos antes da autenticação.

Q2. Um lojista que utiliza a sua rede PPSK queixa-se de que não consegue aceder à Internet. Verifica os registos do iMaster NCE-Campus e vê que o Purple devolveu um RADIUS Access-Accept com o Tunnel-Private-Group-ID definido para 40. No entanto, o dispositivo cliente tem um endereço IP de 169.254.x.x. Qual é o erro de configuração?

Dica: A autenticação foi bem-sucedida, mas o encaminhamento de rede falhou na periferia.

Ver resposta modelo

A porta do switch que liga o ponto de acesso Huawei AirEngine à rede não está configurada para trunk da VLAN 40. Embora o Purple tenha autorizado o utilizador com sucesso e o controlador tenha instruído o AP a etiquetar o tráfego com a VLAN 40, o switch a montante descartou os pacotes porque a VLAN não é permitida no trunk. Deve adicionar a VLAN 40 à lista de permissões (allow-pass) do trunk no switch de acesso.

Q3. Está a migrar de um controlador legado para o Huawei iMaster NCE-Campus. Configura o modelo de servidor RADIUS exatamente como estava no sistema antigo, mas todos os pedidos de autenticação falham silenciosamente. O que deve verificar primeiro?

Dica: As falhas silenciosas no RADIUS indicam geralmente uma incompatibilidade criptográfica.

Ver resposta modelo

Verifique o Segredo Partilhado (Shared Secret) do RADIUS. Se o segredo configurado no iMaster NCE-Campus não corresponder perfeitamente ao segredo no painel do Purple, os pacotes RADIUS não poderão ser desencriptados, resultando em falhas silenciosas ou mensagens de Access-Reject sem códigos de erro claros. Certifique-se de que não existem espaços no final ao copiar o segredo.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →